【正文】 系統(tǒng)整體部署根據(jù)上述區(qū)域的劃分并結(jié)合本部和東關(guān)分院現(xiàn)有的網(wǎng)絡(luò)及安全設(shè)備，整體的安全規(guī)劃如下圖所示：34 / 65圖 31 醫(yī)療集團(tuán)本部等級保護(hù)安全建設(shè)規(guī)劃圖35 / 65 系統(tǒng)部署說明醫(yī)療集團(tuán)本部安全設(shè)備部署序號 產(chǎn)品 部署位置數(shù)量 基本功能1. 入侵檢測系統(tǒng)本部和分院核心交換機(jī)旁路部署 2網(wǎng)絡(luò)入侵檢測及審計(jì)2.網(wǎng)絡(luò)出口多功能安全網(wǎng)關(guān)農(nóng)行和醫(yī)保出口處部署兩臺 2網(wǎng)絡(luò)出口安全防御，同時(shí)具備 web 應(yīng)用強(qiáng)檢測功能、入侵防御功能和防病毒功能3. 邊界防火墻其他各安全域邊界處部署 8核心交換區(qū)和其它區(qū)域之間的安全防御4.運(yùn)維接入?yún)^(qū)多功能安全網(wǎng)關(guān)運(yùn)維接入?yún)^(qū)邊界部署 1低安全系數(shù)終端接入防護(hù)，具備強(qiáng)檢測功能、入侵防御功能和防病毒功能5. 堡壘機(jī) 運(yùn)維接入?yún)^(qū)部署 2全網(wǎng)重要資產(chǎn)的運(yùn)維審計(jì)、賬號管理及資源控制6.數(shù)據(jù)庫審計(jì)系統(tǒng)本部和分院業(yè)務(wù)應(yīng)用區(qū) 2數(shù)據(jù)庫審計(jì)/查詢7. AV 管理支撐區(qū)部署 1套終端和服務(wù)器系統(tǒng)病毒防護(hù)/查殺8. 終端管理系統(tǒng) 管理支撐區(qū)部署 1套終端安全控制/防護(hù)/合規(guī)性管理9. 安全管理中心 管理支撐區(qū)部署 1套安全日志/事件管理、安全運(yùn)行管理、性能監(jiān)控管理、工單流程驅(qū)動。作為信息資產(chǎn)的主要載體，應(yīng)用系統(tǒng)將作為具體的保護(hù)目標(biāo)而得以考慮，如網(wǎng)頁防篡改、風(fēng)險(xiǎn)評估等措施；4. 管理安全：信息安全的管理運(yùn)維往往面臨著多品牌、多技術(shù)的龐雜局面，因此建立一個(gè)可提供唯一管理接口的網(wǎng)絡(luò)運(yùn)維平臺是一個(gè)的理想選擇。在主要邊界點(diǎn)上已經(jīng)具有一定的訪問控制功能和安全策略配置的前提下，訪問控制設(shè)備對網(wǎng)絡(luò)內(nèi)部網(wǎng)段用戶的安全檢查防范明顯的弱于對于網(wǎng)絡(luò)外部網(wǎng)段用戶的安全檢查防范，因此還需諸如防病毒、安全審計(jì)、入侵防御等技術(shù)來彌補(bǔ)該項(xiàng)漏洞。33 / 65另一方面，對于外部接入用戶沒有審計(jì)措施，一旦出現(xiàn)安全問題無從追查攻擊的來源、時(shí)間以及非法操作的過程，無法了解攻擊者入侵了的目標(biāo)和范圍，從而違背了可追查性原則。 安全防護(hù)體系構(gòu)成針對醫(yī)療集團(tuán)本部此次項(xiàng)目防護(hù)體系建設(shè)，本方案著重考慮以下層面的信息安全建設(shè)：1. 網(wǎng)絡(luò)邊界安全：在既定的邊界點(diǎn)上，存在著來自內(nèi)網(wǎng)、外網(wǎng)對內(nèi)部的攻擊隱患。在本項(xiàng)目中，將嚴(yán)格按照本部和東關(guān)分院所屬信息系統(tǒng)的重要性和網(wǎng)絡(luò)使用的邏輯特性劃分安全域，東西院均將劃分如下確定的安全域：? 內(nèi)聯(lián)接入?yún)^(qū)? 外聯(lián)接入?yún)^(qū)? 運(yùn)維接入?yún)^(qū)? 業(yè)務(wù)系統(tǒng)區(qū)? 核心交換區(qū)? 管理支撐區(qū)其中，外聯(lián)接入?yún)^(qū)指與業(yè)務(wù)專網(wǎng)連接的邊界區(qū)域；內(nèi)聯(lián)接入?yún)^(qū)指與內(nèi)部分院和樓層連接的邊界區(qū)域；運(yùn)維接入?yún)^(qū)指內(nèi)部運(yùn)維人員和第三方維護(hù)人員接入的區(qū)域；業(yè)務(wù)系統(tǒng)區(qū)是指業(yè)務(wù)系統(tǒng)所在的網(wǎng)絡(luò)區(qū)域；核心交換區(qū)是指系統(tǒng)數(shù)據(jù)集中交換轉(zhuǎn)發(fā)的網(wǎng)絡(luò)區(qū)域；管理支撐區(qū)是指安全設(shè)備和其他管理系統(tǒng)所在的網(wǎng)絡(luò)區(qū)域；安全域的劃分主要考慮網(wǎng)絡(luò)邊界和系統(tǒng)數(shù)據(jù)的重要性。