等级保护二级建设方案医卫行业.docx
《等级保护二级建设方案医卫行业.docx》由会员分享,可在线阅读,更多相关《等级保护二级建设方案医卫行业.docx(29页珍藏版)》请在冰豆网上搜索。
等级保护二级建设方案医卫行业
医疗卫生行业
等级(二级)保护建设方案
华创科技
2013年12月22日
日期
版本
创建者
修改者
发布者
级别
2013/12/1
V1.0
一、项目概述
项目简单介绍……..
随着医疗信息系统HMIS应用范围不断推广扩大,我国许多医院建立了以院长为中心的医院信息网络化管理决策机制,并将门诊管理、住院管理、医技管理、职能科室管理等各部门通过计算机网络有机集成在一起,医院信息化管理系统通过网络覆盖医院的每个部门,涵盖病人来院就诊的各个环节。
然而,在信息安全方面,我国的医院信息安全建设尚处于初级阶段,信息安全的认识、投入上更是淡漠,重投入轻防护,信息系统安全问题频频告急,严重影响到医院正常运行。
应该说,基础信息网络与重要信息系统的作用日益增强,已成为国家和社会发展、人民生活需要的重要资源。
保障基础网络和重要信息系统安全,更好地维护国家安全、保障社会稳定和人民经济生活的需要,是信息化发展中必须解决的重大问题。
二、政策要求
等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的是,等级保护是围绕信息安全保障全过程的一项基础性工作。
通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决信息安全问题的一个非常有效的方法。
信息安全等级保护对组织信息安全具有重大的意义。
1994年国务院发布的147号令《中华人民共和国计算机信息系统安全保护条例》首次提出计算机信息系统实行安全等级保护以来,多项国家文件和政策均提到了等级保护工作的重要性。
1999年9月国家质量技术监督局发布了由公安部提出并组织制定的强制性国家标准GB17859-1999《计算机信息系统安全等级保护划分准则》,为等级保护这一安全国策给出了技术角度的诠释。
2003年中共中央办公厅、国务院办公厅联合转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
2004年公安部、国家保密局、国家密码管理局、国务院信息办联合印发了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),明确了信息安全等级保护制度的主要工作方向和工作内容,规定了等级保护实施的具体步骤和时间表。
2007年6月,四部委联合下发《信息安全等级保护管理办法》(公通字[2007]43号),标志着等级保护的全面推广落实。
43号文明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务等。
同时,四部委联合下发了“关于开展全国重要信息系统安全等级保护定级工作的通知”(公信安[2007]861号),全面部署了全国范围内的重要信息系统定级工作。
近年来信息安全等级保护工作取得的了一定成效,初步建立了一系列执行标准:
《信息系统安全等级保护定级指南》,《信息系统安全等级保护基本要求》;《信息系统安全等级保护实施指南》,《信息系统等级保护安全设计技术要求》;《信息系统安全等级保护测评要求》,《信息系统安全等级保护测评指南》等。
2007年下半年开始,全国范围内的重要信息系统普遍开展了信息安全等级保护定级工作,到现在为止定级工作基本上已经在重要行业初步完成,全面进入整改阶段。
2011年卫生部发布《卫生行业信息安全等级保护工作的指导意见》对医疗卫生行业等级保护相关工作提出了进一步的、明确的要求,并指出该项工作的重要性与迫切性。
在国家大力推行信息安全等级保护制度的背景下,华创科技长期深度参与、密切跟踪国家等级保护相关政策,并作为信息安全企业的代表参与了等级保护相关标准的起草编制工作,在等级保护的定级、整改、评估等多项工作中积累了丰富的经验。
在此基础上,华创科技推出了等级保护整体解决方案,为用户提供等级保护咨询服务,依据国家等级保护相关要求,结合信息系统安全建设最佳实践,紧跟国家等级保护的具体实施步骤,为客户提供多种类型的咨询服务、整体安全解决方案、基于等级保护的安全服务平台(SSP)、入侵检测系统(IDS)等满足不同客户不同层次和不同阶段的等级保护需求服务,全面满足国家政策要求的合规性,保障业务健康、稳定、持续运营。
三、方案目标与范围
为了落实和贯彻公安部、国家保密局、国家密码管理局、卫生部等国家有关部门信息安全等级保护工作要求,全面完善信息安全防护体系,提高整体信息安全防护水平,开展等级保护建设工作。
本方案主要遵循GB/T22239-2008《信息安全技术信息安全等级保护基本要求》、《信息安全等级保护管理办法》(公通字[2007]43号)、《信息安全技术信息安全风险评估规范》(GB/T20984-2007)、《卫生行业信息安全等级保护工作的指导意见》、ISO/IEC27001信息安全管理体系标准和ISO/IEC13335信息安全管理标准等。
实施范围:
本单位信息系统、信息系统基础架构、信息系统运维与管理。
图表等级保护与信息系统逻辑关系图
通过本方案的建设实施,进一步提高信息系统等级保护符合性要求,将整个信息系统的安全状况提升到一个较高的水平,并尽可能地消除或降低信息系统的安全风险。
四、方案设计依据
根据等级保护前期调研结果、信息系统目前存在的漏洞、弱点等提出相关的整改意见,并最终形成安全解决方案。
方案依据以下标准与要求:
ØGB/T22239-2008《信息安全技术信息安全等级保护基本要求》
Ø《信息安全技术信息系统等级保护安全设计技术要求》
Ø《信息安全等级保护管理办法》(公通字[2007]43号)
