医院信息化系统等级保护设计方案.docx

《医院信息化系统等级保护设计方案.docx》由会员分享，可在线阅读，更多相关《医院信息化系统等级保护设计方案.docx（30页珍藏版）》请在优知文库上搜索。

1、医院信息化系统等级保护设计方案2013年4月目录1项目背景42方案设计原则43安全等级划分44技术方案设计54. 1总体设计55. 1.1总体安全技术框架56. 1.2安全域划分77. 1.3总体部署94. 2详细设计94.2.1物理安全设计94.2.2安全计算环境设计124.23安全区域边界设计164.24安全通信网络设计194.2.5安全管理中心设计225安全管理体系设计235.1管理机构建设245. 2完善安全管理制度245. 3加强人才队伍建设255. 4遵循安全法规标准265. 5重视安全管理手段265. 6建立应急响应机制27296需要增加的设备2方案设计原则根据国家信息安全保障政

2、策法规和技术标准要求，同时参照相关行业规定，确定信息安全体系规划和设计时遵循以下原则：3安全等级划分信息化系统包括应用服务系统等。信息包括公文信息、通讯录、文件、日程安排、执法数据等，这些信息由于涉及到医疗机构敏感信息，对数据的完整性和机密性要求具有较高需求，一旦遭到破坏或窃取，就会给用户查询提供错误数据或泄漏敏感信息，影响社会秩序和公共利益。1 .业务系统安全受到破坏时所侵害的客体信息化系统系统一旦遭到破坏或被窃取，所侵害的客体是公民、法人和其它组织的合法权益以及社会秩序、公共利益。2 .对客体的侵害程度业务系统安全受到破坏时对社会秩序、公共利益的侵害程度表现为严重损害，具体表现为业务系统受

3、到破坏或窃取后，会影响医疗机构行使社会管理和公共服务的职能，并对医疗机构形象造成社会不良影响，并对公民、法人和其他组织的合法权益造成损失。3 .业务系统安全等级根据上述分析结果，结合等级保护定级指南，XX系统安全等级为;业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级4技术方案设计根据差距分析，确定整改技术方案的设计原则，建立总体技术框架结构，从业务安全、物理环境、通信网络、计算环境、区域边界、安全管理中心等方面设计落实基本技术要求的物理、网络、系统、应

4、用和数据的安全要求的技术路线。4.1 总体设计4.1.1 总体安全技术框架根据国家相关信息安全保护政策，在安全设计框架上，形成一个中心保障下的“三重纵深防御防护体系架构（一个中心是指安全管理中心，三层纵深防御体系则由安全计算环境、安全区域边界以及安全通信网络组成）。在安全物理基础环境上，进一步强调了管理中心、计算环境、区域边界及网络传输的可信性，使得其在整个生命周期中都建立有完整的信任链，确保它们始终都在安全管理中心的统一管控下有序地运行，从而确保了平台的安全性不会遭受破坏，如下图所示:物理安全是支撑信息系统安全运行的基础保障设施的安全，是整个信息系统安全的基础，也是信息系统最基本的安全基础。

5、安全计算环境是对平台的信息存储及处理进行安全保护的部件。安全计算环境由平台中完成信息存储及处理的计算机系统硬件和系统软件以及外部设备及其联接部件组成，也可以是单一的计算机系统。安全计算环境保护包括主机系统（操作系统和数据库系统）和应用系统，以及主机系统和应用系统的备份及恢复。安全区域边界是对平台的安全计算环境的边界，以及计算环境及通信网络之间实现连接功能进行安全保护的部件。安全区域边界保护主要是指对计算环境以及进出计算环境的信息进行保护，以及边界设备的备份及恢复。安全通信网络是对平台安全计算环境之间进行信息传输实施安全保护的部件。安全通信网络保护主要指对数据通信的保护及通信设备的备份及恢复。安

6、全管理中心对平台的安全策略及计算环境、区域边界和通信网络上的安全机制实施统一管理的平台，又指各类安全保护系统的管理中心构成一个综合性的管理中心。安全技术方案设计包括各级系统安全保护环境的设计及其安全互联的设计，各级系统安全保护环境由相应级别的安全计算环境、安全区域边界、安全通信网络和安全管理中心组成。平台安全互联由安全互联部件和跨系统安全管理中心组成。4.1.2 安全域划分安全域是指同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络，每一个逻辑区域有相同的安全保护需求，具有相同的安全访问控制和边界控制策略，区域间具有相互信任关系，而且相同的网络安全域共享同

7、样的安全策略。本次建设中，医疗HIS计算机网络安全域的划分不能单纯从安全角度考虑，而是应该以业务角度为主，辅以安全角度，并充分参照现有网络结构和管理现状，才能以较小的代价完成安全域划分和网络梳理，而又能保障其安全性。综上所述，我们将依据下述的原则完成安全域的划分： 根据系统服务划分A对资源信息访问控制；A对及其相关的信息访问控制；A对其它资源的访问控制； 按系统功能类型划分根据功能类型或提供的服务类型划分子系统，划分时除了考虑到对用户提供设计服务的系统、管理系统等外，还应考虑到对前两类系统提供承载、支撑和管理作用的支持系统。 按照网络区域划分根据资源使用情况及应用系统地理上分布的情况，在资源访

8、问控制、管理模式等存在较大差异，所以可按照信息系统运行所在的网络区域进行子系统划分。 安全要求相似性原则在信息安全的三个基本属性方面，同一区域内的信息资产应具有相似的安全性要求、完整性要求和可用性要求。根据上述安全域的划分规则，医疗HIS整体网络可以划分出以下几大部分区域:4.1.3 总体部署4.2 详细设计4.2.1 物理安全设计4.2.1.1 物理位置的选择中心机房的物理位置按以下要求进行选择：在具有防震、防风和防雨等能力的建筑内；避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。4.2.1.2 物理访问控制中心机房的物理访问控制应按以下措施建设： 机房出入口安排专人值守并配置电子门

