医院等级保护解决方案v10.docx

1、医院等级保护解决方案v10XXX三级医院等级保护建设整改规划方案北京天融信科技有限公司 2013年5月综述项目背景随着医疗卫生行业信息化建设程度不断推进，医疗卫生业务管理逻辑与价值体系对于信息系统依赖程度不断提升，信息安全隐患的不断显露，信息安全保障盲点也日渐凸现，保障信息安全已经从一个宏观论调转化为新医改工程建设工作中不可规避的基础内容。2003年国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）提出 “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。今年卫生部印发了

2、卫生部办公厅关于开展全国卫生行业信息安全等级保护工作的通知（卫办综函【2011】1126号）其中强调：“依据国家信息安全等级保护制度，遵循相关标准规范，开展信息安全等级保护定级备案、建设整改和等级测评等工作”，因此开展信息安全等级保护工作已成为全国医疗卫生行业信息化建设的重点内容，也是医院实现自身核心业务安全稳定运行的关键。XXX医院规模大，技术力量强，集医疗、教学、科研、急救、保健于一体的综合性三级甲等医院，为贯彻落实卫生部办公厅关于开展全国卫生行业信息安全等级保护工作的通知（卫办综函【2011】1126号）、卫生行业信息安全等级保护工作的指导意见（卫办发【2011】85号）文件、北京市卫生

3、局关于进一步加强北京市卫生行业信息安全等级保护工作的通知（京卫办字【2012】26号），切实提高自身信息安全防护能力，拟按照国家信息安全等级保护制度要求，进行信息系统安全等级保护建设。同时，新近颁布的 “十二五”规划纲要中明确指出要“健全网络与信息安全法律法规，完善信息安全标准体系和认证认可体系，实施信息安全等级保护、风险评估等制度。”标志着信息安全等级保护工作已经上升到国家战略层面，成为关系国计民生的重要任务。本方案通过对XXX的重要信息系统技术层面及管理层面的全面评估和了解，整理出高风险的安全需求，并结合用户的实际业务要求，对XXX整体信息系统的安全工作进行规划和设计，并逐步完成安全建设，

4、以满足XXX的信息安全目标及国家相关政策和标准的要求，同时为全面提高信息安全管理水平和控制能力打下坚实的基础。项目目标通过本次项目，将充分了解XXX自身信息安全现状、信息安全风险和安全需求，构建和实施信息技术安全管理体系、安全技术体系和安全运维体系，为将来全面提高信息安全管理水平和控制能力，适应并符合不断发展变化的业务新需求。同时，遵循国家等级保护政策法规和标准建立一整套适合XXX的信息系统等级化安全保障体系，并为通过国家等级保护安全测评备案工作做好前期准备。参考依据本文参考的国家信息安全政策法规、信息安全标准以及相关规范：政策法规 中华人民共和国计算机信息系统安全保护条例（国务院1994 1

5、47号 ） 国家信息化领导小组关于加强信息安全保障工作的意见（申发办2003 127号 ） 信息安全等级保护管理办法（公通字2007 43号 ） 北京市卫生局、北京市公安局关于开展北京市医疗机构卫生行业信息安全专项检查工作的通知 （京公网安字2012 739号） 卫生行业信息安全等级保护的指导意见 （卫办发201185号） 关于配合卫生行业开展信息安全等级保护工作的通知（公信安20112501号）标准规范 信息安全技术 信息系统安全等级保护基本要求GB/T 22239-2008 信息安全技术 信息系统安全等级波爱护实施指南GB/T 25058-2010 信息系统安全等级保护测评要求（GB/T2

6、8448-2012） 信息安全技术 信息系统通用安全技术要求（GB/T20271-2006） 信息安全技术 网络基础安全技术要求（GB/T20270-2006） 信息安全技术 操作系统安全技术要求（GB/T20272-2006） 信息安全技术 数据库管理系统安全技术要求（GB/T20273-2006）信息系统现状和安全需求XXX已构建医院业务内网和医院办公外网为核心的两套网。医院业务内网和医院办公外网属于物理隔离不能互通，医院业务内网承载医疗业务系统包括：HIS系统、LIS系统、PACS系统、EMR等，医院业务内网不与互联网相通，医院办公外网承载办公业务系统包括：OA系统、网站等系统，医院办公