32 / 653 安全技術(shù)設(shè)計(jì)方案 基本安全域定義安全域的劃分是網(wǎng)絡(luò)防護(hù)的基礎(chǔ)，事實(shí)上每一個(gè)安全邊界所包含的區(qū)域都形成了一個(gè)安全域。 脆弱性管理脆弱性管理是等級保護(hù)要求的一部分，是醫(yī)療集團(tuán)本部安全風(fēng)險(xiǎn)管理的根本，通過對主機(jī)操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備和各種安全設(shè)備的脆弱性發(fā)現(xiàn)與修補(bǔ)，從信息系統(tǒng)內(nèi)部進(jìn)行強(qiáng)化，可以快速提高醫(yī)療集團(tuán)本部信息系統(tǒng)的整體安全水平。? 區(qū)域邊界入侵防范在安全區(qū)域邊界設(shè)置必要的入侵檢測機(jī)制，并對確認(rèn)的違規(guī)行為及時(shí)報(bào)警。? 區(qū)域邊界訪問控制在安全區(qū)域邊界設(shè)置訪問控制機(jī)制（如：定級系統(tǒng)服務(wù)器之間、普通服務(wù)器之間） ，對進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制，阻止非授權(quán)訪問。 安全區(qū)域邊界醫(yī)療集團(tuán)本部計(jì)信息系統(tǒng)網(wǎng)絡(luò)已經(jīng)進(jìn)行了一定的安全區(qū)域邊界劃分，對照差距評估結(jié)果，主要存在問題：訪問控制、邊界入侵防范、邊界惡意代碼防范措施不足。根據(jù)系統(tǒng)的安全性要求，將不同個(gè)體的操作記錄下來，使得系統(tǒng)的管理者（安全管理者）可以在事后（或者事件發(fā)生時(shí)）了解操作者的情況。? 安全審計(jì)審計(jì)是指對記錄的回顧和分析，響應(yīng)是根據(jù)審計(jì)的結(jié)果采取的應(yīng)對措施。所謂非法訪問是指未經(jīng)授權(quán)的使用、泄露、銷毀以及發(fā)布等。控制對信息的訪問，應(yīng)該根據(jù)業(yè)務(wù)要求和安全要求對信息訪問與業(yè)務(wù)流程加以控制，還應(yīng)該考慮信息傳播和授權(quán)的策略?？腕w包括各種資源，如文件，設(shè)備等。在訪問控制中，對其訪問必須進(jìn)行控制的資源稱為客體，同理，必須控制它對客體的訪問的活動資源，稱為主體。? 訪問控制訪問控制也是是安全計(jì)算環(huán)境保護(hù)中極其重要的一環(huán)。 安全計(jì)算環(huán)境在醫(yī)療集團(tuán)本部的業(yè)務(wù)系統(tǒng)中存在重要數(shù)據(jù)處理業(yè)務(wù)，用戶數(shù)據(jù)存放在安全計(jì)算環(huán)境中，對照差距評估結(jié)果，主要存在問題：身份鑒別、數(shù)據(jù)庫審計(jì)、訪問控制、漏洞檢測加固、資源控制措施不足。? 通信網(wǎng)絡(luò)入侵檢測30 / 65在安全通信網(wǎng)絡(luò)采取必要的入侵檢測措施，檢測到攻擊行為時(shí)，記錄攻擊源 IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。因此，IT 資源監(jiān)管系統(tǒng)主要是對業(yè)務(wù)系統(tǒng)運(yùn)行環(huán)境中的各種設(shè)備及軟件進(jìn)行有效的監(jiān)控和管理，監(jiān)控目標(biāo)包括：主機(jī)服務(wù)器（操作系統(tǒng)） 、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、磁盤陣列、中間件、WEB 服務(wù)、業(yè)務(wù)應(yīng)用系統(tǒng)、防火墻、負(fù)載均衡、機(jī)房環(huán)境等。