醫(yī)院等級保護建設(shè)網(wǎng)絡(luò)安全建設(shè)-解決方案資料

1、5.4.1數(shù)據(jù)一整件3.1等級保護要求鍵入文檔標(biāo)題醫(yī)院等級保護建設(shè)網(wǎng)絡(luò)安全建設(shè) 解決方案2018年6月目錄概述背景分析等級保護建設(shè)目標(biāo)和范圍方案設(shè)計參照標(biāo)準(zhǔn)信息系統(tǒng)現(xiàn)狀醫(yī)院網(wǎng)絡(luò)安全現(xiàn)狀醫(yī)院網(wǎng)絡(luò)安全風(fēng)險分析醫(yī)院網(wǎng)絡(luò)安全需求物理安全232網(wǎng)絡(luò)安全主機安全應(yīng)用安全數(shù)據(jù)安全安全域劃分及邊界防護網(wǎng)絡(luò)安全建設(shè)必要性3.2醫(yī)院系統(tǒng)面臨安全威脅網(wǎng)絡(luò)安全建設(shè)目標(biāo)滿足合規(guī)性要求等級保護技術(shù)要求安全技術(shù)體系方案設(shè)計物理層安全網(wǎng)絡(luò)層安全安全域劃分邊界訪問控制網(wǎng)絡(luò)審計網(wǎng)絡(luò)入侵防范邊界惡意代碼防范網(wǎng)絡(luò)設(shè)備保護主機層安全身份鑒別強制訪問控制主機入侵防范 主機審計 惡意代碼防范 剩余信息保護 資源控制應(yīng)用層安全身份鑒別532

2、訪問控制安全審計534剩余信息保護通信完整性通信保密性537抗抵賴性軟件容錯資源捽制數(shù)據(jù)層安全數(shù)據(jù)保密性備份和恢復(fù)安全建設(shè)方案小結(jié)安全服務(wù)匯總安全產(chǎn)品匯總概述背景分析中華人民共和國計算機信息系統(tǒng)安全保護條例（國務(wù)院令第147 號）明確規(guī)定我國“計算機信息系統(tǒng)實行安全等級保護”。依據(jù)國務(wù)院147 號令要求而制訂發(fā)布的強制性國家標(biāo)準(zhǔn)計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則（ GB17859-1999 ）為計算機信息系統(tǒng)安全保護等級的劃分奠定了技術(shù)基礎(chǔ)。國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見（中辦發(fā)200327 號）明確指出實行信息安全等級保護， “要重點保護基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈

3、、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度”。關(guān)于信息安全等級保護工作的實施意見（公通字200466 號）和信息安全等級保護管理辦法 （公通字200743 號）確定了實施信息安全等級保護制度的原則、工作職責(zé)劃分、實施要求和實施計劃，明確了開展信息安全等級保護工作的基本內(nèi)容、工作流程、工作方法等。 信息安全等級保護相關(guān)法規(guī)、政策文件、國家標(biāo)準(zhǔn)和公共安全行業(yè)標(biāo)準(zhǔn)的出臺，為信息安全等級保護工作的開展提供了法律、政策、標(biāo)準(zhǔn)保障。2007 年起公安部組織編制了信息安全技術(shù)信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求， 為已定級信息系統(tǒng)的設(shè)計、整改提供標(biāo)準(zhǔn)依據(jù)，至 2008 年 11 月已報批為國標(biāo)

4、。與此同時，2007 年 7 月全國開展重要信息系統(tǒng)等級保護定級工作，標(biāo)志著信息安全等級保護工作在我國全面展開。依據(jù)計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則，將信息系統(tǒng)安全保護能力劃分為五個等級；分別為：第一級：用戶自主保護級;由用戶來決定如何對資源進行保護，以及采用何種方式進行保護。第二級：系統(tǒng)審計保護級;本級的安全保護機制支持用戶具有更強的自主保護能力。特別是具有訪問審記能力，即它能創(chuàng)建、維護受保護對象的訪問審計跟蹤記錄，記錄與系統(tǒng)安全相關(guān)事件發(fā)生的日期、時間、 用戶和事件類型等信息，所有和安全相關(guān)的操作都能夠被記錄下來，以便當(dāng)系統(tǒng)發(fā)生安全問題時，可以根據(jù)審記記錄，分析追查事故責(zé)任人。第三級：安

5、全標(biāo)記保護級;具有第二級系統(tǒng)審計保護級的所有功能，并對訪問者及其訪問對象實施強制訪問控制。通過對訪問者和訪問對象指定不同安全標(biāo)記，限制訪問者的權(quán)限。第四級：結(jié)構(gòu)化保護級;將前三級的安全保護能力擴展到所有訪問者和訪問對象，支持形式化的安全保護策略。其本身構(gòu)造也是結(jié)構(gòu)化的，以使之具有相當(dāng)?shù)目節(jié)B透能力。本級的 安全保護機制能夠使信息系統(tǒng)實施一種系統(tǒng)化的安全保護。第五級：訪問驗證保護級;具備第四級的所有功能，還具有仲裁訪問者能否訪問某些對象的能力。為此，本級的安全保護機制不能被攻擊、被篡改的，具有極強的抗?jié)B透能力。目前，全國范圍內(nèi)的定級工作已經(jīng)基本完成，2009 年起將依據(jù)標(biāo)準(zhǔn)要求對已定級信息系統(tǒng)進行

6、整改，以達到規(guī)范安全管理、提高信息安全保障能力到應(yīng)有水平的目標(biāo)等級保護建設(shè)目標(biāo)和范圍為了落實和貫徹自治區(qū)政府、公安部、保密局、衛(wèi)生部、自治區(qū)衛(wèi)生廳等國家有關(guān)部門信息安全等級保護工作要求，全面完善醫(yī)院信息安全防護體系，落實 “分區(qū)分域、等級防護、多層防御”的安全防護策略，確保等級保護工作在本單位的順利實施，提高整體信息安全防護水平，開展等級保護建設(shè)工作。我們前期對醫(yī)院網(wǎng)絡(luò)進行了勘查分析，了解與等級保護要求之間的差距，提出安全建設(shè)方案。本方案主要遵循 GB/T22239-2008信息安全技術(shù)信息安全等級保護基本要求、信息安全等級保護管理辦法公通字 200743 號) 、 信息安全風(fēng)險評估規(guī)范( G

7、B/T20984-2007) 、 衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見標(biāo)準(zhǔn)等。實施的范圍包括：醫(yī)院網(wǎng)站安全防護、醫(yī)院各個信息系統(tǒng)的安全防護。方案設(shè)計根據(jù)等級保護要求以及前期分析了解的結(jié)果，醫(yī)院信息系統(tǒng)存在的漏洞、弱點提出相關(guān)的整改意見，結(jié)合等級保護建設(shè)標(biāo)準(zhǔn)，并最終形成安全解決方案。參照標(biāo)準(zhǔn)GB/T22239-2008 信息安全技術(shù)信息安全等級保護基本要求信息安全等級保護管理辦法(公通字200743 號)信息安全技術(shù)信息安全風(fēng)險評估規(guī)范( GB/T 20984-2007 )衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見信息系統(tǒng)現(xiàn)狀隨著網(wǎng)絡(luò)與信息技術(shù)的發(fā)展，尤其是互聯(lián)網(wǎng)的廣泛普及和應(yīng)用，網(wǎng)絡(luò)正深刻影響并

8、改變著人類的生活和工作方式。醫(yī)院已經(jīng)逐步建立起依賴于網(wǎng)絡(luò)的醫(yī)院業(yè)務(wù)辦公信息系統(tǒng)，比如門戶WEB 應(yīng)用、 HIS 系統(tǒng)、 LIS 系統(tǒng)、電子病歷系統(tǒng)、PACS 系統(tǒng)等等，在給我們帶來便利的同時，安全也面臨更大的挑戰(zhàn)。對于醫(yī)療機構(gòu)而言，數(shù)字化、網(wǎng)絡(luò)化、信息化是醫(yī)院實現(xiàn)不斷發(fā)展的重要形式和發(fā)展方向， 而網(wǎng)絡(luò)信息功能和內(nèi)容是通過WEB 應(yīng)用形式表現(xiàn)出來的。外界對醫(yī)院信息化的了解也是從 WEB 應(yīng)用開始的，從網(wǎng)上預(yù)約掛號、網(wǎng)上查詢檢查結(jié)果等等一系列工作都是通過WEB 來實現(xiàn)的，醫(yī)院門戶WEB 應(yīng)用是醫(yī)院現(xiàn)代化科技服務(wù)的窗口,也是醫(yī)院對外宣傳的窗口。而近年來，醫(yī)院WEB 應(yīng)用的公眾性質(zhì)使其成為攻擊和威脅的

