【正文】 安全管理制度建設(shè) 安全管理制度文件類型 根據(jù) 《信息系統(tǒng)安全等。 (9) 負(fù)責(zé)提出測量指標(biāo)，并制定有效性測量程序，同時 對 信息安全內(nèi)審進(jìn)行領(lǐng)導(dǎo)， 并 協(xié)調(diào)有關(guān)工作。 (8) 建立與內(nèi)部 /外部專家、權(quán)威機構(gòu)、利益伙伴之間的溝通渠道。 (6) 負(fù)責(zé)信息安全策略、標(biāo)準(zhǔn)、流程和制度的編寫、審核及推廣 。 (4) 對信息安全相關(guān)項目進(jìn)行 整改 和監(jiān)督，確保信息安全風(fēng)險評估和管理工作能夠落實 。 (2) 負(fù)責(zé)與咨詢 單位 溝通協(xié)調(diào)項目實施情況以及項目在 單位 內(nèi)部的推進(jìn)和后續(xù)知識轉(zhuǎn)移 。 (11) 組織并實施信息安全管理評審。 (9) 負(fù)責(zé)提出測量指標(biāo)，并制定有效性測量程序，同時為信息安全內(nèi)審進(jìn)行領(lǐng)導(dǎo)，協(xié)調(diào)有關(guān)工作。 (8) 建立與內(nèi)部 /外部專家、權(quán)威機構(gòu)、利益伙伴之間的溝通渠道。 (6) 負(fù)責(zé)信息安全策略、標(biāo)準(zhǔn)、流程和制度的編寫、審核 與 推廣 。 (4) 對信息安全相關(guān)項目進(jìn)行 整改 和監(jiān)督，確保信息安全風(fēng)險 評估和管理工作能夠落實 。 (2) 負(fù)責(zé)與咨詢公司溝通協(xié)調(diào)項目實施情況以及項目在 單位 內(nèi)部的推進(jìn)和后續(xù)知識轉(zhuǎn)移 。 (6) 提供信息安全資源保證。 (4) 審批發(fā)布信息安全方針和管理體系 。 (2) 研究決 定信息安全體系建設(shè)重大事項，監(jiān)督信息安全體系 整改 的實施。 另外， XX 醫(yī)院 需要通過各種方式建立與外部各方的信息安全渠道，聘請信息 XX 醫(yī)院 等級保護(hù) 安全 整改 方案 第 34 頁 共 103 頁 安全專家，組建外部信息安全專家組，為管理層提供信息安全解決方案，參與安全事故的處理，解答員工工作中遇到的信息安全相關(guān)問題并及時提供預(yù)防性的安全咨詢建議。 安全管理機構(gòu)建設(shè) 按照 “ 統(tǒng)一領(lǐng)導(dǎo) 、 分級管理 ” 的原則， 我方建議 XX 醫(yī)院 信息系統(tǒng)網(wǎng)絡(luò)系統(tǒng)的 安全管理 必須設(shè)立專門的管理機構(gòu) ，配備相應(yīng)的 專職 安全管理 員 ，并實行 “ 一把手 ” 責(zé)任制 ，明確主管領(lǐng)導(dǎo)，落實部門責(zé)任，各盡其職。 安全管理體系整改設(shè)計 安全管理機構(gòu)建設(shè) 安全管理機構(gòu)現(xiàn)狀 目前， XX 醫(yī)院 按照 “ 統(tǒng)一領(lǐng)導(dǎo) 、 分級管理 ” 的原則， 將 信息 部門 劃分為了三層組織架構(gòu)： 決策層 （信息安全領(lǐng)導(dǎo)小組）、 管理層 （信息安全工作小組）和 執(zhí)行層 （兼職安全管理員）。 安全管理體系、安全技術(shù)體系、安全運維體系都是一個動態(tài)、循環(huán)的過程；安全管理體系需要周期性（一年或半年）的進(jìn)行管理評審和持續(xù)改進(jìn)；安全技術(shù)體系需要在新技術(shù)和新威脅出現(xiàn)時，信息系統(tǒng)基礎(chǔ)設(shè)施進(jìn)行變更時，進(jìn)行動態(tài)更 XX 醫(yī)院 等級保護(hù) 安全 整改 方案 第 33 頁 共 103 頁 新；安全運維體系需要周期性的通過安全服務(wù)將安全管理 體系的管理目標(biāo)通過安全技術(shù)、安全培訓(xùn)等措施進(jìn)行有效的落地與實現(xiàn)。目標(biāo)是建立一個動態(tài)的基于 P2D2R2 和 IATF 縱深防御模型，并通過優(yōu)化 ITIL運維流程不斷持續(xù)改進(jìn)的安全保障體系。 