【正文】 o S y s te m s , I n c . A l l r i g h ts r e s e r v e d . Ci s c o Co n fi d e n ti a lP r e s e n ta ti o n _ I D 1蘿崗分院異地備份中心門診樓中心機(jī)房住院樓醫(yī)技樓門診樓接入交換機(jī)肝病大樓 急診樓科學(xué)樓…門診樓后座……磁盤陣列數(shù)據(jù)中心P A C S 以及 HIS 等服務(wù)器群高清視頻通訊系統(tǒng)( 與羅崗園區(qū)進(jìn)行視頻通訊 )磁盤陣列或磁帶庫IT 運(yùn)營維護(hù)系統(tǒng)入侵防御防火墻……… … …衛(wèi)生局社保銀行外聯(lián)單位 【 圖一 ： XX 醫(yī)院 業(yè)務(wù)內(nèi) 網(wǎng)】 辦公外網(wǎng) 辦公外網(wǎng)主要由門診樓中心機(jī)房、各接入業(yè)務(wù)大樓、 Inter 接入?yún)^(qū)和中大校園網(wǎng)出口等幾部分組成； 辦公外網(wǎng)的組網(wǎng)方式與業(yè)務(wù) 網(wǎng) 有些 類似， 但 其主要職能是供 本院 醫(yī)職人員 的 互聯(lián)網(wǎng)瀏覽服務(wù) 以及 對外網(wǎng)站的 發(fā)布，所以辦公外網(wǎng)采用的是 成本更低廉 單核心網(wǎng)絡(luò)架構(gòu)，以滿足一般性的 外網(wǎng) 業(yè)務(wù)需求。 辦公外網(wǎng) 辦公 外網(wǎng)是 XX 醫(yī)院 對外綜合性服務(wù)系統(tǒng)的載體，和 Inter 直接連接 ,并且按照醫(yī)院 相關(guān)規(guī)定和 運(yùn)行 HIS 系統(tǒng)的業(yè)務(wù) 內(nèi) 網(wǎng)物理隔離。 XX 醫(yī) 院等級保護(hù)安全建設(shè)方案 秘密級 13 4 等級保護(hù) 建設(shè)流程 XXX 公司 提出的 “按需防御的 等級化安全體系 ”是依據(jù)國家信息安全等級保護(hù)制度， 根據(jù) 系統(tǒng) 在不同階段的需求、業(yè)務(wù)特性及應(yīng)用重點(diǎn)， 采 用等級化的安全體系設(shè)計(jì)方法， 幫助構(gòu)建 一套覆蓋全面、重點(diǎn)突出、節(jié)約成本、持續(xù)運(yùn)行的 等級化 安全 防御 體系。 整體的安全保障體系包括技術(shù)和管理兩大部分，其中 技術(shù)部分根據(jù)《 信息系統(tǒng)安全等級保護(hù)基本要求 》分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個方面進(jìn)行建設(shè)；而 管理 部分根據(jù)《 信息系統(tǒng)安全等級保護(hù)基本要求 》則 分為 安全管理 制度、 安全管理 機(jī)構(gòu)、人員安全管理、 系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理 五個方面 。通過此步驟充分了解系統(tǒng)狀況，包括系統(tǒng)業(yè)務(wù)流程和功能模塊，以及確定系統(tǒng)的等級，為下一步安全域設(shè)計(jì)、安全保障體系框架設(shè)計(jì)、安全要求選擇以及安全措施選擇提供依據(jù)。通過安全域適用安全等級選擇方法確定系統(tǒng)各區(qū)域等級，明確各安全域所需采用的安全指標(biāo)。 5. 安全保障體系 方案 設(shè)計(jì) ：根據(jù)安全域框架，設(shè)計(jì)系統(tǒng)各個層次的安全保障體系框架 以及 具體方案。 通過如上步驟，系統(tǒng)可以形成整體的等級化的安全保障體系，同時根據(jù)安全技 術(shù)建設(shè)和安全管理建設(shè)，保障 XX 醫(yī)院 系統(tǒng)整體的安全。