医院 信息安全等级保护(X级) 整改建设方案
1 项目背景
医院是一个信息和技术密集型的行业,其计算机网络是一个完善的办公网络系统,作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。结合医院复杂的HIS、RIS、PACS等应用系统,要求网络必须能够满足数据、语音、图像等综合业务的传输要求,所以在这样的网络上应运用多种高性能设备和先进技术来保证系统的正常运作和稳定的效率。同时医院的网络系统连接着Internet、医保网和卫生局等,访问人员比较复杂,所以如何保证医院网络系统中的数据安全问题尤为重要。在日新月异的现代化社会进程中,计算机网络几乎延伸到了世界每一个角落,它不停的改变着我们的工作生活方式和思维方式,但是计算机信息网络安全的脆弱性和易受攻击性是不容忽视的。由于网络设备、计算机操作系统、网络协议等安全技术上的漏洞和管理体制上的不严密,都会使计算机网络受到威胁。我们可以想象一下,对于一个需要高速信息传达的现代化医院,如果遭到致命攻击会造成的巨大影响。
在医院行业的信息化建设过程中,信息安全的建设虽然只是一个很小的部分,但其重要性不容忽视。便捷、开放的网络环境,是医院信息化建设的基础,在数据传递和共享的过程当中,数据的安全性要切实地得到保障,才能保障医院信息化业务的正常运行。然而,我们的数据却面临着越来越多的安全风险,时刻对业务的正常运行带来威胁。
为此,国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》,要求涉及国计民生的信息系统应达到一定的安全等级,根据文件精神和等级划分的原则,医院信息系统构筑安全等级至少应达到二级或以上防护要求。
所以在XXX医院的信息化建设过程中,我们应当正视可能面临的各种安全风险,对网络威胁给予充分的重视。为了XXX医院信息网络的安全稳定运行,确保医院信息系统安全,根据XXX医院目前的计算机信息网网络特点及安全需求,本着切合实际、保护投资、着眼未来的原则,提出本技术方案。
2 安全建设路线
2.1 设计原则
2.1.1 等级保护建设原则
XXX医院计算机网络系统属国计民生的重要信息系统,其安全建设不能忽视国家相关政策要求,在安全保障体系建设上最终所要达到的保护效果应符合《信息系统安全等级保护基本要求》中的X级要求。
2.1.2 体系化的设计原则
系统设计应充分考虑到各个层面的安全风险,构建完整的安全防护体系,充分保证系统的安全性。同时,应确保方案中使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。
2.1.3 产品的先进性原则
XXX医院的安全保障体系建设规模庞大,意义深远。对所需的各类安全产品提出了很高的要求。必须认真考虑各安全产品的技术水平、合理性、先进性、安全性和稳定性等特点,共同打好工程的技术基础。
2.1.4 按步骤有序建设原则
XXX医院的安全保障体系的建设是一项长期的工程,并非一蹴而就解决所有安全问题。因此,在实际建设过程中要根据实际情况分轻重缓急,分期、分批的进行部署。
2.1.5 安全服务细致化原则
要使得安全保障体系发挥最大的功效,除安全产品的部署外还应提供有效的安全服务,根据XXX医院的网络系统具体现状及承载的重要业务,全面而细致的安全服务会提升日常运维及应急处理风险的能力。安全服务就需要把安全服务商的专业技术经验与行业经验相结合,结合XXX医院的实际信息系统量身定做才可以保障其信息系统安全稳定的运行。
2.2 等级化建设思路
“等级化安全体系”是依据国家信息安全等级保护制度,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化与体系化相结合的安全体系设计方法,帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。
根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行:
1. 系统识别与定级:通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况,包括系统业务流程和功能模块,以及确定系统的等级,为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。
2. 安全域设计:根据第一步的结果,通过分析系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次,为下一步安全保障体系框架设计提供基础框架。
