新余市人民医院信息安全建设.docx
《新余市人民医院信息安全建设.docx》由会员分享,可在线阅读,更多相关《新余市人民医院信息安全建设.docx(17页珍藏版)》请在冰豆网上搜索。
新余市人民医院信息安全建设
新余市人民医院
信息化安全体系建设建议
北京天融信·江西平台
2012年9月
目录
前言3
1.信息化现状分析5
1.1.网络现状5
1.2.应用现状6
1.3.安全现状6
2.面临的风险分析8
2.1.合规性风险8
2.2.互联网应用风险8
2.3.内部应用风险8
2.4.系统运维风险9
3.信息安全需求分析11
4.安全建设方案12
5.1.方案设计原则12
5.2.防护体系设计13
5.3.安全防护技术13
5.4.防护体系建设15
5.5.网络拓扑16
5.安全建设效果17
5.1.综合安全网关(UTM)17
5.2.入侵防御系统(IPS)18
5.3.堡垒主机18
5.4.终端管理系统19
5.5.存储备份一体机19
5.6.审计系统20
前言
随着信到了最为广泛的应用。
政府、军队、金融、医疗、能源等众多行业,纷纷将自己的业务移交至由信息系统来完成,公安网、水利网、银行网、电力信息网等各种单位、行业内部的网络也纷纷建立完成。
计算机和网络技术在个人应用方面的普及率也“盛况空前”,人们开始享受因特网带来的各种乐趣和便利。
但与此同时,企业、单位和个人在使用计算机及网络的过程中,却往往忽视了信息安全的问题。
近些年,各种恶意攻击、病毒爆发等信息安全事故的频频发生,导致企业、政府、个人等信息系统的使用者遭受了大量的经济、信誉方面的损失,对信息系统的应用产生了极大的负面影响,且恶意威胁和安全事故的数量呈现出井喷式递增的趋势,据CNCERT/CC的调查报告显示,中国大陆地区2003年到2007年被篡改过的网站数量逐年递增,且增长率均超过100%。
此外,各种各样的威胁形式、攻击手段甚至自动化的攻击工具,也为心存恶意的人员提供了更多破坏目标系统的方法和途经,造成各种损害,据公安部公共信息网络安全监察局对接入因特网的并遭到安全事件影响的信息系统的统计显示,仅2008年一年内,就有近13200件造成了较大影响的安全事件。
从以上两个统计数据中不难看出,信息系统面临的威胁众多,信息系统的安全建设及加固的工作,已经到了刻不容缓的地步。
新余市人民医院地处江西省新余市内,是所处区域内最重要的医疗卫生单位之一,考虑到医院自身发展、进一步改善医疗条件、提高医疗水平等诸多因素,现已在新余市建立起了一座能够适应未来发展的、现代化的新院区,并将全体搬迁至新院区,而新院信息系统在一期的初步建设中是以完成网络搭建、系统服务建立为目标,在信息安全防护体系方面非常薄弱。
在进行信息系统建设的同时,也必须考虑到重要应用的安全问题,为了保证信息系统有足够的安全性、可靠性为医院提供各种相关信息服务,信息系统安全防护体系的建设也将随着医院信息系统建设而同步建立起来,以达到降低医院信息系统面临的各种风险的目的。
1.信息化现状分析
1.1.网络现状
在新余市人民医院的新院建设过程中,目前已经完成了全院信息系统应用的基础设施搭建,其中包括全院网络、服务器、数据存储系统等相关子系统的建设,当前,新院的信息系统拓扑结构图如下所示:
如上图所示,网络结构为标准的星型拓扑结构,以S9312高端核心交换机为数据传输的骨干设备,通过汇聚层、接入层交换机来接入医院的终端电脑,与此同时,医院和外部网络存在数据传输的需求,目前已经接入了互联网(INTERNET)、各级医保网等。
新院系统中,主要部署了HIS、LIS、RIS等医院常用的信息系统,在未来的建设中,将逐步完善PACS、EMR等其他的医疗行业信息系统。
