【正文】 全體系 ”是 依據(jù)國家信息安全等級保護(hù)制度， 根據(jù) 系統(tǒng) 在不同階段的需求、業(yè)務(wù)特性及應(yīng)用重點(diǎn)， 采 用等級化的安全體系設(shè)計(jì)方法， 幫助構(gòu)建 一套覆蓋全面、重點(diǎn)突出、節(jié)約成本、持續(xù)運(yùn)行的 等級化 安全 防御 體系。通過此步驟充分了解系統(tǒng)狀況，包括系統(tǒng)業(yè)務(wù)流程和功能模塊，以及確定系統(tǒng)的等級，為下一步安全域設(shè)計(jì)、安全保障體系框架設(shè)計(jì)、安全要求選擇以及安全措施選擇提供依據(jù)。 5. 安全保障體系 方案 設(shè)計(jì)：根據(jù)安全域框架，設(shè)計(jì)系統(tǒng)各個(gè)層次的安全保障體系框架 以及 具體方案。因此，安全域劃分是進(jìn)行信息安全等級保護(hù)的首要步驟。它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提和基礎(chǔ)，只有保證了物理層的可用性，才能使得整個(gè)網(wǎng)絡(luò)的可用性，進(jìn)而提高整個(gè)網(wǎng)絡(luò)的抗破壞力。同時(shí)非法用戶可以通過網(wǎng)絡(luò)進(jìn)行竊聽，從而獲得管理員權(quán)限，可以對任何資源非法訪問及越權(quán)操作。對于服務(wù)器和重要主機(jī)需要進(jìn)行嚴(yán)格的行為控制，對用戶的行為、使用的命令等進(jìn)行必要的記錄審計(jì)，便于日后的分析、調(diào)查、取證，規(guī)范主機(jī)使用行為。因此 必須部署惡意代碼防范軟件進(jìn)行防御。所有的措施最終無不是為了業(yè)務(wù)數(shù)據(jù)的安全。 北醫(yī)三院 等級保護(hù) 方案 18 ? 剩余信息保護(hù) 對于正常使用中的主機(jī) 操作系統(tǒng)和 數(shù)據(jù)庫系統(tǒng)等 ，經(jīng)常需要對用戶的鑒別信息、文件、目錄、數(shù)據(jù)庫記錄等進(jìn)行臨時(shí)或長期存儲(chǔ)， 在這些存儲(chǔ)資源重新分配前，如果不對其原使用者的信息進(jìn)行清除，將會(huì)引起元用戶信息泄漏 的安全風(fēng)險(xiǎn)，因此，需要 確保系統(tǒng)內(nèi)的用戶鑒別信息文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間，被釋放或重新分配給其他用戶前得到完全清除 對于動(dòng)態(tài)管理和使用的客體資源，應(yīng)在這些客體 資源重新分配前，對其原使用者的信息進(jìn)行清除，以確保信息不被泄漏 。 ? 邊界安全審計(jì) 在安全區(qū)域邊界 需要建立 必要的 審計(jì)機(jī)制， 對進(jìn)出邊界的各類網(wǎng)絡(luò)行為進(jìn)行記錄與審計(jì)分析，可以和主機(jī)審計(jì)、應(yīng)用審計(jì)以及網(wǎng)絡(luò)審計(jì)形成多層次的審計(jì)系統(tǒng)。沒有相應(yīng)的審計(jì)記錄將給事后追查帶來困難。 ? 通信完整性與保密性 由于網(wǎng)絡(luò)協(xié)議及文件格式均具有標(biāo)準(zhǔn)、開發(fā)、公開的特征，因此數(shù) 據(jù)在網(wǎng)上存儲(chǔ)和傳輸過程中，不僅僅面臨信息丟失、信息重復(fù)或信息傳送的自身錯(cuò)誤，而且會(huì)遭遇信息攻擊或欺詐行為，導(dǎo)致最終信息收發(fā)的差異性。主要包括： ? 安全管理制度 ? 安全管理機(jī)構(gòu) ? 人員安全管理 ? 系統(tǒng)建設(shè)管理 ? 系統(tǒng)運(yùn)維管理 根據(jù)等級保護(hù)的要求在上述方面建立一系列的管理制度與操作規(guī)范 ，并明確執(zhí)行 。 以下詳細(xì)方案設(shè)計(jì)時(shí) 應(yīng) 將 每個(gè)項(xiàng)目進(jìn)行相應(yīng)的 組合 級別說明。機(jī)房門大小應(yīng)滿足系統(tǒng)設(shè)備安裝時(shí)運(yùn)輸需要。