網(wǎng)絡(luò)安全等級(jí)保護(hù)-醫(yī)院三級(jí)等保合規(guī)方案

1、某市三院醫(yī)療信息系統(tǒng)現(xiàn)狀分析 4 4 錯(cuò)誤!未定義書簽。 錯(cuò)誤!未定義書簽。 錯(cuò)誤!未定義書簽。 錯(cuò)誤!未定義書簽。 錯(cuò)誤!未定義書簽。 錯(cuò)誤!未定義書簽。 錯(cuò)誤!未定義書簽。 4 4 52.3數(shù)據(jù)庫(kù)安全審計(jì)問(wèn)題 52.4平臺(tái)系統(tǒng)安全配置問(wèn)題 6 錯(cuò)誤!未定義書簽。3、某市三院醫(yī)療信息系統(tǒng)安全需求分析 7 73.2醫(yī)療等級(jí)保護(hù)要求分析 73.3系統(tǒng)安全分層需求分析 3.4虛擬化、云計(jì)算帶來(lái)的安全問(wèn)題分析 4、醫(yī)療信息系統(tǒng)安全保障體系設(shè)計(jì) 4.1安全策略設(shè)計(jì) 4.2安全設(shè)計(jì)原則 4.3等級(jí)保護(hù)模型 4.4系統(tǒng)建設(shè)依據(jù) 4.5遵循的標(biāo)準(zhǔn)和規(guī)范 5.1組織體系建設(shè)建議 5.2管理體系建設(shè)建議 6.1預(yù)警通告 6.2技術(shù)風(fēng)險(xiǎn)評(píng)估 6.3新上線系統(tǒng)評(píng)估 6.4滲透測(cè)試 6.5安全加固 6.6虛擬化安全加固服務(wù) 6.7應(yīng)急響應(yīng) 7.1物理層安全 7.6虛擬化、云計(jì)算安全解決方案 8.1安全產(chǎn)品匯總 8.2產(chǎn)品及服務(wù)選型 1.1系統(tǒng)現(xiàn)狀2.1黑客入侵造成的破壞和數(shù)據(jù)泄露隨著醫(yī)療信息化的普及，個(gè)人信息逐漸以電子健康檔案、電子病歷和電子處方為載體，其中包括了個(gè)人在疾病控制、體檢、診斷、治療、醫(yī)學(xué)研究過(guò)程中涉及到的肌體特征、健康狀況、遺傳基因、病史病歷等個(gè)人信息。其中個(gè)人醫(yī)療健康信息的秘密處于隱私權(quán)的核心部位，而保障病人的隱私安全是醫(yī)院和醫(yī)護(hù)人員的職責(zé)。某市三院醫(yī)療信息系統(tǒng)某市三院中心機(jī)房匯集了大量的病人隱私信息，而這些數(shù)據(jù)在傳輸過(guò)程中極易被竊取或監(jiān)聽。同時(shí)基于電子健康檔案和電子病歷大量集中存儲(chǔ)的情況，一旦系統(tǒng)被黑客控制，可能導(dǎo)致病人隱私外泄，數(shù)據(jù)惡意刪除和惡意修改等嚴(yán)重后果。病人隱私信息外泄將會(huì)給公民的生活、工作以及精神方面帶來(lái)很大的負(fù)面影響和損失，同時(shí)給平臺(tái)所轄區(qū)域造成不良社會(huì)影響，嚴(yán)重?fù)p害機(jī)構(gòu)的公共形象，甚至可能引發(fā)法律糾紛。而數(shù)據(jù)的惡意刪除和篡改會(huì)導(dǎo)致電子健康檔案和電子病歷的丟失以及病人信息的錯(cuò)誤，給醫(yī)護(hù)人員的工作造成影響，因此電子健康檔案和電子病歷數(shù)據(jù)作為衛(wèi)生平臺(tái)某市三院中心機(jī)房的重要2.2醫(yī)療信息系統(tǒng)漏洞問(wèn)題重的安全漏洞，黑客的主動(dòng)攻擊也往往離不開對(duì)漏洞的利2.3數(shù)據(jù)庫(kù)安全審計(jì)問(wèn)題2.4平臺(tái)系統(tǒng)安全配置問(wèn)題3.1醫(yī)療信息系統(tǒng)建設(shè)安全要求基于醫(yī)療信息系統(tǒng)信息平臺(tái)的可靠安全的運(yùn)行不僅關(guān)系到某市三院中心機(jī)房本身的運(yùn)行，還關(guān)系其他業(yè)務(wù)部門相關(guān)系統(tǒng)的運(yùn)行，因此它的網(wǎng)絡(luò)，主機(jī)，存儲(chǔ)備份設(shè)備，系統(tǒng)軟件，應(yīng)用軟件等部分應(yīng)該具有極高的可靠性；同時(shí)為保守企業(yè)和用戶秘密，維護(hù)企業(yè)和用戶的合法權(quán)益，某市三院中心機(jī)房應(yīng)具備良好的安全策略，安全手段，安全環(huán)境及安全管理措施。