医院等级保护建设网络安全建设解决方案.docx
《医院等级保护建设网络安全建设解决方案.docx》由会员分享,可在线阅读,更多相关《医院等级保护建设网络安全建设解决方案.docx(63页珍藏版)》请在冰豆网上搜索。
医院等级保护建设网络安全建设解决方案
医院等级保护建设网络安全建设解决方案
2018年6月
1概述
5
1.1
背景分析
5
1.2
等级保护建设目标和范围
6
1.3
方案设计
6
1.4
参照标准
6
2信息系统现状7
2.1
医院网络安全现状
7
2.2
医院网络安全风险分析
7
2.3
医院网络安全需求
8
2.3.1
物理安全
8
2.3.2
网络安全
9
2.3.3
主机安全
10
2.3.4
应用安全
11
2.3.5
数据安全
12
2.3.6
安全域划分及边界防护
12
3
网络安全建设必要性
14
3.1
等级保护要求
14
3.2
医院系统面临安全威胁
15
4
网络安全建设目标
15
4.1
满足合规性要求
15
4.2
等级保护技术要求
15
5
安全技术体系方案设计
19
5.1
物理层安全
19
5.2
网络层安全
19
5.2.1
安全域划分
19
5.2.2
边界访问控制
21
5.2.3
网络审计
22
5.2.4
网络入侵防范
22
5.2.5
边界恶意代码防范
23
5.2.6
网络设备保护
23
5.2.7
主机层安全
23
5.2.8
身份鉴别
23
5.2.9
强制访问控制
24
5.2.10
主机入侵防范
24
5.2.11
主机审计
25
5.2.12
恶意代码防范
25
5.2.13
剩余信息保护
25
5.2.14
资源控制
26
5.3应用层安全
26
5.3.1
身份鉴别
26
5.3.2
访问控制
26
5.3.3
安全审计
27
5.3.4
剩余信息保护
27
5.3.5
通信完整性
27
5.3.6
通信保密性
27
5.3.7
抗抵赖性
28
5.3.8
软件容错
28
5.3.9
资源控制
28
5.4数据层安全
29
5.4.1
数据完整性
29
5.4.2
数据保密性
29
5.4.3
备份和恢复
30
6
安全建设方案小结
31
1.1
安全服务汇总
31
1.2
安全产品汇总
31
1概述
1.1背景分析
《中华人民共和国计算机信息系统安全保护条例》
(国务院令第
147号)明确规定我国
“计算机信息系统实行安全等级保护”。
依据国务院147号令要求而制订发布的强制性国家
标准《计算机信息系统安全保护等级划分准则》
(GB17859-1999)为计算机信息系统安全保
护等级的划分奠定了技术基础。
《国家信息化领导小组关于加强信息安全保障工作的意见》
(中办发[2003]27号)明确指出实行信息安全等级保护,
“要重点保护基础信息网络和关系
国家安全、经济命脉、社会稳定等方面的重要信息系统,
抓紧建立信息安全等级保护制度”。
《关于信息安全等级保护工作的实施意见》
(公通字[2004]66号)和《信息安全等级保护管
理办法》(公通字[2007]43号)确定了实施信息安全等级保护制度的原则、工作职责划分、
实施要求和实施计划,明确了开展信息安全等级保护工作的基本内容、
工作流程、工作方法
等。
信息安全等级保护相关法规、
政策文件、国家标准和公共安全行业标准的出台,
为信息
安全等级保护工作的开展提供了法律、政策、标准保障。
2007年起公安部组织编制了《信
息安全技术信息系统等级保护安全设计技术要求》
,为已定级信息系统的设计、整改提供标
准依据,至2008年11月已报批为国标。
与此同时,2007年7月全国开展重要信息系统等级
保护定级工作,标志着信息安全等级保护工作在我国全面展开。
依据《计算机信息系统安全保护等级划分准则》,将信息系统安全保护能力划分为五个
等级;分别为:
第一级:
用户自主保护级;由用户来决定如何对资源进行保护,以及采用何种方式进行保护。
第二级:
系统审计保护级;本级的安全保护机制支持用户具有更强的自主保护能力。
特
别是具有访问审记能力,即它能创建、维护受保护对象的访问审计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,所有和安全相关的操作都能够被记
录下来,以便当系统发生安全问题时,可以根据审记记录,分析追查事故责任人。
第三级:
安全标记保护级;具有第二级系统审计保护级的所有功能,并对访问者及其访
问对象实施强制访问控制。
通过对访问者和访问对象指定不同安全标记,限制访问者的权限。
第四级:
结构化保护级;将前三级的安全保护能力扩展到所有访问者和访问对象,支持
形式化的安全保护策略。
其本身构造也是结构化的,以使之具有相当的抗渗透能力。
本级的
安全保护机制能够使信息系统实施一种系统化的安全保护。
第五级:
访问验证保护级;具备第四级的所有功能,还具有仲裁访问者能否访问某些对
象的能力。
为此,本级的安全保护机制不能被攻击、被篡改的,具有极强的抗渗透能力。
目前,全国范围内的定级工作已经基本完成,2009年起将依据标准要求对已定级信息
系统进行整改,以达到规范安全管理、提高信息安全保障能力到应有水平的目标
1.2等级保护建设目标和范围
为了落实和贯彻自治区政府、公安部、保密局、卫生部、自治区卫生厅等国家有关部门
信息安全等级保护工作要求,全面完善医院信息安全防护体系,落实“分区分域、等级防护、
多层防御”的安全防护策略,确保等级保护工作在本单位的顺利实施,提高整体信息安全防
护水平,开展等级保护建设工作。
我们前期对医院网络进行了勘查分析,了解与等级保护要求之间的差距,提出安全建设
方案。
本方案主要遵循
GB/T22239-2008《信息安全技术信息安全等级保护基本要求》
、《信
息安全等级保护管理办法》
