医院等级保护建设网络安全建设项目解决方案Word下载.docx

1、将前三级的安全保护能力扩展到所有访问者和访问对象，支持形式化的安全保护策略。其本身构造也是结构化的，以使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。第五级：访问验证保护级;具备第四级的所有功能，还具有仲裁访问者能否访问某些对象的能力。为此，本级的安全保护机制不能被攻击、被篡改的，具有极强的抗渗透能力。目前，全国范围内的定级工作已经基本完成，2009年起将依据标准要求对已定级信息系统进行整改，以达到规范安全管理、提高信息安全保障能力到应有水平的目标1.2 等级保护建设目标和范围为了落实和贯彻自治区政府、公安部、保密局、卫生部、自治区卫生厅等国家有关部门信息安

2、全等级保护工作要求，全面完善医院信息安全防护体系，落实 “分区分域、等级防护、多层防御”的安全防护策略，确保等级保护工作在本单位的顺利实施，提高整体信息安全防护水平，开展等级保护建设工作。我们前期对医院网络进行了勘查分析，了解与等级保护要求之间的差距，提出安全建设方案。本方案主要遵循 GB/T22239-2008信息安全技术信息安全等级保护基本要求、 信息安全等级保护管理办法 公通字200743 号）、 信息安全风险评估规范（GB/T 20984-2007）、卫生行业信息安全等级保护工作的指导意见标准等。实施的范围包括：医院网站安全防护、医院各个信息系统的安全防护。1.3 方案设计根据等级保护

3、要求以及前期分析了解的结果，医院信息系统存在的漏洞、弱点提出相关的整改意见，结合等级保护建设标准，并最终形成安全解决方案。1.4 参照标准GB/T22239-2008信息安全技术信息安全等级保护基本要求信息安全等级保护管理办法（公通字200743 号）信息安全技术信息安全风险评估规范（GB/T 20984-2007）卫生行业信息安全等级保护工作的指导意见2 信息系统现状随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，网络正深刻影响并改变着人类的生活和工作方式。医院已经逐步建立起依赖于网络的医院业务办公信息系统，比如门户WEB应用、HIS系统、LIS系统、电子病历系统、PACS系统等等，

4、在给我们带来便利的同时，安全也面临更大的挑战。对于医疗机构而言，数字化、网络化、信息化是医院实现不断发展的重要形式和发展方向，而网络信息功能和内容是通过WEB应用形式表现出来的。外界对医院信息化的了解也是从WEB应用开始的，从网上预约挂号、网上查询检查结果等等一系列工作都是通过WEB来实现的，医院门户WEB应用是医院现代化科技服务的窗口,也是医院对外宣传的窗口。而近年来，医院WEB应用的公众性质使其成为攻击和威胁的主要目标，医院WEB应用所面临的Web应用安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利

5、用等，极大地困扰着医院和公众用户，给医院的服务形象、信息网络和核心业务造成严重的破坏。因此，一个优秀的WEB应用安全建设是医院信息化是否能取得成效、充分发挥职能的基础，而合规、有效、全面的信息安全体系建设对保障其正常运行至关重要。2.1 医院网络安全现状目前医疗行业各大医院的信息化办公系统如：HIS系统、LIS系统、电子病历系统、PACS系统、OA系统等各大业务系统全部上线运行，给医院的正常办公业务带来极大的便利，给医生节省更多的时间来治疗患者，同时给患者带来便利的就医环节；有的医院由于发展需要，建立了自己独立的门户网站，对外提供患者网上预约挂号，检查结果查询等功能，在几大系统中，医院OA系统

6、由于内外网同时需要运行业务，因此医院设立了DMZ区，DMZ区放置医院OA系统服务器、对外网站服务器，以后随着医疗信息化的发展，全疆医院要实现电子病历共享，为了给病人提供更好的服务，各大医院将逐步实现网上预约挂号、网上查询等业务，这就需要医院内外网连通，实现内外网数据互通共享，因此内外网互联的安全建设非常重要，如何在内外网互联时保证内网信息数据的安全性、完整性是必须考虑的问题。2.2 医院网络安全风险分析通过对医院网络现状的了解及分析，主要分为以下两大类安全威胁： 外部攻击 由于内网与外网互通，并且在出内外网之间处没有有效的安全防护设施，内网信息系统面临很大威胁，极易遭到外网中黑客攻击、DDoS