XX 醫(yī)院 等級保護(hù) 安全 整改 方案 第 30 頁 共 103 頁 圖 36 IATF 技術(shù)焦點區(qū)域 體系模型 根據(jù)上述信息安全保障模型，結(jié)合 XX 醫(yī)院 的現(xiàn)狀， XX 公司 對 XX 醫(yī)院 信息安全保障體系的整改將遵循等級保護(hù)相關(guān) 標(biāo)準(zhǔn) 的要求 ，覆蓋安全管理、安全技術(shù)、安全運維 三 個方面， 整改設(shè)計后的安全體系如下 ： XX 醫(yī)院 等級保護(hù) 安全 整改 方案 第 31 頁 共 103 頁 圖 37 信息安全保障體系 如上圖所示， XX 醫(yī)院 信息安全保障體系 是一個以 管理體系為基礎(chǔ)，以運維體系為紐 帶，以技術(shù)體系為手段 ， 將三者 和信息 資產(chǎn)基礎(chǔ)設(shè)施進(jìn)行有機 結(jié)合的整體。這 四個技術(shù)焦點區(qū)域是一個逐層遞進(jìn)的關(guān)系，從而形成一種縱深防御系統(tǒng)。在設(shè)計信息安全保障體系時，必須 要考慮到信息價值和安全管理成本的平衡。 ? 安全強健性 ： 不同的信息對于組織有不同的價值，該信息丟失或破壞所產(chǎn)生的后果對組織也有不同的影響。分層防御即在攻擊者和目標(biāo)之間部署多層防御機制，每一個這樣的機制必須對攻擊者形成一道屏障。 XX 醫(yī)院 等級保護(hù) 安全 整改 方案 第 29 頁 共 103 頁 IATF 縱深防御戰(zhàn)略原則 ? 保護(hù)多個位置 ： 包括保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、計算環(huán)境等，這一原則提醒我們，僅僅在信息系統(tǒng)的重要敏感 位置 設(shè)置一些保護(hù)裝置是不夠的，任意一個系統(tǒng)漏洞都有可能導(dǎo)致嚴(yán)重的攻擊和破壞后果，所以在信息系統(tǒng)的各個方位布置全面的防御機制，這樣才能將風(fēng)險減至最低。 圖 35 IATF 縱深防御模型 我們知道，一個信息系統(tǒng)的安全不 僅 僅 是依 靠一 、 兩種技術(shù)或者簡單地設(shè)置幾個防御設(shè)施就能實現(xiàn) 的， IATF 為 我們提供了全方位多層次的信息 安全 保障體系的指導(dǎo)思想，即縱深防御戰(zhàn)略思想。所謂 深度防護(hù)戰(zhàn)略 就是采用一個多層次的、縱深的安全措施來保障用戶信息及信息系統(tǒng)的安全。在此基礎(chǔ)上，對信息基礎(chǔ)設(shè)施就可以做到多層防護(hù)，這樣的防護(hù)被稱為 “深度防護(hù)戰(zhàn)略（ DefenseinDepth Strategy） ”。 ? 操作（ Operation）： 或者叫運行，它構(gòu)成了安全保障的主動防御體系，如果說技術(shù)的構(gòu)成是被動的，那么操作和流程就是將各方面技術(shù)緊密結(jié)合在一 起的主動的過程，其中包括風(fēng)險評估、安全監(jiān)控、安全審計、跟蹤告警、入侵檢測、響應(yīng)恢復(fù)等內(nèi)容。 ? 技術(shù)（ Technology）： 技術(shù)是實現(xiàn)信息保障的重要手段，信息保障體系所應(yīng)具備的各項安全服務(wù)就是通過技術(shù)機制來實現(xiàn)的。 IATF 信息保障三要素 ? 人（ People）： 人是信息體系的主體，是信息系統(tǒng)的擁有者、管理者和使用者，是信息保障體系的核心，是第一位的要素，同時也是最脆弱的。防護(hù)、檢測和響應(yīng)組成了一個完整的、動態(tài)的安全循環(huán)，在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全。響應(yīng) 包括應(yīng)急 響應(yīng)和恢復(fù)處理，恢復(fù)處理又包括系統(tǒng)恢復(fù)和信息恢復(fù)。 ? 檢測 （ Detection） ： 當(dāng)攻擊者穿透防護(hù)系統(tǒng)時，檢測功能就發(fā)揮作用，與防護(hù)系統(tǒng)形成互補 ， 檢測是動態(tài)響應(yīng)的依據(jù)。 XX 醫(yī)院 等級保護(hù) 安全 整改 方案 第 26 頁 共 103 頁 圖 34 PDR 模型 ? 