9、主要目標(biāo)，醫(yī)院WEB 應(yīng)用所面臨的Web 應(yīng)用安全問題越來越復(fù)雜，安全威脅正在飛速增長，尤其混合威脅的風(fēng)險，如黑客攻擊、蠕蟲病毒、DDoS 攻擊、 SQL 注入、跨站腳本、Web 應(yīng)用安全漏洞利用等，極大地困擾著醫(yī)院和公眾用戶，給醫(yī)院的服務(wù)形象、信息網(wǎng)絡(luò)和核心業(yè)務(wù)造成嚴(yán)重的破壞。因此， 一個優(yōu)秀的WEB 應(yīng)用安全建設(shè)是醫(yī)院信息化是否能取得成效、充分發(fā)揮職能的基礎(chǔ)，而合規(guī)、有效、全面的信息安全體系建設(shè)對保障其正常運行至關(guān)重要。醫(yī)院網(wǎng)絡(luò)安全現(xiàn)狀目前醫(yī)療行業(yè)各大醫(yī)院的信息化辦公系統(tǒng)如：HIS 系統(tǒng)、 LIS 系統(tǒng)、 電子病歷系統(tǒng)、PACS系統(tǒng)、 OA 系統(tǒng)等各大業(yè)務(wù)系統(tǒng)全部上線運行，給醫(yī)院的正常辦公

10、業(yè)務(wù)帶來極大的便利，給醫(yī)生節(jié)省更多的時間來治療患者，同時給患者帶來便利的就醫(yī)環(huán)節(jié)；有的醫(yī)院由于發(fā)展需要，建立了自己獨立的門戶網(wǎng)站，對外提供患者網(wǎng)上預(yù)約掛號，檢查結(jié)果查詢等功能，在幾大系統(tǒng)中， 醫(yī)院 OA 系統(tǒng)由于內(nèi)外網(wǎng)同時需要運行業(yè)務(wù)，因此醫(yī)院設(shè)立了DMZ 區(qū)， DMZ 區(qū)放置醫(yī)院 OA 系統(tǒng)服務(wù)器、對外網(wǎng)站服務(wù)器，以后隨著醫(yī)療信息化的發(fā)展，全疆醫(yī)院要實現(xiàn)電子病歷共享，為了給病人提供更好的服務(wù)，各大醫(yī)院將逐步實現(xiàn)網(wǎng)上預(yù)約掛號、網(wǎng)上查詢等業(yè)務(wù)， 這就需要醫(yī)院內(nèi)外網(wǎng)連通，實現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)互通共享，因此內(nèi)外網(wǎng)互聯(lián)的安全建設(shè)非常重要，如何在內(nèi)外網(wǎng)互聯(lián)時保證內(nèi)網(wǎng)信息數(shù)據(jù)的安全性、完整性是必須考慮的問題。醫(yī)

11、院網(wǎng)絡(luò)安全風(fēng)險分析通過對醫(yī)院網(wǎng)絡(luò)現(xiàn)狀的了解及分析，主要分為以下兩大類安全威脅：外部攻擊由于內(nèi)網(wǎng)與外網(wǎng)互通，并且在出內(nèi)外網(wǎng)之間處沒有有效的安全防護設(shè)施，內(nèi)網(wǎng)信息系統(tǒng)面臨很大威脅，極易遭到外網(wǎng)中黑客攻擊、DDoS 攻擊、木馬、病毒等惡意攻擊，破壞各類主機及服務(wù)器，導(dǎo)致醫(yī)院網(wǎng)絡(luò)性能下降、服務(wù)質(zhì)量降低、信息安全沒有保障。WEB 應(yīng)用遭受大量具有針對性的攻擊，造成網(wǎng)站癱瘓，信息泄露，甚至網(wǎng)頁被篡改。內(nèi)部威脅局域網(wǎng)內(nèi)部沒有防護設(shè)備及有效隔離，一旦某個用戶有意或是無意將感染了病毒、木馬的移動存儲設(shè)備接入內(nèi)網(wǎng)，將造成整個網(wǎng)絡(luò)木馬病毒泛濫，給整個網(wǎng)絡(luò)帶來毀滅性打擊。醫(yī)院網(wǎng)絡(luò)安全需求按照信息系統(tǒng)安全等級保護測評要

12、求和信息系統(tǒng)安全等級保護測評過程指南，通過對醫(yī)院網(wǎng)站和數(shù)據(jù)中心的安全狀況評估、網(wǎng)絡(luò)脆弱性掃描、本地安全審計、文檔審查等方式，進行物理層面、網(wǎng)絡(luò)層面、應(yīng)用層面、主機層面、數(shù)據(jù)安全及備份、安全管理層面進行安全評估，最終尋找到以下差距：物理安全目前現(xiàn)有的物理安全機制不夠完善，在物理安全的設(shè)計和施工中，需要考慮的安全要素包括： 機房場地選擇安全、機房內(nèi)部安全防護、機房防火、機房供、配電、 機房空調(diào)、降溫、機房防水與防潮、機房防靜電、機房接地與防雷擊、機房電磁防護。需要優(yōu)先考慮機房和辦公場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。需要在機房出入口應(yīng)安排專人值守，控制、鑒別和記錄進入的人員。需要將通信

13、線纜鋪設(shè)在隱蔽處，例如：鋪設(shè)在地下或管道中。需要對介質(zhì)分類標(biāo)識，存儲在介質(zhì)庫或檔案室中。需要在主機房安裝必要的防盜報警設(shè)施。機房建筑需要設(shè)置避雷裝置及設(shè)置交流電源地線。機房需要設(shè)置滅火設(shè)備和火災(zāi)自動報警系統(tǒng)。在水管安裝時，需要考慮不得穿過機房屋頂和活動地板下。需要采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透。需要采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。需要在關(guān)鍵設(shè)備上采用必要的接地防靜電措施?？紤]機房需要設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機房溫、濕度的變化在設(shè)備運行所允許的范圍之內(nèi)。需要提供短期的備用電力供應(yīng)，至少滿足關(guān)鍵設(shè)備在斷電情況下的正常運行要求。需要考慮電源線和通信線纜應(yīng)隔離鋪設(shè)

14、，避免互相干擾。機房場地避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。需要對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域；重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。需要利用光、電等技術(shù)設(shè)置機房防盜報警系統(tǒng)，對機房設(shè)置監(jiān)控報警系統(tǒng)。需要設(shè)置防雷保安器，防止感應(yīng)雷?？紤]機房設(shè)置火災(zāi)自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火?？紤]機房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級的建筑材料，機房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。需要安裝對水敏感的檢測儀表或元件，對機房進行防水檢測和報警?？紤]機房采用防靜電地

15、板。考慮機房設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機房溫、濕度的變化在設(shè)備運行所允許的范圍之內(nèi)。需要設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電，應(yīng)建立備用供電系統(tǒng)。需要采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾，并對關(guān)鍵設(shè)備和磁介質(zhì)實施電磁屏蔽。網(wǎng)絡(luò)安全目前現(xiàn)有的通信網(wǎng)絡(luò)安全機制不夠完善，需依據(jù)信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求第三級基本要求加強現(xiàn)有網(wǎng)絡(luò)安全機制。需要對用戶數(shù)據(jù)在網(wǎng)絡(luò)傳輸中的數(shù)據(jù)提供保密性及完整性保護。需要對通信網(wǎng)絡(luò)進行安全審計，其網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄，并對確認(rèn)為違規(guī)的用戶操作行為需要提供報警，并對審計信息進行存儲備份。需要考慮網(wǎng)絡(luò)邊

