安全生产_医疗集团信息安全等级保护整改建议方案书

延安医疗集团延安医疗集团 信息安全等级保护整改建议方案书信息安全等级保护整改建议方案书 沈阳东软系统集成工程有限公司沈阳东软系统集成工程有限公司 2015 年年 7 月月 目录目录 1项目概述项目概述3 1.1项目建设背景 .3 1.2项目建设目标 .3 1.3项目参考标准 .5 1.4项目实施原则 .5 2现状及需求分析现状及需求分析.6 2.1现状描述.7 2.1.1业务系统现状.7 2.1.2基础设施现状.11 2.1.3安全技术现状.16 2.1.4安全管理现状.17 2.2差距分析.18 2.2.1系统定级情况.18 2.2.2技术体系差距分析.18 2.2.3管理体系方面的差距.25 2.3安全需求.25 2.3.1信息安全管理需求.26 2.3.2信息安全运维需求.28 2.3.3分域保护安全需求.28 2.3.4信息安全技术需求.28 3安全技术设计方案安全技术设计方案.31 3.1基本安全域定义 .31 3.2安全防护体系构成 .32 3.3系统整体部署 .33 3.4系统部署说明 .35 4安全加固建设方案安全加固建设方案.35 4.1主机安全加固 .36 4.2网络安全加固 .40 4.3设备安全加固优化 .41 4.4数据库系统安全加固 .41 4.5管理制度.43 4.6服务方式.43 4.7服务流程.44 5协助测评建设方案协助测评建设方案.44 6安全管理体系建设方案安全管理体系建设方案 .44 6.1安全策略设计 .47 6.2安全策略与安全规划 .48 6.3管理制度.49 6.4安全管理体系建设过程 .50 6.5落实医疗集团信息安全责任制51 6.6医疗集团安全管理现状分析51 6.7确定医疗集团安全管理策略，制定安全管理制度52 6.8落实医疗集团人员安全管理制度52 6.9落实医疗集团系统运维管理制度53 6.10落实医疗集团系统建设管理制度55 6.11医疗集团安全管理制度汇总55 7阶段项目验收与成果物阶段项目验收与成果物 .56 7.1项目验收流程 .56 7.2验收评审标准 .57 7.3阶段验收成果物与总结 .57 8附附 1：整改建议方案价格预算：整改建议方案价格预算.59 9附附 2：东软在医院等保整改建设中优势说明：东软在医院等保整改建设中优势说明.61 1 项目概述项目概述 1.1 项目建设背景项目建设背景 根据卫生部制定的卫生行业信息安全等级保护工作的指导意见以及陕西省卫生厅 印发的关于全面开展我省卫生行业信息安全等级保护的通知 （陕卫办发2012131 号） 、 陕西省卫生行业信息安全等级保护工作实施方案 （陕卫办发2012132 号） 、 陕西省卫生厅办公室关于加强信息系统安全等级保护工作的通知 （陕卫办数发 2013275 号）等相关文件要求，为进一步促进和规范延安医疗集团（以下简称：医疗 集团）的信息化建设，提高医疗集团的管理与业务工作水平，进一步提高医疗集团信息安 全保障能力和防护水平，建立面向医院、面向社会公众和患者、面向卫生行政部门的高效、 快捷、方便、优质的医疗卫生信息共享与服务体系，充分利用医疗卫生资源，利用信息化 的战略先进性，努力提高人民群众的健康水平，在响应国家关于等级保护要求的基础上， 维护院方信息安全，保障和促进医疗集团信息化建设的健康发展，按照国家有关规定和标 准规范要求、医疗行业发文要求，医疗集团决定围绕医院核心业务系统 HIS 系统、LIS 系统、 PACS 系统深入开展信息安全等级保护工作，并在此基础上指引后续信息化安全建设方向。 本整改建议方案书是沈阳东软系统集成工程有限公司（以下简称：东软公司）在西安 捷润数码科技有限公司针对医疗集团核心医院医疗集团本部信息化现状调研、分析后出具 的延大附院安全整改建议书-详细 V2.0的基础上，依据上述建议书所反映的医疗集团 的相关安全问题和信息系统现状所出具的等级保护整改建议方案书。信息系统的安全状态 会随着时间的推移和新技术和新漏洞等的不断发现而不断发展变化，故本建议方案书仅针 对上述由西安捷润数码科技有限公司出具的建议书所体现的医疗集团的信息系统现状而制 作。后期进入项目实施阶段后，根据信息系统的最新安全现状和具体的产品部署环境，该 建议方案书可能还需要有局部的调整和更进一步的细化与优化。 1.2 项目项目建设目标建设目标 三级信息系统安全保护环境的设计目标是：落实 GB 17859-1999 对三级信息系统的安 全保护要求，在二级安全保护环境的基础上，通过实现基于安全策略模型和标记的强制访 问控制以及增强系统的审计机制，使得系统具有在统一安全策略管控下，保护敏感资源的 能力。 依照国家计算机信息系统安全保护等级划分准则 、 信息系统安全等级保护基本要 求 、 信息系统安全保护等级定级指南等标准，以及医疗集团对信息系统等级保护工作 的有关规定和要求，医疗集团已经对网络和信息系统进行等级保护定级，并按信息系统逐 个编制了定级报告和定级备案表，定级材料已经提交当地公安机关备案。 本次等级保护整改的核心目标是为满足物理安全、网络安全、主机安全、应用安全、 数据安全五个方面的基本技术要求而进行技术体系建设；为满足安全管理制度、安全管理 机构、人员安全管理、系统建设管理、系统运维管理五个方面定基本管理要求而进行管理 体系建设。