慈溪市信息中心人民医院.docx

1、慈溪市信息中心人民医院建设方案慈溪市观海卫镇医院基础支撑系统信息安全等级保护（二级）整改项目1.现状1.1信息系统现状目前慈溪市观海卫镇医院基础支撑系统现有设备有：1)服务器9台；2)网络设备若干：路由器、交换机；3)安全设备有：1台防火墙、终端杀毒软件、上网行为管理；4)存储设备：1台1.2.网络系统现状慈溪市观海卫镇医院的网络系统整体构架采用二层层次化模型网络架构，即由核心层、接入层组成。网络现状：核心层：核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。公卫网核心，由1台华为S5700和1台H3CS5500组成。接入层：接入层由10台H3C S3100 V2接入交换机作为本

2、院内各终端接入汇聚，为各区域提供接入。在华为S5700和H3C S5500核心交换机上划分VLAN，内网业务系统服务器、接入层交换机及其他设备都直接接入至核心交换机上。 安全现状：在整体网络中公卫网、外网边界处各部署一台火墙做安全防护，但由于公卫网处部署的防火墙使用年限较长，除此整体网络无其他安全设备，安全防护体系不够完善、区域划分不合理，现状拓扑图如下： 图表 1 现状拓扑图1.3 主机系统现状慈溪市观海卫镇医院的业务系统主要有HIS、LIS、PACS和其他非关键业务应用等，部署于多台服务器上。服务器为机架式服务器，固定于标准机柜与固定位置，有标识区分。服务器操作系统采用微软的Windows

3、 Server操作系统及Linux。 慈溪市观海卫镇医院办公终端约为200台，win7、XP系统各占一半,主机系统没有进行过定期更新补丁，终端有安装杀毒软件。2. 现状与差距分析2.1物理安全现状与差距分析慈溪市观海卫镇医院机房面积40m左右。机房进出未进行人员记录，存在一些物理安全隐患。机房未配备火灾自动消防系统。参照以下标准进行核查、整改；根据信息安全等级保护（第二级）中对物理安全相关项（防火、防雷、防水、防磁及电力供应等）存在些许差距。详见下表差距分析。序号控制点二级要求差距分析备注物理访问控制机房出入口应安排专人值守，控差距制、鉴别和记录进入的人员。需安装门禁系统，控制、鉴别和记录进入

4、的人员。未满足2防火a) 机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；需配备全新的火灾自动消防系统未满足2.2网络安全区域边界现状与分析慈溪市观海卫镇医院信息网络系统目前虽然内外网各配置一台防火墙作为边界网络的安全防护，医院公卫网主机终端部署终端杀毒软件，但是由于设备性能达不到安全防护，主要表现出以下问题点：1、结构安全方面：应保证网络设备的业务处理能力满足业务高峰期需要；网络各个部分的带宽满足业务高峰期需要。2、访问控制方面：应在网络边界部署访问控制设备，根据访问控制策略设置访问控制规则，启用访问控制功能。应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控

5、制粒度为网段级。3、入侵防范方面: 应在关键网络节点处监视网络攻击行为. 端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。4、恶意代码和垃圾邮件防范方面：应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新。5、安全审计方面：应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应对审计记录进行保护，定期备份等；6、边界完整性检查方面：应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的

6、行为进行检查。7、主机防护方面：身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换。当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。详见下表差距分析：序号控制点二级要求是否符合差距分析边界防护应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信基本符合访问控制应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；基本符合应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数篮最小化；基本符合应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许拒绝数据包进出基本符合应能根

7、据会话状态信息为进出数据流提供明确的允许拒绝访间的能力。基本符合3入侵防范应在关键网络节点处监视网络攻击行为不符合应配置入侵检测系统4恶意代码防范应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新。不符合应配置防病毒网关或UTM5安全审计应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；不符合应该配置综全安全审计系统审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；不符合应该配置综全安全审计系统应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。不符合应该配置综全安全