眾所周知，信息系統(tǒng)完整的安全體系包括以下四個(gè)層次，最底層的是物理級(jí)防火墻等等，再次是系統(tǒng)級(jí)安全包括數(shù)據(jù)災(zāi)備，病毒防范等，最后是應(yīng)用級(jí)安全包括統(tǒng)一身份認(rèn)證，統(tǒng)一權(quán)限管理等，而貫穿整個(gè)體系的是安全管理制度和安全標(biāo)準(zhǔn)，以實(shí)現(xiàn)非法用戶進(jìn)不來(lái)，無(wú)權(quán)用戶看不到，重要內(nèi)容改不了，數(shù)據(jù)操作賴不掉。整個(gè)平臺(tái)的安全體系如下圖：與標(biāo)準(zhǔn)網(wǎng)絡(luò)安全平臺(tái)安全體系結(jié)構(gòu)圖3.2醫(yī)療等級(jí)保護(hù)要求分析醫(yī)療機(jī)構(gòu)作為涉及國(guó)計(jì)民生的重要組成部分，其安全保障事關(guān)社會(huì)穩(wěn)定，有辦法》(公通字[2007]43號(hào))的要求，數(shù)據(jù)交換服務(wù)區(qū)參照二級(jí)333三級(jí)等保要求解決方案結(jié)構(gòu)安全網(wǎng)絡(luò)設(shè)備處理能管理和網(wǎng)絡(luò)帶寬冗余；網(wǎng)絡(luò)拓?fù)鋱D繪制；子網(wǎng)劃分和地址分配；終端和服務(wù)器之間建立安全訪問(wèn)路徑；邊界和重要網(wǎng)段之間隔離；網(wǎng)絡(luò)擁堵時(shí)對(duì)重要主機(jī)優(yōu)先保護(hù)；根據(jù)高峰業(yè)務(wù)流量選擇高端設(shè)備，核心交換接入設(shè)備采用雙機(jī)冗余；合理劃分子網(wǎng)、VLAN、安全域，網(wǎng)絡(luò)設(shè)備帶寬優(yōu)先級(jí)規(guī)劃。制部署訪間控制設(shè)備，啟用訪問(wèn)控制功能；根據(jù)會(huì)話狀態(tài)提供允許/拒絕訪問(wèn)能力，控制粒度為端訪問(wèn)控制，粒度到單個(gè)用戶；限制撥號(hào)訪問(wèn)用戶數(shù)量；網(wǎng)絡(luò)信息內(nèi)容過(guò)濾，應(yīng)用層協(xié)議命令級(jí)控制；會(huì)話終止；網(wǎng)絡(luò)流量數(shù)和連接數(shù)控制；重要網(wǎng)段防地址欺騙網(wǎng)絡(luò)邊界部署防火墻，制定相應(yīng)ACL策略安全審計(jì)網(wǎng)絡(luò)設(shè)備狀況、網(wǎng)絡(luò)流量、用戶生成；審計(jì)記錄保護(hù)部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)查安全準(zhǔn)入控制和非法外聯(lián)監(jiān)控并進(jìn)行有效阻斷部署終端安全管理系統(tǒng)范部署入侵檢測(cè)系統(tǒng)惡意代碼防范部署入侵保護(hù)系統(tǒng)網(wǎng)絡(luò)設(shè)備防護(hù)身份鑒別；管理員登陸地址限用2種或以上鑒別技術(shù)；特權(quán)權(quán)限分離部署等級(jí)保護(hù)安全配置核查系統(tǒng)身份鑒別別；登錄失敗處理；鑒別信息傳輸加密；用戶唯一性；身份鑒別采用2種或以上鑒別技術(shù)部署等級(jí)保護(hù)安全配置核查系統(tǒng)制啟用訪問(wèn)控制功能；操作系統(tǒng)和數(shù)據(jù)庫(kù)特權(quán)用戶權(quán)限分離；默認(rèn)賬戶配置修改；多余過(guò)期用戶刪記；強(qiáng)制訪問(wèn)控制安全審計(jì)用戶和數(shù)據(jù)庫(kù)用戶的重要安全相關(guān)行為、事件；審計(jì)記錄保護(hù)；剩余信息保護(hù)鑒別信息再分配前清除，系統(tǒng)文清除操作系統(tǒng)及數(shù)據(jù)庫(kù)加固范級(jí)；檢測(cè)對(duì)重要服務(wù)器的入侵行為；重要程序完整性檢測(cè)和破壞后的恢復(fù)。