通过上述两个方面的建设使得医疗集团网络信息系统最终既可以满足等级保护 的相关要求，又能够全方位为医疗集团的业务系统提供立体、纵深的安全保障防御体系， 保证信息系统整体的安全保护能力。本项目建设将完成以下目标： 1、以医疗集团 HIS、LIS、RIS、PACS、体检、临床路径、心电图系统等信息系统 的现有基础设施为基础，建设并完成满足等级保护三级系统基本要求的信息系统，确保医 疗集团的整体信息化建设符合相关要求并迈向新的台阶。 2、建立安全管理组织机构，成立信息安全工作小组，信息中心负责人为安全责任人， 拟定实施医院信息系统安全等级保护的具体方案，并制定相应的岗位责任制，确保信息安 全等级保护工作顺利实施。 3、建立完善的安全技术防护体系，根据信息安全等级保护的要求，建立满足三级要求 的安全技术防护体系。 4、建立健全信息系统安全管理制度，根据信息安全等级保护的要求，制定各项信息系 统安全管理制度，对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记 录文档。 5、制定保障医疗活动不中断的应急预案。应急预案是安全等级保护的重要组成部分， 按可能出现问题的不同情形制定相应的应急措施，在系统出现故障和意外且无法短时间恢 复的情况下能确保医疗活动持续进行。 6、安全培训：为医疗集团信息化技术人员提供信息安全相关专业技术知识培训，并获 取相关资质认证。 1.3 项目参考标准项目参考标准 东软公司有充分的能力和丰富的经验在遵循国家信息安全等级保护指南等最新安全标 准的前提下协助医疗集团开展各项等级保护整改建设工作，并助力和配合医疗集团通过相 关组织的等级保护测评工作。本项目建设参考依据：本项目建设参考依据： 指导思想 中办200327 号文件（关于转发国家信息化领导小组关于加强信息安全保 障工作的意见的通知） 公通字200466 号文件（关于印发信息安全等级保护工作的实施意见的 通知） 公通字200743 号文件（关于印发信息安全等级保护管理办法的通知） 公信安2009 1429关于开展信息安全等级保护安全建设整改工作的指导意 见 等级保护 GB 17859-1999 计算机信息系统安全保护等级划分准则信安字200710 号 信息安全技术 信息系统安全等级保护实施指南 系统定级GB/T 22240-2008 信息安全技术 信息系统安全保护等级定级指南 技术方面 GB/T 20270-2006 信息安全技术 网络基础安全技术要求 GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 GB/T 20272-2006 信息安全技术 操作系统安全技术要求 GB/T 20273-2006 信息安全技术 数据库管理系统通用安全技术要求 GA/T671-2006 信息安全技术 终端计算机系统安全等级技术要求 GA/T 709-2007 信息安全技术 信息系统安全等级保护基本模型 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 管理方面 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T20269-2006 信息系统安全管理要求 GB/T20282-2006 信息系统安全工程管理要求 ISO/IEC 27001 信息系统安全管理体系标准 方案设计信安秘字2009059 信息系统等级保护安全设计技术要求 等保测评 信息系统安全等级保护测评要求 （公安部报批稿） 信息系统安全等级保护测评过程指南 （公安部报批稿） 1.4 项目实施原则项目实施原则 针对医疗集团本次项目，东软公司如有幸参与，我们将严格遵循以下原则： 保密性原则保密性原则：东软公司对安全服务的实施过程和结果将严格保密，在未经医疗集 团授权的情况下不会泄露给任何单位和个人，不会利用此数据进行任何侵害客户 权益的行为； 标准性原则标准性原则：服务过程中的设计和实施的全过程均依据国内或国际的相关标准进 行，根据等级保护三级基本要求，分等级分安全域进行安全设计和安全建设，对 医疗集团计算机网络系统的重要信息系统进行安全防护。 规范性原则规范性原则：东软在各项安全服务工作中的过程和文档，都具有很好的规范性 （东软安全服务实施规范），可以便于项目的跟踪和控制； 可控性原则可控性原则：服务所使用的工具、方法和过程都会在东软公司与医疗集团双方认 可的范围之内，服务进度遵守进度表的安排，保证双方对服务工作的可控性； 整体性原则整体性原则：服务的范围和内容整体全面，涉及到 IT 运行的各个层面，避免由于 遗漏造成未来的安全隐患； 最小影响原则最小影响原则：服务工作力求尽可能小的影响信息系统的正常运行，不会对现有 业务造成明显影响。 体系化原则体系化原则：在体系设计、建设中，东软公司将充分考虑到各个层面的安全风险， 构建完整的立体安全防护体系。 先进性原则先进性原则：为满足后续不断增长的业务需求、对安全产品、安全技术都充分考 虑前瞻性要求，采用先进、成熟的安全产品和先进的管理方法。 分步骤原则分步骤原则：根据医疗集团要求，对医疗集团安全保障体系进行分期、分步骤的 有序部署和分期设计，不仅要完成现阶段的项目任务，还需要为未来信息系统的 建设进行前瞻性的指引。 