1.2.应用现状
目前,新院的信息化应用主要分为三大类,分别是互联网办公、内部应用和医保应用等,其中,最为核心的是由HIS、LIS等系统组成的医院医疗信息化系统,未来根据发展情况,可能引入PACS、EMR等更多的医疗信息化系统。
1.3.安全现状
由于新院一期建设的重点是构建信息化基础设施,让各种信息化业务和应用“先跑起来”,因此,在信息安全建设方面十分薄弱,且由于整个网络都和互联网逻辑连接,使得整个新院信息系统都面临着较多的信息安全风险,主要包括以下所列的一些类型:
威胁类型
威胁行为
动机
物理层威胁
地震、水灾等自然灾害
意外
火灾、灰尘、温度等环境威胁
意外
电力中断、链路中断、设备损坏等故障
意外
外部威胁
来自外部网络或人员的,针对医院内部信息系统的攻击
黑客技术爱好者的好奇和炫耀心里
专业黑客破坏医院信息化数据,谋取非法经济利益
敌对组织破坏医院信息化数据,危害社会秩序
计算机恶意代码(病毒、蠕虫、木马等)通过网络途经感染至医院内网
炫耀技术(普通破坏文件或恶作剧类病毒)
获取非法利益(盗号、盗个人信息、僵尸网络等)
敌对组织通过计算机病毒破坏生产、社会秩序
计算机系统运行故障(如操作系统、软件故障)导致数据遭到破坏
意外
内部威胁
内部系统用户不合政策、法律法规的行为,(如:
非法统方)
非法经济利益驱使
内部系统用户恶意外泄医院信息系统的数据
非法经济利益驱使或对单位打击报复等
内部人员通过医院局域网访问互联网的过程存在不合规的行为
恶意言论打击报复、好奇心、懒散的工作态度等
内部系统用户的误操作导致系统运行异常
意外
2.面临的风险分析
2.1.合规性风险
在信息化领域,信息系统在建立的时候,都会受到来自相关监管部门、协会组织制定的信息化安全标准和法律法规等,在不满足这些标准、法律法规的情况下运行信息系统,都存在严重的合规性风险,随时可能遭到监管部门的处罚。
2.2.互联网应用风险
新院的网络与互联网连接,主要应用是通过互联网获取一些咨询、通信等,来自互联网应用的风险主要有:
风险事件
危害
概率
互联网链路中断或网络边界设备(路由器)损毁等物理层故障
互联网通信能力中断不影响医院运行,危害程度极小
当前网络没有做互联网的链路或设备备份,该风险发生的概率一般
上班时间,内部人员利用互联网观看视频、P2P下载、网络游戏或其他休闲娱乐类应用
严重影响医院形象、工作效率和医疗质量
在接入互联网的单位、组织中,该类型事件的发生概率极高
内部人员通过单位网络在互联网浏览或发表恶意、反动等信不符合法律法规的消息
严重影响医院形象,甚至导致医院遭到互联网监管部分处罚,更严重者将导致法律纠纷
在接入互联网的单位、组织中,该类型事件的发生概率较高
如上表可知,对于互联网应用来说,由物理层威胁导致的安全风险对医院的实际危害程度有限,而内部人员访问互联网的行为则可能给医院带来较大的危害。
2.3.内部应用风险
医院内部应用指的是涉及医院开展医疗相关核心事务的信息系统,如:
HIS、LIS、RIS、PACS、EMR等,这些应用系统的可用性、数据的完整性和机密性,是医院信息系统关注的最重要内容,因此,该类型应用所面临的风险是医院需要首先加以控制的,当前,新院内部应用系统存在如下一些安全风险:
风险事件
危害
概率
设备故障或骨干链路故障导致系统服务中断
HIS、LIS、RIS等重要系统无法访问,医院业务受到极大影响,甚至被迫中断
由于骨干链路、核心数据交换设备均采用了双机热备措施,该事件的发生概率较小
设备故障、物理环境问题导致数据丢失或完整性遭到破坏
数据是医院信息系统的核心内容,一旦丢失将对医院造成极为严重的损害
