医院网络安全等级保护建设实施方案

1医院网络安全等级保护建设实施方案目录第一章项目概述 项目概述1.1建设背景网络的飞速发展促进了的信息化建设，近几年来医院走过了不断发展、完善的信息化历程，先后经过了几次网络升级和改造，构成了一个配置多样的综合性网络平台。为促进信息化建设、应用、管理和服务水平的持续提高，保障医院内部网络、信息系统的安全、稳定运行，需要对目前的网络进行安全加固，并严格参照《信息系统安全基本要求》、《信息系统安全实施指南》《网络安全法》等标准开展信息系统安全加固，但是安全建设是需要动态防御的，要不断更新防御手段和新增更多的防御措施。同时，2015年国家颁布了《网络安全法草案》，明确提出国家实行等级保护制度，并要求“健全网络与信息安全法律法规，完善信息安全标准体系和认证认可体系，实施信息安全建设保护、风险评估等制度。”标志着信息安全建设工作已经上升到国家战略层面，成为关系国计民生的重要任务，并在2017年6月1日正式实施，因此，对医院信息管理系统进行网络安全建设工作是非常重要的任务。1.2建设目标本项目的建设目标是结合医院网络的安全现状，确定医院信息管理系统安全建设需求，并且解决“等级保护合规性要求”、“内部安全威胁及安全防护缺失”的网络现状，全面提升医院的网络安全保护及上网办公体验水平，同时通过增加安全设备及安全策略加固，使医院网络安全建设处于动态防御的状态。本次整改建设完成后各个系统需具备以下能力：系统说明防御能力说明系统在统一的安全防护策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，以及防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警及记录入侵行为的能力；具有对安全事件进行响应处置，并能够追踪安全责任的能力；在系统遭受损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能快速恢复正常运行状态；具有对系统资源、医院、安全机制等进行集中管控的能力通过本次对定级的系统开展安全建设整改与策略加固工作，需要达到以下5个方面的目标：（1）定级系统安全管理水平明显提高；（2）整体安全防范能力明显增强；（3）定级系统安全隐患及时发现与整改；（4）建立一套“防御、监测、响应”的安全体系。（5）满足定级系统合规性要求，通过传统等级保护建设二级标准，并且需要参考等级保护2.0的建设要求。1.3建设范围本次项目建设范围为测评的信息系统进行安全加固，落实物理与环境安全、网络与通信安全、设备与计算安全和应用与数据安全等安全保障措施；落实信息安全责任制，建立并落实各类安全管理策略和制度、设立安全管理机构和人员、安全建设管理和安全运维管理的工作。包括整体网络安全规划，保障通过等级保护验收。同时加强互联网边界隔离的安全防护，加强监测预警机制。有效提高医院整体网络安全水平。1.4建设内容依据《网络安全等级保护基本要求》，落实安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等技术安全保障措施；落实安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理的管理工作。具体内容如下：图1-1网络安全等级保护基本要求框架第二章建设方案编制依据2.1国家相关政策文件2017年6月1日，《网络安全法》正式实施，正式将网络安全提高到国家国家安全的高度，也通过法律的形式明确提出了加强对关键基础设施和其数据保护，以上相关文件对国家关于网络安全的相关政策、法律法规作了详细说明：《中华人民共和国网络安全法》，在网络安全法中第二十一条中明确规定，国家实行等级保护制度。具体内容如下：“第二十一条