服务细致化原则服务细致化原则：在项目咨询、建设过程中东软公司将充分结合自身的专业技术 积累与行业经验，结合医疗集团的实际信息系统量身定做才可以保障其信息系统 安全稳定的运行。 2 现状及需求分析现状及需求分析 本节的现状和需求分析主要是针对医疗集团本部（即：延大附院）进行分析的，医疗 集团下属其他 7 家县级医院在本次等级保护整改建设中仅考虑互联互通中的边界安全防护 设计。 2.1 现状描述现状描述 2.1.1业务系统现状业务系统现状 医疗集团本部目前分为本部，东关分院两大部分，两院网络相对独立，通过专线连通， 本部和东关分院网络结构如下图： 2.1.1.1电子病历系统电子病历系统 医疗集团本部“电子病历系统”是医院的核心业务系统，为整个医院的医疗科研业务 提供信息支持，为患者提供健康信息服务。电子病历系统包含：HIS 应用系统、RIS 应用系 统、PACS 应用系统、LIS 应用系统、体检应用系统、临床路径应用系统、心电图应用系统 等。 HIS 应用系统应用系统 HIS 应用系统是医疗集团本部非常重要的系统。HIS 系统覆盖了全院所有业务和业务 全过程，功能包括了门诊挂号系统；中药库、西药库管理系统；住院部医生工作站系统； 住院部护士工作站系统医技科室管理系统；院长查询分析系统；病案管理系统；设备、总 务、供应室管理系统等功能。其他重要业务系统基本都与 HIS 系统做了接口，实现功能跳 转和数据共享等。运用该系统能实现对医院日常业务的规范化管理，让管理者即时监控医 疗集团本部运营状况，显著提升医疗集团本部工作效率，提高医疗集团本部医疗质量和管 理水平。该系统为医疗集团本部核心生产系统，实时性要求非常高，不仅连接医疗集团本 部内部众多系统，而且连接医保网络。 2.5.1.1.1 RIS 应用系统应用系统 RIS 应用系统提供了一个全息的数字化业务平台，放射科医师在此基础上进行数字化 读片、诊断、撰写报告、审核并完成图像及其报告的分发。 2.5.1.1.2 LIS 应用系统应用系统 LIS 系统（Laboratory Information Management System） ，将实验仪器与计算机 相连，快速实现对病人样品登录、实验数据存取、报告审核、打印分发等功能，实验数据 统计分析等繁杂的操作过程实现了智能化、自动化和规范化管理。有助于提高实验室的整 体管理水平，减少漏洞和误操作，提高医疗检验质量。该系统为医疗集团本部重要业务系 统，具有最多的接入终端。 2.5.1.1.3 PACS 应用系统应用系统 PACS 系统应用在医疗集团本部影像科室的系统，把日常产生的各种医学影像（包括 核磁，CT，超声，各种 X 光机，各种红外仪、显微仪等设备产生的图像）通过各种接口 （模拟，DICOM，网络）以数字化的方式海量保存起来，当需要的时候在一定的授权下 能够很快的调回使用，同时增加一些辅助诊断管理功能，负责在各种影像设备间传输数据 和组织存储数据。该系统为医疗集团本部重要业务系统，需传输大量的影像视频数据，对 网络带宽有很高的要求。 2.5.1.1.4 体检应用系统体检应用系统 体检系统以体检信息为主线，健康指导为纽带，通过规范体检流程管理，合理安排体 检项目，通过网络传输各种检验、检查结果，减少中间环节，提高安全性和可靠性。体检 系统能够提供规范的体检结果报告，并能进行分析，使体检报告更具科学性。体检系统跟 HIS 系统、LIS 系统、RIS 系统做了接口连接保证了健康状况资料连续性，能方便、快捷 地进行逐年体检情况追踪，并体检信息综合分析，形成各项医疗统计报表，为体检单位提 供人员整体健康状况分析。 2.5.1.1.5 临床路径应用系统临床路径应用系统 临床路径应用系统保证治疗项目精细化、标准化、程序化，减少治疗过程的随意化， 并和 HIS 应用系统做了接口连接；提高我院资源的管理和利用，加强临床治疗的风险控制； 缩短住院周期，减低费用；临床路径应用系统还可以为无相关经验人员提供教育学习机会。 2.5.1.1.6 心电图应用系统心电图应用系统 心电图应用系统通过专有仪器对患者进行检测，检测结果存入心电图应用系统的数据 库，并和 HIS 系统做接口连接，医护人员可以通过 HIS 系统和心电图系统直接调用检测 结果。 2.5.1.1.7 EMR 应用系统应用系统 EMR 系统（电子病历系统）是医学专用软件。医院通过电子病历以电子化方式记录患 者就诊的信息，包括：首页、病程记录、检查检验结果、医嘱、手术记录、护理记录等等， 其中既有结构化信息，也有非结构化的自由文本，还有图像信息。涉及病人信息的采集、 存储、传输、质量控制、统计和利用。在医疗中作为主要的信息源，提供超越纸张病历的 服务，满足医疗、法律和管理需求。 2.1.1.2HIS 就诊卡就诊卡/一卡通系统一卡通系统 医疗集团本部将于近期上线的“HIS 就诊卡/一卡通系统” ，该系统与其他做 HIS 接口 系统不同的是：是集成在 HIS 系统中的一个收费模块，与其他接口系统做了数据绑定，实 现 RIS、LIS、心电图等业务系统的电子化计费、收费等功能，其相关财务数据存于 HIS 数据库中。该系统优化了患者的就诊流程,改变了就诊模式,提高了工作效率,提升了门、急 诊工作质量和管理水平,促进了门、急诊部的信息化建设。 由于该系统与 HIS 数据和其他业务数据具有紧密的联系，预计在将来可能会与医院现 有财务管理系统做接口，实现业务数据和财务数据的彻底绑定，所以其安全的保密性、完 整性、可用性的要求与 HIS 系统、财务系统等重要业务系统同等重要。 