8、审计系统6可信验证可基千可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。基本符合2.3安全计算环境现状与差距分析慈溪市观海卫镇医院基础支撑系统安全计算环境根据国家信息安全等级保护（第二级）标准在对系统安全进行分析时，发现应用系统涉及到应用系统的运行稳定以及业务数据的安全可靠，主要现状差距分析，如下： 序号控制点二级要求是否符合差距分析身份鉴别应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；不符合应配置主机防护系统应具有登录失败处理功

9、能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；不符合应配置主机防护系统当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。不符合应配置主机防护系统2访问控制应对登录的用户分配账户和权限；不符合应配置主机防护系统应重命名或删除默认账户，修改默认账户的默认口令；不符合应配置主机防护系统应及时删除或停用多余的、过期的账户，避免共享账户的存在不符合应配置主机防护系统应授予管理用户所需的最小权限，实现管理用户的权限分离。不符合应配置主机防护系统3安全审计应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计不符合应配置日志集中审计系

10、统审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；不符合应配置日志集中审计系统应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。不符合应配置日志集中审计系统4入侵防范应遵循最小安装的原则，仅安装需要的组件和应用程序；不符合应配置主机防护系统应关闭不需要的系统服务、默认共享和高危端口；不符合应配置主机防护系统应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；不符合应配置主机防护系统应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求不符合应配置主机防护系统应能发现可能存在的已知漏洞，并

11、在经过充分测试评估后，及时修补漏洞不符合应配置主机防护系统5恶意代码防范应安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库。基本符合6可信验证可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。基本符合7数据完整性应采用校验技术保证重要数据在传输过程中的完整基本符合8数据备份恢复应提供重要数据的本地数据备份与恢复功能；基本符合应提供异地数据备份功能，利用通信网络将重要数据定时批量传送至备用场地。基本符合9剩余信息保护应保证鉴别信息所在的存储空间被释放或重

12、新分配前得到完全清除基本符合10个人信息保护应仅采集和保存业务必需的用户个人信息基本符合应禁止未授权访间和非法使用用户个人信息。基本符合2.4安全管理中心现状与差距分析慈溪市观海卫镇医院基础支撑系统安全管理根据国家信息安全等级保护（第二级）标准在对系统安全进行分析时，发现系统管理、审计管理方面存在不足。主要现状差距分析如下： 序号控制点二级要求是否符合差距分析1系统管理应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计；不符合应配置运维堡垒机应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份、系统资源配置、系统加载和启动、系统运

13、行的异常处理、数据和设备的备份与恢复等不符合应配置运维堡垒机2审计管理应对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对这些操作进行审计；不符合应配置运维堡垒机应通过审计管理员对审计记录进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等。不符合应配置运维堡垒机2.5安全管理现状与差距分析慈溪市观海卫镇医院在日常的运行维护管理中，根据自身的情况有制定一些安全管理制度并执行，但没有进行系统而规范的制度文件体系建设，以及相应制度执行记录归档保存。根据等级保护管理安全要求，仍有部分制度需要进行完善。管理制度建议如下表：类别管理内容制度

14、包括的主要内容现状分析备注物理资产安全管理对信息系统相关的资产清单、分类与标识、使用、转移、废弃等做出规定。不满足对信息系统相关的资产清单、分类与标识、使用、转移、废弃等做出规定。机房安全管理对进出机房的人员和设备，机房监控、机房值班、机房环境保障等做出规定。不满足对进出机房的人员和设备，机房监控、机房值班、机房环境保障等做出规定。设备安全管理对设备的放置、使用、维护、维修、报废等做出规定。不满足对设备的放置、使用、维护、维修、报废等做出规定。介质安全管理对介质的归档、存放、使用、销毁等做出规定。不满足对介质的归档、存放、使用、销毁等做出规定。网络网络安全管理对网络及安全设备的操作、配置、日志

15、记录和监控等做出规定。不满足对网络及安全设备的操作、配置、日志记录和监控等做出规定。系统系统安全管理对服务器和数据库等的操作、配置、日志记录和监控等做出规定。不满足对服务器和数据库等的操作、配置、日志记录和监控等做出规定。应用数据安全管理对信息系统数据保存、备份、使用等做出规定。不满足对信息系统数据保存、备份、使用等做出规定。病毒防护管理对病毒防护系统的管理、使用和升级等做出规定不满足对病毒防护系统的管理、使用和升级等做出规定终端计算机管理对终端计算机的日常使用、软件安装，入网、维修、报废等做出规定。不满足对终端计算机的日常使用、软件安装，入网、维修、报废等做出规定。便携计算机管理对便携计算机