因此，安全通信網(wǎng)絡(luò)的安全技術(shù)需求主要在于網(wǎng)絡(luò)邊界隔離與控制、網(wǎng)絡(luò)安全審計(jì)、網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)性能監(jiān)控與管理、網(wǎng)絡(luò)惡意代碼防范這幾個(gè)方面。根據(jù)安全域劃分的要求，安全域可以分成四大類，即：安全計(jì)算環(huán)境（如：服務(wù)器區(qū)、客戶端局域網(wǎng)環(huán)境） 、安全區(qū)域邊界（如：inter 邊界防火墻、外聯(lián)邊界防火墻、IPS） 、安全通信網(wǎng)絡(luò)、安全支撐系統(tǒng)（如：網(wǎng)管和性能管理系統(tǒng)、安全管理中心，其中安全管理中心又可以起到統(tǒng)一管理安全設(shè)備和安全事件的作用） 。等級保護(hù)實(shí)施指南中明確提出：對一個(gè)大型、復(fù)雜信息系統(tǒng)的構(gòu)成內(nèi)容進(jìn)行抽象處理，提取共性形成模型，以便于針對模型要素提出統(tǒng)一的安全策略和安全措施要求?；凇堆哟蟾皆喊踩慕ㄗh書詳細(xì) 》的調(diào)研結(jié)果和對醫(yī)療集團(tuán)本部信息系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分析，目前醫(yī)療集團(tuán)本部信息網(wǎng)絡(luò)系統(tǒng)未按“系統(tǒng)功能和應(yīng)用相似性” 、“資產(chǎn)價(jià)值相似性” 、 “安全要求相似性” 、 “威脅相似性”等原則對現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行安全區(qū)域的劃分，導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)沒有規(guī)范化，缺少區(qū)域訪問控制和網(wǎng)絡(luò)層防病毒措施，不能有效控制蠕蟲病毒等信息安全事件發(fā)生后所影響的范圍，從而使得網(wǎng)絡(luò)和安全管理人員無法對網(wǎng)絡(luò)安全進(jìn)行有效的管理。? 應(yīng)急響應(yīng)制定應(yīng)急響應(yīng)流程和應(yīng)急預(yù)案并定期演練，也可以借助第三方廠商幫助應(yīng)急。? 變更管理由于信息系統(tǒng)不是一成不變的，總是要根據(jù)業(yè)務(wù)運(yùn)行的需要不斷發(fā)展完善，在變化的過程中，很有可能引入新的安全風(fēng)險(xiǎn)，因此，信息系統(tǒng)的變更管理與信息安全密切相關(guān)。? 運(yùn)行管理從保證業(yè)務(wù)連續(xù)性的角度來看，運(yùn)行管理是保障業(yè)務(wù)連續(xù)性中非常重要的環(huán)節(jié)。醫(yī)療集團(tuán)本部可以有28 / 65效利用 SSECMM 模型去評審、控制及保障各個(gè)服務(wù)商在進(jìn)行硬件、軟件、系統(tǒng)等工程活動過程。醫(yī)療集團(tuán)本部信息系統(tǒng)從整改設(shè)計(jì)、開發(fā)采購、運(yùn)行維護(hù)等各個(gè)階段都有大量 IT 公司參與。1999 年完成 SSECMM 模型的第二版。管理需求：應(yīng)定期檢查信息系統(tǒng)是否符合技術(shù)要求；應(yīng)形成周期性檢查的流程；應(yīng)保證所有檢查在合格的授權(quán)人員或其監(jiān)督下完成。管理需求：應(yīng)確保信息系統(tǒng)、系統(tǒng)供應(yīng)商、信息和信息資產(chǎn)的所有者、用戶、管理層幾個(gè)方面都遵守已發(fā)布的安全策略和標(biāo)準(zhǔn)；應(yīng)確保信息系統(tǒng)所有者支持定期評審，確保系統(tǒng)符合相關(guān)的標(biāo)準(zhǔn)、要求。管理需求：應(yīng)通過業(yè)務(wù)連續(xù)性管理采用控制措施，識別和降低風(fēng)險(xiǎn)，限制破壞性事件造成的后果，確保重要操作及時(shí)恢復(fù)；應(yīng)實(shí)施業(yè)務(wù)連續(xù)性管理程序，預(yù)防和恢復(fù)控制相結(jié)合，將災(zāi)難和安全故障造成的影響降低到可以接受的水平。