【導讀】沈陽東軟系統(tǒng)集成工程有限公司。延安醫(yī)療集團信息安全等級保護整改建議方案書

　　

【正文】 傳輸?shù)臉I(yè)務數(shù)據(jù)、鑒別信息和管理數(shù)據(jù)主要通過 TCP/IP 協(xié)議來實現(xiàn)數(shù)據(jù)包在傳輸層和網(wǎng)絡層的互通，雖然 TCP/IP 協(xié)議具有 CRC 數(shù)據(jù)校驗功能，但在應用層并沒有具體的數(shù)據(jù)校驗和完整性保護及恢復功能，使得應用層與傳輸層傳送的數(shù)據(jù)可能會遭受篡改。 系統(tǒng)管理數(shù)據(jù)的賬戶密碼、審計數(shù)據(jù)，登入 系統(tǒng)的鑒別信息和應用系統(tǒng)業(yè)務數(shù)據(jù)都存儲在服務器和數(shù)據(jù)庫中，在 HIS 業(yè)務數(shù)據(jù)存儲方面主要通過 DB2 的集群架構來實現(xiàn)數(shù)據(jù)的存儲和備份，集群采用 quorum 模式，來對備份的數(shù)據(jù)進行校驗，保障存儲備份數(shù)據(jù)的完整性。數(shù)據(jù)庫采用主備機制，本部數(shù)據(jù)庫為主，東關數(shù)據(jù)庫為備，東關 HIS應用連接本部數(shù)據(jù)庫，東關只接收本部 DB2 數(shù)據(jù)日志進行備份，當本部數(shù)據(jù)完整性遭受破壞后，從東關進行數(shù)據(jù)恢復。 ? 數(shù)據(jù)保密性： 通過遠程桌面發(fā)送的系統(tǒng)管理數(shù)據(jù)全部采用基本模式，沒有配置 SSL 加密模式，雖然基本模式中采用 RDP 傳輸協(xié)議中自帶 60 位 RSARC4 加密算法對數(shù)據(jù)進行簡單加密（只加密密碼，不加密用戶名），但通過“用戶口令猜想”攻擊手段，可以對 Password 進行窮舉攻擊或利用聯(lián)想，其口令猜測成功率可以達到 %。 HIS、 LIS、 RIS、 PACS、體檢、臨床路徑系統(tǒng)其數(shù)據(jù)包沒有采用加密措施，心電圖系統(tǒng)采用自由加密技術對數(shù)據(jù)包進行加密。 HIS、心電圖等部分系統(tǒng)的審計日志存放為本地服務器系統(tǒng)文件夾中的 TXT 文件中，沒有采用數(shù)據(jù)加密處理技術。 HIS、 RIS、 LIS 等數(shù)據(jù)庫中的密碼為 MD5 加密存儲，但數(shù)據(jù)值沒有啟用加密措施。 ? 備份與恢復： HIS 存儲只與一臺光交換設備做連接，存在單點故障。 HIS 應用服務器為四臺，本部、東關各兩臺，分別做主備。其數(shù)據(jù)庫為主備架構。 延安醫(yī)療集團信息 安全等級保護整改建議方案書 25 部分服務器與單臺接入交換機進行雙線路連接，但只接入一臺交換機。 管理 體系 方面的差距 ? 安全管理制度： 缺少信息安全工作的總體方針和安全策略，缺少全面的信息安全管理制度體系，缺少對安全管理制度的評審記錄，缺少對安全管理制度的制定和發(fā)布的管理文檔。 ? 安全管理機構： 沒有成立信息安全領導小組，缺少相關文件對管理機構內各部門和崗位職責及各個崗位人員的技能要求的描述，沒有相關制度描述審批事項負責部門 以及審批的流程和記錄，缺少相關的安全檢查記錄及對安全檢查相關要求的制度和安全檢查報告及檢查結果通告記錄。 ? 人員安全管理： 缺少人員懲戒、考核、培訓等相關制度和記錄。 ? 系統(tǒng)建設管理： 缺少軟件測試記錄、開發(fā)文檔、工程管理文檔、驗收報告等資料。 ? 系統(tǒng)運維管理： 缺少系統(tǒng)運維工作的具體管理規(guī)定和細則，沒有建立起全面、深入的系統(tǒng)運維管理體系，如變更、備份恢復、應急響應、代碼管理、系統(tǒng)升級、日志記錄、工作授權與交接等制度。 安全需求 醫(yī)療集團本部 信息 系統(tǒng)的安全需求首要的是要滿足 三級 等級保護系統(tǒng)的防護要求，滿足此類要求 說到底 是滿足監(jiān)管類的合規(guī)性要求 。