【正文】 性也會直接關系到涉密網(wǎng)和各種網(wǎng)絡應用的正常運行。 通信網(wǎng)絡安全風險與需求分析 通信網(wǎng)絡的安全 主要包括：網(wǎng)絡結構安全、網(wǎng)絡安全審計、網(wǎng)絡設備防護、通信完整性與保密性等方面。 對于各類邊界最基本的安全需求就是訪問 控制，對進出安全區(qū)域邊界的數(shù)據(jù)信息進行控制，阻止非授權 及越權 訪問。 主機系統(tǒng) 以及應用系統(tǒng)的 資源是有限的，不能無限濫用。數(shù)據(jù)是信息資產的直接體現(xiàn)。 ? 入侵防范 主機操作系統(tǒng) 面臨著各類具有針對性的入侵威脅，常見操作系統(tǒng) 存在著各種安全漏洞，并且現(xiàn)在漏洞被發(fā)現(xiàn)與漏洞被利用之間的時間差變得越來越短，這就使得操作系統(tǒng)本身的安全性給整個系統(tǒng)帶來巨大的安全風險 ，因此對于主機操作系統(tǒng)的安裝，使用、維護等提出了需求，防范針對系統(tǒng)的入侵行為。 非法用戶可能企圖假冒合法用戶的身份進 入系統(tǒng)，低權限的合法用戶也可能企圖執(zhí)行高權限用戶的操作， 這些行為將給主機系統(tǒng) 和應用系統(tǒng) 帶來了很大的安全風險 。 計算環(huán)境安全風險與需求分析 計算環(huán)境的安全 主要指主機 以及應用 層面 的 安全風險與需求分析，包括：身份鑒別、 訪問控制、系統(tǒng) 審計、入侵防范、惡意代碼防范、 軟件容錯、數(shù)據(jù)完整性與保密性、 備份與恢復、 資源合理控制 、剩余信息保護、抗抵賴 等方面。 安全域是 具有相同或相似安全要求和策略的 IT 要素的集合 ，是 同一系統(tǒng)內根據(jù)信息的性質、使用主體、安全目標和策略等元素的不同來劃分的不同邏輯子網(wǎng)或網(wǎng)絡 ， 每一個邏輯區(qū)域有相同的安全保護需求，具有相同的安全訪問控制和邊界控制策略，區(qū)域間具有相互信任關系，而且相同的網(wǎng)絡安全域共享同樣的安全策略 。 通過如上步驟，系統(tǒng)可以形成整體的等級化的安全保障體系，同時根據(jù)安全術建設和安全管理建設，保障系統(tǒng)整體的安全。通過安全域適用安全等級選擇方法確定系統(tǒng)各區(qū)域等級，明確各安全域所需采用的安全指標。 整體的安全保障體系包括技術和管理兩大部分 ，其中 技術部分根據(jù)《信息系統(tǒng)安全等級保護基本要求》分為物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全五個方面進行建設；而 管理 部分根據(jù)《信息系統(tǒng)安全等級保護基本要求》則 分為 安全管理制度、安全管理機構、人員安全管理、 系統(tǒng)建設管理、系統(tǒng)運維管理 五個方面 。外網(wǎng)部分連接互聯(lián)網(wǎng)，部署有網(wǎng)站系統(tǒng)、 OA 系統(tǒng)等，但外 網(wǎng)部分業(yè)務系統(tǒng)與內網(wǎng)系統(tǒng)有數(shù)據(jù)交換需要。 衛(wèi)生行業(yè)信息安全等級保護工作實行行業(yè)指導、屬地管理。 （二）行業(yè)指導，屬地管理。內網(wǎng)與專網(wǎng)連接，不連接互聯(lián)網(wǎng)，部署有包括 HIS、 PAS 電子病歷三大核心業(yè)務系統(tǒng)和其他輔助業(yè)務系統(tǒng)。等級保護可以把 業(yè)務系統(tǒng)、 信息資產、安全邊界等進行 “等級化” ，分而治之 ，從而實現(xiàn) 信息安全等級保護 的“ 等級保護、適度安全 ” 思想 。 3. 確定安全域安全要求 ：參照國家相關等級保護安全要求，設計不同安 全域的安全要求 。 