【正文】 XX 醫(yī)院 等級保護(hù) 安全 整改 方案 第 26 頁 共 103 頁 圖 34 PDR 模型 ? 防護(hù) （ Protection） ： 防護(hù)是根據(jù)系統(tǒng)可能出現(xiàn)的安全問題而采取的預(yù)防措施，這些措 施通過傳統(tǒng)的靜態(tài)安全技術(shù)實現(xiàn)。采用的防護(hù)技術(shù)通常包括數(shù)據(jù)加密、身份認(rèn)證、訪問控制、授權(quán)和虛擬專用網(wǎng)（ VPN）技術(shù)、防火墻、安全掃描和數(shù)據(jù)備份等。 ? 檢測 （ Detection） ： 當(dāng)攻擊者穿透防護(hù)系統(tǒng)時，檢測功能就發(fā)揮作用，與防護(hù)系統(tǒng)形成互補(bǔ) ， 檢測是動態(tài)響應(yīng)的依據(jù)。 ? 響應(yīng) （ Response） ： 系統(tǒng)一旦檢測到入侵，響應(yīng)系 統(tǒng)就開始工作，進(jìn)行事件處理。響應(yīng) 包括應(yīng)急 響應(yīng)和恢復(fù)處理，恢復(fù)處理又包括系統(tǒng)恢復(fù)和信息恢復(fù)。 PDR 模型是在整體的安全策略的控制和指導(dǎo)下，在綜合運用防護(hù)工具 （ 如防火墻、操作系統(tǒng)身份認(rèn)證、加密等 ） 的同時 ，利用檢測工具 （ 如漏洞評估、入侵檢測等 ） 了解和評估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整到 “ 最安全 ” 和 “ 風(fēng)險最低 ” 的狀態(tài)。防護(hù)、檢測和響應(yīng)組成了一個完整的、動態(tài)的安全循環(huán)，在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全。 XX 醫(yī)院 等級保護(hù) 安全 整改 方案 第 27 頁 共 103 頁 IATF 縱深防御模型 IATF 核心理念 人 ，借助 技術(shù) 的支持，實施一系列 操作 的 過程，最終實現(xiàn)信息保障的目標(biāo)。 IATF 信息保障三要素 ? 人（ People）： 人是信息體系的主體，是信息系統(tǒng)的擁有者、管理者和使用者，是信息保障體系的核心，是第一位的要素，同時也是最脆弱的。正是基于這樣的認(rèn)識，安全管理在安 全保障體系中就愈顯重要，可以這么說，信息安全保障體系，實質(zhì)上就是一個安全管理的體系，其中包括意識培訓(xùn)、組織管理、技術(shù)管理和操作管理等多個方面。 ? 技術(shù)（ Technology）： 技術(shù)是實現(xiàn)信息保障的重要手段，信息保障體系所應(yīng)具備的各項安全服務(wù)就是通過技術(shù)機(jī)制來實現(xiàn)的。當(dāng)然，這里所說的技術(shù)，已經(jīng)不單是以防護(hù)為主的靜態(tài)技術(shù)體系，而是防護(hù)、檢測、響應(yīng)、恢復(fù)并重的動態(tài)的技術(shù)體系。 ? 操作（ Operation）： 或者叫運行，它構(gòu)成了安全保障的主動防御體系，如果說技術(shù)的構(gòu)成是被動的，那么操作和流程就是將各方面技術(shù)緊密結(jié)合在一 起的主動的過程，其中包括風(fēng)險評估、安全監(jiān)控、安全審計、跟蹤告警、入侵檢測、響應(yīng)恢復(fù)等內(nèi)容。 在明確了信息保障的三項要素之后， IATF 定義了實現(xiàn)信息保障目標(biāo)的工程過程和信息系統(tǒng)各個方面的安全需求。在此基礎(chǔ)上，對信息基礎(chǔ)設(shè)施就可以做到多層防護(hù)，這樣的防護(hù)被稱為 “深度防護(hù)戰(zhàn)略（ DefenseinDepth Strategy） ”。 人 技術(shù) 操作 培訓(xùn) 意識培養(yǎng) 深度保衛(wèi)技術(shù)框架領(lǐng)域 安全標(biāo)準(zhǔn) 評估 監(jiān)視 XX 醫(yī)院 等級保護(hù) 安全 整改 方案 第 28 頁 共 103 頁 物理安全 人事安全 系統(tǒng)安全管理 IT/IA 采購 風(fēng)險評估 認(rèn)證和鑒定 入侵檢測 警報 響應(yīng) 恢復(fù) IATF 框架模型 IATF 提出的信息保障的核心思想是 深度防護(hù)戰(zhàn)略（ DefenseinDepth Strategy） 。