医院等级保护建设网络安全建设解决方案2018年6月目录1概述61.1背景分析61.2等级保护建设目标和范围71.3方案设计81.4参照标准82信息系统现状82.1医院网络安全现状92.2医院网络安全风险分析92.3医院网络安全需求102.3.1物理安全102.3.2网络安全122.3.3主机安全122.3.4应用安全142.3.5数据安全152.3.6安全域划分及边界防护163网络安全建设必要性183.1等级保护要求183.2医院系统面临安全威胁194网络安全建设目标194.1满足合规性要求194.2等级保护技术要求205安全技术体系方案设计245.1物理层安全245.2网络层安全255.2.1安全域划分255.2.2边界访问控制275.2.3网络审计285.2.4网络入侵防范285.2.5边界恶意代码防范295.2.6网络设备保护295.2.7主机层安全305.2.8身份鉴别305.2.9强制访问控制305.2.10主机入侵防范315.2.11主机审计325.2.12恶意代码防范325.2.13剩余信息保护335.2.14资源控制335.3应用层安全345.3.1身份鉴别345.3.2访问控制345.3.3安全审计355.3.4剩余信息保护355.3.5通信完整性355.3.6通信保密性355.3.7抗抵赖性365.3.8软件容错365.3.9资源控制365.4数据层安全375.4.1数据完整性375.4.2数据保密性385.4.3备份和恢复396安全建设方案小结391.1安全服务汇总401.2安全产品汇总411概述1.1背景分析《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)明确规定我国“计算机信息系统实行安全等级保护”。依据国务院147号令要求而制订发布的强制性国家标准《计算机信息系统安全保护等级划分准则》(GB17859-1999)为计算机信息系统安全保护等级的划分奠定了技术基础。《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出实行信息安全等级保护,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度”。《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)确定了实施信息安全等级保护制度的原则、工作职责划分、实施要求和实施计划,明确了开展信息安全等级保护工作的基本内容、工作流程、工作方法等。信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准的出台,为信息安全等级保护工作的开展提供了法律、政策、标准保障。2007年起公安部组织编制了《信息安全技术信息系统等级保护安全设计技术要求》,为已定级信息系统的设计、整改提供标准依据,至2008年11月已报批为国标。与此同时,2007年7月全国开展重要信息系统等级保护定级工作,标志着信息安全等级保护工作在我国全面展开。依据《计算机信息系统安全保护等级划分准则》,将信息系统安全保护能力划分为五个等级;分别为:第一级:用户自主保护级;由用户来决定如何对资源进行保护,以及采用何种方式进行保护。第二级:系统审计保护级;本级的安全保护机制支持用户具有更强的自主保护能力。特别是具有访问审记能力,即它能创建、维护受保护对象的访问审计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,所有和安全相关的操作都能够被记录下来,以便当系统发生安全问题时,可以根据审记记录,分析追查事故责任人。第三级:安全标记保护级;具有第二级系统审计保护级的所有功能,并对访问者及其访问对象实施强制访问控制。通过对访问者和访问对象指定不同安全标记,限制访问者的权限。第四级:结构化保护级;将前三级的安全保护能力扩展到所有访问者和访问对象,支持形式化的安全保护策略。其本身构造也是结构化的,以使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。第五级:访问验证保护级;具备第四级的所有功能,还具有仲裁访问者能否访问某些对象的能力。为此,本级的安全保护机制不能被攻击、被篡改的,具有极强的抗渗透能力。目前,全国范围内的定级工作已经基本完成,2009年起将依据标准要求对已定级信息系统进行整改,以达到规范安全管理、提高信息安全保障能力到应有水平的目标1.2等级保护建设目标和范围为了落实和贯彻自治区政府、公安部、保密局、卫生部、自治区卫生厅等国家有关部门信息安全等级保护工作要求,全面完善医院信息安全防护体系,落实“分区分域、等级防护、多层防御”的安全防护策略,确保等级保护工作在本单位的顺利实施,提高整体信息安全防护水平,开展等级保护建设工作。我们前期对医院网络进行了勘查分析,了解与等级保护要求之间的差距,提出安全建设方案。本方案主要遵循GB/T22239-2008《信息安全技术信息安全等级保护基本要求》、《信息安全等级保护管理办法》公通字[2007]43号)、《信息安全风险评估规范》(GB/T20984-2007)、《卫生行业信息安全等级保护工作的指导意见》标准等。实施的范围包括:医院网站安全防护、医院各个信息系统的安全防护。1.3方案设计根据等级保护要求以及前期分析了解的结果,医院信息系统存在的漏洞、弱点提出相关的整改意见,结合等级保护建设标准,并最终形成安全解决方案。1.4参照标准GB/T22239-2008《信息安全技术信息安全等级保护基本要求》《信息安全等级保护管理办法》(公通字[2007]43号)《信息安全技术信息安全风险评估规范》(GB/T20984-2007)《卫生行业信息安全等级保护工作的指导意见》2信息系统现状随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,网络正深刻影响并改变着人类的生活和工作方式。医院已经逐步建立起依赖于网络的医院业务办公信息系统,比如门户WEB应用、HIS系统、LIS系统、电子病历系统、PACS系统等等,在给我们带来便利的同时,安全也面临更大的挑战。对于医疗机构而言,数字化、网络化、信息化是医院实现不断发展的重要形式和发展方向,而网络信息功能和内容是通过WEB应用形式表现出来的。