此外，必須制定嚴(yán)格的出入管理制度和環(huán)境監(jiān)控制度，以保障區(qū)域監(jiān)控系統(tǒng)和環(huán)境監(jiān)控系統(tǒng)的有效運(yùn)行。 應(yīng)用系統(tǒng)如具備上述功能則需要開啟使用，若不具備則需進(jìn)行相應(yīng)的功能開發(fā)，且使用效果要達(dá)到以上要求。對于不同的用戶授權(quán)原則是進(jìn)行能夠完成工作的最小化授權(quán)，避免授權(quán)范圍過大，并 在它們之間形成相互制約的關(guān)系。 應(yīng)用 審計(jì) ： 應(yīng)用層安全審計(jì) 是對業(yè)務(wù)應(yīng)用系統(tǒng)行為的審計(jì)，需要與應(yīng)用系統(tǒng)緊密結(jié)合，此審計(jì)功能應(yīng)與應(yīng)用系統(tǒng)統(tǒng)一開發(fā)。將網(wǎng)絡(luò)入侵檢測系統(tǒng)位于有敏感 數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上，通過實(shí)時(shí)偵聽網(wǎng)絡(luò)數(shù)據(jù)流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。 針對病毒的風(fēng)險(xiǎn)，我們建議重點(diǎn)是將病毒消滅或封堵在終端這個(gè)源頭上。接收方對接收到的信息后，首先確認(rèn)發(fā)送方的身份信息，解包后，重新計(jì)算，將得到的鑒別碼與收到的鑒別碼進(jìn)行比較，若二者相同，則可以判定信息未被篡改，信息完整性沒有受到破壞。 真實(shí)性 — — IPSec 端要驗(yàn)證所有受 IPSec 保護(hù)的數(shù)據(jù)包。這種機(jī)制在所有的標(biāo)準(zhǔn) Web 瀏覽器上都有，不用額外的軟件實(shí)現(xiàn)。數(shù)據(jù)丟失將會(huì)使系統(tǒng)無法連續(xù)正常工作?？煽康南到y(tǒng)要求能立即訪問準(zhǔn)確信息。 SSL 對移動(dòng)用戶是理想的技術(shù)，因 為： ? SSL 無需被加載到終端設(shè)備上 ? SSL 無需終端用戶配置 ? SSL 無需被限于固定終端 ，只要有標(biāo)準(zhǔn)瀏覽器即可使用 產(chǎn)品部署方面， SSL VPN 只需 單臂旁路方式接入。 SSL VPN 適用于遠(yuǎn)程接入環(huán)境，例如：移動(dòng)辦公接入。 而對于用戶數(shù)據(jù)特別是身份鑒別信息的數(shù)據(jù)保密，應(yīng)用系統(tǒng)采用密碼技術(shù)進(jìn)行數(shù)據(jù)加密實(shí) 現(xiàn)鑒別信息的存儲(chǔ)保密性。 在 XX 醫(yī)院 網(wǎng)絡(luò) 安全管理安全域中，可以部署防病毒服務(wù)器，負(fù)責(zé)制定和終端主機(jī)防病毒策略，在 XX 醫(yī)院 網(wǎng)絡(luò) 內(nèi)網(wǎng)建立全網(wǎng)統(tǒng)一的一級升級服務(wù)器，在 下級節(jié)點(diǎn) 建立二級升級服務(wù)器，由管理中心升級服務(wù)器通過互聯(lián)網(wǎng)或手工方式獲得最新的病毒特征庫，分發(fā)到數(shù)據(jù)中心節(jié)點(diǎn)的各個(gè)終端，并下發(fā)到各二級服務(wù)器。 入侵檢測系統(tǒng)可以部署在 XX 醫(yī)院 網(wǎng)絡(luò) 的核心處以及主要服務(wù)器區(qū)，這里我們建議在這些區(qū)域的交換機(jī)上部署入侵檢測系統(tǒng)，監(jiān)視并記錄網(wǎng)絡(luò)中的所有訪問行為和操作，有效防止非法操作和惡意攻擊。 同時(shí)能夠?qū)τ涗洈?shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表 。 訪問控制的實(shí)現(xiàn)主要采取兩種方式： 采用安全操作系統(tǒng) ， 或?qū)Σ僮飨到y(tǒng)進(jìn)行安全增強(qiáng)改造， 且使用效果要達(dá)到以上要求。 