16、的使用、密码保护、入网、文件存储、维修等做出规定。不满足对便携计算机的使用、密码保护、入网、文件存储、维修等做出规定。移动存储介质管理对移动存储介质的使用、管理、维修等做出规定。不满足对移动存储介质的使用、管理、维修等做出规定。管理机构和人员管理对设立安全管理机构、机构职能、人员职责及管理，如重要岗位保密责任、人员离岗离职等方面做出规定。不满足对设立安全管理机构、机构职能、人员职责及管理，如重要岗位保密责任、人员离岗离职等方面做出规定。运行维护管理对日常运行维护的流程、操作等做出规定。不满足对日常运行维护的流程、操作等做出规定。用户管理对普通业务用户、重要业务用户、特权用户（网络、系统、安全管

17、理员）的审批、权限、安全要求等做出规定。不满足对普通业务用户、重要业务用户、特权用户（网络、系统、安全管理员）的审批、权限、安全要求等做出规定。密码管理对信息系统中使用的密码强度、变更和保存等做出规定。不满足对信息系统中使用的密码强度、变更和保存等做出规定。应急管理对应急计划、处理、实施、演练等做出规定。不满足对应急计划、处理、实施、演练等做出规定。变更管理对信息系统的变更申报、审批流程以及实施等做出规定。不满足对信息系统的变更申报、审批流程以及实施等做出规定。网络安全检查对网络安全检查流程、工作内容等做出规定。不满足对网络安全检查流程、工作内容等做出规定。：以上制度体系仅供参考，还需结合实际

18、情况进行制定，建议相关制度文件以红头文件发布并归档保存，对制度执行过程中形成的相关记录需定期归档保存。3.综合整改建议结合慈溪市观海卫镇医院基础支撑网络现状以及与国家政策标准的差距分析，本方案对医院基础支撑网络的安全防护做出如下建议：3.1常见高风险问题梳理序号项目类别测评指标二级等保要求（一）网络结构安全方面1网络安全结构安全应保证网络设备的业务处理能力满足业务高峰期需要；网络各个部分的带宽满足业务高峰期需要2网络安全结构安全应保证接入网络和核心网络的带宽满足业务高峰期需要；3网络安全访问控制应在网络边界部署访问控制设备，启用访问控制功能；4网络安全访问控制应能根据会话状态信息为数据流提供明

19、确的允许/拒绝访问的能力，控制粒度为网段级；5网络安全访问控制应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；6网络安全访问控制应限制具有拨号访问权限的用户数量。7网络安全边界完整性检查应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。8网络安全入侵防范应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。（二）网络设备方面1网络安全访问控制应在网络边界部署访问控制设备，启用访问控制功能；2网络安全访问控制应能根据会话状态信息为数据流提供明确的允许/拒

20、绝访问的能力，控制粒度为网段级；3网络安全访问控制应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；4网络安全访问控制应限制具有拨号访问权限的用户数量。5网络安全安全审计应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；6网络安全安全审计审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。7网络安全网络设备防护应对登录网络设备的用户进行身份鉴别；8网络安全网络设备防护应对网络设备的管理员登录地址进行限制；9网络安全网络设备防护网络设备用户的标识应唯一；10网络安全网络设备防护身份鉴别信息应具有不易被

21、冒用的特点，口令应有复杂度要求并定期更换；11网络安全网络设备防护应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；12网络安全网络设备防护当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。（三）主机安全方面1WindowsLinux身份鉴别应对登录操作系统和数据库系统的用户进行身份标识和鉴别；2WindowsLinux身份鉴别操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；3WindowsLinux身份鉴别应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；4

