医院信息安全建设方案详细.docx
《医院信息安全建设方案详细.docx》由会员分享,可在线阅读,更多相关《医院信息安全建设方案详细.docx(161页珍藏版)》请在冰点文库上搜索。
医院信息安全建设方案详细
***医院
信息安全建设方案
■文档编号
■密级
■版本编号
V1.0
■日期
©2019
一.
概述
二.项目背景
随着医院信息化建设的逐步深入,网上业务由单一到多元化,各类应用系统数十个,信息系统承受的压力日益增长,医院信息系统已经成为医院正常运行不可或缺的支撑环境和工作平台,因此按照信息系统等级保护的基本要求,通过建立合理可靠的技术平台,细致的日常管理与及时的故障处理应急预案,将信息系统等级保护措施落实到实处,确保信息系统不间断运行,只有在技术和管理互相提供支撑的前提下才能确保系统的稳定运行。
从医院角度依据信息安全等级保护的要求,通过对医院核心信息系统的建设。
充分发挥网络在医院信息系统中的应用。
从技术安全阐述如何建立合理技术平台,加强安全防护对策。
强调了保障网络和信息系统安全,让安全稳定的网络支撑医院走上可持续发展之路。
核心业务是医院信息化建设的基础,是医院信息系统运行的平台,对医院运行效率和管理水平都有重要作用,因此创造良好信息系统安全运营环境是医院信息安全的最终目。
医疗信息安全工作是我国卫生事业发展的重要组成部分。
做好信息安全等级保护工作,对于促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序和国家安全具有重要意义。
为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业医疗机构信息安全等级保护工作,卫生部办公厅印发了关于三级甲等医院信息安全等级保护建设的相关通知,具体如:
卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知
卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知
建设和整改要求:
1.对三级甲等医院已确定安全保护等级的第三级信息系统,应当按照国家信息安全等级保护工作规范和《医疗机构信息系统安全等级保护基本要求》、《医疗机构重要信息系统等级保护三级测评技术要求项》等国家标准,开展安全保护现状分析,查找安全隐患及与国家信息安全等级保护标准之间的差距,确定安全需求。
2.根据信息系统安全保护现状分析结果,按照《信息安全技术信息系统安全等级保护基本要求》、《医疗机构信息系统安全等级保护基本要求》、《医疗机构重要信息系统等级保护三级测评技术要求项》等国家标准,制订信息系统安全等级保护建设整改方案。
三级卫生信息系统安全建设整改方案应当经信息安全技术专家委员会论证,完善安全保护设施,建立安全管理制度,落实安全管理措施,形成信息安全技术防护体系和信息安全管理体系,有效保障医院信息系统安全。
三.建设目标
依据国家相关政策要求,依据***医院信息系统的实际需要,基于现代信息系统安全保障理论,采用现代信息安全保护技术,按照一定规则和体系化的信息安全防护策略进行的整体设计。
建设目标覆盖以下内容
●完善基础安全防护整体架构,开展并完成信息系统等保工作,使之基本达到(符合)行业等级保护基本要求。
●加强信息安全管理工作,制订科学合理的信息安全工作方针、政策,进一步完善信息安全管理制度体系,实现管理制度的标准化、规范化和流程化。
●建立科学、完备的信息安全运维管理体系,实现信息安全事件的全程全周期管理,切实保障信息系统安全、稳定运行。
四.建设内容
依据国家相关政策要求,对***医院的信息系统进行安全建设,覆盖信息安全的管理体系、技术体系和运维体系三个方面,建设内容覆盖以下各个层面
●物理层面
●网络层面
●主机层面
●应用层面
●数据层面
●管理层面
五.建设必要性
通过近几年的信息化建设,***医院已建成基本稳定的信息系统软、硬件平台,在信息安全方面也进行了基础性的部分建设,使系统有了一定的防护能力。
但由于病毒攻击、恶意攻击泛滥,应用软件漏洞层出不穷,***医院的信息安全方面仍面临较大的挑战。
另一方面,***医院安全措施比较薄弱,安全防护意识有待加强,安全制度还有待完善。
随着信息技术的飞速发展,如今基于信息系统安全防护已不能仅停留在普通网络安全设备的层面上,需要部署完善的、基于保护操作系统、数据、网络和应用的安全防护体系。
从等级保护安全要求来看,安全建设的必要性主要体现在两个方面:
Ø安全管理现状与等级保护要求的差距
***医院自身信息系统建设及运维基础上,建立了一套满足并能够促进网络运维的安全管理体系,但同等级保护的安全管理要求相比较,现有管理制度不论在涉及方面的健全性,还是具体内容的完善性,都存在差距。
主要包括:
建立信息安全总体策略、完善各个方面的信息安全管理制度、以及落实各类制度需要的表单。
Ø安全技术现状与等级保护要求的差距
整体设计方面的问题,即某些差距项的不满足是由于该系统在整体的安全策略设计上存在问题。
同事缺乏相应产品实现安全控制,未能通过对产品的正确选择、部署和恰当配置满足相应要求。
另外,由于使用者技术能力、安全意识的原因,或出于对系统运行性能影响的考虑等原因,产品没有得到正确的配置,从而使其相关安全功能没有得到发挥。
六.安全建设思路
七.等级保护建设流程
等级保护的设计与实施通过以下步骤进行:
1.系统识别与定级:
通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。
通过此步骤充分了解系统状况,包括系统业务流程和功能模块,以及确定系统的等级,为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。
2.安全域设计:
根据第一步的结果,通过分析系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构。
通过安全域设计将系统分解为多个层次,为下一步安全保障体系框架设计提供基础框架。
3.安全保障体系框架设计:
根据安全域框架,设计系统各个层次的安全保障体系框架(包括策略、组织、技术和运作),各层次的安全保障体系框架形成系统整体的安全保障体系框架。
4.确定安全域安全要求:
参照国家相关等级保护安全要求,设计等级安全指标库。
通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。
5.评估现状:
根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评估方法,对系统各层次安全域进行有针对性的等级风险评估。
通过等级风险评估,可以明确各层次安全域相应等级的安全差距,为下一步安全技术解决方案设计和安全管理建设提供依据。
6.安全技术解决方案设计:
针对安全要求,建立安全技术措施库。
通过等级风险评估结果,设计系统安全技术解决方案。
7.安全管理建设:
针对安全要求,建立安全管理措施库。
通过等级风险评估结果,进行安全管理建设。
八.参考标准
✓《计算机信息系统安全保护等级划分准则》(GB17859-1999)
✓《信息系统安全等级保护基本要求》(GB/T22239-2008)
✓《信息系统安全保护等级定级指南》(GB/T22240-2008)
✓《信息系统等级保护安全设计技术要求》
✓《信息安全等级保护实施指南》(报批稿)
✓《信息系统安全等级保护测评要求》(送审稿)
✓GA/T387-2002计算机信息系统安全等级保护网络技术要求
✓GA/T388-2002计算机信息系统安全等级保护操作系统技术要求
✓GA/T389-2002计算机信息系统安全等级保护数据库管理系统技术要求
✓GA/T390-2002计算机信息系统安全等级保护通用技术要求
✓GA/T391-2002计算机信息系统安全等级保护管理要求
✓GB/T18019-1999信息技术-包过滤防火墙安全技术要求
✓GB/T18020-1999信息技术-应用级防火墙安全技术要求
✓ISO27000
✓IATF:
《信息保障技术框架》
✓ISO/IEC15408(CC)
✓ISO/IEC13335,第一部分:
《IT安全的概念和模型》;
✓第二部分:
《IT安全的管理和计划制定》;
✓第三部分:
《IT安全管理技术》;
✓第四部分:
《安全措施的选择》;
✓第五部分:
《网络安全管理指南》。
九.安全现状分析
一十.网络架构分析
现有网络情况如上图所示,安全防护能力较弱,只通过网络防火墙对互联网边界进行控制,缺少专业化的安全防护产品,存在重大安全风险。
一十一.系统定级情况
医院内HIS、LIS、PACS、EMR以及集成平台定义为三级,门户网站等其他系统为二级。
解读国家相关文件和《定级指南》等要求,结合各单位的实际情况,信息系统的五个等级可以做如下初步落实、描述:
第一级,各单位及其下属单位的一般信息系统,其应用范围局限于本单位内部。
系统受到破坏后,会对本单位及其员工的合法权益造成一般性损害,不良影响主要在本单位内部,不损害国家安全、社会秩序和公共利益。
第二级,总部及各单位比较重要的信息系统。
系统受到破坏后,会对总部、省级单位及其员工、客户造成严重损害,影响企业形象,带来一定的法律问题;或者对社会秩序和公共利益造成一般性损害、带来一定的社会不良影响,但不损害国家安全。
第三级,总部及各单位跨省或全国联网运行的重要信息系统。
