医院等级保护建设网络安全建设-解决方案资料

1、5.4.1数据一整件3.1等级保护要求键入文档标题医院等级保护建设网络安全建设 解决方案2018年6月目录概述背景分析等级保护建设目标和范围方案设计参照标准信息系统现状医院网络安全现状医院网络安全风险分析医院网络安全需求物理安全232网络安全主机安全应用安全数据安全安全域划分及边界防护网络安全建设必要性3.2医院系统面临安全威胁网络安全建设目标满足合规性要求等级保护技术要求安全技术体系方案设计物理层安全网络层安全安全域划分边界访问控制网络审计网络入侵防范边界恶意代码防范网络设备保护主机层安全身份鉴别强制访问控制主机入侵防范 主机审计 恶意代码防范 剩余信息保护 资源控制应用层安全身份鉴别532

2、访问控制安全审计534剩余信息保护通信完整性通信保密性537抗抵赖性软件容错资源捽制数据层安全数据保密性备份和恢复安全建设方案小结安全服务汇总安全产品汇总概述背景分析中华人民共和国计算机信息系统安全保护条例（国务院令第147 号）明确规定我国“计算机信息系统实行安全等级保护”。依据国务院147 号令要求而制订发布的强制性国家标准计算机信息系统安全保护等级划分准则（ GB17859-1999 ）为计算机信息系统安全保护等级的划分奠定了技术基础。国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327 号）明确指出实行信息安全等级保护， “要重点保护基础信息网络和关系国家安全、经济命脉

3、、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度”。关于信息安全等级保护工作的实施意见（公通字200466 号）和信息安全等级保护管理办法 （公通字200743 号）确定了实施信息安全等级保护制度的原则、工作职责划分、实施要求和实施计划，明确了开展信息安全等级保护工作的基本内容、工作流程、工作方法等。 信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准的出台，为信息安全等级保护工作的开展提供了法律、政策、标准保障。2007 年起公安部组织编制了信息安全技术信息系统等级保护安全设计技术要求， 为已定级信息系统的设计、整改提供标准依据，至 2008 年 11 月已报批为国标

4、。与此同时，2007 年 7 月全国开展重要信息系统等级保护定级工作，标志着信息安全等级保护工作在我国全面展开。依据计算机信息系统安全保护等级划分准则，将信息系统安全保护能力划分为五个等级；分别为：第一级：用户自主保护级;由用户来决定如何对资源进行保护，以及采用何种方式进行保护。第二级：系统审计保护级;本级的安全保护机制支持用户具有更强的自主保护能力。特别是具有访问审记能力，即它能创建、维护受保护对象的访问审计跟踪记录，记录与系统安全相关事件发生的日期、时间、 用户和事件类型等信息，所有和安全相关的操作都能够被记录下来，以便当系统发生安全问题时，可以根据审记记录，分析追查事故责任人。第三级：安

5、全标记保护级;具有第二级系统审计保护级的所有功能，并对访问者及其访问对象实施强制访问控制。通过对访问者和访问对象指定不同安全标记，限制访问者的权限。第四级：结构化保护级;将前三级的安全保护能力扩展到所有访问者和访问对象，支持形式化的安全保护策略。其本身构造也是结构化的，以使之具有相当的抗渗透能力。本级的 安全保护机制能够使信息系统实施一种系统化的安全保护。第五级：访问验证保护级;具备第四级的所有功能，还具有仲裁访问者能否访问某些对象的能力。为此，本级的安全保护机制不能被攻击、被篡改的，具有极强的抗渗透能力。目前，全国范围内的定级工作已经基本完成，2009 年起将依据标准要求对已定级信息系统进行

6、整改，以达到规范安全管理、提高信息安全保障能力到应有水平的目标等级保护建设目标和范围为了落实和贯彻自治区政府、公安部、保密局、卫生部、自治区卫生厅等国家有关部门信息安全等级保护工作要求，全面完善医院信息安全防护体系，落实 “分区分域、等级防护、多层防御”的安全防护策略，确保等级保护工作在本单位的顺利实施，提高整体信息安全防护水平，开展等级保护建设工作。我们前期对医院网络进行了勘查分析，了解与等级保护要求之间的差距，提出安全建设方案。本方案主要遵循 GB/T22239-2008信息安全技术信息安全等级保护基本要求、信息安全等级保护管理办法公通字 200743 号) 、 信息安全风险评估规范( G

7、B/T20984-2007) 、 卫生行业信息安全等级保护工作的指导意见标准等。实施的范围包括：医院网站安全防护、医院各个信息系统的安全防护。方案设计根据等级保护要求以及前期分析了解的结果，医院信息系统存在的漏洞、弱点提出相关的整改意见，结合等级保护建设标准，并最终形成安全解决方案。参照标准GB/T22239-2008 信息安全技术信息安全等级保护基本要求信息安全等级保护管理办法(公通字200743 号)信息安全技术信息安全风险评估规范( GB/T 20984-2007 )卫生行业信息安全等级保护工作的指导意见信息系统现状随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，网络正深刻影响并