7、攻击、木马、病毒等恶意攻击，破坏各类主机及服务器，导致医院网络性能下降、服务质量降低、信息安全没有保障。WEB应用遭受大量具有针对性的攻击，造成网站瘫痪，信息泄露，甚至网页被篡改。 内部威胁 局域网内部没有防护设备及有效隔离，一旦某个用户有意或是无意将感染了病毒、木马的移动存储设备接入内网，将造成整个网络木马病毒泛滥，给整个网络带来毁灭性打击。2.3 医院网络安全需求按照信息系统安全等级保护测评要求和信息系统安全等级保护测评过程指南，通过对医院网站和数据中心的安全状况评估、网络脆弱性扫描、本地安全审计、文档审查等方式，进行物理层面、网络层面、应用层面、主机层面、数据安全及备份、安全管理层面进行

8、安全评估，最终寻找到以下差距：2.3.1 物理安全目前现有的物理安全机制不够完善，在物理安全的设计和施工中，需要考虑的安全要素包括：机房场地选择安全、机房内部安全防护、机房防火、机房供、配电、机房空调、降温、机房防水与防潮、机房防静电、机房接地与防雷击、机房电磁防护。 需要优先考虑机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 需要在机房出入口应安排专人值守，控制、鉴别和记录进入的人员。 需要将通信线缆铺设在隐蔽处，例如：铺设在地下或管道中。 需要对介质分类标识，存储在介质库或档案室中。 需要在主机房安装必要的防盗报警设施。 机房建筑需要设置避雷装置及设置交流电源地线。 机房需要设

9、置灭火设备和火灾自动报警系统。 在水管安装时，需要考虑不得穿过机房屋顶和活动地板下。 需要采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 需要采取措施防止机房内水蒸气结露和地下积水的转移与渗透。 需要在关键设备上采用必要的接地防静电措施。 考虑机房需要设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。 需要提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求。 需要考虑电源线和通信线缆应隔离铺设，避免互相干扰。 机房场地避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。 需要对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付

10、或安装等过渡区域； 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。 需要利用光、电等技术设置机房防盗报警系统，对机房设置监控报警系统。 需要设置防雷保安器，防止感应雷。 考虑机房设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火。 考虑机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料，机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。 需要安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。 考虑机房采用防静电地板。 考虑机房设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。 需要设置冗余或并行的电力电缆线路为计算机系统供电，应建立

11、备用供电系统。 需要采用接地方式防止外界电磁干扰和设备寄生耦合干扰，并对关键设备和磁介质实施电磁屏蔽。2.3.2 网络安全目前现有的通信网络安全机制不够完善，需依据信息安全技术 信息系统安全等级保护基本要求第三级基本要求加强现有网络安全机制。 需要对用户数据在网络传输中的数据提供保密性及完整性保护。 需要对通信网络进行安全审计，其网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录，并对确认为违规的用户操作行为需要提供报警，并对审计信息进行存储备份。 需要考虑网络边界访问控制对会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 需要对进出网络的信息内容进行过滤，实

12、现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。 网络边界对入侵防范措施不够完善，考虑检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 考虑网络边界对恶意代码防范能力应提供及时检测和清除，维护病毒库的升级更新。2.3.3 主机安全目前现有的主机安全机制不够完善，需依据信息安全技术 信息系统安全等级保护基本要求第三级基本要求加强现有主机安全机制。1） 用户身份鉴别 需要对用户登录过程采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。2） 标记和强制访问控制 系统资源访问控制需要对重要信息资源设置敏感标记，需要依

13、据安全策略严格控制用户对有敏感标记重要信息资源的操作。3） 系统安全审计 系统安全审计需要覆盖到服务器上的每个操作系统用户和数据库用户，应保护审计进程，避免受到未预期的中断。 审计记录包括安全事件的主体、客体、时间、类型和结果等内容； 考虑对各审计记录，应提供审计记录查询、分类和存储保护。4） 用户数据完整性保护 需要采用各种常规校验机制，对系统安全计算环境中存储和传输的用户数据的完整性进行检验，能发现完整性被破坏的情况。5） 用户数据保密性保护 需要采密码技术支持的保密性保护机制，为安全计算环境中存储和传输的用户数据进行保密性保护。6） 剩余信息保护 剩余信息保护应保证操作系统和数据库系统用

