醫(yī)療機構(gòu)混合云建設(shè)安全技術(shù)要求

1醫(yī)療機構(gòu)混合云建設(shè)安全技術(shù)要求本標準規(guī)定了醫(yī)療機構(gòu)選擇使用混合云計算技術(shù)部署業(yè)務(wù)應(yīng)用時，所需要考慮的安全技術(shù)要求，涵蓋基礎(chǔ)硬件安全、云管理平臺、數(shù)據(jù)安全（包括患者隱私保護）、安全管理功能、安全技術(shù)管理要求、可選組件安全等內(nèi)容。本標準適用于醫(yī)療機構(gòu)的云服務(wù)提供者、云服務(wù)使用者、云服務(wù)合作伙伴、云服務(wù)維護者等。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是標注日期的引用文件，僅標注日期的版本適用于本文件。凡是不標注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T32400-2015信息技術(shù)云計算概覽與詞匯GB50174-2017數(shù)據(jù)中心設(shè)計規(guī)范GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T31168信息安全技術(shù)云計算服務(wù)安全能力要求GB/T31167信息安全技術(shù)云計算服務(wù)安全指南3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1參與方Party一個或一組自然人或法人，無論該法人是否注冊。3.2云計算CloudComputing一種通過網(wǎng)絡(luò)將可伸縮、彈性共享的物理和虛擬資源池以按需自服務(wù)的方式供應(yīng)和管理的模式。注：資源包括服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)、軟件、3.3云服務(wù)CloudService通過云計算已定義的接口提供的一種或多種能力。3.4云服務(wù)提供者CloudServiceProvider2提供云服務(wù)的參與方。3.5云服務(wù)客戶CloudServiceCustomer為使用云服務(wù)而處于一定業(yè)務(wù)關(guān)系中的參與方。3.6云服務(wù)用戶CloudServiceUser云服務(wù)客戶中使用云服務(wù)的自然人或?qū)嶓w代表。3.7云服務(wù)合作者CloudServicePartner支撐或協(xié)助云服務(wù)提供者活動，云服務(wù)客戶活動，或者兩者共同活動的參與方。3.8云平臺Cloudplatform以抽象化和集中化的方式對云計算基礎(chǔ)架構(gòu)，平臺和軟件進行管理的工具和接口集合，通常通過API接口和網(wǎng)絡(luò)控制臺進行管理。3.9私有云PrivateCloud云服務(wù)僅被一個云服務(wù)客戶使用，且資源被該云服務(wù)客戶控制的一種云部署模型。3.10公有云PublicCloud云服務(wù)可被任意云服務(wù)客戶使用，且資源被云服務(wù)提供者控制的一種云部署模型。3.11混合云HybridCloud至少包含兩種不同的云部署模型的云部署模型。3.12基礎(chǔ)設(shè)施即服務(wù)IaaS為云服務(wù)客戶提供云能力類型中基礎(chǔ)設(shè)施能力類型的一種云服務(wù)類別。33.13平臺即服務(wù)PaaS為云服務(wù)客戶提供云能力類型中的平臺能力類型的一種云服務(wù)類型。3.14軟件即服務(wù)SaaS為云服務(wù)客戶提供云能力類型中的應(yīng)用能力類型的一種云服務(wù)類型。3.15安全即服務(wù)SecaaS為云服務(wù)客戶提供安全能力作為云服務(wù)的一種云服務(wù)類別。這包括專門的安全即服務(wù)提供商以及通用云計算提供商自帶的安全特性，包括授權(quán)、殺毒、反惡意軟件監(jiān)聽、入侵檢測和安全事件管理等其他安全能力。3.16數(shù)據(jù)存儲即服務(wù)DSaaS為云服務(wù)客戶提供配置和使用數(shù)據(jù)存儲及相關(guān)能力的一種云服務(wù)類別。3.17租戶Tenant對一組物理和虛擬資源進行共享訪問的一個或多個云服務(wù)客戶。3.18多租戶Multi-Tenant通過對物理和虛擬資源的分配實現(xiàn)多個租戶以及他們的計算和數(shù)據(jù)彼此隔離和不可訪3.19物理機服務(wù)BareMetalservice云服務(wù)提供者向云服務(wù)用戶提供物理服務(wù)器硬件環(huán)境的一種云服務(wù)。3.20虛擬機服務(wù)VirtualMachineservice通過各種虛擬化技術(shù)，為云服務(wù)用戶提供的操作系統(tǒng)和應(yīng)用程序運行環(huán)境的統(tǒng)稱。