16、界訪問控制對會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級。需要對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTP、 FTP、 TELNET 、 SMTP、POP3等協(xié)議命令級的控制。網(wǎng)絡(luò)邊界對入侵防范措施不夠完善，考慮檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警?？紤]網(wǎng)絡(luò)邊界對惡意代碼防范能力應(yīng)提供及時檢測和清除，維護病毒庫的升級更新。主機安全目前現(xiàn)有的主機安全機制不夠完善，需依據(jù)信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求第三級基本要求加強現(xiàn)有主機安全機制。用戶身份鑒別需要對用戶登錄過程采用兩種或兩種以上組合的鑒別技術(shù)對管

17、理用戶進行身份鑒別。標(biāo)記和強制訪問控制系統(tǒng)資源訪問控制需要對重要信息資源設(shè)置敏感標(biāo)記，需要依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作。系統(tǒng)安全審計系統(tǒng)安全審計需要覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶，應(yīng)保護審計進程，避免受到未預(yù)期的中斷。審計記錄包括安全事件的主體、客體、時間、類型和結(jié)果等內(nèi)容；考慮對各審計記錄，應(yīng)提供審計記錄查詢、分類和存儲保護。用戶數(shù)據(jù)完整性保護需要采用各種常規(guī)校驗機制，對系統(tǒng)安全計算環(huán)境中存儲和傳輸?shù)挠脩魯?shù)據(jù)的完整性進行檢驗，能發(fā)現(xiàn)完整性被破壞的情況。用戶數(shù)據(jù)保密性保護需要采密碼技術(shù)支持的保密性保護機制，為安全計算環(huán)境中存儲和傳輸?shù)挠脩魯?shù)據(jù)進行保密性保

18、護。剩余信息保護剩余信息保護應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中。入侵防范需要能夠檢測到對重要服務(wù)器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、 攻擊的目的、攻擊的時間，并在發(fā)生嚴(yán)重入侵事件時提供報警。應(yīng)能夠?qū)χ匾绦虻耐暾赃M行檢測，并在檢測到完整性受到破壞后具有恢復(fù)的措施?？尚艌?zhí)行程序保護需要構(gòu)建從操作系統(tǒng)到上層應(yīng)用的信任鏈，其中可采用可信計算技術(shù)，以實現(xiàn)系統(tǒng)運行過程中可執(zhí)行程序的完整性檢驗，防范惡意代碼等攻擊，并在檢測到其完整性受到破壞時，應(yīng)采取有效的恢復(fù)措施。應(yīng)用安全目前現(xiàn)有的應(yīng)用安

19、全機制不夠完善，需依據(jù)信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求第三級基本要求的加強現(xiàn)有應(yīng)用安全機制。需要對用戶登錄過程提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能，考慮保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識，身份鑒別信息不易被冒用?？紤]對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別。自主訪問控制，需要依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問，訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作?？紤]應(yīng)用系統(tǒng)安全審計應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進行審計。考慮對重要信息資源設(shè)置敏感標(biāo)記的功能，并依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信

20、息資源的操作。考慮提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。剩余信息保護：應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中。通信完整性：應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。通信保密性：應(yīng)對通信過程中的整個報文或會話過程進行加密。抗抵賴：應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。軟件容錯：應(yīng)提供自動保護功能，當(dāng)故障發(fā)生時自動保護當(dāng)前所有狀態(tài)，保證 系統(tǒng)能夠進行恢復(fù)。資源控制：應(yīng)能夠?qū)σ粋€時間段內(nèi)可能的并發(fā)會話連接數(shù)進行限制，應(yīng)

21、能夠?qū)σ粋€訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額，應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進行檢測和報警，應(yīng)提供服務(wù)優(yōu)先級設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或請求進程的優(yōu)先級，根據(jù)優(yōu)先級分配系統(tǒng)資源。數(shù)據(jù)安全目前數(shù)據(jù)安全存在的安全隱患，業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞，數(shù)據(jù)存儲沒有經(jīng)過加密處理，導(dǎo)致數(shù)據(jù)泄露。數(shù)據(jù)沒有提供備份，導(dǎo)致重要數(shù)據(jù)丟失幾種現(xiàn)象。因此需要在現(xiàn)有數(shù)據(jù)安全上增加以下幾種保護：數(shù)據(jù)完整性：應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復(fù)措施。能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)

22、據(jù)在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復(fù)措施。數(shù)據(jù)保密性：應(yīng)采用加密或其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；應(yīng)采用加密或其他保護措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲保密性。備份和恢復(fù)：應(yīng)提供本地數(shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放；應(yīng)提供異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地； 應(yīng)采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu)，避免關(guān)鍵節(jié)點存在單點故障；應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。安全域劃分及邊界防護依據(jù)等級保護要求，安全分區(qū)、分級、分域及分層防護的原則

23、，在進行安全防護建設(shè)之前，首先實現(xiàn)對信息系統(tǒng)的安全域劃分。依據(jù)總體方案中上級系統(tǒng)統(tǒng)一成域，三級系統(tǒng)獨立分域”的要求，主要采用物理防火墻隔離、虛擬防火墻隔離或 Vlan隔離等形式進行安全域劃分。主要分為以下安全域:級別安全區(qū)域備注二級集中運維管理區(qū)如：網(wǎng)絡(luò)管理、漏洞掃描等應(yīng)用三級內(nèi)部服務(wù)器區(qū)如：對內(nèi)提供服務(wù)的應(yīng)用系統(tǒng)三級外部服務(wù)器區(qū)如：通過互聯(lián)網(wǎng)對外提供服務(wù)的應(yīng)用系統(tǒng)安全域的實現(xiàn)形式安全域?qū)崿F(xiàn)方式以劃分邏輯區(qū)域為主，旨在實現(xiàn)各安全區(qū)域的邏輯劃分，明確邊界以對各安全域分別防護，并且進行域間邊界控制，安全域的實體展現(xiàn)為一個或多個物理網(wǎng)段或邏 輯網(wǎng)段的集合。對新疆一附院信息系統(tǒng)安全域的劃分手段采用如下

24、方式：防火墻安全隔離：采用雙接口或多接口防火墻進行邊界隔離，在每個安全域采用多接口防火墻的每個接口分別與不同的安全域連接以進行訪問控制。劃分安全域，明確保護邊界采用將三級系統(tǒng)劃分為獨立安全域。二級系統(tǒng)安全域、桌面安全域、公共應(yīng)用服務(wù)安 全域。二級系統(tǒng)安全域包含除三級系統(tǒng)外的所有應(yīng)用系統(tǒng)服務(wù)器；集中運維管理安全域包含各業(yè)務(wù)日志管理地、集中運維、日志管理、備份管理、VPN管理等。部署訪問控制設(shè)備或設(shè)置訪問控制規(guī)則在各安全域邊界設(shè)置訪問控制規(guī)則，其中安全 域邊界按照“安全域邊界”章節(jié)所列舉的邊界進行防護。訪問控制規(guī)則可以采用交換機訪問 控制策略或模塊化邏輯防火墻的形式實現(xiàn)。二級系統(tǒng)安全域邊界訪問控制

25、規(guī)則可以通過交換機的訪問控制規(guī)則實現(xiàn)，訪問控制規(guī)則滿足如下條件：根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為網(wǎng)段級。按用戶和系統(tǒng)之間的允許訪問規(guī)則，控制粒度為單個用戶。三級系統(tǒng)安全域邊界的安全防護需滿足如下要求：根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級； 對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層協(xié)議命令級的控制。入侵檢測系統(tǒng)部署：二級系統(tǒng)、三級系統(tǒng)安全域內(nèi)應(yīng)部署入侵防御系統(tǒng)，并根據(jù)業(yè)務(wù)系統(tǒng)情況制定入侵防御策略，檢測范圍應(yīng)包含二級系統(tǒng)服務(wù)器、三級系統(tǒng)服務(wù)器、其他應(yīng)用服務(wù)器，入侵防御應(yīng)滿足如下要求：?定制入侵檢測策略，如根據(jù)所檢測的源、目的地

