医疗行业等级保护测评解读

深圳市信息安全测评中心医疗行业等级保护测评解读深圳市信息安全测评中心邱建中2009年7月30日1深圳市信息安全测评中心医疗行业等级保护测评解读等级测评概述等级测评的内容等级测评的流程和方法医疗行业信息安全现状和测评重点关于测评机构2深圳市信息安全测评中心等级测评概述－政策背景一、政策背景——国家全面推行信息安全等级保护制度2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合发布《信息安全等级保护管理办法》（公通字［2007］43号），在全社会范围推行“信息安全等级保护”政策。等级保护工作是信息安全工作的基本制度，是维护国家信息安全的根本保障，是国家意志的体现。根据《信息安全等级保护管理办法》规定，信息系统运营、使用单位在进行信息系统备案后，都应当选择测评机构进行等级测评。深圳市信息安全测评中心等级测评概述－什么是等级测评二、什么是等级测评？等级测评是测评机构依据国家信息安全等级保护制度规定，受有关单位委托，按照有关管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活动。深圳市信息安全测评中心等级测评概述－为何要开展等级测评三、为什么要开展等级测评工作？1、等级测评是保证等级保护国家政策得到切实落实的重要保证推行等级保护的目的是：促进运营和使用单位改造加固信息系统，确保信息系统达到相应等级的安全基本要求，取得相应等级的基本安全保护能力。系统是否满足相应等级的基本要求成为问题的关键；等级测评是依据《信息系统安全等级保护测评要求》等技术标准，确定信息系统安全保护能力是否达到相应等级基本要求的过程，是落实信息安全等级保护制度的关键步骤。如果不开展等级测评，等级保护这项国家政策将无法落地。2、等级测评对等级保护其他环节和等级保护整体工作成效具有决定性影响等级保护包含：定级、备案、测评、建设整改、监督检查5个环节，每个环节环环相扣；等级测评结果是建设整改、监督检查的关键依据。等级测评对系统经过等级保护之后最终能够达到什么样的安全防护能力具有决定性影响，对等级保护工作的实际成效具有决定性影响。5深圳市信息安全测评中心等级测评概述－为何要开展等级测评三、为什么要开展等级测评工作？3、等级测评独特的技术裁决性质，决定了等级测评工作不可替代性等级测评依据的是国家技术标准，落实的是国家信息安全政策，等级测评的结果是国家信息安全监管部门依法行使监督、检查管理的技术依据，具有明显的技术权威评判性质。因此，作为一项政策性很强的技术专业化活动，等级测评必须保证强烈的独立性、客观性和公正性，等级测评必须严格区别于任何商业化的测试、评估活动，不能为商业性测评所取代。6深圳市信息安全测评中心等级测评概述－政策解读四、等级测评相关政策要求解读《信息安全等级保护管理办法》规定：信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。《信息安全等级保护测评机构能力规范（征求意见稿）》规定：测评机构应当按照有关规定和统一标准提供“客观、公正、安全”的测评服务，按照统一的测评报告模板出具测评报告。测评机构不得从事下列活动：a)承担信息系统安全建设整改工作；b)将等级测评任务分包、外包；c)从事信息安全产品开发、营销和信息系统集成活动；d)限定被测评单位购买、使用其指定的信息安全产品；e)未经许可占有、使用有关测评信息、资料及数据文件;f)其他可能影响测评客观、公正的活动。深圳市信息安全测评中心等级测评概述－政策解读政策解读：1.测评依据：《信息系统安全等级保护测评要求》等技术标准2.测评性质：符合性测评，符标测试3.测评对象：已经定级的信息系统4.测评频率：三级系统，每年至少一次；四级系统，每半年至少一次5.测评管理要求：强制性周期开展6.测评技术要求：等级化进行---不同级别的系统测评要求不同7.