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。”2.2国家相关标准文件《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）；《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号).2.3方案设计原则本次的网络与信息安全分析的原则如下：最小影响原则：分析的时候应尽可能小的影响系统和网络的正常运行，不能对现有网络的运行和业务的正常提供产生明显影响；标准性原则：服务方案的设计与实施应依据国内、国际、等级化保护相关要求、相关标准进行；可扩展性：工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制；设计产品具备一定的可扩展性。整体性原则：应从各个方面整体考虑，包括了安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；可控性原则：方法和过程要在双方认可的范围之内，安全分析的进度要按照进度表进度的安排，在技术实施、产品提供、售后保障上都要求可控性，保证医院对于服务工作的可控性；保密原则：对过程数据和结果数据严格保密，所有参与项目人员均有保密义务，不能将测试数据及报告进行公开。2.4方案设计标准2007年6月，《信息安全等级保护管理办法》（公通字【2007】43号文件）正式出台。2017年6月1日，《网络安全法》正式实施，正式将网络安全提高到国家国家安全的高度，也通过法律的形式明确提出了加强对关键基础设施和其数据保护，以上相关文件对国家关于网络安全的相关政策、法律法规作了详细说明：1）法律法规《中华人民共和国网络安全法》2）技术标准指导思想公信安[2009]1429《关于开展信息安全等级保护安全建设整改工作的指导意见》公信安[2014]2182号《关于加强国家级重要信息系统安全保障工作有关事项的通知》（公信安[2014]2182号）等级保护GB17859-1999计算机信息系统安全保护等级划分准则GB/T25058-2010信息系统安全等级保护实施指南技术方面《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）《信息安全技术网络基础安全技术要求》（GB/T20270-2006）《信息安全技术操作系统安全技术要求》（GB/T20272-2006）《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）《信息安全技术服务器技术要求》（GB/T21028-2007）《信息安全技术防范系统要求》（GB∕T31458-2015）管理方面《信息安全技术信息系统安全管理要求》（GB/T20269-2006）《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）《信息技术安全技术信息安全管理体系要求》（GB/T22080-2008）《信息技术安全技术信息安全管理实用规则》（GB/T22081-2008）方案设计GB/T25070-2010信息系统等级保护安全设计技术要求服务标准《信息安全技术信息安全风险评估规范》（GB/T20984-2007）《信息技术安全技术信息安全事件管理指南》（GB/Z20985-2007）

第三章项目需求分析与建设必要性医院的信息网络已随着信息技术水平的提高，凭借其服务功能的多样性以及科学性成为医院的重要基础设施，换言之，医院的运转已离不开信息网络的支持，而网络系统的安全性是医院信息系统得以健康运行的关键。因此，在进行医院信息化建设中应重视网络安全防护工作，保证医院信息网络的安全性，提高政府办公机构的网络服务能力和服务水平。医院信息化系统安全防护措施的建设对保证医院系统的安全性和稳定性具有重要意义，其网络安全管理水平直接关系到医院各个政府部门的正常运作。一旦出现信息安全问题，将会导致网络瘫痪、大量数据丢失，为医院的正常运行和群众带来难以弥补的损失。因此，医院应建立健全信息化系统安全防护体系，制定相关的安全防护措施，从而建立高效、安全、稳定的医院信息化体系。