從業(yè)務(wù)系統(tǒng)的復(fù)雜性、重要性，以及信息系統(tǒng)的整體規(guī)模、地理范圍、工作人員等諸多因素考慮，現(xiàn)有的合規(guī)性管理要求并不能完全滿足醫(yī)療集團(tuán)本部對信息安全管理的全部需求，需要引入 ISO_IEC 27001 或稱為GB/T220802022，健全醫(yī)療集團(tuán)本部的信息系統(tǒng)安全管理體系。ISO/IEC 27001 的宗旨是確保機(jī)構(gòu)信息的機(jī)密性、完整性及可用性，共有 11 個(gè)管理控制域、39 個(gè)控制目標(biāo)及 133 項(xiàng)控制措施，可在其中選擇適用于延大附中業(yè)務(wù)需求的控27 / 65制措施，同時(shí)也可增加其它的控制措施。具體內(nèi)容包括如下：ISO_IEC 27001 GB/T220802022《信息安全管理體系要求》ISO/IEC27001:2022 信息安全管理體系要求（Information Security Management Systems Requirements ） ，是由國際標(biāo)準(zhǔn)化組織（ISO）和國際電工委員會（IEC）組成的聯(lián)合技術(shù)委員會 JTC1/SC27 制定的 ISMS 國際標(biāo)準(zhǔn)，2022 年正式頒布。? 符合國內(nèi)國際標(biāo)準(zhǔn)醫(yī)療集團(tuán)本部由自身業(yè)務(wù)系統(tǒng)建設(shè)、運(yùn)維、發(fā)展過程而形成了一系列信息安全管理的自身需求。? 符合等級保護(hù)要求2022 年的 《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》 （27 號文）中指出：“要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護(hù)制度，制定信息安全等級保護(hù)的管理辦法和技術(shù)指南” 。信息安全是指信息系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露；系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷?；?19 年的技術(shù)積累與持續(xù)創(chuàng)新，東軟公司網(wǎng)絡(luò)安全事業(yè)部已成為國內(nèi)一流的網(wǎng)絡(luò)安全團(tuán)隊(duì)。 安全需求醫(yī)療集團(tuán)本部信息系統(tǒng)的安全需求首要的是要滿足三級等級保護(hù)系統(tǒng)的防護(hù)要求，滿足此類要求說到底是滿足監(jiān)管類的合規(guī)性要求。? 系統(tǒng)建設(shè)管理：缺少軟件測試記錄、開發(fā)文檔、工程管理文檔、驗(yàn)收報(bào)告等資料。? 安全管理機(jī)構(gòu)：沒有成立信息安全領(lǐng)導(dǎo)小組，缺少相關(guān)文件對管理機(jī)構(gòu)內(nèi)各部門和崗位職責(zé)及各個(gè)崗位人員的技能要求的描述，沒有相關(guān)制度描述審批事項(xiàng)負(fù)責(zé)部門以及審批的流程和記錄，缺少相關(guān)的安全檢查記錄及對安全檢查相關(guān)要求的制度和安全檢查報(bào)告及檢查結(jié)果通告記錄。部分服務(wù)器與單臺接入交換機(jī)進(jìn)行雙線路連接，但只接入一臺交換機(jī)。HIS 應(yīng)用服務(wù)器為四臺，本部、東關(guān)各兩臺，分別做主備。HIS、RIS、LIS 等數(shù)據(jù)庫中的密碼為 MD5 加密存儲，但數(shù)據(jù)值沒有啟用加密措施。HIS、LIS、RIS 、PACS、體檢、臨床路徑系統(tǒng)其數(shù)據(jù)包沒有采用加密措施，心電圖系統(tǒng)采用自由加密技術(shù)對數(shù)據(jù)包進(jìn)行加密。數(shù)據(jù)庫采用主備機(jī)制，本部數(shù)據(jù)庫為主，東關(guān)數(shù)據(jù)庫為備，東關(guān) HIS 應(yīng)用連接本部數(shù)據(jù)庫，東關(guān)只接收本部 DB2 數(shù)據(jù)日志進(jìn)行備份，當(dāng)本部數(shù)據(jù)完整性遭受破壞后，從東關(guān)進(jìn)行數(shù)據(jù)恢復(fù)。