启明星辰医院等保方案.docx

1、启明星辰医院等保方案1.项目背景项目建设依据ISO 27001信息安全管理体系国际标准信息系统安全等级保护基本要求 （GB/T 22239-2008）信息系统通用安全技术要求 （GB/T 20271-2006）信息系统等级保护安全设计技术要求 （GB/T 25070-2010）信息系统安全等级保护实施指南 （GB/T 25058-2010）信息安全技术信息安全风险评估规范（GB/T 20984-2007）信息系统灾难恢复规范（GB/T 209882007）国信办颁发的关于印发的通知（国信办【2006】9号）省卫生厅办公室关于加强网络与信息安全保障组织开展信息安全检查工作的通知（苏卫办发【201

2、1】8号）等级保护定级由XX市人民医院的业务性质决定了，医院信息系统资产价值较高，当出现安全事件甚至系统被破坏时，对社会秩序和公众利益造成严重损害。信息系统安全定级是实施信息系统安全等级保护的基础和前提。等级确定的正确与否，直接关系到信息系统的定位、后续的安全规划、安全建设、安全实施和等级保护服务相关各方的资源投入，因此在定级阶段如何通过对信息系统的调查和分析，科学、合理地划分信息系统的子系统，并依据各种因素确定信息系统的安全保护等级，对XX市人民医院的安全规划建设工作能否顺利进行至关重要。按照省卫生厅办公室关于加强网络与信息安全保障组织开展信息安全检查工作的通知，对未实行定级备案的重要信息系

3、统，抓紧完成定级备案工作；之前已做过备案的系统，如有重大变更亦需要重新定级备案。按照卫生部相关指导意见，省辖市级区域卫生信息平台、三级甲等医院和日均门诊量超过3000人次的其他三级医院的诊疗信息系统，要确定为三级以上安全等级，并采取相应的保护措施。受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序和公共利益第二级第三级第四级国家安全第三级第四级第五级依据计算机信息系统安全保护等级划分准则 （GB 17859-1999）、信息系统安全保护等级定级指南（GB/T 22240-2008），当XX市人民医院的外网信息系统、外网网站、外网OA

4、、内网普通系统受到侵害时，对社会秩序和公共利益会产生一般损害，对相关的公民、法人和其他组织的合法权益造成严重损害。所以这些信息系统须定级为二级系统审计保护级。第二级与第一级（用户自主保护级）相比，这一级的信息系统实施了粒度更细的自主访问控制，它通过登录要求、审计安全性相关事件和隔离资源，使用户对自己的行为负责。第二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。当XX市人民医院内网的主要业务信息系统如HIS、

5、PACS、LIS以及相关业务数据库受到侵害时，对社会秩序和公共利益会产生严重损害，所以这些系统必须定级为三级系统安全标记保护级。结合江苏省卫生厅的要求，诊疗系统必须定级为三级系统。第三级的计算机信息系统具有第二级保护级所有功能。此外，还提供有关数据标记以及主体对客体强制访问控制的要求；并且能消除通过测试发现的任何错误。第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。XX市人民医院的多个信息

6、系统主要定级均已基本确定。外网的所有信息系统均定为二级，内网的信息系统按照业务特性区分，有二级系统和三级系统。由以上的定级结论，得出XX市人民医院的外网可以参照等级保护二级基本要求进行规划设计建设，而内网必须参照等级保护三级基本要求进行规划设计建设。2.安全解决方案对于XX市人民医院来说，在信息系统建设过程中，为规避安全风险，必须采用对应的安全措施，我们将提出具体的安全建设需求，据此进行全面的归纳分析，并针对安全需求规划出相应的防护措施手段。本方案的安全建设目标，是建立在满足国家规定的等级保护二级/三级要求的基础上的，同时兼顾了人民医院的现状，能够以尽量节约的投入产生最大的安全等级提升。以现有