26、址及端口號，所需監(jiān)測的服務(wù)類型以定制 入侵檢測規(guī)則；？定制入侵檢測重要事件即時報警策略；入侵檢測至少可監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；當(dāng)檢測到攻擊行為時，入侵檢測系統(tǒng)應(yīng)當(dāng)記錄攻擊源IP、攻擊類型、攻擊目的IP、攻擊時間，在發(fā)生嚴(yán)重入侵事件時應(yīng)能提供及時的報警信息。網(wǎng)絡(luò)安全建設(shè)必要性等級保護要求根據(jù)等級保護相關(guān)要求，應(yīng)滿足等級保護二級指導(dǎo)保護級相關(guān)要求，并根據(jù) 信息系統(tǒng)安全等級保護基本要求及其他相關(guān)技術(shù)規(guī)范進行整改，應(yīng)能夠防護系統(tǒng)免受來自計算機病毒等惡意代碼的侵害和外部小型組織的（如自發(fā)的三兩人組成的黑客組織）、擁

27、有少量資源（如個別人員能力、公開可獲或特定開發(fā)的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難 （災(zāi)難發(fā)生的強度一般、持續(xù)時間短、覆蓋范圍小等）以及其他相當(dāng)危害程度的威脅（無意失誤、技術(shù)故障等）所造成的重要資源損害并能夠檢測到此類威脅，并在威脅發(fā)生造成損害后，能夠在一段時間內(nèi)恢復(fù)部分功能。要求中就設(shè)備自身可靠性、抗災(zāi)害能力、網(wǎng)絡(luò)可靠性、網(wǎng)絡(luò)安全防護能力等多個角度對網(wǎng)絡(luò)系統(tǒng)安全做了詳細具體的要求。根據(jù) 信息安全等級保護管理辦法規(guī)定，信息系統(tǒng)使用單位應(yīng)依據(jù)信息系統(tǒng)安全等級保護測評要求等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級狀況開展等級測評，并且公安機關(guān)負責(zé)信息安全等級保護工作的監(jiān)督、檢查、 指導(dǎo)。 因此

28、必須通過網(wǎng)絡(luò)安全建設(shè)保障信息系統(tǒng)符合等級保護具體要求，切實保護網(wǎng)絡(luò)系統(tǒng)安全穩(wěn)定運行。從網(wǎng)絡(luò)安全現(xiàn)狀分析來看，醫(yī)院目前網(wǎng)絡(luò)不具備網(wǎng)絡(luò)、設(shè)備冗余抗災(zāi)能力，在事故發(fā)生后難以快速恢復(fù)，不能保障政務(wù)運行；現(xiàn)有安全防護設(shè)備缺乏，不能有效防護網(wǎng)絡(luò)攻擊行為，網(wǎng)絡(luò)安全沒有保障。現(xiàn)有網(wǎng)絡(luò)不能滿足等級保護相關(guān)要求。醫(yī)院系統(tǒng)面臨安全威脅醫(yī)院網(wǎng)絡(luò)通過VPN 或者 DMZ 區(qū)間接接入外網(wǎng)，在對外提供大量服務(wù)、進行信息交流給我們帶來極大便利、提高業(yè)務(wù)處理能力的同時，不得不承受著巨大的安全威脅。對醫(yī)院網(wǎng)絡(luò)而言，一旦遭到破壞，將嚴(yán)重影醫(yī)院工作的正常開展；網(wǎng)站如果被篡改，將造成惡劣的社會影響，降低政府公信度。同時醫(yī)院信息系統(tǒng)如果

29、遭到病毒木馬的攻擊將對醫(yī)院內(nèi)網(wǎng)造成不可估量的損失。因此開展醫(yī)院網(wǎng)絡(luò)安全建設(shè)，提高政醫(yī)院網(wǎng)絡(luò)抗攻擊能力、事故恢復(fù)能力刻不容緩。網(wǎng)絡(luò)安全建設(shè)目標(biāo)滿足合規(guī)性要求信息系統(tǒng)的安全保護等級由兩個定級要素決定：等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)安全保護等級原則上不低于第三級。二級甲等醫(yī)院、三級乙等醫(yī)院參考定級第二級。序號系統(tǒng)類別三級醫(yī)院二級醫(yī)院一級醫(yī)院1門戶網(wǎng)站2級2級1級2內(nèi)部辦公系統(tǒng)2級2級1級3向向患者服務(wù)系統(tǒng)3級2級1級4以電子病歷為核心的醫(yī)院信息系統(tǒng)3級3級1級4.2等級保護技術(shù)要求類別要求二級等保要求三級等保要求解決方案網(wǎng)絡(luò)結(jié)構(gòu)安全網(wǎng)絡(luò)設(shè)備處

30、理能力和網(wǎng)絡(luò)帶寬冗余；網(wǎng)絡(luò)拓撲圖繪制；子網(wǎng)劃分和地址分配；網(wǎng)絡(luò)設(shè)備處理能管理和網(wǎng)絡(luò)帶寬冗 余；網(wǎng)絡(luò)拓撲圖繪制；子網(wǎng)劃分和地 址分配；終端和服務(wù)器之間建立安全 訪問路徑；邊界和重要網(wǎng)段之間隔 離；網(wǎng)絡(luò)擁堵時對重要主機優(yōu)先保 護；根據(jù)局峰業(yè)務(wù) 流量選擇高端 設(shè)備，核心交 換接入設(shè)備采 用雙機冗余； 合理劃分子 網(wǎng)、VLAN 、 安全域，網(wǎng)絡(luò) 設(shè)備帶寬優(yōu)先 級規(guī)劃。訪問控制部署訪問控制設(shè)備，啟 用訪問控制功能；根據(jù) 會話狀態(tài)提供允許/拒 絕訪問能力；按訪問控 制規(guī)則進行資源訪問部署訪問控制設(shè)備，啟用訪問控制功 能；根據(jù)會話狀態(tài)提供允許/拒絕訪問 能力，控制粒度為端口級；按訪問控 制規(guī)則進行資源訪問控

31、制，粒度到單 個用戶；限制撥號訪問用戶數(shù)量；網(wǎng)網(wǎng)絡(luò)邊界部署防火墻，制定相應(yīng)ACL策略控制，粒度到單個用戶；限制撥號訪問用戶數(shù)量絡(luò)信息內(nèi)容過濾，應(yīng)用層協(xié)議命令級 控制；會話終止；網(wǎng)絡(luò)流量數(shù)和連接 數(shù)控制；重要網(wǎng)段防地址欺騙安全審計網(wǎng)絡(luò)設(shè)備狀況、網(wǎng)絡(luò)流量、用戶行為日志記錄網(wǎng)絡(luò)設(shè)備狀況、網(wǎng)絡(luò)流量、用戶行為日志記錄；數(shù)據(jù)分析和報表生成；審計記錄保護部署網(wǎng)絡(luò)安全審計系統(tǒng)邊界完整性檢查安全準(zhǔn)入控制和非法外聯(lián)監(jiān)控安全準(zhǔn)入控制和非法外聯(lián)監(jiān)控并進行有效阻斷部署終端安全管理系統(tǒng)入侵防范攻擊行為檢測攻擊行為檢測；攻擊日志記錄和告警部署入侵檢測系統(tǒng)惡意代碼防范尢要求網(wǎng)絡(luò)邊界病毒查殺；病毒庫升級部署入侵保護系統(tǒng)網(wǎng)絡(luò)設(shè)備

32、防護身份鑒別；管理員登陸地址限制；用戶標(biāo)識唯一；登陸失敗處理；鑒別信息加密；身份鑒別；管理員登陸地址限制；用 戶標(biāo)識唯一；登陸失敗處理；鑒別信息加密；身份鑒另采用2種或以上鑒 別技術(shù)；特權(quán)權(quán)限分離部署等級保護安全配置核查系統(tǒng)主機身份鑒別操作系統(tǒng)和數(shù)據(jù)庫用戶身份鑒別；登錄失敗 處理；鑒別信息傳輸加 密；用戶唯一性；操作系統(tǒng)和數(shù)據(jù)庫用戶身份鑒別；登錄失敗處理；鑒別信息傳輸加密；用戶唯一性；身份鑒別采用2種或以上 鑒別技術(shù)部署等級保護安全配置核查系統(tǒng)訪問控制啟用訪問控制功能；操 作系統(tǒng)和數(shù)據(jù)庫特權(quán)用戶權(quán)限分離；默認(rèn)賬 戶配置修改；多余過期 用戶刪除啟用訪問控制功能；操作系統(tǒng)和數(shù)據(jù) 庫特權(quán)用戶權(quán)限分離

