【導(dǎo)讀】XX醫(yī)院等級(jí)保護(hù)安全建設(shè)方案秘密級(jí)。XX大學(xué)附屬XX醫(yī)院。區(qū)域邊界安全風(fēng)險(xiǎn)與需

　　

【正文】 數(shù)據(jù)發(fā)送和接收 行為 ，為 數(shù)據(jù)收發(fā)雙方提供證據(jù)。 區(qū)域邊界安全風(fēng)險(xiǎn)與需求分析 區(qū)域邊界的安全主要包括：邊界訪問(wèn)控制、邊界完整性檢測(cè)、邊界入侵防范以及邊界安全審計(jì) 等方面 。 ? 邊界訪問(wèn)控制 對(duì)于各類邊界最基本 的安全需求就是訪問(wèn)控制， 對(duì)進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制，阻止非授權(quán) 及越權(quán) 訪問(wèn) 。 XX 醫(yī) 院等級(jí)保護(hù)安全建設(shè)方案 秘密級(jí) 20 ? 邊界完整性檢測(cè) 邊界的完整性如被破壞則所有控制規(guī)則將失去效力，因此需要 對(duì)內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過(guò)準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查 ，維護(hù)邊界完整性。 ? 邊界入侵防范 各類網(wǎng)絡(luò) 攻 擊行為 既可能 來(lái)自于大家公認(rèn)的互聯(lián)網(wǎng)等外部網(wǎng)絡(luò)，在 內(nèi)部也同樣存在。通過(guò) 安全措施，要實(shí)現(xiàn) 主動(dòng) 阻斷針對(duì)信息系統(tǒng)的各種攻擊，如病毒、木馬、間諜軟件、可疑代碼、端口掃描、 DoS/DDoS 等， 實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層以及業(yè)務(wù)系統(tǒng)的安全防護(hù)，保護(hù) 核心信息資產(chǎn)的免受攻擊危害 。 ? 邊界安全審計(jì) 在安全區(qū)域邊界 需要建立 必要的 審計(jì) 機(jī)制 ， 對(duì)進(jìn)出邊界的各類網(wǎng)絡(luò)行為進(jìn)行記錄與審計(jì)分析，可以和主機(jī)審計(jì)、應(yīng)用審計(jì)以及網(wǎng)絡(luò)審計(jì)形成多層次的審計(jì)系統(tǒng)。并可 通過(guò)安全管理中心 集中管理 。 ? 邊界惡意代碼防范 現(xiàn)今，病毒的發(fā)展呈現(xiàn)出以下趨勢(shì) :病毒與黑客程序相結(jié)合、蠕蟲(chóng) 病毒更加泛濫 ，目前計(jì)算機(jī)病毒的傳播途徑與過(guò)去相比已經(jīng)發(fā)生了很大 的變化， 更多的以網(wǎng)絡(luò)（包括 Inter、廣域網(wǎng)、局域網(wǎng)）形態(tài)進(jìn)行傳播， 因此為了安全的防護(hù)手段也需以變應(yīng)變。迫切需要網(wǎng)關(guān)型產(chǎn)品在網(wǎng)絡(luò)層面對(duì)病毒予以查殺 。 通信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與需求分析 XX 醫(yī)院 通信網(wǎng)絡(luò)的安全主要包括：網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)安全審計(jì)、網(wǎng)絡(luò)設(shè)備防護(hù)、通信完整性與保密性等方面。 ? 網(wǎng)絡(luò)結(jié)構(gòu) 網(wǎng)絡(luò)結(jié)構(gòu)是否合理直接影響著是否能夠有效的承載業(yè)務(wù)需要。因此網(wǎng)絡(luò)結(jié)構(gòu)需要具備一定的冗余性；帶寬能夠滿足業(yè)務(wù)高峰時(shí)期數(shù)據(jù)交換需求；并合理的劃分網(wǎng)段和 VLAN。 XX 醫(yī) 院等級(jí)保護(hù)安全建設(shè)方案 秘密級(jí) 21 ? 網(wǎng)絡(luò) 安全 審計(jì) 由于 用戶的計(jì)算機(jī)相關(guān)的知識(shí)水平參差不齊，一旦某些安全意識(shí)薄弱的管理用戶誤操作，將給信息系統(tǒng)帶來(lái)致命的破壞。 沒(méi)有相應(yīng)的審計(jì)記錄將給事后追查帶來(lái)困難。