7、外网可与互联网相通。通过分析医院数字化医疗的业务安全诉求，同时考虑内外网数据交换的需要，充分结合等级保护关于三级系统要求的控制项进行全面建设。信息系统现状第1章 医院业务内网现状XXX内部网络结构分层合理，结构清晰，分为核心层、汇聚层和接入层。其中核心层设备采取了双机备份措施。XXX网络环境中最重要的应用系统有三个：LIS、HIS、PACS、EMR系统，系统服务器群直连在核心交换机上，处于同一VLAN中。VLAN的隔离原由思科交换机中的防火墙模块FWSM完成，但在测评时该模块故障。系统中的存储设备有CDP快照功能，通过防火墙与医院办公外网中的CDP设备连接，快照保存在CDP设备中，数据出现故障

8、时可快速恢复。系统中的医保服务器需要和医保网连接，通过一台路由器做NAT转换实现连接。由于涉及客户敏感信息，现状示意图省略，XXX信息系统已经采取的安全措施如下： 网络安全措施 冗余的网络架构保障网络的高可用性； 医院办公外网隔离阻断互联网对医院业务内网信息系统的威胁攻击； 已部署网络管理软件监控链路流量和网络设备运行状态； 防火墙严格的访问控制策略控制医院办公外网快照服务器对医院业务内网数据的访问； 网络版杀毒软件提供全网的恶意代码防范，通过网络安全准入功能控制终端电脑的接入，对医院业务内网终端设备U盘使用进行授权。 主机安全措施 HIS服务器采用冷备份服务器、LIS服务器采用5台服务器虚拟

9、化负载均衡、PACS服务器采用2台服务器负载均衡。从而保障服务器业务应用的连续性； HIS系统、LIS系统有专用的日志服务器。 主要系统应用安全措施 LIS系统采用5台物理服务器集群进行硬件冗余； LIS应用系统具有应急机制，总体的应急分为两种，一种是应用系统和医院基础数据库不通信的时候，为了保证应用系统能够正常运行，对病人信息进行手工输入，一种情况客户端和服务器端不通信的情况下， 保证病人及时得到救护，需要仪器直接出结果，最后再补录相关流程； HIS应用系统具有应急机制，具体的应急分为四种，一种是应用系统正常情况，通过12台中间件VM虚拟机进行数据库传输，另一种为一级应急，通过5台中间件服务

10、器上的COM组件进行数据库传输，第三种是为了保证关键部门做的应急机制，在本地客户端上安装有数据库，保证数据不会遗失，最后一种是手工进行数据录入； PACS系统采用2台双击硬件冗余；PACS应用系统也具有应急机制，当客户端和服务器端不通信的情况下， 保证病人及时得到救护，需要仪器直接出结果，最后再补录相关流程。 管理制度措施 建立了信息安全管理制度，覆盖了机房管理制度、网络管理制度、系统管理制度、备份与恢复管理制度、软件管理制度、系统建设、工程实施管理制度等层面； 针对安全管理人员和操作人员建立了操作规程，例如网络管理操作规程，系统管理操作规程，数据库系统操作规程，中间件应用安装操作规程和指南等

11、，为系统维护人员的安全操作提供了依据； 机房管理制度对进出管理、设备管理、环境管理、操作管理、巡检管理等方面做了明确规定； 在统一的框架下制定了针对不同事件的应急预案，制定了故障解决方案和各级应急预案的详细操作流程，并定期进行应急演练。第2章 医院办公外网现状XXX医院办公外网网络环境中最重要的应用系统有三个：OA系统、网站系统。存储快照服务器具有CDP功能，通过防火墙与医院业务内网中的存储设备连接。医院业务内网服务器通过CDP功能将快照保存在医院办公外网快照服务器中，数据故障时可快速恢复。由于涉及客户敏感信息，医院外网拓扑示意图省略。安全需求分析第3章 医院业务内网安全分析通过对XXX医院业