8、改变着人类的生活和工作方式。医院已经逐步建立起依赖于网络的医院业务办公信息系统，比如门户WEB 应用、 HIS 系统、 LIS 系统、电子病历系统、PACS 系统等等，在给我们带来便利的同时，安全也面临更大的挑战。对于医疗机构而言，数字化、网络化、信息化是医院实现不断发展的重要形式和发展方向， 而网络信息功能和内容是通过WEB 应用形式表现出来的。外界对医院信息化的了解也是从 WEB 应用开始的，从网上预约挂号、网上查询检查结果等等一系列工作都是通过WEB 来实现的，医院门户WEB 应用是医院现代化科技服务的窗口,也是医院对外宣传的窗口。而近年来，医院WEB 应用的公众性质使其成为攻击和威胁的

9、主要目标，医院WEB 应用所面临的Web 应用安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、DDoS 攻击、 SQL 注入、跨站脚本、Web 应用安全漏洞利用等，极大地困扰着医院和公众用户，给医院的服务形象、信息网络和核心业务造成严重的破坏。因此， 一个优秀的WEB 应用安全建设是医院信息化是否能取得成效、充分发挥职能的基础，而合规、有效、全面的信息安全体系建设对保障其正常运行至关重要。医院网络安全现状目前医疗行业各大医院的信息化办公系统如：HIS 系统、 LIS 系统、 电子病历系统、PACS系统、 OA 系统等各大业务系统全部上线运行，给医院的正常办公

10、业务带来极大的便利，给医生节省更多的时间来治疗患者，同时给患者带来便利的就医环节；有的医院由于发展需要，建立了自己独立的门户网站，对外提供患者网上预约挂号，检查结果查询等功能，在几大系统中， 医院 OA 系统由于内外网同时需要运行业务，因此医院设立了DMZ 区， DMZ 区放置医院 OA 系统服务器、对外网站服务器，以后随着医疗信息化的发展，全疆医院要实现电子病历共享，为了给病人提供更好的服务，各大医院将逐步实现网上预约挂号、网上查询等业务， 这就需要医院内外网连通，实现内外网数据互通共享，因此内外网互联的安全建设非常重要，如何在内外网互联时保证内网信息数据的安全性、完整性是必须考虑的问题。医

11、院网络安全风险分析通过对医院网络现状的了解及分析，主要分为以下两大类安全威胁：外部攻击由于内网与外网互通，并且在出内外网之间处没有有效的安全防护设施，内网信息系统面临很大威胁，极易遭到外网中黑客攻击、DDoS 攻击、木马、病毒等恶意攻击，破坏各类主机及服务器，导致医院网络性能下降、服务质量降低、信息安全没有保障。WEB 应用遭受大量具有针对性的攻击，造成网站瘫痪，信息泄露，甚至网页被篡改。内部威胁局域网内部没有防护设备及有效隔离，一旦某个用户有意或是无意将感染了病毒、木马的移动存储设备接入内网，将造成整个网络木马病毒泛滥，给整个网络带来毁灭性打击。医院网络安全需求按照信息系统安全等级保护测评要

12、求和信息系统安全等级保护测评过程指南，通过对医院网站和数据中心的安全状况评估、网络脆弱性扫描、本地安全审计、文档审查等方式，进行物理层面、网络层面、应用层面、主机层面、数据安全及备份、安全管理层面进行安全评估，最终寻找到以下差距：物理安全目前现有的物理安全机制不够完善，在物理安全的设计和施工中，需要考虑的安全要素包括： 机房场地选择安全、机房内部安全防护、机房防火、机房供、配电、 机房空调、降温、机房防水与防潮、机房防静电、机房接地与防雷击、机房电磁防护。需要优先考虑机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。需要在机房出入口应安排专人值守，控制、鉴别和记录进入的人员。需要将通信

13、线缆铺设在隐蔽处，例如：铺设在地下或管道中。需要对介质分类标识，存储在介质库或档案室中。需要在主机房安装必要的防盗报警设施。机房建筑需要设置避雷装置及设置交流电源地线。机房需要设置灭火设备和火灾自动报警系统。在水管安装时，需要考虑不得穿过机房屋顶和活动地板下。需要采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。需要采取措施防止机房内水蒸气结露和地下积水的转移与渗透。需要在关键设备上采用必要的接地防静电措施。考虑机房需要设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。需要提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求。需要考虑电源线和通信线缆应隔离铺设

14、，避免互相干扰。机房场地避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。需要对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。需要利用光、电等技术设置机房防盗报警系统，对机房设置监控报警系统。需要设置防雷保安器，防止感应雷。考虑机房设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火。考虑机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料，机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。需要安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。考虑机房采用防静电地

15、板。考虑机房设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。需要设置冗余或并行的电力电缆线路为计算机系统供电，应建立备用供电系统。需要采用接地方式防止外界电磁干扰和设备寄生耦合干扰，并对关键设备和磁介质实施电磁屏蔽。网络安全目前现有的通信网络安全机制不够完善，需依据信息安全技术信息系统安全等级保护基本要求第三级基本要求加强现有网络安全机制。需要对用户数据在网络传输中的数据提供保密性及完整性保护。需要对通信网络进行安全审计，其网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录，并对确认为违规的用户操作行为需要提供报警，并对审计信息进行存储备份。需要考虑网络边

