医疗机构信息系统安全等级保护基本要求.docx
《医疗机构信息系统安全等级保护基本要求.docx》由会员分享,可在线阅读,更多相关《医疗机构信息系统安全等级保护基本要求.docx(102页珍藏版)》请在冰豆网上搜索。
医疗机构信息系统安全等级保护基本要求
医疗机构信息系统安全等级保护基本要求
上海市卫生局信息中心
上海市信息安全测评认证中心
二〇〇八年十月
1前言
2
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号,以下简称“27号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
2004年9月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号,以下简称“66号文件”)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。
27号文件和66号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。
医疗机构作为涉及国计民生的重要组成部分,其安全保障事关社会稳定,必须按照27号文件要求,全面实施信息安全等级保护。
因此,组织编制《医疗机构信息系统安全等级保护基本要求》,提出针对医疗机构信息安全等级保护工作的基本思路和具体要求,指导上海市医疗机构的信息安全保障工作。
范围
3
本标准规定了医疗机构信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导本市医疗机构分等级的信息系统的安全建设和监督管理。
一般模型
4
医疗机构信息系统(以下简称HIS系统)模型的构造是对HIS系统进行威胁分析,从而确定安全保障目标的基础。
《HIS系统基本要求》将分别从技术、管理和业务应用三个层面提出各自的参考模型,具体如下。
技术模型、管理模型和应用模型既是三个相对独立的体系,又是两两相互作用,存在密切关系的有机耦合体。
技术模型支持应用模型的实现,管理模型是技术模型正常工作的保障,应用模型又是技术模型和管理模型支持和管理的核心。
技术模型
4.1
参考国际标准化组织(ISO)制定的开放系统互联标准(OSI)标准和TCP/IP标准对信息系统技术组成的构造方法,结合HIS系统业务应用分类,给出HIS系统的技术模型,如下图所示。
HIS系统的技术参考模型描述主要从物理环境、网络系统、主机系统、应用系统4个层面进行描述。
a.物理环境
包括机房、场地、布线、设备、存储媒体等内容。
b.网络系统
指HIS系统所基于的网络标准和网络结构;网络标准主要基于TCP/IP协议、IPX/SPX的网络标准,网络结构主要采用LAN、WAN的结构。
c.主机系统
主机系统指服务器操作系统平台及公共应用平台。
服务器操作系统主要采用服务器版的操作系统,通常有Windows、Unix等类型;公共应用平台主要有数据库平台和WEB、Mail、中间件等。
数据库平台一般采用可提供多个事务共享数据的网络数据库系统,常用的数据系统SQLSERVER,ORACLE,DB2,SYBASE等,数据访问通常采用两层或三层中间件结构。
d.应用系统
医院信息系统目前主要可分为综合业务、临床业务、行政管理三种类型。
管理模型
4.2
参考国家标准GB/T19716《信息技术信息安全管理实用规则》和ISO/IEC17799《Informationtechnology:
CodeofpracticeforInformationSecurityManagement》管理模型的构造方式,结合HIS系统业务管理特点,将管理模型分为信息安全管理基础(管理机构、管理制度、人员安全)和信息安全管理生命周期管理方法(建设管理、运维管理),具体如下图所示。
a.管理制度
主要包括管理制度、制定和发布、评审和修订3个控制点。
b.管理机构
主要包括岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查5个控制点。
c.人员安全
主要包括人员录用、人员离岗、人员考核、安全意识教育培训、外部人员访问管理等5个控制点。
d.建设管理
主要包括系统定级、方案设计、产品采购、自行开发、外包开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务11个控制点。
e.运维管理
主要包括环境管理、资产管理、介质管理、设备管理、监控管理、安全中心、网络安全管理、恶意代码防范管理、密码管理、变更管理、备份恢复管理、安全事件管理、应急预案管理等13个控制点。