7、网络架构为基础，搭配相应的安全设备和使用相应的技术手段；在保障可用性不受影响的前提下，提升信息系统的机密性和完整性，控制已知安全风险，达到安全投入和效果的平衡。信息安全系统应在技术上具有先进性，在设备选型方面具有适当的超前性和较强的可扩充性，保证系统在五年内不落后。整个系统与目前流行的技术和设备相比需具有极强的性价比。系统应实现最有效的信息沟通，采用开放式和具有可扩展性的结构方案，保证系统的不断扩充。信息安全建设将随信息系统建设一起，遵循整体规划、分步实施的原则。安全域设计本次项目的安全域设计如下：安全计算环境计算环境是应用系统的运行环境，包括应用系统正常运行所必须的终端、服务器、网络设备等，

8、计算环境安全是应用系统安全的根本。一个安全的计算环境可以有效防止非授权用户访问和授权用户越权访问，为应用系统的正常运行和免遭恶意破坏提供支撑和保障，从而确保信息和信息系统的机密性和完整性。安全计算环境需要满足的技术要求有：用户鉴别自主/强制访问控制系统安全审计恶意代码防范XX人民医院的安全计算环境主要包括四个子域，分别为外网DMZ区、外网办公终端区、内网服务器和存储区、和内网业务终端区。安全通信网络通信网络是不同应用系统之间进行信息交互的通道，安全的通信网络设备能够保证应用系统之间交互信息的可用性、机密性和完整性。安全计算环境、安全区域边界以及安全通信网络共同为应用系统构建了一个严密的立体防护

9、网，既能够防止应用环境之内的用户对系统安全进行破坏，又能够防止外部用户对系统安全的破坏，即能够做到“防内为主，内外兼防”，可以有效保护高等级应用系统的安全。安全通信网络需要满足的技术要求有：通信网络资源管理通信网络入侵防范通信网络安全审计通信网络恶意代码防范XX人民医院的安全通信网络包含两个子域，分别为外网与内网。安全区域边界区域边界是应用系统运行环境的边界，是应用系统和外界交互的必经渠道，通过区域边界的安全控制，可以对进入和流出应用环境的信息流进行安全检查，既可以保证应用系统中的敏感信息不会泄漏出去，同时也可以防止应用系统遭受外界的恶意攻击和破坏。安全通信边界需要满足的技术要求有：区域边界访

10、问控制区域边界入侵防范区域边界恶意代码防范XX人民医院的安全区域边界包含三个子域，分别为外网出口边界、内网出口边界和内外网隔离区。安全管理中心安全管理中心是整个安全技术体系的控制中枢，是管理员的工作场所，管理员通过在安全管理中心制定安全策略，强制计算环境、区域边界执行策略，监控全网设备，从而确保系统的运行环境是可用、可信和安全的。安全管理中心需要满足的技术要求有：网络管理运维管理安全管理XX人民医院的安全管理中心有两个子域，分别为外网中心和内网中心。安全域防护设计由于信息系统定级中，内网定级为等级保护三级，外网定级为等级保护二级，所以在安全设计中，内外网分别按照相应的等级保护要求进行设计。在网

11、络架构上，也建议内网的核心交换和核心业务区域采用全冗余架构设计，最大化的保障业务系统可用性，降低业务中断风险概率，从而降低业务中断风险。安全计算环境XX人民医院的安全计算环境主要包括四个子域，分别为外网DMZ区、核心业务域、内网业务终端区。外网DMZ区外网DMZ区的主要业务是对互联网用户提供业务访问，包括网站、邮箱、微信平台等等。由于需要和互联网区域进行数据双向通信，所以外网DMZ区和内网是物理隔离状态；由于外来访问的主要媒介是网站，所以需要针对web站点进行应用级的防护，防止针对站点的攻击；由于后台数据库和内网的业务系统有数据摆渡的需求，所以需要进行数据库审计，谨防外网篡改数据影响核心业务数