33、； 默認(rèn)賬戶配置 修改；多余過期用戶刪除；角色權(quán)限 分配，權(quán)限分離和最小權(quán)限原則； 重 要信息敏感標(biāo)記；強制訪問控制部署堡壘機安全審計記錄服務(wù)器的系統(tǒng)用 戶和數(shù)據(jù)庫用戶的重 要安全相關(guān)行為、事記錄服務(wù)器和重要客戶端的系統(tǒng)用戶和數(shù)據(jù)庫用戶的重要安全相關(guān)行為、事件；審計記錄保護； 審計報表部署堡壘機件；審計記錄保護生成；審計進程保護剩余信息保護無鑒別信息再分配前清除，系統(tǒng)文件、目錄、數(shù)據(jù)庫記錄再分配前清除操作系統(tǒng)及數(shù)據(jù)庫加固入侵防范操作系統(tǒng)最小安裝原則，定期升級操作系統(tǒng)最小安裝原則，定期升級；檢測對重要服務(wù)器的入侵行為；重要程序完整性檢測和破壞后的恢復(fù)。部署網(wǎng)絡(luò)入侵 檢測系統(tǒng)、終 端管理軟件， 漏

34、洞掃描惡意代碼防范安裝防惡意代碼軟件，定期升級；惡意代碼軟件統(tǒng)一管理安裝防惡意代碼軟件，定期升級；惡意代碼軟件統(tǒng)一管理； 主機和網(wǎng)絡(luò)防惡意代碼軟件品牌異構(gòu)部署終端殺毒軟件資源控制終端登錄控制；終端超 時鎖定；單個用戶資源 限制終端登錄控制；終端超時鎖定；單個用戶資源限制安全加固應(yīng)用身份鑒別啟用身份鑒別機制；登錄失敗處理啟用身份鑒別機制；登錄失敗處理；身份鑒別采用2種或以上鑒別技術(shù)部署CA認(rèn)證系統(tǒng)訪問控制啟用訪問控制機制，控 制用戶對文件、數(shù)據(jù)庫 表等的訪問；啟用訪問 控制策略；賬戶最小權(quán) 限原則和權(quán)限制約啟用訪問控制機制，控制用戶對文件、數(shù)據(jù)庫表等的訪問；啟用訪問控制策略；賬戶最小權(quán)限原則和權(quán)

35、限制約；重要信息敏感標(biāo)記； 重要信息強制訪問控制部署CA認(rèn)證系統(tǒng)安全審計啟用安全審計機制，審計每個用戶、系統(tǒng)重要安全事件啟用安全審計機制，審計每個用戶、系統(tǒng)重要安全事件；審計報表生成部署應(yīng)用防護系統(tǒng)剩余信息保護無鑒別信息再分配前清除，系統(tǒng)義件、目錄、數(shù)據(jù)庫記錄再分配前清除操作系統(tǒng)及數(shù)據(jù)庫加固通信完整性應(yīng)采用技術(shù)保障信息過程中數(shù)據(jù)完整性應(yīng)采用密碼技術(shù)保障信息過程中數(shù)據(jù)完整性部署PKI體系通信保密會話初始化驗證，通信會話初始化驗證，通信過程整個報文部署PKI體系性過程加密或會話過程加密抗抵賴提供數(shù)據(jù)原發(fā)或接收證據(jù)提供數(shù)據(jù)原發(fā)或接收證據(jù)部署PKI體系軟件容錯數(shù)據(jù)校驗功能，故障時能繼續(xù)提供一部分功能數(shù)

36、據(jù)校驗功能，故障時能繼續(xù)提供一部分功能代碼審核資源控制會話超時自動結(jié)束，限制最大并發(fā)連接數(shù)，單個賬戶多重會話限制會話超時自動結(jié)束， 限制最大并發(fā)連接數(shù)，單個賬戶多重會話限制安全加固數(shù)據(jù)與備 份恢 復(fù)數(shù)據(jù)完整性能檢測到鑒別信息和業(yè)務(wù)數(shù)據(jù)在傳輸過程中受到的破壞能檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和業(yè)務(wù)數(shù)據(jù)在傳輸和 存儲過程中受到的破壞，并采取恢復(fù)措施VPN加密，數(shù)據(jù)庫訪問控制數(shù)據(jù)保密性米用加密或其他措施實現(xiàn)鑒別信息的存儲保密米用加密或其他措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息、重要業(yè)務(wù)數(shù)據(jù)傳輸存儲過程保密信息加密備份與恢復(fù)重要信息備份恢復(fù)，關(guān)鍵網(wǎng)絡(luò)設(shè)備、線路、數(shù)據(jù)硬件冗余重要信息備份恢復(fù)，關(guān)鍵網(wǎng)絡(luò)設(shè)備、線路、數(shù)

37、據(jù)硬件冗余重要信息定期備份，設(shè)備冗余安全技術(shù)體系方案設(shè)計物理層安全物理安全主要包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、 防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護。該部分內(nèi)容參考信息系統(tǒng)安全等級保護基本要求的三級標(biāo)準(zhǔn)的要求進行建設(shè)。建設(shè)過程中可以參考的標(biāo)準(zhǔn)主要包括：GB50174 93 電子計算機機房設(shè)計規(guī)范GB 50057 1994建筑物防雷設(shè)計規(guī)范GB 2887-88計算站場地安全要求GB 2887-89計算站場地技術(shù)條件BMB4-2000 電磁干擾器技術(shù)要求和測試方法網(wǎng)絡(luò)層安全網(wǎng)絡(luò)層安全主要涉及的方面包括結(jié)構(gòu)安全、訪問控制、安全審計、入侵防范、惡意代碼防

38、范、網(wǎng)絡(luò)設(shè)備防護幾大類安全控制。安全域劃分安全域劃分原則：業(yè)務(wù)保障原則安全域方法的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時，還要保障業(yè)務(wù)的正常運行和運行效率。適度安全原則在安全域劃分時會面臨有些業(yè)務(wù)緊密相連，但是根據(jù)安全要求（信息密級要求，訪問應(yīng)用要求等）又要將其劃分到不同安全域的矛盾。是將業(yè)務(wù)按安全域的要求強性劃分，還是合并安全域以滿足業(yè)務(wù)要求？必須綜合考慮業(yè)務(wù)隔離的難度和合并安全域的風(fēng)險（會出現(xiàn)有些資產(chǎn)保護級別不夠），從而給出合適的安全域劃分。結(jié)構(gòu)簡化原則安全域方法的直接目的和效果是要將整個網(wǎng)絡(luò)變得更加簡單，簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計防護體系。比如， 安全域劃分并不是粒度越細

39、越好，安全域數(shù)量過多過雜可能導(dǎo)致安全域的管理過于復(fù)雜和困難。等級保護原則安全域的劃分要做到每個安全域的信息資產(chǎn)價值相近，具有相同或相近的安全等級安全環(huán)境安全策略等。立體協(xié)防原則安全域的主要對象是網(wǎng)絡(luò)，但是圍繞安全域的防護需要考慮在各個層次上立體防守，包括在物理鏈路網(wǎng)絡(luò)主機系統(tǒng)應(yīng)用等層次；同時， 在部署安全域防護體系的時候，要綜合運用身份鑒別訪問控制檢測審計鏈路冗余內(nèi)容檢測等各種安全功能實現(xiàn)協(xié)防。生命周期原則對于安全域的劃分和布防不僅僅要考慮靜態(tài)設(shè)計，還要考慮不斷的變化；另外， 在安全域的建設(shè)和調(diào)整過程中要考慮工程化的管理。XX 醫(yī)院數(shù)據(jù)中心規(guī)劃以兩臺核心交換機作為數(shù)據(jù)中心網(wǎng)絡(luò)的核心，通過二條專