3. 安全保障体系框架设计:根据安全域框架,设计系统各个层次的安全保障体系框架(包括策略、组织、技术和运作),各层次的安全保障体系框架形成系统整体的安全保障体系框架。
4. 确定安全域安全要求:参照国家相关等级保护安全要求,设计等级安全指标库。通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。
5. 评估现状:根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评估方法,对系统各层次安全域进行有针对性的等级风险评估。通过等级风险评估,可以明确各层次安全域相应等级的安全差距,为下一步安全技术解决方案设计和安全管理建设提供依据。
6. 安全技术解决方案设计:针对安全要求,建立安全技术措施库。通过等级风险评估结果,设计系统安全技术解决方案。
7. 安全管理建设:针对安全要求,建立安全管理措施库。通过等级风险评估结果,进行安全管理建设。
通过如上步骤,XXX医院的网络信息系统可以形成整体的等级化的安全保障体系,同时根据安全技术建设和安全管理建设,保障系统整体的安全。
3 医院信息安全合规方案设计依据
3.1 国家相关文件
1) 中办发17号文件《国家信息化领导小组关于我国电子政务建设指导意见》
2) 中办[2003]27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》
3) 四部委于2004年9月15日发布公通字[2004]66号《信息安全等级保护工作的实施意见》(公通字[2004]66号)
4) 四部委2007年06月17日发布(2007)公通字43号《信息安全等级保护管理办法》
5) 公信安2009年10月27日《关于开展信息安全等级保护安全建设整改工作的指导意见》
6) 关于开展全国重要信息系统安全等级保护定级工作的通知(公信安 [2007]861号)
7) 信息安全等级保护备案实施细则(公信安[2007]1360号)
8) 关于开展信息安全等级保护安全建设整改工作的指导意见(公信安 [2009]1429号)
9) 《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
10) 《中华人民共和国网络安全法》
11) 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技(2008)2071号)
12) 《国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知》发改高技[2008]2544号
13) 《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》国发[2012]23号
3.2 国家相关标准
1) 《计算机信息系统安全保护等级划分准则》 GB 17859-1999
2) 《信息安全技术 信息系统安全等级保护基本要求》GB/T 22239-2008
3) 《信息安全技术信息系统等级保护安全设计技术要求》GB/T 25070-2010
4) 《信息安全技术信息系统安全等级保护实施指南》GB/T 25058-2010
5) 《信息安全技术信息系统安全等级保护定级指南》GB/T 22240-2008
6) 《信息安全技术 信息系统通用安全技术要求》GB/T20271-2006
7) 《信息安全技术 网络基础安全技术要求》GB/T20270-2006
8) 《信息安全技术 操作系统安全技术要求》GB/T20272-2006
9) 《信息安全技术 数据库管理系统安全技术要求》GB/T20273-2006
10) 《信息安全技术 信息系统安全工程管理要求》GB/T20282-2006
11) 《信息安全技术 服务器安全技术要求》GB/T21082-2007
12) 《信息安全技术 路由器安全技术要求》GB/T 18018-2007
13) 《信息安全技术 网络交换机安全技术要求》GB/T 21050-2007
14) 《应用软件系统安全等级保护通用技术指南》GA/T 711-2007
15) 《终端计算机系统安全等级技术要求》GA/T 671-2006
16) 《信息安全技术--信息安全风险评估规范》GB/T 20984-2007
17) 《信息安全事件管理指南》GB/Z 20985-2007
18) 《信息安全事件分类分级指南》GB/Z 20986-2007
19) 《信息系统灾难恢复规范》GB/T 20988-2007
3.3 行业相关文件
1) 卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知卫办发[2011]85号