有必要進(jìn)行基于網(wǎng)絡(luò)行為的審計(jì)。 從而威懾那些心存僥幸、有惡意企圖的少部分用戶，以利于規(guī)范正常的網(wǎng)絡(luò)應(yīng)用行為。 ? 網(wǎng) 絡(luò)設(shè)備防護(hù) 由于 XX 醫(yī)院 在 建網(wǎng)絡(luò)系統(tǒng) 將會(huì)使用大量的網(wǎng)絡(luò)設(shè)備 和安全設(shè)備 ，如交換機(jī)、防火墻、入侵檢測(cè)設(shè)備等。這些設(shè)備的自身安全性也會(huì)直接關(guān)系到涉密網(wǎng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)行。如果發(fā)生網(wǎng)絡(luò)設(shè)備被不法分子攻擊，將導(dǎo)致設(shè)備不能正常運(yùn)行。更加嚴(yán)重情況 是設(shè)備設(shè)置被篡改，不法分子輕松獲得網(wǎng)絡(luò)設(shè)備的控制權(quán)，通過(guò)網(wǎng)絡(luò)設(shè)備作為跳板攻擊服務(wù)器，將會(huì)造成無(wú)法想象的后果。例如，交換機(jī)口令泄漏、防火墻規(guī)則被篡改、入侵檢測(cè)設(shè)備失靈等都將成為威脅網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的風(fēng)險(xiǎn)因素。 ? 通信完整性與保密性 由于網(wǎng)絡(luò)協(xié)議及文件格式均具有標(biāo)準(zhǔn)、開(kāi)發(fā)、公開(kāi)的特征，因此數(shù)據(jù)在網(wǎng)上存儲(chǔ)和傳輸過(guò)程中，不僅僅面臨信息丟失、信息重復(fù)或信息傳送的自身錯(cuò)誤，而且會(huì)遭遇信息攻擊或欺詐行為，導(dǎo)致最終信息收發(fā)的差異性。因此，在信息傳輸和存儲(chǔ)過(guò)程中，必須要確保信息內(nèi)容在發(fā)送、接收及保存的一致性；并在信息遭受篡改攻 擊的情況下，應(yīng)提供有效的察覺(jué)與發(fā)現(xiàn)機(jī)制 ，實(shí)現(xiàn)通信的完整性 。 而數(shù)據(jù)在傳輸過(guò)程中，為 能夠抵御 不良企圖者 采取的各種攻擊 ，防止遭到竊取，應(yīng)采用加密措施保證數(shù)據(jù)的機(jī)密性。 ? 網(wǎng)絡(luò)可信接入 對(duì)于一個(gè)不斷發(fā)展的網(wǎng)絡(luò)而言， 為方便辦公，在網(wǎng)絡(luò)設(shè)計(jì)時(shí)保留大量的接入端口，這對(duì)于隨時(shí)隨地快速接入到 XX 醫(yī)院 業(yè)務(wù) 網(wǎng)絡(luò) 進(jìn)行辦公是非常便捷的，但同時(shí)也引入了 安全 風(fēng)險(xiǎn)，一旦外來(lái)用戶不加阻攔的接入到網(wǎng)絡(luò)中來(lái)，就有可能破壞網(wǎng)絡(luò)的安全邊界，使得外來(lái)用戶具備對(duì)網(wǎng)絡(luò)進(jìn)行破壞的條件 ，由此而引入諸如XX 醫(yī) 院等級(jí)保護(hù)安全建設(shè)方案 秘密級(jí) 22 蠕蟲(chóng)擴(kuò)散、文件泄密等安全問(wèn)題 。因此需要對(duì)非法客戶端 實(shí)現(xiàn) 禁入 ， 能監(jiān)控網(wǎng)絡(luò)，對(duì)于沒(méi)有 合法認(rèn)證的 外來(lái)機(jī)器，能夠阻斷其網(wǎng)絡(luò)訪問(wèn) ，保護(hù)好已經(jīng)建立起來(lái)的安全環(huán)境 。 安全管理 需求分析 “三分技術(shù)、七分管理”更加突出的是管理層面在安全體系中的重要性。除了技術(shù)管理措施外，安全管理是保障安全技術(shù)手段發(fā)揮具體作用的最有效手段，建立健全安全管理體系不但是國(guó)家等級(jí)保護(hù)中的要求，也是作為一個(gè)安全體系來(lái)講，不可或缺的重要組成部分。 安全管理體系依賴于國(guó)家相關(guān)標(biāo)準(zhǔn)、行業(yè)規(guī)范、國(guó)際安全標(biāo)準(zhǔn)等規(guī)范和標(biāo)準(zhǔn)來(lái)指導(dǎo)，形成可操作的體系。主要包括： ? 安全管理制度 ? 安全管理機(jī)構(gòu) ? 人員安全管理 ? 系統(tǒng)建設(shè)管理 ? 