1、某市三院醫療信息系統現狀分析 4 4 錯誤!未定義書簽。 錯誤!未定義書簽。 錯誤!未定義書簽。 錯誤!未定義書簽。 錯誤!未定義書簽。 錯誤!未定義書簽。 錯誤!未定義書簽。 4 4 52.3數據庫安全審計問題 52.4平臺系統安全配置問題 6 錯誤!未定義書簽。3、某市三院醫療信息系統安全需求分析 7 73.2醫療等級保護要求分析 73.3系統安全分層需求分析 3.4虛擬化、云計算帶來的安全問題分析 4、醫療信息系統安全保障體系設計 4.1安全策略設計 4.2安全設計原則 4.3等級保護模型 4.4系統建設依據 4.5遵循的標準和規范 5.1組織體系建設建議 5.2管理體系建設建議 6.1預警通告 6.2技術風險評估 6.3新上線系統評估 6.4滲透測試 6.5安全加固 6.6虛擬化安全加固服務 6.7應急響應 7.1物理層安全 7.6虛擬化、云計算安全解決方案 8.1安全產品匯總 8.2產品及服務選型 1.1系統現狀2.1黑客入侵造成的破壞和數據泄露隨著醫療信息化的普及，個人信息逐漸以電子健康檔案、電子病歷和電子處方為載體，其中包括了個人在疾病控制、體檢、診斷、治療、醫學研究過程中涉及到的肌體特征、健康狀況、遺傳基因、病史病歷等個人信息。其中個人醫療健康信息的秘密處于隱私權的核心部位，而保障病人的隱私安全是醫院和醫護人員的職責。某市三院醫療信息系統某市三院中心機房匯集了大量的病人隱私信息，而這些數據在傳輸過程中極易被竊取或監聽。同時基于電子健康檔案和電子病歷大量集中存儲的情況，一旦系統被黑客控制，可能導致病人隱私外泄，數據惡意刪除和惡意修改等嚴重后果。病人隱私信息外泄將會給公民的生活、工作以及精神方面帶來很大的負面影響和損失，同時給平臺所轄區域造成不良社會影響，嚴重損害機構的公共形象，甚至可能引發法律糾紛。而數據的惡意刪除和篡改會導致電子健康檔案和電子病歷的丟失以及病人信息的錯誤，給醫護人員的工作造成影響，因此電子健康檔案和電子病歷數據作為衛生平臺某市三院中心機房的重要2.2醫療信息系統漏洞問題重的安全漏洞，黑客的主動攻擊也往往離不開對漏洞的利2.3數據庫安全審計問題2.4平臺系統安全配置問題3.1醫療信息系統建設安全要求基于醫療信息系統信息平臺的可靠安全的運行不僅關系到某市三院中心機房本身的運行，還關系其他業務部門相關系統的運行，因此它的網絡，主機，存儲備份設備，系統軟件，應用軟件等部分應該具有極高的可靠性；同時為保守企業和用戶秘密，維護企業和用戶的合法權益，某市三院中心機房應具備良好的安全策略，安全手段，安全環境及安全管理措施。眾所周知，信息系統完整的安全體系包括以下四個層次，最底層的是物理級防火墻等等，再次是系統級安全包括數據災備，病毒防范等，最后是應用級安全包括統一身份認證，統一權限管理等，而貫穿整個體系的是安全管理制度和安全標準，以實現非法用戶進不來，無權用戶看不到，重要內容改不了，數據操作賴不掉。整個平臺的安全體系如下圖：與標準網絡安全平臺安全體系結構圖3.2醫療等級保護要求分析醫療機構作為涉及國計民生的重要組成部分，其安全保障事關社會穩定，有辦法》(公通字[2007]43號)的要求，數據交換服務區參照二級333三級等保要求解決方案結構安全網絡設備處理能管理和網絡帶寬冗余；網絡拓撲圖繪制；子網劃分和地址分配；終端和服務器之間建立安全訪問路徑；邊界和重要網段之間隔離；網絡擁堵時對重要主機優先保護；根據高峰業務流量選擇高端設備，核心交換接入設備采用雙機冗余；合理劃分子網、VLAN、安全域，網絡設備帶寬優先級規劃。制部署訪間控制設備，啟用訪問控制功能；根據會話狀態提供允許/拒絕訪問能力，控制粒度為端訪問控制，粒度到單個用戶；限制撥號訪問用戶數量；網絡信息內容過濾，應用層協議命令級控制；會話終止；網絡流量數和連接數控制；重要網段防地址欺騙網絡邊界部署防火墻，制定相應ACL策略安全審計網絡設備狀況、網絡流量、用戶生成；審計記錄保護部署網絡安全審計系統查安全準入控制和非法外聯監控并進行有效阻斷部署終端安全管理系統范部署入侵檢測系統惡意代碼防范部署入侵保護系統網絡設備防護身份鑒別；管理員登陸地址限用2種或以上鑒別技術；特權權限分離部署等級保護安全配置核查系統身份鑒別別；登錄失敗處理；鑒別信息傳輸加密；用戶唯一性；身份鑒別采用2種或以上鑒別技術部署等級保護安全配置核查系統制啟用訪問控制功能；操作系統和數據庫特權用戶權限分離；默認賬戶配置修改；多余過期用戶刪記；強制訪問控制安全審計用戶和數據庫用戶的重要安全相關行為、事件；審計記錄保護；剩余信息保護鑒別信息再分配前清除，系統文清除操作系統及數據庫加固范級；檢測對重要服務器的入侵行為；重要程序完整性檢測和破壞后的恢復。