醫(yī)院信息化系統(tǒng)等級保護(hù)設(shè)計方案(共21頁)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上醫(yī)院信息化系統(tǒng)等級保護(hù)設(shè)計方案2013年4月專心-專注-專業(yè)目 錄1 項目背景2 方案設(shè)計原則根據(jù)國家信息安全保障政策法規(guī)和技術(shù)標(biāo)準(zhǔn)要求，同時參照相關(guān)行業(yè)規(guī)定，確定信息安全體系規(guī)劃和設(shè)計時遵循以下原則：3 安全等級劃分信息化系統(tǒng)包括應(yīng)用服務(wù)系統(tǒng)等。信息包括公文信息、通訊錄、文件、日程安排、執(zhí)法數(shù)據(jù)等，這些信息由于涉及到醫(yī)療機(jī)構(gòu)敏感信息，對數(shù)據(jù)的完整性和機(jī)密性要求具有較高需求，一旦遭到破壞或竊取，就會給用戶查詢提供錯誤數(shù)據(jù)或泄漏敏感信息，影響社會秩序和公共利益。1. 業(yè)務(wù)系統(tǒng)安全受到破壞時所侵害的客體信息化系統(tǒng)系統(tǒng)一旦遭到破壞或被竊取，所侵害的客體是公民、法人和其它組織

2、的合法權(quán)益以及社會秩序、公共利益。2. 對客體的侵害程度業(yè)務(wù)系統(tǒng)安全受到破壞時對社會秩序、公共利益的侵害程度表現(xiàn)為嚴(yán)重?fù)p害，具體表現(xiàn)為業(yè)務(wù)系統(tǒng)受到破壞或竊取后，會影響醫(yī)療機(jī)構(gòu)行使社會管理和公共服務(wù)的職能，并對醫(yī)療機(jī)構(gòu)形象造成社會不良影響，并對公民、法人和其他組織的合法權(quán)益造成損失。3. 業(yè)務(wù)系統(tǒng)安全等級根據(jù)上述分析結(jié)果，結(jié)合等級保護(hù)定級指南，××系統(tǒng)安全等級為：業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級4 技術(shù)方案設(shè)計根據(jù)差距分

3、析，確定整改技術(shù)方案的設(shè)計原則，建立總體技術(shù)框架結(jié)構(gòu)，從業(yè)務(wù)安全、物理環(huán)境、通信網(wǎng)絡(luò)、計算環(huán)境、區(qū)域邊界、安全管理中心等方面設(shè)計落實基本技術(shù)要求的物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全要求的技術(shù)路線。4.1 總體設(shè)計4.1.1 總體安全技術(shù)框架根據(jù)國家相關(guān)信息安全保護(hù)政策，在安全設(shè)計框架上，形成 “一個中心”保障下的“三重縱深防御防護(hù)體系”架構(gòu)（一個中心是指安全管理中心，三層縱深防御體系則由安全計算環(huán)境、安全區(qū)域邊界以及安全通信網(wǎng)絡(luò)組成）。在安全物理基礎(chǔ)環(huán)境上，進(jìn)一步強(qiáng)調(diào)了管理中心、計算環(huán)境、區(qū)域邊界及網(wǎng)絡(luò)傳輸?shù)目尚判裕沟闷湓谡麄€生命周期中都建立有完整的信任鏈，確保它們始終都在安全管理中心的統(tǒng)一

4、管控下有序地運(yùn)行，從而確保了平臺的安全性不會遭受破壞，如下圖所示：圖 1 等級保護(hù)總體安全技術(shù)框架物理安全是支撐信息系統(tǒng)安全運(yùn)行的基礎(chǔ)保障設(shè)施的安全，是整個信息系統(tǒng)安全的基礎(chǔ)，也是信息系統(tǒng)最基本的安全基礎(chǔ)。安全計算環(huán)境是對平臺的信息存儲與處理進(jìn)行安全保護(hù)的部件。安全計算環(huán)境由平臺中完成信息存儲與處理的計算機(jī)系統(tǒng)硬件和系統(tǒng)軟件以及外部設(shè)備及其聯(lián)接部件組成，也可以是單一的計算機(jī)系統(tǒng)。安全計算環(huán)境保護(hù)包括主機(jī)系統(tǒng)（操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)）和應(yīng)用系統(tǒng)，以及主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)的備份與恢復(fù)。安全區(qū)域邊界是對平臺的安全計算環(huán)境的邊界，以及計算環(huán)境與通信網(wǎng)絡(luò)之間實現(xiàn)連接功能進(jìn)行安全保護(hù)的部件。安全區(qū)域邊界保護(hù)主