16、界访问控制对会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。需要对进出网络的信息内容进行过滤，实现对应用层HTTP、 FTP、 TELNET 、 SMTP、POP3等协议命令级的控制。网络边界对入侵防范措施不够完善，考虑检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。考虑网络边界对恶意代码防范能力应提供及时检测和清除，维护病毒库的升级更新。主机安全目前现有的主机安全机制不够完善，需依据信息安全技术信息系统安全等级保护基本要求第三级基本要求加强现有主机安全机制。用户身份鉴别需要对用户登录过程采用两种或两种以上组合的鉴别技术对管

17、理用户进行身份鉴别。标记和强制访问控制系统资源访问控制需要对重要信息资源设置敏感标记，需要依据安全策略严格控制用户对有敏感标记重要信息资源的操作。系统安全审计系统安全审计需要覆盖到服务器上的每个操作系统用户和数据库用户，应保护审计进程，避免受到未预期的中断。审计记录包括安全事件的主体、客体、时间、类型和结果等内容；考虑对各审计记录，应提供审计记录查询、分类和存储保护。用户数据完整性保护需要采用各种常规校验机制，对系统安全计算环境中存储和传输的用户数据的完整性进行检验，能发现完整性被破坏的情况。用户数据保密性保护需要采密码技术支持的保密性保护机制，为安全计算环境中存储和传输的用户数据进行保密性保

18、护。剩余信息保护剩余信息保护应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。入侵防范需要能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、 攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。可信执行程序保护需要构建从操作系统到上层应用的信任链，其中可采用可信计算技术，以实现系统运行过程中可执行程序的完整性检验，防范恶意代码等攻击，并在检测到其完整性受到破坏时，应采取有效的恢复措施。应用安全目前现有的应用安

19、全机制不够完善，需依据信息安全技术信息系统安全等级保护基本要求第三级基本要求的加强现有应用安全机制。需要对用户登录过程提供用户身份标识唯一和鉴别信息复杂度检查功能，考虑保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用。考虑对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。自主访问控制，需要依据安全策略控制用户对文件、数据库表等客体的访问，访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作。考虑应用系统安全审计应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计。考虑对重要信息资源设置敏感标记的功能，并依据安全策略严格控制用户对有敏感标记重要信

20、息资源的操作。考虑提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。剩余信息保护：应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。通信完整性：应采用密码技术保证通信过程中数据的完整性。通信保密性：应对通信过程中的整个报文或会话过程进行加密。抗抵赖：应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能；应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。软件容错：应提供自动保护功能，当故障发生时自动保护当前所有状态，保证 系统能够进行恢复。资源控制：应能够对一个时间段内可能的并发会话连接数进行限制，应

21、能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额，应能够对系统服务水平降低到预先规定的最小值进行检测和报警，应提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源。数据安全目前数据安全存在的安全隐患，业务数据在传输过程中完整性受到破坏，数据存储没有经过加密处理，导致数据泄露。数据没有提供备份，导致重要数据丢失几种现象。因此需要在现有数据安全上增加以下几种保护：数据完整性：应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。能够检测到系统管理数据、鉴别信息和重要业务数

22、据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。数据保密性：应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性；应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。备份和恢复：应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放；应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地； 应采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障；应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。安全域划分及边界防护依据等级保护要求，安全分区、分级、分域及分层防护的原则

23、，在进行安全防护建设之前，首先实现对信息系统的安全域划分。依据总体方案中上级系统统一成域，三级系统独立分域”的要求，主要采用物理防火墙隔离、虚拟防火墙隔离或 Vlan隔离等形式进行安全域划分。主要分为以下安全域:级别安全区域备注二级集中运维管理区如：网络管理、漏洞扫描等应用三级内部服务器区如：对内提供服务的应用系统三级外部服务器区如：通过互联网对外提供服务的应用系统安全域的实现形式安全域实现方式以划分逻辑区域为主，旨在实现各安全区域的逻辑划分，明确边界以对各安全域分别防护，并且进行域间边界控制，安全域的实体展现为一个或多个物理网段或逻 辑网段的集合。对新疆一附院信息系统安全域的划分手段采用如下

24、方式：防火墙安全隔离：采用双接口或多接口防火墙进行边界隔离，在每个安全域采用多接口防火墙的每个接口分别与不同的安全域连接以进行访问控制。划分安全域，明确保护边界采用将三级系统划分为独立安全域。二级系统安全域、桌面安全域、公共应用服务安 全域。二级系统安全域包含除三级系统外的所有应用系统服务器；集中运维管理安全域包含各业务日志管理地、集中运维、日志管理、备份管理、VPN管理等。部署访问控制设备或设置访问控制规则在各安全域边界设置访问控制规则，其中安全 域边界按照“安全域边界”章节所列举的边界进行防护。访问控制规则可以采用交换机访问 控制策略或模块化逻辑防火墙的形式实现。二级系统安全域边界访问控制

25、规则可以通过交换机的访问控制规则实现，访问控制规则满足如下条件：根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。按用户和系统之间的允许访问规则，控制粒度为单个用户。三级系统安全域边界的安全防护需满足如下要求：根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级； 对进出网络的信息内容进行过滤，实现对应用层协议命令级的控制。入侵检测系统部署：二级系统、三级系统安全域内应部署入侵防御系统，并根据业务系统情况制定入侵防御策略，检测范围应包含二级系统服务器、三级系统服务器、其他应用服务器，入侵防御应满足如下要求：?定制入侵检测策略，如根据所检测的源、目的地