系统受到破坏后,会对总部、省级单位造成特别严重损害,严重影响企业形象,带来严重的法律问题;或者对社会秩序和公共利益造成严重损害,造成较大范围的社会不良影响;或者对国家安全造成了一般性损害。
第四级,重要领域、重要部门三级信息系统中的部分重要系统。
系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,重要领域、重要部门中的极端重要系统。
系统受到破坏后,会对国家安全造成特别严重损害。
一十二.安全需求分析
一十三.等级保护技术要求分析
一十四.物理层安全需求
物理安全是信息系统安全运行的基础和前提,是系统安全建设的重要组成部分。
在等级保护中将物理安全划分为技术要求的第一部分,从物理位置选择、物理访问控制、防盗窃防破坏、防雷击、防火、防水防潮、防静电、温湿度控制、电力供应、电磁防护等方面对信息系统的物理环境进行了规范。
物理层考虑因素包括机房环境、机柜、电源、服务器、网络设备和其他设备的物理环境。
该层为上层提供了一个生成、处理、存储和传输数据的物理媒体。
物理层主要考虑如下方面的内容:
◆物理位置的选择
◆物理访问控制
◆防盗窃和防破坏
◆防雷击
◆防火
◆防水和防潮
◆防静电
◆温湿度控制
◆电力供应
◆电磁防护
一十五.网络层安全需求
网络层指利用路由器、交换机和相关网络设备建成的、可以用于在本地或远程传输数据的网络环境,是应用安全运行的基础设施之一,是保证应用安全运行的关键,也是实现内部纵向交互、与其它单位横向交流的重要保证。
在安全模型中,网络层中进行的各类传输活动的安全都应得到关注。
现有的大部分攻击行为,包括病毒、蠕虫、远程溢出、口令猜测等攻击行为,都可以通过网络实现。
网络层主要考虑如下方面的内容:
◆结构安全与网段划分
◆网络访问控制
◆拨号访问控制
◆网络安全审计
◆边界完整性检查
◆网络入侵防范
◆恶意代码防范
◆网络设备防护
一十六.系统层安全需求
系统层包括各类服务器、终端和其他办公设备操作系统层面的安全风险。
系统层面临的安全风险主要来自两个方面,一方面来自系统本身的脆弱性,另一方面来自对系统的使用、配置和管理。
这导致系统存在随时被黑客入侵或蠕虫爆发的可能。
系统层主要考虑如下方面的内容:
◆身份鉴别
◆自主访问控制
◆强制访问控制
◆安全审计
◆系统保护
◆剩余信息保护
◆入侵防范
◆恶意代码防范
◆资源控制
一十七.应用层安全需求
应用层是在前面层次的基础之上,可以提供给最终用户真正办公功能的层次,应用层是用户与前面层次的接口。
这个层次包括Web应用、文件处理、文件传输、文件存储和其他办公应用等,这些功能依靠相应的IE浏览器、FTP应用软件、公文处理系统、数据库访问控制系统等实现。
应用层主要考虑如下方面的内容:
◆身份鉴别
◆访问控制
◆安全审计
◆剩余信息保护
◆通信完整性
◆通信保密性
◆抗抵赖
◆软件容错
◆资源控制
◆代码安全
一十八.数据层安全需求
数据层是用户真正的数据,对于用户而言,数据才是真正至关重要的。
数据安全需求包括数据库安全需求、数据传输安全需求、数据存储安全需求等构成。
数据层主要考虑如下方面的内容:
◆数据完整性
◆数据保密性
◆数据备份和恢复
一十九.等级保护管理要求分析
二十.安全管理制度
安全管理制度是企业或单位安全管理的根本,它需要制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架,并对安全管理活动中的各类管理内容建立安全管理制度,严格规定安全管理制度的授权和制定,使之能完全符合企业或单位的实际情况。
安全管理制度主要考虑如下方面的内容:
◆管理制度
◆制定和发布
◆评审和修订
二十一.安全管理机构
安全管理机构是信息安全管理职能的执行者,该职能部门应该是独立的,同时设定相关的管理职责,实现信息安全管理工作有效进行的目标。
加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期召开协调会议,共同协作处理信息安全问题。
安全管理机构主要考虑如下方面的内容:
◆岗位设置
◆人员配备
◆授权和审批
◆沟通和合作
◆审核和检查
二十二.人员安全管理
人员安全管理是管理要求重要的组成部分,指定并授权专门的部门责人员录用,签署保密协议,并从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。
定期对各个岗位的人员进行安全技能及安全认知的考核,对关键岗位的人员进行全面、严格的安全审查和技能考核,并考核结果进行记录和保存。
对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训
人员安全管理主要考虑如下方面的内容:
◆人员录用
◆人员离岗
◆人员考核