5、要是指對計算環(huán)境以及進(jìn)出計算環(huán)境的信息進(jìn)行保護(hù)，以及邊界設(shè)備的備份與恢復(fù)。安全通信網(wǎng)絡(luò)是對平臺安全計算環(huán)境之間進(jìn)行信息傳輸實施安全保護(hù)的部件。安全通信網(wǎng)絡(luò)保護(hù)主要指對數(shù)據(jù)通信的保護(hù)及通信設(shè)備的備份與恢復(fù)。安全管理中心對平臺的安全策略及計算環(huán)境、區(qū)域邊界和通信網(wǎng)絡(luò)上的安全機(jī)制實施統(tǒng)一管理的平臺，又指各類安全保護(hù)系統(tǒng)的管理中心構(gòu)成一個綜合性的管理中心。安全技術(shù)方案設(shè)計包括各級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計及其安全互聯(lián)的設(shè)計，各級系統(tǒng)安全保護(hù)環(huán)境由相應(yīng)級別的安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心組成。平臺安全互聯(lián)由安全互聯(lián)部件和跨系統(tǒng)安全管理中心組成。4.1.2 安全域劃分安全域是指同一系統(tǒng)

6、內(nèi)根據(jù)信息的性質(zhì)、使用主體、安全目標(biāo)和策略等元素的不同來劃分的不同邏輯子網(wǎng)或網(wǎng)絡(luò)，每一個邏輯區(qū)域有相同的安全保護(hù)需求，具有相同的安全訪問控制和邊界控制策略，區(qū)域間具有相互信任關(guān)系，而且相同的網(wǎng)絡(luò)安全域共享同樣的安全策略。本次建設(shè)中，醫(yī)療HIS計算機(jī)網(wǎng)絡(luò)安全域的劃分不能單純從安全角度考慮，而是應(yīng)該以業(yè)務(wù)角度為主，輔以安全角度，并充分參照現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和管理現(xiàn)狀，才能以較小的代價完成安全域劃分和網(wǎng)絡(luò)梳理，而又能保障其安全性。綜上所述，我們將依據(jù)下述的原則完成安全域的劃分：l 根據(jù)系統(tǒng)服務(wù)劃分Ø 對資源信息訪問控制；Ø 對與其相關(guān)的信息訪問控制；Ø 對其它資源的訪問控制；

7、l 按系統(tǒng)功能類型劃分根據(jù)功能類型或提供的服務(wù)類型劃分子系統(tǒng)，劃分時除了考慮到對用戶提供設(shè)計服務(wù)的系統(tǒng)、管理系統(tǒng)等外，還應(yīng)考慮到對前兩類系統(tǒng)提供承載、支撐和管理作用的支持系統(tǒng)。l 按照網(wǎng)絡(luò)區(qū)域劃分根據(jù)資源使用情況及應(yīng)用系統(tǒng)地理上分布的情況，在資源訪問控制、管理模式等存在較大差異，所以可按照信息系統(tǒng)運(yùn)行所在的網(wǎng)絡(luò)區(qū)域進(jìn)行子系統(tǒng)劃分。l 安全要求相似性原則在信息安全的三個基本屬性方面，同一區(qū)域內(nèi)的信息資產(chǎn)應(yīng)具有相似的安全性要求、完整性要求和可用性要求。根據(jù)上述安全域的劃分規(guī)則，醫(yī)療HIS整體網(wǎng)絡(luò)可以劃分出以下幾大部分區(qū)域：4.1.3 總體部署4.2 詳細(xì)設(shè)計4.2.1 物理安全設(shè)計

8、物理位置的選擇中心機(jī)房的物理位置按以下要求進(jìn)行選擇：l 在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；l 避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。 物理訪問控制中心機(jī)房的物理訪問控制應(yīng)按以下措施建設(shè)：l 機(jī)房出入口安排專人值守并配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員；l 對進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍；l 對機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域；l 重要區(qū)域應(yīng)配置第二道電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。 防盜竊和防破壞中心機(jī)房的防盜和防破壞應(yīng)按以下措施建設(shè)：