虛擬機通常會使用物理服務(wù)器資源。3.21虛擬化管理Hypervisor4從底層的物理資產(chǎn)中抽取資源，以創(chuàng)建資源池并進行集成管理的技術(shù)。3.22容器Container將應(yīng)用程序的代碼與相關(guān)配置文件、庫以及運行應(yīng)用所需的依賴項捆綁在一起的技術(shù)，使得開發(fā)人員和IT專業(yè)人員能夠跨環(huán)境無縫部署應(yīng)用程序。3.23資源池化ResourcePooling將云服務(wù)提供者的物理或虛擬資源集成起來服務(wù)于一個或多個云服務(wù)客戶。3.24敏感數(shù)據(jù)SensitiveData指一旦泄露可能會對云服務(wù)客戶或醫(yī)療機構(gòu)造成損失的數(shù)據(jù)，包括但不限于：a)云服務(wù)客戶敏感數(shù)據(jù)，如用戶口令等；b)系統(tǒng)敏感數(shù)據(jù)，如系統(tǒng)密鑰、關(guān)鍵系統(tǒng)管理數(shù)據(jù)等；c)其他需要保密的敏感業(yè)務(wù)數(shù)據(jù)，如醫(yī)療財務(wù)數(shù)據(jù)等；d)關(guān)鍵性的操作指令；e)系統(tǒng)主要配置文件；f)其他需要保密的數(shù)據(jù)。3.25患者個人隱私數(shù)據(jù)PatientPrivateData指在患者被充分告知并授權(quán)后，被云服務(wù)客戶獲取并處理，并存放在云服務(wù)提供者云計算環(huán)境中的，與患者有關(guān)的，一旦泄露可能會對患者造成損失的數(shù)據(jù)，包括但不限于：a)患者個人身份數(shù)據(jù)，如姓名、身份證號、住址、聯(lián)系電話等個人信息；b)在治療過程中獲得或產(chǎn)生的患者健康信息，如病歷信息等；c)其他在醫(yī)療服務(wù)過程中產(chǎn)生的與患者本人有關(guān)的信息,但不包括匿名化處理后的信3.26服務(wù)水平協(xié)議ServiceLevelAgreement,SLA服務(wù)提供者和客戶之間就服務(wù)和服務(wù)目標達成的書面協(xié)議。3.27多因子認證Multi-factorauthentication，MFA是一種用戶訪問控制的方法，用戶要通過兩種以上的認證機制之后，才能得到身份認證和授權(quán)，使用資源。3.28虛擬私有云VirtualPrivateCloud，VPC為彈性云服務(wù)器構(gòu)建隔離的、云服務(wù)用戶自主配置和管理的虛擬網(wǎng)絡(luò)環(huán)境，提升用戶云中資源的安全性，簡化用戶的網(wǎng)絡(luò)部署。云服務(wù)用戶可以在VPC中定義安全組、VPN、IP5地址段、帶寬等網(wǎng)絡(luò)特性。云服務(wù)用戶可以通過VPC方便地管理、配置內(nèi)部網(wǎng)絡(luò)，進行安全、快捷的網(wǎng)絡(luò)變更。同時，用戶可以自定義安全組內(nèi)與組間彈性云服務(wù)器的訪問規(guī)則，加強彈性云服務(wù)器的安全保護。4縮略語API應(yīng)用程序編程接口（ApplicationProgrammingInterface）CPU中央處理單元（CentralProcessingUnit）DDoS分布式拒絕服務(wù)攻擊（DistributedDenialofService）DoS拒絕服務(wù)（DenialofService）HTTPS安全超文本傳輸協(xié)議（HypertextTransferProtocolSecure）IP互聯(lián)網(wǎng)協(xié)議（InternetProtocol）IaaS基礎(chǔ)設(shè)施即服務(wù)（InfrastructureasaService）PaaS平臺即服務(wù)（PlatformasaService）SaaS軟件即服務(wù)（SoftwareasaService）Secaas安全即服務(wù)（SecurityasaService）SQL結(jié)構(gòu)化查詢語言（StructuredQueryLanguage）VPN虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork）VPC虛擬私有云（VirtualPrivateCloud）MFA多因子認證（Multi-factorauthentication）ACL用戶訪問控制列表（AccessControlLists）RTO數(shù)據(jù)恢復(fù)時間目標（RecoveryTimeObjective）RPO數(shù)據(jù)恢復(fù)點目標（RecoveryPointObjective）CASB云訪問安全代理（CloudAccessSecurityBroker）DLP數(shù)據(jù)丟失防護（DataLosspreventiIAM身份識別與訪問管理（Identityan5概述5.1云計算安全共擔模型從宏觀上講，安全職責是與任何角色對于架構(gòu)堆棧的控制程度相對應(yīng)的，不同模式如下：——SaaS軟件即服務(wù)安全職責：云服務(wù)提供者負責幾乎所有的安全性，因為云服務(wù)用戶只能訪問和管理其訂閱并使用的應(yīng)用程序，無法更改應(yīng)用程序?！