【正文】 性也會(huì)直接關(guān)系到涉密網(wǎng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)行。 通信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與需求分析 通信網(wǎng)絡(luò)的安全 主要包括：網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)安全審計(jì)、網(wǎng)絡(luò)設(shè)備防護(hù)、通信完整性與保密性等方面。 對(duì)于各類(lèi)邊界最基本的安全需求就是訪(fǎng)問(wèn) 控制，對(duì)進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制，阻止非授權(quán) 及越權(quán) 訪(fǎng)問(wèn)。 主機(jī)系統(tǒng) 以及應(yīng)用系統(tǒng)的 資源是有限的，不能無(wú)限濫用。數(shù)據(jù)是信息資產(chǎn)的直接體現(xiàn)。 ? 入侵防范 主機(jī)操作系統(tǒng) 面臨著各類(lèi)具有針對(duì)性的入侵威脅，常見(jiàn)操作系統(tǒng) 存在著各種安全漏洞，并且現(xiàn)在漏洞被發(fā)現(xiàn)與漏洞被利用之間的時(shí)間差變得越來(lái)越短，這就使得操作系統(tǒng)本身的安全性給整個(gè)系統(tǒng)帶來(lái)巨大的安全風(fēng)險(xiǎn) ，因此對(duì)于主機(jī)操作系統(tǒng)的安裝，使用、維護(hù)等提出了需求，防范針對(duì)系統(tǒng)的入侵行為。 非法用戶(hù)可能企圖假冒合法用戶(hù)的身份進(jìn) 入系統(tǒng)，低權(quán)限的合法用戶(hù)也可能企圖執(zhí)行高權(quán)限用戶(hù)的操作， 這些行為將給主機(jī)系統(tǒng) 和應(yīng)用系統(tǒng) 帶來(lái)了很大的安全風(fēng)險(xiǎn) 。 計(jì)算環(huán)境安全風(fēng)險(xiǎn)與需求分析 計(jì)算環(huán)境的安全 主要指主機(jī) 以及應(yīng)用 層面 的 安全風(fēng)險(xiǎn)與需求分析，包括：身份鑒別、 訪(fǎng)問(wèn)控制、系統(tǒng) 審計(jì)、入侵防范、惡意代碼防范、 軟件容錯(cuò)、數(shù)據(jù)完整性與保密性、 備份與恢復(fù)、 資源合理控制 、剩余信息保護(hù)、抗抵賴(lài) 等方面。 安全域是 具有相同或相似安全要求和策略的 IT 要素的集合 ，是 同一系統(tǒng)內(nèi)根據(jù)信息的性質(zhì)、使用主體、安全目標(biāo)和策略等元素的不同來(lái)劃分的不同邏輯子網(wǎng)或網(wǎng)絡(luò) ， 每一個(gè)邏輯區(qū)域有相同的安全保護(hù)需求，具有相同的安全訪(fǎng)問(wèn)控制和邊界控制策略，區(qū)域間具有相互信任關(guān)系，而且相同的網(wǎng)絡(luò)安全域共享同樣的安全策略 。 通過(guò)如上步驟，系統(tǒng)可以形成整體的等級(jí)化的安全保障體系，同時(shí)根據(jù)安全術(shù)建設(shè)和安全管理建設(shè)，保障系統(tǒng)整體的安全。通過(guò)安全域適用安全等級(jí)選擇方法確定系統(tǒng)各區(qū)域等級(jí)，明確各安全域所需采用的安全指標(biāo)。 整體的安全保障體系包括技術(shù)和管理兩大部分 ，其中 技術(shù)部分根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個(gè)方面進(jìn)行建設(shè)；而 管理 部分根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》則 分為 安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、 系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理 五個(gè)方面 。外網(wǎng)部分連接互聯(lián)網(wǎng)，部署有網(wǎng)站系統(tǒng)、 OA 系統(tǒng)等，但外 網(wǎng)部分業(yè)務(wù)系統(tǒng)與內(nèi)網(wǎng)系統(tǒng)有數(shù)據(jù)交換需要。 衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作實(shí)行行業(yè)指導(dǎo)、屬地管理。 （二）行業(yè)指導(dǎo)，屬地管理。內(nèi)網(wǎng)與專(zhuān)網(wǎng)連接，不連接互聯(lián)網(wǎng)，部署有包括 HIS、 PAS 電子病歷三大核心業(yè)務(wù)系統(tǒng)和其他輔助業(yè)務(wù)系統(tǒng)。等級(jí)保護(hù)可以把 業(yè)務(wù)系統(tǒng)、 信息資產(chǎn)、安全邊界等進(jìn)行 “等級(jí)化” ，分而治之 ，從而實(shí)現(xiàn) 信息安全等級(jí)保護(hù) 的“ 等級(jí)保護(hù)、適度安全 ” 思想 。 3. 確定安全域安全要求 ：參照國(guó)家相關(guān)等級(jí)保護(hù)安全要求，設(shè)計(jì)不同安 全域的安全要求 。 7. 持續(xù) 安全運(yùn)維： 通過(guò)安全預(yù)警、安全監(jiān)控、安全加固、安全審計(jì)、應(yīng)急響應(yīng)等，從事前、事中、事后三個(gè)方面進(jìn)行安全運(yùn)行維護(hù)，確保系統(tǒng)的持續(xù)安全，滿(mǎn)足持續(xù)性按需防御的安全需求 。而 選擇這些措施的 主要依據(jù)是按照 等級(jí)保護(hù)相關(guān)的要求。保證網(wǎng)絡(luò)正常運(yùn)行的前提是將物理層安全風(fēng)險(xiǎn)降到最低或是盡量考慮在非正常情況下物理層出現(xiàn)風(fēng)險(xiǎn)問(wèn)題時(shí)的應(yīng)對(duì)方案。 訪(fǎng)問(wèn) 控制主要為了保證用戶(hù)對(duì)主機(jī)資源 和應(yīng)用系統(tǒng)資源 的合法使用。能夠?yàn)榘踩录峁┳銐虻男畔ⅲc身份認(rèn)證與訪(fǎng)問(wèn)控制聯(lián)系緊密，為相關(guān)事件提供審計(jì)記錄。 ? 數(shù)據(jù)安全 主要指數(shù)據(jù)的完整性與保密性。 ? 資源合理控制 資源合理控制包括主機(jī)和應(yīng)用兩個(gè)方面。 ? 邊界訪(fǎng)問(wèn)控制 XX 醫(yī)院 網(wǎng)絡(luò) 可劃分為如下邊界： 內(nèi)部與互聯(lián)網(wǎng)邊界、內(nèi)部與專(zhuān)網(wǎng)邊界、內(nèi)網(wǎng)與外網(wǎng)邊界、各安全區(qū)域之間邊界。迫切需要網(wǎng)關(guān)型產(chǎn)品在網(wǎng)絡(luò)層面對(duì)病毒予以查殺。 ? 網(wǎng)絡(luò)設(shè)備防護(hù) 由于 XX 醫(yī)院 網(wǎng)絡(luò) 中將會(huì)使用大量的網(wǎng)絡(luò)設(shè)備，如交換機(jī)、防火墻、入侵檢測(cè)設(shè)備等。 ? 網(wǎng)絡(luò)可信接入 對(duì)于一個(gè)不斷發(fā)展的網(wǎng)絡(luò)而言， 為方便辦公，在網(wǎng)絡(luò)設(shè)計(jì)時(shí)保留大量的接入端口，這對(duì)于隨時(shí)隨地快速接入到 XX 醫(yī)院 網(wǎng)絡(luò) 進(jìn)行辦公是非常便捷的，但同時(shí)也引入了 安全 風(fēng)險(xiǎn)，一旦外來(lái)用戶(hù)不加阻攔的接入到網(wǎng)絡(luò)中來(lái)，就有可能破壞網(wǎng)絡(luò)的安全邊界，使得外來(lái)用戶(hù)具備對(duì)網(wǎng)絡(luò)進(jìn)行破壞的條件 ，由此而引入諸如蠕蟲(chóng)擴(kuò)散、文件泄密等安全問(wèn)題 。使得 XX 醫(yī)院 系統(tǒng) 的 等級(jí)保護(hù)建設(shè)方案最終既可以滿(mǎn)足等級(jí)保護(hù)的相關(guān)要求，又能夠全方面為 XX 醫(yī)院 系統(tǒng) 提供立體、 縱深的安全保障防御體系，保證信息系統(tǒng)整體的安全保護(hù)能力。 機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。 配備空調(diào)系統(tǒng)，以保持房間恒濕、恒溫的工作環(huán)境； 在機(jī)房供電線(xiàn)路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備；提供短期的備用電力供應(yīng)，滿(mǎn)足關(guān)鍵設(shè)備在斷電情況下的正常運(yùn)行要求。 