Ø《信息安全技术信息安全风险评估规范》(GB/T20984-2007)
Ø《卫生行业信息安全等级保护工作的指导意见》
ØISO/IEC27001信息安全管理体系标准
ØISO/IEC13335信息安全管理标准
五、信息安全二级-技术方案
针对《信息安全技术信息安全等级保护基本要求》中二级系统各项指标和要求,为保障其稳定、安全运行,本方案从物理安全、网络安全、主机系统、应用安全和数据安全与备份等五个层面进行等级保护建设。
●物理安全
物理安全均按照《信息安全技术信息安全等级保护基本要求》中二级系统要求进行建设。
类别
技术目标
具体目标
本单位系统现状
解决方案
物
理
安
全
物理位置的选择(G2)
机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
物理访问控制(G2)
机房出入口应安排专人值守,控制、鉴别和记录进入的人员;
需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
未知
机房视频图像监控系统
防盗窃和防破坏(G2)
应将主要设备放置在机房内;
应将设备或主要部件进行固定,并设置明显的不易除去的标记;
应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
应对介质分类标识,存储在介质库或档案室中;
主机房应安装必要的防盗报警设施。
未知
防雷击(G2)
机房建筑应设置避雷装置;
未知
避雷设备
机房应设置交流电源地线。
防火(G2)
机房应设置灭火设备和火灾自动报警系统。
未知
火灾自动消防系统
防水和防潮(G2)
水管安装,不得穿过机房屋顶和活动地板下;
应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
防静电(G2)
关键设备应采用必要的接地防静电措施。
温湿度控制(G2)
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
电力供应(A2)
应在机房供电线路上配置稳压器和过电压防护设备;
未知
稳压器和过电压防护设备
应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
未知
使用UPS、蓄电池、发电设备
电磁防护(S2)
电源线和通信线缆应隔离铺设,避免互相干扰;
●网络安全
类别
建设目标
具体目标
本单位系统现状
建设方案
网
络
安
全
结构安全(G2)
应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
未知
网络运维监测系统
应保证接入网络和核心网络的带宽满足业务高峰期需要;
未知
网络带宽规划、设计;
QoS;
带宽管理
应绘制与当前运行情况相符的网络拓扑结构图;
未知
手工绘制;
拓扑自动发现系统(网络运维监测系统一般包括该功能)
应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
未知
交换机配置vlan;
IP地址规划
访问控制(G2)
应在网络边界部署访问控制设备,启用访问控制功能;
仅具备简单访问控制功能
通过专业防火墙进行防护与过滤;
可网管交换机、路由器的安全设置,例如ACL
应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级;
应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
应限制具有拨号访问权限的用户数量。
安全审计(G2)
应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
无
网络运行监控系统(网络运维监测系统一般包括该功能);
网络流量分析系统;
上网行为审计系统
审计记录应包括:
事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
边界完整性检查(S2)
应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。
对外只开放http服务
非法外联监测系统
入侵防范(G2)
应在网络边界处监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
仅具有简单防火墙功能
建议在网络边界部署专业IDS、IPS、UTM设备
恶意代码防范(G2)
应在网络边界处对恶意代码进行检测和清除;
无
建议网络边界部署网络防毒墙
应维护恶意代码库的升级和检测系统的更新。
网络设备防护(G2)
应对登录网络设备的用户进行身份鉴别;
未知
启用交换机安全配置:
Ipsec、Ssh、Https、超时会话设置、登陆终端标识限制
应对网络设备的管理员登录地址进行限制;
网络设备用户的标识应唯一;
身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
●主机安全
结合《信息安全技术信息安全等级保护基本要求》,从主机身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等方面给出二级系统主机等级保护建设方案,对主机操作系统、数据库系统进行安全加固,使之满足《信息安全技术信息安全等级保护基本要求》中关于主机的安全防护要求。
类别
建设目标
具体建设目标
本单位系统现状
建设方案
主
机
安
全
身份鉴别(S2)
应对登录操作系统和数据库系统的用户进行身份标识和鉴别;
Ca认证
采用双因素认证系统;
操作系统安全策略设置;
数据库系统安全设置
操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