2) 卫生部办公厅《关于全面开展卫生行业信息安全等级保护工作》的通知卫办综函[2011]1126号
3) 三级综合医院评审标准实施细则(2011年版)
4) 关于印发电子病历应用管理规范(试行)的通知国卫办医发[2017]8号
5) 卫生部办公厅关于印发《卫生综合管理信息平台建设指南(试行)》的通知卫办综函[2011]350 号
3.4 行业相关标准
1) 《远程医疗信息系统基本功能规范》WST 529-2016
2) 《卫生综合管理信息平台建设指南(试行)》
3) 《基于电子病历的医院信息平台建设技术解决方案》
4 系统现状分析
4.1 现状分析
XXX医院已经完成对运行的信息系统进行信息系统等级保护定级备案工作,同时,XXX医院部署了防火墙这一种安全设备,但是都是传统的安全设备,针对新形势下的网络安全,缺乏全方位的纵深安全保护手段。
4.2 网络结构分析
从目前XXX医院的全局网络结构上看,可以分为两大部分,用于日常医疗信息交换的业务网以及实时获取Internet信息资源的办公网。其中,医院内部业务网是医院业务开展的重要平台,承载着核心业务,同时具有相应链路与卫生局、社保和银行等其他机构交换数据;而办公网主要对外提供信息发布门户和公众服务,对内提供Internet网络接入等服务。
4.3 重要资产分析
XXX医院住院信息系统中的重要资产包括边界路由器、核心交换机、汇聚交换机等网络设备;防火墙等安全设备;Web服务器、应用服务器、数据库服务器、业务及管理用户终端等主机设备及其上运行的操作系统、通用应用软件及为特定业务专门开发的应用系统等。除此之外,作为信息系统的管理者和维护者,IT管理人员也是信息系统的重要资产之一。
4.4 脆弱性分析
4.4.1 网络设备自身存在的安全弱点
XXX医院网络中部署的网络设备,如路由器、交换机等,存在固有的或配置、使用上的安全弱点,一旦被暴露,可能导致网络设备自身的不安全。例如对网络设备登录用户的身份鉴别机制过于简单,对用户的登录和访问行为缺少控制和审计,对特权用户没有进行权限分离等。
4.4.2 安全设备自身存在的安全弱点
XXX医院网络中部署的安全设备,如防火墙等,存在固有的或配置、使用上的安全弱点,一旦被暴露,可能导致安全设备自身及整个网络系统的不安全。例如对安全设备登录用户的身份鉴别机制过于简单,对用户的登录和访问行为缺少控制和审计,对特权用户没有进行权限分离等。另外,采用国外安全设备,在安全设备国产化趋势下,国外设备容易存在安全后门,对信息系统是一个致命的风险点。
4.4.3 主机系统自身存在的安全弱点
目前的操作系统或应用平台系统无论是Windows、UNIX、类UNIX操作系统以,都不可能是百分之百的无缺陷和无漏洞的。一旦系统中存在的漏洞和缺陷被暴露,就给入侵者进行非法操作提供了便利。另外,从实际应用上,系统的安全程度跟对其进行安全配置及系统的应用方式也有很大关系,系统如果没有采用相应的访问控制和授权机制,那么掌握一般攻击技术的人都可能入侵得手。
4.4.4 应用系统自身存在的安全弱点
各种通用的应用平台程序,如数据库管理系统、Web Server程序,FTP服务程序,E-mail服务程序,浏览器,MS Office办公软件等,以及为业务系统专门开发的应用程序,其自身的安全漏洞和由于配置不当造成的安全漏洞会导致整个网络的安全性下降。常见的应用系统安全弱点包括:
Ø 源程序中存在的BUG,被利用发起攻击,造成业务应用被中断;
Ø 源程序中出于程序调试的方便,人为设置许多“后门”,一旦被黑客利用后,将直接通过“后门”控制系统;
Ø 应用系统自身很弱的身份认证,使得黑客获得访问应用系统的权限,从而访问到业务系统的敏感信息,造成信息外泄;
Ø 应用系统的用户名和口令以明文方式被传递,容易被截获,从而发起对系统的非授权访问;
Ø 各种可执行文件成为病毒的直接攻击对象。
Ø 应用程序弱口令,使得黑客很容易通过暴力破解和枚举拿到系统用户名及密码,从而进入系统。
应用系统是动态的、不断变化的,应用的安全性也动态的,这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
4.4.5 工作人员自身存在的安全弱点
如何安全的设备和系统离不开人的管理,再好的安全策略最终要靠人来实现,因此IT运维和管理人员是整个信息系统安全中极为重要的一环。IT管理人员的安全意识薄弱或安全操作水平不足将给信息系统造成极大的安全隐患。
4.5 安全威胁分析