应用模型
4.3
根据国家卫生部发布的《医院信息系统基本功能规范》和市卫生局发布的《上海市医院信息系统功能规范》有关要求,结合上海市医疗机构应用业务系统建设实际,按如下框架构建应用模型:
基础建设
业务应用
决策支持
基础
网络
建设
系统
操作
平台
政务
外网
接入
网站
建设
安全
解决
方案
系统
管理
规范靶子
外部
接口
临床业务部分
综合业务部分
行政管理部分
综合查询与决策分析
知识库管理及辅助诊疗
管理
HMIS
临床
CIS
其中综合业务部分分为:
综合业务部分
门急诊挂号分系统
门急诊划价收费分系统
住院病人入出转管理分系统
住院收费分系统
物资管理分系统
设备管理分系统
其它
分系统
临床业务部分分为:
临床业务部分
门诊医生工作站分系统
住院医生工作站分系统
护士工作站分系统
临床检验分系统
医学影像分系统
输血管理分系统
手术、麻醉管理系统
药品管理分系统
其它分系统
行政管理部分分为:
行政管理部分
财务管理分系统
人事管理分系统
科研管理分系统
教育管理分系统
OA分系统
其它分系统
综合查询与决策分析部分分为:
综合查询与决策分析部分
院长综合查询与分析分系统
经济核算管理分系统
医疗统计分系统
病人咨询服务分系统
其它分系统
知识库管理及辅助诊疗部分分为:
知识库管理及辅助诊疗部分
合理用药咨询及审核分系统
病案管理
分系统
循证临床路径指引分系统
临床辅助诊疗分系统
数字医学图书馆分系统
其它分系统
另外,外部接口部分包括:
社区卫生服务接口
公
共
卫生信息交换接口
远程医疗咨询系统接口
外部接口部分计分析部分
医疗保险接口
其它接口
电子病历共享交换接口
(以上粗体标注的为卫生部《医院信息系统基本功能规范》明确的子系统)
相应的数据类型大体可分为四类:
1.患者基本信息:
患者姓名、住址、联系方式等。
2.
3.诊疗相关的信息:
包括电子病历、医嘱、检验结果等。
这类数据不仅要保证完整性,还要防篡改,修改后必须留有痕迹,而且还应做到隐私性保护。
4.
5.经济相关的费用信息:
包括药品材料管理、检验价目等,要求受限访问,设限修改。
6.
7.管理相关的业务信息:
包括人事数据、资产管理等。
8.
定级指导
5
作为定级对象,《信息系统安全等级保护管理办法》中将信息系统划分为五级,前3级分别为:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
从本市医疗机构信息系统遭到破坏后的影响程度来看,基本只损害到本市部分公民的就医权利,造成对社会秩序和公共利益的损害不至“严重程度”,属于“第二级”范畴,且HIS系统对信息安全防护和服务能力保护的要求均较高,因此基本定位在LSA(2,2,2)。
但从医疗机构服务受众的多少(门诊量),HIS系统应用依赖的大小(全信息化、部分信息化、单机版)的不同,建议将第二级细分为:
二级(一般)和二级(增强),具体如下:
区县中心以下医疗信息系统定为:
二级(一般)
区县中心(含)以上医疗信息系统定为:
二级(增强)
威胁分析
6
不同等级系统所应对抗的威胁主要从威胁源(自然、环境、系统、人为)动机(不可抗外力、无意、有意)范围(局部、全局)能力(工具、技术、资源等)四个要素来考虑。
威胁源——是指任何能够导致非预期的不利事件发生的因素,通常分为自然(如自然灾害)环境(如电力故障)IT系统(如系统故障)和人员(如心怀不满的员工)四类。
动机——与威胁源和目标有着密切的联系,不同的威胁源对应不同的目标有着不同的动机,通常可分为不可抗外力(如自然灾害)无意的(如员工的疏忽大意)和故意的(如情报机构的信息收集活动)。
范围——是指威胁潜在的危害范畴,分为局部和整体两种情况;如病毒威胁,有些计算机病毒的传染性较弱,危害范围是有限的;但是蠕虫类病毒则相反,它们可以在网络中以惊人的速度迅速扩散并导致整个网络瘫痪。
能力——主要是针对威胁源为人的情况,它是衡量攻击成功可能性的主要因素。
能力主要体现在威胁源占有的计算资源的多少、工具的先进程度、人力资源(包括经验)等方面。
通过对威胁主要因素的分析,我们组合以上因素得到第二级的威胁:
1)危害范围为局部的环境或者设备故障;
2)无意的员工失误;
3)危害局部的较严重的自然事件;
4)具备中等能力、有预设目标的威胁情景。
在分析一般二级系统面临威胁的基础上,结合本市医疗机构信息系统行业应用的特点,给出HIS系统具体威胁分析的描述如下:
标号
威胁描述
备注
T2-1.
雷击、地震和台风等自然灾难
T2-2.
水患和火灾等灾害
T2-3.
高温、低温、多雨等原因导致温度、湿度异常
T2-4.
