医疗卫生信息平台安全方案

医疗卫生信息平台安全方案安全方案目标1安全等级需求2系统风险分析3安全方案框架和安全风险管理4目录安全技术建设方案5安全方案目标信息系统安全稳定运行BGCFA防止应用系统破坏防止信息网络瘫痪防止业务数据丢失防止终端病毒感染防止卫生信息泄密ED防止恶意渗透攻击防止有害信息传播安全方案目标1安全等级需求2系统风险分析3安全方案框架和安全风险管理4目录安全技术建设方案5基础类《计算机信息系统安全保护等级划分准则》GB17859-1999《信息系统安全等级保护实施指南》GB/T25058-2010应用类定级：《信息系统安全保护等级定级指南》GB/T22240-2008建设：《信息系统安全等级保护基本要求》GB/T22239-2008《信息系统通用安全技术要求》GB/T20271-2006《信息系统等级保护安全设计技术要求》GB/T25070-2010测评：《信息系统安全等级保护测评要求》GB/T28448-2012《信息系统安全等级保护测评过程指南》管理：《信息系统安全管理要求》GB/T20269-2006《信息系统安全工程管理要求》GB/T20282-2006医疗信息系统等级保护核心标准业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级根据GB/T22240-2008《信息系统安全等级保护定级指南》，吉林省医药卫生信息化平台所涉及信息包括：病人的基本健康信息，病人的诊疗数据，卫生资源数据等等。这些业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益。所以本系统信息安全保护等级界定为二级。安全等级需求一、业务信息安全等级业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级根据GB/T22240-2008《信息系统安全等级保护定级指南》，吉林省医药卫生信息化平台属于为国计民生、经济建设等提供服务的信息系统，其服务范围为区域范围内的普通公民、医疗机构等。该系统服务遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益，同时也可能严重侵害社会秩序和公共利益。所以本系统的系统服务安全保护等级界定为三级。安全等级需求二、系统服务安全等级信息系统名称安全保护等级业务信息安全等级系统服务安全等级吉林省医药卫生信息化平台第三级第三级第三级根据GB/T22240-2008《信息系统安全等级保护定级指南》，信息系统的安全保护等级由业务信息安全等级和系统服务安全务安等级的较高者决定。所以本系统的系统服务安全保护等级界定为第三级。安全等级需求三、安全保护等级应具有能够对抗来自大型的、有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广（地区性）等）以及其他相当危害程度（内部人员的恶意威胁、设备的较严重故障等）威胁的能力，并在威胁发生后，能够较快恢复绝大部分功能。安全等级需求四、第三级的安全保护能力技术要求特点管理要求特点覆盖范围特点•策略•防护•检测•恢复•统一策略（管理制度体系化）•通信•边界•内部（主要设备）安全等级需求五、第三级安全保护的特点安全方案目标1安全等级需求2系统风险分析3安全方案框架和安全风险管理4目录安全技术建设方案5风险系统风险分析一、安全风险要素分析层级架构主要威胁系统风险分析1、雷击、地震和台风等自然灾难物理层2、水患和火灾等灾害3、高温、低温、多雨等原因导致温度、湿度异常7、通信线路因线缆老化等原因导致损坏或传输质量下降8、存储重要业务信息的介质老化或质量问题等导致不可用9、网络设备、系统设备及其他设备使用时间过长或质量4、电压波动5、供电系统故障6、静电和外界电磁干扰10、问题等导致硬件故障11、攻击者利用非法手段进入机房内部盗窃、破坏等12