部署網絡入侵檢測系統、終端管理軟件，漏洞掃描惡意代碼防范安裝防惡意代碼軟件，定期升級；惡意代碼軟件統一管理；主機和網絡防惡意代碼軟件品牌異構部署終端殺毒軟件資源控制終端登錄控制；終端超時鎖定；單個用戶資源限制安全加固應用身份鑒別啟用身份鑒別機制；登錄失敗處別技術部署CA認證系統制啟用訪問控制機制，控制用戶對文件、數據庫表等的訪問；啟用訪問控制策略；賬戶最小權限原部署CA認證系統安全審計啟用安全審計機制，審計每個用表生成部署應用防護系統剩余信息保護鑒別信息再分配前清除，系統文清除操作系統及數據庫加固應采用密碼技術保障信息過程中數據完整性部署PKI體系報文或會話過程加密部署PKI體系提供數據原發或接收證據部署PKI體系軟件容錯代碼審核資源控制發連接數，單個賬戶多重會話限制安全加固數據完VPN加密，數據庫訪問控制據傳輸存儲過程保密信息加密備份與恢復備、線路、數據硬件冗余3.3系統安全分層需求分析3.3.2網絡層安全需求應保證網絡各個部分的帶寬滿足業務高峰期需要；應在業務終端與業務服務器之間進行路由控制建立安全的訪問路徑；應避免將重要網段部署在網絡邊界處且直接連接外部信息系統，重要網應按照對業務服務的重要次序來指定帶寬分配優先級別，保證在網絡發應在網絡邊界部署訪問控制設備，啟用訪問控制功能；重要網段應采取技術手段防止地址欺騙；應按用戶和系統之間的允許訪問規則，決定允許或拒絕用戶對受控系統應限制具有撥號訪問權限的用戶數量。應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。應能夠對非授權設備私自聯到業務網絡的行為進行檢查，準確定出位置，應能夠對業務網絡用戶私自聯到外部網絡的行為進行檢查，準確定出位應在網絡邊界處監視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻應在網絡邊界處對惡意代碼進行檢測和清除；應維護惡意代碼庫的升級和檢測系統的更新。應對網絡設備的管理員登錄地址進行限制；身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數和當網>當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息應實現設備特權用戶的權限分離。操作系統和數據庫系統管理用戶身份標識應具有不易被冒用的特點，口應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。應啟用訪問控制功能，依據安全策略控制用戶對資源的訪問；應根據管理用戶的角色分配權限，實現管理用戶的權限分離，僅授予管應嚴格限制默認帳戶的訪問權限，重命名系統默認帳戶，修改這些帳戶應對重要信息資源設置敏感標記；應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作。應實現主機系統的安全審計，審計范圍應覆蓋到服務器和重要客戶端上審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果應能夠根據記錄數據進行分析，并生成審計報表；應保護審計進程，避免受到未預期的中斷；應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。應保證操作系統和數據庫系統用戶的鑒別信息所在的存儲空間，被釋放應確保系統內的文件、目錄和數據庫記錄等資源所在的存儲空間，被釋應能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發生嚴應能夠對重要程序的完整性進行檢測，并在檢測到完整性受到破壞后具操作系統應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通應根據安全策略設置登錄終端的操作超時鎖定；應對重要服務器進行監視，包括監視服務器的CPU、硬盤、內存、網絡應限制單個用戶對系統資源的最大或最小使用限度；應能夠對系統的服務水平降低到預先規定的最小值進行檢測和報警。