東軟公司作為 等級保護標準的 起草 參與廠商之一， 對于 等級保護標準 有著 區(qū)別于普通安全廠商的 深刻 理解 ?；?19 年 的技術 積累與 持續(xù)創(chuàng)新 ，東軟 公司 網(wǎng)絡 安全事業(yè)部 已成為國內 一流 的網(wǎng)絡安全團隊 。我們 認為信息安全建設需要 正本清源 ，從信息安全的本質 屬性 入手， 這樣 不但有更多的 方法論 和 最佳實踐 可供借鑒，同時也可以 在 滿足等級保護合規(guī)性要求的同時，從根本上 改善和 提升 延大附中信息 系統(tǒng)的安全水平 。 信息安全是指信息 系統(tǒng) 的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露 ； 系統(tǒng) 連續(xù)可靠正常地運行，信息服務不中斷 。 信息安全包延安醫(yī)療集團信息 安全等級保護整改建議方案書 26 括了 保密性、完整性、可用性 等特性，本 建議 方案 書 將從信息安全管理、信息安全運維、信息安全技術三個方面展開需求分析， 并 力求 使系統(tǒng)達到 在統(tǒng)一安全策略下 ， 防護系統(tǒng)免受來自外部有組織的團體 或 擁有較為豐富資源的威脅源發(fā)起的惡意攻擊 、經(jīng)受 較為嚴重的自然災難 和 其他相當危害程度的威脅所造成的主要資源損害，能夠 及時 發(fā)現(xiàn)安全漏洞和安全事件，并能 在系統(tǒng)遭受損害后，較快恢復絕大部分功能。 信息安全管理需求 ? 符合等級保護要求 2020 年的 《 國家信息化領導小組關于加強信息安全保障工作的意見》 （ 27 號文）中指出：“要重點保護基礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南”。根據(jù)國家信息化領導小組的統(tǒng)一部署和安排，我國開始在全國范圍內全面開展信息安全等級保護工作。 ? 符合國內國際標準 醫(yī)療集團本部 由自身業(yè)務系統(tǒng)建設、運維、發(fā)展過程而形成 了 一系列信息安全管理的自身需求。自身需求需要滿足國家、主管部門規(guī)定的信息安全管理標準、要求以外，還需要參考并符合一些相關的國內國際標準，才能夠更有效的保障 醫(yī)療集團本部 信息系統(tǒng)的 安全管理建設。 具體內容包括如下： ISO_IEC 27001 GB/T220802020《信息安全管理體系要求》 ISO/IEC27001:2020 信息安全管理體系要求（ Information Security Management Systems Requirements ），是由國際標準化組織（ ISO）和國際電工委員會（ IEC）組成的聯(lián)合技術委員會 JTC1/SC27 制定的 ISMS 國際標準， 2020 年正式頒布。我國于 2020 年頒布了等同采用 ISO/IEC27001： 2020的國家標準 GB/T220802020，這兩個標準具有同等效力。 ISO/IEC 27001 的宗旨是確保機構信息的機密性、完整性及可用性，共有 11個管理控制域 、 39 個控制目標及 133 項控制措施，可在其中選擇適用于 延大附中 業(yè)務 需求 的控制措施，同時也可增加其它的控制措施。 醫(yī)療集團本部 運用信息系統(tǒng)支撐其主要業(yè)務活動。從業(yè)務系統(tǒng)的復雜性、重要性，以及信息系統(tǒng)的整體規(guī)模、地理范圍、工作人員等諸多因素考慮，現(xiàn)有的合規(guī)性管理要求并不能延安醫(yī)療集團信息 安全等級保護整改建議方案書 27 完全滿足 醫(yī)療集團本部 對信息安全管理的全部需求，需要引入 ISO_IEC 27001 或稱為GB/T220802020，健全 醫(yī)療集團本部 的信息系統(tǒng)安全管理體系。 通過比較已有的等級保護管理要求與 醫(yī)療集團本部 自身的信息安全管理需求，需要從ISO_IEC 27001 中引入部分內容滿足以下管理需求： ? 業(yè)務連續(xù)性管理 目標：防止 醫(yī)療集團本部 業(yè)務活動中斷、保證重要業(yè)務流程不受重大故障和災難影響。 