测评发起单位：主管部门，运维、使用单位，国家信息安全监管部门8.测评报告利用：测评报告整改加固指导性文件，也是系统备案附件9.测评机构要求：公安机关同意备案或授权且不从事系统安全整改建设产品开发与营销等影响“客观、公正、安全”的工作。8深圳市信息安全测评中心等级测评的内容－十个方面业务安全物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理深圳市信息安全测评中心等级测评的内容物理位置选择物理安全(三级)物理访问控制防盗窃和防破坏防雷击防火防水和防潮温湿度控制电力供应电磁防护防静电物理层面构成组件包括信息系统工作的设施环境以及构成信息系统的硬件设备和介质等深圳市信息安全测评中心等级测评的内容结构安全和网段划分网络安全(三级)网络访问控制网络安全审计边界完整性检查网络入侵检测恶意代码防护网络设备防护网络层面构成组件负责支撑信息系统进行网络互联，为信息系统各个构成组件进行安全通信传输，一般包括计算机、网络设备、连接线路以及它们构成的网络拓扑等。两个不同信息系统需要交换信息，而进行网络互联（内部互联）；为了与其他单位/网络交换信息，与他们的网络互联（外部互联），这些网络连接边界是网络安全测评的重点之一。深圳市信息安全测评中心等级测评的内容身份鉴别主机系统安全(三级)访问控制安全审计剩余信息保护入侵防范恶意代码防范资源控制主机系统构成组件有服务器、终端/工作站等计算机设备，包括他们的操作系统、数据库系统及其相关环境等。主机系统直接为信息系统的信息采集、加工、存储、传输、检索等提供运行环境，包括为信息系统用户提供人机交互的环境。通常采取身份鉴别、访问控制、安全审计、系统资源控制等安全功能，以保证系统的安全。深圳市信息安全测评中心等级测评的内容身份鉴别应用安全(三级)访问控制通信完整性通信保密性安全审计剩余信息保护抗抵赖软件容错资源控制应用系统体系结构模型可以根据用户与数据之间所具有的层次来划分，即：单层应用体系结构模型、两层应用体系结构模型、多层（可以是三层或三层以上）应用体系结构模型。深圳市信息安全测评中心等级测评的内容数据完整性数据安全(三级)数据保密性安全备份数据层面构成组件主要包括信息系统安全功能数据和用户数据，这些数据可能处于传输和处理过程中，也可能处于存储状态。对于传输和处理过程中的数据，一般有机密性和完整性的安全要求，而对于存储中的数据，还需要有备份恢复的安全要求。深圳市信息安全测评中心等级测评的内容岗位设置安全管理机构(三级)人员配备授权和审批沟通与合作审核和检查安全管理机构包括安全管理的岗位设置、人员配备、授权和审批、沟通和合作等方面内容，严格的安全管理应该由相对独立的职能部门和岗位来完成。深圳市信息安全测评中心等级测评的内容管理制度安全管理制度(三级)制订和发布评审和修订安全管理制度一般是文档化的，被正式制定、评审、发布和修订，内容包括策略、制度、规程、表格和记录等，构成一个塔式结构的文档体系。深圳市信息安全测评中心等级测评的内容人员录用人员安全管理(三级)人员离岗人员考核安全意识教育和培训外部人员访问管理包括信息系统用户、安全管理人员和第三方人员的管理，覆盖人员录用、人员离岗、人员考核、安全意识教育和培训、第三方人员管理等方面内容。深圳市信息安全测评中心等级测评的内容系统定级系统建设管理(三级)安全方案设计产品采购和使用自行软件开发外包软件开发工程实施测试验收系统交付安全服务商选择系统备案包括系统定级、安全风险分析、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全测评、系统备案等信息系统安全等级建设的各个方面。深圳市信息安全测评中心等级测评的内容环境管理系统运维管理(三级)资产管理设备管理介质管理运行管理和监控管理网络安全管理系统安全管理恶意代码防范管理变更管理密码管理备份和恢复管理安全事件处置应急预案管理系统运维管理包括运行环境管理、资产管理、介质管理、设备使用管理、运行监控管理、恶意代码防护管理、网络安全管理、系统安全管理、密码管理、变更管理、备份和恢复管理、安全事件处置和应急计划管理等方面内容。