安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件。产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素包括有意的和无意的因素。环境因素包括自然界的不可抗力因素和其它物理因素。
威胁可能源于对计算机系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。一般来说,威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。
为确保XXX医院住院信息、门诊信息管理和财务信息系统的安全、高效和可靠运行,必须全面分析其面临的安全威胁。这些安全威胁虽然有各种各样的存在形式,但其结果是一致的,都将导致对信息或资源的破坏,影响XXX医院住院信息、门诊信息管理和财务信息系统的正常运行,破坏XXX医院为用户提供服务的有效性、可靠性和权威性,产生对XXX医院的严重后果。
安全威胁是提出安全需求的重要依据,安全需求对应相应的安全解决方案。安全威胁包括安全威胁来源和安全威胁种类,因此必须对XXX医院住院信息、门诊信息管理和财务信息系统的威胁来源和种类进行分析。
1、通过对XXX医院住院信息、门诊信息管理和财务信息系统的使用和运行特点的全面分析,其面临的主要威胁来源具体参见下表:
威胁来源 | 威胁来源描述 |
环境因素、意外事故或故障 | 由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、地震等环境条件和自然灾害;意外事故或由于软件、硬件、数据、通讯线路方面的故障。 |
无恶意内部人员 | 由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操作流程而导致计算机系统威胁的内部人员;由于缺乏培训,专业技能不足,不具备岗位技能要求而导致计算机系统威胁的内部人员。 |
恶意内部人员 | 不满的或有预谋的内部人员对计算机系统进行恶意破坏;采用自主的或内外勾结的方式盗窃机密信息或进行篡改,获取利益。 |
第三方 | 第三方合作伙伴和供应商,包括业务合作伙伴以及软件开发合作伙伴、系统集成商、服务商和产品供应商;包括第三方恶意的和无恶意的行为。 |
外部人员攻击 | 外部人员利用计算机系统的脆弱性,对网络和系统的机密性、完整性和可用性进行破坏,以获取利益或炫耀能力。 |
2、对安全威胁进行分类的方式有多种多样,针对XXX医院住院信息、门诊信息管理和财务信息系统重点考虑的五方面威胁来源,确定其所面临的安全威胁种类。
威胁种类 | 威胁描述 |
软硬件故障 | 由于设备硬件故障、通讯链路中断、系统本身或软件Bug导致对业务高效稳定运行的影响。 |
物理环境威胁 | 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、地震等环境问题和自然灾害。 |
无作为或操作失误 | 由于应该执行而没有执行相应的操作,或无意地执行了错误的操作,对系统造成影响。 |
管理不到位 | 安全管理无法落实,不到位,造成安全管理不规范,或者管理混乱,从而破坏计算机系统正常有序运行。 |
恶意代码和病毒 | 具有自我复制、自我传播能力,对计算机系统构成破坏的程序代码。 |
越权或滥用 | 通过采用一些措施,超越自己的权限访问了本来无权访问的资源;或者滥用自己的职权,做出破坏计算机系统的行为。 |
黑客攻击技术 | 利用黑客工具和技术,例如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对计算机系统进行攻击和入侵。 |
物理攻击 | 物理接触、物理破坏、盗窃。 |
泄密 | 机密泄漏,机密信息泄漏给他人。 |
篡改 | 非法修改信息,破坏信息的完整性。 |
抵赖 | 不承认收到的信息和所作的操作和交易。 |
4.6 网络拓扑分析
4.6.1 业务内网网络拓扑分析
XXX医院的业务内网是由办公大楼中心机房、各业务大楼(如:门诊大楼、急诊大楼、住院大楼、科学楼、医技楼、肝病大楼等)以及下属分院(包括灾备中心)等几部分组成,其中办公大楼中心机房是整个业务网络的核心,主要提供医疗数据交换、存储和医院业务系统的运维。各业务大楼主要提供医护人员的日常业务的开展。前期我院的网络安全建设都比较完善,在网络边界有网络安全设备做隔离防护,比如防火墙、行为管理等,但是随着时代和互联网的发展,需要不断地进行网络安全建设,同时需要更新和完善不同的安全设备。
4.6.2 办公外网网络拓扑分析