狿aaS平臺即服務(wù)安全職責：云服務(wù)提供者負責平臺服務(wù)的安全性，而云服務(wù)用戶負責他們在平臺服務(wù)上所部署的客戶化應(yīng)用，包括所有安全配置。——IaaS基礎(chǔ)設(shè)施即服務(wù)安全職責：類似PaaS，云服務(wù)提供者負責基礎(chǔ)架構(gòu)基本的安全能力，而云服務(wù)用戶負責他們建立在該基礎(chǔ)設(shè)施上的其它組件的安全。6醫(yī)療機構(gòu)在建立這種共享責任模式時，有如下兩條建議：——云服務(wù)提供者應(yīng)該清楚地設(shè)計、實施、記錄其內(nèi)部的安全控制和安全功能，并向云服務(wù)用戶進行準確說明?！獰o論是什么云項目，建議醫(yī)療機構(gòu)作為云服務(wù)用戶應(yīng)針對安全事項，建立一個責任矩陣。5.2混合云安全特性應(yīng)通過路由、訪問控制，甚至防火墻或兩個網(wǎng)絡(luò)之間的額外網(wǎng)絡(luò)安全工具來實現(xiàn)隔離。出于管理和安全方面的原因，通常宜將混合連接最小化。6基礎(chǔ)架構(gòu)安全6.1機房安全6.1.1私有云安全要求應(yīng)保證部署醫(yī)療機構(gòu)私有云平臺的物理數(shù)據(jù)中心及其全部附屬設(shè)施符合GB50174-2017《數(shù)據(jù)中心設(shè)計規(guī)范》相關(guān)要求。6.1.2公有云安全要求公有云安全要求包括：——應(yīng)保證用于服務(wù)醫(yī)療機構(gòu)的公有云數(shù)據(jù)中心運行環(huán)境、數(shù)據(jù)存儲和處理的物理設(shè)備、醫(yī)療機構(gòu)業(yè)務(wù)運行所需的物理設(shè)備均位于中國境內(nèi)；——應(yīng)保證用于服務(wù)醫(yī)療機構(gòu)的公有云運維和運營系統(tǒng)均部署在中國境內(nèi)。6.2硬件設(shè)備安全6.2.1私有云安全要求私有云安全要求包括：7——應(yīng)保證關(guān)鍵設(shè)備的冗余部署，以保證系統(tǒng)可用性和業(yè)務(wù)連續(xù)性；——應(yīng)提供監(jiān)控系統(tǒng)，實時監(jiān)控私有云硬件設(shè)備的運行狀態(tài)、資源使用狀況，并能在異常情況出現(xiàn)時發(fā)出告警信息；——應(yīng)保證有效的技術(shù)手段，對私有云硬件設(shè)備，尤其是存儲介質(zhì)在報廢或更換時，能夠確保對其上存儲的數(shù)據(jù)完全清除。6.2.2公有云安全要求公有云安全要求包括：——應(yīng)保證在云服務(wù)SLA中對系統(tǒng)高可用性配置和確保業(yè)務(wù)連續(xù)性能力作出承諾；——應(yīng)保證當異常情況發(fā)生時，及時評估對云服務(wù)用戶正常業(yè)務(wù)使用所帶來的影響，采取必要措施減少損失，并第一時間通知云服務(wù)用戶；——應(yīng)保證公有云的硬件設(shè)備，尤其是存儲介質(zhì)在報廢或更換時，確保對其上存儲的數(shù)據(jù)完全清除。6.3網(wǎng)絡(luò)安全6.3.1私有云安全要求私有云安全要求包括：——應(yīng)支持網(wǎng)絡(luò)架構(gòu)冗余設(shè)計，包括通訊鏈路冗余及網(wǎng)絡(luò)設(shè)備冗余；——應(yīng)確保私有云平臺的業(yè)務(wù)網(wǎng)絡(luò)和云管理網(wǎng)絡(luò)相互隔離；——應(yīng)保證采取安全控制措施防止非授權(quán)設(shè)備連接至私有云平臺的內(nèi)部網(wǎng)絡(luò)，同時防止私有云平臺的物理服務(wù)器建立非授權(quán)外聯(lián)（Internet）網(wǎng)絡(luò)接口。6.3.2公有云安全要求公有云安全要求包括：——應(yīng)支持為云服務(wù)用戶提供專線接入服務(wù)或VPN接入服務(wù)；——應(yīng)至少有三個不同的網(wǎng)絡(luò)被隔離到專用硬件上，而相互之間沒有功能或業(yè)務(wù)重疊：.服務(wù)網(wǎng)絡(luò)：用于連接虛擬機之間以及互聯(lián)網(wǎng)的網(wǎng)絡(luò)。.存儲網(wǎng)絡(luò)：用于連接虛擬存儲與虛擬機的存儲網(wǎng)絡(luò)。.