12、据。用户鉴别使用防火墙实现外网访问用户的身份鉴别。自主/强制访问控制使用防火墙实现IP级、端口级的访问控制和自主访问控制。系统安全审计使用数据库审计系统对数据库访问进行审计。恶意代码防范使用防病毒墙对外来病毒进行防范；使用入侵防御系统对蠕虫木马进行防范；使用web应用防火墙（WAF）对web相关的恶意爬虫、扫描工具等进行防范；使用漏扫定期管理网内操作系统、中间件和应用漏洞，减少恶意代码攻击风险。实际使用中，由于XX人民医院使用了尚宇盾的云服务来保障自己的web业务安全，所以针对业务应用的web防护可以交由相关的服务商提供。因而，在实际部署中，可以省略WAF的部署，减少了建设成本，保护用户投资。

13、所以，本区域在防护过程中，边界防护的安全产品部署同于安全区域边界-外网出口边界。在部署过程中，本区域直接部署的设备为数据库审计系统（可利旧），用以审计网站相关数据库的读写操作，监控外网数据库与内网核心库同步的状况。外网办公终端区外网办公终端区是XX人民医院一般办公区域，部署的主机都是可以访问互联网的个人电脑。由于互联网相连，为了保护互联网使用资源和业务信息保密性，本区域重点在边界防御与内容审计。用户鉴别使用防火墙实现一般用户的身份鉴别。自主访问控制使用防火墙实现IP级、端口级的访问控制和自主访问控制。系统安全审计使用安全管理平台的日志审计模块对各类资产的日志进行审计和统一范式化分析处理；使用上

14、网行为管理对互联网访问进行日志记录与审计；使用入侵检测系统对网络的安全事件和流量进行审计。恶意代码防范使用防火墙开启防病毒模块对外来病毒进行防范；使用入侵防御系统对蠕虫木马进行防范；统一安装防病毒软件（病毒库和防病毒网关异构），并通过终端准入强制检查更新；使用漏扫定期管理网内操作系统、中间件和应用漏洞，减少恶意代码攻击风险。本方案中，从安全产品的部署来说，防火墙、IPS部署于出口边界，IDS和漏扫等设备部署于安全管理中心，所以本区域部署的安全设备为防病毒软件客户端与上网行为管理系统。内网服务器和存储区内网服务器存储区集中了XX人民医院的重要业务系统和核心业务数据，是整个信息系统中资产价值最高的

15、区域，所以本区域必须使用从核心到汇聚到终端的双设备双线路全冗余架构，最大化业务系统的可用性，防止业务中断。同时，按照等级保护三级系统要求，本子域必须使用强制身份认证，加强数据标记，增强数据审计，增强安全检测与分析，实现高级别防护。用户鉴别使用防火墙和终端准入系统实现一般用户的身份鉴别；使用堡垒机实现高权限用户的身份鉴别。自主/强制访问控制使用防火墙实现IP级、端口级的访问控制和自主访问控制；使用堡垒机实现用户级和资源级的访问控制和强制访问控制。系统安全审计使用数据库审计系统对数据库访问进行审计；使用安全管理平台日志审计模块对各类资产的日志进行审计和统一范式化分析处理；使用堡垒机对管理运维操作进

16、行审计；使用安全域流监控系统对业务互联状况进行审计，梳理业务流量，建立业务互联和流量的白名单，及时发现非法流量和非法互联。恶意代码防范使用防火墙对外来病毒进行防范；使用入侵防御系统（防火墙功能模块）对蠕虫木马进行防范；使用下一代入侵检测系统对区域内的恶意代码进行检测，并及时发现未知威胁和APT攻击；使用漏扫定期管理网内操作系统、中间件和应用漏洞，减少恶意代码攻击风险。实际使用中，本区域的安全设备除了旁路部署的数据库审计系统之外，在线式部署的有双机防火墙。防火墙的部署，为了保障本区域的高价值业务资产。其他的安全设备，均部署于安全管理中心。内网业务终端区内网业务终端区集合了XX人民医院本地内网所有

