医疗卫生信息平台安全方案.ppt

1、医疗卫生信息平台安全方案,目录,安全方案目标,目录,基础类 计算机信息系统安全保护等级划分准则GB 17859-1999 信息系统安全等级保护实施指南GB/T 25058-2010 应用类 定级：信息系统安全保护等级定级指南GB/T 22240-2008 建设：信息系统安全等级保护基本要求GB/T 22239-2008 信息系统通用安全技术要求GB/T 20271-2006 信息系统等级保护安全设计技术要求 GB/T 25070-2010 测评：信息系统安全等级保护测评要求 GB/T 28448-2012 信息系统安全等级保护测评过程指南 管理：信息系统安全管理要求GB/T 20269-200

2、6 信息系统安全工程管理要求GB/T 20282-2006,医疗信息系统等级保护核心标准,根据GB/T22240-2008信息系统安全等级保护定级指南，吉林省医药卫生信息化平台所涉及信息包括：病人的基本健康信息，病人的诊疗数据，卫生资源数据等等。这些业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益。所以本系统信息安全保护等级界定为二级。,安全等级需求,一、业务信息安全等级,根据GB/T22240-2008信息系统安全等级保护定级指南，吉林省医药卫生信息化平台属于为国计民生、经济建设等提供服务的信息系统，其服务范围为区域范围内的普通公民、医疗机构等。该系统服务遭到破坏后，所侵害的

3、客体是公民、法人和其他组织的合法权益，同时也可能严重侵害社会秩序和公共利益。所以本系统的系统服务安全保护等级界定为三级。,安全等级需求,二、系统服务安全等级,根据GB/T22240-2008信息系统安全等级保护定级指南，信息系统的安全保护等级由业务信息安全等级和系统服务安全务安等级的较高者决定。所以本系统的系统服务安全保护等级界定为第三级。,安全等级需求,三、安全保护等级,应具有能够对抗来自大型的、有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广（地区性）等）以

4、及其他相当危害程度（内部人员的恶意威胁、设备的较严重故障等）威胁的能力，并在威胁发生后，能够较快恢复绝大部分功能。,安全等级需求,四、第三级的安全保护能力,技术要 求特点,管理要 求特点,覆盖范 围特点,策略 防护 检测 恢复,统一策略 （管理制度 体系化）,通信 边界 内部（主 要设备）,安全等级需求,五、第三级安全保护的特点,目录,价值,资产,低,高,防范措施,能,不能,保护,威胁,严重性,低,高,漏洞,高,低,危险程度,风险,系统风险分析,一、安全风险要素分析,系统风险分析,1、雷击、地震和台风等自然灾难,物理层,2、水患和火灾等灾害,3、高温、低温、多雨等原因导致温度、湿度异常,7、通

5、信线路因线缆老化等原因导致损坏或传输质量下降,8、存储重要业务信息的介质老化或质量问题等导致不可用,9、网络设备、系统设备及其他设备使用时间过长或质量,4、电压波动,5、供电系统故障,6、静电和外界电磁干扰,10、问题等导致硬件故障,11、攻击者利用非法手段进入机房内部盗窃、破坏等,12、攻击者非法物理访问系统设备、网络设备或存储介质等,13、攻击者采用在通信线缆上搭接或切断等导致线路不可用,二、信息和信息系统面临的主要威胁-物理层,系统风险分析,1、黑客通过Internet连接对EHR等信息进行破坏和非授权访问,网络层,2、黑客或内部人员从POS点通过网络连接对平台进行攻击或非授权访问,3、

6、黑客或内部人员从和平台连接的第三方网络通,7、攻击者利用网络协议、操作系统、应用系统漏洞，越权访问文件、数据或其他资源,8、攻击者和内部人员利用网络扩散病毒,9、攻击者截获、读取、破解通信线路中的信息,4、过网络连接对平台进行攻击或非授权访问,5、数据中心中的服务器感染蠕虫、或者被种植木马而导致向外发起的非法网络连接,6、攻击者利用分布式拒绝服务攻击等工具，恶意地消耗系统资源，导致拒绝服务,10、攻击者利用网络结构设计缺陷旁路安全策略，未授权访问网络,11、蠕虫通过POS连接或第三方外部网络连接扩散到信息平台,12、蠕虫通过内部网络连接扩散到信息平台,13、利用网络设备、防火墙的漏洞的蠕虫和入

7、侵攻击导致网络基础设施瘫痪,三、信息和信息系统面临的主要威胁-网络层,系统风险分析,1、内部人员下载、拷贝软件或文件，打开可疑邮件时引入病毒,系统层,2、内部人员利用技术或管理漏洞，未授权修改EHR等系统数据或修改系统程序,3、服务器或客户端计算机因为未能及时应用最新补丁程序而导致被入侵或感染蠕虫,4、由于系统配置安全问题比如系统用户、数据库用户的口令质量和更改策略， 对文件和资源共享没有进行适当安全保护，而可能导致的安全攻击,5、对系统管理员和用户进行身份猜测和假冒攻击,6、攻击者或内部人员对其进行过的非法系统访问行为抵赖,四、信息和信息系统面临的主要威胁-系统层,系统风险分析,1、内部人员