管理網(wǎng)絡(luò)：用于云平臺管理和API流量控制的管理網(wǎng)絡(luò)。7虛擬資源池安全7.1虛擬資源池管理平臺安全7.1.1私有云安全要求應(yīng)保證用戶通過Web或API等接口訪問私有云虛擬化資源池管理平臺時采用可靠的身份認證措施。7.1.2公有云安全要求公有云安全要求包括：——應(yīng)保證公有云管理平臺的邊界安全，防止針對管理平面的組件本身（如Web和API服務(wù)器）的攻擊。它包括較低級別的網(wǎng)絡(luò)防御以及針對應(yīng)用程序攻擊的更高級別的防御。8——應(yīng)保證使用安全機制授權(quán)云服務(wù)用戶訪問公有云管理平臺。應(yīng)使用加密的、文件化的現(xiàn)有標準（如oAuth或HTTPS請求簽名）。——應(yīng)保證云服務(wù)用戶（包括特權(quán)賬戶，甚至個人賬戶）通過Web或API等接口遠程訪問公有云管理平臺時必須采用多因子認證（MFA）?！獞?yīng)提供日志、監(jiān)控和告警功能，這既適用于云服務(wù)用戶對自己的帳戶行為進行管理，也適用于公有云管理人員日常服務(wù)管理中的工作。對異常事件發(fā)出告警是確保監(jiān)控是對操作有前瞻指導(dǎo)性的重要安全控制措施，而不僅僅是事后的查看活動。應(yīng)支持云服務(wù)用戶通過API或其他訪問機制在公有云平臺上訪問自己的活動日志，以便與其自身的安全日志記錄系統(tǒng)進行集成。7.2虛擬計算資源池安全7.2.1訪問控制安全私有云安全要求應(yīng)對訪問虛擬計算資源池的訪問主體進行身份驗證，包括但不限于基于共享密鑰的身份驗證、基于生物學特征的身份驗證和基于公開密鑰加密算法的身份驗證。公有云安全要求公有云安全要求包括：——應(yīng)支持醫(yī)療機構(gòu)按照特定的業(yè)務(wù)要求，通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件對終端登錄進行限制；——應(yīng)支持更具醫(yī)療機構(gòu)特點的安全策略，設(shè)置登錄終端的操作超時鎖定；——應(yīng)保證公有云平臺管理員未經(jīng)云服務(wù)用戶授權(quán)，不可操作該租戶的資源；——應(yīng)支持多因子認證（MFA）。7.2.2安全審計私有云安全要求私有云安全要求包括：——應(yīng)記錄虛擬機等虛擬計算資源的運行狀況、網(wǎng)絡(luò)流量、用戶行為等日志；——應(yīng)支持安全審計所需要數(shù)據(jù)的提供和匯集。公有云安全要求公有云安全要求包括：——公有云服務(wù)者應(yīng)按照政府或醫(yī)療機構(gòu)的審計和檢測需求，基于行業(yè)標準，明確界定范圍和具體的被評估的控制列表完成第三方認證，并在跟被服務(wù)用戶簽署保密協(xié)議后，將認證報告提供給被服務(wù)用戶查看?！性品?wù)者必須隨時間變化維護其認證或證明，并與被服務(wù)的客戶主動溝通任何認證狀態(tài)變化。7.2.3入侵偵測及防范私有云安全要求應(yīng)支持檢測虛擬機對宿主物理服務(wù)資源的異常訪問，并及時進行告警。公有云安全要求9公有云安全要求包括：——應(yīng)支持檢測對虛擬機所在的宿主物理服務(wù)器的入侵行為，能夠記錄入侵的源IP、攻擊類型、攻擊時間，并在發(fā)生嚴重入侵事件時提供及時告警?！獞?yīng)對虛擬機啟動程序、運行過程、重要配置文件等進行完整性保護，進行完成性檢測，如發(fā)現(xiàn)完整性被破壞具有恢復(fù)的措施。7.2.4虛擬計算資源管理私有云安全要求私有云安全要求包括：——應(yīng)保證不同虛擬機的內(nèi)存資源相互隔離；——應(yīng)支持監(jiān)控虛擬機網(wǎng)絡(luò)接口帶寬；——應(yīng)支持對虛擬機等計算資源進行資源監(jiān)控，監(jiān)控內(nèi)容包括但不限于CPU利用率、帶寬使用情況、內(nèi)存利用率、虛擬機掛載的存儲使用情況等；——應(yīng)對監(jiān)控信息的進一步集成提供支持。公有云安全要求公有云安全要求包括：——應(yīng)保證虛擬機所獲得的物理資源的相對隔離；——應(yīng)保證某個虛擬機出現(xiàn)故障崩潰后，不影響統(tǒng)一宿主物理服務(wù)器上的其他虛擬機以及虛擬機管理平臺；——應(yīng)保證不同虛擬機之間的vCPU指令隔離；——應(yīng)保證不同虛擬機之間的內(nèi)存隔離；——應(yīng)支持對虛擬機的運行狀態(tài)、資源占用等信息進行監(jiān)控，并支持通過API將監(jiān)控信息提供給云服務(wù)用戶進行進一步集成。7.3虛擬存儲資源池安全7.3.1私有云安全要求私有云安全要求包括：——應(yīng)支持多層級訪問控制；——應(yīng)支持對存儲設(shè)備運行狀況、用戶行為等記錄日志；——應(yīng)支持安全審計所需要數(shù)據(jù)的提供和匯集。