办公外网主要由门诊楼中心机房、各接入业务大楼、Internet接入区等几部分组成;办公外网的组网方式与业务网有些类似,但其主要职能是供本院医职人员的互联网浏览服务、对外网站的发布和对公众提供外网服务,办公外网部分采用的是单核心网络架构,以满足一般性的外网业务需求,但是随着时代和互联网的发展,需要不断地进行网络安全建设,同时需要更新和完善不同的安全设备和系统结构。
4.7 业务系统分析
4.7.1 业务内网系统
经过近十多年的发展,XXX医院信息系统(Hospital Information System,HIS)建设初具规模,日趋完善。信息系统的发展经历了从单机系统、局部网络系统到整个医院信息系统的多个阶段,可以说,HIS系统是XXX医院医疗信息化的最核心资产。另外,内网还运行有LIS系统、PACS系统等业务应用系统,它们也是XXX医院日常业务正常开展的重要组成部分。
目前XXX医院虽然划分了不同安全域,但对各安全域的边界防护需要更新和完善不同的安全设备,对重要信息系统的数据及操作缺少必要的审计措施防护,同时由于业务内网系统资产较多,运维工作量大,增加自动化运维设备已越来越重要。
4.7.2 办公外网系统
办公外网是XX医院对外综合性服务系统的载体,和Internet直接连接,并且按照医院相关规定和运行HIS系统的业务内网物理隔离。主要应用有:
Ø 信息发布网站:各级医疗系统的Web网站是其公众形象的重要体现形式之一,其主要功能是发布正式的医院官方的文件和信息等。
Ø 邮件和Internet浏览服务:除了提供对外网站发布服务,医院办公网络系统还对内部人员提供邮件服务和Internet浏览服务。
Ø 外网OA系统(移动办公):则主要指用于日常办公的终端、办公自动化应用服务器和数据库,对于XXX医院OA系统,主要包含的应用有:电子邮件、公文传递及批复、文件传输和内部主页等日常办公文件处理。
Ø 远程医疗系统:随着医院网络信息化技术的飞速发展,由于经验丰富的医学专家教授是有限的,而且多集中在大城市,他们不可能经常离开岗位到各地满足人们对医疗服务的更高的需求。基层患者想要更好的医生诊断只能来回奔波,一方面使患者疲于来回之间的路程,另一方面延误了病情,而更好的医疗资源却无法共享。因此远程会诊,远程诊断作为传统医疗的补充,利用最新的技术,可以更高效的为病人提供诊疗服务。
5 医院网络安全需求分析
5.1 安全需求概述
随着医院信息化的迅猛发展,信息的高度集中使得核心数据泄密的隐患也越来越突出,日益严重的网络信息安全问题,不仅影响医疗保健信息系统发挥价值,还会导致医疗机构蒙受巨大经济损失,损害医院患者的利益,严重影响了医院的公众形象。因此,世界各国普遍把医疗保健网络信息系统的安全保护列为关键信息基础设施保护(CIIP)。我国在加强信息安全保障工作的相关政策中,提出了信息系统安全等级保护的制度性安排。
医院等级安全保护体系建设主要从物理安全、网络安全、应用安全、主机安全、数据安全、管理安全等方面进行构建。医院网络一般由办公外网和业务内网组成,结合信息安全等级保护要求进行风险评估,界定医院信息安全网络的使用人群、涵盖的应用系统,保障他们的正常办公所需,并以此为基础构建安全防护体系。
医院办公内网主要承载着医院三级信息系统,用于日常医疗信息交换,核心应用是HIS,LIS,PACS,PEIS,医生工作站、护士工作站,门诊管理系统等。这些系统承担着为医院各部门提供病人诊疗信息和行政管理信息的收集、存储、处理、提取和数据交换等业务应用。办公内网外联区承载着医院自身和各级医保等相关单位的网络连接,如市级医保网络、县级医保网络、新农合、主管单位、其他医院的医保网络的直接连接需求,实现网间数据传输与信息共享。
办公外网主要承载医院OA、网站、mail等二级信息系统。大部分的应用是发布或获取Internet信息资源,通过专门的DMZ网络区域来承载这些应用,并对外提供网上预约挂号、远程专家会诊等网络化服务。
医院网络安全需要保障医院外网与外界Internet安全的互联,保障医院内部的应用系统进行安全可靠的信息交换和共享,保障医院网络与医保网络的安全互联,保障各网络体系间的网络、应用、数据等安全。
5.2 安全风险与需求分析
在日新月异的现代化社会进程中,计算机网络几乎延伸到了世界每一个角落,它不停的改变着我们的工作生活方式和思维方式,但是,计算机信息网络安全的脆弱性和易受攻击性是不容忽视的。由于网络设备、计算机操作系统、网络协议等安全技术上的漏洞和管理体制上的不严密,都会使计算机网络受到威胁。在医院行业的信息化建设过程中,信息安全的建设虽然只是一个很小的部分,但其重要性不容忽视。便捷、开放的网络环境,是医院信息化建设的基础,在数据传递和共享的过程当中,业务数据的安全性要切实地得到保障,如果数据面临着越来越多的安全风险,将对业务的正常运行带来巨大威胁。