訪問控制 三 級系統(tǒng)一個(gè)重要要求是實(shí)現(xiàn)自主訪問控制 和強(qiáng)制訪問控制 。 利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)；對機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。 機(jī)房安裝防雷和接地線， 設(shè)置防雷保安器，防止感應(yīng) 雷， 要求防雷接地和機(jī)房接地分別安裝，且相隔一定的距離 ； 機(jī)房設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測火情、自動(dòng)報(bào)警，并自動(dòng)滅火；機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐北醫(yī)三院 等級保護(hù) 方案 26 火等級的建筑材料；機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。 ? 機(jī)房選址 機(jī)房和辦公場地 選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。 通過 為滿足 物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個(gè)方面基本 技術(shù) 要求 進(jìn)行技術(shù)體系建設(shè)； 為滿足 安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面 基本 管理 要求進(jìn)行 管理體系建設(shè) 。 而數(shù)據(jù)在傳輸過程中，為能夠抵御不良企圖者采取的各種攻擊，防止遭到竊取，應(yīng)采用加密措施保證數(shù)據(jù)的機(jī)密性。從而威懾那些心存僥幸、有惡意企圖的少部分用戶，以利于規(guī)范正常的網(wǎng)絡(luò)應(yīng)用行為。 ? 邊界惡意代碼防范 現(xiàn)今，病毒的發(fā)展呈現(xiàn)出以下趨勢 :病毒與黑客程序相結(jié)合、蠕蟲病毒更加泛濫，目前計(jì)算機(jī)病毒的傳播途徑與過去相比已經(jīng)發(fā)生了很大的變化，更多的以網(wǎng)絡(luò)（包括 Inter、廣域網(wǎng)、局域網(wǎng)）形態(tài)進(jìn)行傳播，因此為了安全的防護(hù)手段也需以變應(yīng)變。 區(qū)域邊界安全風(fēng)險(xiǎn)與需求分析 區(qū)域邊界的安全主要包括：邊界訪問控制、邊界完整性檢測、邊界入侵防范以及邊界安全審計(jì) 等方面 。 對于關(guān)鍵數(shù)據(jù) 應(yīng) 建立數(shù)據(jù)的備份機(jī)制， 而對于網(wǎng)絡(luò)的關(guān)鍵設(shè)備、線路均需進(jìn)行冗余配置，備份與恢復(fù)是 應(yīng)對突發(fā)事件的必要措施。 ? 軟件容錯(cuò) 軟件容錯(cuò)的主要目的是提供足夠的冗余信息和算法程序 ,使系統(tǒng)在實(shí)際運(yùn)行時(shí)能夠及時(shí)發(fā)現(xiàn)程序設(shè)計(jì)錯(cuò)誤 ,采取補(bǔ)救措施 ,以提高軟件可靠性 ,保證整個(gè)計(jì)算機(jī)系統(tǒng)的正常運(yùn)行。 重點(diǎn)審計(jì)應(yīng)用層信 息，和業(yè)務(wù)系統(tǒng)的運(yùn)轉(zhuǎn)流程息息相關(guān)。 ? 訪問控制 訪問控制包括主機(jī)和應(yīng)用兩個(gè)方面。 因此， 在通盤考慮 安全風(fēng)險(xiǎn)時(shí)，應(yīng)優(yōu)先考慮物理安全風(fēng)險(xiǎn)。 從而構(gòu)建一整套有針對性的安防體系。 6. 安全 建設(shè)： 根據(jù)方案設(shè)計(jì)內(nèi)容逐步進(jìn)行安全建設(shè)，滿足方案設(shè)計(jì)做要符合的安全需求，滿足等級保護(hù) 相應(yīng)等級的基本要求 ，實(shí)現(xiàn)按需防御 。