12、务内网信息系统的差距分析并结合信息系统的现状，汇总当前医院业务内网信息系统的安全需求如下： 网络、主机设备存在配置使用上的不规范、不合理，损坏的设备没有及时的维修及技术上的处理留有安全隐患风险； 未划分安全域，服务器区与办公区混在一起，没有做到有效的控制，一旦办公电脑中病毒，直接会影响到服务器的安全； 医院业务内网中缺乏必要的入侵防御系统，无法对危险进行监测和控制，存在极大的安全风险； 缺乏对网络设备、操作系统和数据库三个方面进行扫描，无法发现潜在的安全隐患； 网络、主机设备及应用系统都有各自的访问控制及认证方式，缺乏统一认证机制，有些网络、主机设备未正确配置身份鉴别及访问控制； 医院业务内网

13、中的信息系统缺乏有效的内控和安全审计，对出现的问题无法实现事前监测，事后无法对问题进行追溯； 应用系统认证方式主要基于用户名/口令方式，访问控制措施薄弱，缺乏统一的认证、管理和授权保护； 设备、应用、人员三者缺乏全局、统一的管理，缺乏基于应用的单点登录访问机制； 信息化系统缺乏保密性、完整性和真实性的支撑服务； 在信息安全传输、安全存储和抗抵赖缺乏有效的防护手段； 信息系统没有按照等保要求的等级进行必要的安全测评、整改加固。第4章 医院办公外网安全分析通过对XXX医院办公外网信息系统的差距分析并结合信息系统的现状，汇总当前医院办公外网信息系统的安全需求如下： 医院办公外网是可以直接连接互联网的

14、对外接入区，通过系统调研医院办公外网基础设施缺乏必要的入侵防御系统，无法对来自互联网的病毒及恶意代码攻击进行监测和控制，存在极大的安全风险； 网络、主机设备及应用系统都有各自的访问控制及认证方式，缺乏统一认证机制，有些网络、主机设备也未正确配置身份鉴别及访问控制； 医院办公外网有对外发布的应用系统或者说网站应用，但从调研来看缺乏对WEB应用威胁的安全防护措施； 信息系统没有按照等保要求的等级进行必要的安全测评、整改加固。第5章 医院业务内网和办公外网数据交换分析通过前期调研得知医院业务内网与医院办公外网之间存在如下的信息交换需求： 医院业务内网业务系统定期会有一些信息数据发布到XXX医院门户网

15、站系统中，如：出诊医生排班表、医院发布的最新医疗资源信息等，需要从医院业务内网中提取数据到医院办公外网发布； 医院业务内网与医院办公外网的融合，亟需具有特殊权限的用户可以进行业务应用访问； 专家医生有在家或外地出差办公的迫切需要，但目前安全措施无法提供保障。比如专家会诊或远程医疗，需要访问医疗业务系统； XXX业务系统要与医保系统对接互通； 伴随HMIS的在国内的发展，医院可以面向所有病人提供诊断结果查询、在线医生等增值服务。总体安全规划设计总体设计思路当今医院信息化不断进展，医院使用的软件系统也越来越多，主要服务于医院的医疗、管理、患者和员工，XXX信息化的建设是提高医院服务水平、提高工作效

16、率、降低运营成本的重要手段。这些系统由于其应用特点和传统的使用方式分别部署在XXX的医院办公外网、医院业务内网。但随着XXX信息化水平不断提高，支撑业务的能力越来越强，应用和数据的更有效地服务于医疗、管理、患者和员工的需求不断涌现，医院业务内网和医院办公外网之间需要进行越来越多的数据和信息交换，彼此之间的应用交叉和访问也将愈加频繁。例如，已有内部人员要访问的医疗信息和办公两种资源、向上级有关部门传输各种数据，与相关的医疗保健单位和其它医院联系等。为了有效的集成、整合信息系统，解决因内外部频繁进行信息交换而面临的数据和网络问题，为医疗业务提供更加方便、高效的支撑服务能力，在进行应用和数据有效共享