從醫(yī)院安全建設(shè)角度，目前還沒有成規(guī)模的部署安全產(chǎn)品，采用最多的只是桌面防病毒、網(wǎng)絡(luò)防火墻和 IDS 入侵檢測等傳統(tǒng)安全技術(shù)手段，無論是業(yè)務(wù)網(wǎng)還是辦公網(wǎng)均面臨著來自網(wǎng)絡(luò)外部和內(nèi)部的一系列新型復(fù)雜的安全威脅；因此，必須認(rèn)清威脅，明確需求，采取措施“攮外”與“安內(nèi)”并舉，才能確保 XX 醫(yī)院 信息化的順利進(jìn)行。它是整個網(wǎng)絡(luò)系統(tǒng)安全的前提和基礎(chǔ)，只有保證了物理層的可用性，才能使得整個網(wǎng)絡(luò)的可用性，進(jìn)而提高整個網(wǎng)絡(luò)的抗破壞力。 計(jì)算環(huán)境安全風(fēng)險(xiǎn)與需求分析 計(jì)算環(huán)境的安全 主要指主機(jī) 以及應(yīng)用 層面 的 安全風(fēng)險(xiǎn)與需求分析，包括：身份鑒別、 訪問控制、系統(tǒng) 審計(jì)、入侵防范、惡意代碼防范、 軟件容錯、數(shù)據(jù)完整性與保密性、 備份與恢復(fù)、 資源合理控制 、剩余信息保護(hù)、抗抵賴 等方面。 同時 非法用戶可以通過網(wǎng)絡(luò) 進(jìn)行 竊聽，從而獲得管理員權(quán)限，可以對任何資源非法訪問及越權(quán)操作 。 非法用戶可能企圖假冒合法用戶的身份進(jìn)入系統(tǒng)，低權(quán)限的合法用戶也可能企圖執(zhí)行高權(quán)限用戶的操作， 這些行為將給主機(jī)系統(tǒng) 和應(yīng)用系統(tǒng) 帶來了很大的安全風(fēng)險(xiǎn) 。對于服務(wù)器和重要主機(jī)需要進(jìn)行嚴(yán)格的行為控制，對用戶的行為、使用的命令等進(jìn)行必要的記錄審計(jì)，便于日后的分析、調(diào)查、取證，規(guī)范主機(jī)使用行為。 ? 入侵防范 主機(jī)操作系 統(tǒng) 面臨著各類具有針對性的入侵威脅，常見操作系統(tǒng) 存在著各種安全漏洞，并且現(xiàn)在漏洞被發(fā)現(xiàn)與漏洞被利用之間的時間差變得越來越短，這就使得操作系統(tǒng)本身的安全性給整個 系統(tǒng)帶來 巨大的安全風(fēng)險(xiǎn) ，因此對于主機(jī)操作系統(tǒng)的安裝，使用、維護(hù)等提出了需求，防范針對系統(tǒng)的入侵行為。因此 必須部署惡意代碼防范軟件進(jìn)行 防御 。數(shù)據(jù)是信息資產(chǎn)的直接體現(xiàn)。所有的措施最終無不是為了業(yè)務(wù)數(shù)據(jù)的安全。 主機(jī)系統(tǒng) 以及應(yīng)用系統(tǒng)的 資源是有限的，不能無限濫用。 ? 剩余信息保護(hù) 對于正常使用中的主機(jī) 操作系統(tǒng)和 數(shù)據(jù)庫系統(tǒng)等 ，經(jīng)常需要對用戶的鑒別信息、文件、目錄、數(shù)據(jù)庫記錄等進(jìn)行臨時或長期存儲， 在這些存儲 資源重新分配前， 如果不對 其原使用者的信息進(jìn)行清除， 將會引起 用戶信息 泄漏 的安全風(fēng)險(xiǎn)，因此，需要 確保系統(tǒng)內(nèi)的 用戶鑒別信息 文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除 對于動態(tài)管理和使用的客體資源，應(yīng)在這些客體資源重新分配前，對其原使用者的信息進(jìn)行清除，以確保信息不被泄漏 。 XX 醫(yī) 院等級保護(hù)安全建設(shè)方案 秘密級 20 ? 邊界完整性檢測 邊界的完整性如被破壞則所有控制規(guī)則將失去效力，因此需要 對內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查 ，維護(hù)邊界完整性。