40、線接入XX 醫(yī)院外網(wǎng)，網(wǎng)絡(luò)邊界通過二臺防火墻設(shè)備實現(xiàn)內(nèi)部網(wǎng)絡(luò)與XX 醫(yī)院外網(wǎng)之間的安全隔離與訪問控制。業(yè)務(wù)網(wǎng)內(nèi)部根據(jù)業(yè)務(wù)類型及安全需求劃分為如圖所示的多個安全區(qū)域：外聯(lián)區(qū)：與數(shù)據(jù)中心核心交換機互聯(lián)，在 XX 醫(yī)院外網(wǎng)接入處部署防火墻，通過防火墻進行訪問控制，實現(xiàn)安全隔離。數(shù)據(jù)交換區(qū)：用于部署數(shù)據(jù)中心的測試服務(wù)器、交換服務(wù)器及總線服務(wù)器等數(shù)據(jù)交換服務(wù)器。應(yīng)用服務(wù)器區(qū)：用于部署數(shù)據(jù)中心的核心業(yè)務(wù)應(yīng)用系統(tǒng)，根據(jù)相關(guān)要求通過部署防火墻、入侵防御來與其它網(wǎng)絡(luò)進行安全隔離，同時部署WEB 應(yīng)用防火墻對基于WEB 的應(yīng)用系統(tǒng)進行防護。核心數(shù)據(jù)區(qū)：主要部署各業(yè)務(wù)系統(tǒng)所需的核心數(shù)據(jù)庫及后臺服務(wù)器，該區(qū)域依照等保

41、要求架設(shè)網(wǎng)絡(luò)環(huán)境。安全管理運維區(qū)域及辦公服務(wù)器區(qū)域之間通過合理的VLAN 劃分及交換機的訪問控制列表來加以隔離。并通過部署審計系統(tǒng)對數(shù)據(jù)操作進行安全審計。安全管理區(qū)：用于部署信息系統(tǒng)安全管理及網(wǎng)絡(luò)管理的相關(guān)服務(wù)器及軟硬件系統(tǒng)，依照等保要求架設(shè)網(wǎng)絡(luò)環(huán)境。與業(yè)務(wù)服務(wù)器區(qū)域及互聯(lián)網(wǎng)遠程接入?yún)^(qū)域之間通過合理的VLAN 劃分及交換機的訪問控制列表來加以隔離。根據(jù)重點業(yè)務(wù)重點保護的原則，將核心交換區(qū)、應(yīng)用服務(wù)區(qū)和核心數(shù)據(jù)區(qū)劃分為三級安全區(qū)域，依據(jù)等級保護三級標(biāo)準(zhǔn)進行相應(yīng)的安全建設(shè)；數(shù)據(jù)交換區(qū)劃分為二級安全區(qū)域，依據(jù)等級保護二級標(biāo)準(zhǔn)進行相應(yīng)的安全建設(shè)。邊界訪問控制在網(wǎng)絡(luò)結(jié)構(gòu)中，需要對各區(qū)域的邊界進行訪問控制

42、，對于 XX 醫(yī)院外網(wǎng)邊界、數(shù)據(jù)交換區(qū)邊界、 應(yīng)用服務(wù)區(qū)域邊界及核心數(shù)據(jù)區(qū)邊界，需采取部署防火墻的方式實現(xiàn)高級別的訪問控制，各區(qū)域訪問控制方式說明如下：外聯(lián)區(qū)：通過部署高性能防火墻，實現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)與XX 醫(yī)院外網(wǎng)之間的訪問控制；數(shù)據(jù)交換區(qū)：通過核心交換機的VLAN 劃分、訪問控制列表以及在出口處部署防火墻實現(xiàn)對數(shù)據(jù)交換區(qū)的訪問控制。應(yīng)用服務(wù)區(qū)：通過核心交換機的VLAN 劃分、訪問控制列表以及在出口處部署防火墻實現(xiàn)對應(yīng)用服務(wù)區(qū)的訪問控制。核心數(shù)據(jù)區(qū)：通過核心交換機的VLAN 劃分、訪問控制列表以及在出口處部署防火墻實現(xiàn)對核心數(shù)據(jù)區(qū)的訪問控制。網(wǎng)絡(luò)審計網(wǎng)絡(luò)安全審計系統(tǒng)主要用于監(jiān)視并記錄網(wǎng)絡(luò)中的各

43、類操作，偵查系統(tǒng)中存在的現(xiàn)有和潛在的威脅，實時地綜合分析出網(wǎng)絡(luò)中發(fā)生的安全事件，包括各種外部事件和內(nèi)部事件。在數(shù)據(jù)中心核心交換機處旁路部署網(wǎng)絡(luò)行為監(jiān)控與審計系統(tǒng)，形成對全網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)的流量檢測并進行相應(yīng)安全審計，同時和其他網(wǎng)絡(luò)安全設(shè)備共同為集中安全管理提供監(jiān)控數(shù)據(jù)用于分析及檢測。網(wǎng)絡(luò)行為監(jiān)控和審計系統(tǒng)將獨立的網(wǎng)絡(luò)傳感器硬件組件連接到網(wǎng)絡(luò)中的數(shù)據(jù)匯聚點設(shè)備上， 對網(wǎng)絡(luò)中的數(shù)據(jù)包進行分析、匹配、 統(tǒng)計， 通過特定的協(xié)議算法，從而實現(xiàn)入侵檢測、信息還原等網(wǎng)絡(luò)審計功能，根據(jù)記錄生成詳細的審計報表。網(wǎng)絡(luò)行為監(jiān)控和審計系統(tǒng)采取旁路技術(shù)， 不用在目標(biāo)主機中安裝任何組件。同時玩了個審計系統(tǒng)可以與其他網(wǎng)絡(luò)安全設(shè)備

44、進行聯(lián)動，將各自的監(jiān)控記錄送往安全管理安全域中的安全管理服務(wù)器，集中對網(wǎng)絡(luò)異常、攻擊和病毒進行分析和檢測。網(wǎng)絡(luò)入侵防范根據(jù)數(shù)據(jù)中心的業(yè)務(wù)安全需求和等級保護三級對入侵防范的要求，需要在網(wǎng)絡(luò)中部署入侵檢測產(chǎn)品。入侵檢測和產(chǎn)品通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析， 從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測產(chǎn)品應(yīng)支持深度內(nèi)容檢測、技術(shù)。配合實時更新的入侵攻擊特征庫，可檢測網(wǎng)絡(luò)攻擊行為，包括病毒、 蠕蟲、 木馬、 間諜軟件、可疑代碼、探測與掃描等各種網(wǎng)絡(luò)威脅。當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴(yán)重入侵事件時應(yīng)提

45、供報警。同時基于數(shù)據(jù)中心對網(wǎng)絡(luò)攻擊行為的可控性，入侵檢測產(chǎn)品有限的響應(yīng)方式以及和防火墻聯(lián)動的延遲和兼容性問題，這里推薦部署入侵保護產(chǎn)品，實現(xiàn)在入侵檢測的基礎(chǔ)上對攻擊行為進行阻斷，實現(xiàn)對入侵行為實時有效的防范。入侵檢測/保護產(chǎn)品部署于外聯(lián)區(qū)防火墻之后，是數(shù)據(jù)中心繼防火墻邊界訪問控制后的第二道防線。邊界惡意代碼防范根據(jù)數(shù)據(jù)中心業(yè)務(wù)風(fēng)險分析和等級保護三級對邊界惡意代碼防范的要求，需要在互聯(lián)網(wǎng)邊界部署防病毒產(chǎn)品。防病毒產(chǎn)品應(yīng)具備針對HTTP、 FTP、 SMTP、 POP3、 IMAP 以及 MSN協(xié)議的內(nèi)容檢查、清除病毒的能力。支持查殺引導(dǎo)區(qū)病毒、文件型病毒、宏病毒、 蠕蟲病毒、特洛伊木馬、后門程序