7. 持續(xù) 安全運維： 通過安全預警、安全監(jiān)控、安全加固、安全審計、應急響應等，從事前、事中、事后三個方面進行安全運行維護，確保系統(tǒng)的持續(xù)安全，滿足持續(xù)性按需防御的安全需求 。而 選擇這些措施的 主要依據(jù)是按照 等級保護相關的要求。保證網(wǎng)絡正常運行的前提是將物理層安全風險降到最低或是盡量考慮在非正常情況下物理層出現(xiàn)風險問題時的應對方案。 訪問 控制主要為了保證用戶對主機資源 和應用系統(tǒng)資源 的合法使用。能夠為安全事件提供足夠的信息，與身份認證與訪問控制聯(lián)系緊密，為相關事件提供審計記錄。 ? 數(shù)據(jù)安全 主要指數(shù)據(jù)的完整性與保密性。 ? 資源合理控制 資源合理控制包括主機和應用兩個方面。 ? 邊界訪問控制 XX 醫(yī)院 網(wǎng)絡 可劃分為如下邊界： 內部與互聯(lián)網(wǎng)邊界、內部與專網(wǎng)邊界、內網(wǎng)與外網(wǎng)邊界、各安全區(qū)域之間邊界。迫切需要網(wǎng)關型產品在網(wǎng)絡層面對病毒予以查殺。 ? 網(wǎng)絡設備防護 由于 XX 醫(yī)院 網(wǎng)絡 中將會使用大量的網(wǎng)絡設備，如交換機、防火墻、入侵檢測設備等。 ? 網(wǎng)絡可信接入 對于一個不斷發(fā)展的網(wǎng)絡而言， 為方便辦公，在網(wǎng)絡設計時保留大量的接入端口，這對于隨時隨地快速接入到 XX 醫(yī)院 網(wǎng)絡 進行辦公是非常便捷的，但同時也引入了 安全 風險，一旦外來用戶不加阻攔的接入到網(wǎng)絡中來，就有可能破壞網(wǎng)絡的安全邊界，使得外來用戶具備對網(wǎng)絡進行破壞的條件 ，由此而引入諸如蠕蟲擴散、文件泄密等安全問題 。使得 XX 醫(yī)院 系統(tǒng) 的 等級保護建設方案最終既可以滿足等級保護的相關要求，又能夠全方面為 XX 醫(yī)院 系統(tǒng) 提供立體、 縱深的安全保障防御體系，保證信息系統(tǒng)整體的安全保護能力。 機房場地應避免設在建筑物的高層或地下室，以及用水設備的下層或隔壁。 配備空調系統(tǒng)，以保持房間恒濕、恒溫的工作環(huán)境； 在機房供電線路上配置穩(wěn)壓器和過電壓防護設備；提供短期的備用電力供應，滿足關鍵設備在斷電情況下的正常運行要求。 計算環(huán)境 安全設計 身份鑒別 身份鑒別可分為主機 身份鑒別 和應用 身份鑒別兩 個方面： 主 機身份鑒別： 為提高主機系統(tǒng)安全性，保障各種應用的正常運行，對主機系統(tǒng)需要進行一系列的加固措施，包括： ? 對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別，且保證用戶名的唯一性。 自主訪問控制實現(xiàn)： 在安全策略控制范圍內，使 用戶 對自己創(chuàng)建的客體具有各種訪問操作權限，并能將這些權限的部分或全部授予其他 用戶 ；自主訪問控制主體的粒度應為 用戶級 ，客體的粒度應為文件或數(shù)據(jù)庫表級 ；自主 訪問操作應包括對客體的創(chuàng)建、讀、寫、修改和刪除等。 系統(tǒng) 安全審計 系統(tǒng)審計包含主機審計和應用審計兩個層面： 主機審計： 部署 終端安全管理系統(tǒng)，啟用主機審計功能，或部署 主機審計系統(tǒng)，實現(xiàn)對主機監(jiān)控、審計和系統(tǒng)管理 等功能 。 部署數(shù)據(jù)庫審計系統(tǒng)對用戶行為、用戶事件及系統(tǒng)狀態(tài)加以審計，范圍覆蓋到每個用戶，從而把握數(shù)據(jù)庫系統(tǒng)的整體安全。同時，入侵檢測系統(tǒng)還可以形象地重現(xiàn)操作的過程，可幫助安全管理員發(fā)現(xiàn)網(wǎng)絡安全的隱患。在網(wǎng)絡邊界通過防火墻進行基于通信端口、帶寬、連接數(shù)量的過濾控制，可以在一定程度上避免蠕蟲病毒爆發(fā)時的大流量沖擊。 在傳輸過程中主要依靠 VPN 系統(tǒng)可以來保障數(shù)據(jù)包的數(shù)據(jù)完整性 、 保密性 、可用性 。 它和 IPSEC VPN 適用于不同的應用場景，可配合使用。單臂旁路接入不改變原有網(wǎng)絡結構和網(wǎng)路配置，不增加故障點，部署簡單靈活，同時提供完整的 SSL VPN服務。將綜合存儲戰(zhàn)略作為計算機信息系統(tǒng)基礎設施的一部分實施不再是一種選擇，而已成為必然的趨勢。 數(shù)據(jù)是最重要的系統(tǒng)資源。 SSL VPN 使用 SSL/HTTPS 技術作為安全傳輸機制。完整性校驗是 IPSEC VPN 重要的功能之一。 數(shù)據(jù)完整性 與保密性 在應用系統(tǒng)中，將采 用消息摘要機制來確保完整性校驗，其方法是：發(fā)送方使用散列函數(shù)（如 SHA、 MD5 等）對要發(fā)送的信息進行摘要計算，得到信息的鑒別碼，連同信息一起發(fā)送給接收方，將信息與信息摘要進行打包后插入身份鑒別標識，發(fā)送給接收方。 主機 惡意代碼防范 各類惡意代碼尤其是病毒、木馬等是對 XX 醫(yī)院 網(wǎng)絡 的重大危害，病毒在爆發(fā)時將使路由器、 3 層交換機、防火墻等網(wǎng)關設備性能急速下降，并且占用整個網(wǎng)絡帶寬。 北醫(yī)三院 等級保護 方案 30 針對 網(wǎng)絡 入侵防范 ，可 通過部署網(wǎng)絡入侵檢測系統(tǒng)來實現(xiàn)。 同時， 根據(jù)記錄的數(shù)據(jù)進行統(tǒng)計分析，生成詳細的審計報表， 系統(tǒng)管理功能包括系統(tǒng)用戶管理、主機監(jiān)控代理狀態(tài)監(jiān)控、安全策略管理、主機監(jiān)控代理升級 管理、計算機注冊管理、實時報警、歷史信息查詢、統(tǒng)計與報表等。 權限控制：對于制定的訪問控制規(guī)則要能清楚的覆蓋資源訪問相關的主體、客體及它們之間的操作。 根據(jù)基本要求配置用戶名 /口令，必須具備一定的復雜度；口令必須具備采用 3 種以上字符、長度不少于 8 位并定期更換； 啟用登陸失敗處理功能，登陸失敗后采取結束會話、限制非法登錄次數(shù)和自動退出等措施。 ? 設備 與介質 管理 為了防止無關人員和不法分子非法接近網(wǎng)絡并使用網(wǎng)絡中的主機盜取信息、破壞網(wǎng)絡和主機系統(tǒng)、破壞網(wǎng)絡中的數(shù)據(jù)的完整性和可用性，必須采用有效的區(qū)域監(jiān)控、防盜報警系統(tǒng)，阻止非法用戶的各種臨近攻擊。房間裝修必需使用阻燃材料，耐火等級符合國家相關標準規(guī)定。對于 3 級保護系統(tǒng)，其 組合 為：（在 S1A3G3， S2A3G3， S3A3G3， S3A2G3，S3A1G3 選擇）。 安全管理體系依賴于國家相關標準、行業(yè)規(guī)范、國際安全標準等規(guī)范和標準來指導，形成可操作的體系。例如，交換機口令泄漏、防火墻規(guī)則被篡改、入侵檢測設備失靈等都將成為威脅網(wǎng)絡系統(tǒng)正常運行的風險因素。 ? 網(wǎng)絡 安全 審計 北醫(yī)三院 等級保護 方案 20 由于用戶的計算機相關的知識水平參差不齊，一旦某些安全意識薄弱的管理用戶誤操作，將給信息系統(tǒng)帶來致命的破壞。通過安全措施，要實現(xiàn)主動阻斷針對信息系統(tǒng)的各種攻擊，如病毒、木馬、間諜軟件、可疑代碼、端口掃描、 DoS/DDoS 等，實現(xiàn)對網(wǎng)絡層以及業(yè)務系統(tǒng)的安全防護，保護核心信息資產的免受攻擊危害。