17、的同时，亟需保证应用和数据的安全性。这就要求建立一个具有安全纵身防御体系、整合能力强、扩展性良好的医院办公外网与医院业务内网数据连接通道，实现医疗信息的快捷流通和有效共享。由于医疗信息的敏感性和隐私特征，医院信息化快速建设的过程中，不仅考虑某个业务功能实现，同时应根据国家和行业的相关政策和规范，保护信息、数据的安全性。这就需要在XXX的信息化建设过程中，逐步建立起适应业务发展要求的信息安全整体保障体系，面向今后的业务发展，进行全局的信息安全保障体系设计与规划，将已建的安全设施逐步纳入到保障体系中，减少重复安全投资，提高安全保障能力和效果。围绕等级化信息安全保障体系建设，结合XXX当前信息安全需

18、求，亟需集中解决以下关键性问题： 针对医院办公外网数据共享交互问题，需要医院办公外网交互通道之间设计安全访问控制措施，能够兼容异构环境下的安全控制技术； 针对医院办公外网数据共享后的安全问题，为确保业务应用与数据安全，在建立信息安全技术体系的基础上，运用体系化的纵身防御模型，对医院办公外网各信息系统的各个区域、各个层次，甚至每一个层次内部部署信息安全措施，实现对信息安全和业务运行综合防护； 针对未来数字化医疗新业务发展和安全要求，逐步建立并完善信息安全管理体系，确保技术、管理、运维三者相互支撑、相互配合； 针对公安等外部监管机构和行业合规要求，全面建立安全运维保障体系，主要以风险评估、安全加固

19、、定期巡检和应急响应机制为建设重点。综上所述，在本方案中结合了XXX医院的业务特点和安全需求，系统的提出了信息安全保障体系的总体设计规划。设计原则安全规划方案设计遵循以下原则：1) 整体性：从XXX医院的整体出发、全面考虑各个方面的安全问题，综合运用技术手段和管理手段进行安全防护。2) 合规性：符合国家信息安全保障体系的总体要求，符合国家信息安全等级保护和国家密码管理等相关制度、标准的要求。3) 重点保护：遵循国家信息安全等级保护相关标准规范，结合XXX医院政务外网信息系统特点，优先保护重要信息系统，优先满足重点信息安全需求4) 针对性：根据XXX医院的组织结构特点、网络特点和业务特点，有针对

20、性地提供安全防护措施，对信息系统进行有效、适度的防护。5) 可持续性：安全体系的设计可满足XXX医院信息系统全生命周期的持续安全保障。6) 可实施性：安全体系要符合XXX医院业务特性和安全现状，提供可行的实施方案与规划，具备较强的可操作和可落实。7) 先进性：安全体系的设计要具有一定的前瞻性，要考虑安全技术的发展趋势，满足业务未来发展的需求。体系化设计框架XXX信息安全保障体系包括管理体系、技术体系、运维体系信息安全保障体系框架。三个体系有机结合，相互支撑。安全体系框架如下图所示：总体信息安全规划设计框架等级保护安全方案的设计思想是以等级保护的“一个中心、三重防护”为核心指导思想，构建集防护、

21、检测、响应、恢复于一体的全面的安全保障体系。具体即体现为：以全面贯彻落实等级保护制度为核心，打造科学实用的信息安全防护能力、安全风险监测能力、应急响应能力和灾难恢复能力，从安全技术、安全管理、安全运维三个维度构建安全防护体系，切实保障信息安全总体防护水平。信息安全管理体系是为保障信息安全而采取的一系列管理措施的总和，内容主要包括建立健全信息安全组织体系和信息安全策略体系。信息安全技术体系是为保障信息安全而采取的一系列技术措施的总和，内容主要包括网络安全、主机安全、应用安全、数据安全、基础设施等。信息安全运维体系是为保障管理措施和技术措施有效实现信息安全而采取的一系列活动的总和，内容主要包括安全