26、址及端口号，所需监测的服务类型以定制 入侵检测规则；？定制入侵检测重要事件即时报警策略；入侵检测至少可监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等；当检测到攻击行为时，入侵检测系统应当记录攻击源IP、攻击类型、攻击目的IP、攻击时间，在发生严重入侵事件时应能提供及时的报警信息。网络安全建设必要性等级保护要求根据等级保护相关要求，应满足等级保护二级指导保护级相关要求，并根据 信息系统安全等级保护基本要求及其他相关技术规范进行整改，应能够防护系统免受来自计算机病毒等恶意代码的侵害和外部小型组织的（如自发的三两人组成的黑客组织）、拥

27、有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难 （灾难发生的强度一般、持续时间短、覆盖范围小等）以及其他相当危害程度的威胁（无意失误、技术故障等）所造成的重要资源损害并能够检测到此类威胁，并在威胁发生造成损害后，能够在一段时间内恢复部分功能。要求中就设备自身可靠性、抗灾害能力、网络可靠性、网络安全防护能力等多个角度对网络系统安全做了详细具体的要求。根据 信息安全等级保护管理办法规定，信息系统使用单位应依据信息系统安全等级保护测评要求等技术标准，定期对信息系统安全等级状况开展等级测评，并且公安机关负责信息安全等级保护工作的监督、检查、 指导。 因此

28、必须通过网络安全建设保障信息系统符合等级保护具体要求，切实保护网络系统安全稳定运行。从网络安全现状分析来看，医院目前网络不具备网络、设备冗余抗灾能力，在事故发生后难以快速恢复，不能保障政务运行；现有安全防护设备缺乏，不能有效防护网络攻击行为，网络安全没有保障。现有网络不能满足等级保护相关要求。医院系统面临安全威胁医院网络通过VPN 或者 DMZ 区间接接入外网，在对外提供大量服务、进行信息交流给我们带来极大便利、提高业务处理能力的同时，不得不承受着巨大的安全威胁。对医院网络而言，一旦遭到破坏，将严重影医院工作的正常开展；网站如果被篡改，将造成恶劣的社会影响，降低政府公信度。同时医院信息系统如果

29、遭到病毒木马的攻击将对医院内网造成不可估量的损失。因此开展医院网络安全建设，提高政医院网络抗攻击能力、事故恢复能力刻不容缓。网络安全建设目标满足合规性要求信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。三级甲等医院的核心业务信息系统安全保护等级原则上不低于第三级。二级甲等医院、三级乙等医院参考定级第二级。序号系统类别三级医院二级医院一级医院1门户网站2级2级1级2内部办公系统2级2级1级3向向患者服务系统3级2级1级4以电子病历为核心的医院信息系统3级3级1级4.2等级保护技术要求类别要求二级等保要求三级等保要求解决方案网络结构安全网络设备处

30、理能力和网络带宽冗余；网络拓扑图绘制；子网划分和地址分配；网络设备处理能管理和网络带宽冗 余；网络拓扑图绘制；子网划分和地 址分配；终端和服务器之间建立安全 访问路径；边界和重要网段之间隔 离；网络拥堵时对重要主机优先保 护；根据局峰业务 流量选择高端 设备，核心交 换接入设备采 用双机冗余； 合理划分子 网、VLAN 、 安全域，网络 设备带宽优先 级规划。访问控制部署访问控制设备，启 用访问控制功能；根据 会话状态提供允许/拒 绝访问能力；按访问控 制规则进行资源访问部署访问控制设备，启用访问控制功 能；根据会话状态提供允许/拒绝访问 能力，控制粒度为端口级；按访问控 制规则进行资源访问控

31、制，粒度到单 个用户；限制拨号访问用户数量；网网络边界部署防火墙，制定相应ACL策略控制，粒度到单个用户；限制拨号访问用户数量络信息内容过滤，应用层协议命令级 控制；会话终止；网络流量数和连接 数控制；重要网段防地址欺骗安全审计网络设备状况、网络流量、用户行为日志记录网络设备状况、网络流量、用户行为日志记录；数据分析和报表生成；审计记录保护部署网络安全审计系统边界完整性检查安全准入控制和非法外联监控安全准入控制和非法外联监控并进行有效阻断部署终端安全管理系统入侵防范攻击行为检测攻击行为检测；攻击日志记录和告警部署入侵检测系统恶意代码防范尢要求网络边界病毒查杀；病毒库升级部署入侵保护系统网络设备

32、防护身份鉴别；管理员登陆地址限制；用户标识唯一；登陆失败处理；鉴别信息加密；身份鉴别；管理员登陆地址限制；用 户标识唯一；登陆失败处理；鉴别信息加密；身份鉴另采用2种或以上鉴 别技术；特权权限分离部署等级保护安全配置核查系统主机身份鉴别操作系统和数据库用户身份鉴别；登录失败 处理；鉴别信息传输加 密；用户唯一性；操作系统和数据库用户身份鉴别；登录失败处理；鉴别信息传输加密；用户唯一性；身份鉴别采用2种或以上 鉴别技术部署等级保护安全配置核查系统访问控制启用访问控制功能；操 作系统和数据库特权用户权限分离；默认账 户配置修改；多余过期 用户删除启用访问控制功能；操作系统和数据 库特权用户权限分离

