三甲医院等级保护建设技术白皮书-V5

1三甲医院等级保护建设技术白皮书东软2012年8月1目录1等保建设背景-现实威胁与严重后果........................................12等保建设要求-政策、法规、文件及标准................................23等保建设内容-定级备案、整改建设及测评............................34等保建设方案示例-某三甲医院等保规划................................55等保建设合作伙伴的选择建议.................................................86东软在三甲医院等保建设的优势.............................................911等保建设背景-现实威胁与严重后果2011年12月，卫生部发布《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》,要求卫生行业“全面开展信息安全等级保护工作”。信息安全等级保护制度是国家信息安全保障工作的基本制度，也是一项事关国家安全、社会稳定的政治任务。医院信息系统的安全性直接关系到医院医疗工作的正常运行，一旦网络瘫痪或数据丢失，将会给医院和病人带来巨大的灾难和难以弥补的损失。同时，医院信息系统涉及大量医院经营和患者医疗等私密信息，信息的泄露和传播将会给医院、社会和患者带来安全风险。2012年5月10日，浙江省医疗从业人员陈绍标因涉嫌非法获取计算机信息系统数据罪,被浙江省温州市鹿城区人民检察院依法批准逮捕。他曾用个人笔记本电脑入侵温州18家医院管理系统，仅一家医院就被窃取信息60万条，同时他还曾在绍兴、义乌等地多家医院作案。他的作案手段仅仅是将个人电脑连到医院公用电脑（比如供群众打印化验结果的电脑）使用的网线上，再利用黑客程序即可轻松连入医院医药管理系统网络，自动将系统内的医药数据下载。2011年上半年，福州的多家三甲医院也曾被黑客入侵。黑客半夜潜入医院，将自带电脑接入医院内部网络，窃取医院的“统方”（医生或部门一定时期内临床用药量信息统计），然后高价卖出。事件引起省卫生厅高度关注，最终采用技术手段将犯罪嫌疑人抓获。入侵事件发生后，福建省卫生厅立即责成相关单位制定落实相关防范措施，并于2012年1月制定发布《福建省医院信息系统安全等级保护工作实施方案》，将全省三级甲等医院定级为信息安全等级保护三级，要求在2012年内完成登记备案、自查评估和整改建设工作。2013年福建省卫生厅将联合省公安厅开展全省卫生行业等保建设落实的检查工作。如果三甲医院的一些特殊疾病（如艾滋病等）的患者信息被象“统方”数据一样被窃取和传播的话，可能带来极为恶劣的社会影响，甚至酿成大规模的社会群体性事件，加强医院的等保建设刻不容缓！22等保建设要求-政策、法规、文件及标准医疗卫生行业开展等保建设工作主要以《卫生行业信息安全等级保护工作的指导意见》（卫办发[2011]85号）为指南，同时在定级、整改、测评过程中贯彻执行国家相关标准，主要包括：定级备案阶段：《计算机信息系统安全等级保护划分准则》；《信息系统安全保护等级定级指南》；整改建设阶段：《信息系统安全等级保护基本要求》；《信息系统安全等级保护实施指南》；《信息系统等级保护安全设计技术要求》；测评阶段：《信息系统安全等级保护测评要求》；《信息系统安全等级保护测评过程指南》；安全运维管理阶段：《信息系统安全管理要求》；《信息系统安全工程管理要求》等等。另外还有各专业技术领域，如操作系统、数据库、风险评估、安全事件管理、灾难恢复等各方面的的标准要求。33等保建设内容-定级备案、整改建设及测评三甲医院开展等保建设，主要工作任务包括定级备案、建设与整改及测评等。