电压波动
T2-5.
供电系统故障
T2-6.
静电和外界电磁干扰
T2-7.
通信线路因线缆老化等原因导致损坏或传输质量下降
T2-8.
存储综合业务、临床业务等重要业务信息的介质老化或质量问题等导致不可用
行业特点
T2-9.
网络设备、系统设备及其他设备使用时间过长或质量
问题等导致硬件故障
T2-10.
系统软件、应用软件运行故障
T2-11.
系统软件、应用软件过度使用内存、CPU等系统资源
T2-12.
应用软件、系统软件缺陷导致数据丢失或系统运行中断
T2-13.
设施、通信线路、设备或存储介质因使用、维护或保养不当等原因导致故障
T2-14.
授权用户操作失误导致系统文件被覆盖、数据丢失或不能使用
T2-15.
授权用户对系统错误配置或更改
T2-16.
攻击者利用非法手段进入机房内部盗窃、破坏等
T2-17.
攻击者非法物理访问系统设备、网络设备或存储介质等
T2-18.
攻击者采用在通信线缆上搭接或切断等导致线路不可用
T2-19.
攻击者利用分布式拒绝服务攻击等拒绝服务攻击工具,恶意地消耗网络、操作系统和应用系统资源,导致拒绝服务
T2-20.
攻击者利用网络协议、操作系统、应用系统漏洞,越权访问文件、数据或其他资源
T2-21.
攻击者利用通过恶意代码或木马程序,对网络、操作系统或应用系统进行攻击
T2-22.
攻击者利用网络结构设计缺陷旁路安全策略,未授权访问网络
T2-23.
攻击者利用非法手段获得授权用户的鉴别信息或密码介质,访问网络、系统
T2-24.
攻击者利用伪造客户端进入综合业务、临床业务等系统,进行非法访问
行业特点
T2-25.
攻击者截获、读取、破解介质的信息或剩余信息,进行电子病历、药剂药品用量等敏感信息的窃取
行业特点
T2-26.
攻击者截获、读取、破解通信线路中的信息
T2-27.
由于网络设备、主机系统和应用软件的故障或双机热备失效,造成综合业务、临床业务等业务应用的中断
行业特点
T2-28.
PACS中dicom数据在传输和存储过程中被错误修改或丢失
行业特点
T2-29.
攻击者利用通用安全协议/算法/软件等缺陷,获取信息、解密密钥或破坏通信完整性
T2-30.
攻击者在软硬件分发环节(生产、运输等)中恶意更改软硬件
T2-31.
攻击者和内部人员否认自己的操作行为
T2-32.
攻击者和内部人员利用网络扩散病毒
T2-33.
内部人员下载、拷贝软件或文件,打开可疑邮件时引入病毒
T2-34.
内部人员未授权接入外部网络(如Internet)
T2-35.
内部人员利用技术或管理漏洞,未授权修改综合业务、临床业务系统数据或修改系统程序
行业特点
T2-36.
内部人员未授权访问电子病历、药材用量等敏感信息,将信息带出或通过网络传出,导致信息泄露
行业特点
安全目标
7
信息系统的安全保护能力包括对抗能力和恢复能力。
不同级别的信息系统应具备相应等级的安全保护能力,即应该具备不同的对抗能力和恢复能力。
将“能力”分级,是基于系统的保护对象不同,其重要程度也不相同,重要程度决定了系统所具有的能力也就有所不同。
一般来说,信息系统越重要,应具有的保护能力就越高。
因为系统越重要,其所伴随的遭到破坏的可能性越大,遭到破坏后的后果越严重,因此需要提高相应的安全保护能力。
HIS系统(二级)的安全保护能力主要体现为:
应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能(例如:
15分钟内故障无法排除应启动应急预案,及时恢复对外服务,如门急诊挂号收费服务)。
技术目标
7.1
标号
二级(一般)
二级(增强)
O2-1.
应具有抵抗一般强度地震、台风等自然灾难造成破坏的能力
应具有抵抗较强强度地震、台风等自然灾难造成破坏的能力
O2-2.
应具有防止雷击事件导致重要设备被破坏的能力
应具有防止雷击事件导致大面积设备被破坏的能力
O2-3.
应具有防水和防潮的能力
除二级(一般)要求外,还应具有对水患检测和报警的能力
O2-4.
应具有灭火的能力
应具有专用自动灭火的能力
O2-5.