33、； 默认账户配置 修改；多余过期用户删除；角色权限 分配，权限分离和最小权限原则； 重 要信息敏感标记；强制访问控制部署堡垒机安全审计记录服务器的系统用 户和数据库用户的重 要安全相关行为、事记录服务器和重要客户端的系统用户和数据库用户的重要安全相关行为、事件；审计记录保护； 审计报表部署堡垒机件；审计记录保护生成；审计进程保护剩余信息保护无鉴别信息再分配前清除，系统文件、目录、数据库记录再分配前清除操作系统及数据库加固入侵防范操作系统最小安装原则，定期升级操作系统最小安装原则，定期升级；检测对重要服务器的入侵行为；重要程序完整性检测和破坏后的恢复。部署网络入侵 检测系统、终 端管理软件， 漏

34、洞扫描恶意代码防范安装防恶意代码软件，定期升级；恶意代码软件统一管理安装防恶意代码软件，定期升级；恶意代码软件统一管理； 主机和网络防恶意代码软件品牌异构部署终端杀毒软件资源控制终端登录控制；终端超 时锁定；单个用户资源 限制终端登录控制；终端超时锁定；单个用户资源限制安全加固应用身份鉴别启用身份鉴别机制；登录失败处理启用身份鉴别机制；登录失败处理；身份鉴别采用2种或以上鉴别技术部署CA认证系统访问控制启用访问控制机制，控 制用户对文件、数据库 表等的访问；启用访问 控制策略；账户最小权 限原则和权限制约启用访问控制机制，控制用户对文件、数据库表等的访问；启用访问控制策略；账户最小权限原则和权

35、限制约；重要信息敏感标记； 重要信息强制访问控制部署CA认证系统安全审计启用安全审计机制，审计每个用户、系统重要安全事件启用安全审计机制，审计每个用户、系统重要安全事件；审计报表生成部署应用防护系统剩余信息保护无鉴别信息再分配前清除，系统义件、目录、数据库记录再分配前清除操作系统及数据库加固通信完整性应采用技术保障信息过程中数据完整性应采用密码技术保障信息过程中数据完整性部署PKI体系通信保密会话初始化验证，通信会话初始化验证，通信过程整个报文部署PKI体系性过程加密或会话过程加密抗抵赖提供数据原发或接收证据提供数据原发或接收证据部署PKI体系软件容错数据校验功能，故障时能继续提供一部分功能数

36、据校验功能，故障时能继续提供一部分功能代码审核资源控制会话超时自动结束，限制最大并发连接数，单个账户多重会话限制会话超时自动结束， 限制最大并发连接数，单个账户多重会话限制安全加固数据与备 份恢 复数据完整性能检测到鉴别信息和业务数据在传输过程中受到的破坏能检测到系统管理数据、鉴别信息和业务数据在传输和 存储过程中受到的破坏，并采取恢复措施VPN加密，数据库访问控制数据保密性米用加密或其他措施实现鉴别信息的存储保密米用加密或其他措施实现系统管理数据、鉴别信息、重要业务数据传输存储过程保密信息加密备份与恢复重要信息备份恢复，关键网络设备、线路、数据硬件冗余重要信息备份恢复，关键网络设备、线路、数

37、据硬件冗余重要信息定期备份，设备冗余安全技术体系方案设计物理层安全物理安全主要包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、 防水和防潮、防静电、温湿度控制、电力供应、电磁防护。该部分内容参考信息系统安全等级保护基本要求的三级标准的要求进行建设。建设过程中可以参考的标准主要包括：GB50174 93 电子计算机机房设计规范GB 50057 1994建筑物防雷设计规范GB 2887-88计算站场地安全要求GB 2887-89计算站场地技术条件BMB4-2000 电磁干扰器技术要求和测试方法网络层安全网络层安全主要涉及的方面包括结构安全、访问控制、安全审计、入侵防范、恶意代码防

38、范、网络设备防护几大类安全控制。安全域划分安全域划分原则：业务保障原则安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率。适度安全原则在安全域划分时会面临有些业务紧密相连，但是根据安全要求（信息密级要求，访问应用要求等）又要将其划分到不同安全域的矛盾。是将业务按安全域的要求强性划分，还是合并安全域以满足业务要求？必须综合考虑业务隔离的难度和合并安全域的风险（会出现有些资产保护级别不够），从而给出合适的安全域划分。结构简化原则安全域方法的直接目的和效果是要将整个网络变得更加简单，简单的网络结构便于设计防护体系。比如， 安全域划分并不是粒度越细

39、越好，安全域数量过多过杂可能导致安全域的管理过于复杂和困难。等级保护原则安全域的划分要做到每个安全域的信息资产价值相近，具有相同或相近的安全等级安全环境安全策略等。立体协防原则安全域的主要对象是网络，但是围绕安全域的防护需要考虑在各个层次上立体防守，包括在物理链路网络主机系统应用等层次；同时， 在部署安全域防护体系的时候，要综合运用身份鉴别访问控制检测审计链路冗余内容检测等各种安全功能实现协防。生命周期原则对于安全域的划分和布防不仅仅要考虑静态设计，还要考虑不断的变化；另外， 在安全域的建设和调整过程中要考虑工程化的管理。XX 医院数据中心规划以两台核心交换机作为数据中心网络的核心，通过二条专