通過安全域設(shè)計(jì)將系統(tǒng)分解為多個(gè)層次，為下一步安全保障體系框架設(shè)計(jì)提供基礎(chǔ)框架。 等級保護(hù)的精髓思想就是“等級化 ”。 北醫(yī)三院 等級保護(hù) 方案 7 2 系統(tǒng)分析 XX 醫(yī)院 的網(wǎng)絡(luò)結(jié)構(gòu)主要分為內(nèi)網(wǎng)、外網(wǎng)兩大部分。遵循國家信息安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)規(guī)范，結(jié)合衛(wèi)生行業(yè)信息系統(tǒng)特點(diǎn)，優(yōu)先保護(hù)重要衛(wèi)生信息系統(tǒng)，優(yōu)先滿足重點(diǎn)信息安全需求。地方各級衛(wèi)生行政部門要按照國家信息安全等級保護(hù)制度有關(guān)要求，做好本地區(qū)衛(wèi)生信息系統(tǒng)安全等級保護(hù)的指導(dǎo)和管理工作 。 依照等級保護(hù)安全體系按照業(yè)務(wù)系統(tǒng)分級、分域的原則，參照衛(wèi)生部的規(guī)定，將內(nèi)網(wǎng) HIS、 PAS 電子病歷三大核心業(yè)務(wù)系統(tǒng)劃分為等級保護(hù)三級區(qū)域，其他業(yè)務(wù)劃分為等級保護(hù)二級區(qū)域。 整個(gè)安全保障體系各部分既有機(jī)結(jié)合，又相互支撐。 4. 評估現(xiàn)狀：根據(jù)各等級的安全要求確定各等級的評估內(nèi)容，根據(jù)國家相關(guān)風(fēng)險(xiǎn)評估方法，對系統(tǒng)各層次安全域進(jìn)行有針對性的等級風(fēng)險(xiǎn)評估。 而 應(yīng)該特別注意的是： 等級保護(hù)不是一個(gè)項(xiàng) 目，它應(yīng)該是一個(gè)不斷循環(huán)的過程，所以通過 整個(gè) 安全項(xiàng)目 、 安全 服務(wù)的實(shí)施，來保證用戶等級保護(hù)的建設(shè)能夠持續(xù)的運(yùn)行，能夠使整個(gè)系統(tǒng)隨著環(huán)境的變化達(dá)到持續(xù)的安全 。 經(jīng)過梳理后的 XX 醫(yī)院 網(wǎng)絡(luò) 信息系統(tǒng)安全區(qū)域劃分如下圖所示： 北醫(yī)三院 等級保護(hù) 方案 12 6 安全等級劃分 定級流程 確定信息系統(tǒng)安全保護(hù)等級的一般流程如下： ? 確定作為定級對象的信息系統(tǒng)； ? 確定業(yè)務(wù)信息安全受到破壞時(shí)所 侵害的客體； ? 根據(jù)不同的受侵害客體，從多個(gè)方面綜合評定業(yè)務(wù)信息安全被破壞對客體的侵害程度； ? 根據(jù)業(yè)務(wù)信息安全等級矩陣表得到業(yè)務(wù)信息安全等級； ? 確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體； ? 根據(jù)不同的受侵害客體，從多個(gè)方面綜合評定系統(tǒng)服務(wù)安全被破壞對客體的侵害程度； ? 根據(jù)系統(tǒng)服務(wù)安全等級矩陣表得到系統(tǒng)服務(wù)安全等級； ? 由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級的較高者確定定級對象的安全保護(hù)等級。 ? 身份鑒別 北醫(yī)三院 等級保護(hù) 方案 16 身份鑒別包括主機(jī)和應(yīng)用兩個(gè)方面。 用戶必須擁有合法的用戶標(biāo)識(shí)符，在制定好的訪問控制策略下進(jìn)行操作，杜絕越權(quán)非法操作。 北醫(yī)三院 等級保護(hù) 方案 17 ? 惡意代碼防范 病毒、蠕蟲等惡意代碼是對計(jì)算環(huán)境造成危害最大的隱患，當(dāng)前病毒威脅非常嚴(yán)峻，特別是蠕蟲病毒的爆發(fā)，會(huì)立 刻向其他子網(wǎng)迅速蔓延， 發(fā)動(dòng)網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊密。