◆安全意识教育和培训
◆外部人员访问管理
二十三.系统建设管理
系统建设管理,是针对信息系统定级、设计、建设等工作的管理要求。
明确信息系统的边界和安全保护,组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定;据系统的安全保护等级选择基本安全措施,并依据风险分析的结果补充和调整安全措施,指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划,对产品采购和自行开发进行规范化的管理。
系统建设管理主要考虑如下方面的内容:
◆系统定级
◆安全方案设计
◆产品采购和使用
◆自行软件开发
◆外包软件开发
◆工程实施
◆测试验收
◆系统交付
◆系统备案
◆等级测评
◆安全服务商选择
二十四.系统运维管理
系统运维管理是安全管理时间占比最大的一项内容,需要安全管理人员按照管理规范对对机房供配电、空调、温湿度控制等环境设施进行维护管理;建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为,建立统一的监控和安全管理中心。
系统运维管理主要考虑如下方面的内容:
◆环境管理
◆资产管理
◆介质管理
◆设备管理
◆监控管理和安全管理中心
◆网络安全管理
◆系统安全管理
◆恶意代码防范管理
◆密码管理
◆变更管理
◆备份与恢复管理
◆安全事件处置
◆应急预案管理
二十五.总体设计思路
二十六.设计目标
落实GB17859-1999的安全保护要求,在安全保护环境的基础上,通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制,使得系统具有在统一安全策略管控下,保护敏感资源的能力。
通过满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设;通过满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设,让信息系统的等级保护建设方案最终既可以满足等级保护的相关要求,又能够全方面提供业务服务,形成立体、纵深的安全保障防御体系,保证信息系统整体的安全保护能力
二十七.设计原则
二十八.合规性原则
1994年国务院发布《中华人民共和国计算机信息系统安全保护条例》(国务院147号令),规定“计算机信息系统实行安全等级保护”的制度框架。
1999年国家发布实施的《计算机信息系统安全保护等级划分准则》GB17859-1999,这是第一部强制性国家信息安全标准,也是一个技术法规。
等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的是,等级保护是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。
通过将等级化方法和政府行业信息安全体系建设有效结合,设计一套符合需求的信息安全保障体系,是适合我国国情、系统化地解决信息安全问题的一个非常有效的方法。
二十九.先进性原则
安全设备必须采用专用的硬件平台和安全专业的软件平台保证设备本身的安全,符合业界技术的发展趋势,既体现先进性又比较成熟,并且是各个领域公认的领先产品。
三十.可靠性原则
网络是信息化发展的基础,其稳定性至关重要;网络安全设备由于部署在关键节点,成为网络稳定性的重要因素。
整个网络设计必须考虑到高可靠性因素。
三十一.可扩展性原则
信息网络处在不断发展完善的阶段,其网络也会不断的扩充变化,要求在保证网络安全的基础上整个网络具有灵活的可扩展性,特别是对安全域域的新增以及原有安全域域扩充等要求具有良好的支持。
三十二.开放兼容性原则
网络安全产品设计规范、技术指标符合国际和工业标准,支持多厂家产品,从而有效的保护投资。
三十三.最小授权原则
网络安全策略管理必须遵从最小授权原则,即不同安全域域内的主机只能访问属于相应的安全设备必须采用专用的硬件平台和安全专业的软件平台保证设备本身的安全,符合业界技术的发展趋势,既体现先进性又比较成熟,并且是各个领域公认的领先产品。
三十四.经济性原则
项目设计和建设过程中,将充分利用现有资源,在可用性的前提条件下充分保证系统建设的经济性,提高投资效率,避免重复建设。
三十五.整改建议
三十六.物理安全
类别
问题描述
解决措施
物理安全
物理访问控制
1.没有登记进出机房的人员,机房重要设备没有划区域隔离。
建议安排专人值守机房出入口。
2.暂无相关申请和审批流程。
需要经过申请和审批流程,且有专人陪同。
防盗窃与防破坏
大部分设备都已固定在机柜中,但部分设备放至在机柜上方,仍有大部分通信线缆未整理和固定;部分设备和线缆有标签注意每个设备和线路的用途,部分设备和线缆无此设置。
