搜索
10安全10.1前提假设本章节的前提假设条件如下:假设一:RHIN系统不支持从POS到POS直接发起的点到点的PHI等信息传输。假设二:当将PHI等信息从RHIN系统下载到POS点上后,POS将负责该信息的安全性。假设三:和RHIN系统相连的POS系统都将遵循POS站点安全建设规范。假设四:RHIN系统下直接接入POS系统。本章节不考虑RHIN系统上下级互连的情况。假设五:已建立RHIN系统CA认证体系或直接利用第三方CA认证体系。10.2安全方案目标本安全方案的目标是支撑和保障区域卫生信息平台的信息系统和业务的安全稳定运行,防止信息网络瘫痪、防止应用系统破坏、防止业务数据丢失、防止卫生信息泄密、防止终端病毒感染、防止有害信息传播、防止恶意渗透攻击,以确保信息系统安全稳定运行,确保业务数据安全。10.3安全等级需求基于健康档案的区域卫生信息平台所涉及信息包括:病人的基本健康信息,病人的诊疗数据,卫生资源数据等等。这些业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。一旦业务信息遭到非法入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对公民、法人和其他组织的合法权益造成影响和损害。程度表现为严重损害,即工作职能收到严重影响,业务能力显著下降,出现较严重的法律问题,较大范围的不良影响等。根据以上描述777我们可以确定基于健康档案的区域卫生信息平台业务信息安全保护等级为第二级。表10-1业务信息安全分析对相应客体的侵害程度业务信息安全被破坏时所侵害的客体一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级基于健康档案的区域卫生信息平台属于为国计民生、经济建设等提供服务的信息系统,其服务范围为区域范围内的普通公民、医疗机构等。该系统服务遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益但不损害国家安全。客观方面表现的侵害结果为:(1)可以对公民、法人和其他组织的合法权益造成侵害(影响正常工作的开展,导致业务能力下降,造成不良影响,引起法律纠纷等);(2)可以对社会秩序公共利益造成侵害(造成社会不良影响,引起公共利益的损害等)。根据《定级指南》的要求,出现上述两个侵害客体时,优先考虑社会秩序和公共利益,另外一个不做考虑。上述结果的程度表现为:对社会秩序和公共利益造成一般损害,即会出现一定范围的社会不良影响和公共利益的损害等,则业务信息安全保护等级为第二级。表10-2系统服务安全分析对相应客体的侵害程度系统服务被破坏时所侵害的客体一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级信息系统的安全保护等级由业务信息安全等级和系统服务安全务安等级的较高者决定。所以,基于健康档案的区域卫生信息平台安全保护等级为第二级。778表10-3RHIN安全等级信息系统名称安全保护等级业务信息安全等级系统服务安全等级基于健康档案的区域卫生信息平台第二级第二级第二级但是,从总体上考虑到某些基本业务信息系统(PointOfService,POS)的信息系统,比如疾控中心,其系统服务遭受破坏后,可能会对社会秩序和公共利益造成严重损害,即会出现较大范围的社会不良影响和较大程度的公共利益的损害等,所以其安全保护等级建议定为三级。但是由于本章主要考虑区域卫生信息平台的安全保障,所以其它POS系统的安全保障方法不做论述。10.4系统风险分析10.4.1信息和信息系统分析信息和信息系统构成了RHIN的信息资产。基于健康档案的区域卫生信息平台的使用对象主要是医疗卫生人员,最终的服务对象是居民和患者。医疗卫生人员为了更好的为居民和患者提供可靠的、可及的、连续的医疗卫生服务,需要依赖平台提供的众多服务。RHIN平台中的业务数据的类型主要包括文档数据、操作型数据、辅助决策型数据。