医疗机构信息系统安全等级保护基本要求.docx
《医疗机构信息系统安全等级保护基本要求.docx》由会员分享,可在线阅读,更多相关《医疗机构信息系统安全等级保护基本要求.docx(69页珍藏版)》请在冰豆网上搜索。
医疗机构信息系统安全等级保护基本要求
医疗机构信息系统安全等级保护基本要求
上海市卫生局信息中心
上海市信息安全测评认证中心
二〇〇八年十月
目录
1前言7
2范围7
3一般模型7
3.1技术模型8
3.2管理模型9
3.3应用模型10
4定级指导15
5威胁分析15
6安全目标18
6.1技术目标18
6.2管理目标21
7安全要求(要素表)23
8安全基本要求28
8.1二级(一般)安全要求28
8.1.1技术要求28
8.1.1.1物理安全28
8.1.1.1.1物理位置的选择28
8.1.1.1.2物理访问控制28
8.1.1.1.3防盗窃和防破坏29
8.1.1.1.4防雷击29
8.1.1.1.5防火29
8.1.1.1.6防水和防潮29
8.1.1.1.7防静电30
8.1.1.1.8温湿度控制30
8.1.1.1.9电力供应30
8.1.1.1.10电磁防护30
8.1.1.2网络安全31
8.1.1.2.1结构安全31
8.1.1.2.2访问控制31
8.1.1.2.3边界完整性检查31
8.1.1.2.4网络设备防护31
8.1.1.2.5网络可用性32
8.1.1.3主机系统安全32
8.1.1.3.1身份鉴别32
8.1.1.3.2访问控制32
8.1.1.3.3安全审计33
8.1.1.3.4恶意代码防范33
8.1.1.3.5资源控制33
8.1.1.3.6主机可用性33
8.1.1.4应用安全33
8.1.1.4.1身份鉴别33
8.1.1.4.2访问控制34
8.1.1.4.3安全审计34
8.1.1.4.4通信完整性35
8.1.1.4.5通信保密性35
8.1.1.4.6软件容错35
8.1.1.4.7资源控制35
8.1.1.5数据安全35
8.1.1.5.1完整性35
8.1.1.5.2数据保密性35
8.1.1.5.3备份和恢复36
8.1.2管理要求36
8.1.2.1安全管理制度36
8.1.2.1.1管理制度36
8.1.2.1.2制定和发布36
8.1.2.1.3评审和修订37
8.1.2.2安全管理机构37
8.1.2.2.1岗位设置37
8.1.2.2.2人员配备37
8.1.2.2.3授权和审批37
8.1.2.2.4沟通和合作37
8.1.2.2.5审核和检查38
8.1.2.3人员安全管理38
8.1.2.3.1人员录用38
8.1.2.3.2人员离岗38
8.1.2.3.3人员考核38
8.1.2.3.4安全意识教育和培训38
8.1.2.3.5外部人员访问管理39
8.1.2.4系统建设管理39
8.1.2.4.1系统定级39
8.1.2.4.2安全方案设计39
8.1.2.4.3产品采购40
8.1.2.4.4自行软件开发40
8.1.2.4.5外包软件开发40
8.1.2.4.6工程实施40
8.1.2.4.7测试验收41
8.1.2.4.8系统交付41
8.1.2.4.9安全服务商选择41
8.1.2.5系统运维管理41
8.1.2.5.1环境管理41
8.1.2.5.2资产管理42
8.1.2.5.3介质管理42
8.1.2.5.4设备管理42
8.1.2.5.5监控管理43
8.1.2.5.6网络安全管理43
8.1.2.5.7系统安全管理43
8.1.2.5.8恶意代码防范管理44
8.1.2.5.9密码管理44
8.1.2.5.10变更管理44
8.1.2.5.11备份与恢复管理44
8.1.2.5.12安全事件处置45
8.1.2.5.13应急预案管理45
8.2二级(增强)安全要求46
8.2.1技术要求46
8.2.1.1物理安全46
8.2.1.1.1物理位置的选择46
8.2.1.1.2物理访问控制46
8.2.1.1.3防盗窃和防破坏46
8.2.1.1.4防雷击47
8.2.1.1.5防火47
8.2.1.1.6防水和防潮47
8.2.1.1.7防静电47
8.2.1.1.8温湿度控制47
8.2.1.1.9电力供应48
8.2.1.1.10电磁防护48
8.2.1.2网络安全48