3.3.4應用層安全需求應對同一用戶采用兩種或兩種以上組合的鑒別技術實現用戶身份鑒別；應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統中應提供登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度應由授權主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權限；應具有對重要信息資源設置敏感標記的功能；應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作。應提供覆蓋到每個用戶的安全審計功能，對應用系統重要安全事件進行應保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄；審計記錄的內容至少應包括事件的日期、時間、發起者信息、類型、描應提供對審計記錄數據進行統計、查詢、分析及生成審計報表的功能。應保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到應保證系統內的文件、目錄和數據庫記錄等資源所在的存儲空間被釋放應采用密碼技術保證通信過程中數據的完整性。在通信雙方建立連接之前，應用系統應利用密碼技術進行會話初始化驗應對通信過程中的整個報文或會話過程進行加密。應具有在請求的情況下為數據原發者或接收者提供數據原發證據的功能；應具有在請求的情況下為數據原發者或接收者提供數據接收證據的功能。應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸應提供自動保護功能，當故障發生時自動保護當前所有狀態，保證系統當應用系統的通信雙方中的一方在一段時間內未作任何響應，另一方應應能夠對系統的最大并發會話連接數進行限制；應能夠對單個帳戶的多重并發會話進行限制；應能夠對一個時間段內可能的并發會話連接數進行限制；應能夠對一個訪問帳戶或一個請求進程占用的資源分配最大限額和最小應能夠對系統服務水平降低到預先規定的最小值進行檢測和報警；應提供服務優先級設定功能，并在安裝后根據安全策略設定訪問帳戶或3.3.5數據及備份安全需求應能夠檢測到系統管理數據、鑒別信息和重要業務數據在傳輸過程中完應能夠檢測到系統管理數據、鑒別信息和重要業務數據在存儲過程中完應采用加密或其他有效措施實現系統管理數據、鑒別信息和重要業務數應采用加密或其他保護措施實現系統管理數據、鑒別信息和重要業務數應提供本地數據備份與恢復功能，完全數據備份至少每天一次，備份介應提供異地數據備份功能，利用通信網絡將關鍵數據定時批量傳送至備應采用冗余技術設計網絡拓撲結構，避免關鍵節點存在單點故障；應提供主要網絡設備、通信線路和數據處理系統的硬件冗余，保證系統3.4虛擬化、云計算帶來的安全問題分析安全威脅的研究和分析，從而制定和建立相應3.4.2核心技術國產化問題推出有自己特色的云計算平臺和云安全服務平臺，滿足3.4.3大量迅猛涌現的Web安全漏洞Web2.0和云服務的特點對網絡安全來說意味著巨大的挑戰，甚至3.4.4拒絕服務攻擊由于云平臺的大規模與高性能，一旦遭受DDOS(抗拒絕服務攻擊),云平拒絕服務攻擊DoS和DDoS不是云服務所特有的。但是，在云服務的3.4.5內部的數據泄漏和濫用相對而言，安裝在現有內部環境中的應用更易于檢完善的檢查技術，然而，對安裝在外部的云計算應用服務提供商的IT系統中，用戶無法對風險進行直接的控制，數等級和相關保障，該數據甚至可能與競爭對手的應上，如何保證云服務商自身內部的安全管理和職責分離體系、審計保障等?如何避免云計算環境中多客戶共存帶來的潛在風險?這些都成為云計算環境下用3.4.6身份管理(身份鑒定、授權和審計)務中的用戶賬號的提供及取消。如何在多項服務中應3.4.7不同云之間的互聯互通(可移植性)但目前云計算廠商各自未戰，尚未在業界形成一個統一的標準化體系，無論是云平臺還是云服務的統一標準都沒有形成，這就給云計算產業的發展帶來了瓶頸，各個企業為了自己的云服務發展推出各自的平臺和服務標準，使得眾多云平臺和用戶的利益和長遠發展得不到保證，更極大地阻礙著云計算通用性和替代性以及軟件的適合性和繼承性的發展。