系統(tǒng) 運(yùn)維管理 根據(jù)等級(jí)保護(hù)的要求在上述方面建立一系列的管理制度與操作規(guī)范 ，并明確執(zhí)行 。 7 技術(shù) 體系 方案設(shè)計(jì) 方案設(shè)計(jì)目標(biāo) 三級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是：落實(shí) GB 178591999 對(duì)三級(jí)系統(tǒng)的安全保護(hù)要求，在二級(jí)安全保護(hù)環(huán)境的基礎(chǔ)上，通過(guò)實(shí)現(xiàn)基于安全策略模型和標(biāo)記的強(qiáng)制訪問(wèn)控制以及增強(qiáng)系統(tǒng)的審計(jì)機(jī)制，使得系統(tǒng)具有在統(tǒng)一安全策略管控下，保護(hù)敏感資源的能力。 通過(guò) 為滿足 物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個(gè)方面XX 醫(yī) 院等級(jí)保護(hù)安全建設(shè)方案 秘密級(jí) 23 基本 技術(shù) 要求 進(jìn)行技術(shù)體系建設(shè)； 為滿足 安全管理 制度、 安全管理 機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管 理、系統(tǒng)運(yùn)維管理五個(gè)方面 基本 管理 要求進(jìn)行 管理體系建設(shè) 。使得 XX 醫(yī)院 網(wǎng)絡(luò) 系統(tǒng)的 等級(jí)保護(hù)建設(shè)方案最終既可以滿足等級(jí)保護(hù)的相關(guān)要求，又能夠全方面為 XX 醫(yī)院 的業(yè)務(wù) 系統(tǒng) 提供立體、 縱深的安全 保障 防御體系，保證信息系統(tǒng)整體的安全保護(hù)能力 。 方案 設(shè)計(jì) 框架 根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，分為技術(shù)和管理兩大類要求，具體如下圖所示： 本方案將嚴(yán)格根據(jù)技術(shù)與管理要求進(jìn)行設(shè)計(jì)。 首先應(yīng)根據(jù)本級(jí) 具體的基本 要求設(shè)計(jì) 本級(jí)系統(tǒng)的 保護(hù)環(huán)境模型 ， 根據(jù)《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》 ，保護(hù)環(huán)境按照安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信 網(wǎng)絡(luò)和安全管理中心進(jìn)行設(shè)計(jì)，內(nèi)容涵蓋基本要求的 5 個(gè)方面。同時(shí) 結(jié)合管理要求 ，形成如下圖所示的保護(hù)環(huán)境模型： XX 醫(yī) 院等級(jí)保護(hù)安全建設(shè)方案 秘密級(jí) 24 信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全性等級(jí)和系統(tǒng)服務(wù)保證性等級(jí)較高者決定，因此，對(duì)某一個(gè)定級(jí)后的信息系統(tǒng)的安全保護(hù)的側(cè)重點(diǎn)可以有多種組合。對(duì)于 3 級(jí)保護(hù)系統(tǒng)，其組合 為：（在 S1A3G3， S2A3G3， S3A3G3， S3A2G3，S3A1G3 選擇）。 以下 對(duì) XX 醫(yī)院 詳細(xì)方案設(shè)計(jì)時(shí) 應(yīng) 將 每個(gè)項(xiàng)目進(jìn)行相應(yīng)的 組合級(jí)別說(shuō)明。 安全 技術(shù) 體系 設(shè)計(jì) 物理安全設(shè)計(jì) 物理環(huán)境安全策略的目的是保護(hù)網(wǎng)絡(luò)中計(jì)算機(jī)網(wǎng)絡(luò)通信有一個(gè)良好 的電磁兼容工作環(huán)境，并防止非法用戶進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。 ? 機(jī)房選址 機(jī)房和辦公場(chǎng)地 選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。 機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁 。 