并可 通過安全管理中心 集中管理 。 ? 網(wǎng)絡(luò)結(jié)構(gòu) 網(wǎng)絡(luò)結(jié)構(gòu)是否合理直接影響著是否能夠有效的承載業(yè)務(wù)需要。有必要進(jìn)行基于網(wǎng)絡(luò)行為的審計(jì)。如果發(fā)生網(wǎng)絡(luò)設(shè)備被不法分子攻擊，將導(dǎo)致設(shè)備不能正常運(yùn)行。因此，在信息傳輸和存儲過程中，必須要確保信息內(nèi)容在發(fā)送、接收及保存的一致性；并在信息遭受篡改攻 擊的情況下，應(yīng)提供有效的察覺與發(fā)現(xiàn)機(jī)制 ，實(shí)現(xiàn)通信的完整性 。 安全管理 需求分析 “三分技術(shù)、七分管理”更加突出的是管理層面在安全體系中的重要性。 7 技術(shù) 體系 方案設(shè)計(jì) 方案設(shè)計(jì)目標(biāo) 三級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是：落實(shí) GB 178591999 對三級系統(tǒng)的安全保護(hù)要求，在二級安全保護(hù)環(huán)境的基礎(chǔ)上，通過實(shí)現(xiàn)基于安全策略模型和標(biāo)記的強(qiáng)制訪問控制以及增強(qiáng)系統(tǒng)的審計(jì)機(jī)制，使得系統(tǒng)具有在統(tǒng)一安全策略管控下，保護(hù)敏感資源的能力。 首先應(yīng)根據(jù)本級 具體的基本 要求設(shè)計(jì) 本級系統(tǒng)的 保護(hù)環(huán)境模型 ， 根據(jù)《信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求》 ，保護(hù)環(huán)境按照安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信 網(wǎng)絡(luò)和安全管理中心進(jìn)行設(shè)計(jì)，內(nèi)容涵蓋基本要求的 5 個方面。 安全 技術(shù) 體系 設(shè)計(jì) 物理安全設(shè)計(jì) 物理環(huán)境安全策略的目的是保護(hù)網(wǎng)絡(luò)中計(jì)算機(jī)網(wǎng)絡(luò)通信有一個良好 的電磁兼容工作環(huán)境，并防止非法用戶進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動的發(fā)生。 對機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域； 重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。機(jī)房墻壁及天花板應(yīng)進(jìn)行表面處理，防止塵埃脫落，機(jī)房應(yīng)安裝防靜電活動地板。 鋪設(shè)線纜要求電源線和通信線纜 隔離鋪設(shè)，避免互相干擾 。 對介質(zhì) 進(jìn)行分類標(biāo)識，存儲在介質(zhì)庫或檔案室中。 ? 遠(yuǎn)程管理時應(yīng)啟用 SSH 等管理方式，加密管理數(shù)據(jù)，防止被網(wǎng)絡(luò)竊聽。 對于三級系統(tǒng)，要求對用戶進(jìn)行 兩種或兩種以上組合的鑒別技術(shù) ，因此可采用雙因素認(rèn)證（ USB key+密碼）或者構(gòu)建 PKI 體系，采用 CA 證書的方式進(jìn)行身份 鑒別 。 由此主要控制的是對應(yīng)用系統(tǒng)的文件、數(shù)據(jù)庫等資源的訪問，避免越權(quán)非法使用。 賬號管理：嚴(yán)格限制默認(rèn) 賬戶 的訪問權(quán)限，重命名默認(rèn) 賬戶 ，修改默認(rèn)口令；及時刪除多余的、過期的 賬戶 ，避免共享 賬戶 的存在。 