访问控制(S2)
应启用访问控制功能,依据安全策略控制用户对资源的访问;
未知
操作系统安全设置;
数据库系统安全设置;
应实现操作系统和数据库系统特权用户的权限分离;
应限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;
应及时删除多余的、过期的帐户,避免共享帐户的存在。
安全审计(G2)
审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;
未采用审计系统
服务器运行监控系统;
服务器日志采集系统;
数据库审计系统;
SOC(包括以上3个系统功能)
审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
应能够根据记录数据进行分析,并生成审计报表;
应保护审计记录,避免受到未预期的删除、修改或覆盖等。
应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
入侵防范(G2)
操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
无
操作系统补丁检测与升级系统;
恶意代码防范(G2)
应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;
未知
网络版防病毒软件
主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;
应支持防恶意代码的统一管理。
资源控制(A2)
应通过设定终端接入方式、网络地址范围等条件限制终端登录;
对外只提供http服务
服务器运维监测系统
应根据安全策略设置登录终端的操作超时锁定;
应限制单个用户对系统资源的最大或最小使用限度;
●应用安全
根据等级保护前期调研结果,结合《信息安全技术信息安全等级保护基本要求》,针对二级系统应用安全从身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错性与资源控制等几个方面提出相应的整改方案,进行应用系统安全等级保护建设与改造。
类别
建设目标
具体建设目标
本单位系统现状
建设方案
应
用
安
全
身份鉴别(S2)
应提供专用的登录控制模块对登录用户进行身份标识和鉴别;
Ca认证系统
应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;
应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
访问控制(S2)
应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;
未知
可通过部署堡垒机对访问进行控制、审计
访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;
应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;
应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
安全审计(G2)
应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;
未知
同上,
应保证无法删除、修改或覆盖审计记录;
审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等。
应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。
通信完整性(S2)
应采用校验码技术保证通信过程中数据的完整性。
未知
例如MD5消息摘要算法
通信保密性(S2)
在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;
未知
数字签名/身份认证;
通信加密
应对通信过程中的敏感信息字段进行加密。
应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。
软件容错(A2)
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;
未知
✓依赖于应用系统自身容错能力
在故障发生时,应用系统应能够继续提供一部分功能,确保能够实施必要的措施。
资源控制(A2)
当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;
未知
✓依赖于应用系统自身安全设计
应能够对系统的最大并发会话连接数进行限制;
应能够对单个帐户的多重并发会话进行限制。
●数据安全及备份恢复
根据等级保护前期调研结果,结合《信息安全技术信息安全等级保护基本要求》对二级系统数据安全及备份的要求,从数据完整性、数据保密性和备份与恢复等几个方面提出相应的整改方案,进行数据安全和备份安全等级保护建设与改造。
类别
建设目标
具体建设目标
本单位系统现状
建设方案
数
据
安
全
及
备
份
恢
复
数据完整性(S2)
应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。
未知
通过协议分析或数据抓包软件进行数据完整性分析
数据保密性(S2)
应采用加密或其他保护措施实现鉴别信息的存储保密性。
未知
存储加密系统
备份和恢复(A2)
应能够对重要信息进行备份和恢复;
未知
磁带库、光盘库、存储阵列;
备份与恢复
软件:
Symantec/EMC/CA;
线路冗余、网络设备热备、服务器热备或集群
应提供关键网络设备、通信线路和数据处理系统的硬件冗余,保证系统的可用性。