XX 醫(yī) 院等級(jí)保護(hù)安全建設(shè)方案 秘密級(jí) 25 ? 機(jī)房管理 機(jī)房出入口 安排專人值守，控制、鑒別和記錄進(jìn)入的人員； 需進(jìn)入機(jī)房的來(lái)訪人員須 經(jīng)過(guò)申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍。 對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過(guò)渡區(qū)域； 重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。 ? 機(jī)房環(huán)境 合 理規(guī)劃設(shè)備安裝位置 ，應(yīng)預(yù)留足夠的空間作安裝、維護(hù)及操作之用。房間裝修必需使用阻燃材料，耐火等級(jí)符合國(guó)家相關(guān)標(biāo)準(zhǔn)規(guī)定。機(jī)房門大小應(yīng)滿足系統(tǒng)設(shè)備安裝時(shí)運(yùn)輸需要。機(jī)房墻壁及天花板應(yīng)進(jìn)行表面處理，防止塵埃脫落，機(jī)房應(yīng)安裝防靜電活動(dòng)地板。 機(jī)房安裝防雷和接地線， 設(shè)置防雷保安器，防止感應(yīng)雷 ， 要求防雷接地和機(jī)房接地分別安裝，且相隔一定的距離 ； 機(jī)房設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅火；機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料；機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開(kāi)。 配 備空調(diào)系統(tǒng)，以保持房間恒濕、恒溫的工作環(huán)境 ； 在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備； 提供短期的備用電力供應(yīng)， 滿足關(guān)鍵設(shè)備在斷電情況下的正常運(yùn)行要求。 設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電；建立備用供電系統(tǒng)。 鋪設(shè)線纜要求電源線和通信線纜 隔離鋪設(shè)，避免互相干擾 。 對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽 。 ? 設(shè)備 與介質(zhì) 管理 為了防止無(wú)關(guān)人員和不法分子非法接近網(wǎng)絡(luò)并使用網(wǎng)絡(luò)中的主機(jī)盜取信息、破壞網(wǎng)絡(luò)和主機(jī)系 統(tǒng)、破壞網(wǎng)絡(luò)中的數(shù)據(jù)的完整性和可用性，必須采用有效的區(qū)域監(jiān)控、防盜報(bào)警系統(tǒng) ，阻止非法用戶的各種臨近攻擊。此外，必 須制定嚴(yán)格的出入管理制度和環(huán)境監(jiān)控制度，以保障區(qū)域監(jiān)控系統(tǒng)和環(huán)境監(jiān)控系統(tǒng)的有效運(yùn)行。 對(duì)介質(zhì) 進(jìn)行分類標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫(kù)或檔案室中。 利用光、電等技術(shù)設(shè)置機(jī)XX 醫(yī) 院等級(jí)保護(hù)安全建設(shè)方案 秘密級(jí) 26 房防盜報(bào)警系統(tǒng)；對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。 計(jì)算環(huán)境 安全設(shè)計(jì) 身份鑒別 身份鑒別可分為主機(jī) 身份鑒別 和應(yīng)用 身份鑒別兩 個(gè)方面： 主機(jī)身份鑒別： 為提高主機(jī)系統(tǒng) 安全性 ，保障各種 應(yīng)用的正常運(yùn)行 ，對(duì)主機(jī)系統(tǒng)需要進(jìn)行一系列的加固措施，包括： ? 對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，且保證用戶名的唯一性。 ? 根據(jù)基本要求配置用戶名 /口令；口令必須具備采用 3 種以上字符 、長(zhǎng)度不少于 8 位并定期更換； ? 