本项目的建设主要从差距分析、安全基础设施现状、新安全威胁分析方面进行分析3.1新安全威胁分析3.1.1未知威胁防御现状分析3.1.1.1看不清的新增资产产生安全洼地关键IT资产的梳理和清单目录是医院运维人员最头疼的问题。未知风险如下：（1）看不清的新增资产因为缺少安全检查与访问控制，成为攻击者攻入关键业务区的跳板。（2）看不清的资产配置信息及开放的服务端口，由于缺乏安全访问规则的控制。（3）看不清的资产漏洞，由于没有适当的安全加固。3.1.1.2看不清的业务关系使业务安全防护失效目前大部分安全防护的重点均停留在网络与应用系统侧，对业务与数据访问的防护还不健全。医院重要系统的访问关系不清楚，如服务器的访问关系，无法清晰的地位未知风险。3.1.1.3看不见的内部横向攻击攻击者绕过边界防护后，发生在内部的横向移动攻击边界防御设备无法进行检测，例如通过失陷主机向内网业务资产或业务资产管理员发起的横向移动或者跳板攻击、内网扫描、漏洞利用、远程控制、攻击会话维持等，均很难被发现。3.1.1.4看不见的违规操作医院网络攻击者的行为往往不是以病毒、漏洞利用等明显的恶意特征出现。攻击者会通过社会工程学、钓鱼、以失陷主机为跳板等手段获取高级管理员的账号与权限；内部潜藏的恶意行为也会通过窃取、窥探等手段获得合法权限。3.1.1.5看不见的异常行为黑客在嗅探、突破、渗透、横移、会话维持、捕获占领的整个攻击链条中，均会非常小心的隐藏自己的攻击行为。3.1.2安全服务能力现状分析随着网络安全设备的增加，越来越需要人员对网络设备的操作和安全服务，对人员的控制信息安全风险评估服务是对信息系统中所存在的安全风险进行有计划的评估和管理。周期性地对信息系统中操作系统、应用软件、安全设备和网络设备可能存在的安全问题进行审查，通过安全扫描、渗透测试和手工检查等评估方式，在更深的层次上发掘出存在的安全隐患，根据评估结果选择适当的安全策略和控制措施，将安全风险控制在可接受的水平。3.2项目建设必要性

3.2.1医院信息化系统建设的基本手段

建立完善的网络安全管理制度是医院信息化系统建设的基本制度保障，科学的网络安全管理制度能够保障网络运营的安全性及稳定性。为此，医院应根据自身需求，对网络系统进行科学管理，制定与各部门相关的网络安全执行规定。同时，对医院人员进行定期网络安全知识培训，使政府人员能够科学地利用信息化网络，促进政务服务水平的提高。通过培训提升网络意识以及制定安全管理制度两方面展开工作，从制度上及意识上提升网络安全的执行效率，提高人们的安全意识。另外，落实网络安全责任制，将医院的各个环节网络安全工作责任落实到人，促进团队到个人的监督工作，通过层层问责、层层监督的形式，实现网络安全管理，与此同时，也能够实现网络安全人人有责，提升政务人员网络安全的责任心，使之能够更加用心地维护网络安全、科学使用网络，避免由于个人操作失误、人为破坏及意外泄露等原因造成网络安全问题。完善的网络安全应急措施以及事故处置方案，能够在网络安全灾难发生后切实减少网络瘫痪时间，及时恢复系统及数据，降低事故损失。为此，完善的网络应急管理措施应包括：网络监督维护工作、数据档案备份工作及事故应急处理工作。网络监督维护工作主要是指对网络安全系统的漏洞进行及时排查、修复，对可能存在的风险予以规避，避免由于监督疏忽造成的病毒侵入等问题。数据档案备份工作是指利用备份软件进行有层次有部门的数据备份工作，使医院系统数据有一个较完整的备份，一旦发生网络安全问题，可以及时恢复数据，尽可能地减少数据丢失问题。而事故应急处理工作是对网络安全事故第一时间做出反应，以减小事故损失及社会影响为基本着眼点，采取应急措施等一系列事故应急方案，保障事故的影响降低到最小。3.2.2医院信息化系统安全建设的重要性目前，医院各个繁杂的项目都极其依赖于网络的功能性，因此医院网络必须保证其安全覆盖24小时安全运营。故而医院网络系统的安全性对医院能否正常运行具有重要的影响作用，同时对政务得到及时高效的处理具有重要作用。可以说，医院系统安全建设是保证医院网络安全运行的前提及数字化管理的重要手段。在目前政务系统的不断推进过程中，医院的信息网络具有较强的开放性，在给群众带来便利的同时，在一定程度上为医院的网络安全带来隐患。