7.3.2公有云安全要求公有云安全要求包括：——應(yīng)支持分布式存儲的數(shù)據(jù)副本分布在不同的物理位置；——應(yīng)保證公有云平臺管理員未經(jīng)云服務(wù)用戶授權(quán)，不可操作該租戶的資源；——應(yīng)支持云服務(wù)用戶訪問存儲資源的安全傳輸，包括客戶端加密、網(wǎng)絡(luò)加密（TLS/SFTP等）、基于代理的加密等；——應(yīng)支持靜態(tài)存儲內(nèi)容加密，加密密鑰支持HSM/設(shè)備的密鑰管理，虛擬設(shè)備/軟件密鑰管理，公有云服務(wù)提供者提供的密鑰管理服務(wù)，混合型密鑰管理（例如以HSM設(shè)備作為密鑰信任根，將特定應(yīng)用的密鑰存放在公有云服務(wù)提供者提供的密鑰管理服務(wù)中）等模式。7.4虛擬網(wǎng)絡(luò)資源池安全7.4.1網(wǎng)絡(luò)架構(gòu)安全私有云安全要求應(yīng)保證私有云網(wǎng)絡(luò)架構(gòu)冗余設(shè)計，避免單點故障。公有云安全要求公有云安全要求包括：——應(yīng)支持多租戶環(huán)境中不同租戶網(wǎng)絡(luò)，以及同一租戶的不同網(wǎng)絡(luò)之間的有效隔離；——應(yīng)支持VPC以及相關(guān)的安全功能，云服務(wù)用戶可以針對VPC完成創(chuàng)建、刪除、自定義路由、自定義安全組、自定義用戶訪問列表ACL等；——應(yīng)支持VPC之間以及VPC與其他網(wǎng)絡(luò)之間建立VPN或?qū)＞€連接。7.4.2訪問控制安全私有云安全要求私有云安全要求包括：——應(yīng)支持部署訪問控制策略，實現(xiàn)虛擬機之間、虛擬機與云管理平臺之間、虛擬機與外部互聯(lián)網(wǎng)之間的安全訪問控制；——應(yīng)支持在管理網(wǎng)絡(luò)上部署訪問控制策略，實現(xiàn)云平臺管理員訪問云平臺管理平面的安全控制；——應(yīng)支持對云服務(wù)的遠程管理訪問的監(jiān)控；——應(yīng)支持對遠程執(zhí)行的特權(quán)命令進行限制。公有云安全要求公有云安全要求包括：——應(yīng)支持在服務(wù)網(wǎng)絡(luò)上部署訪問控制策略，實現(xiàn)虛擬機之間、虛擬機與云管理平臺之間、虛擬機與外部互聯(lián)網(wǎng)之間的安全訪問控制；——應(yīng)支持在管理網(wǎng)絡(luò)上部署訪問控制策略，實現(xiàn)云平臺管理員訪問云平臺管理平面的安全控制；——應(yīng)支持在存儲網(wǎng)絡(luò)上部署訪問控制策略，實現(xiàn)虛擬機與虛擬存儲之間的安全控制；——應(yīng)支持云服務(wù)使用者使用VPN訪問公有云平臺；——應(yīng)支持云服務(wù)使用者自行劃分子網(wǎng)并設(shè)置訪問控制規(guī)則。7.4.3安全審計私有云安全要求私有云安全要求包括：——應(yīng)記錄虛擬網(wǎng)絡(luò)的運行狀況、網(wǎng)絡(luò)流量、用戶行為等日志；——應(yīng)支持安全審計所需要數(shù)據(jù)的提供和匯集。公有云安全要求公有云安全要求包括：——公有云服務(wù)者應(yīng)按照政府或醫(yī)療機構(gòu)的審計和檢測需求，基于行業(yè)標準，明確界定范圍和具體的被評估的控制列表完成第三方認證，并在跟被服務(wù)用戶簽署保密協(xié)議后，將認證報告提供給被服務(wù)用戶查看?！性品?wù)者必須隨時間變化維護其認證或證明并與被服務(wù)的客戶主動溝通任何認證狀態(tài)變化。7.4.4入侵偵測及防范私有云安全要求應(yīng)支持識別、監(jiān)控和處理虛擬機之間的異常流量。公有云安全要求公有云安全要求包括：——應(yīng)支持對各類網(wǎng)絡(luò)攻擊行為進行監(jiān)測，當監(jiān)測到網(wǎng)絡(luò)攻擊行為時，記錄攻擊源IP，攻擊類型，攻擊時間，攻擊流量等必要信息；——當支持云服務(wù)客戶通過互聯(lián)網(wǎng)提供醫(yī)療相關(guān)業(yè)務(wù)服務(wù)時，應(yīng)支持Dos/DDoS攻擊防護，支持通過清洗Dos/DDoS攻擊流量，利用QoS等技術(shù)保障整個網(wǎng)絡(luò)的可用性；——當支持云服務(wù)客戶通過互聯(lián)網(wǎng)提供醫(yī)療相關(guān)業(yè)務(wù)服務(wù)時，應(yīng)支持檢測Web應(yīng)用漏洞，能夠攔截SQL注入、XSS攻擊等多種Web應(yīng)用攻擊。7.4.5惡意代碼防范私有云安全要求應(yīng)支持對病毒、木馬、蠕蟲、后門、邏輯炸彈等惡意代碼的靜態(tài)檢測和行為監(jiān)測，并對檢測出的惡意代碼進行控制隔離。