22、评估、安全加固、安全巡检、应急响应、安全通告、安全培训、上线检测等。体系规划XXX信息安全保障体系的建设不是单个环节、单一层面上问题的解决，必须是全方位地、多层次地从技术、管理、运维等多方面进行全面的安全设计和建设，从而有效保证和提高XXX信息系统抵御不断出现的安全威胁与风险，保证系统长期稳定可靠的运行。第6章 技术体系规划XXX信息安全技术体系规划结合信息系统现状、安全需求和业务发展实际需要，信息安全技术规划包括：网络安全、主机安全、应用安全、数据安全、基础设施多个层面。网络安全：采用防火墙、网闸、入侵检测、流量控制、上网行为管理等技术实现网络安全域划分、防御外部威胁的侵入、分配网络流量保障

23、业务持续、管理控制用户上网行为，形成从内到外的防护体系。主机安全：采用终端安全管理、防病毒技术、漏洞扫描等技术统一管控终端实现补丁分发、病毒防护、策略定制、发现系统存在的漏洞和风险，降低终端维护和管理工作量，避免终端造成的大面积病毒爆发。应用安全：采用应用防火墙技术、堡垒主机、安全审计等技术实现应用层威胁防护、实现运维人员对数据库、主机、网络设备操作全记录，事前有控制、事中有预警、事后可追溯。数据安全：采用VPN技术提供安全访问通道，解决用户外出办公的实际需要。基础设施：采用统一身份管理、短信认证建立统一认证和授权体系，降低了日常运行的维护和管理成本，加强系统的安全控制。第7章 管理体系规划信

24、息系统安全是“三分技术、七分管理”，在加强安全防护技术的前提下，必须得到高级管理层的高度重视和密切配合，必须建立信息安全管理体系，并保障其有效落实。XXX安全管理体系是由两部分组成的。一部分是一系列安全策略和技术管理规范（第一、二层），另一部分是实施层面的工作流程（第三层）。安全管理体系总纲（以下简称总纲）位于安全体系的第一层，是整个安全体系的最高纲领。它主要阐述安全的必要性、基本原则及宏观策略。总纲具有高度的概括性，涵盖了技术和管理两个方面，对XXX各方面的安全工作具有通用性。安全管理体系的第二层是一系列的管理规定和技术规范，是对总纲的分解和进一步阐述，侧重于共性问题、操作实施和管理考核，提

25、出具体的要求，对安全工作具有实际的指导作用。安全管理体系的第三层是操作层面，它根据第一层和第二层的要求，结合具体的网络和应用环境，制订具体实施的细则、流程等，具备最直观的可操作性。安全管理体系也包含了实施层面的工作流程，结合三层安全策略，进行具体实施和检查考核，同时遵循动态管理和PDCA闭环管理的原则，通过定期的评评估不断修改完善，维持安全防护水平。第8章 运维体系规划信息安全运维体系是在安全管理体系和安全技术体系的运行过程中，发现和纠正各类安全保障措施存在的问题和不足，保证它们稳定可靠运行，有效执行规定的目标和原则。当运行维护过程中发现目前的信息安全保障体系不能满足信息化建设的需要时，应当制

26、订新的安全保障体系建设规划，进而通过新一轮信息安全保障体系建设，使安全保障体系的保障能力得到全面提升。信息安全运维体系涵盖等级保护以及ITSM服务体系规范要求，建设内容包括：安全评估、安全加固、安全巡检、应急响应、安全通告、安全培训、系统上线检测；周期性开展相关工作，加强日常维护管理、全面提高紧急事件响应能力、进行绩效评估与改进等。信息安全体系详细设计通过本文第2章“信息系统现状和安全需求”的综合分析，依据第3章“总体安全规划设计”模型，拟定XXX医院未来信息安全的重点建设工作如下： 安全技术体系建设 网络结构优化及改造 网闸技术实施 入侵检测技术实施 漏洞扫描技术实施 应用防火墙技术实施 上