医院进行信息化系统安全建设时要做好实时监督，并化解医院信息网络中存在的风险，最大限度使医院各个系统避免网络攻击带来的侵害，且规避网络泄露对医院造成的经济损失和社会影响，确保政务系统的正常运行，保证医院各项工作的顺利开展。安全的信息化系统能够有效防止人为恶意入侵，降低人为更改系统内数据的可能性，保证系统内数据的真实有效性。通过信息化系统，能够清晰地查看医院的政务经费和物资管理，实现经费的合理利用，减少医院不必要的开支，提高经济效益。同时，针对于群众的事务需求，患者可以通过医院各角落的终端实现事务申报，使政府办公流程实现公平透明化，解决群众的疑问。通过安全的信息化系统管理，能够优化财政系统，减少政务经费管理漏洞，提高政务经费的透明度，提升政府的公信力。由于信息科技手段的不断提高，计算机病毒水平也不断复杂化，建立安全的信息化系统能够有效地预防病毒的侵入，通过杀毒软件部署及时修复系统漏洞，减少系统的缺陷性，使病毒无处可侵。与此同时，实现网络系统安全化能够实现网络安全管理者对客户端应用程序进行管控，提升病毒应对能力、病毒检测及病毒修复能力，有效的病毒应对能力，能够提升网络系统的安全性。而安全的网络系统能够不断提升病毒应对能力，两者相互作用能促进医院信息系统处于优化循环中。第四章安全需求分析4.1安全技术需求根据差距分析报告可以得出如下的安全建设要求：（1）物理安全：在物理安全中，主要是需要加强物理访问控制，如机房出入口暂无专人值守，控制、鉴别和记录进入的人员，需要加强管理。已有监控的方式可以暂时作为接受的风险点。（后面详细介绍针对物理安全措施）（2）网络安全：在网络安全中，需要增加安全设备进行安全防护，主要需要新增边界下一代防火墙、全网行为管理、日志审计、堡垒机等安全设备。满足网络安全部分的合规性要求。（3）主机安全：目前在终端安全上，已经在重要服务器或PC部署防病毒软件和终端安全加固。（4）数据安全：在后续的安全设计中，考虑数据的安全性，如数据库的保护和数据的审计，做到事后可以溯源，另外需要考虑数据容灾备份，建设灾备机房或者数据异地备份。（5）安全服务：安全是在不断发展的，同时安全的落地也需要较好的执行过程，对网站要求上，实时的安全检测是必要的，当然其他的安全服务也需要进行加强，如安全意识的培训、定期的安全巡检等。4.2安全管理需求在安全管理上，需要加强安全管理制度建设。详细见后续说明。第五章总体安全规划经过前期沟通，等级保护及安全建设方案需要多次沟通讨论确定，目前为第一版本的建设方案，在总体安全规划与设计上，更符合现有网络安全发展趋势的需求，具体分析如下：5.1总体设计目标医院的安全建设方案设计的总体目标是做好安全建设，结合医院信息系统的现状，对其进行重新规划和合规性整改，为其建立一个完整的安全保障体系，有效保障其系统业务的正常开展，保护敏感数据信息的安全，保证整体的网络安全水平，并能够实现防御、检测、响应的一体化安全建设目标。对不同的保护对象从物理环境防护、通信网络防护、区域边界防护、计算环境防护等各方面进行不同级别的的安全防护设计。同时统一的安全管理中心保障了安全管理措施和防护的有效协同及一体化管理，保障了安全技术措施有效运行和落地。以等级保护安全框架为依据和参考，在满足国家法律法规和标准体系的前提下通过“一中心、三防护”的安全设计，形成网络安全综合技术防护体系。网络安全等级保护安全框架如下：网络安全等级保护基本要求框架5.2总体安全设计思路5.2.1合规性设计按照最新的等级保护2.0和《网络安全法》要求，统筹规划安全建设，合理规划安全域、建立有效的安全技术保障体系、完善安全管理体系的建设。构建一个中心、三重防护保障的主动防御安全体系（一个中心是指安全管理中心，三重防护由安全计算环境、安全区域边界以及安全通信网络组成），从物理和环境、网络和通信、设备和计算及应用和数据方面对医院信息安全进行统筹规划设计。5.2.2前瞻性设计秉承“持续保护、不止合规”的理念，本着建立真正有效的技术体系的原则，构建“防御+检测+响应”的安全能力。