8.2.1.2.1结构安全48
8.2.1.2.2访问控制49
8.2.1.2.3安全审计49
8.2.1.2.4边界完整性检查49
8.2.1.2.5入侵防范49
8.2.1.2.6网络设备防护49
8.2.1.2.7网络可用性50
8.2.1.3主机系统安全50
8.2.1.3.1身份鉴别50
8.2.1.3.2访问控制50
8.2.1.3.3安全审计51
8.2.1.3.4入侵防范51
8.2.1.3.5恶意代码防范51
8.2.1.3.6资源控制51
8.2.1.3.7主机可用性51
8.2.1.4应用安全52
8.2.1.4.1身份鉴别52
8.2.1.4.2访问控制52
8.2.1.4.3安全审计53
8.2.1.4.4剩余信息保护53
8.2.1.4.5通信完整性53
8.2.1.4.6通信保密性53
8.2.1.4.7软件容错53
8.2.1.4.8资源控制54
8.2.1.5数据安全54
8.2.1.5.1完整性54
8.2.1.5.2数据保密性54
8.2.1.5.3备份和恢复54
8.2.2管理要求55
8.2.2.1安全管理制度55
8.2.2.1.1管理制度55
8.2.2.1.2制定和发布55
8.2.2.1.3评审和修订55
8.2.2.2安全管理机构56
8.2.2.2.1岗位设置56
8.2.2.2.2人员配备56
8.2.2.2.3授权和审批56
8.2.2.2.4沟通和合作56
8.2.2.2.5审核和检查56
8.2.2.3人员安全管理57
8.2.2.3.1人员录用57
8.2.2.3.2人员离岗57
8.2.2.3.3人员考核57
8.2.2.3.4安全意识教育和培训57
8.2.2.3.5外部人员访问管理58
8.2.2.4系统建设管理58
8.2.2.4.1系统定级58
8.2.2.4.2安全方案设计58
8.2.2.4.3产品采购59
8.2.2.4.4自行软件开发59
8.2.2.4.5外包软件开发59
8.2.2.4.6工程实施59
8.2.2.4.7测试验收59
8.2.2.4.8系统交付60
8.2.2.4.9安全服务商选择60
8.2.2.5系统运维管理60
8.2.2.5.1环境管理60
8.2.2.5.2资产管理60
8.2.2.5.3介质管理61
8.2.2.5.4设备管理61
8.2.2.5.5监控管理61
8.2.2.5.6网络安全管理62
8.2.2.5.7系统安全管理62
8.2.2.5.8恶意代码防范管理63
8.2.2.5.9密码管理63
8.2.2.5.10变更管理63
8.2.2.5.11备份与恢复管理63
8.2.2.5.12安全事件处置64
8.2.2.5.13应急预案管理64
附录A基本要求的选择和使用65
1、判断医疗机构的信息系统是否具备定级的基本条件65
2、根据医疗机构的分级选择不同级别的基本要求66
3、部分区县中心(含)以上医疗机构可对二级(增强)要求进行选择使用66
附录B基本要求的应用注释67
B1.物理环境的应用注释67
B2.网络隔离的应用注释67
B3.版本变更的应用注释69
B4.数据加密的应用说明69
B5.其他69
前言
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号,以下简称“27号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
2004年9月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号,以下简称“66号文件”)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。
27号文件和66号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。
医疗机构作为涉及国计民生的重要组成部分,其安全保障事关社会稳定,必须按照27号文件要求,全面实施信息安全等级保护。
因此,组织编制《医疗机构信息系统安全等级保护基本要求》,提出针对医疗机构信息安全等级保护工作的基本思路和具体要求,指导上海市医疗机构的信息安全保障工作。
范围