、攻击者非法物理访问系统设备、网络设备或存储介质等13、攻击者采用在通信线缆上搭接或切断等导致线路不可用二、信息和信息系统面临的主要威胁-物理层层级架构主要威胁系统风险分析1、黑客通过Internet连接对EHR等信息进行破坏和非授权访问网络层2、黑客或内部人员从POS点通过网络连接对平台进行攻击或非授权访问3、黑客或内部人员从和平台连接的第三方网络通7、攻击者利用网络协议、操作系统、应用系统漏洞，越权访问文件、数据或其他资源8、攻击者和内部人员利用网络扩散病毒9、攻击者截获、读取、破解通信线路中的信息4、过网络连接对平台进行攻击或非授权访问5、数据中心中的服务器感染蠕虫、或者被种植木马而导致向外发起的非法网络连接6、攻击者利用分布式拒绝服务攻击等工具，恶意地消耗系统资源，导致拒绝服务10、攻击者利用网络结构设计缺陷旁路安全策略，未授权访问网络11、蠕虫通过POS连接或第三方外部网络连接扩散到信息平台12、蠕虫通过内部网络连接扩散到信息平台13、利用网络设备、防火墙的漏洞的蠕虫和入侵攻击导致网络基础设施瘫痪三、信息和信息系统面临的主要威胁-网络层层级架构主要威胁系统风险分析1、内部人员下载、拷贝软件或文件，打开可疑邮件时引入病毒系统层2、内部人员利用技术或管理漏洞，未授权修改EHR等系统数据或修改系统程序3、服务器或客户端计算机因为未能及时应用最新补丁程序而导致被入侵或感染蠕虫4、由于系统配置安全问题比如系统用户、数据库用户的口令质量和更改策略，对文件和资源共享没有进行适当安全保护，而可能导致的安全攻击5、对系统管理员和用户进行身份猜测和假冒攻击6、攻击者或内部人员对其进行过的非法系统访问行为抵赖四、信息和信息系统面临的主要威胁-系统层层级架构主要威胁系统风险分析1、内部人员，如区域卫生信息平台工作人员对电子病历等信息进行越权访问应用层2、POS机构、外部机构人员、外部攻击者对电子病历等信息进行越权访问3、内部人员，如区域卫生信息平台工作人员对电子病历等信息进行破坏4、POS机构、外部机构人员、外部攻击者对电子病历等信息进行破坏5、攻击者通过中间人攻击、假冒等手段对上传到区域卫生信息平台的EHR等信息进行篡改和假冒攻击6、攻击者或其他越权访问或操作人员对自己的行为抵赖7、EHR等等信息在POS到区域卫生信息平台传输过程中，或者在区域卫生信息平台内部网络传输过程中被窃听五、信息和信息系统面临的主要威胁-应用层层级架构主要威胁系统风险分析1、攻击者截获、读取、破解介质的信息或剩余信息，进行电子病历等敏感信息的窃取。数据层2、内部人员通过移动介质或移动计算设备存储电子病例等敏感信息，由于介质或设备丢失而导致信息泄漏。六、信息和信息系统面临的主要威胁-数据层3、内部人员或攻击者利用邮件、Web、打印、拷屏、拷贝等方式和手段将电子病历等敏感信息传输到RHIN平台外部。4、由于物理、恶意代码、攻击、误操作等各种原因导致的数据破坏和丢失。安全方案目标1安全等级需求2系统风险分析3安全方案框架和安全风险管理4目录安全技术建设方案5策略安全管理安全技术规范标准安全运维信息安全管理体系框架是从企业管理的层面出发，为实现信息安全战略而设置的组织架构、管理体系、宣传教育、审计制度等一系列相关管理措施；采用成熟先进的技术和控制手段，实现各技术层面的风险防范和控制。是基于风险管理理念的信息安全日常运作模式及其概念性流程在各个对象层次上的实现。信息安全规范与标准体系是是风险管理理念的逐层细化和落实，包含信息安全管理、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定；安全方案框架和安全风险管理信息安全策略以风险管理为核心理念，是信息安全保障体系的核心，是信息安全工作的原则、宗旨、指导，为信息安全工作指明了方向；一、安全方案框架安全方案框架和安全风险管理发现评估实施+保护修补+遵从集中管理人员可以通过这个管理体系实现简化的安全管理，提高人员的管理效率；管理流程方面，集成业务系统安全流程和工作流程，更好的服务于业务系统。