防護(hù) （ Protection） ： 防護(hù)是根據(jù)系統(tǒng)可能出現(xiàn)的安全問題而采取的預(yù)防措施，這些措 施通過傳統(tǒng)的靜態(tài)安全技術(shù)實現(xiàn)。 PDR 模型建立了一個所謂的 基于時間的可證明的安全模型，定義了：防護(hù)時間 Pt（黑客發(fā)起攻擊時，保護(hù)系統(tǒng)不被攻破的時間）、檢測時間 Dt（從發(fā)起攻擊到檢測到攻擊的時間）和響應(yīng)時間 Rt（從發(fā)現(xiàn)攻擊到作出有效響應(yīng)的時間）。 PDR 模型 PDR 是防護(hù)（ Protection）、檢測（ Detection）和響應(yīng)（ Response）的縮寫。這個階段， 是 如何對信息系統(tǒng)的管理、運行維護(hù)和使用人員的能力等 各 方面 的 綜合保障，是信息系統(tǒng)得以安全正常運行的根本保證。 ——信息系統(tǒng)的實施交付階段：信息系統(tǒng)的實施可以分為兩種類型的實施，一種是基于開發(fā)的實施，針對軟件或硬件進(jìn)行開發(fā)而完成實施；另一種是集成性質(zhì)的實施，通過購買各 種 成熟的軟硬件產(chǎn)品，達(dá)到 系統(tǒng)建設(shè)的目的。要基于系統(tǒng)需求和風(fēng)險，安全管理和安全技術(shù)等因素，將信息 XX 醫(yī)院 等級保護(hù) 安全 整改 方案 第 25 頁 共 103 頁 系統(tǒng)安全保障作為一個整體加入到系統(tǒng)的設(shè)計中，建立信息系統(tǒng)安全保障整體 整改 。這個階段，進(jìn)行系統(tǒng)需求分析、考慮系統(tǒng)運行需求，進(jìn)行系統(tǒng)體系的設(shè)計以及相關(guān) 的預(yù)算申請和項目籌備等活動。在這個階段，信息系統(tǒng)的安全風(fēng)險及安全策略應(yīng)加入到信息系統(tǒng)建設(shè)和使用的總 體整改 設(shè)計之中，從信息系統(tǒng)建設(shè)的開始就綜合考慮安全保障。在信息系統(tǒng)生命周期中的任何時間點上，都可以依據(jù)相關(guān)要求進(jìn)行不同 的 防護(hù)。達(dá)到我們的根本目的。） ——信息系統(tǒng)的安全保障是通過綜合技術(shù)、管理、過程和人員的要求等措 施相互結(jié)合，最終實現(xiàn)信息系統(tǒng)的安全保障目標(biāo)，通過對信息系統(tǒng)的技術(shù)、管理、過程和人員要求等方面的評估，獲取我們信息系統(tǒng)的最新狀況，增加我們對信息安全保障的信心。其實信息安全說到底，是個攻擊 /防御的對抗過程。 XX 醫(yī)院 等級保護(hù) 安全 整改 方案 第 23 頁 共 103 頁 ——把三個方面放在一個模型里，強調(diào)的是信息系統(tǒng)安全保障的持續(xù)、動態(tài)發(fā)展，安全保障應(yīng)滲入整個信息系統(tǒng)生命周期的全過程。 ——風(fēng)險是信息系統(tǒng)安全保障的起點，正是由于有了風(fēng)險、有了特定威脅動機的威脅源，使用各種攻擊方法、利用信息系統(tǒng)的各種脆弱性、對信息資產(chǎn)造成各種影響，才引起 了 信息安全問題。 信息安全 整體保 障框架 示意圖如下： 圖 31 信息安全整體保障框架示意圖 信息系統(tǒng)的安全保障工作需要從安全管理體系、安全技術(shù)體系、安全運維服務(wù)體系三個方面共同進(jìn)行，才能真正有效、持續(xù)的滿足等級保護(hù)的要求，并能加以落地的信息安全保障體系。 3 方案 設(shè)計思路 安全整 改整體思想 本次 XX醫(yī)院 信息系統(tǒng)等級保護(hù)安全整改的整體思想是要 構(gòu)建 一個集 安全技術(shù)體系、安全管理體系 和安全運維服務(wù)體系三個體系為一體的 信息安全保障體系； 形成集防護(hù)、檢測、響應(yīng)、恢復(fù)于一體的安全保障體系，從而實現(xiàn)物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全和管理安全，以滿足 信息系統(tǒng) 全方位 XX 醫(yī)院 等級保護(hù) 安全 整改 方案 第 21 頁 共 103 頁 的安全保護(hù)需求。 