本标准规定了医疗机构信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导本市医疗机构分等级的信息系统的安全建设和监督管理。
一般模型
医疗机构信息系统(以下简称HIS系统)模型的构造是对HIS系统进行威胁分析,从而确定安全保障目标的基础。
《HIS系统基本要求》将分别从技术、管理和业务应用三个层面提出各自的参考模型,具体如下。
技术模型、管理模型和应用模型既是三个相对独立的体系,又是两两相互作用,存在密切关系的有机耦合体。
技术模型支持应用模型的实现,管理模型是技术模型正常工作的保障,应用模型又是技术模型和管理模型支持和管理的核心。
技术模型
参考国际标准化组织(ISO)制定的开放系统互联标准(OSI)标准和TCP/IP标准对信息系统技术组成的构造方法,结合HIS系统业务应用分类,给出HIS系统的技术模型,如下图所示。
HIS系统的技术参考模型描述主要从物理环境、网络系统、主机系统、应用系统4个层面进行描述。
a.物理环境
包括机房、场地、布线、设备、存储媒体等内容。
b.网络系统
指HIS系统所基于的网络标准和网络结构;网络标准主要基于TCP/IP协议、IPX/SPX的网络标准,网络结构主要采用LAN、WAN的结构。
c.主机系统
主机系统指服务器操作系统平台及公共应用平台。
服务器操作系统主要采用服务器版的操作系统,通常有Windows、Unix等类型;公共应用平台主要有数据库平台和WEB、Mail、中间件等。
数据库平台一般采用可提供多个事务共享数据的网络数据库系统,常用的数据系统SQLSERVER,ORACLE,DB2,SYBASE等,数据访问通常采用两层或三层中间件结构。
d.应用系统
医院信息系统目前主要可分为综合业务、临床业务、行政管理三种类型。
管理模型
参考国家标准GB/T19716《信息技术信息安全管理实用规则》和ISO/IEC17799《Informationtechnology:
CodeofpracticeforInformationSecurityManagement》管理模型的构造方式,结合HIS系统业务管理特点,将管理模型分为信息安全管理基础(管理机构、管理制度、人员安全)和信息安全管理生命周期管理方法(建设管理、运维管理),具体如下图所示。
a.管理制度
主要包括管理制度、制定和发布、评审和修订3个控制点。
b.管理机构
主要包括岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查5个控制点。
c.人员安全
主要包括人员录用、人员离岗、人员考核、安全意识教育培训、外部人员访问管理等5个控制点。
d.建设管理
主要包括系统定级、方案设计、产品采购、自行开发、外包开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务11个控制点。
e.运维管理
主要包括环境管理、资产管理、介质管理、设备管理、监控管理、安全中心、网络安全管理、恶意代码防范管理、密码管理、变更管理、备份恢复管理、安全事件管理、应急预案管理等13个控制点。
应用模型
根据国家卫生部发布的《医院信息系统基本功能规范》和市卫生局发布的《上海市医院信息系统功能规范》有关要求,结合上海市医疗机构应用业务系统建设实际,按如下框架构建应用模型:
临床
CIS
其中综合业务部分分为:
其它
分系统
临床业务部分分为:
其它分系统
行政管理部分分为:
其它分系统
综合查询与决策分析部分分为:
其它分系统
知识库管理及辅助诊疗部分分为:
其它分系统
另外,外部接口部分包括:
电子病历共享交换接口
(以上粗体标注的为卫生部《医院信息系统基本功能规范》明确的子系统)
相应的数据类型大体可分为四类:
1.患者基本信息:
患者姓名、住址、联系方式等。
2.诊疗相关的信息:
包括电子病历、医嘱、检验结果等。
这类数据不仅要保证完整性,还要防篡改,修改后必须留有痕迹,而且还应做到隐私性保护。
3.经济相关的费用信息:
包括药品材料管理、检验价目等,要求受限访问,设限修改。
4.管理相关的业务信息:
包括人事数据、资产管理等。
定级指导
作为定级对象,《信息系统安全等级保护管理办法》中将信息系统划分为五级,前3级分别为:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