建议所有设备和通信线缆均固定在机柜中,且所有设备和线缆设置标签,说明用途和去向。
未部署红外监控等光、电等技术的防盗报警系统
建议部署红外报警系统
防水和防潮
精密空调出水位置布置漏水检测点,对漏水情况自动报警,但检测范围未覆盖所有易漏水的位置。
建议部署完整的漏水检测
电磁防护
对关键设备和磁介质实施电磁屏蔽。
建议对关键设备和磁介质实施电磁屏蔽
三十七.网络安全
类别
问题描述
解决措施
网络安全
结构安全
无按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
采用高性能下一代防火墙,按照业务的业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机和业务。
边界完整
性检查
未能够对非授权设备私自联到内部网络的行为进行检查,准确定出位
置,并对其进行有效阻断;
建议部署网络准入系统,对非授权设备私自联到内部网络的行为进行检查。
未能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
建议部署上网行为管理系统,对内部用户的上网行为进行管理。
入侵防范
无相关入侵检测设备实现在网络边界处监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时
间,在发生严重入侵事件时无法提供报警。
建议部署IPS实现入侵防范功能,在网络边界监视并防护网络攻击行为。
恶意代码防范
无相关恶意代码检测设备在网络边界处对恶意代码进行检测和清除,并升级和检测系统的更新。
建议部署防毒网关实现恶意代码防范功能,在网络边界监视恶意代码攻击行为。
访问控制
未能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级
建议采用下一代防火墙,根据IP和端口设置安全策略,只有符合策略的数据包才能通过。
未根据进出网络的信息内容进行过滤。
建议采用下一代防火墙,对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。
未限制网络最大流量数及网络连接数;
建议采用下一代防火墙,限制网络最大流量数及网络连接数。
重要网段未采取技术手段防止地址欺骗;
建议启用下一代防火墙的ARP防欺骗功能
网络设备防护
未对网络设备的管理员登录地址进行限制;
建议通过堡垒机和ACL策略设置限制网络设备的登录地址,如信息技术部的网段或若干个管理IP。
主要网络设备目前只使用一种身份鉴别方式。
建议通过堡垒机使用U-KEY或者域认证的方式实现双因子认证。
密码长8位,由小写字母和数字组成。
不定期更改一次口令。
建议通过堡垒机设定密码复杂度规则,并通过改密计划,自动定期进行改密
目前只有一个超级管理员。
建议通过堡垒机设置审计员、操作员等角色,实现权限分离。
未能够根据记录数据进行分析,并生成审计报表;
建议通过日志分析系统根据记录数据进行分析,并生成审计报表
通过telnet和http方式访问设备,未采取必要措施防止鉴别信息在网络传输过程中被窃听。
建议通过堡垒机,使用ssh协议登录设备。
三十八.主机安全
三十九.业务系统主机
类别
问题描述
解决措施
身份鉴别
密码未符合复杂性要求
建议通过堡垒机设置密码复杂度要求,并通过改密计划定期自动改密:
密码长度最小值:
8个字
符;
密码最短使用期限:
2天;
密码最长使用期限:
90天;
强制密码历史:
24
未启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
建议通过堡垒机设置登录失败处理功能
建议帐户锁定策略如下:
帐户锁定时间:
15分钟;帐户锁定阀值:
5次无效登录;
重围帐户锁定计数器:
15
分钟之后。
目前只使用用户名和密码登录
建议通过堡垒机使用U-KEY或者域认证的方式实现双因子认证。
访问控制
已启用磁盘默认共享功能
建议关闭磁盘默认共享功能
操作系统用户可直接对数据库系统进行操作,权限未分离。
建议禁用Windows身份登录方式。
已禁用Guest用户,已设置管理员密码,但未重命名Administrator用户。
建议重命名Administrator用户。
安全审计
所有审核策略均设置为无审核。
建议采用日志审计系统对系统中的登陆日志、操作日志进行审计。
剩余信息保护
交互式登录:
不显示最后的用户名:
已禁用。
用可还原的加密来储存密码:
已禁用。
建议设置:
交互式登录:
不显示最后的用户名:
已启用
关机:
清除虚拟内存页面文件:
已禁用。
建议设置关机:
清除虚拟内存页面文件:
已启用。
入侵防范
升级会员 