醫(yī)院信息化安全建設(shè)項目整改建議

1、醫(yī)院信息化安全建設(shè)項目整改建議1.1物理安全類別問題描述解決措施物理安全物 理 訪 問 控 制1.沒有登記進出機房的人員， 機房重要設(shè)備沒有劃區(qū)域隔 離。建議安排專人值守機房出入口。2.暫無相關(guān)申請和審批流程。需要經(jīng)過申請和 審批流程，且有 專人陪同。防 盜 竊 與 防 破 壞大部分設(shè)備都已固定在機柜 中，但部分設(shè)備放至在機柜上 方，仍有大部分通信線纜未整 理和固定；部分設(shè)備和線纜有 標簽注意每個設(shè)備和線路的用 途，部分設(shè)備和線纜無此設(shè)置。建議所有設(shè)備和 通信線纜均固定 在機柜中，且所 有設(shè)備和線纜設(shè) 置標簽，說明用 途和去向。未部署紅外監(jiān)控等光、電等技術(shù)的防盜報警系統(tǒng)建議部署紅外報警系統(tǒng)防

2、水 和精密空調(diào)出水位置布置漏水檢 測點，對漏水情況自動報警， 但檢測范圍未覆蓋所有易漏水建議部署完整的漏水檢測防潮的位置。電 磁 防 護對關(guān)鍵設(shè)備和磁介質(zhì)實施電磁 屏蔽。建議對關(guān)鍵設(shè)備和磁介質(zhì)實施電磁屏蔽1.2網(wǎng)絡(luò)安全類別問題描述解決措施網(wǎng)絡(luò)安全結(jié)構(gòu) 安 全無按照對業(yè)務(wù)服務(wù)的 重要次序來指定帶寬 分配優(yōu)先級別，保證在 網(wǎng)絡(luò)發(fā)生擁堵的時候 優(yōu)先保護重要主機。采用高性能下一代防火 墻，按照業(yè)務(wù)的業(yè)務(wù)服 務(wù)的重要次序來指定帶 寬分配優(yōu)先級別，保證 在網(wǎng)絡(luò)發(fā)生擁堵的時候 優(yōu)先保護重要主機和業(yè) 務(wù)。邊 界 宀兀 整 性 檢未能夠?qū)Ψ鞘跈?quán)設(shè)備 私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的 行為進行檢查，準確疋 出位置，并對其進行有

3、效阻 斷；建議部署網(wǎng)絡(luò)準入系統(tǒng)，對非授權(quán)設(shè)備私自 聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進 行檢查。查未能夠?qū)?nèi)部網(wǎng)絡(luò)用 戶私自聯(lián)到外部網(wǎng)絡(luò) 的行為進行檢查，準確 定出位置，并對其進行 有效阻斷。建議部署上網(wǎng)行為管理 系統(tǒng)，對內(nèi)部用戶的上 網(wǎng)行為進行管理。入侵 防 范無相關(guān)入侵檢測設(shè)備 實現(xiàn)在網(wǎng)絡(luò)邊界處監(jiān) 視以下攻擊行為：端口 掃描、強力攻擊、木馬 后門攻擊、拒絕服務(wù)攻 擊、緩沖區(qū)溢出攻擊、 IP碎片攻擊和網(wǎng)絡(luò)蠕 蟲攻擊等； 當檢測到攻擊行為時， 記錄攻擊源IP、攻擊類 型、攻擊目的、攻擊時 間，在發(fā)生嚴重入侵事 件時無法提供報警。建議部署IPS實現(xiàn)入侵 防范功能，在網(wǎng)絡(luò)邊界 監(jiān)視并防護網(wǎng)絡(luò)攻擊行 為。惡意 代

4、碼無相關(guān)惡意代碼檢測 設(shè)備在網(wǎng)絡(luò)邊界處對 惡意代碼進行檢測和 清除，并升級和檢測系建議部署防毒網(wǎng)關(guān)實現(xiàn) 惡意代碼防范功能，在 網(wǎng)絡(luò)邊界監(jiān)視惡意代碼 攻擊行為。防范統(tǒng)的更新。訪 問 控 制未能根據(jù)會話狀態(tài)信 息為數(shù)據(jù)流提供明確 的允許/拒絕訪問的能 力，控制粒度為端口級建議采用下一代防火墻，根據(jù)IP和端口設(shè)置 安全策略，只有符合策 略的數(shù)據(jù)包才能通過。未根據(jù)進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾。建議采用下一代防火墻，對進出網(wǎng)絡(luò)的信息 內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTR FTP、 TELNET SMTP POP3等協(xié)議命令級的控制。未限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；建議采用下一代防火 墻，限制網(wǎng)絡(luò)最大流量