17、的内网业务终端。该区域的终端都是业务主机而非服务器，所以无需进行强制访问控制和多因子认证。由于业务终端区的部署范围广，使用人数多，且运行的都是与诊疗相关的业务，所以相对服务器区域而言，更需要注重安全接入风险，注重行为审计，防止非法接入，防止私接网络造成的业务信息外泄。 用户鉴别使用终端准入系统实现一般用户的身份鉴别。自主/强制访问控制使用防火墙实现IP级、端口级的访问控制和自主访问控制。系统安全审计使用日志审计系统对各类资产的日志进行审计和统一范式化分析处理；使用入侵检测系统对网络的安全事件和流量进行审计。恶意代码防范使用防火墙开启防病毒模块对外来病毒进行防范；使用入侵防御系统对蠕虫木马进行防

18、范；统一安装防病毒软件（病毒库和防病毒网关异构），并通过终端准入强制检查更新；使用漏扫定期管理网内操作系统、中间件和应用漏洞，减少恶意代码攻击风险。本方案中，由于本区域的出口等同于内网出口边界，所以在线式部署的安全设备均部署于内网出口边界，旁路设备均部署于安全管理中心，本区域仅部署安全软件的客户端。安全通信网络XX人民医院的安全通信网络包含两个子域，分别为外网与内网。外网按照等级保护二级要求建设，内网按照等级保护三级要求建设。外网通信网络通信网络资源管理使用防火墙和入侵防御系统对网络的流量进行检测；使用安全管理平台对各类网络设备和安全设备的日志进行审计，当可用性下降时即时告警。通信网络入侵防范

19、使用入侵防御系统保护网络内部免于外部入侵。通信网络安全审计使用上网行为管理审计网络访问和网络应用。通信网络恶意代码防范使用防火墙对外来病毒进行防范；使用入侵防御系统对蠕虫木马进行防范。内网通信网络通信网络资源管理使用防火墙和入侵检测对网络的流量进行检测；使用安全管理平台对各类网络设备和安全设备的日志进行审计，当可用性下降时即时告警。通信网络入侵防范使用入侵防御系统保护网络内部免于外部入侵；使用入侵检测系统检测网络内部的威胁行为；使用入侵检测系统APT模块检测网络内部的APT入侵行为。通信网络安全审计使用数据库审计系统审计网络访问和数据库访问；使用安全域流监控系统审计业务流量和互联状况。通信网络

20、恶意代码防范使用防火墙/防病毒墙对外来病毒进行防范；使用入侵防御系统对蠕虫木马进行防范；使用入侵检测系统对网内的恶意代码进行检测；使用入侵检测系统APT模块对网内潜伏的APT病毒进行检测。本方案中，由于信息系统的划分是内外网隔离，而两个网络分数不同的等级，拥有不同的安全防护要求，所以在子域划分方面，外网-内网的划分方式相比于核心层-汇聚层-接入层的划分方法更为简明、直观和符合用户现状。因为XX人民医院在网络交换层级间安全需求差异不大，所以核心层-汇聚层-接入层的子域划分方法不适用于本方案。本区域涉及的安全设备，在线式设备均部署于相应出口边界，旁路式设备均部署于安全管理中心。安全区域边界XX人民

21、医院的安全区域边界包含三个子域，分别为外网出口边界、内网出口边界和内外网隔离区。外网出口边界外网出口边界是唯一一个外网，该出口边界同时也是DMZ区和外网办公终端区的出口。该边界是完全不可信边界和高风险边界，所以需要执行严格的边界安全防护。区域边界访问控制使用防火墙对网络边界的数据通信进行访问控制，限制非授权访问；使用链路负载均衡对出口链路进行选路与流量规划。区域边界入侵防范使用入侵防御系统对网络边界的入侵攻击进行防范。区域边界恶意代码防范使用防病毒墙（或防火墙模块）对外来病毒进行防范；使用入侵防御系统对蠕虫木马进行防范。在安全计算环境-外网DMZ区和外网办公终端区已经讲述过，因为用户的网站安全