計(jì)算環(huán)境 安全設(shè)計(jì) 身份鑒別 身份鑒別可分為主機(jī) 身份鑒別 和應(yīng)用 身份鑒別兩 個(gè)方面： 主 機(jī)身份鑒別： 為提高主機(jī)系統(tǒng)安全性，保障各種應(yīng)用的正常運(yùn)行，對(duì)主機(jī)系統(tǒng)需要進(jìn)行一系列的加固措施，包括： ? 對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別，且保證用戶(hù)名的唯一性。 自主訪(fǎng)問(wèn)控制實(shí)現(xiàn)： 在安全策略控制范圍內(nèi)，使 用戶(hù) 對(duì)自己創(chuàng)建的客體具有各種訪(fǎng)問(wèn)操作權(quán)限，并能將這些權(quán)限的部分或全部授予其他 用戶(hù) ；自主訪(fǎng)問(wèn)控制主體的粒度應(yīng)為 用戶(hù)級(jí) ，客體的粒度應(yīng)為文件或數(shù)據(jù)庫(kù)表級(jí) ；自主 訪(fǎng)問(wèn)操作應(yīng)包括對(duì)客體的創(chuàng)建、讀、寫(xiě)、修改和刪除等。 系統(tǒng) 安全審計(jì) 系統(tǒng)審計(jì)包含主機(jī)審計(jì)和應(yīng)用審計(jì)兩個(gè)層面： 主機(jī)審計(jì)： 部署 終端安全管理系統(tǒng)，啟用主機(jī)審計(jì)功能，或部署 主機(jī)審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)主機(jī)監(jiān)控、審計(jì)和系統(tǒng)管理 等功能 。 部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)對(duì)用戶(hù)行為、用戶(hù)事件及系統(tǒng)狀態(tài)加以審計(jì)，范圍覆蓋到每個(gè)用戶(hù)，從而把握數(shù)據(jù)庫(kù)系統(tǒng)的整體安全。同時(shí)，入侵檢測(cè)系統(tǒng)還可以形象地重現(xiàn)操作的過(guò)程，可幫助安全管理員發(fā)現(xiàn)網(wǎng)絡(luò)安全的隱患。在網(wǎng)絡(luò)邊界通過(guò)防火墻進(jìn)行基于通信端口、帶寬、連接數(shù)量的過(guò)濾控制，可以在一定程度上避免蠕蟲(chóng)病毒爆發(fā)時(shí)的大流量沖擊。 在傳輸過(guò)程中主要依靠 VPN 系統(tǒng)可以來(lái)保障數(shù)據(jù)包的數(shù)據(jù)完整性 、 保密性 、可用性 。 它和 IPSEC VPN 適用于不同的應(yīng)用場(chǎng)景，可配合使用。單臂旁路接入不改變?cè)芯W(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)路配置，不增加故障點(diǎn)，部署簡(jiǎn)單靈活，同時(shí)提供完整的 SSL VPN服務(wù)。將綜合存儲(chǔ)戰(zhàn)略作為計(jì)算機(jī)信息系統(tǒng)基礎(chǔ)設(shè)施的一部分實(shí)施不再是一種選擇，而已成為必然的趨勢(shì)。 數(shù)據(jù)是最重要的系統(tǒng)資源。 SSL VPN 使用 SSL/HTTPS 技術(shù)作為安全傳輸機(jī)制。完整性校驗(yàn)是 IPSEC VPN 重要的功能之一。 數(shù)據(jù)完整性 與保密性 在應(yīng)用系統(tǒng)中，將采 用消息摘要機(jī)制來(lái)確保完整性校驗(yàn)，其方法是：發(fā)送方使用散列函數(shù)（如 SHA、 MD5 等）對(duì)要發(fā)送的信息進(jìn)行摘要計(jì)算，得到信息的鑒別碼，連同信息一起發(fā)送給接收方，將信息與信息摘要進(jìn)行打包后插入身份鑒別標(biāo)識(shí)，發(fā)送給接收方。 主機(jī) 惡意代碼防范 各類(lèi)惡意代碼尤其是病毒、木馬等是對(duì) XX 醫(yī)院 網(wǎng)絡(luò) 的重大危害，病毒在爆發(fā)時(shí)將使路由器、 3 層交換機(jī)、防火墻等網(wǎng)關(guān)設(shè)備性能急速下降，并且占用整個(gè)網(wǎng)絡(luò)帶寬。 北醫(yī)三院 等級(jí)保護(hù) 方案 30 針對(duì) 網(wǎng)絡(luò) 入侵防范 ，可 通過(guò)部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)來(lái)實(shí)現(xiàn)。 