2.1.1.3财务管理系统财务管理系统 医疗集团本部财务系统是该院内部财务管理、资产管理、人员管理的重要系统，涵盖 的业务功能有报账、对账、财务分析、票据管理、财务报表、所得税申报等功能。 2.1.2基础设施现状基础设施现状 信息机房信息机房 序号序号机房名称机房名称物理位置物理位置 1 医疗集团本部中心机房医疗集团本部 21 层（共 21 层） 2 医疗集团本部东关分院中心机房 医疗集团本部东关分院行政楼 7 层（共 7 层） 主要业务应用系统主要业务应用系统 序号序号系统名称系统名称系统描述系统描述等保级别等保级别 1. 电子病历系统 核心业务系统，包括 HIS、RIS、LIS、PACS、 体检、临床路径、心电图、EMR 等多个功能模块 三级 2. HIS 就诊卡/一卡通 系统 重要业务系统，实现 RIS、LIS、心电图等业务 系统的电子化计费、收费等功能。 三级 3. 财务系统 重要业务系统，涵盖报账、对账、财务分析、票 据管理、财务报表、所得税申报等功能。 三级 主要主机主要主机/存储设备存储设备 序序 号号 设备名称设备名称操作系统操作系统/数据库管理系统数据库管理系统重要程度重要程度 1 HIS-应用服务器-1-IBM-X366 SQLSever2000 重要 2 HIS-应用服务器-3- Dell-P2950 SQLSever2000 重要 3 体检服务器- IBM X3650 SQLSever2000 重要 4 网管管理服务器-Dell-P2950 SQLSever2000 重要 5 PACS 数据库服务器-Dell-R710 SQLSever2005 重要 6 RIS 数据库服务器-Dell-R710 SQLSever2005 重要 7 LIS-应用服务器-4-IBM-X3650-M4 SQLSever2008 重要 8 HIS-应用服务器-1-IBM-X366DB2 数据库重要 9 HIS-应用服务器-2- IBM-X3850DB2 数据库重要 10 HIS-应用服务器-3- Dell-P2950DB2 数据库重要 11 手麻 IBM X3650DB2 数据库重要 12 HIS-数据库服务器-主-IBM-P730DB2 数据库重要 13 HIS-数据库服务器-备- IBM-P750DB2 数据库重要 14 HIS-应用服务器-5- IBM-X3650- M4 DB2 数据库重要 15 HIS-应用服务器-4- IBM-X3650- M4 DB2 数据库重要 16 财务科服务器- IBM X3650 M3Oracle 数据库重要 17 HIS-应用服务器-1-IBM-X366 WindowsServer2003-SP2 重要 18 HIS-应用服务器-2- IBM-X3850 WindowsServer2003-SP2 重要 19 HIS-应用服务器-3- IBM-X3650- M4- WindowsServer2003-SP2 重要 20 HIS-应用服务器-4- IBM-X3650- M4- WindowsServer2008SP2 重要 21 HIS-应用服务器-5- IBM-X3650- M4 WindowsServer2008-SP2 重要 22 财务科服务器- IBM X3650 M3 WindowsServer2003-SP2 重要 23 手麻-体检服务器- IBM X3650 WindowsServer2003-SP2 重要 24 综合管理服务器-Dell-P2950 WindowsServer2003-SP2 重要 25 PACS、RIS 数据库服务器 WindowsServer2003-SP2 重要 26 PACS 服务器-2-Dell-R710 WindowsServer2003-SP2 重要 27 内网服务器- Dell-P2950 WindowsServer2003-SP2 重要 28 图像引擎服务器-本部-Dell-T550 Windows7 重要 29 图像引擎服务器-东关 Dell-T550 Windows7 重要 30 图像引擎服务器-洛川 Dell-T550 Windows7 重要 31 HIS-数据库服务器-主-IBM-P730 AIX-5.3.0.0 重要 32 HIS-数据库服务器-备-IBM-P750 AIX-5.3.0.0 重要 33 心电服务器- IBM-X3650-M4（东 关） WindowsServer2003-SP3 重要 34 临床路径服务器-IBM-X3650- M4（东关） WindowsServer2003-SP3 重要 35 物流服务器-IBM-X3650-M4（东关） WindowsServer2003-SP3 重要 36 HIS 应用-1-输血-IBM-X3650- M4（东关） WindowsServer2003-SP3 重要 37 HIS 应用-2-综合业务-IBM-X3650- M4（东关） WindowsServer2003-SP3 重要 38 HIS 应用-3-IBM-X3650-M4（东关） WindowsServer2003-SP3 重要 39 心电服务器- IBM-X3650-M4（东 关） SQLServer2008 重要 