所謂 深度防護(hù)戰(zhàn)略 就是采用一個多層次的、縱深的安全措施來保障用戶信息及信息系統(tǒng)的安全。在縱深防御戰(zhàn)略中，人、技術(shù)和操作是三個主要核心因素，要保障信息及信息系統(tǒng)的安全，三者缺一不可。 圖 35 IATF 縱深防御模型 我們知道，一個信息系統(tǒng)的安全不 僅 僅 是依 靠一 、 兩種技術(shù)或者簡單地設(shè)置幾個防御設(shè)施就能實現(xiàn) 的， IATF 為 我們提供了全方位多層次的信息 安全 保障體系的指導(dǎo)思想，即縱深防御戰(zhàn)略思想。通過在各個層次、各個技術(shù)框架區(qū)域中實施 安全 保障機(jī)制，才能在最大限度內(nèi)降低風(fēng)險，防止攻擊，保護(hù)信息系統(tǒng)的安全。 XX 醫(yī)院 等級保護(hù) 安全 整改 方案 第 29 頁 共 103 頁 IATF 縱深防御戰(zhàn)略原則 ? 保護(hù)多個位置 ： 包括保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、計算環(huán)境等，這一原則提醒我們，僅僅在信息系統(tǒng)的重要敏感 位置 設(shè)置一些保護(hù)裝置是不夠的，任意一個系統(tǒng)漏洞都有可能導(dǎo)致嚴(yán)重的攻擊和破壞后果，所以在信息系統(tǒng)的各個方位布置全面的防御機(jī)制，這樣才能將風(fēng)險減至最低。 ? 分層防御 ： 如果說上一個原則是橫向防御 ，那么這一原則就是縱向防御，這也是縱深防御思想的一個具體體現(xiàn)。分層防御即在攻擊者和目標(biāo)之間部署多層防御機(jī)制，每一個這樣的機(jī)制必須對攻擊者形成一道屏障。而且每一個這樣的機(jī)制還應(yīng)包括保護(hù)和檢測措施，以使攻擊者不得不面對被檢測到的風(fēng)險，迫使攻擊者由于高昂的攻擊代價而放棄攻擊行為。 ? 安全強(qiáng)健性 ： 不同的信息對于組織有不同的價值，該信息丟失或破壞所產(chǎn)生的后果對組織也有不同的影響。所以對信息系統(tǒng)內(nèi)每一個信息安全組件設(shè)置的安全強(qiáng)健性（即強(qiáng)度和保障），取決于被保護(hù)信息的價值以及所遭受的威脅程度。在設(shè)計信息安全保障體系時，必須 要考慮到信息價值和安全管理成本的平衡。 IATF 的深度防護(hù)戰(zhàn)略將安全防護(hù)對象劃分為了四個焦點區(qū)域： 計算環(huán)境域 、邊界接入域 、 網(wǎng)絡(luò)基礎(chǔ)設(shè)施域 、 支撐性設(shè)施域 。這 四個技術(shù)焦點區(qū)域是一個逐層遞進(jìn)的關(guān)系，從而形成一種縱深防御系統(tǒng)。因此，以上四個方面的應(yīng)用充分貫徹了縱深防御的思想，對整個信息系統(tǒng)的各個區(qū)域、各個層次，甚至在每一個層次內(nèi)部都部署了信息安全設(shè)備和安全機(jī)制，保證訪問者對每一個系統(tǒng)組件進(jìn)行訪問時都受到保障機(jī)制的監(jiān)視和檢測，以實現(xiàn) 對 系統(tǒng)全方位的充分防御，將系統(tǒng)遭受攻擊的風(fēng)險降至最低，確保 數(shù)據(jù)信息 的安全和可靠。 XX 醫(yī)院 等級保護(hù) 安全 整改 方案 第 30 頁 共 103 頁 圖 36 IATF 技術(shù)焦點區(qū)域 體系模型 根據(jù)上述信息安全保障模型，結(jié)合 XX 醫(yī)院 的現(xiàn)狀， XX 公司 對 XX 醫(yī)院 信息安全保障體系的整改將遵循等級保護(hù)相關(guān) 標(biāo)準(zhǔn) 的要求 ，覆蓋安全管理、安全技術(shù)、安全運維 三 個方面， 整改設(shè)計后的安全體系如下 ： XX 醫(yī)院 等級保護(hù) 安全 整改 方案 第 31 頁 共 103 頁 圖 37 信息安全保障體系 如上圖所示， XX 醫(yī)院 信息安全保障體系 是一個以 管理體系為基礎(chǔ)，以運維體系為紐 帶，以技術(shù)體系為手段 ， 將三者 和信息 資產(chǎn)基礎(chǔ)設(shè)施進(jìn)行有機(jī) 結(jié)合的整體。 