从本市医疗机构信息系统遭到破坏后的影响程度来看,基本只损害到本市部分公民的就医权利,造成对社会秩序和公共利益的损害不至“严重程度”,属于“第二级”范畴,且HIS系统对信息安全防护和服务能力保护的要求均较高,因此基本定位在LSA(2,2,2)。
但从医疗机构服务受众的多少(门诊量),HIS系统应用依赖的大小(全信息化、部分信息化、单机版)的不同,建议将第二级细分为:
二级(一般)和二级(增强),具体如下:
区县中心以下医疗信息系统定为:
二级(一般)
区县中心(含)以上医疗信息系统定为:
二级(增强)
威胁分析
不同等级系统所应对抗的威胁主要从威胁源(自然、环境、系统、人为)动机(不可抗外力、无意、有意)范围(局部、全局)能力(工具、技术、资源等)四个要素来考虑。
威胁源——是指任何能够导致非预期的不利事件发生的因素,通常分为自然(如自然灾害)环境(如电力故障)IT系统(如系统故障)和人员(如心怀不满的员工)四类。
动机——与威胁源和目标有着密切的联系,不同的威胁源对应不同的目标有着不同的动机,通常可分为不可抗外力(如自然灾害)无意的(如员工的疏忽大意)和故意的(如情报机构的信息收集活动)。
范围——是指威胁潜在的危害范畴,分为局部和整体两种情况;如病毒威胁,有些计算机病毒的传染性较弱,危害范围是有限的;但是蠕虫类病毒则相反,它们可以在网络中以惊人的速度迅速扩散并导致整个网络瘫痪。
能力——主要是针对威胁源为人的情况,它是衡量攻击成功可能性的主要因素。
能力主要体现在威胁源占有的计算资源的多少、工具的先进程度、人力资源(包括经验)等方面。
通过对威胁主要因素的分析,我们组合以上因素得到第二级的威胁:
1)危害范围为局部的环境或者设备故障;
2)无意的员工失误;
3)危害局部的较严重的自然事件;
4)具备中等能力、有预设目标的威胁情景。
在分析一般二级系统面临威胁的基础上,结合本市医疗机构信息系统行业应用的特点,给出HIS系统具体威胁分析的描述如下:
标号
威胁描述
备注
T2-1.
雷击、地震和台风等自然灾难
T2-2.
水患和火灾等灾害
T2-3.
高温、低温、多雨等原因导致温度、湿度异常
T2-4.
电压波动
T2-5.
供电系统故障
T2-6.
静电和外界电磁干扰
T2-7.
通信线路因线缆老化等原因导致损坏或传输质量下降
T2-8.
存储综合业务、临床业务等重要业务信息的介质老化或质量问题等导致不可用
行业特点
T2-9.
网络设备、系统设备及其他设备使用时间过长或质量
问题等导致硬件故障
T2-10.
系统软件、应用软件运行故障
T2-11.
系统软件、应用软件过度使用内存、CPU等系统资源
T2-12.
应用软件、系统软件缺陷导致数据丢失或系统运行中断
T2-13.
设施、通信线路、设备或存储介质因使用、维护或保养不当等原因导致故障
T2-14.
授权用户操作失误导致系统文件被覆盖、数据丢失或不能使用
T2-15.
授权用户对系统错误配置或更改
T2-16.
攻击者利用非法手段进入机房内部盗窃、破坏等
T2-17.
攻击者非法物理访问系统设备、网络设备或存储介质等
T2-18.
攻击者采用在通信线缆上搭接或切断等导致线路不可用
T2-19.
攻击者利用分布式拒绝服务攻击等拒绝服务攻击工具,恶意地消耗网络、操作系统和应用系统资源,导致拒绝服务
T2-20.
攻击者利用网络协议、操作系统、应用系统漏洞,越权访问文件、数据或其他资源
T2-21.
攻击者利用通过恶意代码或木马程序,对网络、操作系统或应用系统进行攻击
T2-22.
攻击者利用网络结构设计缺陷旁路安全策略,未授权访问网络
T2-23.
攻击者利用非法手段获得授权用户的鉴别信息或密码介质,访问网络、系统
T2-24.
攻击者利用伪造客户端进入综合业务、临床业务等系统,进行非法访问
行业特点
T2-25.
攻击者截获、读取、破解介质的信息或剩余信息,进行电子病历、药剂药品用量等敏感信息的窃取
行业特点
T2-26.
攻击者截获、读取、破解通信线路中的信息
T2-27.
由于网络设备、主机系统和应用软件的故障或双机热备失效,造成综合业务、临床业务等业务应用的中断
行业特点
T2-28.
PACS中dicom数据在传输和存储过程中被错误修改或丢失
行业特点
T2-29.
攻击者利用通用安全协议/算法/软件等缺陷,获取信息、解密密钥或破坏通信完整性
T2-30.