使安全技术体系不再是简单的堆叠防御手段。既能满足等级保护2.0要求，又能充分发挥安全技术体系的有效性，抵御新威胁，切实的解决安全问题，减少事故发生的概率。5.2.3安全管理体系设计建立统一的信息安全管理体系，落实各项管理制度，让医院的安全管理体系，有宏观的设计、有清晰的责任权限、有合理的制度要求。同时应用包括安全可视化、统一运维管理的创新的技术手段，简化安全运维管理，减轻安全运维管理的负担，提升安全运维管理的效率，最终做到整体防御、分区隔离；积极防护、内外兼防；自身防御、主动免疫；纵深防御、技管并重。5.2.4等级保护方案效果目标设计整体方案设计中，不单单是满足合规性要求，还完善安全建设能力。5.4安全域划分安全域的划分是网络防护的基础，事实上每一个安全边界所包含的区域都形成了一个安全域。这些区域具有不同的使命，具有不同的功能，分域保护的框架为明确各个域的安全等级奠定了基础，保证了信息流在交换过程中的安全性。在本项目中，将严格按照信息系统的重要性和网络使用的逻辑特性划分安全域，根据医院网络与信息系统各节点的网络结构、具体的应用以及安全等级的需求，按照技术体系中网络安全规划，将医院系统划分为多个安全域。依据安全域划分原则，同一安全域拥有相同的安全等级和属性是相互信任的，安全风险主要来自不同的安全域互访，需要加强安全域边界的安全防护。区域之间依据业务及安全的需要配置安全策略，有效实现信息系统合理安全域划分。互联网出口域：在出口处部署下一代防火墙和全网行为管理，实现对该区域双向流量的安全检测及控制，并记录所有用户的上网日志等。专线出口域：在出口处部署下一代防火墙，实现专线边界安全区域的2-7层防御，及时做好应用策略、安全防护等。运维管理域：在该区域通过部署日志审计系统，数据库审计来实现对医院网络的安全审计，满足国家网络安全法合规性的要求；运维堡垒机来实现对终端安全漏洞检测，运维人员的安全管控；部署动环系统实时监测机房物理环境，一旦发生状况可及时推送消息进行处理。

第六章项目方案设计在本等级保护建设方案中，结合医院的自身情况，重点在网络边界和安全管理中心进行说明，在做传统安全防御体系的时候，同时还具备新的安全技术，应对未知威胁，包括虚拟化环境下东西向流量防御、无线边界隔离等。另外，在等级保护建设方案中，一种方式以等级保护基本要求控制项为设计框架，如按照物理安全、网络安全、主机安全等逻辑进行；一种方式以安全区域为设计框架，如按照数据中心区域、安全管理区域等。本方案是按照安全区域进行设计。6.1专线出口域设计下一代防火墙：要求具备IPS入侵防御功能、僵尸网络识别、WEB应用防御功能、威胁情报预警与处置、实时漏洞分析、WEB应用扫描、综合风险报表等功能。解决问题为业务僵尸网络识别与监测问题，同时能够防御来自于外网和内网的攻击，同时能够应对未知威胁的情报分析，能够满足外网对内网业务访问过滤。6.2运维管理域设计设备部署：此次建设中，将运维管理安全域通过部署日志审计、数据库审计、运维审计、基线核查设备对全网进行安全管理。功能要求及解决问题：日志审计：对全网的设备日志进行统一采集、过滤、归并、关联分析、展现、告警监控、实施事件监控、提供报表等。堡垒机：对单位IT资产（如服务器、网络设备、安全设备、数据库等）的操作过程进行有效的运维操作审计，使运维审计由事件审计提升为操作内容审计。6.3互联网出口区域设计设备部署：在该区域出口部署下一代防火墙、全网行为管理做安全防御，部署模式采用路由模式，行为管理采用网桥模式。下一代防火墙：要求具备IPS入侵防御功能、僵尸网络识别、威胁情报预警与处置、DOS防御、ARP欺骗、综合风险报表等功能。解决问题为医院终端僵尸网络识别与监测问题，同时能够防御来自于外网的系统攻击，同时能够应对未知威胁的情报分析，能够满足外网对内网业务访问过滤。

项目方案设计7.1安全管理策略和制度建立统一的信息安全管理体系，落实各项管理制度。所谓“三分技术，七分管理”，技术和产品是基础，安全管理是关键，建议一个优秀的安全管理框架，让好的安全策略在这个框架内可重复实