部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)、終端管理軟件，漏洞掃描惡意代碼防范安裝防惡意代碼軟件，定期升級(jí)；惡意代碼軟件統(tǒng)一管理；主機(jī)和網(wǎng)絡(luò)防惡意代碼軟件品牌異構(gòu)部署終端殺毒軟件資源控制終端登錄控制；終端超時(shí)鎖定；單個(gè)用戶資源限制安全加固應(yīng)用身份鑒別啟用身份鑒別機(jī)制；登錄失敗處別技術(shù)部署CA認(rèn)證系統(tǒng)制啟用訪問(wèn)控制機(jī)制，控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等的訪問(wèn)；啟用訪問(wèn)控制策略；賬戶最小權(quán)限原部署CA認(rèn)證系統(tǒng)安全審計(jì)啟用安全審計(jì)機(jī)制，審計(jì)每個(gè)用表生成部署應(yīng)用防護(hù)系統(tǒng)剩余信息保護(hù)鑒別信息再分配前清除，系統(tǒng)文清除操作系統(tǒng)及數(shù)據(jù)庫(kù)加固應(yīng)采用密碼技術(shù)保障信息過(guò)程中數(shù)據(jù)完整性部署PKI體系報(bào)文或會(huì)話過(guò)程加密部署PKI體系提供數(shù)據(jù)原發(fā)或接收證據(jù)部署PKI體系軟件容錯(cuò)代碼審核資源控制發(fā)連接數(shù)，單個(gè)賬戶多重會(huì)話限制安全加固數(shù)據(jù)完VPN加密，數(shù)據(jù)庫(kù)訪問(wèn)控制據(jù)傳輸存儲(chǔ)過(guò)程保密信息加密備份與恢復(fù)備、線路、數(shù)據(jù)硬件冗余3.3系統(tǒng)安全分層需求分析3.3.2網(wǎng)絡(luò)層安全需求應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問(wèn)路徑；應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能；重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量。應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到業(yè)務(wù)網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，應(yīng)能夠?qū)I(yè)務(wù)網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新。應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)>當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問(wèn)；應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記；應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作。應(yīng)實(shí)現(xiàn)主機(jī)系統(tǒng)的安全審計(jì)，審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷；應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶的鑒別信息所在的存儲(chǔ)空間，被釋放應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間，被釋應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測(cè)，并在檢測(cè)到完整性受到破壞后具操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定；應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度；應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。