體系目標(biāo) 根據(jù) XX 醫(yī)院 實際情況 ， XX 公司 參考 多年來在信息安全領(lǐng)域積累的成熟經(jīng)驗和最佳實踐形成的安全參考架構(gòu) ，最終 形成 XX 醫(yī)院 信息安全保障體系框架。目標(biāo)是建立一個動態(tài)的基于 P2D2R2 和 IATF 縱深防御模型，并通過優(yōu)化 ITIL運維流程不斷持續(xù)改進(jìn)的安全保障體系。 管理體系上強(qiáng)調(diào)人、技術(shù)和流程之間的相互作用，通過強(qiáng)調(diào)策略的重要作用，并完善合適的制度來進(jìn)行規(guī)范化，并通過持續(xù)的體系宣傳貫徹來維護(hù)，技術(shù)上強(qiáng)調(diào)縱深防御，并通過防護(hù) P（阻止）、檢測 D（檢 查）、響應(yīng) R（糾正）來實現(xiàn)，整個體系通過不斷地宣傳和貫徹、考核和評價最終維護(hù)體系處于較高的保障水平，如下圖所示： XX 醫(yī)院 等級保護(hù) 安全 整改 方案 第 32 頁 共 103 頁 圖 38 信息安全保障體系詳細(xì)設(shè)計圖 信息 資產(chǎn)基礎(chǔ)設(shè)施是整個安全體系的基礎(chǔ)和保護(hù)目標(biāo) ，安全管理體系明確了組織高層安全策略和指導(dǎo)方針，安全技術(shù)體系是信息系統(tǒng)的安全技術(shù)保障，是安全管理體系中部分管理要求的落地與實現(xiàn)；安全管理體系中的管理要求通過安全運維體系有效落實到信息系統(tǒng)基礎(chǔ)設(shè)施和安全技術(shù)體系當(dāng)中，從而達(dá)到組織信息安全保障的整體目標(biāo)。 安全管理體系、安全技術(shù)體系、安全運維體系都是一個動態(tài)、循環(huán)的過程；安全管理體系需要周期性（一年或半年）的進(jìn)行管理評審和持續(xù)改進(jìn)；安全技術(shù)體系需要在新技術(shù)和新威脅出現(xiàn)時，信息系統(tǒng)基礎(chǔ)設(shè)施進(jìn)行變更時，進(jìn)行動態(tài)更 XX 醫(yī)院 等級保護(hù) 安全 整改 方案 第 33 頁 共 103 頁 新；安全運維體系需要周期性的通過安全服務(wù)將安全管理 體系的管理目標(biāo)通過安全技術(shù)、安全培訓(xùn)等措施進(jìn)行有效的落地與實現(xiàn)。 4 安全整改方案設(shè)計 本次安全整改方案主要涉及以下幾方面： 管理機(jī)構(gòu)與職責(zé)、 安全 防護(hù) 措施、安全審計、邊界防護(hù)、行為審計、系統(tǒng)安全 建設(shè)規(guī)劃、 系統(tǒng)安全運維 、人員培訓(xùn)、規(guī)章 制度、應(yīng)用評價等內(nèi)容。 安全管理體系整改設(shè)計 安全管理機(jī)構(gòu)建設(shè) 安全管理機(jī)構(gòu)現(xiàn)狀 目前， XX 醫(yī)院 按照 “ 統(tǒng)一領(lǐng)導(dǎo) 、 分級管理 ” 的原則， 將 信息 部門 劃分為了三層組織架構(gòu)： 決策層 （信息安全領(lǐng)導(dǎo)小組）、 管理層 （信息安全工作小組）和 執(zhí)行層 （兼職安全管理員）。其中，執(zhí)行層的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員出于工作連續(xù)性的考慮，存在一人身兼多職的情況。 安全管理機(jī)構(gòu)建設(shè) 按照 “ 統(tǒng)一領(lǐng)導(dǎo) 、 分級管理 ” 的原則， 我方建議 XX 醫(yī)院 信息系統(tǒng)網(wǎng)絡(luò)系統(tǒng)的 安全管理 必須設(shè)立專門的管理機(jī)構(gòu) ，配備相應(yīng)的 專職 安全管理 員 ，并實行 “ 一把手 ” 責(zé)任制 ，明確主管領(lǐng)導(dǎo)，落實部門責(zé)任，各盡其職。其主要內(nèi)容包括：各級管理 機(jī)構(gòu)的建立；各級管理機(jī)構(gòu)的職能、權(quán)限劃分；人員崗位、數(shù)量、職責(zé)的確定 等 。 