14、户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。7） 入侵防范 需要能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。8） 可信执行程序保护需要构建从操作系统到上层应用的信任链，其中可采用可信计算技术，以实现系统运行过程中可执行程序的完整性检验，防范恶意代码等攻击，并在检测到其完整性受到破坏时，应采取有效的恢复措施。2.3.4 应用安全目前现有的应用安全机制不够完善，需依据信息安全技

15、术 信息系统安全等级保护基本要求第三级基本要求的加强现有应用安全机制。 需要对用户登录过程提供用户身份标识唯一和鉴别信息复杂度检查功能，考虑保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用。考虑对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。 自主访问控制，需要依据安全策略控制用户对文件、数据库表等客体的访问，访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作。 考虑应用系统安全审计应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计。 考虑对重要信息资源设置敏感标记的功能，并依据安全策略严格控制用户对有敏感标记重要信息资源的操作。 考虑提

16、供对审计记录数据进行统计、查询、分析及生成审计报表的功能。 剩余信息保护：应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。 通信完整性：应采用密码技术保证通信过程中数据的完整性。 通信保密性：应对通信过程中的整个报文或会话过程进行加密。 抗抵赖：应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能；应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。 软件容错：应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。资源控制：应能够对一个时间段内可能的并发会话连接数进行限制，应能够对一个访

17、问帐户或一个请求进程占用的资源分配最大限额和最小限额，应能够对系统服务水平降低到预先规定的最小值进行检测和报警，应提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源。2.3.5 数据安全目前数据安全存在的安全隐患， 业务数据在传输过程中完整性受到破坏，数据存储没有经过加密处理，导致数据泄露。数据没有提供备份，导致重要数据丢失几种现象。因此需要在现有数据安全上增加以下几种保护： 数据完整性：应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。能够检测到系统管理数据、鉴别信息和重要业

18、务数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。 数据保密性：应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性；应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。备份和恢复：应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放；应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地；应采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障；应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。2.3.6 安全域划分及边界防护依据等级保护要求，安全分区、分级、分域

19、及分层防护的原则，在进行安全防护建设之前，首先实现对信息系统的安全域划分。依据总体方案中 “二级系统统一成域，三级系统独立分域”的要求，主要采用物理防火墙隔离、虚拟防火墙隔离或Vlan隔离等形式进行安全域划分。主要分为以下安全域：级别安全区域备注二级集中运维管理区如：网络管理、漏洞扫描等应用三级内部服务器区对内提供服务的应用系统外部服务器区通过互联网对外提供服务的应用系统2.3.6.1 安全域的实现形式安全域实现方式以划分逻辑区域为主，旨在实现各安全区域的逻辑划分，明确边界以对各安全域分别防护，并且进行域间边界控制，安全域的实体展现为一个或多个物理网段或逻辑网段的集合。对新疆一附院信息系统安全

20、域的划分手段采用如下方式：防火墙安全隔离：采用双接口或多接口防火墙进行边界隔离，在每个安全域采用多接口防火墙的每个接口分别与不同的安全域连接以进行访问控制。2.3.6.2 划分安全域，明确保护边界采用将三级系统划分为独立安全域。二级系统安全域、桌面安全域、公共应用服务安全域。二级系统安全域包含除三级系统外的所有应用系统服务器；集中运维管理安全域包含各业务日志管理地、集中运维、日志管理、备份管理、VPN管理等。部署访问控制设备或设置访问控制规则在各安全域边界设置访问控制规则，其中安全域边界按照“安全域边界”章节所列举的边界进行防护。访问控制规则可以采用交换机访问控制策略或模块化逻辑防火墙的形式实

21、现。二级系统安全域边界访问控制规则可以通过交换机的访问控制规则实现，访问控制规则满足如下条件：根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。按用户和系统之间的允许访问规则，控制粒度为单个用户。三级系统安全域边界的安全防护需满足如下要求：根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；对进出网络的信息内容进行过滤，实现对应用层协议命令级的控制。入侵检测系统部署：二级系统、三级系统安全域内应部署入侵防御系统，并根据业务系统情况制定入侵防御策略，检测范围应包含二级系统服务器、三级系统服务器、其他应用服务器，入侵防御应满足如下要求： 定制入侵检测策

22、略，如根据所检测的源、目的地址及端口号，所需监测的服务类型以定制入侵检测规则； 定制入侵检测重要事件即时报警策略；入侵检测至少可监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等；当检测到攻击行为时，入侵检测系统应当记录攻击源 IP、攻击类型、攻击目的 IP、攻击时间，在发生严重入侵事件时应能提供及时的报警信息。3 网络安全建设必要性3.1 等级保护要求根据等级保护相关要求，应满足等级保护二级指导保护级相关要求，并根据信息系统安全等级保护基本要求及其他相关技术规范进行整改，应能够防护系统免受来自计算机病毒等恶意代码的侵害和外部小型组