40、线接入XX 医院外网，网络边界通过二台防火墙设备实现内部网络与XX 医院外网之间的安全隔离与访问控制。业务网内部根据业务类型及安全需求划分为如图所示的多个安全区域：外联区：与数据中心核心交换机互联，在 XX 医院外网接入处部署防火墙，通过防火墙进行访问控制，实现安全隔离。数据交换区：用于部署数据中心的测试服务器、交换服务器及总线服务器等数据交换服务器。应用服务器区：用于部署数据中心的核心业务应用系统，根据相关要求通过部署防火墙、入侵防御来与其它网络进行安全隔离，同时部署WEB 应用防火墙对基于WEB 的应用系统进行防护。核心数据区：主要部署各业务系统所需的核心数据库及后台服务器，该区域依照等保

41、要求架设网络环境。安全管理运维区域及办公服务器区域之间通过合理的VLAN 划分及交换机的访问控制列表来加以隔离。并通过部署审计系统对数据操作进行安全审计。安全管理区：用于部署信息系统安全管理及网络管理的相关服务器及软硬件系统，依照等保要求架设网络环境。与业务服务器区域及互联网远程接入区域之间通过合理的VLAN 划分及交换机的访问控制列表来加以隔离。根据重点业务重点保护的原则，将核心交换区、应用服务区和核心数据区划分为三级安全区域，依据等级保护三级标准进行相应的安全建设；数据交换区划分为二级安全区域，依据等级保护二级标准进行相应的安全建设。边界访问控制在网络结构中，需要对各区域的边界进行访问控制

42、，对于 XX 医院外网边界、数据交换区边界、 应用服务区域边界及核心数据区边界，需采取部署防火墙的方式实现高级别的访问控制，各区域访问控制方式说明如下：外联区：通过部署高性能防火墙，实现数据中心网络与XX 医院外网之间的访问控制；数据交换区：通过核心交换机的VLAN 划分、访问控制列表以及在出口处部署防火墙实现对数据交换区的访问控制。应用服务区：通过核心交换机的VLAN 划分、访问控制列表以及在出口处部署防火墙实现对应用服务区的访问控制。核心数据区：通过核心交换机的VLAN 划分、访问控制列表以及在出口处部署防火墙实现对核心数据区的访问控制。网络审计网络安全审计系统主要用于监视并记录网络中的各

43、类操作，侦查系统中存在的现有和潜在的威胁，实时地综合分析出网络中发生的安全事件，包括各种外部事件和内部事件。在数据中心核心交换机处旁路部署网络行为监控与审计系统，形成对全网网络数据的流量检测并进行相应安全审计，同时和其他网络安全设备共同为集中安全管理提供监控数据用于分析及检测。网络行为监控和审计系统将独立的网络传感器硬件组件连接到网络中的数据汇聚点设备上， 对网络中的数据包进行分析、匹配、 统计， 通过特定的协议算法，从而实现入侵检测、信息还原等网络审计功能，根据记录生成详细的审计报表。网络行为监控和审计系统采取旁路技术， 不用在目标主机中安装任何组件。同时玩了个审计系统可以与其他网络安全设备

44、进行联动，将各自的监控记录送往安全管理安全域中的安全管理服务器，集中对网络异常、攻击和病毒进行分析和检测。网络入侵防范根据数据中心的业务安全需求和等级保护三级对入侵防范的要求，需要在网络中部署入侵检测产品。入侵检测和产品通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析， 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测产品应支持深度内容检测、技术。配合实时更新的入侵攻击特征库，可检测网络攻击行为，包括病毒、 蠕虫、 木马、 间谍软件、可疑代码、探测与扫描等各种网络威胁。当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提

45、供报警。同时基于数据中心对网络攻击行为的可控性，入侵检测产品有限的响应方式以及和防火墙联动的延迟和兼容性问题，这里推荐部署入侵保护产品，实现在入侵检测的基础上对攻击行为进行阻断，实现对入侵行为实时有效的防范。入侵检测/保护产品部署于外联区防火墙之后，是数据中心继防火墙边界访问控制后的第二道防线。边界恶意代码防范根据数据中心业务风险分析和等级保护三级对边界恶意代码防范的要求，需要在互联网边界部署防病毒产品。防病毒产品应具备针对HTTP、 FTP、 SMTP、 POP3、 IMAP 以及 MSN协议的内容检查、清除病毒的能力。支持查杀引导区病毒、文件型病毒、宏病毒、 蠕虫病毒、特洛伊木马、后门程序

46、、恶意脚本等各种恶意代码。并定期提供对病毒库版本的升级。网络设备保护对于网络中关键的交换机、路由器设备，也需要采用一定的安全设置及安全保障手段来实现网络层的控制。主要是根据等级保护基本要求配置网络设备自身的身份鉴别与权限控制，包括：登录地址、标识符、口令复杂度、失败处理、传输加密、特权用户权限分配等方面对网络设备进行安全加固。由于不同网络设备安全配置的不同、配置维护工作繁杂，且信息安全是动态变化的，因此这里推荐通过自动化的配置核查设备，对网络层面和主机层的安全配置进行定期扫描核查，及时发现不满足基线要求的相关配置，并根据等级保护的安全配置要求提供相对应的安全配置加固指导。主机层安全主机层安全主