管理需求：應通過業(yè)務連續(xù)性管理采用控制措施，識別和降低風險，限制破壞性事件造成的后果，確保重要操作及時恢復；應實施業(yè)務連續(xù)性管理程序，預防和恢復控制相結合，將災難和安全故障造成的影響降低到可以接受的水平。 ? 安全策略評審管理 目標：保證 醫(yī)療集團本部 信息系統(tǒng)符合組織的安全策略和標準。 管理需求：應確保信息系統(tǒng)、系統(tǒng)供應商、信息和信息資產(chǎn)的所有者、用戶、管理層幾個方面都遵守已發(fā)布的安全策略和標準；應確保信息系統(tǒng)所有者支持定期評審，確保系統(tǒng)符合相關的標準、要求。 ? 技術符合性檢查管理 目標：保證信息系統(tǒng)符合安全技術實要求。 管理需求：應定期檢查信息系統(tǒng)是否符合技術要求；應形成周期性檢查的流程；應保證所有檢查在合格的授權人員或其監(jiān)督下完成。 SSECMM 《系統(tǒng)安全工程能力成熟度模型》 系統(tǒng)安全工程能力成熟模型（ SSECMM）的開發(fā)源于 1993 年 5 月美國國家安全局發(fā)起的研究工作。 1999年完成 SSECMM 模型的第二版。 SSECMM 建立和完善一套成熟的、可度量的安全工程過程，從而確保安全工程的任何工程活動均是清晰定義的、可管理的、可測量的、可控制的并且是有效的； SSECMM 還用于改進安全工程實施的現(xiàn)狀，達到提高安全系統(tǒng)、安全產(chǎn)品和安全工程服務的質量和可用性并降低成本。 醫(yī)療集團本部 信息系統(tǒng)從整改設計、開發(fā)采購、運行維護等各個階段都有大量 IT 公司參與。主要包括系統(tǒng)集成商，應用開發(fā)者，產(chǎn)品廠商和服務供應商。 醫(yī)療集團 本部 可以有效利用 SSECMM 模型去評審、控制及保障各個服務商在進行硬件、軟件、系統(tǒng)等工程活動過程。 延安醫(yī)療集團信息 安全等級保護整改建議方案書 28 信息安全運維需求 按照等級保護要求，信息安全工作應貫穿信息系統(tǒng)建設的生命周期，信息安全是一個動態(tài)的和不斷補充完善、持續(xù)改進的過程，本節(jié)描述 醫(yī)療集團本部 安全保障系統(tǒng)運行維護的技術需求。 ? 運行管理 從保證業(yè)務連續(xù)性的角度來看，運行管理是保障業(yè)務連續(xù)性中非常重要的環(huán)節(jié)。涉及到機房物理環(huán)境的安全管理、資產(chǎn)設備和介質的生命周期管理、網(wǎng)絡安全管理、系統(tǒng)安全管理、惡意代碼防范以及容災管理。 ? 變更管理 由于信息系統(tǒng)不是一成 不變的，總是要根據(jù)業(yè)務運行的需要不斷發(fā)展完善，在變化的過程中，很有可能引入新的安全風險，因此，信息系統(tǒng)的變更管理與信息安全密切相關。 ? 安全監(jiān)控 安全基礎設施 中的各種安全設備部署和安全管理平臺建設完成后，需要通過安全監(jiān)控工作始終保持對安全狀態(tài)的關注，及時處理安全問題，把安全隱患扼殺在萌芽之中。 ? 應急響應 制定應急響應流程和應急預案并定期演練，也可以借助第三方廠商幫助應急。 ? 風險評估和持續(xù)改進 將風險評估工作制度化、日常化，按照 PDCA 的循環(huán) 模型 定期、不定期的進行 是 風險管理成果得以持續(xù)提升和改進的重要步驟。 分 域保護安全需求 基于《延大附院 安全整改建議書 詳細 》的調研結果和對醫(yī)療集團本部信息系統(tǒng)網(wǎng)絡拓撲結構的分析，目前醫(yī)療集團本部信息網(wǎng)絡系統(tǒng)未按“系統(tǒng)功能和應用相似性”、“資產(chǎn)價值相似性”、“安全要求相似性”、“威脅相似性”等原則對現(xiàn)有網(wǎng)絡結構進行安全區(qū)域的劃分，導致網(wǎng)絡結構沒有規(guī)范化，缺少區(qū)域訪問控制和網(wǎng)絡層防病毒措施，不能有效控制蠕蟲病毒等信息安全事件發(fā)生后所影響的范圍，從而使得網(wǎng)絡和安全管理人員無法對網(wǎng)絡安全進行有效的管理。 