技术方面，通过采用集成的和开放的平台架构，可以通过安全产品间的集成发挥更大的安全防护能力和保护已有投资。二、整体安全风险管理体系风险管理步骤：1、当有风险的时候，通过安全策略、风险可能影响的资产价值，确定优先级。2、评估威胁确定可承受的风险。3、实施保护措施。4、衡量安全法规遵从情况。安全方案目标1安全等级需求2系统风险分析3安全方案框架和安全风险管理4目录安全技术建设方案5安全技术建设方案•物理位置选择•物理访问控制•防盗窃和防破坏•防静电•防雷击•防火•防水和防潮•温湿度控制•电力供应•电磁防护•结构安全•网络访问控制•网络安全审计•边界完整性检查•网络入侵检测•恶意代码防护•网络设备防护•身份鉴别•访问控制•安全审计•入侵防范•恶意代码防范•资源控制•剩余信息保护•身份鉴别•访问控制•通信完整性•通信保密性•安全审计•剩余信息保护•抗抵赖•软件容错•资源控制•数据完整性•数据保密性•备份和恢复物理安全网络安全系统安全应用安全数据安全一、第三级安全保护技术层要求安全技术建设方案二、第三级安全保护技术层要求之系统安全目标保护主机操作系统和数据库安全身份鉴别身份标识和鉴别主机密码机制登录失败处理远程登录安全用户唯一性访问控制用户权限控制用户密码控制特权用户权限分离限制默认账户冗余账户管理资源敏感标记安全审计审计对象审计范围审计内容生成审计报表保护审计记录、进程入侵防范监测入侵行为基线保护系统漏洞保护恶意代码防范恶意代码软件防护主机恶意代码软件统一管理恶意代码资源控制限制终端登录终端操作超时锁定重要服务器监视限制使用资源上限系统低效报警剩余信息保护清除剩余鉴别信息清除剩余资源信息安全技术建设方案二、第三级安全保护技术层要求之系统安全（续）基于上述分析，同时考虑到主机性能问题，可采用人工和安全软件结合的方式进行建设。•安全策略审计软件•漏洞管理系统•主机安全软件•系统信息审计软件•主机系统功能•人工干预方式访问控制用户权限控制用户密码控制特权用户权限分离限制默认账户冗余账户管理资源敏感标记安全审计审计对象审计范围审计内容生成审计报表保护审计记录、进程身份鉴别身份标识和鉴别主机密码机制登录失败处理远程登录安全用户唯一性入侵防范监测入侵行为基线保护系统漏洞保护恶意代码防范恶意代码软件防护主机恶意代码软件统一管理恶意代码资源控制限制终端登录终端操作超时锁定重要服务器监视限制使用资源上限系统低效报警剩余信息保护清除剩余鉴别信息清除剩余资源信息安全技术建设方案三、第三级安全保护技术层要求之应用安全策略身份鉴别访问控制通信完整性通信保密性安全审计抗抵赖软件容错资源控制剩余信息保护目标保护应用系统业务和数据安全安全技术建设方案四、应用安全建设主要内容审计报表空间释放及信息清除敏感标记的设置审计过程的保护PKI/CA技术认证加密自动保护功能资源分配限制、资源分配优先级最小服务水平的检测及报警采用PKI/CA技术对整个报文及会话过程加密身份鉴别访问控制抗抵赖安全审计剩余信息保护通信完整性通信保密性软件容错资源控制策略要点技术基本的身份鉴别安全策略和最小授权原则运行情况审计（用户级）和审计记录的保护校验码数据有效性检验、部分运行保护对用户会话数及系统最大并发会话数的限制初始化验证敏感信息加密不可抵赖原则登录失败处理PKI/CA技术空间释放及信息清除PKI/CA技术电子签名统一门户权限控制认证性不可抵赖性完整性保密性确认信息发送者的身份。发送者不能否认已发送的信息。信息在传递过程中不会被篡改。只有收件人才能阅读信息。CA认证能为我们解决哪些问题？安全技术建设方案五、CA认证简介概念：CA数字证书认证服务中心由国家工业和信息化部进行审批的第三方数字证书颁发机构，签发的数字证书主要是用于网络身份认证和对电子数据进行数字签名，证明签名者的身份，使数字签名具有与手写签名或盖章具有同等的法律效力。