因此對于系統(tǒng)資源進行控制，制定包括：登陸條件限制、超時鎖定、用戶可用資源閾值設置等資源控制策略。應采取措施保證數(shù)據(jù)在傳輸過程中的完整性以及保密性；保護鑒別信息的保密性 ? 備份與恢復 數(shù)據(jù)是信息資產的直接體現(xiàn)。 嚴重影響正常業(yè)務開展。 對于登陸主機后的操作 行為 則需要 進行 主機審計。過于簡單的標識符和口令容易被窮舉攻擊破解。 北醫(yī)三院 等級保護 方案 13 業(yè)務信息安全等級矩陣表 業(yè)務信息安全被破 壞時所侵害的客體 對相應客體的侵害程度 一般損害 嚴重損害 特別嚴重損害 公民、法人和其他組織的合法權益 第一級 第二級 第二級 社會秩序、公共利益 第二級 第三級 第四級 國家安全 第三級 第四級 第五級 系統(tǒng)服務安全等級矩陣表 系統(tǒng)服務安全被破壞時所侵害的客體 對相應客體的侵害程度 一般損害 嚴重損害 特別嚴重損害 公民、法人和其他組織的合法權益 第一級 第二級 第二級 社會秩序、公共利益 第二級 第三級 第四級 綜合評定對客體的 侵害程度 確定業(yè)務信息安全受到破壞時所侵害的客體 綜合評定對客體的侵害程度 確定系統(tǒng)服務安全受 到破壞時所侵害的客體 系統(tǒng) 服務安全等級 業(yè)務信息安全等 級 定級 對象 的安全保護等級 矩陣表 矩陣表 確定定級對象 北醫(yī)三院 等級保護 方案 14 國家安全 第三級 第四級 第五級 定級結果 根據(jù)上述定級流程， XX 醫(yī)院 各主要系統(tǒng)定級結果為： 序號 部署環(huán)境 系統(tǒng)名稱 保護等級 定級結果組合 1. 內部 網(wǎng)絡 核心 系統(tǒng) 3 S3A3G3 2. 內部及外部網(wǎng)絡 非核心系統(tǒng) 2 S2A2G2 北醫(yī)三院 等級保護 方案 15 7 安全風險與需求分析 安全技術 需求分析 物理安全 風險與需求分析 物理安全風險主要是指網(wǎng)絡周邊的環(huán)境和物理特性引起的網(wǎng)絡設備和線路的不可使用，從而會造成網(wǎng)絡系統(tǒng)的不可使用，甚至導致整個網(wǎng)絡的癱瘓。 北醫(yī)三院 等級保護 方案 11 5 安全區(qū)域框架 XX 醫(yī)院 網(wǎng)絡 的安全建設 核心內容是將網(wǎng)絡進行全方位的安全防護， 不是對整個系統(tǒng)進行同一等級的保護，而是針對系統(tǒng)內部的不同業(yè)務區(qū)域進行不同等級的保護。 通過等級風險評估，可以明確各層次安全域相應等級的安全差距，為下一步安全技術解決方案設計和安全管理建設提供依據(jù)?！? 根據(jù)等級化安全保障體系的設計思路，等級保護的設計與實施通過以下步驟進行： 1. 系統(tǒng)識別與定級： 確定保護對象， 通過分析系統(tǒng)所屬類型、所屬信息類別、服務范圍以及業(yè)務對系統(tǒng)的依賴程度確定系統(tǒng)的等級。 醫(yī)院網(wǎng)絡架構上已劃分了內外網(wǎng)，各部分網(wǎng)絡按照標準獨立建設安全系統(tǒng)，但為保證業(yè)務系統(tǒng)的數(shù)據(jù)正常傳輸，同時保持內外網(wǎng)隔離的相關要求，建議內外網(wǎng)之間部署安全隔離交換系統(tǒng)（網(wǎng)閘），實現(xiàn)安全隔離的同時 進行數(shù)據(jù)交換。 （三）同步建設，動態(tài)完善。北醫(yī)三院 等級保護 方案 1 XX 醫(yī)院 等級保護方案 北京網(wǎng)御星云信息技術有限公司 2020 年 12 月 北醫(yī)三院 等級保護 方案