40 临床路径服务器-IBM-X3650- M4（东关） SQLServer2008 重要 41 物流服务器-IBM-X3650-M4（东关） SQLServer2008 重要 42 HIS 应用-1-输血-IBM-X3650- M4（东关） DB2 数据库重要 43 HIS 应用-2-综合业务-IBM-X3650- M4（东关） DB2 数据库重要 44 HIS 应用-3-IBM-X3650-M4（东关） DB2 数据库重要 主要网络互连设备主要网络互连设备 序号序号操作系统名称操作系统名称设备名称设备名称 1 Cisco IOS v 5.0 核心交换机-Cisco-N7010-主 2 Cisco IOS v 12.2 核心交换机-Cisco-6509-备 3 Cisco IOS v 12.2Sever-1-Cisco-4948 4 Cisco IOS v 12.2Sever-2-Cisco-4948 5 Cisco IOS v 12.2 HIS-服务器接入交换机-Cisco-2960 6 Cisco IOS v 12.2p1r1-Cicso-2960 7 Cisco IOS v 12.2 楼层接入交换机-1F- Cisco-2960 8 Cisco IOS v 12.2 楼层接入交换机-5F- Cisco-2960 9 Cisco IOS v 12.2 楼层接入交换机-10F- Cisco-2960 10 Cisco IOS v 12.2 楼层接入交换机-15F- Cisco-2960 11 Cisco IOS v 12.2 楼层接入交换机-20F- Cisco-2960 12 Cisco IOS v 12.2 楼层接入交换机-住院楼 Cisco-2960 13 Cisco IOS v 12.2 楼层接入交换机-检验楼- Cisco-2960 14 Cisco IOS v 12.2 楼层接入交换机-仿古楼- Cisco-2960 15 Cisco IOS v 12.2 楼层接入交换机-儿科楼- Cisco-2960 16 Cisco IOS v 12.2 楼层接入交换机-CT 楼- Cisco-2960 17 Cisco IOS v 12.2 核心交换机-Cisco-6509-主 18 Cisco IOS v 12.2 核心交换机-Cisco-3560-备 19 Cisco IOS v 12.2dgfynei5-Cisco- C2960S 20 Cisco IOS v 12.2dgfynei4-Cisco- C2960S 21 Cisco IOS v 12.2dgfynei3-Cisco- C2960S 22 Cisco IOS v 12.2dgfynei2-Cisco- C2960S 23 Cisco IOS v 12.2dgfynei1-Cisco- C2960S 24 Cisco IOS v 12.2dgfynei0-Cisco- C2960S 主要网络安全设备主要网络安全设备 序号序号设备名称设备名称数量数量用用 途途重要程度重要程度 1. ？ 1 防火墙重要 2. 3. 2.1.3安全技术现状安全技术现状 2.1.3.1物理安全现状物理安全现状 延大附中的信息机房分布于本部和东关分院两处，机房建设时间较早，在建设初期， 国家相关的法规和标准不够健全，故在机房选址和基本的物理安全方面缺少对于相关安全 要求的考虑，在机房选址、访问控制、防盗防破坏、防火、防水和防潮、防静电、温湿度 控制、电力供应、电磁防护方面均有不同程度的安全隐患和防护建设需求。 2.1.3.2网络安全现状：网络安全现状： 延大附中信息系统采用百兆到桌面，千兆到交换，万兆到服务器的方式建立 TCP/IP 网络架构，在传统的接入-汇聚-核心三层架构上，将重要服务器以及 HIS、LIS、PACS 等应 用系统放置在服务器区，但全网安全设备缺乏，整个信息系统网络架构中仅部署了一台防 火墙，没有其他安全防护措施，网络访问主要通过交换机 ACL 控制。 2.1.3.3主机安全现状：主机安全现状： 主机系统主要采用 windows 2003、windows2008、windows7 的微软操作系统和 AIX 操作系统，所有的操作系统的配置均使用默认的缺省配置，未进行危险配置项的规避 操作和系统漏洞的升级和加固工作。同时，根据西安捷润数码科技有限公司出具的差距分 析报告和其他相关报告，延大附中的主机系统也未发现有主机防病毒系统，主机系统同时 面临病毒和恶意代码的威胁。 2.1.3.4应用安全现状：应用安全现状： 应用系统多为 CS 架构，系统设计开发之初并未充分考虑系统的安全需求和相关的合 规性要求，系统建设和开发主要以实现功能性需求为主导目标，各应用系统的分角色分权 限管理和强身份认证几乎均为空白。 2.1.3.5备份恢复现状：备份恢复现状： 所有的信息系统审计日志和运行日志均没有备份机制，核心业务系统的数据库可以做 到同城异地备份，但对于数据的备份没有校验机制，对于已经备份的数据没有恢复测试机 制。 2.1.4安全管理现状安全管理现状 根据延大附院安全整改建议书-详细 V2.0的描述，医疗集团本部现有安全管理制 度如下： 序号序号文档名称文档名称主要内容主要内容 1 机房管理制度机房出入登记，相关配置变更记录，机房设备管理。 2 安全管理制度设备安全操作和流程规定，防盗窃、防破坏。 