同時(shí)， 根據(jù)記錄的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，生成詳細(xì)的審計(jì)報(bào)表， 系統(tǒng)管理功能包括系統(tǒng)用戶(hù)管理、主機(jī)監(jiān)控代理狀態(tài)監(jiān)控、安全策略管理、主機(jī)監(jiān)控代理升級(jí) 管理、計(jì)算機(jī)注冊(cè)管理、實(shí)時(shí)報(bào)警、歷史信息查詢(xún)、統(tǒng)計(jì)與報(bào)表等。 權(quán)限控制：對(duì)于制定的訪(fǎng)問(wèn)控制規(guī)則要能清楚的覆蓋資源訪(fǎng)問(wèn)相關(guān)的主體、客體及它們之間的操作。 根據(jù)基本要求配置用戶(hù)名 /口令，必須具備一定的復(fù)雜度；口令必須具備采用 3 種以上字符、長(zhǎng)度不少于 8 位并定期更換； 啟用登陸失敗處理功能，登陸失敗后采取結(jié)束會(huì)話(huà)、限制非法登錄次數(shù)和自動(dòng)退出等措施。 ? 設(shè)備 與介質(zhì) 管理 為了防止無(wú)關(guān)人員和不法分子非法接近網(wǎng)絡(luò)并使用網(wǎng)絡(luò)中的主機(jī)盜取信息、破壞網(wǎng)絡(luò)和主機(jī)系統(tǒng)、破壞網(wǎng)絡(luò)中的數(shù)據(jù)的完整性和可用性，必須采用有效的區(qū)域監(jiān)控、防盜報(bào)警系統(tǒng)，阻止非法用戶(hù)的各種臨近攻擊。房間裝修必需使用阻燃材料，耐火等級(jí)符合國(guó)家相關(guān)標(biāo)準(zhǔn)規(guī)定。對(duì)于 3 級(jí)保護(hù)系統(tǒng)，其 組合 為：（在 S1A3G3， S2A3G3， S3A3G3， S3A2G3，S3A1G3 選擇）。 安全管理體系依賴(lài)于國(guó)家相關(guān)標(biāo)準(zhǔn)、行業(yè)規(guī)范、國(guó)際安全標(biāo)準(zhǔn)等規(guī)范和標(biāo)準(zhǔn)來(lái)指導(dǎo)，形成可操作的體系。例如，交換機(jī)口令泄漏、防火墻規(guī)則被篡改、入侵檢測(cè)設(shè)備失靈等都將成為威脅網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的風(fēng)險(xiǎn)因素。 ? 網(wǎng)絡(luò) 安全 審計(jì) 北醫(yī)三院 等級(jí)保護(hù) 方案 20 由于用戶(hù)的計(jì)算機(jī)相關(guān)的知識(shí)水平參差不齊，一旦某些安全意識(shí)薄弱的管理用戶(hù)誤操作，將給信息系統(tǒng)帶來(lái)致命的破壞。通過(guò)安全措施，要實(shí)現(xiàn)主動(dòng)阻斷針對(duì)信息系統(tǒng)的各種攻擊，如病毒、木馬、間諜軟件、可疑代碼、端口掃描、 DoS/DDoS 等，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層以及業(yè)務(wù)系統(tǒng)的安全防護(hù)，保護(hù)核心信息資產(chǎn)的免受攻擊危害。因此對(duì)于系統(tǒng)資源進(jìn)行控制，制定包括：登陸條件限制、超時(shí)鎖定、用戶(hù)可用資源閾值設(shè)置等資源控制策略。應(yīng)采取措施保證數(shù)據(jù)在傳輸過(guò)程中的完整性以及保密性；保護(hù)鑒別信息的保密性 ? 備份與恢復(fù) 數(shù)據(jù)是信息資產(chǎn)的直接體現(xiàn)。 嚴(yán)重影響正常業(yè)務(wù)開(kāi)展。 對(duì)于登陸主機(jī)后的操作 行為 則需要 進(jìn)行 主機(jī)審計(jì)。過(guò)于簡(jiǎn)單的標(biāo)識(shí)符和口令容易被窮舉攻擊破解。 