深圳市信息安全测评中心等级测评的内容－主要核心技术1身份鉴别和自主访问控制2安全审计3完整性和保密性保护4边界保护5资源控制6入侵防范和恶意代码防范7安全管理平台设置8备份与恢复9强制访问控制10密码技术应用11环境与设施安全20深圳市信息安全测评中心等级测评的内容－核心技术要求数据安全1.身份鉴别和自主访问控制2.安全审计3.完整性和保密性保护5.资源控制6.入侵防范和恶意代码防范8.备份与恢复9.强制访问控制10.密码技术应用11.环境与设施安全21核心技术要求分布状况：安全管理中心1.身份鉴别和自主访问控制2.安全审计7.安全管理平台设置11.环境与设施安全广域网1.身份鉴别和自主访问控制2.安全审计3.完整性和保密性保护4.边界保护11.环境与设施安全局域网1.身份鉴别和自主访问控制2.安全审计3.完整性和保密性保护4.边界保护5.资源控制6.入侵防范和恶意代码防范10.密码技术应用11.环境与设施安全深圳市信息安全测评中心等级测评的内容－主要核心技术实现方式（参考）•身份认证、防火墙访问控制•流量与行为审计、数据库审计•IPSecVPN、SSLVPN•终端防外联、接入认证•负载均衡、流量控制•IPS、防病毒、终端桌面管理•SIEM、安全事件智能分析联动•IP－SAN、CDP、WSAN•操作系统文件访问控制•产品选购符合国密办规定•按照国标GB50173-93《电子计算机机房设计规范》GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》建设22核心技术要求•1身份鉴别和自主访问控制•2安全审计•3完整性和保密性保护•4边界保护•5资源控制•6入侵防范和恶意代码防范•7安全管理平台设置•8备份与恢复•9强制访问控制•10密码技术应用•11环境与设施安全深圳市信息安全测评中心等级测评的流程等级测评项目启动测评准备阶段编制测评方案工具和文档准备现场实施阶段分析测评结果报告编制阶段交流与洽谈形成等级测评结论编制测评报告结果确认和资料归还现场测评和结果记录方案确认和资源协调信息收集和分析深圳市信息安全测评中心测评准备阶段-项目启动•向被测单位介绍等级测评的意义和作用，测评工作的基本流程和工作方法。•了解被测单位的信息化建设状况与发展。包括被测系统的行业特征、主管机构、业务范围、地理位置以及被测系统基本情况，获得被测系统的背景信息和联络方式，填写《系统基本情况调查表》。•指出被测单位应提供的基本资料，包括：被测系统总体描述文件，被测系统详细描述文件，被测系统安全保护等级定级报告，系统验收报告，安全需求分析报告，被测系统安全总体方案等。•根据测评双方签订的委托测评协议书和系统规模，测评机构组建测评项目组，从人员方面做好准备，并编制项目计划。24深圳市信息安全测评中心测评准备阶段-信息收集与分析•被测单位积极配合测评机构，为测评机构提供其所需要的各种资料，包括被测单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、被测系统详细描述文件、被测系统安全保护等级定级报告、安全需求分析报告、被测系统安全总体方案、安全现状评价报告、被测系统安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。•测评机构分析被测单位提供的系统相关文件和初步了解到的系统基本情况，将需要补充了解的内容编制成调查表并发放给被测系统运行维护人员。•测评机构收回填写完成的调查表单，并分析调查结果，以进一步了解和熟悉被测系统的实际情况。分析的内容包括被测系统的基本信息、管理框架、被测系统的网络及设备部署、业务种类和特性、业务系统处理的信息资产、用户范围和用户类型等。25深圳市信息安全测