应具有检测火灾和报警的能力
除二级(一般)要求外,还应具有防止火灾蔓延的能力
O2-6.
应具有温湿度自动检测和控制的能力
同二级(一般)要求
O2-7.
应具有防止电压波动的能力
同二级(一般)要求
O2-8.
应具有对抗短时间断电的能力
应具有对抗较长时间断电的能力
O2-9.
应具有防止静电导致重要设备被破坏的能力
应具有防止静电导致大面积设备被破坏的能力
O2-10.
具有基本的抗电磁干扰能力
除二级(一般)要求外,还应具有对重要设备和介质进行电磁屏蔽的能力
O2-11.
无
应具有防止强电磁场、强震动源和强噪声源等污染影响系统正常运行的能力
O2-12.
无
应具有监测通信线路传输状况的能力
O2-13.
无
应具有及时恢复正常通信的能力
O2-14.
应具有对传输和存储数据进行完整性检测的能力
除二级(一般)要求外,还应实现纠错能力
O2-15.
应具有对硬件故障产品进行替换的能力
同二级(一般)要求
O2-16.
应具有系统软件、应用软件容错的能力
同二级(一般)要求
O2-17.
应具有软件故障分析的能力
除二级(一般)要求外,还应具有软件状态监测和报警的能力
O2-18.
无
应具有合理使用和控制系统资源的能力
O2-19.
应具有记录用户操作行为的能力
除二级(一般)要求外,还应具有分析记录结果的能力
O2-20.
应具有对用户的误操作行为进行检测和报警的能力
除二级(一般)要求外,还应具有恢复能力
O2-21.
应具有控制机房进出的能力
应具有严格控制机房进出的能力
O2-22.
应具有防止设备、介质等丢失的能力
同二级(一般)要求
O2-23.
应具有控制机房内人员活动的能力
应具有严格控制机房内人员活动的能力
O2-24.
无
应具有实时监控机房内部活动的能力
O2-25.
无
应具有对物理入侵事件进行报警的能力
O2-26.
应具有控制接触重要设备、介质的能力
同二级(一般)要求
O2-27.
无
应具有对传输和存储中的信息进行保密性保护的能力
O2-28.
应具有对通信线路进行物理保护的能力
除二级(一般)要求外,还应具有使重要通信线路及时恢复的能力
O2-29.
无
应具有合理分配、控制网络、操作系统和应用系统资源的能力
O2-30.
无
应具有能够检测、分析、响应对网络和重要主机的各种攻击的能力
O2-31.
应具有发现所有已知漏洞并及时修补的能力
同二级(一般)要求
O2-32.
应具有对网络、系统和应用的访问进行控制的能力
应具有对网络、系统和应用的访问进行严格控制的能力
O2-33.
应具有对数据、文件或其他资源的访问进行控制的能力
应具有对数据、文件或其他资源的访问进行严格控制的能力
O2-34.
应具有对资源访问的行为进行记录的能力
除二级(一般)要求外,还应具有分析响应能力
O2-35.
应具有对恶意代码的检测、阻止和清除能力
同二级(一般)要求
O2-36.
应具有防止恶意代码等在网络中扩散的能力
同二级(一般)要求
O2-37.
应具有对恶意代码库和搜索引擎及时更新的能力
同二级(一般)要求
O2-38.
应具有保证鉴别数据传输和存储保密性的能力
同二级(一般)要求
O2-39.
应具有对用户进行唯一标识的能力
同二级(一般)要求
O2-40.
应具有对用户产生复杂鉴别信息并进行鉴别的能力
除二级(一般)要求外,还应具有对同一个用户产生多重鉴别信息并进行多重鉴别的能力
O2-41.
无
应具有检测非法接入设备的能力
O2-42.
应具有对存储介质中的残余信息进行删除的能力
同二级(一般)要求
O2-43.
无
应具有对传输和存储中的信息进行保密性保护的能力
O2-44.
无
应具有防止加密数据被破解的能力
O2-45.
无
应具有路由选择和控制的能力
O2-46.
无
应具有信息源发的鉴别能力
O2-47.
无
应具有通信数据完整性检测和纠错能力
O2-48.
无
应具有对关键区域进行电磁屏蔽的能力
O2-49.
应具有非活动状态一段时间后自动切断连接的能力
同二级(一般)要求
O2-50.
无
应具有基于密码技术的抗抵赖能力
O2-51.
应具有防止未授权下载、拷贝软件或者文件的能力
同二级(一般)要求
O2-52.