3 技术管理制度软件更新升级，技术开发工作管理。 4 数据库备份制度数据库备份时间，备份方式及操作人员。 5 技术部岗位职责 针对技术部所有岗位职责要求，主要为技术和管理人员约 定职责范围。 6 机房值班人员职责机房值班时间，人员安排。 7 介质安全管理制度 机房与办公设备区的过期或者错误资料的介质统一销毁管 理。 8 信息发布工作管理制 度 对内对外的信息发布格式检查，内容校验。 9 数据存储和保管制度数据存储器和服务器的管理制度。 10 服务器故障应急处理 规程 服务器的热备和冷备，以及故障时处理方案。 11 系统维护和应急恢复 制度 服务器系统升级维护，以及服务器故障时的应急方案。 12 客户端系统安全管理 制度 客户端操作系统安全维护，病毒库升级。 2.2 差距分析差距分析 2.2.1系统定级情况系统定级情况 系统名称系统名称等级保护级别等级保护级别相关系统相关系统 电子病历系统三级 HIS、LIS、RIS、PACS、体检、临床路径、心电 图系统等 财务管理系统三级 / 2.2.2技术体系差距分析技术体系差距分析 各子系统的详细差距分析参见延大附院安全整改建议书-详细 V2.0 ，以下是对各子 系统的普遍性安全问题和差距项的分析性描述，这些描述主要体现了医疗集团本部 IT 系统 与等保三级要求的标准差距以及这些差距可能引发的相关安全隐患和可能引发的安全问题。 2.2.2.1物理安全方面的差距物理安全方面的差距 机房位置选择： 机房场地选择在建筑物的最高层（本部 21 层、东关 7 层，都为最高层） ，不符合等保 三级系统“机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。 ”的 标准要求。 机房位于大楼的最高层易受大楼楼层负重限制，制约后期扩容；易遭受地质、天气类 灾害的影响；也存在因为顶楼防水问题引起的机房漏水等安全隐患。 物理访问控制： 机房专人值守但缺少机房出入人员的登记册，进出入机房缺少相关申请和审批的流程。 可能因为出入人员的管理措施不到位，引发盗窃、破坏等恶意行为。 机房区域划分不够合理，只划分了监控区和设备区两个区域，可能造成区域安全问题 的扩散。 防盗窃和破坏： 网络设备及线路没有做明确标识，部分强电线路没有做明确标识，没有设置专门的介 质存放柜，容易引发误操作类安全事故发生（本部机房） 。 机房内没有设置视频监控及防盗红外监测和报警装置，缺少防盗监测报警技术措施， 可能对盗窃和恶意闯入行为不能够及时发现，在发生盗窃和破坏事件后也不容易追责。 防火： 机房安装有火情自动检测系统，但是长期未启用。灭火器是七氟丙烷灭火器，气压较 低，并缺少防毒面具，机房内堆放有易燃杂物，防火措施不够全面，当发生火情时，可能 造成灭火处理措施延误现象，当缺失防毒面具时，不能全面防护灭火人员的人身安全。 防水和防潮： 机房空调下方没有设置防水监测线及防水堤坝装置，当空调排水线路发生故障或发生 其他漏水现象时，不能有效对漏水现象进行检测和防护。东关机房存在漏水现象。 防静电： 防静电地板接地铜条设置不完善，机柜没有做接地防护措施，监控台未铺设防静电桌 布，可能引发静电破坏。 温湿度控制： 机房监控区与设备区有玻璃隔断， 缺少对监控区的温湿度检测设备和自动调节设备， 缺少对机房全面地温湿度检测和控制措施，可能引发由温湿度变化引起的设备当机或破坏 事故或者因为湿度过量而影响设备的使用寿命。 电路供电： 机房供电为单路供电，若发生电力线路故障，延时供电系统如部署有限，可能引发全 部业务系统或部分业务系统中断运行的安全问题。 电磁防护： 没有对设备采用电磁防护措施，通信线缆与供电线路交叉铺设，可能存在电磁干扰或 数据泄漏等安全隐患。 2.2.2.2网络安全方面的差距网络安全方面的差距 2.2.2.2.1 网络整体网络整体 结构安全： 业务终端与业务服务器之间未进行路由控制建立安全的访问路径、没有划分业务子网， 没有在网段之间设置技术隔离措施，目前处于全网互通状况，不能有效、合理对业务终端 的网络访问进行隔离，没有对业务带宽进行策略限制，可能造成网络层面的恶意攻击的现 象。 没有对网络区域进行合理划分，部分服务器设备没有进行合理连接，存在单点故障隐 患。 边界完整性： 网络边界处没有相关安全设备，如入侵检测系统，不能对网络攻击行为进行监测，可 能提升事后追责的难度，不能有效对全网安全状况进行分析。 2.2.2.2.2 网络设备网络设备 2.2.2.2.2.1 核心交换机核心交换机 访问控制： 具有 ACL 访问控制列表，但控制粒度为网段级，没有达到端口级，可能造成对端口级 网络攻击行为防护措施的遗漏。 对网络设备的登录管理，管理终端的超时会话没有配置安全策略，未对网络设备管理 用户按照最小安全访问原则进行权限配置，可能造成恶意连接和用户占用系统网络资源。 安全审计： 设备审计策略不完善，只能记录管理或操作设备的用户行为，无法对设备运行状态事 件进行全面记录，没有对设备日志记录进行分析，没有配置日志服务器进行日志的记录和 保存，可能造成审计不全面、数据遗漏或丢失等安全问题。 网络设备防护： 没有对网络设备的登入用户终端 IP 进行限制，只采用用户名密码单一认证方式，没有 设置登录失败等安全措施，并通过明文加密的方式进行远程管理，可能造成恶意登入、密 码猜解、数据包盗取等安全问题。 