46、、惡意腳本等各種惡意代碼。并定期提供對病毒庫版本的升級。網(wǎng)絡(luò)設(shè)備保護對于網(wǎng)絡(luò)中關(guān)鍵的交換機、路由器設(shè)備，也需要采用一定的安全設(shè)置及安全保障手段來實現(xiàn)網(wǎng)絡(luò)層的控制。主要是根據(jù)等級保護基本要求配置網(wǎng)絡(luò)設(shè)備自身的身份鑒別與權(quán)限控制，包括：登錄地址、標(biāo)識符、口令復(fù)雜度、失敗處理、傳輸加密、特權(quán)用戶權(quán)限分配等方面對網(wǎng)絡(luò)設(shè)備進行安全加固。由于不同網(wǎng)絡(luò)設(shè)備安全配置的不同、配置維護工作繁雜，且信息安全是動態(tài)變化的，因此這里推薦通過自動化的配置核查設(shè)備，對網(wǎng)絡(luò)層面和主機層的安全配置進行定期掃描核查，及時發(fā)現(xiàn)不滿足基線要求的相關(guān)配置，并根據(jù)等級保護的安全配置要求提供相對應(yīng)的安全配置加固指導(dǎo)。主機層安全主機層安全主

47、要從身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范、資源控制等方面來進行防護。身份鑒別為提高主機系統(tǒng)安全性，保障各種應(yīng)用的正常運行，對主機系統(tǒng)需要進行一系列的加固措施，包括：對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標(biāo)識和鑒別，且保障用戶名的唯一性。衛(wèi)生信息平臺所有用戶應(yīng)當(dāng)具備獨一無二的標(biāo)識符以便跟蹤后續(xù)行為，從而可以將責(zé)任對應(yīng)到人。用戶ID 不得表示用戶的權(quán)限級別，比如經(jīng)理或主管等等。根據(jù)基本要求配置用戶名/口令，口令必須具備采用3 中以上字符、長度不少于8位并定期更換。啟用登錄失敗處理功能，登錄失敗后采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施，重要的主機系統(tǒng)應(yīng)對與之相

48、連的服務(wù)器或終端設(shè)備進行身份標(biāo)識和鑒別。遠程管理時應(yīng)啟用SSH 等管理方式，加密管理數(shù)據(jù)，防止被網(wǎng)絡(luò)竊聽。對主機管理員登錄采取雙因素認(rèn)證方式，采用USBkey+ 密碼進行身份鑒別。強制訪問控制應(yīng)在主機層啟用強制訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問，對重要信息資源設(shè)置敏感標(biāo)記，安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作。強制訪問控制主要是對核心數(shù)據(jù)區(qū)的文件、數(shù)據(jù)庫等資源的訪問進行控制，避免越權(quán)非法使用。采用的措施主要包括以下幾個方面。啟用訪問控制功能：制定嚴(yán)格的訪問控制安全策略，根據(jù)策略控制用戶對應(yīng)用系統(tǒng)的訪問，特別是文件操作、數(shù)據(jù)訪問等，控制粒度主體為用戶級，客體為文件或者數(shù)

49、據(jù)庫表級別。權(quán)限控制：對于制定的訪問控制規(guī)則要能清楚的覆蓋資源訪問相關(guān)的主題、客體及它們之間的操作。對于不同的用戶授權(quán)原則是進行能夠完成工作的最小化授權(quán)，避免授權(quán)范圍過大，并在它們之間形成互相支援的關(guān)系。賬號管理：嚴(yán)格限制默認(rèn)賬戶的訪問權(quán)限，重命名默認(rèn)賬戶，修改默認(rèn)口令，及時刪除多余的、過期的賬戶，避免共享賬戶的存在。訪問控制的實現(xiàn)主要是采取兩種方式：采用安全操作系統(tǒng)，或?qū)Σ僮飨到y(tǒng)進行安全改造，且使用效果要達到以上要求。對于強制訪問控制中的權(quán)限分配和賬號管理部分可以通過等級保護配置核查產(chǎn)品進行定期掃描核查，及時發(fā)現(xiàn)與基線要求不符的配置并進行加固。同時賬號管理和權(quán)限控制部分還可以通過堡壘機產(chǎn)品來

50、進行強制管控，滿足強制訪問控制的要求。主機入侵防范根據(jù)等級保護三級要求，需要對主機入侵行為進行防范。針對主機的入侵防范，可以從以下多個角度進行處理：部署入侵檢測/保護系統(tǒng)，在防范網(wǎng)絡(luò)入侵的同時對關(guān)鍵主機的操作系統(tǒng)提供保護，提供根據(jù)入侵事件的風(fēng)險程度進行分類報警。部署漏洞掃描進行安全性檢測，及時發(fā)現(xiàn)主機漏洞并進行修補，減少攻擊者可利用的對象。操作系統(tǒng)的安全遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，關(guān)閉多余服務(wù)等，減少組件、應(yīng)用程序和服務(wù)中可能存在的漏洞。根據(jù)系統(tǒng)類型進行安全配置的加固處理。主機審計主機層審計記錄系統(tǒng)用戶和數(shù)據(jù)庫用戶重要的安全相關(guān)事件。系統(tǒng)用戶審計主要包括重要用戶行為、系統(tǒng)資

51、源的異常使用和重要程序功能的執(zhí)行等；還包括數(shù)據(jù)文件的打開關(guān)閉，具體的行動，諸如讀取、編輯和刪除記錄，以及打印報表等。對于系統(tǒng)用戶審計建議可以通過堡壘機來實現(xiàn)，堡壘機是集賬號權(quán)限管控以及用戶行為審計與一體的安全運維產(chǎn)品，能夠通過錄屏，記錄命令行等方式記錄用戶對重要服務(wù)器的訪問行為以及所做的各種操作。數(shù)據(jù)庫用戶審計主要包括用戶的各種數(shù)據(jù)庫操作，如插入、更新、刪除、修改等行為。對于某些對數(shù)據(jù)可用性、保密性和完整性方面十分敏感的應(yīng)用，要求能夠捕捉到每個所改變記錄的事前和事后的情況。對于數(shù)據(jù)庫用戶審計建議可以通過網(wǎng)絡(luò)審計產(chǎn)品來實現(xiàn)，網(wǎng)絡(luò)審計產(chǎn)品以旁路方式接入網(wǎng)絡(luò)，不會對網(wǎng)絡(luò)造成影響，能夠?qū)λ袛?shù)據(jù)庫操作

52、行為進行細粒度的記錄，以便事后追查。惡意代碼防范針對病毒風(fēng)險，應(yīng)在數(shù)據(jù)中心所有服務(wù)器和終端主機上部署防病毒系統(tǒng)，加強終端主機的病毒防護能力并及時升級惡意代碼軟件版本以及惡意代碼庫。同時部署防病毒服務(wù)器，負責(zé)制定終端主機防病毒策略，進行防病毒系統(tǒng)的統(tǒng)一管理。終端防病毒系統(tǒng)應(yīng)與網(wǎng)絡(luò)防病毒系統(tǒng)為不同品牌，以構(gòu)成立體防護體系。剩余信息保護為實現(xiàn)剩余信息保護，達到客體安全重用，應(yīng)及時清除剩余信息存儲空間，建議通過對操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)進行安全加固配置，使得操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)具備及時清除剩余信息的功能，從而保證用戶的鑒別信息、文件、 目錄、 數(shù)據(jù)庫記錄等敏感信息所在的存儲空間（內(nèi)存、硬盤）被及時釋放或者

53、再分配給其他用戶前得到完全清除。資源控制對主機層面的資源控制可以通過以下幾個方面來實現(xiàn)：登錄條件限制：在交換、路由設(shè)定終端接入控制，或使用主機防護軟件設(shè)定終端接入限制，對網(wǎng)絡(luò)地址范圍等條件限制用戶終端登錄。用戶可用資源閾值：限制單個用戶對系統(tǒng)資源的最大最小使用限度，保障正常合理的資源占用。設(shè)定安全策略對在終端登錄超時的用戶進行鎖定，使用主機監(jiān)控產(chǎn)品對重要的服務(wù)器進行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況，并對用戶的資源使用情況做出大小使用度限制。當(dāng)系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進行檢測和報警。通過內(nèi)網(wǎng)終端管理系統(tǒng)實現(xiàn)對用戶的接入方式、登陸超時鎖定、主機資源、網(wǎng)絡(luò)資