3.3.4應(yīng)用層安全需求應(yīng)對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別；應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限；應(yīng)具有對(duì)重要信息資源設(shè)置敏感標(biāo)記的功能；應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作。應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法刪除、修改或覆蓋審計(jì)記錄；審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、描應(yīng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能。應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間被釋放應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性。在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)應(yīng)對(duì)通信過(guò)程中的整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密。應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸應(yīng)提供自動(dòng)保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制；應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制；應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制；應(yīng)能夠?qū)σ粋€(gè)訪問(wèn)帳戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警；應(yīng)提供服務(wù)優(yōu)先級(jí)設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問(wèn)帳戶或3.3.5數(shù)據(jù)及備份安全需求應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中完應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過(guò)程中完應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障；應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)3.4虛擬化、云計(jì)算帶來(lái)的安全問(wèn)題分析安全威脅的研究和分析，從而制定和建立相應(yīng)3.4.2核心技術(shù)國(guó)產(chǎn)化問(wèn)題推出有自己特色的云計(jì)算平臺(tái)和云安全服務(wù)平臺(tái)，滿足3.4.3大量迅猛涌現(xiàn)的Web安全漏洞Web2.0和云服務(wù)的特點(diǎn)對(duì)網(wǎng)絡(luò)安全來(lái)說(shuō)意味著巨大的挑戰(zhàn)，甚至3.4.4拒絕服務(wù)攻擊由于云平臺(tái)的大規(guī)模與高性能，一旦遭受DDOS(抗拒絕服務(wù)攻擊),云平拒絕服務(wù)攻擊DoS和DDoS不是云服務(wù)所特有的。但是，在云服務(wù)的3.4.5內(nèi)部的數(shù)據(jù)泄漏和濫用相對(duì)而言，安裝在現(xiàn)有內(nèi)部環(huán)境中的應(yīng)用更易于檢完善的檢查技術(shù)，然而，對(duì)安裝在外部的云計(jì)算應(yīng)用服務(wù)提供商的IT系統(tǒng)中，用戶無(wú)法對(duì)風(fēng)險(xiǎn)進(jìn)行直接的控制，數(shù)等級(jí)和相關(guān)保障，該數(shù)據(jù)甚至可能與競(jìng)爭(zhēng)對(duì)手的應(yīng)上，如何保證云服務(wù)商自身內(nèi)部的安全管理和職責(zé)分離體系、審計(jì)保障等?