8、，如区域卫生信息平台工作人员对电子病历等信息进行越权访问,应用层,2、POS机构、外部机构人员、外部攻击者对电子病历等信息进行越权访问,3、内部人员，如区域卫生信息平台工作人员对电子病历等信息进行破坏,4、POS机构、外部机构人员、外部攻击者对电子病历等信息进行破坏,5、攻击者通过中间人攻击、假冒等手段对上传到区域卫生信息平台的EHR等信息 进行篡改和假冒攻击,6、攻击者或其他越权访问或操作人员对自己的行为抵赖,7、EHR等等信息在POS到区域卫生信息平台传输过程中，或者在区域卫生信息 平台内部网络传输过程中被窃听,五、信息和信息系统面临的主要威胁-应用层,系统风险分析,1、攻击者截获、读取、

9、破解介质的信息或剩余信息，进行电子病历等敏感信息的窃取。,数据层,2、内部人员通过移动介质或移动计算设备存储电子病例等敏感信息，由于介质或 设备丢失而导致信息泄漏。,六、信息和信息系统面临的主要威胁-数据层,3、内部人员或攻击者利用邮件、Web、打印、拷屏、拷贝等方式和手段将电子病 历等敏感信息传输到RHIN平台外部。,4、由于物理、恶意代码、攻击、误操作等各种原因导致的数据破坏和丢失。,目录,信息安全管理体系框架是从企业管理的层面出发，为实现信息安全战略而设置的组织架构、管理体系、宣传教育、审计制度等一系列相关管理措施；,采用成熟先进的技术和控制手段，实现各技术层面的风险防范和控制。,是基于

10、风险管理理念的信息安全日常运作模式及其概念性流程在各个对象层次上的实现 。,信息安全规范与标准体系是是风险管理理念的逐层细化和落实，包含信息安全管理、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定；,安全方案框架和安全风险管理,信息安全策略以风险管理为核心理念，是信息安全保障体系的核心，是信息安全工作的原则、宗旨、指导，为信息安全工作指明了方向；,一、安全方案框架,安全方案框架和安全风险管理,发现,评估,实施+保护,修补+遵从,集中 管理,人员,技术,流程,策略,资产,确定优先级,评估,威胁,风险,保护,环境,衡量,遵从,1,2,3,4,5,6,7,8,9,10,人员可以通过这

11、个管理体系实现简化的安全管理，提高人员的管理效率；,管理流程方面，集成业务系统安全流程和工作流程，更好的服务于业务系统。,技术方面，通过采用集成的和开放的平台架构，可以通过安全产品间的集成发挥更大的安全防护能力和保护已有投资。,二、整体安全风险管理体系,风险管理步骤： 1、当有风险的时候，通过安全策略、风险可能影响的资产价值，确定优先级。 2、评估威胁确定可承受的风险。 3、实施保护措施。 4、衡量安全法规遵从情况。,目录,安全技术建设方案,物理安全,网络安全,系统安全,应用安全,数据安全,一、第三级安全保护技术层要求,安全技术建设方案,二、第三级安全保护技术层要求之系统安全,目标 保护主机操

12、作系统和数据库安全,安全技术建设方案,二、第三级安全保护技术层要求之系统安全（续）,基于上述分析，同时考虑到主机性能问题，可采用人工和安全软件结合的方式进行建设。,安全策略审计软件 漏洞管理系统 主机安全软件 系统信息审计软件 主机系统功能 人工干预方式,访问控制 用户权限控制 用户密码控制 特权用户权限分离 限制默认账户 冗余账户管理 资源敏感标记,安全审计 审计对象 审计范围 审计内容 生成审计报表 保护审计记录、进程,身份鉴别 身份标识和鉴别 主机密码机制 登录失败处理 远程登录安全 用户唯一性,安全技术建设方案,三、第三级安全保护技术层要求之应用安全策略,身份鉴别,访问控制,通信完整性

13、,通信保密性,安全审计,抗抵赖,软件容错,资源控制,剩余信息保护,目标 保护应用系统 业务和数据安全,安全技术建设方案,四、应用安全建设主要内容,审计报表,空间释放及信息清除,敏感标记的设置,审计过程的保护,PKI/CA技术认证加密,自动保护功能,资源分配限制、资源分配优先级,最小服务水平的检测及报警,采用PKI/CA技术对整个报文及会话过程加密,身份鉴别,访问控制,抗抵赖,安全审计,剩余信息保护,通信完整性,通信保密性,软件容错,资源控制,策略,要点,技术,基本的身份鉴别,安全策略和最小授权原则,运行情况审计（用户级）和审计记录的保护,校验码,数据有效性检验、部分运行保护,对用户会话数及系统

14、最大并发会话数的限制,初始化验证敏感信息加密,不可抵赖原则,登录失败处理,PKI/CA技术,空间释放及信息清除,PKI/CA技术电子签名,统一门户,权限控制,认证性,不可抵赖性,完整性,保密性,确认信息发送者的身份。,发送者不能否认已发送的信息。,信息在传递过程中不会被篡改。,只有收件人才能阅读信息。,CA认证能为我们解决哪些问题？,安全技术建设方案,五、CA认证简介,概念：CA数字证书认证服务中心由国家工业和信息化部进行审批的第三方数字证书颁发机构，签发的数字证书主要是用于网络身份认证和对电子数据进行数字签名，证明签名者的身份，使数字签名具有与手写签名或盖章具有同等的法律效力。通过CA认证中心提供的数字证书和安全平台使应用系统具有可信性和合法性。,安全技术建设方案,六、第三级安全保护技术层要求之数据安全策略,目标 保护用户数据、系统数据、业务数据。,备份和恢复 应提供本地备份与恢复功能，完全数据备份最少每天一次，场外存放。 异地备份关键数据。 冗余技术设计网络拓扑，避免关键节点单点故障。,安全技术建设方案,七、