47、要从身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方面来进行防护。身份鉴别为提高主机系统安全性，保障各种应用的正常运行，对主机系统需要进行一系列的加固措施，包括：对登录操作系统和数据库系统的用户进行身份标识和鉴别，且保障用户名的唯一性。卫生信息平台所有用户应当具备独一无二的标识符以便跟踪后续行为，从而可以将责任对应到人。用户ID 不得表示用户的权限级别，比如经理或主管等等。根据基本要求配置用户名/口令，口令必须具备采用3 中以上字符、长度不少于8位并定期更换。启用登录失败处理功能，登录失败后采取结束会话、限制非法登录次数和自动退出等措施，重要的主机系统应对与之相

48、连的服务器或终端设备进行身份标识和鉴别。远程管理时应启用SSH 等管理方式，加密管理数据，防止被网络窃听。对主机管理员登录采取双因素认证方式，采用USBkey+ 密码进行身份鉴别。强制访问控制应在主机层启用强制访问控制功能，依据安全策略控制用户对资源的访问，对重要信息资源设置敏感标记，安全策略严格控制用户对有敏感标记重要信息资源的操作。强制访问控制主要是对核心数据区的文件、数据库等资源的访问进行控制，避免越权非法使用。采用的措施主要包括以下几个方面。启用访问控制功能：制定严格的访问控制安全策略，根据策略控制用户对应用系统的访问，特别是文件操作、数据访问等，控制粒度主体为用户级，客体为文件或者数

49、据库表级别。权限控制：对于制定的访问控制规则要能清楚的覆盖资源访问相关的主题、客体及它们之间的操作。对于不同的用户授权原则是进行能够完成工作的最小化授权，避免授权范围过大，并在它们之间形成互相支援的关系。账号管理：严格限制默认账户的访问权限，重命名默认账户，修改默认口令，及时删除多余的、过期的账户，避免共享账户的存在。访问控制的实现主要是采取两种方式：采用安全操作系统，或对操作系统进行安全改造，且使用效果要达到以上要求。对于强制访问控制中的权限分配和账号管理部分可以通过等级保护配置核查产品进行定期扫描核查，及时发现与基线要求不符的配置并进行加固。同时账号管理和权限控制部分还可以通过堡垒机产品来

50、进行强制管控，满足强制访问控制的要求。主机入侵防范根据等级保护三级要求，需要对主机入侵行为进行防范。针对主机的入侵防范，可以从以下多个角度进行处理：部署入侵检测/保护系统，在防范网络入侵的同时对关键主机的操作系统提供保护，提供根据入侵事件的风险程度进行分类报警。部署漏洞扫描进行安全性检测，及时发现主机漏洞并进行修补，减少攻击者可利用的对象。操作系统的安全遵循最小安装的原则，仅安装需要的组件和应用程序，关闭多余服务等，减少组件、应用程序和服务中可能存在的漏洞。根据系统类型进行安全配置的加固处理。主机审计主机层审计记录系统用户和数据库用户重要的安全相关事件。系统用户审计主要包括重要用户行为、系统资

51、源的异常使用和重要程序功能的执行等；还包括数据文件的打开关闭，具体的行动，诸如读取、编辑和删除记录，以及打印报表等。对于系统用户审计建议可以通过堡垒机来实现，堡垒机是集账号权限管控以及用户行为审计与一体的安全运维产品，能够通过录屏，记录命令行等方式记录用户对重要服务器的访问行为以及所做的各种操作。数据库用户审计主要包括用户的各种数据库操作，如插入、更新、删除、修改等行为。对于某些对数据可用性、保密性和完整性方面十分敏感的应用，要求能够捕捉到每个所改变记录的事前和事后的情况。对于数据库用户审计建议可以通过网络审计产品来实现，网络审计产品以旁路方式接入网络，不会对网络造成影响，能够对所有数据库操作

52、行为进行细粒度的记录，以便事后追查。恶意代码防范针对病毒风险，应在数据中心所有服务器和终端主机上部署防病毒系统，加强终端主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。同时部署防病毒服务器，负责制定终端主机防病毒策略，进行防病毒系统的统一管理。终端防病毒系统应与网络防病毒系统为不同品牌，以构成立体防护体系。剩余信息保护为实现剩余信息保护，达到客体安全重用，应及时清除剩余信息存储空间，建议通过对操作系统及数据库系统进行安全加固配置，使得操作系统和数据库系统具备及时清除剩余信息的功能，从而保证用户的鉴别信息、文件、 目录、 数据库记录等敏感信息所在的存储空间（内存、硬盘）被及时释放或者

53、再分配给其他用户前得到完全清除。资源控制对主机层面的资源控制可以通过以下几个方面来实现：登录条件限制：在交换、路由设定终端接入控制，或使用主机防护软件设定终端接入限制，对网络地址范围等条件限制用户终端登录。用户可用资源阈值：限制单个用户对系统资源的最大最小使用限度，保障正常合理的资源占用。设定安全策略对在终端登录超时的用户进行锁定，使用主机监控产品对重要的服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况，并对用户的资源使用情况做出大小使用度限制。当系统的服务水平降低到预先规定的最小值进行检测和报警。通过内网终端管理系统实现对用户的接入方式、登陆超时锁定、主机资源、网络资