5、數(shù)及網(wǎng)絡(luò)連接數(shù)。重要網(wǎng)段未米取技術(shù)手段防止地址欺騙；建議啟用下一代防火墻的ARP防欺騙功能網(wǎng)絡(luò)設(shè)備防未對網(wǎng)絡(luò)設(shè)備的管理 員登錄地址進行限制；建議通過堡壘機和 ACL 策略設(shè)置限制網(wǎng)絡(luò)設(shè)備 的登錄地址，如信息技 術(shù)部的網(wǎng)段或若干個管 理IP。護主要網(wǎng)絡(luò)設(shè)備目前只 使用一種身份鑒別方 式。建議通過堡壘機使用U-KEY或者域認證的方式實現(xiàn)雙因子認證。密碼長8位，由小與子母和數(shù)字組成。不定期更改一次口令。建議通過堡壘機設(shè)定密 碼復(fù)雜度規(guī)則，并通過 改密計劃，自動定期進 行改密目前只有一個超級管理員。建議通過堡壘機設(shè)置審 計員、操作員等角色， 實現(xiàn)權(quán)限分離。未能夠根據(jù)記錄數(shù)據(jù) 進行分析，并生成審計 報表

6、；建議通過日志分析系統(tǒng)根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表通過telnet 和http方式訪問設(shè)備，未采取必 要措施防止鑒別信息 在網(wǎng)絡(luò)傳輸過程中被 竊聽。建議通過堡壘機，使用 ssh協(xié)議登錄設(shè)備。1.3主機安全業(yè)務(wù)系統(tǒng)主機類別問題描述解決措施身份鑒別密碼未符合復(fù)雜性要求建議通過堡壘機設(shè)置密碼復(fù)雜度 要求，并通過改密計劃定期自動改 密：密碼長度最小值：8個字符；密碼最短使用期限：2天；密碼最長使用期限：90天；強制密碼歷史：24未啟用登錄失敗處 理功能，可采取結(jié) 束會話、限制非法 登錄次數(shù)和自動退 出等措施；建議通過堡壘機設(shè)置登錄失敗處理功能建議帳戶鎖定策略如下：帳戶鎖定 時間：15分鐘；帳戶

7、鎖定閥值：5 次無效登錄；重圍帳戶鎖定計數(shù)器：15分鐘之后。目前只使用用戶名和密碼登錄建議通過堡壘機使用 U-KEY或者域認證的方式實現(xiàn)雙因子認證。訪問已啟用磁盤默認共建議關(guān)閉磁盤默認共享功能控制享功能操作系統(tǒng)用戶可直 接對數(shù)據(jù)庫系統(tǒng)進 行操作，權(quán)限未分 離。建議禁用 Windows身份登錄方式。已禁用Guest用戶， 已設(shè)置管理員密 碼，但未重命名Administrator 用 戶。建議重命名 Administrator 用戶。安全所有審核策略均設(shè)建議采用日志審計系統(tǒng)對系統(tǒng)中審計置為無審核。的登陸日志、操作日志進行審計。剩余信息保護交互式登錄：不顯示最后的用戶名：已禁用。用可還原的加密來儲存

8、密碼：已禁用。建議設(shè)置：交互式登錄：不顯示最后的用戶名：已啟用關(guān)機：清除虛擬內(nèi) 存頁面文件：已禁 用。建議設(shè)置關(guān)機：清除虛擬內(nèi)存頁面 文件：已啟用。入侵防范未啟用Windows自帶的防火墻建議啟用windows自帶的防火墻未能夠?qū)χ匾绦?的完整性進行檢 測，并在檢測到完 整性受到破壞后具 有恢復(fù)的措施；建議部署防篡改軟件對重要程序的完整性檢測操作系統(tǒng)存在不需 要的服務(wù)組件和應(yīng) 用程序，系統(tǒng)補丁 未及時得到更新。建議通過漏洞掃描系統(tǒng)，定期對系 統(tǒng)進行掃描，并及時更新系統(tǒng)補 丁，建議通過配置檢查系統(tǒng)， 按照 等級保護要求進行基線檢查，及時 關(guān)閉不需要的服務(wù)和應(yīng)用程序惡意代碼防范未安裝殺毒軟件建議

9、安裝殺毒軟件，通過統(tǒng)一管理 平臺進行統(tǒng)一升級和維護，保證病 毒特征庫得到及時的更新資源控制未限制管理網(wǎng)絡(luò)地 址范圍。建議設(shè)立設(shè)備管理區(qū)，僅限制幾臺 管理終端可以登錄管理服務(wù)器 建議通過堡壘機和 ACL策略設(shè)置 限制設(shè)備的登錄地址，如信息技術(shù) 部的網(wǎng)段或若干個管理IP。未啟用帶密碼保護的屏幕保護程序。建議啟用帶密碼保護的屏幕保護 程序。未能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先建議米取技術(shù)措施監(jiān)控 cpu內(nèi) 存，硬盤等資源的使用率，并設(shè)置規(guī)定的最小值進行檢測和報警。報警閾值。數(shù)據(jù)庫主機類別問題描述解決措施身份鑒別sa用戶的密碼長最 低8位，由數(shù)字、 小寫字母組成，不 定期修改。存在7個口令為空 的用戶建議禁用口令為空的用戶。未啟用登錄失敗處 理功能。建議通過堡壘機設(shè)置登錄失敗處