根据《卫生行业信息安全等级保护工作的指导意见》，“三级甲等医院的核心业务信息系统”的等级保护要求定为三级，因此三甲医院HIS系统需按照等保三级要求来建设；三级甲等医院的电子病历系统，承载着大量病人的个人隐私信息，一旦泄露将会对患者本人及社会秩序带来重大影响，因此，其安全保护等级原则上也应不低于三级。三甲医院开展等保建设的主要工作任务包括：定级备案、建设与整改、等级测评、安全管理与运维等等。等保测评是按照系统来测评的，因此我们以三甲医院的核心业务系统-HIS来做说明。HIS系统要达到等保三级要求，需要具备对抗来自大型的、有组织的团体（如商业情报组织或犯罪组织等）发起的恶意攻击，可以应对较为严重的自然灾难、内部人员的恶意威胁、设备的较严重故障（如宕机、硬盘损坏等），并在威胁发生后，能够很快恢复绝大部分功能。三级系统等保建设步骤包括：1、系统识别。医院对HIS系统进行深入的识别和描述，包括系统基本信息、系统所涵盖的信息资产范围、使用者和管理者范围、行政和网络区域范围等。2、风险评估。通过资产评估、漏洞扫描、审计、网络架构分析、数据流分析等方式，全面分析HIS系统的资产现状、主机、数据库、安全设备、网络的弱点、威胁和风险，形成《风险评估报告》。3、方案设计与评审。根据风险评估及差距分析情况，结合医院HIS系统安全实际需求和建设目标，制定完整的《等级保护安全建设方案》，组织信息安全技术专家委员会对方案进行论证、评审。4、整改建设。整改建设内容包括：（1）安全域划分。通过安全域划分，实现对不同系统的差异防护，并防止安全问题扩散。业务应用以及基础网络服务、日常办公终端之间都存在一定差异，各自可能具有不同的安全防护需求，因此需要将不同特性的系统进行归类划分安4全域，并明确各域边界，分别考虑防护措施。（2)边界安全防护。主要防护手段包括防火墙、IDS、网络审计设备等等，等保三级要求终端防恶意代码软件与边界网关设备异构部署。为了达到更高的安全性，防火墙和UTM网关也可以采用异构模式部署。（3)网络环境安全防护。网络环境安全防护建设可有效阻止恶意人员通过网络对应用系统进行攻击，同时阻止对网络设备的攻击。可以通过安全运维平台（SOC）汇集各类安全事件和设备日志，及时发现攻击意图和系统异常，进行事件追踪、事件源定位以定位恶意人员位置，尽早发现网络、主机、操作系统、中间件、数据库、业务应用、机房等IT设施的异常并实时报警以便迅速处置。SOC可极大地提升运维人员工作效率并大大缩短异常、故障和安全事件的响应时间。（4)备份与恢复备份与恢复主要包含两方面内容，首先是指数据备份与恢复，另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。对于核心交换设备、外部接入链路以及系统服务器采用双机、双线的冗余结构，保障系统不间断运行的需要。（5）身份鉴别HIS系统应按照信息安全等级保护制度等要求，采用电子认证服务，并应当遵循《卫生系统数字证书应用集成规范》进行建设。5、等级测评。委托相关权威测评机构，依据国家信息安全等级保护制度规定，根据等保测评相关标准，从安全技术与安全管理两大项10个方面，对信息系统安全等级保护状况进行全面测试与综合评估。HIS等三级信息系统每年要至少进行一次信息安全等级测评。为提升通过率，可首先选择专业安全公司进行辅助测评，在正式测评时选择具有等级保护测评资质的合法测评机构进行测评，并出具《测评报告》。6、安全运维。医院应该按照PDCA持续改进的工作机制，在安全预警、安全监控、安全加固、安全审计、应急响应等方面进行持续化保障，确保系统稳定、安全的运行，并使整个系统随着环境的变化达到持续的安全。54等保建设方案示例-某三甲医院等保规划某医院现有的网络结构单一，未根据业务行为或业务单元进行安全域的划分，全网处于一个大的安全域，网络结构层次不清晰，不合理，不利于隔离防护和后期的安全规划建设，也不符合等级保护分级保护的思想精髓。拟将现有的信息系统网络结构划分为8大安全域：内部业务域、互联网接入域、外部业务域、外联业务接入域、内部接入域、汇聚网络设施域、核心网络设施域，新增管理支撑域，详细的安全域划分如下：某医院网络系统等保整改设计如上图所示，在核心交换机和接入交换机之间新增交换机两台，互为热备，做接入交换机区的汇聚，在减轻核心交换机压力的同时可以分割核心交换区和接入交换区；引入边界隔离和防护，将来自于终端的不安全因素排除在核心交换区之外。