分析医院网络面临的安全风险,目前在网络安全所面临着几大问题主要集中在如下几点:
1、互联网的接入,需要在互联网接入的边界处做好病毒控制和入侵防御等威胁防范,防止来自互连网的黑客攻击。
2、面向互联网的WEB服务器群,面临着潜在的SQL注入、跨站攻击、DDOS攻击等各种应用层攻击的安全威胁,同时还要面临着可能发生的网页被非法篡改的可能,这给医院的业务系统带来极大的安全风险和不良的社会影响。应用系统存在哪些漏洞,网站系统安全状态如何,存在哪些不良的事件等都是网站安全防护系统所重点关注的内容。
3、由于业务发展的需要,要求互联网和医院办公网之间能够互联并实现两网之间的数据交换,这必然给办公网带来源自互联网的潜在安全风险,因此需要做好这方面风险的控制,防止风险在医院办公网络扩散。
4、医生和医院办公人员需要在在互联网上安全的访问内网资源,因此需要保障从公网访问内网的安全。
5、对于医保网/第三方平台接入需要进行边界病毒控制和应用入侵防御,避免数据交换过程中引入的潜在威胁;同时对于三方接入,需要保障接入各方数据交换的安全。
6、核心数据维护人员越来越多,既有本院相关业务科室信息维护人员,也可能要有系统开发商、第三方运维外包公司,无法对运维操作人员的身份进行有效鉴别,也无法对操作行为进行有效审计,以便对安全问题回溯追责。
7、非法统方手段专业化、多样化,医生统方、药房统方、护士统方、信息科统方、开发商外包人员统方等多种手段并存,且隐蔽性越来越强,并通过软件化的方法可以实现在任意终端的统方行为;。
8、随着业务的发展,网上预约挂号,网上医疗,远程专家会诊等应用的深入,使得业务网与办公网的数据安全传输的需求也越来越突显出来。如何保障信息安全的共享是现在医院普遍面临的问题。
9、业务可靠需求,医院数据中心支撑着医院内部核心业务使用,一旦某台服务器出现故障,将直接导致关键业务中断,因此需要具备负载均衡等机制来提升业务可靠性。
10、因医院网络规模较大,日常的管理维护工作量繁重。医院内部办公终端行为混乱,无法有效管理和监督,容易成为统方行为和信息泄漏的目标对象。
11、无法满足公安部82号令和等级保护的基本要求(三级)。
12、安全管理:集中管理所有安全设备。对安全设备进行统一管理、状态监控、策略下发、集中审计。
6 解决方案设计
6.1 安全体系设计
依据国家信息系统安全等级保护基本要求和公安部82号令的相关法规,结合对医院网络安全分析的结果,建议从医院办公内网、办公外网方面在网络接入安全、应用安全、主机安全、数据安全等维度进行安全体系的设计,从而实现医院网络安全的整体防护。其中办公内网包括了医院内部业务数据中心、办公网接入区、网络运维区(外联医保网等网络主要包含了各级医保单位、农合、银联、分支接入);办公外网主要有互联网接入和DMZ区域(如WEB、邮件、OA等系统)。
6.2 安全域划分
安全域是指同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络,每一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策略,区域间具有相互信任关系,而且相同的网络安全域共享同样的安全策略。一个安全域内可进一步被划分为安全子域,安全子域也可继续依次细化。
根据医院业务访问的需要,结合信息系统分级保护的思想,将医院网络信息系统分为互联网接域、对外服务器器域、内外网终端接入域、内外网运维管理域等。安全域具体划分如上图所示。
6.3 安全防护设计
如上图所示,医院全网安全防护设计方案将严格按照区域功能的重要性和网络使用的逻辑特性划分安全域,并基于安全域之间的边界隔离及访问控制要求,各安全域出口推荐部署深信服下一代防火墙进行2-7层访问控制。各安全域需求及解决方案如下:
l 互联网出口域,该区域说明如下:在网络出口需提供多链路负载并自动匹配最优线路,保障网络可用性的同时实现快速接入(推荐使用深信服应用交付AD);需在互联网出口边界进行隔离和访问控制,保护内部网络,从2-7层对攻击进行防护,实现对入侵事件的监控、阻断,保护整体网络各个安全域免受外网常见恶意攻击,利用网络防病毒,主动扫描web和电子邮件流量、阻止恶意软件到达并感染网络上主机等防护功能(推荐使用深信服下一代防火墙NGAF);需对互联网出口流量进行识别并对流量进行管控,提高带宽利用率的同时保障用户上网体验,并按相关法律法规进行上网行为审计(推荐使用深信服上网行为管理AC)。
l 生产内网外联域(医保网/合作交换平台区域),该区域说明如下:与对端医保专网/合作交换平台数据对接(推荐使用深信服IPSec VPN),需识别专网之间流量中的威胁,实现对流量中入侵行为的检测与阻断(推荐使用深信服下一代防火墙NGAF)。