經(jīng)分析，通過帶內(nèi)傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)、鑒別信息和管理數(shù)據(jù)主要通過 TCP/IP 協(xié)議來實(shí)現(xiàn)數(shù)據(jù)包在傳輸層和網(wǎng)絡(luò)層的互通，雖然 TCP/IP 協(xié)議具有 CRC 數(shù)據(jù)校驗(yàn)功能，但在應(yīng)用層并沒有具體的數(shù)據(jù)校驗(yàn)和完整性保護(hù)及恢復(fù)功能，使得應(yīng)用層與傳輸層傳送的數(shù)據(jù)可能會遭受篡改。24 / 65 數(shù)據(jù)安全及備份恢復(fù)方面的差距? 數(shù)據(jù)完整性：業(yè)務(wù)數(shù)據(jù)從業(yè)務(wù)角度劃分為：醫(yī)療數(shù)據(jù)、病人數(shù)據(jù)、醫(yī)生數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)、藥品數(shù)據(jù)等，從系統(tǒng)類別角度劃分為：HIS 綜合數(shù)據(jù)、EMR 數(shù)據(jù)、 PACS 數(shù)據(jù)、RIS 數(shù)據(jù)、LIS 數(shù)據(jù)、體檢數(shù)據(jù)、心電圖數(shù)據(jù)、臨床路徑數(shù)據(jù)等，這些數(shù)據(jù)的傳輸、處理和存儲，一方面與 HIS系統(tǒng)做接口，另一方面各自有其系統(tǒng)服務(wù)和數(shù)據(jù)庫相對應(yīng)，采用帶內(nèi)傳輸?shù)姆绞健? 抗抵賴：沒有 CA 認(rèn)證等系統(tǒng)，不能夠?qū)?shù)據(jù)原發(fā)和接收人進(jìn)行認(rèn)證，可能造成數(shù)據(jù)偽造、身份偽造等安全問題。? 通信完整性：部分系統(tǒng)缺少應(yīng)用級別的完整保護(hù)措施，可能造成數(shù)據(jù)的篡改等安全問題。? 安全審計(jì)：缺少對系統(tǒng)安全事件進(jìn)行分析、統(tǒng)計(jì)、生成報(bào)表等功能，不能有效、及時(shí)對安全事件進(jìn)行管理。 應(yīng)用安全方面的差距? 身份鑒別：身份鑒別措施單一，只采用輸入用戶名密碼的方式進(jìn)行登錄，沒有設(shè)置鑒別復(fù)雜度管理措施和登錄失敗處理功能，可能造成惡意人員非法登入嘗試、登入用戶無法證明合法性等安全問題。23 / 65部分不必要的端口和服務(wù)啟用，擴(kuò)大惡意攻擊者的攻擊面。? 安全審計(jì)：安全審計(jì)策略開啟不夠全面，沒有定期備份，沒有日志服務(wù)器，可能造成審計(jì)信息遺漏或丟失，造成事后追責(zé)的難度?？赡茉斐蓹?quán)限濫用的安全問題。 主機(jī)安全方面的差距? 身份鑒別：身份鑒別安全措施設(shè)備不完善，鑒別方式單一（用戶名+密碼） ，未設(shè)置：賬戶鎖定時(shí)間、鎖定閾值、復(fù)位賬戶鎖定計(jì)數(shù)器、最小密碼長度等，可能造成口令猜解、非法用戶登入等安全問題。沒有對設(shè)備端口進(jìn)行管理，沒有對不必要的端口進(jìn)行關(guān)閉，沒有對設(shè)備系統(tǒng)相關(guān)文件進(jìn)行備份，沒有建立設(shè)備時(shí)鐘同步機(jī)制。? 安全審計(jì)：設(shè)備審計(jì)策略不完善，只能記錄管理或操作設(shè)備的用戶行為，無法對設(shè)備運(yùn)行狀態(tài)事件進(jìn)行全面記錄，沒有對設(shè)備日志記錄進(jìn)行分析，沒有配置日志服務(wù)器進(jìn)行日志的記錄和保存，可能造成審計(jì)不全面、數(shù)據(jù)遺漏或丟失等安全問題?？赡芤l(fā)惡意攻擊、數(shù)據(jù)丟失等安全問題。? 網(wǎng)絡(luò)設(shè)備防護(hù)：沒有對網(wǎng)絡(luò)設(shè)備的登入用戶終端 IP 進(jìn)行限制，只采用用戶名密碼單一認(rèn)證方式，沒有設(shè)置登錄失敗等安全措施，并通過明文加密的方式進(jìn)行遠(yuǎn)程管理，可能造成惡意登入、密碼猜解、數(shù)據(jù)包盜取等安全問題。對網(wǎng)絡(luò)設(shè)備的登錄管理管理終端的超時(shí)會話沒有配置安全策略，未對網(wǎng)絡(luò)設(shè)備管理用戶按照最小安全訪問原則進(jìn)行權(quán)限配置，可能造成惡意連接和用戶占用系統(tǒng)網(wǎng)路資源?？赡?