54、源等进行告警及控制。建议根据基本要求通过安全加固措施对主机资源进行限定，还可以通过部署监控管理系统进行资源监控。应用层安全身份鉴别为提高应用服务安全性，保障各种业务的正常运行，应在应用系统开发过程中进行相应身份鉴别功能的开发，包括：根据基本要求配置用户名/口令，口令必须具备采用3 中以上字符、长度不少于8位并定期更换。保证系统用户名具有唯一性。启用登录失败处理功能，登录失败后采取结束会话、限制非法登录次数和自动退出等措施。对用户登录采取双因素认证方式，采用USBkey+ 密码进行身份鉴别或者通过CA系统进行身份鉴别。访问控制应用层访问控制可以通过以下几个方面实现：根据等级保护基本要求进行访问控

55、制的配置，包括：权限定义、默认账号的权限管理、控制粒度的确定等。通过安全加固措施制定严格的用户权限策略，保证账号、口令等符合安全策略要求。通过防火墙制定符合基本要求的ACL 策略。通过部署WEB 应用防火墙保护基于WEB 的应用服务器安全审计应用层安全审计是对业务应用系统行为的审计，需要与应用系统紧密结合，此审计功能应与应用系统统一开发。数据中心业务系统审计应记录系统重要安全时间的日期、时间、发起者信息、类型、描述和结果等，并保护好审计结果，阻止非法删除、修改或覆盖审计记录。同时能够对记录数据进行统计、查询、分析及生产审计报表。同时可以部署数据库审计系统对用户行为、用户事件及系统状态加以审计、

56、范围覆盖到每个用户，从而把握数据库系统的整体安全性。剩余信息保护为实现剩余信息保护，达到客体安全重用，应及时清除剩余信息存储空间，建议通过对操作系统及数据库系统进行安全加固配置，使得操作系统和数据库系统具备及时清除剩余信息的功能，从而保证用户的鉴别信息、文件、目录、数据库记录等敏感信息所在的存储空间（内存、硬盘）被及时释放或者再分配给其他用户前得到完全清除。通信完整性对于信息传输和存储的完整性校验可采用消息摘要机制确保完整性校验，应在应用系统开发过程中进行数据完整性校验功能开发。对于信息传输的完整性校验应由传输加密系统完成，可以通过部署VPN 系统以保证远程数据传输的数据完整性。对于信息存储的

57、完整性校验应由应由系统和数据库系统完成。通信保密性应用层的通信保密性主要由应用系统完成，应在应用系统开发过程中进行数据加密的开发。 在通信双方建立连接之前，应用系统应利用密码技术进行绘画初始化验证，并对通信过程中的敏感信息字段进行加密。对于信息传输的通信保密性应由加密系统完成。可以通过部署 VPN 系统以保证远程数据传输的数据机密性。抗抵赖性抗抵赖性可以通过数字签名技术实现，通过数字签名及签名验证技术，可以判断数据的发送方是否是真是存在的用户。数字签名是不对称加密算法的典型应用。数字签名的应用过程是： 数据源发送方是用自己的四月对数据校验和对其他与数据内容有关的便利进行加密处理，完成对数据的合

58、法“签名”，数据接收方则利用对方的公钥来解读收到的“数字签名”并将解读结果用于对数据完整性的检验，以确认签名的合法性的同时，通过对签名的验证，可以判断数据在传输过程中是否被更改。从而， 可以实现数据的发送方不能对发送的数据进行抵赖，发送的数据是完整的，实现系统的抗抵赖性和完整性需求。软件容错对于软件容错应在应用系统开发过程中进行相应容错功能的开发，并在上线之前进行代码审核，对输入数据进行校验，保证复核规定；且应具备自动保护功能设计，故障后可以恢复。资源控制应用层面的资源控制可以通过系统安全加固措施进行系统资源限定来实现：会话自动结束：当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方

59、应能够自动结束会话，释放资源；会话限制：对应用系统的最大并发会话连接数进行限制，对一个时间段内可能的并发会话连接数进行限制，对单个帐户的多重并发会话进行限制，设定相关阈值，保证系统可用性。超时锁定：根据安全策略设置应用会话超时锁定。应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；应能够对系统服务水平降低到预先规定的最小值进行检测和报警；应提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源。数据层安全数据完整性数据中心中传输的重要数据，其安全要求较高，尤其是血液系统中的数据信息和精神卫其方法是：发送方使生管理系统中的隐私信息，

60、建议采用消息摘要机制来确保完整性校验。用散列函数，如(SHA， MD5 等)对要发送的信息进行摘要计算，得到信息的鉴别码，联通信息一起发送给接收方，将信息也信息摘要进行打包后插入身份鉴别标识，发送给接收方。接收方对接收到的信息，首先确认发送方的身份信息，解包后，重新计算，将得到的鉴别码与收到的鉴别码进行比较，若二者相同，则可以判定信息未被篡改，信息完整性没有受到破坏。在传输过程中可以通过VPN 系统来保证数据包是完整性、保密性和可用性。数据存储过程中的完整性可以通过数据库的访问控制来实现。读访问控制必须制定相应的控制措施，以确保获准访问数据库或数据库表的个体，能够在数据库数据的信息分类级别的合