医院数据存储及服务器系统均为7x24小时运行,磁盘等机械部件的故障概率随着时间推移而逐渐上升,同时,软件运行的过程中的错误问题同样可导致数据丢失或完整性受损
来自互联网的非法攻击行为
对于未和互联网进行高强度安全隔离的内部应用系统,来自互联网的攻击能够窃取内部应用系统的数据,并实施一些破坏手段,最终导致医院业务无法正常开展、医院面临患者信息外泄等安全事故,甚至引起法律纠纷、社会秩序混乱
由于外泄医院的信息,可以获取非法经济利益,且通过互联网进行攻击方式,法律风险小,因此,该类型的风险概率较高
外部人员非法接入医院内网
外部人员通过自带笔记本电脑方式接入医院内网,探测、攻击医院信息系统,非法获取或破坏信息,导致医院业务无法正常开展、医院面临患者信息外泄等安全事故,甚至引起法律纠纷、社会秩序混乱
由于外泄医院的信息,可以获取非法经济利益,因此,通过非法接入医院内网的方式来获取信息存在可能性
内部人员外泄医院信息系统数据
内部人员通过INTERNET或U盘拷贝等方式蓄意泄漏医院内部信息,或在使用移动介质的过程中不慎丢失移动介质,非蓄意造成内部信息外泄
统方获取非法利益或泄漏患者信息获取非法利益的概率较大
2.4.系统运维风险
系统运维风险指的是信息系统在运行过程中因管理维护行为而导致的损害,包括:
第三方运维管理人员利用系统管理权限破坏、泄漏信息,内部管理人员利用权限之便获得过大的系统控制权而“为所欲为”。
同时,设备、系统的管理方式如果存在漏洞,也会导致恶意人员非法控制、管理信息系统的资源,进行破坏性操作;由于信息系统的管理权限极大,能够实施的破坏活动多,内部人员、外部攻击者、第三方支撑单位人员都可能因为各种动机利用运维过程来威胁信息系统,达到目的。
3.信息安全需求分析
信息安全的需求,来自于对信息系统面临风险的分析和风险接受能力的分析,对于新余市人民医院来说,虽然信息系统面临着诸多的安全风险,但有些信息安全风险是可以接受的,如:
互联网链路中断、互联网边界路由设备故障、接入交换机故障、非核心业务服务短暂中断等。
通过对新余市人民医院的风险分析,认为在新余市人民医院的安全体系规划建设中,至少存在如下需求:
Ø合规性需求:
信息安全防护体系在结构、技术措施、管理制度和流程等方面必须符合监管机构、上级单位等的标准要求和法律法规,一次性无法达到的(如:
等级保护标准),也要在框架上满足要求,可在后续的分期建设中逐步完善,最终合规;
Ø业务持续性需求:
医疗信息系统(特别是HIS、LIS、EMR等)是医院的诊疗核心系统,必须提供强大的业务持续性才能保障信息化建设对医院的价值、避免医疗事故和纠纷等,需要提供搞可靠性的链路、设备、服务、数据存储等来保障信息系统的连续运行。
Ø数据保密需求:
患者信息设计到患者的隐私,为了配合诊疗,患者向医院提供了个人信息,医院在诊疗过程中也会生成病患人员的相关医疗信息,一旦这些信息在未经患者允许的情况下遭到利用,很有可能导致医院遭到患者投诉甚至法律纠纷。
于此同时,医院的一些数据信息(如:
统方数据)如果遭到非授权查阅,也将导致不好的影响,因此,需要通过技术措施来保障医院信息系统中的数据不会因外部攻击、内部人员外泄或第三方系统支撑单位人员等导致保密性遭到破坏;
Ø数据完整性需求:
数据完整性有个含义,分别是不丢失和不损坏(真实性),因此,在新余市人民医院中,需要保证数据存储时的安全,当出现硬件故障、软件错误及人为误操作、内部蓄意破坏或外部攻击导致数据丢失或损坏后,能够及时恢复,并确保恢复的数据是真实可靠的;
4.安全建设方案
4.1.方案设计原则
Ø合规性:
本方案在体系、技术措施的选择上尽可能采纳《信息安全等级保护基本要求》中的标准,并充分参考卫生部、卫生厅等对医疗单位信息安全建设的要求;