為爭取國際競爭地位，我國應盡快建立云計算行業標準化組織，積極參與國際標準化組織的活動，推進云計算國際標準化工作。3.4.8潛在的合同糾紛和法律訴訟云服務合同、服務商的SLA和IT流程、安全策略、事件處理和分析等都可能存在不完善。虛擬化帶來的物理位置不確定性和國際相關法律法規的復雜性都使得潛在的合同糾紛和法律訴訟成為成功利用云服務的重大威脅。如果云計算提供商違反了合同，并且涉及到安全問題，應該負多大程度的法律責任，造成的損失又如何評估，這些問題在法律和政策領域都還有待解4.1安全策略設計為應對上述所面臨的威脅和風險，實現某市三院醫療信息系統的安全建設目標，安全建設應遵循以下總體安全策略和基本安全策略：總體安全目標：●遵循國家相關政策、法規和標準；●貫徹等級保護原則，特別是對不同類別關鍵業務的單獨保護。●一手抓技術、一手抓管理；管理與技術并重，互為支撐，互為補充，相互協同，形成有效的綜合預防、追查及應急響應的安全保障體系。總體安全策略：在現有物理安全措施基礎上，從環境、設備、介質、配電的故障切換、冗余等方面，完善物理安全保障措施，保障某市三院醫療信息系統免受因上述內容破策略，避免遺漏。為確保本方案能夠在后期順利的推廣和4.3等級保護模型全問題不再很突出，但是，隨著網絡應用和網絡系統的脅。這時候，就需要對網絡資產和風險進行評估，實此，本期網絡安全保障系統的建設也是一個循序漸進全策略的控制和指導下，綜合利用安全防護、檢測、響成了一個完整的、動態的安全循環，在安全策略的●《國務院醫藥衛生體制改革近期重點實施方案(2009—2011年)》;●國家衛生部等5部委發布的《關于公立醫院改革試點的指導意見》;●衛生部《電子病歷基本架構與數據標準(試行)》;●衛生部《健康檔案基本架構與數據標準(試行)》;●衛生部《基于健康檔案的區域衛生信息平臺建設技術解決方案(試●《衛生部辦公廳關于印發2010年基于電子健康檔案、電子病歷、門診統籌管理的基層醫療衛生信息系統試點項目管理方案的通知》;●《2010年基于電子健康檔案、電子病歷、門診統籌管理的基層醫療衛生信息系統試點項目技術方案》等。4.5遵循的標準和規范●《國家信息化領導小組關于加強信息安全保障工作的意見》(27號文)●公通字[2007]43號《信息安全等級保護管理辦法》●《信息安全技術信息系統安全等級保護基本要求》●《信息安全技術信息安全等級保護定級指南》●《信息安全技術信息系統安全等級保護實施指南》●GB/T9387.2-1995開放系統互連基本參考模型第2部分：安全體系結構●IS010181:1996信息技術開放系統互連開放系統安全框架●GB/T18237-2000信息技術開放系統互連通用高層安全根據對某市三院醫療系統的安全需求分析，下面針對某市三院醫療信息系統的組織和管理體系的安全問題提出信息安全管理建議方案。5.1組織體系建設建議某市三院醫療信息系統的組織體系應實行“統一組織、分散管理”的方式，在平臺內建立一個獨立的信息安全部門或以信息中心作為某市三院醫療的信息安全崗位是某市三院醫療信息系統安全管理機構根據系統安全需要設定的括信息系統有關的所有人員(不僅僅是從事安全管理和業務的人員),以提高他5.2管理體系建設建議安全管理制度是信息系統內部依據某市三院醫療信息系統必要的安全需求5.2.2資產安全管理5.2.3物理安全管理5.2.4技術安全管理5.2.5安全風險管理6.2技術風險評估作主要是通過評估工具以遠程掃描的方式對評估范圍內的系統和網絡進行安全掃描，發現網絡結構、網絡設備、服務器主機、數據本項服務中我們將借助***漏洞掃描系統對某市三此外，每次掃描結束后，***的技術人員將現場協助某市三院醫療的技術人6.5安全加固2.密碼系統安全檢測和增強3.系統后門檢測4.提供訪問控制策略和工具8.系統升級與補丁安裝6.6虛擬化安全加固服務 6.7應急響應7.1物理層安全7.2網絡層安全(待建)核心數據區行政樓老庸房樓作老病房樓2F門診二明新農合外聯區：通過部署高性能防火墻，實現某市三院中心機房網絡與區域衛數據交換區：通過核心交換機的VLAN劃分、訪問控制列表以及在出口應用服務區：通過核心交換機的VLAN劃分、訪問控制列表以及在出口核心數據區：通過核心交換機的VLAN劃分、訪問控制列表以及在出口7.2.4網絡入侵防范7.2.5邊界惡意代碼防范對登錄操作系統和數據庫系統的用戶進行身份標識和鑒別，且保障用戶根據基本要求配置用戶名/口令，口令必須具備采用3中以上字符、長度不少于8位并定期更換。