權(quán)限控制：對于制定的訪問控制規(guī)則要能清楚的覆蓋資源訪問相關(guān)的主體、客體及它們之間的操作。 自主訪問控制實(shí)現(xiàn)： 在安全策略控制范圍內(nèi)，使 用戶 對自己創(chuàng)建的客體具有各種訪問操作權(quán)限，并能將這些權(quán)限的部分或全部授予其他 用戶 ；自 主訪問控制主體的粒度應(yīng)為 用戶級 ，客體的粒度應(yīng)為文件或數(shù)據(jù)庫表級 ；自主 訪問操作應(yīng)包括對客體的創(chuàng)建、讀、寫、修改和刪除等 。 根據(jù)基本要求配置用戶名 /口令，必須具備一定的復(fù)雜度；口令必須具備采用 3 種以上字符、長度不少于 8 位并定期更換； 啟用登陸失敗處 理功能，登陸失敗后 采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施 。 計(jì)算環(huán)境 安全設(shè)計(jì) 身份鑒別 身份鑒別可分為主機(jī) 身份鑒別 和應(yīng)用 身份鑒別兩 個方面： 主機(jī)身份鑒別： 為提高主機(jī)系統(tǒng) 安全性 ，保障各種 應(yīng)用的正常運(yùn)行 ，對主機(jī)系統(tǒng)需要進(jìn)行一系列的加固措施，包括： ? 對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別，且保證用戶名的唯一性。 ? 設(shè)備 與介質(zhì) 管理 為了防止無關(guān)人員和不法分子非法接近網(wǎng)絡(luò)并使用網(wǎng)絡(luò)中的主機(jī)盜取信息、破壞網(wǎng)絡(luò)和主機(jī)系 統(tǒng)、破壞網(wǎng)絡(luò)中的數(shù)據(jù)的完整性和可用性，必須采用有效的區(qū)域監(jiān)控、防盜報(bào)警系統(tǒng) ，阻止非法用戶的各種臨近攻擊。 配 備空調(diào)系統(tǒng)，以保持房間恒濕、恒溫的工作環(huán)境 ； 在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備； 提供短期的備用電力供應(yīng)， 滿足關(guān)鍵設(shè)備在斷電情況下的正常運(yùn)行要求。房間裝修必需使用阻燃材料，耐火等級符合國家相關(guān)標(biāo)準(zhǔn)規(guī)定。 機(jī)房場地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁 。對于 3 級保護(hù)系統(tǒng)，其組合 為：（在 S1A3G3， S2A3G3， S3A3G3， S3A2G3，S3A1G3 選擇）。使得 XX 醫(yī)院 網(wǎng)絡(luò) 系統(tǒng)的 等級保護(hù)建設(shè)方案最終既可以滿足等級保護(hù)的相關(guān)要求，又能夠全方面為 XX 醫(yī)院 的業(yè)務(wù) 系統(tǒng) 提供立體、 縱深的安全 保障 防御體系，保證信息系統(tǒng)整體的安全保護(hù)能力 。 安全管理體系依賴于國家相關(guān)標(biāo)準(zhǔn)、行業(yè)規(guī)范、國際安全標(biāo)準(zhǔn)等規(guī)范和標(biāo)準(zhǔn)來指導(dǎo)，形成可操作的體系。 ? 網(wǎng)絡(luò)可信接入 對于一個不斷發(fā)展的網(wǎng)絡(luò)而言， 為方便辦公，在網(wǎng)絡(luò)設(shè)計(jì)時保留大量的接入端口，這對于隨時隨地快速接入到 XX 醫(yī)院 業(yè)務(wù) 網(wǎng)絡(luò) 進(jìn)行辦公是非常便捷的，但同時也引入了 安全 風(fēng)險(xiǎn)，一旦外來用戶不加阻攔的接入到網(wǎng)絡(luò)中來，就有可能破壞網(wǎng)絡(luò)的安全邊界，使得外來用戶具備對網(wǎng)絡(luò)進(jìn)行破壞的條件 ，由此而引入諸如XX 醫(yī) 院等級保護(hù)安全建設(shè)方案 秘密級 22 蠕蟲擴(kuò)散、文件泄密等安全問題 。