没有对设备端口进行管理，没有对不必要的端口进行关闭，没有对设备系统相关文件 进行备份，没有建立设备时钟同步机制。可能引发恶意攻击、数据丢失等安全问题。 2.2.2.2.2.2 服务器接入交换机服务器接入交换机 访问控制： 具有 ACL 访问控制列表，但控制粒度为网段级，没有达到端口级，可能造成对端口级 网络攻击行为防护措施的遗漏。 对网络设备的登录管理管理终端的超时会话没有配置安全策略，未对网络设备管理用 户按照最小安全访问原则进行权限配置，可能造成恶意连接和用户占用系统网路资源。 安全审计： 设备审计策略不完善，只能记录管理或操作设备的用户行为，无法对设备运行状态事 件进行全面记录，没有对设备日志记录进行分析，没有配置日志服务器进行日志的记录和 保存，可能造成审计不全面、数据遗漏或丢失等安全问题。 网络设备防护： 没有对网络设备的登入用户终端 IP 进行限制，只采用用户名密码单一认证方式，没有 设置登录失败等安全措施，并通过明文加密的方式进行远程管理，可能造成恶意登入、密 码猜解、数据包盗取等安全问题。 没有对设备端口进行管理，没有对不必要的端口进行关闭，没有对设备系统相关文件进行 备份，没有建立设备时钟同步机制。可能引发恶意攻击、数据丢失等安全问题。 2.2.2.2.2.3 楼层接入交换机楼层接入交换机 访问控制： 对网络设备的登录管理管理终端的超时会话没有配置安全策略，未对网络设备管理用 户按照最小安全访问原则进行权限配置，未进行相关的防地址欺骗技术手段的配置，可能 造成恶意连接和用户占用系统网路资源。 安全审计： 设备审计策略不完善，只能记录管理或操作设备的用户行为，无法对设备运行状态事 件进行全面记录，没有对设备日志记录进行分析，没有配置日志服务器进行日志的记录和 保存，可能造成审计不全面、数据遗漏或丢失等安全问题。 网络设备防护： 没有对网络设备的登入用户终端 IP 进行限制，对管理用户没有采取认证措施，没有设 置登录失败等安全措施，并通过明文加密的方式进行远程管理，可能造成恶意登入、密码 猜解、数据包盗取等安全问题。 没有对设备端口进行管理，没有对不必要的端口进行关闭，没有对设备系统相关文件 进行备份，没有建立设备时钟同步机制。可能引发恶意攻击、数据丢失等安全问题。 2.2.2.3主机安全方面的差距主机安全方面的差距 身份鉴别： 身份鉴别安全措施设备不完善，鉴别方式单一（用户名+密码） ，未设置：账户锁定时 间、锁定阈值、复位账户锁定计数器、最小密码长度等，可能造成口令猜解、非法用户登 入等安全问题。 主机设备没有三权分立，只有系统管理员，没有操作员、安全审计员。可能造成权限 滥用的安全问题。 访问控制： 没有对系统重要资源设置敏感标记，可能造成对数据和文件的非授权使用。 安全审计： 安全审计策略开启不够全面，没有定期备份，没有日志服务器，可能造成审计信息遗 漏或丢失，造成事后追责的难度。 入侵防范： 没有设置 IDS 等入侵检测系统，不能够对主机层面的攻击行为进行管理。 部分不必要的端口和服务启用，扩大恶意攻击者的攻击面。 资源控制： 缺少主机监控和审计系统，不能够对主机层面的系统运行和安全状况进行实时监控，不能 对系统资源使用进行管理，可能造成系统资源的不合理利用或破坏行为。 2.2.2.4应用安全方面的差距应用安全方面的差距 身份鉴别： 身份鉴别措施单一，只采用输入用户名密码的方式进行登录，没有设置鉴别复杂度管 理措施和登录失败处理功能，可能造成恶意人员非法登入尝试、登入用户无法证明合法性 等安全问题。 访问控制： 缺少对重要信息资源设置敏感标记的功能，可能造成资源被非授权使用等安全问题。 安全审计： 缺少对系统安全事件进行分析、统计、生成报表等功能，不能有效、及时对安全事件 进行管理。 剩余信息保护： 对终端登录系统的身份鉴别信息，没有及时清除，可能造成系统级别的数据盗取安全 问题。 通信完整性： 部分系统缺少应用级别的完整保护措施，可能造成数据的篡改等安全问题。 通信保密性： 部分系统没有对数据包进行加密，造成数据泄密等安全问题。 抗抵赖： 没有 CA 认证等系统，不能够对数据原发和接收人进行认证，可能造成数据伪造、身 份伪造等安全问题。 资源控制： 没有对单个用户的最大并发会话数、一个时间段内最大并发会话数的限制，缺失服务 水平最低值报警措施和资源利用优先级设置措施，部分系统缺少最大并发会话连接数的限 制，可能造成系统资源的不合理利用或破坏等安全问题。 2.2.2.5数据安全及备份恢复方面的差距数据安全及备份恢复方面的差距 数据完整性： 业务数据从业务角度划分为：医疗数据、病人数据、医生数据、财务数据、药品数据 等，从系统类别角度划分为：HIS 综合数据、EMR 数据、PACS 数据、RIS 数据、LIS 数据、 体检数据、心电图数据、临床路径数据等，这些数据的传输、处理和存储，一方面与 HIS 系统做接口，另一方面各自有其系统服务和数据库相对应，采用带内传输的方式。 上述数据在传输过程中的完整性安全措施需要在 OSI 模型中得以全面采用，才能构成 客户端到服务端传输途径的全面的数据完整性保障措施。 经分析，通过带内传输的业务数据、鉴别信息和管理数据主要通过 TCP/IP 协议来实 现数据包在传输层和网络层的互通，虽然 TCP/IP 协议具有 CRC 数据校验功能，但在应用 层并没有具体的数据校验和完整性保护及恢复功能，使得应用层与传输层传送的数据可能 会遭受篡改。 