如何避免云計(jì)算環(huán)境中多客戶共存帶來(lái)的潛在風(fēng)險(xiǎn)?這些都成為云計(jì)算環(huán)境下用3.4.6身份管理(身份鑒定、授權(quán)和審計(jì))務(wù)中的用戶賬號(hào)的提供及取消。如何在多項(xiàng)服務(wù)中應(yīng)3.4.7不同云之間的互聯(lián)互通(可移植性)但目前云計(jì)算廠商各自未戰(zhàn)，尚未在業(yè)界形成一個(gè)統(tǒng)一的標(biāo)準(zhǔn)化體系，無(wú)論是云平臺(tái)還是云服務(wù)的統(tǒng)一標(biāo)準(zhǔn)都沒有形成，這就給云計(jì)算產(chǎn)業(yè)的發(fā)展帶來(lái)了瓶頸，各個(gè)企業(yè)為了自己的云服務(wù)發(fā)展推出各自的平臺(tái)和服務(wù)標(biāo)準(zhǔn)，使得眾多云平臺(tái)和用戶的利益和長(zhǎng)遠(yuǎn)發(fā)展得不到保證，更極大地阻礙著云計(jì)算通用性和替代性以及軟件的適合性和繼承性的發(fā)展。為爭(zhēng)取國(guó)際競(jìng)爭(zhēng)地位，我國(guó)應(yīng)盡快建立云計(jì)算行業(yè)標(biāo)準(zhǔn)化組織，積極參與國(guó)際標(biāo)準(zhǔn)化組織的活動(dòng)，推進(jìn)云計(jì)算國(guó)際標(biāo)準(zhǔn)化工作。3.4.8潛在的合同糾紛和法律訴訟云服務(wù)合同、服務(wù)商的SLA和IT流程、安全策略、事件處理和分析等都可能存在不完善。虛擬化帶來(lái)的物理位置不確定性和國(guó)際相關(guān)法律法規(guī)的復(fù)雜性都使得潛在的合同糾紛和法律訴訟成為成功利用云服務(wù)的重大威脅。如果云計(jì)算提供商違反了合同，并且涉及到安全問(wèn)題，應(yīng)該負(fù)多大程度的法律責(zé)任，造成的損失又如何評(píng)估，這些問(wèn)題在法律和政策領(lǐng)域都還有待解4.1安全策略設(shè)計(jì)為應(yīng)對(duì)上述所面臨的威脅和風(fēng)險(xiǎn)，實(shí)現(xiàn)某市三院醫(yī)療信息系統(tǒng)的安全建設(shè)目標(biāo)，安全建設(shè)應(yīng)遵循以下總體安全策略和基本安全策略：總體安全目標(biāo)：●遵循國(guó)家相關(guān)政策、法規(guī)和標(biāo)準(zhǔn)；●貫徹等級(jí)保護(hù)原則，特別是對(duì)不同類別關(guān)鍵業(yè)務(wù)的單獨(dú)保護(hù)?！褚皇肿ゼ夹g(shù)、一手抓管理；管理與技術(shù)并重，互為支撐，互為補(bǔ)充，相互協(xié)同，形成有效的綜合預(yù)防、追查及應(yīng)急響應(yīng)的安全保障體系?？傮w安全策略：在現(xiàn)有物理安全措施基礎(chǔ)上，從環(huán)境、設(shè)備、介質(zhì)、配電的故障切換、冗余等方面，完善物理安全保障措施，保障某市三院醫(yī)療信息系統(tǒng)免受因上述內(nèi)容破策略，避免遺漏。為確保本方案能夠在后期順利的推廣和4.3等級(jí)保護(hù)模型全問(wèn)題不再很突出，但是，隨著網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)系統(tǒng)的脅。這時(shí)候，就需要對(duì)網(wǎng)絡(luò)資產(chǎn)和風(fēng)險(xiǎn)進(jìn)行評(píng)估，實(shí)此，本期網(wǎng)絡(luò)安全保障系統(tǒng)的建設(shè)也是一個(gè)循序漸進(jìn)全策略的控制和指導(dǎo)下，綜合利用安全防護(hù)、檢測(cè)、響成了一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)，在安全策略的●《國(guó)務(wù)院醫(yī)藥衛(wèi)生體制改革近期重點(diǎn)實(shí)施方案(2009—2011年)》;●國(guó)家衛(wèi)生部等5部委發(fā)布的《關(guān)于公立醫(yī)院改革試點(diǎn)的指導(dǎo)意見》;●衛(wèi)生部《電子病歷基本架構(gòu)與數(shù)據(jù)標(biāo)準(zhǔn)(試行)》;●衛(wèi)生部《健康檔案基本架構(gòu)與數(shù)據(jù)標(biāo)準(zhǔn)(試行)》;●衛(wèi)生部《基于健康檔案的區(qū)域衛(wèi)生信息平臺(tái)建設(shè)技術(shù)解決方案(試●《衛(wèi)生部辦公廳關(guān)于印發(fā)2010年基于電子健康檔案、電子病歷、門診統(tǒng)籌管理的基層醫(yī)療衛(wèi)生信息系統(tǒng)試點(diǎn)項(xiàng)目管理方案的通知》;●《2010年基于電子健康檔案、電子病歷、門診統(tǒng)籌管理的基層醫(yī)療衛(wèi)生信息系統(tǒng)試點(diǎn)項(xiàng)目技術(shù)方案》等。4.5遵循的標(biāo)準(zhǔn)和規(guī)范●《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(27號(hào)文)●公通字[2007]43號(hào)《信息安全等級(jí)保護(hù)管理辦法》●《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》●《信息安全技術(shù)信息安全等級(jí)保護(hù)定級(jí)指南》●《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》●GB/T9387.2-1995開放系統(tǒng)互連基本參考模型第2部分：安全體系結(jié)構(gòu)●IS010181:1996信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架●GB/T18237-2000信息技術(shù)開放系統(tǒng)互連通用高層安全根據(jù)對(duì)某市三院醫(yī)療系統(tǒng)的安全需求分析，下面針對(duì)某市三院醫(yī)療信息系統(tǒng)的組織和管理體系的安全問(wèn)題提出信息安全管理建議方案。5.1組織體系建設(shè)建議某市三院醫(yī)療信息系統(tǒng)的組織體系應(yīng)實(shí)行“統(tǒng)一組織、分散管理”的方式，在平臺(tái)內(nèi)建立一個(gè)獨(dú)立的信息安全部門或以信息中心作為某市三院醫(yī)療的信息安全崗位是某市三院醫(yī)療信息系統(tǒng)安全管理機(jī)構(gòu)根據(jù)系統(tǒng)安全需要設(shè)定的括信息系統(tǒng)有關(guān)的所有人員(不僅僅是從事安全管理和業(yè)務(wù)的人員),以提高他5.2管理體系建設(shè)建議安全管理制度是信息系統(tǒng)內(nèi)部依據(jù)某市三院醫(yī)療信息系統(tǒng)必要的安全需求5.2.2資產(chǎn)安全管理5.2.3物理安全管理5.2.4技術(shù)安全管理5.2.5安全風(fēng)險(xiǎn)管理6.2技術(shù)風(fēng)險(xiǎn)評(píng)估作主要是通過(guò)評(píng)估工具以遠(yuǎn)程掃描的方式對(duì)評(píng)估范圍內(nèi)的系統(tǒng)和網(wǎng)絡(luò)進(jìn)行安全掃描，發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)、數(shù)據(jù)本項(xiàng)服務(wù)中我們將借助***漏洞掃描系統(tǒng)對(duì)某市三此外，每次掃描結(jié)束后，***的技術(shù)人員將現(xiàn)場(chǎng)協(xié)助某市三院醫(yī)療的技術(shù)人6.5安全加固2.密碼系統(tǒng)安全檢測(cè)和增強(qiáng)3.系統(tǒng)后門檢測(cè)4.提供訪問(wèn)控制策略和工具8.