北醫(yī)三院 等級(jí)保護(hù) 方案 13 業(yè)務(wù)信息安全等級(jí)矩陣表 業(yè)務(wù)信息安全被破 壞時(shí)所侵害的客體 對(duì)相應(yīng)客體的侵害程度 一般損害 嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害 公民、法人和其他組織的合法權(quán)益 第一級(jí) 第二級(jí) 第二級(jí) 社會(huì)秩序、公共利益 第二級(jí) 第三級(jí) 第四級(jí) 國(guó)家安全 第三級(jí) 第四級(jí) 第五級(jí) 系統(tǒng)服務(wù)安全等級(jí)矩陣表 系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體 對(duì)相應(yīng)客體的侵害程度 一般損害 嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害 公民、法人和其他組織的合法權(quán)益 第一級(jí) 第二級(jí) 第二級(jí) 社會(huì)秩序、公共利益 第二級(jí) 第三級(jí) 第四級(jí) 綜合評(píng)定對(duì)客體的 侵害程度 確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體 綜合評(píng)定對(duì)客體的侵害程度 確定系統(tǒng)服務(wù)安全受 到破壞時(shí)所侵害的客體 系統(tǒng) 服務(wù)安全等級(jí) 業(yè)務(wù)信息安全等 級(jí) 定級(jí) 對(duì)象 的安全保護(hù)等級(jí) 矩陣表 矩陣表 確定定級(jí)對(duì)象 北醫(yī)三院 等級(jí)保護(hù) 方案 14 國(guó)家安全 第三級(jí) 第四級(jí) 第五級(jí) 定級(jí)結(jié)果 根據(jù)上述定級(jí)流程， XX 醫(yī)院 各主要系統(tǒng)定級(jí)結(jié)果為： 序號(hào) 部署環(huán)境 系統(tǒng)名稱(chēng) 保護(hù)等級(jí) 定級(jí)結(jié)果組合 1. 內(nèi)部 網(wǎng)絡(luò) 核心 系統(tǒng) 3 S3A3G3 2. 內(nèi)部及外部網(wǎng)絡(luò) 非核心系統(tǒng) 2 S2A2G2 北醫(yī)三院 等級(jí)保護(hù) 方案 15 7 安全風(fēng)險(xiǎn)與需求分析 安全技術(shù) 需求分析 物理安全 風(fēng)險(xiǎn)與需求分析 物理安全風(fēng)險(xiǎn)主要是指網(wǎng)絡(luò)周邊的環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線(xiàn)路的不可使用，從而會(huì)造成網(wǎng)絡(luò)系統(tǒng)的不可使用，甚至導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓。 北醫(yī)三院 等級(jí)保護(hù) 方案 11 5 安全區(qū)域框架 XX 醫(yī)院 網(wǎng)絡(luò) 的安全建設(shè) 核心內(nèi)容是將網(wǎng)絡(luò)進(jìn)行全方位的安全防護(hù)， 不是對(duì)整個(gè)系統(tǒng)進(jìn)行同一等級(jí)的保護(hù)，而是針對(duì)系統(tǒng)內(nèi)部的不同業(yè)務(wù)區(qū)域進(jìn)行不同等級(jí)的保護(hù)。 通過(guò)等級(jí)風(fēng)險(xiǎn)評(píng)估，可以明確各層次安全域相應(yīng)等級(jí)的安全差距，為下一步安全技術(shù)解決方案設(shè)計(jì)和安全管理建設(shè)提供依據(jù)?！? 根據(jù)等級(jí)化安全保障體系的設(shè)計(jì)思路，等級(jí)保護(hù)的設(shè)計(jì)與實(shí)施通過(guò)以下步驟進(jìn)行： 1. 系統(tǒng)識(shí)別與定級(jí)： 確定保護(hù)對(duì)象， 通過(guò)分析系統(tǒng)所屬類(lèi)型、所屬信息類(lèi)別、服務(wù)范圍以及業(yè)務(wù)對(duì)系統(tǒng)的依賴(lài)程度確定系統(tǒng)的等級(jí)。 醫(yī)院網(wǎng)絡(luò)架構(gòu)上已劃分了內(nèi)外網(wǎng)，各部分網(wǎng)絡(luò)按照標(biāo)準(zhǔn)獨(dú)立建設(shè)安全系統(tǒng)，但為保證業(yè)務(wù)系統(tǒng)的數(shù)據(jù)正常傳輸，同時(shí)保持內(nèi)外網(wǎng)隔離的相關(guān)要求，建議內(nèi)外網(wǎng)之間部署安全隔離交換系統(tǒng)（網(wǎng)閘），實(shí)現(xiàn)安全隔離的同時(shí) 進(jìn)行數(shù)據(jù)交換。 （三）同步建設(shè)，動(dòng)態(tài)完善。北醫(yī)三院 等級(jí)保護(hù) 方案 1 XX 醫(yī)院 等級(jí)保護(hù)方案 北京網(wǎng)御星云信息技術(shù)有限公司 2020 年 12 月 北醫(yī)三院 等級(jí)保護(hù) 方案