应具有网络边界完整性检测能力
除二级(一般)要求外,还应具有切断非法连接的能力
O2-53.
应具有重要数据和程序进行完整性检测和纠错能力
同二级(一般)要求
O2-54.
无
应具有对敏感信息的流向进行控制的能力
O2-55.
应具有重要数据恢复的能力
应具有及时恢复重要数据的能力
O2-56.
应具有保证重要业务系统恢复运行的能力
应具有保证重要业务系统及时恢复运行的能力
7.2管理目标
标号
二级(一般)
二级(增强)
O2-57.
应确保建立了安全职能部门,配备了安全管理人员,支持信息安全管理工作
同二级(一般)要求
O2-58.
应确保配备了足够数量的管理人员,对系统进行运行维护
同二级(一般)要求
O2-59.
应确保对主要的管理活动进行了制度化管理
同二级(一般)要求
O2-60.
应确保建立并不断完善、健全安全管理制度
同二级(一般)要求
O2-61.
应确保能协调信息安全工作在各功能部门的实施
同二级(一般)要求
O2-62.
应确保能控制信息安全相关事件的授权与审批
同二级(一般)要求
O2-63.
应确保建立恰当可靠的联络渠道,以便安全事件发生时能得到支持
同二级(一般)要求
O2-64.
应确保对人员的行为进行控制
同二级(一般)要求
O2-65.
应确保对人员的管理活动进行了指导
同二级(一般)要求
O2-66.
应确保安全策略的正确性和安全措施的合理性
同二级(一般)要求
O2-67.
应确保对信息系统进行合理定级
除二级(一般)要求外,还应进行备案管理
O2-68.
应确保安全产品的可信度和产品质量
同二级(一般)要求
O2-69.
应确保自行开发过程和工程实施过程中的安全
同二级(一般)要求
O2-70.
应确保能顺利地接管和维护信息系统
同二级(一般)要求
O2-71.
应确保安全工程的实施质量和安全功能的准确实现
同二级(一般)要求
O2-72.
应确保机房具有良好的运行环境
同二级(一般)要求
O2-73.
应确保对信息资产进行标识管理
同二级(一般)要求
O2-74.
应确保对各种软硬件设备的选型、采购、发放、使用和保管等过程进行控制
同二级(一般)要求
O2-75.
应确保各种网络设备、服务器正确使用和维护
同二级(一般)要求
O2-76.
应确保对网络、操作系统、数据库管理系统和应用系统进行安全管理
同二级(一般)要求
O2-77.
应确保用户具有鉴别信息使用的安全意识
同二级(一般)要求
O2-78.
应确保定期地对通信线路进行检查和维护
同二级(一般)要求
O2-79.
应确保硬件设备、存储介质存放环境安全,并对其的使用进行控制和保护
同二级(一般)要求
O2-80.
应确保对支撑设施、硬件设备、存储介质进行日常维护和管理
同二级(一般)要求
O2-81.
应确保系统中使用的硬件、软件产品的质量
同二级(一般)要求
O2-82.
应确保各类人员具有与其岗位相适应的技术能力
同二级(一般)要求
O2-83.
应确保对各类人员进行相关的技术培训
同二级(一般)要求
O2-84.
应确保提供的足够的使用手册、维护指南等资料
同二级(一般)要求
O2-85.
应确保内部人员具有安全方面的常识和意识
同二级(一般)要求
O2-86.
应确保具有设计合理、安全网络结构的能力
同二级(一般)要求
O2-87.
无
应确保对软硬件的分发过程进行控制
O2-88.
无
应确保软硬件中没有后门程序
O2-89.
应确保密码算法和密钥的使用符合国家有关法律、法规的规定
同二级(一般)要求
O2-90.
应确保任何变更控制和设备重用要申报和审批,并对其实行制度化的管理
同二级(一般)要求
O2-91.
应确保在事件发生后能采取积极、有效的应急策略和措施
同二级(一般)要求
O2-92.
应确保信息安全事件实行分等级响应、处置
同二级(一般)要求
安全要求(要素表)
8
《HIS基本要求》的安全要求在整体框架结构上以三种分类为支撑点,自上而下分别为:
类、控制点和项。
其中,类表示《HIS基本要求》在整体上大的分类,其中技术部分分为:
物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类,管理部分分为:
安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类,一共分为10大类。
控制点表示每个大类下的关键控制点,如物理安全大类中的“物理访问控制”作为一个
升级会员 