公通字
[2007]43
号)、《信息安全风险评估规范》
(GB/T
20984-2007)、《卫生行业信息安全等级保护工作的指导意见》标准等。
实施的范围包括:
医院网站安全防护、医院各个信息系统的安全防护。
1.3方案设计
根据等级保护要求以及前期分析了解的结果,医院信息系统存在的漏洞、弱点提出相关的整改意见,结合等级保护建设标准,并最终形成安全解决方案。
1.4参照标准
GB/T22239-2008《信息安全技术信息安全等级保护基本要求》
《信息安全等级保护管理办法》(公通字[2007]43号)
《信息安全技术信息安全风险评估规范》(GB/T20984-2007)
《卫生行业信息安全等级保护工作的指导意见》
2信息系统现状
随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,网络正深刻影响并改
变着人类的生活和工作方式。
医院已经逐步建立起依赖于网络的医院业务办公信息系统,
比如门户WEB应用、HIS系统、LIS系统、电子病历系统、PACS系统等等,在给我们带
来便利的同时,安全也面临更大的挑战。
对于医疗机构而言,数字化、网络化、信息化是医院实现不断发展的重要形式和发展
方向,而网络信息功能和内容是通过WEB应用形式表现出来的。
外界对医院信息化的了解
也是从WEB应用开始的,从网上预约挂号、网上查询检查结果等等一系列工作都是通过
WEB
来实现的,医院门户
WEB
应用是医院现代化科技服务的窗口
也是医院对外宣传的窗
口。
而近年来,医院WEB应用的公众性质使其成为攻击和威胁的主要目标,医院WEB应
用所面临的Web应用安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用等,极大地困扰着医院和公众用户,给医院的服务形象、信息网络和核心业务造成严重的破坏。
因此,一个优秀的WEB应用安全建设是医院信息化是否能取得成效、充分发挥职能的基础,
而合规、有效、全面的信息安全体系建设对保障其正常运行至关重要。
2.1医院网络安全现状
目前医疗行业各大医院的信息化办公系统如:
HIS系统、LIS系统、电子病历系统、PACS
系统、OA系统等各大业务系统全部上线运行,给医院的正常办公业务带来极大的便利,给
医生节省更多的时间来治疗患者,同时给患者带来便利的就医环节;有的医院由于发展需要,建立了自己独立的门户网站,对外提供患者网上预约挂号,检查结果查询等功能,在几大系
统中,医院OA系统由于内外网同时需要运行业务,因此医院设立了DMZ区,DMZ区放置医院OA系统服务器、对外网站服务器,以后随着医疗信息化的发展,全疆医院要实现电子病历共享,为了给病人提供更好的服务,各大医院将逐步实现网上预约挂号、网上查询等业务,这就需要医院内外网连通,实现内外网数据互通共享,因此内外网互联的安全建设非常
重要,如何在内外网互联时保证内网信息数据的安全性、完整性是必须考虑的问题。
2.2医院网络安全风险分析
通过对医院网络现状的了解及分析,主要分为以下两大类安全威胁:
外部攻击
由于内网与外网互通,并且在出内外网之间处没有有效的安全防护设施,内网信息系统
面临很大威胁,极易遭到外网中黑客攻击、DDoS攻击、木马、病毒等恶意攻击,破坏各类
主机及服务器,导致医院网络性能下降、服务质量降低、信息安全没有保障。
WEB应用遭
受大量具有针对性的攻击,造成网站瘫痪,信息泄露,甚至网页被篡改。
内部威胁
局域网内部没有防护设备及有效隔离,一旦某个用户有意或是无意将感染了病毒、木马的移动存储设备接入内网,将造成整个网络木马病毒泛滥,给整个网络带来毁灭性打击。
2.3医院网络安全需求
按照《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》,通过对医院网站和数据中心的安全状况评估、网络脆弱性扫描、本地安全审计、文档审查等
方式,进行物理层面、网络层面、应用层面、主机层面、数据安全及备份、安全管理层面进
行安全评估,最终寻找到以下差距:
2.3.1物理安全
目前现有的物理安全机制不够完善,在物理安全的设计和施工中,需要考虑的安全要素包括:
机房场地选择安全、机房内部安全防护、机房防火、机房供、配电、机房空调、降温、机房防水与防潮、机房防静电、机房接地与防雷击、机房电磁防护。
需要优先考虑机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
需要在机房出入口应安排专人值守,控制、鉴别和记录进入的人员。
需要将通信线缆铺设在隐蔽处,例如:
铺设在地下或管道中。
需要对介质分类标识,存储在介质库或档案室中。
需要在主机房安装必要的防盗报警设施。
机房建筑需要设置避雷装置及设置交流电源地线。
机房需要设置灭火设备和火灾自动报警系统。
在水管安装时,需要考虑不得穿过机房屋顶和活动地板下。
需要采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
需要采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
需要在关键设备上采用必要的接地防静电措施。
考虑机房需要设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
需要提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
需要考虑电源线和通信线缆应隔离铺设,避免互相干扰。
机房场地避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