Ø动态性:
方案以ISO27001安全管理体系标准作为新余市人民医院信息安全体系动态化、流程化的参考,确保安全防护体系在新余市人民医院中能够持续、高效地发挥防护能力,并具备较好的扩展能力来适应未来信息化发展的趋势;
Ø成熟性:
由于医院对信息系统运行的连续性要求较高,因此,本方案所采用的安全防护结构、技术措施在满足需求的情况下尽可能保证其成熟性,确保稳定可靠;
Ø全面性:
本方案充分考虑新余市人民医院的信息安全需求,建设的安全防护能力足够保障医院信息系统在可用性、完整性和保密性,并对措施实施后尚存的剩余风险和未知风险进行监测,具备事故发生后的溯源能力;
4.2.防护体系设计
在企、事业建立起动态安全防护基于对象、时间及策略特征。
是一种基于闭环控制、主动防御的动态安全模型,通过区域网络的路由及安全策略分析与制定,在网络内部及边界建立实时检测、监测和审计机制,应用多样性系统灾难备份恢复、关键系统冗余设计等方法,构造多层次、全方位和立体的区域网络安全环境。
4.3.安全防护技术
Ø双机热备:
在安全风险分析中,多处提到因设备故障或骨干链路故障从而导致的安全事故,起事故一旦发生将会导致业务瘫痪且恢复起来时间较长。
现在双机热备技术已经非常成熟,在热备状态中,两台设备可以实现配置实时同步、实时校验并推送。
并同步主设备的实时运行状态,确保在设备切换过程中实现零时差。
通过双机热备可以有效的避免长时间的服务中断,保障系统长期,可靠的提供服务。
Ø审计/认证:
这是一种现阶段在出现事故后能提供有效证据、有合法效应的一种有效的处理机制,通过审计/认证可以查找出事件发生的源头,并记录事件发生的全部过程。
目前系统大多数都是通过用户名和密码的方式进行登入,此方式密码无法随机发生变化,容易被破解安全性较差。
一旦发生密码被盗取后,事故发生追溯到个人,无法防止抵赖。
通过认证技术,可以对自然人进行身份认证,并对所访问的系统进行授权。
认证通过后将无需再对各个系统进行逐一登入,有效的防止了密码强度不高、密码记录问题、密码遗失等问题的发生。
出现问题时也可以追溯到自然人有效防止抵赖。
有认证必然就有审计,在对自然人进行认证后,即可对他们的操作过程的合法性进行实施记录。
目前审计系统可以对各种设备的操作过程实时的记录并还原,内容包括:
各种网页浏览行为、远程控制操作行为、各种设备的命令行操作、各种数据库操作等。
Ø入侵防御技术:
现在的黑客入侵都是通过现有的恶意代码对系统进行破译,并通过编译好的木马程序对系统进行入侵。
个人无法短时间具备独立查找系统漏洞、编写代码程序的能力。
现在的入侵防御信息库,都是更具应用数据流好库文件体征的匹配程度来识别是否为攻击特征,识别率大为提高。
现在入侵防御产品大都基于先进的新一代并行处理技术架构,内置处理器动态负载均衡,实现了对网络数据流的高性能实时检测和防御的同时保障应用数据正常转发。
系统采用基于目标主机的流检测引擎,可即时处理IP分片和TCP流重组,是一种有效阻断各种逃逸检测的攻击手段。
Ø终端安全准入技术:
在近几年的安全事件态势评估中发现,近80%的安全事件都是来自于网络内部,所以如何健全内网安全是目前网络安全的重点,终端安全技术也由此产生。
目前的终端安全可以对终端系统的系统补丁做校验、对病毒软件的库文件升级做校验、对终端外接设备如:
打印机、U盘等外设做校验、对私自非法外联行为做校验等等。
此项技术可以有效的对重要的终端系统进行实时监控并严格管理。
有效的防止了数据外泄等行为,提高了终端系统的安全性。
Ø数据存储、备份技术:
对于用户来说,数据就是企业的生命,是信息时代的一切业务基础,数据必然需要得到安全完好的保护。
因而,如何保护好计算机系统里存储的数据、保证系统稳定可靠地运行、并且为业务系统提供快捷可靠的访问,就成了系统建设中最重要的问题之一。
所以,为了保护企业用户系统的关键业务数据,我们必须对这些数据进行有效的备份,并支持快速恢复。
对于自然灾难的防范需要有远程的数据备份与恢复。
现在的数据存储、备份技术支持丰富类型的备份,包括数据库备份,文件备份,应用备份,操作系统备份等,包括从Windows、Linux到Unix操作系统平台,备份功能可以通过IP-SAN、FCSAN、SAN或DAS方式功能加以实现,它利用成熟结构来完成对数据的存储备份。
4.4.防护体系建设
在整体网络框架里,首先对网络区域进行合理划分,规划出互联网区域、外联区域、办公区域、应用服务区域、数据中心区域。
按照各个区域所受到危害的概率及带来的风险进行安全等级评定。
区域
区域功能
安全等级
安全措施
互联网
区域
接入互联网实现外出差人员通过互联网进行远程办公。
实现医院之间进行远程会诊。
并通过互联网对外发布公共信息等业务。
中
●防范病毒、木马类攻击行为。
●防范恶意代码、拒绝服务类攻击行为。
●远程办公加密。
●网络流量控制。
●访问控制规划。
外联区域
提供对市、区、农村、铁路医疗保险的接口平台。
实现患者的各类医保业务进行网络对接。
中
●防范病毒、木马类攻击行为。
●防范恶意代码、拒绝服务类攻击行为。
●访问控制规划。
办公区域
门诊、住院部、宿舍、后勤、行政办公等网络节点汇聚。
区域中对网络节点进行内、外网络划分。
外节点:
低
内节点:
中
●非法外设接入控制。
●非法外联控制。
●终端自身安全。
●网络行为审计。
应用服务区域
LIS、HIS、EMR、PACS、OA等业务系统的网络接口平台。
为办公系统提供业务支撑服务。
高
●防范病毒、木马类攻击行为。
●防范恶意代码、拒绝服务类攻击行为。
●身份认证。
●网络行为审计。
●访问控制规划。
●数据备份。
数据中心区域
为业务系统提供数据存储服务,所有业务中心数据存放区。
高
●防范病毒、木马类攻击行为。
●防范恶意代码、拒绝服务类攻击行为。
●身份认证。
●数据库审计。
●访问控制规划。
●数据备份、存储。
4.5.网络拓扑
5.安全建设效果
5.1.综合安全网关(UTM)
设备部署在互联网出口边界处,在互联网与内网间起一道安全屏障。
防护外来的恶意攻击行为,并对内网用户访问互联网资源进行管理。
安全建设
解决的问题
建设的效果
互联网访问规则
1.不良网站的访问行为。
2.工作时间办理非工作业务。
利用访问控制策略对不良网站进行URL过滤,一旦访问非法不良网站的行为将被禁止,对互联网访问进行分时间段访问,在工作时间段内禁止访问娱乐性质的互联网资源,并对内网工作终端进行网络隔离。
恶意代码、木马、拒绝服务类攻击行为的安全防护
1.来自互联网的非法攻击行为。
2.来自互联网的病毒传播。
利用入侵防御及防病毒策略,有效的阻止来自互联网的非法攻击行为。
保障对外发布(WEB)服务的正常运行,和内网数据安全。
远程办公加密
1.运程办公非法窃听。
2.仿冒身份非法登入。
利用互联网通道加密技术(SSLVPN),对在外办公人员访问内网资源的行为进行身份认证,认证后的访问过程进行加密。
可以有效的防止身份仿冒和非法窃听。
P2P数据流限制
使用网络电视,P2P下载,恶意软件的带宽滥用行为。
利用应用程序识别技术,对各种应用软件进行识别,并可以对识别的应用软件进行网络访问的限制。
也可以对终端进行带宽合理划分。
保障互联网资源的正常访问。
5.2.入侵防御系统(IPS)