安全管理 脆弱性 管理是 等級保護(hù) 要求的一部分， 是 XX 醫(yī)院 安全風(fēng)險管理的根本，通過對主機操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備和各種安全設(shè)備的脆弱性發(fā)現(xiàn)與修補，從信息系統(tǒng)內(nèi)部進(jìn)行強化，可以提高 XX 醫(yī)院 信息系統(tǒng)的整體安全水平 。 ? 區(qū)域邊界 入侵防范 在安全區(qū)域邊界設(shè)置必要的 入侵檢測 機制， 并對確認(rèn)的違規(guī)行為及時報警 。 ? 區(qū)域邊界訪問控制 在安全區(qū)域邊界設(shè)置訪問控制機制 （如： 定級系統(tǒng)服務(wù)器之間、普通服務(wù)器 XX 醫(yī)院 等級保護(hù) 安全 整改 方案 第 20 頁 共 103 頁 之間 ） ，對進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制，阻止非授權(quán)訪問。 安全區(qū)域邊界 XX 醫(yī)院 計信息系統(tǒng)網(wǎng)絡(luò)已經(jīng)進(jìn)行了一定的安全區(qū)域邊界劃分，對照差距評估結(jié) 果，主要存在問題：訪問控制、邊界入侵防范、邊界惡意代碼防范措施不足。根 據(jù)系統(tǒng)的安全性要求，將不同個體的操作記錄下來，使得系統(tǒng)的管理者（安全管理者）可以在事后（或者事件發(fā)生時）了解操作者的情況。 ? 安全審計 審計是 指對記錄的回顧和分析，響應(yīng)是根據(jù)審計的結(jié)果采取的應(yīng)對措施。所謂非法訪問是指未經(jīng)授權(quán)的使用、泄露、銷毀以及發(fā)布等。應(yīng)該根據(jù)業(yè)務(wù)要求和安全要求對信息訪問與業(yè)務(wù)流程加以控制 ， 還應(yīng)該考慮信息傳播和授權(quán)的策略。訪問控制中第三個元素是保護(hù)規(guī)則，它定義了主體與客體可能的相互作用途徑。主體即訪問的發(fā)起者，通常為進(jìn)程，程序或用戶。它是在身份識別的基礎(chǔ)上，根據(jù)身份對提出的資源訪問請求加以控制。 因此，安全計算環(huán)境的 安全技術(shù)需求主要在于身份鑒別、訪問控制、 安全 審計、漏洞檢測加固、應(yīng)用系統(tǒng)安全防護(hù)這幾個方面， 是安全計算的基礎(chǔ)。 ? 通信網(wǎng)絡(luò)惡意代碼防范 在安全通信網(wǎng)絡(luò)采取 必要的 惡意代碼檢測措施 ， 及時對通信網(wǎng)絡(luò)邊界處的 惡意代碼進(jìn)行檢測和清除。 ? 資源控制 需要采用 IT 監(jiān)管 系統(tǒng) ， 對重要服務(wù)器的運行服務(wù)水平進(jìn)行監(jiān)視和報警，及時掌握系統(tǒng)的運行狀況，如： CPU 的利用率、剩余磁盤空間、內(nèi)存、網(wǎng)絡(luò)帶寬等資源的使用情況 。 ? 通信網(wǎng)絡(luò) IT 資源監(jiān)控管理 信息系統(tǒng)是 承載業(yè)務(wù)應(yīng)用的 基礎(chǔ) ， 當(dāng)信息系統(tǒng)出現(xiàn)性能下降或者不可用的情況時， 業(yè)務(wù)應(yīng)用 必然受到直接影響 ， 因此對 IT 信息系統(tǒng)的資源監(jiān)控管理是 XX XX 醫(yī)院 等級保護(hù) 安全 整改 方案 第 18 頁 共 103 頁 醫(yī)院 業(yè)務(wù)應(yīng)用穩(wěn)健運行所需要的一個重要技術(shù)環(huán)節(jié) 。 安全通信網(wǎng)絡(luò) 對照差距評估結(jié)果， XX 醫(yī)院 通信網(wǎng)絡(luò)主要存在問題：缺少網(wǎng)絡(luò)入侵檢測、網(wǎng)絡(luò)惡意代碼防范措施不足。 那么，這個模型化的安全技術(shù)措施整改設(shè)計方法就是：安全域的整改和設(shè)計。 信息安全技術(shù)需求 信息安全技術(shù)需求要求能夠遵從國家關(guān)于信息系統(tǒng)等級保護(hù)的要求（基本要求中的技術(shù)要求），根據(jù)所定義的不同的等級保護(hù)級別采取相應(yīng)的技術(shù)手段對信息系統(tǒng)采取適當(dāng)?shù)陌踩Ｗo(hù)。 分域保護(hù)安全需求 通過前期調(diào)研和對 XX 醫(yī)院