信息安全技術需求 信息安全技術需求要求能夠遵從國家關于信息系統(tǒng)等級保護的要 求（基本要求中的技術延安醫(yī)療集團信息 安全等級保護整改建議方案書 29 要求），根據(jù)所定義的不同的等級保護級別采取相應的技術手段對信息系統(tǒng)采取適當?shù)陌踩Ｗo。 等級保護實施指南中明確提出：對一個大型、復雜信息系統(tǒng)的構成內容進行抽象處理，提取共性形成模型，以便于針對模型要素提出統(tǒng)一的安全策略和安全措施要求。那么，這個模型化的安全技術措施整改設計方法就是：安全域的整改和設計。 根據(jù)安全域劃分的要求，安全域可以分成四大類，即：安全計算環(huán)境（如：服務器區(qū)、客戶端局域網(wǎng)環(huán)境）、安全區(qū)域邊界（如： inter 邊界防火墻、外聯(lián)邊界防火墻、 IPS）、安全通信網(wǎng)絡、安全支 撐系統(tǒng)（如：網(wǎng)管和性能管理系統(tǒng)、安全管理中心，其中安全管理中心又可以起到統(tǒng)一管理安全設備和安全事件的作用）。 安全通信網(wǎng)絡 對照差距評估結果， 醫(yī)療集團本部 通信網(wǎng)絡主要存在問題： 缺乏 網(wǎng)絡邊界隔離控制 網(wǎng)關 、缺少網(wǎng)絡入侵檢測、 缺少 網(wǎng)絡性能監(jiān)控和管理 ， 網(wǎng)絡惡意代碼防范措施不足。 因此，安全通信網(wǎng)絡的安全技術需求主要在于 網(wǎng)絡 邊界隔離與控制、 網(wǎng)絡安全審計、網(wǎng)絡入侵防范、 網(wǎng)絡 性能監(jiān)控與管理 、 網(wǎng)絡惡意代碼防范這幾個方面。 ? 通信網(wǎng)絡 IT 資源監(jiān)控管理 信息系統(tǒng)是承載業(yè)務應用的基礎，當信息系統(tǒng)出現(xiàn)性能下降或者不可用的情況時，業(yè)務應用必然受到直接影響，因此對 IT 信息系統(tǒng)的資源監(jiān)控管理是 醫(yī)療集團本部 業(yè)務應用穩(wěn)健運行所需要的一個重要技術環(huán)節(jié)。 因此， IT 資源監(jiān)管系統(tǒng)主要是對業(yè)務系統(tǒng)運行環(huán)境中的各種設備及軟件進行有效的 監(jiān)控和 管理，監(jiān)控目標包括：主機服務器（操作系統(tǒng)）、數(shù)據(jù)庫、網(wǎng)絡設備、磁盤陣列、中間件、WEB 服務、業(yè)務應用系統(tǒng)、防火墻、負載均衡、機房環(huán)境等。 ? 資源控制 需要采用 IT 監(jiān)管系統(tǒng)，對重要服務器的運行服務水平進行監(jiān)視和報警，及時掌握系統(tǒng)的運行狀況，如： CPU 的利用率、剩余磁盤空間、內存、網(wǎng)絡帶寬等資源的使用情況。 ? 通信網(wǎng)絡 入侵檢測 在安全通信網(wǎng)絡采取必要的入侵檢測措施，檢測到攻擊行為時，記錄攻擊源 IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警。 ? 通信網(wǎng)絡惡意代碼防范 延安醫(yī)療集團信息 安全等級保護整改建議方案書 30 在安全通信網(wǎng)絡采取必要的惡意代碼檢測措施，及時對通信網(wǎng)絡邊界處的惡意代碼進行檢測和清除。 安全計算環(huán)境 在 醫(yī)療集團本部 的業(yè)務系統(tǒng)中存在 重要 數(shù)據(jù)處理業(yè)務，用戶數(shù)據(jù)存放 在 安全計算環(huán)境中， 對照差距評估結果，主要存在問題：身份鑒別、數(shù)據(jù)庫審計、訪問控制、漏洞檢測加固、資源控制措施不足。 因此，安全計算環(huán)境的 安全技術需求主要在于身份鑒別、訪問控制、 安全 審計、漏洞檢測加固、應用系統(tǒng)安全防護這幾個方面，這 幾個方面也是 安全計算的基礎。 ? 訪問控制 訪問控制也是是安全計算環(huán)境保護中極其重要的一環(huán)。它是在