技术体系设计内容主要包括：物理安全设计、网络安全设计、主机/应用环境安全设计、区域边界安全设计、安全运维中心设计等。主要技术防护手段包括：6域边界隔离和访问控制在调整结构后的网络各安全域的边界部署防火墙或者UTM一体化安全网关，实现边界隔离、访问控制、入侵防御。域边界恶意代码防范在外联区域部署UTM一体化安全网关，在进行边界隔离、访问控制的同时拦截来自外部区域的病毒和恶意代码、恶意入侵。建设统一安全运维平台在整改后的网络系统中的管理支撑域部署统一安全运维平台，对整个医院信息系统进行安全运维管理。该平台能够能清晰描述、展示组织的风险状况，并且提供风险规避方法，同时驱动维护人员主动执行风险规避措施。核心区域安全审计（入侵检测）在核心交换机处旁接IDS系统，检测连接内部业务、外部业务、互联网业务三个区域的服务器的交换机端口的网络行为，实时检测来自高危网络区域的访问流量和需要进行统计、监视的网络报文。核心区域异常流量分析异样的网络环境往往能先从流量的变化进行观察，当某个使用者端感染病毒或是遭遇入侵时，会出现比平常高出百倍的数据交换量，此时封锁该IP的联机才能阻止病毒继续蔓延。应用合规审计在内部业务接入区中的数据库服务区连接核心交换机的数据端口上通过镜像方式旁挂数据库审计系统对业务行为进行审计和合规性管理。管理终端统一运维审计运维管理审计系统的引入能够对应用系统网段实行保护，用户在访问网络前需通过安全接入网关进行基于个人数字证书的网络接入认证，只有合法的、被授权的用户才能够访问受保护的网络，并能够控制用户是否能够访问到相应的资源。全网可信接入在调整整改后的网络中部署桌面安全管理系统，配合接入层交换机的802.1X协议，实行网络准入。要求所有内部接入区的终端必须符合医院信息系统终端要求的安全策略之后才能接入医院网络访问所需资源。在接入区终端未满足合规策7略之前，可通过交换机guestvlan的技术方式，重定向该类终端至加固区域，进行相关的加固和合规性操作之后再接入医院网络系统。业务系统统一身份认证在整改后的网络中部署统一安全认证系统，实现“单点登陆，多点漫游”。用户只需一次登录认证，即可访问已授权的所有应用系统。在实现身份鉴别认证的同时还可就已认证的用户访问业务系统的行为进行安全审计。85等保建设合作伙伴的选择建议卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作，对于促进卫生信息化健康发展，保障医药卫生体制改革，维护公共利益、社会秩序和国家安全具有重要意义。根据《卫生行业信息安全等级保护工作的指导意见》，三级甲等医院的核心业务信息系统HIS的等保定级为三级，必须由专业厂商进行深入调研并对安全保护现状进行详尽分析，查找安全隐患及与等保要求之间的差距，确定安全需求，按照相关国家标准，制订等保整改方案。在三甲医院HIS系统等保安全防护建设中，承建安全厂商的项目经验、技术水平、服务保障能力、资质信用情况对于保障项目成功具有关键作用。要保障项目成功，厂商必须具备以下几个方面的能力：1对HIS系统有深入的了解；2具有深厚的大型等保项目建设经验积累及HIS安全防护建设集成经验；3根据需求提供和整合优秀产品并进行整体安全集成的能力；4强大的资金实力和服务保障能力；5具备专业的培训能力和环境，确保相关知识经验的转移与交付；6良好的商誉和信用；96东软在三甲医院等保建设的优势等保必须委托专业的安全厂商来规划建设。与国内安全厂商相比，东软在以上六个方面具有明显的优势：1.东软对HIS系统有深入的了解和深厚的积验积累。东软从96年开始进行HIS研发，己有16年HIS系统研发经验，承担过众多三甲医院HIS系统开发工作，对HIS系统应用特点、运维流程、权限控制等各方面都有深入了解，可以根据业务安全保障需求设计出全面的