六、信息安全二级-管理方案
按照国家有关规定,依据《基本要求》,参照《信息系统安全管理要求》等标准规范要求,开展信息系统二级等级保护安全管理制度建设工作。
工作流程见下图。
图:
信息系统安全管理建设整改工作流程
●安全管理制度
根据安全管理需求,确定安全管理目标和安全策略,针对信息系统的各类管理活动,制定人员安全管理制度、系统建设管理制度、系统运维管理制度、定期检查制度等,规范安全管理人员或操作人员的操作规程等,形成安全管理体系。
具体依据《基本要求》中的“安全管理制度”内容,同时可以参照《信息系统安全管理要求》等。
●安全管理机构
组建本单位的信息安全管理机构,该机构应由主管本单位信息安全工作的领导、负责具体工作的网络、安全管理人员组成,责任到人,具有领导信息安全工作、制定安全策略、监督管理等职能。
组建信息安全管理机构及其机构组成,人员设置,并文件化;
组建的信息安全管理机构有明确的信息安全管理职能(包括物理安全管理、身份鉴别管理、访问控制管理、安全审计管理、安全教育与培训等);
组建的信息安全管理机构是自上而下,分级负责的。
●人员安全管理
人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。
规范人员录用、离岗、过程,关键岗位签署保密协议,对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训,对关键岗位的人员进行全面、严格的安全审查和技能考核。
对外部人员允许访问的区域、系统、设备、信息等进行控制。
具体依据《基本要求》中的“人员安全管理”内容,同时可以参照《信息系统安全管理要求》等。
●系统建设管理
确定信息系统安全等级,对定级结果的合理性和正确性进行论证和审定,定级结果需经过公安部门和卫生主管部门的批准。
根据安全级别,指定和授权专门的部门对信息系统的安全建设进行总体规划和详细的方案设计,组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件进行论证和审定,依据安全测评、安全评估的结果定期调整和修订。
在产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、安全评测、安全服务商选择等方面需满足《信息安全等级保护基本要求》
●系统运维管理
✈环境和资产安全管理
明确环境(包括主机房、辅机房、办公环境等)安全管理的责任部门或责任人,加强对人员出入、来访人员的控制,对有关物理访问、物品进出和环境安全等方面作出规定。
对重要区域设置门禁控制手段,或使用视频监控等措施。
明确资产(包括介质、设备、设施、数据和信息等)安全管理的责任部门或责任人,对资产进行分类、标识,编制与信息系统相关的软件资产、硬件资产等资产清单。
✈设备和介质安全管理
明确配套设施、软硬件设备管理、维护的责任部门或责任人,对信息系统的各种软硬件设备采购、发放、领用、维护和维修等过程进行控制,对介质的存放、使用、维护和销毁等方面作出规定,加强对涉外维修、敏感数据销毁等过程的监督控制。
✈日常运行维护
明确网络、系统日常运行维护的责任部门或责任人,对运行管理中的日常操作、账号管理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管理,制订相应的管理制度和操作规程并落实执行。
✈事件处置与应急响应
结合信息系统安全保护等级,制定信息安全事件分级应急处置预案,明确应急处置策略,落实应急指挥部门、执行部门和技术支撑部门,建立应急协调机制。
落实安全事件报告制度。
✈灾难备份
要对关键信息系统采取灾难备份措施,防止重大事故、事件发生。
识别需要定期备份的重要业务信息、系统数据及软件系统等,制定数据的备份策略和恢复策略,建立备份与恢复管理相关的安全管理制度。
✈安全监测
开展信息系统实时安全监测,实现对物理环境、通信线路、主机、网络设备、用户行为和业务应用等的监测和报警,及时发现设备故障、病毒入侵、黑客攻击、误用和误操作等安全事件,以便及时对安全事件进行响应与处置。
七、安全服务平台
为满足等级保护基本要求,应建立和完善安全运维体系,包括:
环境管理、资产管理、介质管理、设备管理、网络与系统安全管理、系统安全管理、备份与恢复、恶意代码防范、变更管理、信息安全事件管理等。
华创科技安全服务平台模型如下图所示。
华创科技安全服务平台(DC-SSP)由安全监控、日志事件管理和工单和流程管理三部分组成。
1
2
3
4
5
6
7
7.1安全运维服务的特点
1
2
3
4
5
6
7
7.1
7.1.1满足信息系统等级保护要求
客户通过部署安全服务平台(SSP),可以针对国家信息系统等级化保护二级以上基本要求中6大类的主要控制点进行完善和增强。
如下表所示,显示了能够在安全服务平台(SSP)中得以体现的等级保护的基本要求项。
基本要求
第一级
第二级
第三级
第四级
技术要求
物理安全
•物理安全监控与告警
•物理安全监控与告警
网络安全
•拓扑管理
•设备和应用监控
•IP地址管理
•安全审计
•设备和应用监控
•IP地址管理
•安全审计
•流量监控
•地址欺骗监控
•设备和应用监控
•IP地址管理
•安全审计
•流量监控
•地址欺骗监控
主机安全
•安全审计
•安全审计
•资源监控
•安全审计
•资源监控
应用安全
•安全审计
•安全审计
•资源监控
•安全审计
•资源监控
数据安全
•信息完整性保护
•信息完整性保护
•信息完整性保护
•信息完整性保护
管理要求
系统运
维管理
•资产管理
•资产管理
•设备管理
•网络监控
•设备配置信息监控
•日志审计
•告警事件存储
•资产管理
•物理环境监控
•设备管理
•网络监控
•设备配置信息监控
•日志审计
•告
升级会员 