啟用登錄失敗處理功能，登錄失敗后采取結束會話、限制非法登錄次數對主機管理員登錄采取雙因素認證方式，采用USBkey+密碼進行身份鑒啟用訪問控制功能：制定嚴格的訪問控制安全策略，根據策略控制用戶權限控制：對于制定的訪問控制規則要能清楚的覆蓋資源訪問相關的主賬號管理：嚴格限制默認賬戶的訪問權限，重命名默認賬戶，修改默認訪問控制的實現主要是采取兩種方式：采用安全操作系統，或對操作系對于強制訪問控制中的權限分配和賬號管理部分可以通過等級保護配置核7.3.3主機入侵防范部署入侵檢測/保護系統，在防范網絡入侵的同時對關鍵主機的操作系統部署漏洞掃描進行安全性檢測，及時發現主機漏洞并進行修補，減少攻操作系統的安全遵循最小安裝的原則，僅安裝需要的組件和應用程序，根據系統類型進行安全配置的加固處理。7.3.4主機審計庫記錄等敏感信息所在的存儲空間(內存、硬盤)被及時釋放或者再分配給其他7.3.7資源控制登錄條件限制：在交換、路由設定終端接入控制，或使用主機防護軟件用戶可用資源閾值：限制單個用戶對系統資源的最大最小使用限度，保設定安全策略對在終端登錄超時的用戶進行鎖定，使用主機監控產品對通過內網終端管理系統實現對用戶的接入方式、登陸超時鎖定、主機資7.4應用層安全根據基本要求配置用戶名/口令，口令必須具備采用3中以上字符、長度不少于8位并定期更換。保證系統用戶名具有唯一性。根據等級保護基本要求進行訪問控制的配置，包括：權限定義、默認賬通過安全加固措施制定嚴格的用戶權限策略，保證賬號、口令等符合安通過防火墻制定符合基本要求的ACL策略。7.4.4剩余信息保護庫記錄等敏感信息所在的存儲空間(內存、硬盤)被及時釋放或者再分配給其他7.4.5通信完整性7.4.6通信保密性7.4.7抗抵賴性與數據內容有關的便利進行加密處理，完成對則利用對方的公鑰來解讀收到的“數字簽名”7.4.9資源控制會話自動結束：當應用系統的通信雙方中的一方在一段時間內未作任何會話限制：對應用系統的最大并發會話連接數進行限制，對一個時間段超時鎖定：根據安全策略設置應用會話超時鎖定。應能夠對一個訪問帳戶或一個請求進程占用的資源分配最大限額和最應能夠對系統服務水平降低到預先規定的最小值進行檢測和報警；應提供服務優先級設定功能，并在安裝后根據安全策略設定訪問帳戶或(1)讀訪問控制對于那些提供讀訪問的數據庫而言，每個訪問該數據的象或進程都必須確立相應的賬戶。該ID可以在數據庫內直接建立，或者通過那用戶驗證機制必須基于防御性驗證技術(比如用戶ID/密碼),這種技術可以數據和敏感的用戶數據應采用加密或其他有效措施實現傳輸保密性和存儲保密應提供本地數據備份與恢復功能，完全數據備份至少每天一次，備份介應提供異地數據備份功能，利用通信網絡將關鍵數據定時批量傳送至備應采用冗余技術設計網絡拓撲結構，避免關鍵節點存在單點故障；應提供主要網絡設備、通信線路和數據處理系統的硬件冗余，保證系統7.6.1虛擬化漏洞管理和配置核查7.6.2虛擬化綜合安全網關側重從協議層角度實施訪問控制。綠盟虛擬化綜合安全網關——NSFOCUS網絡通信中具體請求或行為(如基于網絡的Oday漏洞攻擊)來報警或阻斷(IDSAPI為基礎實現了虛擬IDS/IPS,但對VMsafe的調用層次低于虛擬防火墻，行政樓老病房樓1F(待津)老病房樓2F入侵防護門診二期配置核查8.1安全產品匯總通過應用入侵防御系統的虛擬系統功能，物理上2臺心交換機之間，而邏輯上虛擬成8臺設備。通過核心交換設備虛擬化功能的配分別執行不同的規則集，達到通過2臺入侵防御系(待建)系統核心數據區老病房樓1F系純老病房樓2F市醫保新農合8.1.3堡壘機應用防護系統主要對某市三院中心機房應用服務區中基于WEB的業務系應用防護系統物理上旁路部署1臺在某市三院中心機房應用服務區交換機合核心交換設備的虛擬化功能，能夠把所有基于WEB的業務系統流量鏡像到物理應用防護系統，而物理應用防護系統則根據流量來自的業務系統由不同的邏輯應用防護系統進行處理。從而實現應用防護與業務系統的實際物理部署位置無關，能夠針對不同業務系統執行不同的應用防護策略，且每個虛擬系統能夠獨立提供其所防護的業務系統的詳細日志，方便管理員查看并及時發現和定位問題所在，很大程度上減輕了后期的運維工作。8.1.6等級保護安全配置核查系統通過定期對網絡設備、服務器和業務系統進行相