例如，交換機(jī)口令泄漏、防火墻規(guī)則被篡改、入侵檢測設(shè)備失靈等都將成為威脅網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的風(fēng)險(xiǎn)因素。 ? 網(wǎng) 絡(luò)設(shè)備防護(hù) 由于 XX 醫(yī)院 在 建網(wǎng)絡(luò)系統(tǒng) 將會使用大量的網(wǎng)絡(luò)設(shè)備 和安全設(shè)備 ，如交換機(jī)、防火墻、入侵檢測設(shè)備等。 XX 醫(yī) 院等級保護(hù)安全建設(shè)方案 秘密級 21 ? 網(wǎng)絡(luò) 安全 審計(jì) 由于 用戶的計(jì)算機(jī)相關(guān)的知識水平參差不齊，一旦某些安全意識薄弱的管理用戶誤操作，將給信息系統(tǒng)帶來致命的破壞。迫切需要網(wǎng)關(guān)型產(chǎn)品在網(wǎng)絡(luò)層面對病毒予以查殺 。通過 安全措施，要實(shí)現(xiàn) 主動 阻斷針對信息系統(tǒng)的各種攻擊，如病毒、木馬、間諜軟件、可疑代碼、端口掃描、 DoS/DDoS 等， 實(shí)現(xiàn)對網(wǎng)絡(luò)層以及業(yè)務(wù)系統(tǒng)的安全防護(hù)，保護(hù) 核心信息資產(chǎn)的免受攻擊危害 。 區(qū)域邊界安全風(fēng)險(xiǎn)與需求分析 區(qū)域邊界的安全主要包括：邊界訪問控制、邊界完整性檢測、邊界入侵防范以及邊界安全審計(jì) 等方面 。否則會出現(xiàn)資源耗盡、服務(wù)質(zhì)量下降甚至服務(wù)中斷等后果。 對于關(guān)鍵數(shù)據(jù) 應(yīng) 建立數(shù)據(jù)的備份機(jī)制 ， 而對于網(wǎng)絡(luò)的關(guān)鍵設(shè)備、線路均需進(jìn)行冗余配置，備份與恢復(fù)是 應(yīng)對突發(fā)XX 醫(yī) 院等級保護(hù)安全建設(shè)方案 秘密級 19 事件的必要措施。因此數(shù)據(jù)的備份十分重要，是必須考慮的問題。 ? 軟件容錯 軟件容錯的主要目的是提供足夠的冗余信息和算法程序 ,使系統(tǒng)在實(shí)際運(yùn)行時能夠及時發(fā)現(xiàn)程序設(shè)計(jì)錯誤 ,采取補(bǔ)救措施 ,以提高軟件可靠性 ,保證整個計(jì)算機(jī)系統(tǒng)的正常運(yùn)行。 大量占據(jù)正常業(yè)務(wù)十分有限的帶寬，造成網(wǎng)絡(luò)性能嚴(yán)重下降 、 服務(wù)器崩潰 甚至網(wǎng)絡(luò)通信中斷 ，信息損壞或泄 漏 。 重點(diǎn)審計(jì)應(yīng)用層信息，和業(yè)XX 醫(yī) 院等級保護(hù)安全建設(shè)方案 秘密級 18 務(wù)系統(tǒng)的運(yùn)轉(zhuǎn)流程息息相關(guān)。 ? 系統(tǒng) 審計(jì) 系統(tǒng)審計(jì)包括 主機(jī)審計(jì)和應(yīng)用審計(jì)兩個方面。 ? 訪問控制 訪問控制包括主機(jī)和應(yīng)用兩個方面。 主機(jī) 操作系統(tǒng) 登錄 、 數(shù)據(jù)庫登陸 以及應(yīng)用系統(tǒng) 登錄均 必須進(jìn)行身份驗(yàn)證。 因此， 在通盤考慮 安全風(fēng)險(xiǎn)時，應(yīng)優(yōu)先考慮物理安全風(fēng)險(xiǎn)。其次是 辦公 外 網(wǎng)，既在諸如終端防護(hù)上具備和業(yè)務(wù)網(wǎng)類 似的安全需求，又因邊界的不同屬性需要采取不同的個性化解決方案。 XX 醫(yī) 院等級保護(hù)安全建設(shè)方案