文档数据是以文档形式存在于平台中的临床和预防保健业务数据,例如检验报告、处方,传染病报告卡等。这些数据是结果数据。操作型数据一般是指平台从业务系统中采集、汇总、供实时业务查询和统计使用的数据。辅助决策数据是指存储在数据仓库中,以主题方式组织,是经过二次加工的历史数据。这些信息是需要安全保护的重点对象,其可用性、机密性和完整性均需要进行一定程度的保障。RHIN平台网络基础设施平台由内、外两大网络部分组成。外部网络对外收集和提供信息(向下级部门采集与提供信息,向上级数据中心报送信息),内部网进行信息管理和系统开发。其网络拓扑示意图如下:779图10-1信息和信息系统分析10.4.2安全风险分析我们之所以要解决安全问题,是因为信息网络存在被病毒、黑客攻击等各类安全威胁攻击的可能性,也就是说存在安全风险,并随时可能因此造成财产、时间、声誉上的损失,而根据安全风险的定义,安全风险的大小主要取决于以下四个方面:资产的价值、资产的脆弱性、面临的威胁程度,以及已经采取的防范措施。图10-2安全风险要素分析780也就是说,当一个系统具有了信息化的核心资产(有很重要的数据保存在服务器上,比如患者信息,),这些资产存在弱点和漏洞(比如承载这些信息的操作系统或数据库具有缓冲区溢出漏洞),又同时存在被安全威胁攻击的可能(比如黑客已经开发出了针对这种漏洞的蠕虫和攻击方法等),而且系统没有部署相应的防御手段(比如网络或主机入侵防御系统),那么就会导致安全风险,从而给系统造成损失。因此,RHIN平台的安全风险和这四个方面紧密相关,也只有同时解决好这四个方面的问题,才可能真正的确保RHIN平台的安全。10.4.3资产分析在本网络中,数据中心数据库服务器、应用集成平台服务器和内部应用系统承载了关键的数据信息,需要进行重点的防护。此外,RHIN数据交换系统也需要进行重点保护,以避免非授权访问和攻击等安全事故发生。10.4.4威胁分析RHIN平台面临的威胁主要来自于身份假冒、信息窃取、内容篡改、非法入侵、病毒侵袭等造成的破坏。身份假冒、口令窃取威胁身份鉴别是网络安全的基本要求,互联网拥有大量用户,系统很难分辨哪些是合法用户,哪些是非法用户,存在身份假冒等威胁。一旦医护人员或患者的身份被假冒,将影响到患者信息、医疗数据的安全性和隐私性。信息窃取、数据泄漏、信息篡改威胁RHIN系统存在大量不宜公开的内部信息,如病人的健康信息、医疗记录等,互联网作为高度开放的网络,内部数据在传输过程中极易被窃取和监听,内部数据要面对高水平黑客和别有用心者,信息泄漏的威胁更大。而且由于RHIN担当了跨系统医疗健康数据交互的功能,一旦数据被篡改,其影响范围将会非常大。另外,随着便携式数据处理和存储设备,比如笔记本电脑、USB存储介质的广泛应用,由于设备丢失而导致的PHI等数据泄漏途径也不可忽视。恶意攻击和入侵威胁RHIN系统具有互联网连接,而且和多个区域卫生机构具有连接,其遭到恶意781攻击的风险更大,特别是为医疗机构和百姓服务的系统,允许从互联网上直接访问,虽然提高了服务范围,方便了大众,但是相对封闭的内部网络而言,也面临着更多来自互联网的威胁。若不能采用有效的入侵防御手段抵御恶意攻击和入侵,保持服务窗口的良好稳定运行,势必对系统的可用性造成威胁,影响政府形象。病毒传播和扩散威胁如今,病毒种类多、更新速度快,常常呈指数级的速度扩散,这将影响RHIN网络中的终端、服务器的正常运行。结合RHIN应用的特点,下面总结出RHIN信息系统面临的主要具体威胁如下:P,N,S,A,D代码含义:P-1:P代表威胁发生在物理层面;1代表序号。同样,N代表威胁发生在网络层;S代表威胁发生在系统层;A代表威胁发生在应用层;D代表威胁发生在数据层。