需要对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;
重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
需要利用光、电等技术设置机房防盗报警系统,对机房设置监控报警系统。
需要设置防雷保安器,防止感应雷。
考虑机房设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。
考虑机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料,机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
需要安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
考虑机房采用防静电地板。
考虑机房设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
需要设置冗余或并行的电力电缆线路为计算机系统供电,应建立备用供电系统。
需要采用接地方式防止外界电磁干扰和设备寄生耦合干扰,并对关键设备和磁介质实施电磁屏蔽。
2.3.2网络安全
目前现有的通信网络安全机制不够完善,需依据《信息安全技术信息系统安全等
级保护基本要求》第三级基本要求加强现有网络安全机制。
需要对用户数据在网络传输中的数据提供保密性及完整性保护。
需要对通信网络进行安全审计,
其网络系统中的网络设备运行状况、
网络流量、用
户行为等进行日志记录,
并对确认为违规的用户操作行为需要提供报警,
并对审计
信息进行存储备份。
需要考虑网络边界访问控制对会话状态信息为数据流提供明确的允许/拒绝访问的
能力,控制粒度为端口级。
需要对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、
POP3等协议命令级的控制。
网络边界对入侵防范措施不够完善,考虑检测到攻击行为时,记录攻击源IP、攻
击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
考虑网络边界对恶意代码防范能力应提供及时检测和清除,维护病毒库的升级更新。
2.3.3主机安全
目前现有的主机安全机制不够完善,需依据《信息安全技术信息系统安全等级保
护基本要求》第三级基本要求加强现有主机安全机制。
1)用户身份鉴别
需要对用户登录过程采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
2)标记和强制访问控制
系统资源访问控制需要对重要信息资源设置敏感标记,需要依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
3)
系统安全审计
系统安全审计需要覆盖到服务器上的每个操作系统用户和数据库用户,
应保护审计
进程,避免受到未预期的中断。
审计记录包括安全事件的主体、客体、时间、类型和结果等内容;
考虑对各审计记录,应提供审计记录查询、分类和存储保护。
4)
用户数据完整性保护
需要采用各种常规校验机制,对系统安全计算环境中存储和传输的用户数据的完整性进行检验,能发现完整性被破坏的情况。
5)用户数据保密性保护
需要采密码技术支持的保密性保护机制,为安全计算环境中存储和传输的用户数据
进行保密性保护。
6)剩余信息保护
7)
剩余信息保护应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释
放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存
中。
入侵防范
需要能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类
型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。
应能够对重要
程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施。
8)可信执行程序保护
需要构建从操作系统到上层应用的信任链,其中可采用可信计算技术,以实现系统运行
过程中可执行程序的完整性检验,防范恶意代码等攻击,并在检测到其完整性受到破坏时,
应采取有效的恢复措施。
2.3.4应用安全
目前现有的应用安全机制不够完善,需依据《信息安全技术护基本要求》第三级基本要求的加强现有应用安全机制。
信息系统安全等级保
需要对用户登录过程提供用户身份标识唯一和鉴别信息复杂度检查功能,考虑保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用。
考虑对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。
自主访问控制,需要依据安全策略控制用户对文件、数据库表等客体的访问,访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作。
考虑应用系统安全审计应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计。
考虑对重要信息资源设置敏感标记的功能,并依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
考虑提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。
剩余信息保护:
应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中。