系統(tǒng)升級(jí)與補(bǔ)丁安裝6.6虛擬化安全加固服務(wù) 6.7應(yīng)急響應(yīng)7.1物理層安全7.2網(wǎng)絡(luò)層安全(待建)核心數(shù)據(jù)區(qū)行政樓老庸房樓作老病房樓2F門診二明新農(nóng)合外聯(lián)區(qū)：通過(guò)部署高性能防火墻，實(shí)現(xiàn)某市三院中心機(jī)房網(wǎng)絡(luò)與區(qū)域衛(wèi)數(shù)據(jù)交換區(qū)：通過(guò)核心交換機(jī)的VLAN劃分、訪問(wèn)控制列表以及在出口應(yīng)用服務(wù)區(qū)：通過(guò)核心交換機(jī)的VLAN劃分、訪問(wèn)控制列表以及在出口核心數(shù)據(jù)區(qū)：通過(guò)核心交換機(jī)的VLAN劃分、訪問(wèn)控制列表以及在出口7.2.4網(wǎng)絡(luò)入侵防范7.2.5邊界惡意代碼防范對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，且保障用戶根據(jù)基本要求配置用戶名/口令，口令必須具備采用3中以上字符、長(zhǎng)度不少于8位并定期更換。啟用登錄失敗處理功能，登錄失敗后采取結(jié)束會(huì)話、限制非法登錄次數(shù)對(duì)主機(jī)管理員登錄采取雙因素認(rèn)證方式，采用USBkey+密碼進(jìn)行身份鑒啟用訪問(wèn)控制功能：制定嚴(yán)格的訪問(wèn)控制安全策略，根據(jù)策略控制用戶權(quán)限控制：對(duì)于制定的訪問(wèn)控制規(guī)則要能清楚的覆蓋資源訪問(wèn)相關(guān)的主賬號(hào)管理：嚴(yán)格限制默認(rèn)賬戶的訪問(wèn)權(quán)限，重命名默認(rèn)賬戶，修改默認(rèn)訪問(wèn)控制的實(shí)現(xiàn)主要是采取兩種方式：采用安全操作系統(tǒng)，或?qū)Σ僮飨祵?duì)于強(qiáng)制訪問(wèn)控制中的權(quán)限分配和賬號(hào)管理部分可以通過(guò)等級(jí)保護(hù)配置核7.3.3主機(jī)入侵防范部署入侵檢測(cè)/保護(hù)系統(tǒng)，在防范網(wǎng)絡(luò)入侵的同時(shí)對(duì)關(guān)鍵主機(jī)的操作系統(tǒng)部署漏洞掃描進(jìn)行安全性檢測(cè)，及時(shí)發(fā)現(xiàn)主機(jī)漏洞并進(jìn)行修補(bǔ)，減少攻操作系統(tǒng)的安全遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，根據(jù)系統(tǒng)類型進(jìn)行安全配置的加固處理。7.3.4主機(jī)審計(jì)庫(kù)記錄等敏感信息所在的存儲(chǔ)空間(內(nèi)存、硬盤)被及時(shí)釋放或者再分配給其他7.3.7資源控制登錄條件限制：在交換、路由設(shè)定終端接入控制，或使用主機(jī)防護(hù)軟件用戶可用資源閾值：限制單個(gè)用戶對(duì)系統(tǒng)資源的最大最小使用限度，保設(shè)定安全策略對(duì)在終端登錄超時(shí)的用戶進(jìn)行鎖定，使用主機(jī)監(jiān)控產(chǎn)品對(duì)通過(guò)內(nèi)網(wǎng)終端管理系統(tǒng)實(shí)現(xiàn)對(duì)用戶的接入方式、登陸超時(shí)鎖定、主機(jī)資7.4應(yīng)用層安全根據(jù)基本要求配置用戶名/口令，口令必須具備采用3中以上字符、長(zhǎng)度不少于8位并定期更換。保證系統(tǒng)用戶名具有唯一性。根據(jù)等級(jí)保護(hù)基本要求進(jìn)行訪問(wèn)控制的配置，包括：權(quán)限定義、默認(rèn)賬通過(guò)安全加固措施制定嚴(yán)格的用戶權(quán)限策略，保證賬號(hào)、口令等符合安通過(guò)防火墻制定符合基本要求的ACL策略。7.4.4剩余信息保護(hù)庫(kù)記錄等敏感信息所在的存儲(chǔ)空間(內(nèi)存、硬盤)被及時(shí)釋放或者再分配給其他7.4.5通信完整性7.4.6通信保密性7.4.7抗抵賴性與數(shù)據(jù)內(nèi)容有關(guān)的便利進(jìn)行加密處理，完成對(duì)則利用對(duì)方的公鑰來(lái)解讀收到的“數(shù)字簽名”7.4.9資源控制會(huì)話自動(dòng)結(jié)束：當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何會(huì)話限制：對(duì)應(yīng)用系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制，對(duì)一個(gè)時(shí)間段超時(shí)鎖定：根據(jù)安全策略設(shè)置應(yīng)用會(huì)話超時(shí)鎖定。