另外， XX 醫(yī)院 需要通過各種方式建立與外部各方的信息安全渠道，聘請信息 XX 醫(yī)院 等級保護(hù) 安全 整改 方案 第 34 頁 共 103 頁 安全專家，組建外部信息安全專家組，為管理層提供信息安全解決方案，參與安全事故的處理，解答員工工作中遇到的信息安全相關(guān)問題并及時提供預(yù)防性的安全咨詢建議。 其中， 主要組建機(jī)構(gòu)為： ? 決策層： 信息安全領(lǐng)導(dǎo)小組 職責(zé)： (1) 負(fù)責(zé)審定 單位 信息安全建設(shè)與應(yīng)用總體 整改 、經(jīng)費預(yù)算、技術(shù)標(biāo)準(zhǔn)、管理規(guī)范及相關(guān)政策措施。 (2) 研究決 定信息安全體系建設(shè)重大事項，監(jiān)督信息安全體系 整改 的實施。 (3) 及時解決項目建設(shè)過程中的決策問題，并對各項工作做出指示 。 (4) 審批發(fā)布信息安全方針和管理體系 。 (5) 審批信息 安全整改 和項目的批準(zhǔn) 。 (6) 提供信息安全資源保證。 ? 管理層： 信息安全領(lǐng)導(dǎo)小組下設(shè)工作 小組 職責(zé)： (1) 負(fù)責(zé)信息安全體系建設(shè)具體工作實施和推進(jìn)，與領(lǐng)導(dǎo)小組及時溝通并匯報有關(guān)情況 。 (2) 負(fù)責(zé)與咨詢公司溝通協(xié)調(diào)項目實施情況以及項目在 單位 內(nèi)部的推進(jìn)和后續(xù)知識轉(zhuǎn)移 。 (3) 負(fù)責(zé) 信息安全管理 體系的建立并監(jiān)督信息安全管理制度的執(zhí)行 。 (4) 對信息安全相關(guān)項目進(jìn)行 整改 和監(jiān)督，確保信息安全風(fēng)險 評估和管理工作能夠落實 。 XX 醫(yī)院 等級保護(hù) 安全 整改 方案 第 35 頁 共 103 頁 (5) 制定年度內(nèi)審計劃，確定內(nèi)審范圍和內(nèi)審內(nèi)容 。 (6) 負(fù)責(zé)信息安全策略、標(biāo)準(zhǔn)、流程和制度的編寫、審核 與 推廣 。 (7) 制定業(yè)務(wù)連續(xù)性計劃。 (8) 建立與內(nèi)部 /外部專家、權(quán)威機(jī)構(gòu)、利益伙伴之間的溝通渠道。統(tǒng)一控制對外信息 的 發(fā)布和通告。 (9) 負(fù)責(zé)提出測量指標(biāo)，并制定有效性測量程序，同時為信息安全內(nèi)審進(jìn)行領(lǐng)導(dǎo)，協(xié)調(diào)有關(guān)工作。 (10) 任命信息安全角色和崗位，并明確各信息安全崗位的職責(zé)。 (11) 組織并實施信息安全管理評審。 ? 執(zhí)行層：信息安全崗（安全專職） 職責(zé)： (1) 負(fù)責(zé)信息安全體系建設(shè)具體工作實施和推進(jìn)，與領(lǐng)導(dǎo)小組及時溝通并匯報有關(guān) 情況 。 (2) 負(fù)責(zé)與咨詢 單位 溝通協(xié)調(diào)項目實施情況以及項目在 單位 內(nèi)部的推進(jìn)和后續(xù)知識轉(zhuǎn)移 。 (3) 負(fù)責(zé) 信息安全管理 體系的建立并監(jiān)督信息安全管理制度的執(zhí)行 。 (4) 對信息安全相關(guān)項目進(jìn)行 整改 和監(jiān)督，確保信息安全風(fēng)險評估和管理工作能夠落實 。 (5) 制定年度內(nèi)審計劃，確定內(nèi)審范圍和內(nèi)審內(nèi)容 。 (6) 負(fù)責(zé)信息安全策略、標(biāo)準(zhǔn)、流程和制度的編寫、審核及推廣 。 (7) 制定業(yè)務(wù)連續(xù)性計劃。 (8) 建立與內(nèi)部 /外部專家、權(quán)威機(jī)構(gòu)、利益伙伴之間的溝通渠道。統(tǒng)一控制 XX 醫(yī)院 等級保護(hù) 安全 整改 方案 第 36 頁 共 103 頁 對外信息發(fā)布和通告。 (9) 負(fù)責(zé)提出測量指標(biāo)，并制定有效性測量程序，同時 對 信息安全內(nèi)審進(jìn)行領(lǐng)導(dǎo)， 并 協(xié)調(diào)有關(guān)工作。 (10) 組織并實施信息安全管理評審。 安全管理制度建設(shè) 安全管理制度文件類型 根據(jù) 《信息系統(tǒng)安全