l 终端接入域,该区域说明如下:安全域内的终端上需具备防恶意代码的能力(推荐使用主机防病毒产品);需满足护士工作站、移动查房等移动办公需求,实现安全可靠的WLAN接入(推荐使用深信服WLAN产品,EMM);需满足医生、护士只需要通过个人账号即可登录个人工作云桌面,所有的数据读写都在数据中心的云服务平台完成,实现机密信息不落地,实现办公接入区域的桌面高效运维、快速部署、高安全性,避免来自终端设备的统方行为(推荐使用深信服桌面云);
l 对外服务器域,该区域说明如下:该安全域内主要承载对外提供服务的服务器等,包括门户网站前端服务器、邮件服务器等,外网接入用户需满足身份验证、数据加密传输的要求(推荐使用深信服SSL VPN)。需在DMZ区域边界设置访问控制策略,并具备应用层攻击检测与防护能力(推荐使用深信服下一代防火墙NGAF)。
l 核心业务域/数据存储域,该区域说明如下:该安全域主要承载内网核心业务信息系统,需对这些业务信息系统提供2-7层安全威胁识别及阻断攻击行为的能力,如SQL注入、XSS(跨站脚本攻击)、CSRF(跨站请求伪造攻击)、cookie篡改等(推荐使用深信服下一代防火墙NGAF);需能实现服务器负载均衡,提高核心业务应用的可靠性(推荐使用深信服应用交付AD);主要存储业务信息系统产生的数据,需对这些数据库的访问权限进行划分,并对数据库的相关操作进行审计,防止医疗统方行为(推荐使用数据库审计产品)。
l 运维管理区域,(推荐使用日志审计系统,堡垒主机,安全感知平台,漏洞扫描系统,防病毒服务器等)。
6.4 安全管理体系设计
安全体系管理层面设计主要是依据《信息系统安全等级保护基本要求》中的管理要求而设计。分别从以下方面进行设计:
l 安全管理制度
根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是具有可操作性,且必须得到有效推行和实施的制度。
制定严格的制定与发布流程,方式,范围等,制度需要统一格式并进行有效版本控制;发布方式需要正式、有效并注明发布范围,对收发文进行登记。
信息安全领导小组负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定,定期或不定期对安全管理制度进行评审和修订,修订不足及进行改进。
l 安全管理机构
根据基本要求设置安全管理机构的组织形式和运作方式,明确岗位职责;
设置安全管理岗位,设立系统管理员、网络管理员、安全管理员等岗位,根据要求进行人员配备,配备专职安全员;成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
建立授权与审批制度;
建立内外部沟通合作渠道;
定期进行全面安全检查,特别是系统日常运行、系统漏洞和数据备份等。
l 人员安全管理
根据基本要求制定人员录用,离岗、考核、培训几个方面的规定,并严格执行;规定外部人员访问流程,并严格执行。
l 系统建设管理
根据基本要求制定系统建设管理制度,包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级评测、安全服务商选择等方面。从工程实施的前、中、后三个方面,从初始定级设计到验收评测完整的工程周期角度进行系统建设管理。
l 系统运维管理
根据基本要求进行信息系统日常运行维护管理,利用管理制度以及安全管理中心进行,包括:环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等,使系统始终处于相应等级安全状态中。
7 方案合规性分析
此整体安全建设配置方案依据《信息系统安全等级保护基本要求》,本方案采取了必要的安全技术措施用于满足三级基本要求,并满足《网络安全法》其中第二十一条、第三十一条等相关规定,整个架构以业务应用为中心,安全管理为支撑分为四大系统,涵盖十余个安全子系统,通过以上网络安全建设,XXX医院信息化系统初步具备:层层设防,重点突出,策略联动,管理为上的目标和优势,能够全面满足XXX医院未来几年信息安全建设的需求。
8 整体方案优势
本方案从网络层到应用层、从终端到核心HIS系统服务器,对医院网络提供了全方位立体协同防御。通过对医院网络各安全域进行全面的安全需求分析、针对性措施防护、整体策略联动等,采用多类产品协同防御,打造纵深有序的全面安全方案,满足内外兼修、整体协同防御的需求,实现内外结合、多层次分别重点防护,全面支撑医院网络和业务安全需求。具有以下优势:
Ø 方案设计的合理性:安全区域划分清晰,网络结构简单实用,业务应用数据流转清。