攻击者在软硬件分发环节(生产、运输等)中恶意更改软硬件
T2-31.
攻击者和内部人员否认自己的操作行为
T2-32.
攻击者和内部人员利用网络扩散病毒
T2-33.
内部人员下载、拷贝软件或文件,打开可疑邮件时引入病毒
T2-34.
内部人员未授权接入外部网络(如Internet)
T2-35.
内部人员利用技术或管理漏洞,未授权修改综合业务、临床业务系统数据或修改系统程序
行业特点
T2-36.
内部人员未授权访问电子病历、药材用量等敏感信息,将信息带出或通过网络传出,导致信息泄露
行业特点
安全目标
信息系统的安全保护能力包括对抗能力和恢复能力。
不同级别的信息系统应具备相应等级的安全保护能力,即应该具备不同的对抗能力和恢复能力。
将“能力”分级,是基于系统的保护对象不同,其重要程度也不相同,重要程度决定了系统所具有的能力也就有所不同。
一般来说,信息系统越重要,应具有的保护能力就越高。
因为系统越重要,其所伴随的遭到破坏的可能性越大,遭到破坏后的后果越严重,因此需要提高相应的安全保护能力。
HIS系统(二级)的安全保护能力主要体现为:
应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能(例如:
15分钟内故障无法排除应启动应急预案,及时恢复对外服务,如门急诊挂号收费服务)。
技术目标
标号
二级(一般)
二级(增强)
O2-1.
应具有抵抗一般强度地震、台风等自然灾难造成破坏的能力
应具有抵抗较强强度地震、台风等自然灾难造成破坏的能力
O2-2.
应具有防止雷击事件导致重要设备被破坏的能力
应具有防止雷击事件导致大面积设备被破坏的能力
O2-3.
应具有防水和防潮的能力
除二级(一般)要求外,还应具有对水患检测和报警的能力
O2-4.
应具有灭火的能力
应具有专用自动灭火的能力
O2-5.
应具有检测火灾和报警的能力
除二级(一般)要求外,还应具有防止火灾蔓延的能力
O2-6.
应具有温湿度自动检测和控制的能力
同二级(一般)要求
O2-7.
应具有防止电压波动的能力
同二级(一般)要求
O2-8.
应具有对抗短时间断电的能力
应具有对抗较长时间断电的能力
O2-9.
应具有防止静电导致重要设备被破坏的能力
应具有防止静电导致大面积设备被破坏的能力
O2-10.
具有基本的抗电磁干扰能力
除二级(一般)要求外,还应具有对重要设备和介质进行电磁屏蔽的能力
O2-11.
无
应具有防止强电磁场、强震动源和强噪声源等污染影响系统正常运行的能力
O2-12.
无
应具有监测通信线路传输状况的能力
O2-13.
无
应具有及时恢复正常通信的能力
O2-14.
应具有对传输和存储数据进行完整性检测的能力
除二级(一般)要求外,还应实现纠错能力
O2-15.
应具有对硬件故障产品进行替换的能力
同二级(一般)要求
O2-16.
应具有系统软件、应用软件容错的能力
同二级(一般)要求
O2-17.
应具有软件故障分析的能力
除二级(一般)要求外,还应具有软件状态监测和报警的能力
O2-18.
无
应具有合理使用和控制系统资源的能力
O2-19.
应具有记录用户操作行为的能力
除二级(一般)要求外,还应具有分析记录结果的能力
O2-20.
应具有对用户的误操作行为进行检测和报警的能力
除二级(一般)要求外,还应具有恢复能力
O2-21.
应具有控制机房进出的能力
应具有严格控制机房进出的能力
O2-22.
应具有防止设备、介质等丢失的能力
同二级(一般)要求
O2-23.
应具有控制机房内人员活动的能力
应具有严格控制机房内人员活动的能力
O2-24.
无
应具有实时监控机房内部活动的能力
O2-25.
无
应具有对物理入侵事件进行报警的能力
O2-26.
应具有控制接触重要设备、介质的能力
同二级(一般)要求
O2-27.
无
应具有对传输和存储中的信息进行保密性保护的能力
O2-28.
应具有对通信线路进行物理保护的能力
除二级(一般)要求外,还应具有使重要通信线路及时恢复的能力
升级会员 