表10-4RHIN信息和信息系统面临的主要威胁标号威胁描述备注P-1雷击、地震和台风等自然灾难P-2水患和火灾等灾害P-3高温、低温、多雨等原因导致温度、湿度异常P-4电压波动P-5供电系统故障P-6静电和外界电磁干扰P-7通信线路因线缆老化等原因导致损坏或传输质量下降P-8存储重要业务信息的介质老化或质量问题等导致不可用P-9网络设备、系统设备及其他设备使用时间过长或质量问题等导致硬件故障P-10攻击者利用非法手段进入机房内部盗窃、破坏等P-11攻击者非法物理访问系统设备、网络设备或存储介质等P-12攻击者采用在通信线缆上搭接或切断等导致线路不可用N-1黑客通过Internet连接对EHR等信息进行破坏和非授权访问N-2黑客或内部人员从POS点通过网络连接对RHIN平台进行攻击或非授权访问N-3黑客或内部人员从和RHIN平台连接的第三方网络通782过网络连接对RHIN平台进行攻击或非授权访问N-4RHIN数据中心中的服务器感染蠕虫、或者被种植木马、后门程序而导致向外发起的非法网络连接N-5攻击者利用分布式拒绝服务攻击等拒绝服务攻击工具,恶意地消耗网络、操作系统和应用系统资源,导致拒绝服务N-6攻击者利用网络协议、操作系统、应用系统漏洞,越权访问文件、数据或其他资源N-7攻击者利用网络结构设计缺陷旁路安全策略,未授权访问网络N-8攻击者和内部人员利用网络扩散病毒N-9攻击者截获、读取、破解通信线路中的信息N-10蠕虫通过POS连接或第三方外部网络连接扩散到信息平台N-11蠕虫通过内部网络连接扩散到信息平台N-12利用网络设备、防火墙的漏洞的蠕虫和入侵攻击导致网络基础设施瘫痪S-1内部人员下载、拷贝软件或文件,打开可疑邮件时引入病毒S-2内部人员利用技术或管理漏洞,未授权修改EHR等系统数据或修改系统程序S-3服务器或客户端计算机因为未能及时应用最新补丁程序而导致被入侵或感染蠕虫S-4由于系统配置安全问题比如系统用户、数据库用户的口令质量和更改策略,对文件和资源共享没有进行适当安全保护,而可能导致的安全攻击S-5对系统管理员和用户进行身份猜测和假冒攻击S-6攻击者或内部人员对其进行过的非法系统访问行为抵赖A-1内部人员,如区域卫生信息平台工作人员对电子病历等信息进行越权访问A-2POS机构、外部机构人员、外部攻击者对电子病历等信息进行越权访问A-3内部人员,如区域卫生信息平台工作人员对电子病历等信息进行破坏A-4POS机构、外部机构人员、外部攻击者对电子病历等信息进行破坏A-5攻击者通过中间人攻击、假冒等手段对上传到区域卫生信息平台的EHR等信息进行篡改和假冒攻击A-6攻击者或其他越权访问或操作人员对自己的行为抵赖A-7EHR等等信息在POS到区域卫生信息平台传输过程中,或者在区域卫生信息平台内部网络传输过程中被窃听D-1攻击者截获、读取、破解介质的信息或剩余信息,进行电子病历等敏感信息的窃取D-2内部人员通过移动介质或移动计算设备存储电子病例等敏感信息,由于介质或设备丢失而导致信息泄漏783D-3内部人员或攻击者利用邮件、Web、打印、拷屏、拷贝等方式和手段将电子病历等敏感信息传输到RHIN平台外部。D-4由于物理、恶意代码、攻击、误操作等各种原因导致的数据破坏和丢失10.5安全需求RHIN中承载着重要的病人的基本健康信息,病人的诊疗数据,卫生资源数据等等。这些业务信息遭到破坏后会带来严重的后果,所以本方案的核心是保障RHINEHR等相关数据信息免受各种形式的窃取、破坏、篡改。为了实现这个目标,我们需要从物理、网络、系统、应用、数据等多个层面部署安全保障措施,达到安全目标。同时,本安全建设还需要满足国家相关安全要求,比如等级保护的要求。10.6安全方案框架和安全风险管理RHIN信息安全保障体系覆盖信息系统安全所要求的各项内容,包含信息安全战略、信息安全规范和标准、信息安全管理、信息安全运作及信息安全技术五部分,符合区域卫生信息平台的业务特性和发展战略,满足信息安全要求。图10-3安全方案框架7841)信息安全战略:信息安全战略以风险管理为核心理念,是RHIN信息安全保障体系的核心,是信息安全工作的原则、宗旨、指导,为信息安全工作指明了方向;2)信息安全规范和标准:信息安全规范与标准体系是是