Ø 方案设计的安全性:网络层面、应用层面、数据传输层面都得到最全面完整的安全保障。
Ø 方案设计的可靠性:关键节点的设备均采用双机热备,避免单点故障,符合等保三级的基本要求要求。
Ø 安全设计的先进性:采用的安全防护技术具有先进性,如用下一代防火墙等。
Ø 方案设计的标准性:全面符合《网络安全法》、公安部82令以及等级保护三级的基本要求。
9 整体产品部署说明及产品选型
XXX医院总体的安全建设包含了网络安全防护、系统安全防护、应用安全防护及安全管理系统。具体部署方案如方案拓扑图所示,根据对各个安全系统的详细设计,需要部署的安全产品如下。
9.1 安全产品部署说明:
部署产品 | 部署位置 | 部署作用 |
下一代防火墙 (基础级) | ² 各安全域区域边界; ² 办公网互联网边界。 | ² 对业务网进行独立防护,进行访问控制、攻击防御; ² 对办公网上网应用行为进行管理,合理规划网络流量应用。 |
下一代防火墙 (增强级) | ² 业务网数据中心区域边界; ² 业务网核心业务服务器区域边界。 | ² 对业务网进行独立防护,进行访问控制、攻击防御; ² 实时监控并阻断针对数据中心核心HIS业务等服务器的攻击行为; ² WEB应用防护,防止网站被破坏。 |
负载均衡 | ² 互联网出口边界; ² 核心服务器区域。 | ² 用于互联网出口多链路负载,保障链路可用性及快速接入,提高用户访问互联网体验; ² 用于服务器负载,保障业务可用性及连续性。 |
网络杀毒软件 | ² 所有服务器及客户端 | ² 抑制来自外部或内部网络的恶意病毒传播,保持网络清洁; ² 建立全网统一升级服务中心,实现全网统一升级管理; ² 保护全网终端及服务器,对各类病毒进行彻底查杀。 |
广域网优化 | ² 外联区域边界。 | ² 用于远程医疗、视频会诊等应用,优化视频会议,提高广域网链路的带宽利用率。 |
网闸 | ² 业务网与办公网边界; ² 未来可用于业务网(医保网)等机构外联边界。 | ² 与办公网进行适度的、可控的数据交换,同时保持业务网的高度隔离状态,保护核心业务服务器的高度安全。 |
SSL VPN | ² 外网安全运维域。 | ² 对外网用户的可信接入进行身份认证、数据加密、角色授权和访问审计等,保障正常业务可控的访问。 |
网络安全审计 | ² 办公网互联网边界。 | ² 对内部人员上网行为审计。 |
数据库审计 | ² 部署在业务核心数据区。 | ² 对数据库操作进行记录、审计、授权、命令回放等。 |
内网安全管理 | ² 业务网及办公网的所有终端安装客户端,安全管理中心部署服务器。 | ² 统一进行内网终端安全管理,通过对终端和访问行为进行限制和保护,实现终端安全加固、网络接入控制、非法外联控制、资产管理、I/O接口管理、终端配置维护、终端审计监控等 |
流量管理 | ² 部署在互联网边界。 | ² 对上网流量进行带宽限制和异常流量清洗。 |
数据库审计 | ² 部署在服务器网络中。 | ² 主要是实现所有用户对数据库访问及操作的行为进行审计分析。 |
堡垒机 | ² 业务网及办公网安全管理区。 | ² 管理所有安全设备及部分网络设备; ² 对安全设备和部分网络设备进行统一管理、状态监控、策略下发、集中审计。 |
前置机 | ² 业务网和办公外网各部署一套。 | ² 配合安全隔离网闸完成内、外网间数据适度安全的交换。 |
9.2 产品选型
9.2.1 选型建议
根据国家有关法律法规,并结合XXX医院通信网络的实际要求。我们建议使用具有国内自主知识产权的产品,并且要完全符合XXX医院提出的产品资质要求:所有产品是经公安部、国家信息安全测评认证中心、国家保密局、中国人民解放军信息安全产品测评认证中心等国家权威测试通过,并获得安全产品销售许可证,是在国内政府机关、银行、部队、医疗卫生等系统采用较多,运行稳定的国产防火墙、入侵防御系统、内网安全管系统和网闸等安全产品,在功能、性能与管理性等方面能够满足XXX医院计算机网络的需求。
9.2.2 选型要求
1、采用可提供本地化服务的厂家的产品。可以提供本地化服务产品对用户的安全至关重要,可以及时提供应急安全响应服务,如在病毒或黑客入侵事件发生的时候,可以在第一时间进行响应,最大程度的保护用户利益。
2、在选择产品时需要保证符合相应的国际、国内标准,满足《网络安全法》对于安全产品性能的要求。如国内的安全等级标准、漏洞标准,安全标准以及国际的CVE、ISO13335、ISO15408、ISO17799等标准。
3、产品在使用上应具有友好的用户界面,并且可以进行相应的客户化工作,使用户在管理、使用、维护上尽量简单、直观。
4、所选择的安全产品尽可能为同一厂家产品,以种于日常维护、升级、设备联动等。