外界对医院信息化的了解也是从WEB应用开始的,从网上预约挂号、网上查询检查结果等等一系列工作都是通过WEB来实现的,医院门户WEB应用是医院现代化科技服务的窗口,也是医院对外宣传的窗口。而近年来,医院WEB应用的公众性质使其成为攻击和威胁的主要目标,医院WEB应用所面临的Web应用安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用等,极大地困扰着医院和公众用户,给医院的服务形象、信息网络和核心业务造成严重的破坏。因此,一个优秀的WEB应用安全建设是医院信息化是否能取得成效、充分发挥职能的基础,而合规、有效、全面的信息安全体系建设对保障其正常运行至关重要。2.1医院网络安全现状目前医疗行业各大医院的信息化办公系统如:HIS系统、LIS系统、电子病历系统、PACS系统、OA系统等各大业务系统全部上线运行,给医院的正常办公业务带来极大的便利,给医生节省更多的时间来治疗患者,同时给患者带来便利的就医环节;有的医院由于发展需要,建立了自己独立的门户网站,对外提供患者网上预约挂号,检查结果查询等功能,在几大系统中,医院OA系统由于内外网同时需要运行业务,因此医院设立了DMZ区,DMZ区放置医院OA系统服务器、对外网站服务器,以后随着医疗信息化的发展,全疆医院要实现电子病历共享,为了给病人提供更好的服务,各大医院将逐步实现网上预约挂号、网上查询等业务,这就需要医院内外网连通,实现内外网数据互通共享,因此内外网互联的安全建设非常重要,如何在内外网互联时保证内网信息数据的安全性、完整性是必须考虑的问题。2.2医院网络安全风险分析通过对医院网络现状的了解及分析,主要分为以下两大类安全威胁:外部攻击由于内网与外网互通,并且在出内外网之间处没有有效的安全防护设施,内网信息系统面临很大威胁,极易遭到外网中黑客攻击、DDoS攻击、木马、病毒等恶意攻击,破坏各类主机及服务器,导致医院网络性能下降、服务质量降低、信息安全没有保障。WEB应用遭受大量具有针对性的攻击,造成网站瘫痪,信息泄露,甚至网页被篡改。内部威胁局域网内部没有防护设备及有效隔离,一旦某个用户有意或是无意将感染了病毒、木马的移动存储设备接入内网,将造成整个网络木马病毒泛滥,给整个网络带来毁灭性打击。2.3医院网络安全需求按照《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》,通过对医院网站和数据中心的安全状况评估、网络脆弱性扫描、本地安全审计、文档审查等方式,进行物理层面、网络层面、应用层面、主机层面、数据安全及备份、安全管理层面进行安全评估,最终寻找到以下差距:2.3.1物理安全目前现有的物理安全机制不够完善,在物理安全的设计和施工中,需要考虑的安全要素包括:机房场地选择安全、机房内部安全防护、机房防火、机房供、配电、机房空调、降温、机房防水与防潮、机房防静电、机房接地与防雷击、机房电磁防护。需要优先考虑机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。需要在机房出入口应安排专人值守,控制、鉴别和记录进入的人员。需要将通信线缆铺设在隐蔽处,例如:铺设在地下或管道中。需要对介质分类标识,存储在介质库或档案室中。需要在主机房安装必要的防盗报警设施。机房建筑需要设置避雷装置及设置交流电源地线。机房需要设置灭火设备和火灾自动报警系统。在水管安装时,需要考虑不得穿过机房屋顶和活动地板下。需要采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。需要采取措施防止机房内水蒸气结露和地下积水的转移与渗透。需要在关键设备上采用必要的接地防静电措施。考虑机房需要设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。需要提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。需要考虑电源线和通信线缆应隔离铺设,避免互相干扰。机房场地避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。需要对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。需要利用光、电等技术设置机房防盗报警系统,对机房设置监控报警系统。需要设置防雷保安器,防止感应雷。考虑机房设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。考虑机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料,机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。需要安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。考虑机房采用防静电地板。考虑机房设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。需要设置冗余或并行的电力电缆线路为计算机系统供电,应建立备用供电系统。需要采用接地方式防止外界电磁干扰和设备寄生耦合干扰,并对关键设备和磁介质实施电磁屏蔽。2.3.2网络安全目前现有的通信网络安全机制不够完善,需依据《信息安全技术信息系统安全等级保护基本要求》第三级基本要求加强现有网络安全机制。需要对用户数据在网络传输中的数据提供保密性及完整性保护。需要对通信网络进行安全审计,其网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录,并对确认为违规的用户操作行为需要提供报警,并对审计信息进行存储备份。需要考虑网络边界访问控制对会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级。需要对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。网络边界对入侵防范措施不够完善,考虑检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。考虑网络边界对恶意代