9、禁系统，控制、鉴别和记录进入的人员； 对进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围； 对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域； 重要区域应配置第二道电子门禁系统，控制、鉴别和记录进入的人员。4.2.1.3 防盗窃和防破坏中心机房的防盗和防破坏应按以下措施建设： 将主要设备放置在机房内； 将设备或主要部件进行固定，并设置明显的不易除去的标记; 将通信线缆铺设在隐蔽处，可铺设在地下或管道中； 对介质分类标识，存储在介质库或档案室中； 利用光、电等技术设置机房防盗报警系统； 对机房设置监控报警系统。4.2.1.4 防雷击中心机

10、房防雷按以下措施建设： 机房所在的建筑安装避雷装置。 机房内设置防雷保安器，防止感应雷： 机房设置交流电源地线。4.2.1.5 防火中心机房防火按以下措施建设： 机房安装火灾自动消防系统，能够自动检测火情、自动报警,并自动灭火； 机房及相关的工作房间和辅助房采用具有耐火等级的建筑材料； 机房采取区域隔离防火措施，将重要设备及其他设备隔离开。4.2.1.6 防水和防潮中心机房防火和防潮按以下措施建设： 水管安装，不得穿过机房屋顶和活动地板下： 采取措施防止雨水通过机房窗户、屋顶和墙壁渗透； 采取措施防止机房内水蒸气结露和地下积水的转移及渗透； 安装对水敏感的检测仪表或元件，对机房进行防水检测和报

11、警。4.2.1.7 防静电中心机房防静电按以下措施建设： 所有设备采用接地防静电措施： 机房采用防静电地板： 有条件的情况下，采用静电消除器等装置，减少静电的产生。4.2.1.8 温湿度控制中心机房温湿度按以下措施建设：在机房安装温湿度自动调节设备，使机房温、湿度的变化在设备运行所允许的范围之内。4.2.1.9 电力供应中心机房电力供应按以下措施建设： 在机房供电线路上配置稳压器和过电压防护设备； 安装UPS系统，提供不小于1小时的供电要求； 设置冗余或并行的电力电缆线路为计算机系统供电；4.2.1.10 电磁防护中心机房电磁防护按以下措施建设： 采用接地方式防止外界电磁干扰和设备寄生耦合干扰

12、： 电源线和通信线缆应隔离铺设，避免互相干扰； 对保密性要求较高的服务器，放置屏蔽机柜和屏蔽室内。4.2.2 安全计算环境设计4.2.2.1 用户身份识别根据国家政策在应用安全方面的要求，应对涉及接触移动政务业务敏感信息的用户群体（以下简称敏感用户），采取满足要求的数字证书身份认证机制，具体安全保障措施如下：基于数字证书和PIN码的多因子身份鉴别机制基于PKl技术体系的数字证书认证机制通过将数字证书及用户的真实身份进行唯一绑定，可满足三级安全等保要求实现鉴别信息不可被重用和被冒用，从而可确保系统中的用户身份不可假冒，实现了强身份认证；同时，数字证书的使用通过结合PIN码保护机制，满足了三级安全

13、等保中关于应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别”的要求。因此，敏感用户必须持有其数字证书才能进入管理平台进行相关的业务操作，从而从应用访问源头上防止了非法用户的非法登录，确保了进入移动政务平台的每一位用户身份都是合法的。同时，数字证书是用户登录系统的身份凭证，应防止被其它非法用户所使用。因此，根据用户终端设备为手持设备或便携设备，应采取基于SD、SlM卡的PIN码保护机制，实现对数字证书的安全存储和安全使用。注明：SD、SIM卡内部集成多种密码算法，各种运算直接可以在其内部封闭的环境下进行；同时，存储在其内部的用户私钥无法导出和复制，且通过带有PIN保护，能有效抵御蛮力

14、尝试。攻击者如果想冒充敏感用户的身份进入医疗HIS,不仅需要窃取到用户的SD、SIM卡，还需要知道保护口令。因此，大大提高了认证的安全强度，也使得身份冒充变得更加困难。部署安全中间件实现对登录用户进行身份标识和鉴别根据第三级安全等保中关于“应提供专用的登录控制模块对登录用户进行身份标识和鉴别”的要求，应在用户终端和服务器端部署安全中间件，通过用户终端和应用服务器两端的安全组件和安全控件互相验证各自证书，确认各自身份的真实性。客户端中间件应可以内嵌到Web页面中，也可以被专用Client程序调用，对用户的使用应该是透明的；服务器端中间件部署在应用服务器上，接受并处理由客户端发送过来的安全认证、数

15、据加解密和安全中间件应面向业务应用提供以下功能: 数字签名：为应用系统提供重要业务数据及关键操作行为的数字签名，应用系统通过这些数字签名记录，在发生纠纷时对数字签名进行验证，真正实现重要业务数据和关键操作的完整性和不可抵赖性； 数字证书解析：对数字证书域进行解析，将解析后的证书内容,如证书序列号、用户身份证号码、单位组织机构代码提交应用系统供应用系统使用； 数字信封：提供数字信封加密机制，提升数据加密效率和加密强度； 密钥分割：采用门限算法，可以将加密密钥分割成若干份提供给多人保管，当需要调取密钥时，根据预先约定的密钥持有策略在多人在场情况下将完成密钥的重新组装得到原有密钥。 时间戳功能：通过获取标准时间源信息，对标准时间进行签名，提供具有法律效力的时间戳服务。 服务端证