公有云安全要求應(yīng)具備防惡意代碼能力，并周期性地更新防惡意代碼軟件版本和惡意代碼庫。8容器安全8.1容器基礎(chǔ)設(shè)施安全加固8.1.1私有云安全要求私有云安全要求包括：——應(yīng)具備主機系統(tǒng)軟件漏洞檢測能力；——應(yīng)具備主機入侵偵測功能，包括但不限于異常登陸、惡意程序、賬戶破解，關(guān)鍵文件變更，后門等檢測功能；——宜支持ACL資源訪問控制；——宜支持RBAC訪問控制。8.1.2公有云安全要求公有云安全要求包括：——應(yīng)具備主機系統(tǒng)軟件漏洞檢測能力；——應(yīng)具備主機入侵偵測功能，包括但不限于異常登陸、惡意程序、賬戶破解，關(guān)鍵文件變更，后門等檢測功能；——宜支持ACL資源訪問控制；——宜支持RBAC訪問控制；——應(yīng)支持多租戶間部署，包括節(jié)點級別隔離（物理機、虛擬機進程資源隔離，網(wǎng)絡(luò)隔離，數(shù)據(jù)隔離（包括但不限于日志、監(jiān)控數(shù)據(jù)、存儲資源等——宜支持容器平臺業(yè)務(wù)面與控制管理面的網(wǎng)絡(luò)分離；——宜支持容器和宿主機之間的網(wǎng)絡(luò)訪問限制；——宜支持容器間的網(wǎng)絡(luò)訪問限制。8.2容器鏡像安全8.2.1私有云安全要求私有云安全要求包括：——應(yīng)具備鏡像掃描功能，包括但不限于已知漏洞掃描的掃描功能（并支持對掃描結(jié)果標簽化標注，如危險等級、危險類別標注等漏洞修復(fù)指引功能，鏡像漏洞管理功能（如針對已掃描鏡像新發(fā)現(xiàn)漏洞的反向追蹤，漏洞庫的更新功能宜支持對接多個漏洞庫的能力?！獞?yīng)具備鏡像文件安全傳輸功能，如TLS加密等?！獞?yīng)具備鏡像倉庫管理功能，支持鏡像訪問的角色權(quán)限控制，支持對鏡像倉庫服務(wù)器IP做訪問控制。8.2.2公有云安全要求公有云安全要求包括：——應(yīng)具備鏡像掃描功能，包括但不限于已知漏洞掃描的掃描功能（并支持對掃描結(jié)果標簽化標注，如危險等級、危險類別標注等漏洞修復(fù)指引功能，鏡像漏洞管理功能（如針對已掃描鏡像新發(fā)現(xiàn)漏洞的反向追蹤，漏洞庫的更新功能宜支持對接多個漏洞庫的能力?！獞?yīng)具備鏡像文件安全傳輸功能，如TLS加密等?！獞?yīng)具備鏡像倉庫管理功能，支持鏡像倉庫與鏡像掃描引擎的對接集成，支持鏡像倉庫訪問策略自定義，包括管理鏡像的推送、拉取權(quán)限等?！R像倉庫具備防DDos的能力。8.3容器運行時安全8.3.1私有云安全要求私有云安全要求包括：——應(yīng)支持限定容器以非root權(quán)限運行；——應(yīng)支持限制容器使用特權(quán)用戶運行；——應(yīng)支持對容器資源的強制訪問控制配置策略。8.3.2公有云安全要求公有云安全要求包括：——支持限定容器以非root權(quán)限運行；——支持限制容器使用特權(quán)用戶運行；——支持容器磁盤資源限制；——支持容器間網(wǎng)絡(luò)流量的限制。9數(shù)據(jù)安全9.1數(shù)據(jù)在云環(huán)境中存儲的安全規(guī)劃9.1.1識別和判斷數(shù)據(jù)的敏感程度與重要性醫(yī)療機構(gòu)需要對數(shù)據(jù)進行識別，特別是針對以下兩類敏感數(shù)據(jù)需要在云環(huán)境中重點關(guān)注和保護：a）患者個人隱私數(shù)據(jù)：包括患者姓名、出生日期、身份證號碼、住址、電話號碼、銀行賬號和口令等能夠單獨或者與其他信息結(jié)合識別該患者身份信息以及患者接受醫(yī)療服務(wù)的時間、地點等信息。b）患者就診隱私數(shù)據(jù)：在醫(yī)療機構(gòu)獲得醫(yī)療服務(wù)時產(chǎn)生的疾病防治、健康管理等過程中產(chǎn)生的與健康醫(yī)療相關(guān)的數(shù)據(jù)均屬于需要重點保護的數(shù)據(jù)。9.1.2控制數(shù)據(jù)進入云環(huán)境私有云安全要求應(yīng)識別患者隱私數(shù)據(jù)及就診隱私數(shù)據(jù)，按照國家與行業(yè)主管部門相關(guān)規(guī)定及標準進行保護。公有云安全要求如果選擇公有云環(huán)境進行患者隱私數(shù)據(jù)及就診隱私數(shù)據(jù)的存儲及處理，則公有云存儲和處理這些數(shù)據(jù)的物理服務(wù)器及存儲設(shè)備必須位于中國境內(nèi)。9.2保護和管理云環(huán)境數(shù)據(jù)9.2.1數(shù)據(jù)訪問控制私有云安全要求私有云安全要求包括：——應(yīng)保證最小訪問授權(quán)原則，針對數(shù)據(jù)的訪問進行授權(quán)和驗證；——應(yīng)保證對敏感數(shù)據(jù)的訪問進行完整的授權(quán)訪問日志記錄，并支持必要的審計。