系统管理数据的账户密码、审计数据，登入系统的鉴别信息和应用系统业务数据都存 储在服务器和数据库中，在 HIS 业务数据存储方面主要通过 DB2 的集群架构来实现数据的 存储和备份，集群采用 quorum 模式，来对备份的数据进行校验，保障存储备份数据的完 整性。数据库采用主备机制，本部数据库为主，东关数据库为备，东关 HIS 应用连接本部 数据库，东关只接收本部 DB2 数据日志进行备份，当本部数据完整性遭受破坏后，从东关 进行数据恢复。 数据保密性： 通过远程桌面发送的系统管理数据全部采用基本模式，没有配置 SSL 加密模式，虽然 基本模式中采用 RDP 传输协议中自带 60 位 RSA-RC4 加密算法对数据进行简单加密（只 加密密码，不加密用户名） ，但通过“用户口令猜想”攻击手段，可以对 Password 进行穷 举攻击或利用联想，其口令猜测成功率可以达到 24.2%。 HIS、LIS、RIS、PACS、体检、临床路径系统其数据包没有采用加密措施，心电图系 统采用自由加密技术对数据包进行加密。 HIS、心电图等部分系统的审计日志存放为本地服务器系统文件夹中的 TXT 文件中，没 有采用数据加密处理技术。 HIS、RIS、LIS 等数据库中的密码为 MD5 加密存储，但数据值没有启用加密措施。 备份与恢复： HIS 存储只与一台光交换设备做连接，存在单点故障。HIS 应用服务器为四台，本部、 东关各两台，分别做主备。其数据库为主备架构。 部分服务器与单台接入交换机进行双线路连接，但只接入一台交换机。 2.2.3管理体系方面的差距管理体系方面的差距 安全管理制度： 缺少信息安全工作的总体方针和安全策略，缺少全面的信息安全管理制度体系，缺少 对安全管理制度的评审记录，缺少对安全管理制度的制定和发布的管理文档。 安全管理机构： 没有成立信息安全领导小组，缺少相关文件对管理机构内各部门和岗位职责及各个岗 位人员的技能要求的描述，没有相关制度描述审批事项负责部门以及审批的流程和记录， 缺少相关的安全检查记录及对安全检查相关要求的制度和安全检查报告及检查结果通告记 录。 人员安全管理： 缺少人员惩戒、考核、培训等相关制度和记录。 系统建设管理： 缺少软件测试记录、开发文档、工程管理文档、验收报告等资料。 系统运维管理： 缺少系统运维工作的具体管理规定和细则，没有建立起全面、深入的系统运维管理体 系，如变更、备份恢复、应急响应、代码管理、系统升级、日志记录、工作授权与交接等 制度。 2.3 安全需求安全需求 医疗集团本部信息系统的安全需求首要的是要满足三级等级保护系统的防护要求，满 足此类要求说到底是满足监管类的合规性要求。东软公司作为等级保护标准的起草参与厂 商之一，对于等级保护标准有着区别于普通安全厂商的深刻理解。基于 19 年的技术积累 与持续创新，东软公司网络安全事业部已成为国内一流的网络安全团队。我们认为信息安 全建设需要正本清源，从信息安全的本质属性入手，这样不但有更多的方法论和最佳实践 可供借鉴，同时也可以在满足等级保护合规性要求的同时，从根本上改善和提升延大附中 信息系统的安全水平。 信息安全是指信息系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶 意的原因而遭到破坏、更改、泄露；系统连续可靠正常地运行，信息服务不中断。信息安 全包括了保密性、完整性、可用性等特性，本建议方案书将从信息安全管理、信息安全运 维、信息安全技术三个方面展开需求分析，并力求使系统达到在统一安全策略下，防护系 统免受来自外部有组织的团体或拥有较为丰富资源的威胁源发起的恶意攻击、经受较为严 重的自然灾难和其他相当危害程度的威胁所造成的主要资源损害，能够及时发现安全漏洞 和安全事件，并能在系统遭受损害后，较快恢复绝大部分功能。 2.3.1信息安全管理需求信息安全管理需求 符合等级保护要求符合等级保护要求 2003 年的国家信息化领导小组关于加强信息安全保障工作的意见 （27 号文）中指 出：“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息 系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南” 。 根据国家信息化领导小组的统一部署和安排，我国开始在全国范围内全面开展信息安全等 级保护工作。 符合国内国际标准符合国内国际标准 医疗集团本部由自身业务系统建设、运维、发展过程而形成了一系列信息安全管理的 自身需求。自身需求需要满足国家、主管部门规定的信息安全管理标准、要求以外，还需 要参考并符合一些相关的国内国际标准，才能够更有效的保障医疗集团本部信息系统的安 全管理建设。 具体内容包括如下： 1 1、ISO_IECISO_IEC 2700127001 GB/T22080-2008GB/T22080-2008信息安全管理体系要求信息安全管理体系要求 ISO/IEC27001:2005 信息安全管理体系要求（Information Security Management Systems Requirements ） ，是由国际标准化组织（ISO）和国际电工委员会（IEC）组成 的联合技术委员会 JTC1/