所有的措施最終無不是為了業(yè)務(wù)數(shù)據(jù)的安全。系統(tǒng)資源必須能夠?yàn)檎Ｓ脩籼峁┵Y源保障。 ? 邊界完整性檢測 邊界的完整性如被破壞則所有控制規(guī)則將失去效力，因此需要對內(nèi)部網(wǎng)絡(luò)中北醫(yī)三院 等級保護(hù) 方案 19 出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，維護(hù)邊界完整性。 ? 網(wǎng)絡(luò)結(jié)構(gòu) 網(wǎng)絡(luò)結(jié)構(gòu)是否合理直接影響著是否能夠有效的承載業(yè)務(wù)需要。如果發(fā)生網(wǎng)絡(luò)設(shè)備被不法分子攻擊，將導(dǎo)致設(shè)備不能正常運(yùn)行。 安全管理 需求分析 “三分技術(shù)、七分管理”更加突出的是管理層面在安全體系中的重要性。 首先應(yīng)根據(jù)本級 具體的基本 要求設(shè)計(jì) 本級系統(tǒng)的 保護(hù)環(huán)境模型 ， 根據(jù)《信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求》（注：尚未正式發(fā)布） ， 保護(hù)環(huán)境按照安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心進(jìn)行設(shè)計(jì)，內(nèi)容涵蓋基本要求的 5 個(gè)方面。 對機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域； 重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。 鋪設(shè)線纜要求電源線和通信線纜隔離鋪設(shè)，避免互相干擾。 ? 遠(yuǎn)程管理時(shí)應(yīng)啟用 SSH 等管理方式，加密管理數(shù)據(jù)，防止被網(wǎng)絡(luò)竊聽。 由此主要控制的是對應(yīng)用系統(tǒng)的文件、數(shù)據(jù)庫等資源的訪問，避免越權(quán)非法使用。 審計(jì)功能包括文件操作審計(jì)、外掛設(shè)備操作審計(jì)、非法外聯(lián)審計(jì)、 IP 地址更改審計(jì)、服務(wù)與進(jìn)程審計(jì)等。 入侵防范 針對 入侵防范 主要體現(xiàn)在主機(jī)及網(wǎng)絡(luò)兩個(gè)層面。入侵檢測系統(tǒng)作為網(wǎng)絡(luò)安全體系的第二道防線，對在防火墻系統(tǒng)阻斷攻擊失敗時(shí)，可以最大限度地減少相應(yīng)的損失。 軟件容錯(cuò) 軟件容錯(cuò)的主要目的是提供足夠的冗余信息和算法程序 ,使系統(tǒng)在實(shí)際運(yùn)行時(shí)能夠及時(shí)發(fā)現(xiàn)程序設(shè)計(jì)錯(cuò)誤 ,采取補(bǔ)救措施 ,以提高軟件可靠性 ,保證整個(gè)計(jì)算機(jī)系統(tǒng)的正常運(yùn)行。 IPSec VPN 適用于 組建 sitetosite 形態(tài)的 虛擬專有網(wǎng)絡(luò)， IPSEC 協(xié)議 提供的安全服務(wù)包括： 保密性 —— IPSec 在傳輸數(shù)據(jù)包之前將其加密．以保證數(shù)據(jù)的保密性。 SSL 協(xié)議指定了一種在應(yīng)用程序協(xié)議（如 Http、 Tele、 NMTP 和 FTP 等）和 TCP/IP 協(xié)議之間提供數(shù)據(jù)安全性分層的機(jī)制，它為 TCP/IP 連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消息完整性以及可選的客戶機(jī)認(rèn)證 。 遠(yuǎn)程移動(dòng) 用戶只需打開 標(biāo)準(zhǔn)IE 瀏覽器 ， 登陸 SSL VPN 網(wǎng)關(guān) ，經(jīng)過用戶認(rèn)證后即可根據(jù) 分配給 該用戶 的相應(yīng)策略 進(jìn)行相關(guān)業(yè)務(wù)系