公有云安全要求公有云安全要求包括：——應(yīng)禁止公有云服務(wù)提供者未經(jīng)云服務(wù)用戶授權(quán)對云服務(wù)用戶的數(shù)據(jù)進行任何形式的訪問；——應(yīng)保證對敏感數(shù)據(jù)的訪問進行完整的授權(quán)訪問日志記錄，如必要時，需通過相關(guān)的醫(yī)療行業(yè)審計。9.2.2數(shù)據(jù)存儲加密私有云安全要求私有云安全要求包括：應(yīng)采用數(shù)據(jù)存儲加密技術(shù)針對敏感數(shù)據(jù)進行加密存儲，加密算法和加密強度應(yīng)符合國家與醫(yī)療行業(yè)主管部門的相關(guān)要求和規(guī)定。公有云安全要求公有云安全要求包括：——應(yīng)支持云服務(wù)用戶根據(jù)國家與醫(yī)療行業(yè)主管部門的相關(guān)要求和規(guī)定自主選擇加密算法和強度?！獞?yīng)支持針對不同的數(shù)據(jù)，可以使用不同的方法對數(shù)據(jù)存儲進行加密，包括：.實例管理的加密：加密引擎在實例中運行，密鑰存儲在卷中，但受密碼短語或密鑰對保護；.外部管理加密：加密引擎在實例中運行，但密鑰由外部管理，并根據(jù)請求發(fā)送給實例。——對象和文件存儲：.客戶端加密：當對象存儲用作應(yīng)用程序（包括移動應(yīng)用程序）的后端時，使用嵌入在應(yīng)用程序或客戶端中的加密引擎對數(shù)據(jù)進行加密。.服務(wù)器端加密：數(shù)據(jù)在傳輸后在服務(wù)器（云）端進行加密，云提供商可以訪問密鑰并運行加密引擎。.代理加密：在此模型中，將卷連接到特殊實例或設(shè)備/軟件，然后將實例連接到加密實例，代理處理所有加密操作，并且可以將密鑰保存在內(nèi)部或外部。——加密密鑰支持HSM設(shè)備的密鑰管理，虛擬設(shè)備/軟件密鑰管理，公有云服務(wù)提供者提供的密鑰管理服務(wù)，混合型密鑰管理（例如以HSM設(shè)備作為密鑰信任根，將特定應(yīng)用的密鑰存放在公有云服務(wù)提供者提供的密鑰管理服務(wù)中）等模式。9.2.3數(shù)據(jù)傳輸私有云安全要求私有云安全要求包括：——應(yīng)采用技術(shù)手段保證患者個人隱私數(shù)據(jù)和就診隱私數(shù)據(jù)傳輸?shù)谋Ｃ苄裕弧獞?yīng)能夠檢測并保證數(shù)據(jù)在傳輸過程中的完整性。公有云安全要求公有云安全要求包括：——應(yīng)支持云服務(wù)用戶針對敏感數(shù)據(jù)、隱私數(shù)據(jù)、關(guān)鍵業(yè)務(wù)數(shù)據(jù)傳輸?shù)谋Ｃ苄?，加密強度符合國家與醫(yī)療行業(yè)主管部門相關(guān)規(guī)定。——應(yīng)保證云服務(wù)用戶與公有云平臺之間數(shù)據(jù)傳輸?shù)耐暾?。——?yīng)支持用于中轉(zhuǎn)加密的選項供云服務(wù)用戶選擇，包括客戶端加密，網(wǎng)絡(luò)加密（TLS/SFTP等基于代理的加密（將加密代理放置在云消費者和云提供商之間的可信區(qū)域中，代理在將數(shù)據(jù)傳輸?shù)焦性浦柏撠熂用埽！獞?yīng)提供安全機制，支持云服務(wù)用戶在接受公共的或不受信任的數(shù)據(jù)時，在處理或混合現(xiàn)有業(yè)務(wù)數(shù)據(jù)之前對其進行隔離并進行掃描清理工作。9.2.4數(shù)據(jù)遷移私有云安全要求私有云安全要求包括：——應(yīng)在數(shù)據(jù)遷移前進行網(wǎng)絡(luò)連接能力評估；——應(yīng)做好數(shù)據(jù)遷移的數(shù)據(jù)備份及應(yīng)急恢復(fù)處理等相關(guān)工作。公有云安全要求應(yīng)提供技術(shù)保證支持及相應(yīng)產(chǎn)品，支持云服務(wù)用戶的數(shù)據(jù)遷移工作。9.2.5數(shù)據(jù)清除私有云安全要求私有云安全要求包括：——應(yīng)保證分配給云服務(wù)用戶使用的存儲空間在被釋放時被完全清除；——應(yīng)保證在更換或報廢存儲介質(zhì)時，應(yīng)采取物理損壞磁盤等方式，防止數(shù)據(jù)被恢復(fù)。公有云安全要求公有云安全要求包括：——應(yīng)保證存儲空間被釋放或被重新分配給其他租戶使用前被完全清除?！獞?yīng)支持清除因服務(wù)合同終止等原因而可能產(chǎn)生的遺留數(shù)據(jù)，清除周期應(yīng)與云服務(wù)用戶協(xié)商，在服務(wù)合同中確定，并符合國家及醫(yī)療行業(yè)主管部門相關(guān)規(guī)定。