27、网行为管理技术实施 VPN技术实施 流量控制技术实施 防病毒技术实施 终端安全管理技术实施 安全审计实施 堡垒主机技术实施 短信认证技术实施 统一身份管理建设 安全管理体系建设 安全运维体系建设 安全评估 安全加固 安全巡检 应急响应 安全通告 安全培训 系统上线检查安全技术体系建设第9章 总体安全规划设计拓扑示意图等级保护基本要求a) 应按照信息系统的业务类别、安全等级保护等因素，划分为不同的安全域；b) 内部安全域之间应采用防火墙、VLAN划分等方式进行逻辑隔离医院等级保护整改方案拓扑示意图根据XXX网络与信息系统各节点的网络结构、具体的应用以及安全等级的需求，按照技术体系中网络安全规划，

28、部署网闸并安全隔离技术将XXX整体网络系统划分为两个安全网络域，即：医院业务内网安全域和医院办公外网安全域。医院业务内网安全域中根据应用、数据、用户、特定接入的不同安全需求划分出五个安全子域，分别是：三级系统安全域、二级系统安全域、核心交换域、安全管理与运维域、门诊及终端接入域。医院办公外网安全域中根据应用、用户、网管、接入的不同安全需求划分出二个安全子域，分别是：互联网接入域（0A系统、网站）、第三方接入区域。 依据安全域划分原则，同一安全域拥有相同的安全等级和属性，域内是相互信任的，安全风险主要来自不同的安全域互访，需要加强安全域边界的安全防护。区域之间依据业务及安全的需要配置安全策略，有

29、效实现信息系统合理安全域划分。具体规划如下图所示：XXX医院等级保护安全整改拓扑示意图改1、医院业务内网安全域划分：三级系统安全域：医院业务内网应用安全子域规划为XXX业务应用服务区域是重点保障区域，部署XXX重要临床应用业务系统，如：LIS、HIS、PACS、EMR等，通过与其它安全域的安全隔离保证应用服务的安全，主要部署高端防火墙、入侵防护系统、数据库审计系统解决安全隔离、行为检测阻断以及数据库行为审计，保障数据传输的连续性，避免单点故障造成的业务影响；部署双交换机与核心交换区域建立数据交换通道，避免单点故障造成的业务中断，以保障业务连续性；二级系统安全域：XXX业务系统核心交换域，部署双

30、击交换机解决数据交换通道，避免单点故障产生；在安全方面主要部署入侵行为检测、网络安全审计及SSL VPN解决异常行为检测、网络行为审计及远程用户接入办公的安全需求。门诊及住院终端接入域：规划为XXX医院业务内网门诊和住院终端接入域，所有需要接入网络的用户都将按照本域的安全策略进行目标访问，任何越权访问都将被隔离，可以提高访问的安全性，避免用户的恶意攻击；安全管理与运维域：边界部署两台防火墙双机实现访问控制策略，并为医院业务内网和医院办公外网安全域提供统一的安全服务，包括；安全管理、策略管理、统一身份管理、短信认证、入侵检测、漏洞扫描、运维堡垒主机、安全审计、终端安全管理、上网行为管理、防病毒系

31、统，；2、医院办公外网安全域划分：互联网接入域：XXX互联网接入域提供统一的对互联网威胁的防护能力，包括：WEB应用防火墙，SSL VPN措施与医院业务内网通过网闸安全隔离，保障网站业务连续性、安全性；第三方接入域：规划为XXX专有业务系统域，部署医保系统、新农合、统计系统等，由于医保系统要与医保专网相连接，为了避免外部的威胁，本域的安全策略根据实际需要配置。实现功能 网络架构更加优化，区域划分更加合理，按照功能将各部分区域进行有效隔离，可以有效制定边界安全策略； 对网络进行冗余设计，避免业务高峰期，由单点而引起网络和业务中断 便于安全产品部署，提高网络与信息系统防护能力； 满足未来发展需要，灵活性和扩展性更好； 为将来的集中管理奠定技术基础。第10章 网闸技术实施等级保护基本要求a) 应按照信息系统的业务类别、安全等级保护等因素，划分为不同的安全域；部署说明网闸采用双机热备的方式部署于医院业务内网安全域出口处与医院办公外网安全域相连接，将整个网络有效地进行安全域隔离，可以实现所需要的安全控制、防病毒、抗拒绝服务攻击。