22、防御采用尚宇盾的云端交付，导致WAF在用户场景中并不适用，所以最终结合两节内容，本边界部署的安全设备为链路负载均衡、防火墙、IPS，原防火墙可以利旧。内网出口边界内网出口边界是内网的唯一出口，该边界防护多条线路，分别与卫生局、医保、社保、银行、公安等业务系统进行互联。因为业务相关度高，业务数据量大，所以该边界信息价值很高。所以，本子域一定要注重业务的连续性，使用双链路和双设备的高可用性架构，防止业务中断。此外，内网出口交换的都是重要的业务数据和财务数据，所以该边界需要注重身份认证与访问控制，并有效防止边界入侵，防止边界出现的任何不可信因素导致高价值业务数据受到篡改、窃取或破坏。区域边界访问控制

23、使用防火墙对网络边界的数据通信进行访问控制，限制非授权访问；使用链路负载均衡保障出口链路的可用性和流量稳定，提升带宽运用效率。区域边界入侵防范使用入侵防御系统对网络边界的入侵攻击进行防范。区域边界恶意代码防范使用防火墙的防病毒模块对外来病毒进行防范；使用入侵防御系统对蠕虫木马进行防范。本方案中，内网出口边界在线式部署双机的防火墙（含防病毒模块）和IPS，同时也作为内网业务终端区的安全防护手段。内外网隔离区XX人民医院的信息系统建设原本有内网和外网两套完全物理隔离的网络，但是由于微信平台的开通、网上挂号和诊疗查询等业务的启用，需要实现外网的查询信息传输到内网，以及内网的可供查询的业务信息到外网。

24、所以在业务驱动之下，内外网之间不能完全分断，需要在隔离状态下进行受控的数据摆渡。在此类内外网需要进行数据摆渡，数据量不大和实时性要求不太高的场景，建议使用网闸进行内外网隔离，而非使用防火墙等非隔离性的网关设备。在外网部署一台中间库服务器，由该服务器和内网网段的数据库服务器进行定时同步，可以将非核心业务的数据在内网与外网之间同步，用于上述的业务查询与信息发布。网闸在信息摆渡的过程中可以内外网还是严格执行协议分离和中断连接，所以此时内外网仍然是物理隔离状态。但是由于业务属性的原因，需要防止内网数据泄露到外网和外网威胁源渗透到内网，所以在配置此网闸的过程中，一定要严格执行权限最小化原则，除制定的服务

25、器和数据库外，不能放开任何通信通道与接口，防止遭受攻击或泄密。安全管理中心XX人民医院的安全管理中心有两个子域，即外网中心和内网中心。网络管理使用堡垒机作为统一接口，对网络设备进行管理；使用安全管理平台实时监控、日志审计设备审计记录服务器、网络设备和安全设备的运行状态，当可用性低于阈值时即时告警。运维管理使用堡垒机作为统一接口，对操作系统、中间件、业务系统和安全设备进行日常运维管理；使用数据库审计系统对业务数据库访问进行审计，对所有操作保留痕迹，不合规行为进行记录告警，方便追溯；使用安全管理平台统一收集操作系统、中间件、应用系统和安全设备的日志，进行统一范式化、归并、归纳事件，方便查询；使用日

26、志审计系统定期备份和导出各类网络设备、安全设备的配置与日志，定期升级，定期生成报表并归档。安全管理定期使用漏扫进行业务系统脆弱性检查，并制定漏洞管理方案进行漏洞加固；使用安全准入系统对接入网络的主机进行检查，检查补丁安装情况和防病毒软件的更新情况；使用包含APT模块的下一代入侵检测系统，结合已知威胁和未知威胁检测，检测网内的已知威胁和未知APT攻击；使用安全管理平台对安全设备的安全日志及产生的安全事件，进行关联分析，重点关注高危事件，重点处理应急事件。本方案中，安全管理中心两个子域的安全设备部署是不同的。安全管理平台的服务器端部署于内网中心，外网中心仅部署采集器；堡垒机、安全域流监控、终端准入