23、织的（如自发的三两人组成的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小等）以及其他相当危害程度的威胁（无意失误、技术故障等）所造成的重要资源损害并能够检测到此类威胁，并在威胁发生造成损害后，能够在一段时间内恢复部分功能。要求中就设备自身可靠性、抗灾害能力、网络可靠性、网络安全防护能力等多个角度对网络系统安全做了详细具体的要求。根据信息安全等级保护管理办法规定，信息系统使用单位应依据信息系统安全等级保护测评要求等技术标准，定期对信息系统安全等级状况开展等级测评，并且公安机关负责信息安全等级

24、保护工作的监督、检查、指导。因此必须通过网络安全建设保障信息系统符合等级保护具体要求，切实保护网络系统安全稳定运行。 从网络安全现状分析来看，医院目前网络不具备网络、设备冗余抗灾能力，在事故发生后难以快速恢复，不能保障政务运行；现有安全防护设备缺乏，不能有效防护网络攻击行为，网络安全没有保障。现有网络不能满足等级保护相关要求。3.2 医院系统面临安全威胁医院网络通过VPN或者DMZ区间接接入外网，在对外提供大量服务、进行信息交流给我们带来极大便利、提高业务处理能力的同时，不得不承受着巨大的安全威胁。 对医院网络而言，一旦遭到破坏，将严重影医院工作的正常开展；网站如果被篡改，将造成恶劣的社会影响

25、，降低政府公信度。同时医院信息系统如果遭到病毒木马的攻击将对医院内网造成不可估量的损失。因此开展医院网络安全建设，提高政医院网络抗攻击能力、事故恢复能力刻不容缓。4 网络安全建设目标4.1 满足合规性要求 信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。 三级甲等医院的核心业务信息系统安全保护等级原则上不低于第三级。 二级甲等医院、三级乙等医院参考定级第二级。序号系统类别三级医院二级医院一级医院1门户网站2级1级2内部办公系统3面向患者服务系统3级4以电子病历为核心的医院信息系统4.2 等级保护技术要求类别要求二级等保要求三级等保要求网络安全

26、结构安全网络设备处理能力和网络带宽冗余；网络拓扑图绘制；子网划分和地址分配；网络设备处理能管理和网络带宽冗余；终端和服务器之间建立安全访问路径；边界和重要网段之间隔离；网络拥堵时对重要主机优先保护；根据高峰业务流量选择高端设备，核心交换接入设备采用双机冗余；合理划分子网、VLAN、安全域，网络设备带宽优先级规划。访问控制部署访问控制设备，启用访问控制功能；根据会话状态提供允许/拒绝访问能力；按访问控制规则进行资源访问控制，粒度到单个用户；限制拨号访问用户数量根据会话状态提供允许/拒绝访问能力，控制粒度为端口级；限制拨号访问用户数量；网络信息内容过滤，应用层协议命令级控制；会话终止；网络流量数和

27、连接数控制；重要网段防地址欺骗网络边界部署防火墙，制定相应ACL策略安全审计网络设备状况、网络流量、用户行为日志记录网络设备状况、网络流量、用户行为日志记录；数据分析和报表生成；审计记录保护部署网络安全审计系统边界完整性检查安全准入控制和非法外联监控安全准入控制和非法外联监控并进行有效阻断部署终端安全管理系统入侵防范攻击行为检测攻击行为检测；攻击日志记录和告警部署入侵检测系统恶意代码防范无要求网络边界病毒查杀；病毒库升级部署入侵保护系统网络设备防护身份鉴别；管理员登陆地址限制；用户标识唯一；登陆失败处理；鉴别信息加密；身份鉴别采用2种或以上鉴别技术；特权权限分离部署等级保护安全配置核查系统主机安全身份鉴别操作系统和数据库用户身份鉴别；登录失败处理；鉴别信息传输加密；用户唯一性；身份鉴别采用2种或以上鉴别技术启用访问控制功能；操作系统和数据库特权用户权限分离；默认账户配置修改；多余过期用户删除多余过期用户删除；角色权限分配，权限分离和最小权限原则；重要信息敏感标记；强制访问控制部署堡垒机