22、WindowsLinux身份鉴别当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；5WindowsLinux身份鉴别应为操作系统和数据库的不同用户分配不同的用户名，确保用户名具有唯一性。6WindowsLinux访问控制应启用访问控制功能，依据安全策略控制用户对资源的访问；7WindowsLinux访问控制应实现操作系统和数据库系统特权用户的权限分离；8WindowsLinux访问控制应限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令；9WindowsLinux访问控制应及时删除多余的、过期的账户，避免共享账户的存在。10WindowsLinux安

23、全审计审计范围应覆盖到服务器上的每个操作系统用户和数据库用户；11WindowsLinux安全审计审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；12WindowsLinux安全审计审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；13WindowsLinux安全审计应保护审计记录，避免受到未预期的删除、修改或覆盖等。14WindowsLinux入侵防范操作系统遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。15WindowsLinux恶意代码防范应安装防恶意代码软件，并及时更新防

24、恶意代码软件版本和恶意代码库；16WindowsLinux恶意代码防范应支持恶意代码防范的统一管理。17WindowsLinux资源控制应通过设定终端接入方式、网络地址范围等条件限制终端登录；18WindowsLinux资源控制应根据安全策略设置登录终端的操作超时锁定；19WindowsLinux资源控制应限制单个用户对系统资源的最大或最小使用限度；20数据库身份鉴别应对登录操作系统和数据库系统的用户进行身份标识和鉴别；21数据库身份鉴别操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；22数据库身份鉴别应启用登录失败处理功能，可采取结束会话、限制非法登

25、录次数和自动退出等措施；23数据库身份鉴别当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；24数据库身份鉴别应为操作系统和数据库的不同用户分配不同的用户名，确保用户名具有唯一性。25数据库访问控制应启用访问控制功能，依据安全策略控制用户对资源的访问；26数据库访问控制应实现操作系统和数据库系统特权用户的权限分离；27数据库访问控制应限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令；28数据库访问控制应及时删除多余的、过期的账户，避免共享账户的存在。29数据库安全审计审计范围应覆盖到服务器上的每个操作系统用户和数据库用户；30数据库安全审计审计内容

26、应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；31数据库安全审计审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；32数据库安全审计应保护审计记录，避免受到未预期的删除、修改或覆盖等。33数据库资源控制应通过设定终端接入方式、网络地址范围等条件限制终端登录；34数据库资源控制应根据安全策略设置登录终端的操作超时锁定；35数据库资源控制应限制单个用户对系统资源的最大或最小使用限度；（四）物理安全方面1物理安全物理访问控制机房出入口应安排专人值守，控制、鉴别和记录进入的人员；2物理安全物理访问控制需进入机房的来访人员应经过申请和审批流程，并限

27、制和监控其活动范围。3物理安全防火机房应设置灭火设备和火灾自动报警系统。4物理安全温湿度控制机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。5物理安全电力供应应在机房供电线路上设置稳压器和过电压防护设备；6物理安全电力供应应提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求。3.2等保（二级）要求设备对照表序号设备名称备注1桌面管理建议部署2边界防火墙必须部署3VPN如存在外部运维建议部署4入侵检测系统必须部署6堡垒机如存在第三方运维建议部署7主机防护系统建议部署8日志审计系统必须部署9企业版杀毒软件必须部署3.2安全管理综合整改建议序号测评指标

28、二级等保要求整改建议1安全策略随着业务应用系统的不断增加，网络结构日益复杂，由于各业务系统建设、运维分散，没有总体规划逐渐不能适应越来越复杂的应用需求。主要表现在缺乏整体安全策略、没有统一规范的安全体系建设标准，安全职责划分不明确，各业务系统的安全防护程度不一、人员没有形成统一的安全意识、缺乏统一的安全操作流程和指导手册；梳理和完善包括安全组织体系、管理体系、防护体系和运维体系的制度建设。应急预案建设与应急预案及攻防演练2安全制度安全组织拥有安全管理员岗位，但安全岗位职能没有很好得到执行，没有对整个业务体系安全进行统一规划和管理。安全管理基本上靠运维管理人员的自我管理，缺乏统一的安全管理体系；3系统建设由于运维、外包等原因，防护体系的建设依赖于各重要业务系统的建设，在今后的防护体系建设和改造中希望将安全防护体系统一考虑；4系统运维无法有效安