應(yīng)能夠?qū)σ粋€(gè)訪問(wèn)帳戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警；應(yīng)提供服務(wù)優(yōu)先級(jí)設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問(wèn)帳戶或(1)讀訪問(wèn)控制對(duì)于那些提供讀訪問(wèn)的數(shù)據(jù)庫(kù)而言，每個(gè)訪問(wèn)該數(shù)據(jù)的象或進(jìn)程都必須確立相應(yīng)的賬戶。該ID可以在數(shù)據(jù)庫(kù)內(nèi)直接建立，或者通過(guò)那用戶驗(yàn)證機(jī)制必須基于防御性驗(yàn)證技術(shù)(比如用戶ID/密碼),這種技術(shù)可以數(shù)據(jù)和敏感的用戶數(shù)據(jù)應(yīng)采用加密或其他有效措施實(shí)現(xiàn)傳輸保密性和存儲(chǔ)保密應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障；應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)7.6.1虛擬化漏洞管理和配置核查7.6.2虛擬化綜合安全網(wǎng)關(guān)側(cè)重從協(xié)議層角度實(shí)施訪問(wèn)控制。綠盟虛擬化綜合安全網(wǎng)關(guān)——NSFOCUS網(wǎng)絡(luò)通信中具體請(qǐng)求或行為(如基于網(wǎng)絡(luò)的Oday漏洞攻擊)來(lái)報(bào)警或阻斷(IDSAPI為基礎(chǔ)實(shí)現(xiàn)了虛擬IDS/IPS,但對(duì)VMsafe的調(diào)用層次低于虛擬防火墻，行政樓老病房樓1F(待津)老病房樓2F入侵防護(hù)門診二期配置核查8.1安全產(chǎn)品匯總通過(guò)應(yīng)用入侵防御系統(tǒng)的虛擬系統(tǒng)功能，物理上2臺(tái)心交換機(jī)之間，而邏輯上虛擬成8臺(tái)設(shè)備。通過(guò)核心交換設(shè)備虛擬化功能的配分別執(zhí)行不同的規(guī)則集，達(dá)到通過(guò)2臺(tái)入侵防御系(待建)系統(tǒng)核心數(shù)據(jù)區(qū)老病房樓1F系純老病房樓2F市醫(yī)保新農(nóng)合8.1.3堡壘機(jī)應(yīng)用防護(hù)系統(tǒng)主要對(duì)某市三院中心機(jī)房應(yīng)用服務(wù)區(qū)中基于WEB的業(yè)務(wù)系應(yīng)用防護(hù)系統(tǒng)物理上旁路部署1臺(tái)在某市三院中心機(jī)房應(yīng)用服務(wù)區(qū)交換機(jī)合核心交換設(shè)備的虛擬化功能，能夠把所有基于WEB的業(yè)務(wù)系統(tǒng)流量鏡像到物理應(yīng)用防護(hù)系統(tǒng)，而物理應(yīng)用防護(hù)系統(tǒng)則根據(jù)流量來(lái)自的業(yè)務(wù)系統(tǒng)由不同的邏輯應(yīng)用防護(hù)系統(tǒng)進(jìn)行處理。從而實(shí)現(xiàn)應(yīng)用防護(hù)與業(yè)務(wù)系統(tǒng)的實(shí)際物理部署位置無(wú)關(guān)，能夠針對(duì)不同業(yè)務(wù)系統(tǒng)執(zhí)行不同的應(yīng)用防護(hù)策略，且每個(gè)虛擬系統(tǒng)能夠獨(dú)立提供其所防護(hù)的業(yè)務(wù)系統(tǒng)的詳細(xì)日志，方便管理員查看并及時(shí)發(fā)現(xiàn)和定位問(wèn)題所在，很大程度上減輕了后期的運(yùn)維工作。8.1.6等級(jí)保護(hù)安全配置核查系統(tǒng)通過(guò)定期對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器和業(yè)務(wù)系統(tǒng)進(jìn)行相