设备部署在网络核心处,对所有进出数据中心区、应用服务器区数据进行隔离。
安全建设
解决的问题
建设的效果
恶意代码、木马、拒绝服务类攻击行为的安全防护
1.来自内网终端的攻击行为。
2.来自内网的病毒入侵行为。
内网终端被遭到入侵作为“跳板”的事件时有发生,来自内网的安全防护相对比较薄弱,所以在服务器区域建立起一道防护措施。
就可以有效的防范各种非法、仿冒等入侵行为。
应用服务的访问规范
无授权的应用服务访问行为。
规范重要数据服务器的访问行为,将访问密度控制位端口级别,制定相应部门访问对应业务,从根本杜绝越权访问。
入侵行为审计
发现入侵行为无法记录入侵过程。
系统可记录入侵者的入侵过程,对日后取证、查找线索留下可靠的依据。
5.3.堡垒主机
在应用服务区和数据中心区域内部署堡垒主机,授权并审计操作员的操作过程。
安全建设
解决的问题
建设的效果
对应个人的操作访问权限设定
内部人员外泄医院信息系统数据。
对各个职能部门、不同的厂家及代维公司人员做身份绑定并对其设定相对应的访问权限。
对应各个服务应用的访问代理
KVM等相关管理软件操作繁琐。
通过堡垒主机在任何网络节点就可以访问和管理应用服务器。
并达到KVM等相关管理软件所能带来的安全性和便捷性。
操作过程审计
代维公司、内部操作人员非法操作、误操作等行为。
系统可以对各个职能部门、不同的厂家及代维公司人员的操作过程做做实时记录。
并可还原当时操作的全部过程。
5.4.终端管理系统
在相对重要的终端设备上安装终端管理系统,实时掌控终端设备的安全状况。
安全建设
解决的问题
建设的效果
对网络接入的管理
内网终端设备私自接入互联网或其他网络。
系统将对试图非法外联的行为进行阻断,严禁私自接入互联网的行为发生。
对操作系统安全的管理
操作系统应补丁不全,或没有安装杀毒软件导致的安全事件。
系统可以对操作系统的补丁、杀毒软件等进行安全检查,对不符合规范的将进行安全隔离。
对其进行合格操作后方可接入网络。
对接入外设的管理
利用接入打印机、光盘介质、U盘等手段非法拷贝关键数据。
系统通过对各种联外设的端口进行识别,并进行管理,管理员可以禁止端口的使用。
对终端设备资产的管理
对终端设备的硬件进行更换。
系统可以记录终端设备的硬件信息及硬件编码。
一旦更换系统将报警并发送给系统管理员。
5.5.存储备份一体机
在数据中心和应用服务器区内部署存储备份一体机,将对重要数据进行实时备份。
安全建设
解决的问题
建设的效果
数据备份
设备故障、物理环境问题导致数据丢失或完整性遭到破坏
备份设备将实时和备份系统进行同步,一旦需要备份的系统及数据发生改动,系统将及时备份,确保数据的完整性。
数据还原
设备故障、物理环境问题导致数据丢失或完整性遭到破坏
重要硬件系统发生故障或数据丢失,系统将及时接管应用系统,保障业务的持续性。
5.6.审计系统
在数据交汇处部署网络行为审计系统、数据库审计系统。
实时记录、还原操作过程。
安全建设
解决的问题
建设的效果
网络行为审计
内部人员通过单位网络在互联网浏览或发表恶意、反动等信不符合法律法规的消息
审计系统可对访问互联网的网页,论坛等信息进行记录,在发生非法事件时可以立即调用信息。
数据库操作审计
内部人员对数据库系统的误操作或非法统方等行为。
审计系统将记录内部人员对数据库的任何操作过程,对日后查证提供有力依据。
6.安全建设设备清单
设备名称
设备数量
备注
综合安全网关设备
1台
入侵防御系统
2台
用于双机热备
堡垒主机
1台
终端管理系统
1套
按照需要管理的终端节点计算
存储备份一体机
1套
按照需要备份的设备数量计算
审计系统
2台
行为审计、数据库审计
升级会员 