啟用登陸失敗處理功能，登陸失敗后 采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施 。 ? 遠(yuǎn)程管理時(shí)應(yīng)啟用 SSH 等管理方式，加密管理數(shù)據(jù)，防止被網(wǎng)絡(luò)竊聽(tīng)。 ? 對(duì)主機(jī)管理員登錄進(jìn)行雙因素認(rèn)證方式，采用 USB key+密碼進(jìn)行身份鑒別 應(yīng)用身份鑒別： 為提高應(yīng)用系統(tǒng)系統(tǒng) 安全性 應(yīng)用系統(tǒng)需要進(jìn)行一系列的加固措施，包括： 對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別，且保證用戶名的唯一性。 根據(jù)基本要求配置用戶名 /口令，必須具備一定的復(fù)雜度；口令必須具備采用 3 種以上字符、長(zhǎng)度不少于 8 位并定期更換； 啟用登陸失敗處 理功能，登陸失敗后 采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施 。 XX 醫(yī) 院等級(jí)保護(hù)安全建設(shè)方案 秘密級(jí) 27 應(yīng)用系統(tǒng)如具備上述功能則需要開(kāi)啟使用，若不具備則需進(jìn)行相應(yīng)的功能開(kāi)發(fā)，且使用效果要達(dá)到以上要求。 對(duì)于三級(jí)系統(tǒng)，要求對(duì)用戶進(jìn)行 兩種或兩種以上組合的鑒別技術(shù) ，因此可采用雙因素認(rèn)證（ USB key+密碼）或者構(gòu)建 PKI 體系，采用 CA 證書(shū)的方式進(jìn)行身份 鑒別 。 訪問(wèn)控制 三 級(jí)系統(tǒng)一個(gè)重要要求是實(shí)現(xiàn)自主訪問(wèn)控制 和強(qiáng)制訪問(wèn)控制 。 自主訪問(wèn)控制實(shí)現(xiàn)： 在安全策略控制范圍內(nèi)，使 用戶 對(duì)自己創(chuàng)建的客體具有各種訪問(wèn)操作權(quán)限，并能將這些權(quán)限的部分或全部授予其他 用戶 ；自 主訪問(wèn)控制主體的粒度應(yīng)為 用戶級(jí) ，客體的粒度應(yīng)為文件或數(shù)據(jù)庫(kù)表級(jí) ；自主 訪問(wèn)操作應(yīng)包括對(duì)客體的創(chuàng)建、讀、寫(xiě)、修改和刪除等 。 強(qiáng)制訪問(wèn)控制實(shí)現(xiàn)： 在對(duì)安全管理員進(jìn)行嚴(yán)格的身份鑒別和權(quán)限控制基礎(chǔ)上，由安全管理員通過(guò)特定操作界面對(duì)主、客體進(jìn)行安全標(biāo)記；應(yīng)按安全標(biāo)記和強(qiáng)制訪問(wèn)控制規(guī)則，對(duì)確定主體訪問(wèn)客體的操作進(jìn)行控制；強(qiáng)制訪問(wèn)控制主體的粒度應(yīng)為用戶級(jí)，客體的粒度應(yīng)為文件或數(shù)據(jù)庫(kù)表級(jí) 。 由此主要控制的是對(duì)應(yīng)用系統(tǒng)的文件、數(shù)據(jù)庫(kù)等資源的訪問(wèn)，避免越權(quán)非法使用。采用的措施主要包括： 啟用訪問(wèn)控制功能：制定嚴(yán)格的訪問(wèn)控制安全策略 ，根據(jù)策略控制用戶對(duì)應(yīng)用系統(tǒng)的訪問(wèn)，特別是文件操作、數(shù)據(jù)庫(kù)訪問(wèn)等，控制粒度主體為用戶級(jí)、客體為 文件或數(shù)據(jù)庫(kù)表級(jí) 。 權(quán)限控制：對(duì)于制定的訪問(wèn)控制規(guī)則要能清楚的覆蓋資源訪問(wèn)相關(guān)的主體、客體及它們之間的操作。對(duì)于不同的用戶授權(quán)原則是進(jìn)行能夠完成工作的最小化授權(quán)，避免授權(quán)范圍過(guò)大，并在它們之間形成相互制約的關(guān)系。 賬號(hào)管理：嚴(yán)格限制默認(rèn) 賬戶 的訪問(wèn)權(quán)限，重命名默認(rèn) 賬戶 ，修改默認(rèn)口令；及時(shí)刪除多余的、過(guò)期的 賬戶 ，避免共享 賬戶 的存在。 訪問(wèn)控制的實(shí)現(xiàn)主要采取兩種方式： 采用安全操作系統(tǒng) ，