54、源等進行告警及控制。建議根據(jù)基本要求通過安全加固措施對主機資源進行限定，還可以通過部署監(jiān)控管理系統(tǒng)進行資源監(jiān)控。應(yīng)用層安全身份鑒別為提高應(yīng)用服務(wù)安全性，保障各種業(yè)務(wù)的正常運行，應(yīng)在應(yīng)用系統(tǒng)開發(fā)過程中進行相應(yīng)身份鑒別功能的開發(fā)，包括：根據(jù)基本要求配置用戶名/口令，口令必須具備采用3 中以上字符、長度不少于8位并定期更換。保證系統(tǒng)用戶名具有唯一性。啟用登錄失敗處理功能，登錄失敗后采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施。對用戶登錄采取雙因素認(rèn)證方式，采用USBkey+ 密碼進行身份鑒別或者通過CA系統(tǒng)進行身份鑒別。訪問控制應(yīng)用層訪問控制可以通過以下幾個方面實現(xiàn)：根據(jù)等級保護基本要求進行訪問控

55、制的配置，包括：權(quán)限定義、默認(rèn)賬號的權(quán)限管理、控制粒度的確定等。通過安全加固措施制定嚴(yán)格的用戶權(quán)限策略，保證賬號、口令等符合安全策略要求。通過防火墻制定符合基本要求的ACL 策略。通過部署WEB 應(yīng)用防火墻保護基于WEB 的應(yīng)用服務(wù)器安全審計應(yīng)用層安全審計是對業(yè)務(wù)應(yīng)用系統(tǒng)行為的審計，需要與應(yīng)用系統(tǒng)緊密結(jié)合，此審計功能應(yīng)與應(yīng)用系統(tǒng)統(tǒng)一開發(fā)。數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)審計應(yīng)記錄系統(tǒng)重要安全時間的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等，并保護好審計結(jié)果，阻止非法刪除、修改或覆蓋審計記錄。同時能夠?qū)τ涗洈?shù)據(jù)進行統(tǒng)計、查詢、分析及生產(chǎn)審計報表。同時可以部署數(shù)據(jù)庫審計系統(tǒng)對用戶行為、用戶事件及系統(tǒng)狀態(tài)加以審計、

56、范圍覆蓋到每個用戶，從而把握數(shù)據(jù)庫系統(tǒng)的整體安全性。剩余信息保護為實現(xiàn)剩余信息保護，達到客體安全重用，應(yīng)及時清除剩余信息存儲空間，建議通過對操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)進行安全加固配置，使得操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)具備及時清除剩余信息的功能，從而保證用戶的鑒別信息、文件、目錄、數(shù)據(jù)庫記錄等敏感信息所在的存儲空間（內(nèi)存、硬盤）被及時釋放或者再分配給其他用戶前得到完全清除。通信完整性對于信息傳輸和存儲的完整性校驗可采用消息摘要機制確保完整性校驗，應(yīng)在應(yīng)用系統(tǒng)開發(fā)過程中進行數(shù)據(jù)完整性校驗功能開發(fā)。對于信息傳輸?shù)耐暾孕ｒ瀾?yīng)由傳輸加密系統(tǒng)完成，可以通過部署VPN 系統(tǒng)以保證遠程數(shù)據(jù)傳輸?shù)臄?shù)據(jù)完整性。對于信息存儲的

57、完整性校驗應(yīng)由應(yīng)由系統(tǒng)和數(shù)據(jù)庫系統(tǒng)完成。通信保密性應(yīng)用層的通信保密性主要由應(yīng)用系統(tǒng)完成，應(yīng)在應(yīng)用系統(tǒng)開發(fā)過程中進行數(shù)據(jù)加密的開發(fā)。 在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進行繪畫初始化驗證，并對通信過程中的敏感信息字段進行加密。對于信息傳輸?shù)耐ㄐ疟Ｃ苄詰?yīng)由加密系統(tǒng)完成?？梢酝ㄟ^部署 VPN 系統(tǒng)以保證遠程數(shù)據(jù)傳輸?shù)臄?shù)據(jù)機密性?？沟仲囆钥沟仲囆钥梢酝ㄟ^數(shù)字簽名技術(shù)實現(xiàn)，通過數(shù)字簽名及簽名驗證技術(shù)，可以判斷數(shù)據(jù)的發(fā)送方是否是真是存在的用戶。數(shù)字簽名是不對稱加密算法的典型應(yīng)用。數(shù)字簽名的應(yīng)用過程是： 數(shù)據(jù)源發(fā)送方是用自己的四月對數(shù)據(jù)校驗和對其他與數(shù)據(jù)內(nèi)容有關(guān)的便利進行加密處理，完成對數(shù)據(jù)的合

58、法“簽名”，數(shù)據(jù)接收方則利用對方的公鑰來解讀收到的“數(shù)字簽名”并將解讀結(jié)果用于對數(shù)據(jù)完整性的檢驗，以確認(rèn)簽名的合法性的同時，通過對簽名的驗證，可以判斷數(shù)據(jù)在傳輸過程中是否被更改。從而， 可以實現(xiàn)數(shù)據(jù)的發(fā)送方不能對發(fā)送的數(shù)據(jù)進行抵賴，發(fā)送的數(shù)據(jù)是完整的，實現(xiàn)系統(tǒng)的抗抵賴性和完整性需求。軟件容錯對于軟件容錯應(yīng)在應(yīng)用系統(tǒng)開發(fā)過程中進行相應(yīng)容錯功能的開發(fā)，并在上線之前進行代碼審核，對輸入數(shù)據(jù)進行校驗，保證復(fù)核規(guī)定；且應(yīng)具備自動保護功能設(shè)計，故障后可以恢復(fù)。資源控制應(yīng)用層面的資源控制可以通過系統(tǒng)安全加固措施進行系統(tǒng)資源限定來實現(xiàn)：會話自動結(jié)束：當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方

59、應(yīng)能夠自動結(jié)束會話，釋放資源；會話限制：對應(yīng)用系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制，對一個時間段內(nèi)可能的并發(fā)會話連接數(shù)進行限制，對單個帳戶的多重并發(fā)會話進行限制，設(shè)定相關(guān)閾值，保證系統(tǒng)可用性。超時鎖定：根據(jù)安全策略設(shè)置應(yīng)用會話超時鎖定。應(yīng)能夠?qū)σ粋€訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額；應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進行檢測和報警；應(yīng)提供服務(wù)優(yōu)先級設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或請求進程的優(yōu)先級，根據(jù)優(yōu)先級分配系統(tǒng)資源。數(shù)據(jù)層安全數(shù)據(jù)完整性數(shù)據(jù)中心中傳輸?shù)闹匾獢?shù)據(jù)，其安全要求較高，尤其是血液系統(tǒng)中的數(shù)據(jù)信息和精神衛(wèi)其方法是：發(fā)送方使生管理系統(tǒng)中的隱私信息，

60、建議采用消息摘要機制來確保完整性校驗。用散列函數(shù)，如(SHA， MD5 等)對要發(fā)送的信息進行摘要計算，得到信息的鑒別碼，聯(lián)通信息一起發(fā)送給接收方，將信息也信息摘要進行打包后插入身份鑒別標(biāo)識，發(fā)送給接收方。接收方對接收到的信息，首先確認(rèn)發(fā)送方的身份信息，解包后，重新計算，將得到的鑒別碼與收到的鑒別碼進行比較，若二者相同，則可以判定信息未被篡改，信息完整性沒有受到破壞。在傳輸過程中可以通過VPN 系統(tǒng)來保證數(shù)據(jù)包是完整性、保密性和可用性。數(shù)據(jù)存儲過程中的完整性可以通過數(shù)據(jù)庫的訪問控制來實現(xiàn)。讀訪問控制必須制定相應(yīng)的控制措施，以確保獲準(zhǔn)訪問數(shù)據(jù)庫或數(shù)據(jù)庫表的個體，能夠在數(shù)據(jù)庫數(shù)據(jù)的信息分類級別的合