9.3數(shù)據(jù)容災(zāi)及業(yè)務(wù)連續(xù)性支持醫(yī)療機構(gòu)的云計算平臺（包括私有云及公有云平臺）應(yīng)至少達到如下容災(zāi)能力：——RTO≦24小時；——RPO≦24小時；——可用性目標：每年非計劃業(yè)務(wù)中斷時間不超過4天，系統(tǒng)可用性至少達到99%。9.3.1數(shù)據(jù)備份私有云安全要求數(shù)據(jù)應(yīng)至少每天進行一次完整備份。公有云安全要求公有云安全要求包括：——關(guān)鍵數(shù)據(jù)至少每天有一份數(shù)據(jù)備份副本存放于異地或同城可用區(qū)；——數(shù)據(jù)應(yīng)至少每天進行一次完整備份，數(shù)據(jù)備份存放于同城可用區(qū)。9.3.2數(shù)據(jù)恢復(fù)處理私有云安全要求應(yīng)支持從數(shù)據(jù)備份中完整恢復(fù)數(shù)據(jù)的能力，RTO=24小時，RPO=24小時。公有云安全要求應(yīng)支持從數(shù)據(jù)備份中完整恢復(fù)數(shù)據(jù)的能力，RTO=24小時，RPO=24小時。9.3.3運維能力私有云安全要求私有云安全要求包括：——應(yīng)制定完備的容災(zāi)數(shù)據(jù)恢復(fù)和業(yè)務(wù)恢復(fù)的流程并定期進行演練?！獞?yīng)支持對數(shù)據(jù)備份及容災(zāi)能力的集成化管理，包括全量備份、數(shù)據(jù)庫日志備份、刪除備份集、備份信息瀏覽、增量備份等；支持備份策略管理、新建和修改備份策略、刪除備份策略、查詢備份策略、啟用及停用備份策略等；支持備份任務(wù)管理、支持任務(wù)查詢、任務(wù)斷點續(xù)作、失敗任務(wù)跳過等。公有云安全要求公有云安全要求包括：——應(yīng)支持從數(shù)據(jù)備份中完整恢復(fù)數(shù)據(jù)的能力，RTO=24小時，RPO=24小時；——應(yīng)支持云服務(wù)客戶建立容災(zāi)能力的集成化管理，提供必要的API接口。10身份及授權(quán)管理10.1私有云安全要求私有云安全要求包括：——應(yīng)對云服務(wù)用戶進行身份識別，識別信息具備唯一性；——應(yīng)支持多因子認證（MFA）進行身份鑒別；——應(yīng)支持云服務(wù)用戶對身份識別后的用戶進行權(quán)限分配；——應(yīng)支持云服務(wù)用戶配置訪問控制策略，訪問控制粒度主體達到用戶級或進程級，訪問控制客體粒度達到文件或數(shù)據(jù)庫表級。10.2公有云安全要求公有云安全要求包括：——應(yīng)對云服務(wù)用戶進行身份識別，識別信息具備唯一性；——應(yīng)支持多因子認證（MFA）進行身份鑒別；——應(yīng)確保云管理用戶最小權(quán)限授權(quán)，且務(wù)必使用多因子認證（MFA）進行身份鑒別；——應(yīng)保證遠程訪問的安全型，使用多因子認證（MFA）進行身份鑒別；——應(yīng)支持云服務(wù)用戶對身份識別后的用戶進行權(quán)限分配；——應(yīng)支持云服務(wù)用戶配置訪問控制策略，訪問控制粒度主體達到用戶級或進程級，訪問控制客體粒度達到文件或數(shù)據(jù)庫表級；——應(yīng)支持建立聯(lián)邦身份管理，支持云服務(wù)用戶建立跨不同系統(tǒng)或組織鑒別身份的過程，對業(yè)界主流的聯(lián)邦身份管理標準提供支持，包括：SAML，OAuth，OpenID，XACML，SCIM等；——宜支持云服務(wù)用戶建立RBAC授權(quán)模型，用于依賴于一個定義的角色建立授權(quán)；——宜支持云服務(wù)用戶建立ABAC授權(quán)模型，允許進行更細粒度以及結(jié)合語境的多屬性授權(quán)決策，例如角色、訪問位置、認證方法等。11安全運維及監(jiān)控11.1私有云安全要求私有云安全要求包括：——應(yīng)支持遠程運維，并使用國家密碼管理部門要求的加密算法保證運維通信的保密性；——應(yīng)支持對私有云環(huán)境的設(shè)備、資源、網(wǎng)絡(luò)以及云服務(wù)進行實時監(jiān)控，并支持對異常行為進行分析及告警。11.2公有云安全要求公有云安全要求包括：——應(yīng)支持云服務(wù)用戶管理員對部署在公有云上的云服務(wù)進行遠程運維，并進行完整的——應(yīng)支持對云服務(wù)用戶所使用的云服務(wù)進行監(jiān)控，并提供必要的API供用戶進行監(jiān)控信息集成。12公有云與私有云安全信息交互通道安全性12.1通道鏈路在醫(yī)療機構(gòu)私有云/數(shù)據(jù)中心與選定的公有云之間