通信完整性:
应采用密码技术保证通信过程中数据的完整性。
通信保密性:
应对通信过程中的整个报文或会话过程进行加密。
抗抵赖:
应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功
能;应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。
软件容错:
应提供自动保护功能,当故障发生时自动保护当前所有状态,保证
系统能够进行恢复。
资源控制:
应能够对一个时间段内可能的并发会话连接数进行限制,应能够对
一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额,应能够对系统
服务水平降低到预先规定的最小值进行检测和报警,应提供服务优先级设定功能,
并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统
资源。
2.3.5数据安全
目前数据安全存在的安全隐患,业务数据在传输过程中完整性受到破坏,数据存
储没有经过加密处理,导致数据泄露。
数据没有提供备份,导致重要数据丢失几种现
象。
因此需要在现有数据安全上增加以下几种保护:
数据完整性:
应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过
程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。
能够检
测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,
并在检测到完整性错误时采取必要的恢复措施。
数据保密性:
应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要
业务数据传输保密性;应采用加密或其他保护措施实现系统管理数据、鉴别信
息和重要业务数据存储保密性。
备份和恢复:
应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地;
应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障;应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。
2.3.6安全域划分及边界防护
依据等级保护要求,安全分区、分级、分域及分层防护的原则,在进行安全防护建设之
前,首先实现对信息系统的安全域划分。
依据总体方案中“二级系统统一成域,三级系统独
立分域”的要求,主要采用物理防火墙隔离、虚拟防火墙隔离或Vlan隔离等形式进行安全域
划分。
主要分为以下安全域:
级别
安全区域
备注
二级
集中运维管理区
如:
网络管理、漏洞扫描等应用
三级
内部服务器区
如:
对内提供服务的应用系统
三级
外部服务器区
如:
通过互联网对外提供服务的应用
系统
2.3.6.1安全域的实现形式
安全域实现方式以划分逻辑区域为主,旨在实现各安全区域的逻辑划分,明确边界以对
各安全域分别防护,并且进行域间边界控制,安全域的实体展现为一个或多个物理网段或逻
辑网段的集合。
对新疆一附院信息系统安全域的划分手段采用如下方式:
防火墙安全隔离:
采用双接口或多接口防火墙进行边界隔离,在每个安全域采用多接口防火墙的每个接口分别与不同的安全域连接以进行访问控制。
2.3.6.2划分安全域,明确保护边界
采用将三级系统划分为独立安全域。
二级系统安全域、桌面安全域、公共应用服务安
全域。
二级系统安全域包含除三级系统外的所有应用系统服务器;集中运维管理安全域包含
各业务日志管理地、集中运维、日志管理、备份管理、VPN管理等。
部署访问控制设备或设置访问控制规则在各安全域边界设置访问控制规则,其中安全
域边界按照“安全域边界”章节所列举的边界进行防护。
访问控制规则可以采用交换机访问
控制策略或模块化逻辑防火墙的形式实现。
二级系统安全域边界访问控制规则可以通过交换机的访问控制规则实现,访问控制规
则满足如下条件:
根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度
为网段级。
按用户和系统之间的允许访问规则,控制粒度为单个用户。
三级系统安全域边界的安全防护需满足如下要求:
根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;对
进出网络的信息内容进行过滤,实现对应用层协议命令级的控制。
入侵检测系统部署:
二级系统、三级系统安全域内应部署入侵防御系统,并根据业务系统情况制定入侵防
御策略,检测范围应包含二级系统服务器、三级系统服务器、其他应用服务器,入侵防御应
满足如下要求:
定制入侵检测策略,如根据所检测的源、目的地址及端口号,所需监测的服务类型以定
制入侵检测规则;定制入侵检测重要事件即时报警策略;入侵检测至少可监视以下攻击
行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻
击和网络蠕虫攻击等;当检测到攻击行为时,
入侵检测系统应当记录攻击源
IP、攻击类型、
攻击目的
IP、攻击时间,在发生严重入侵事件时应能提供及时的报警信息。
3网络安全建设必要性
3.1等级保护要求
根据等级保护相关要求,应满足等级保护二级指导保护级相关要求,并根据《信息系统
安全等级保护基本要求》及其他相关技术规范进行整改,应能够防护系统免受来自计算机病
毒等恶意代码的侵害和外部小型组织的(如自发的三两人组成的黑客组织)、拥有少量资源(如个别人员能力、公开可获或特定开发