27、和漏扫仅部署于内网中心。整体方案拓扑图见下页外网安全设备部署外网出口边界1)链路负载均衡系统在线式部署一台链路负载均衡系统，实现多运营商线路的流量负载均衡，提高出口带宽利用率。2)综合安全网关在线式部署一台综合安全网关，开启VPN功能和防病毒功能，实现访问控制和边界防护的同时，提供VPN接入访问和病毒防护功能。3)入侵防御系统在线式部署一台入侵防御系统，实现互联网出口的攻击和恶意代码防护。外网DMZ区1)数据库审计系统旁路镜像监听部署一台数据库审计系统，对OA和网站的后台数据库操作进行审计。外网办公终端区1)上网行为管理系统区域出口在线式部署一台上网行为管理系统，对办公终端的上网行为和网络应用

28、进行审计管控。外网安全管理区1)入侵检测系统旁路镜像监听部署一台入侵检测系统，对外网的安全事件、违规行为和流量信息进行检测和记录分析。2)防病毒系统软件部署防病毒软件系统服务器端，在服务器主机和业务主机上安装客户端，实现统一病毒防护管理。3)安全运营管理中心部署安全运营管理中心的采集器，收集外网主机、应用、网络设备、安全设备的日志，监控业务健康度状况，配合内网的管理中心，实现外网的网络管理和安全管理。内网安全设备部署内网出口边界1)链路负载均衡系统在线部署两台互为热备的链路负载均衡系统，保障出口链路的可用性和流量稳定，提升带宽运用效率。2)综合安全网关在线部署两台互为热备的综合安全网关，开启防

29、病毒功能，实现访问控制和边界防护的同时，提供病毒防护功能。3)入侵防御系统在线式部署两台互为热备的入侵防御系统，实现互联网出口的攻击和恶意代码防护。内网服务器和存储区1)综合安全网关在线部署两台互为热备的综合安全网关，开启防病毒功能，实现访问控制和边界防护的同时，提供病毒防护功能。2)数据库审计系统旁路镜像部署一台数据库审计系统，对数据库审计操作进行审计。内网业务终端区业务终端区不直接部署安全设备，但是主机端部署终端安全管理和防病毒终端，接受统一安全策略管理。内网安全管理区1)入侵检测系统旁路镜像监听部署一台入侵检测系统，对内网的安全事件、违规行为和流量信息进行检测和记录分析。2)堡垒机系统旁

30、路部署一台堡垒机系统，接管内网的运维管理操作，对后台运维管理操作进行单点登录、权限管理和操作审计。3)漏洞扫描系统旁路部署一台漏洞扫描系统，定期对内网网段的主机、服务器进行漏洞评估和安全基线核查，指导内网的安全评估与整改加固工作。4)安全域流监控系统旁路镜像监听部署一台安全域流监控系统，通过对内网的流量监听，感知内网IP、内网行为关系（业务轮廓）、外部区域行为（与外网/境外互访）、内网高风险IP、木马C&C通道互联IP，分析内网流量，分析绕行行为，梳理审核防火墙策略。5)终端安全管理系统软件部署终端安全管理系统服务器端，在服务器主机和业务主机上安装客户端，实现安全准入、安全更新检测、移动存储控

31、制、资产管理功能。6)防病毒系统软件部署防病毒软件系统服务器端，在服务器主机和业务主机上安装客户端，实现统一病毒防护管理。7)安全运营管理中心软件部署安全运管管理中心，收集全网主机、应用、网络设备、安全设备的日志，提供日志关联分析能力；监控业务健康度状况，监控安全威胁状况，监控脆弱性状况，关注整体业务的安全风险动态，提供实时报警和趋势分析；通过采集器收集外网的日志信息和设备监控等信息，实现内外网的整体网络管理和安全管理。内外网隔离1)隔离网闸部署与内外网核心交换机之间，实现内外网业务数据的摆渡。3.安全产品清单序号区域产品名称单位数量建议性能外网设备（流量不小于2G）1.1出口边界链路负载均衡台14电4光1.2安全网关台