9、n 將主要設(shè)備放置在機(jī)房內(nèi)；n 將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記；n 將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中；n 對介質(zhì)分類標(biāo)識，存儲在介質(zhì)庫或檔案室中；n 利用光、電等技術(shù)設(shè)置機(jī)房防盜報警系統(tǒng)；n 對機(jī)房設(shè)置監(jiān)控報警系統(tǒng)。 防雷擊中心機(jī)房防雷按以下措施建設(shè)：n 機(jī)房所在的建筑安裝避雷裝置。n 機(jī)房內(nèi)設(shè)置防雷保安器，防止感應(yīng)雷；n 機(jī)房設(shè)置交流電源地線。 防火中心機(jī)房防火按以下措施建設(shè)：n 機(jī)房安裝火災(zāi)自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火；n 機(jī)房及相關(guān)的工作房間和輔助房采用具有耐火等級的建筑材料；n 機(jī)房采取區(qū)域隔離防火措

10、施，將重要設(shè)備與其他設(shè)備隔離開。 防水和防潮中心機(jī)房防火和防潮按以下措施建設(shè)：n 水管安裝，不得穿過機(jī)房屋頂和活動地板下；n 采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透；n 采取措施防止機(jī)房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；n 安裝對水敏感的檢測儀表或元件，對機(jī)房進(jìn)行防水檢測和報警。 防靜電中心機(jī)房防靜電按以下措施建設(shè)：n 所有設(shè)備采用接地防靜電措施；n 機(jī)房采用防靜電地板；n 有條件的情況下，采用靜電消除器等裝置，減少靜電的產(chǎn)生。 溫濕度控制中心機(jī)房溫濕度按以下措施建設(shè)：n 在機(jī)房安裝溫濕度自動調(diào)節(jié)設(shè)備，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍

11、之內(nèi)。 電力供應(yīng)中心機(jī)房電力供應(yīng)按以下措施建設(shè)：n 在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備；n 安裝UPS系統(tǒng)，提供不小于1小時的供電要求；n 設(shè)置冗余或并行的電力電纜線路為計算機(jī)系統(tǒng)供電；0 電磁防護(hù)中心機(jī)房電磁防護(hù)按以下措施建設(shè)：n 采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾；n 電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾；n 對保密性要求較高的服務(wù)器，放置屏蔽機(jī)柜和屏蔽室內(nèi)。4.2.2 安全計算環(huán)境設(shè)計 用戶身份識別根據(jù)國家政策在應(yīng)用安全方面的要求，應(yīng)對涉及接觸移動政務(wù)業(yè)務(wù)敏感信息的用戶群體（以下簡稱敏感用戶），采取滿足要求的數(shù)字證書身份認(rèn)

12、證機(jī)制，具體安全保障措施如下：l 基于數(shù)字證書和PIN碼的多因子身份鑒別機(jī)制基于PKI技術(shù)體系的數(shù)字證書認(rèn)證機(jī)制通過將數(shù)字證書與用戶的真實身份進(jìn)行唯一綁定，可滿足三級安全等保要求實現(xiàn)鑒別信息不可被重用和被冒用，從而可確保系統(tǒng)中的用戶身份不可假冒，實現(xiàn)了強(qiáng)身份認(rèn)證；同時，數(shù)字證書的使用通過結(jié)合PIN碼保護(hù)機(jī)制，滿足了三級安全等保中關(guān)于“應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別”的要求。因此，敏感用戶必須持有其數(shù)字證書才能進(jìn)入管理平臺進(jìn)行相關(guān)的業(yè)務(wù)操作，從而從應(yīng)用訪問源頭上防止了非法用戶的非法登錄，確保了進(jìn)入移動政務(wù)平臺的每一位用戶身份都是合法的。同時，數(shù)字證書是用戶登錄系統(tǒng)的

13、身份憑證，應(yīng)防止被其它非法用戶所使用。因此，根據(jù)用戶終端設(shè)備為手持設(shè)備或便攜設(shè)備，應(yīng)采取基于SD、SIM卡的PIN碼保護(hù)機(jī)制，實現(xiàn)對數(shù)字證書的安全存儲和安全使用。注明：SD、SIM卡內(nèi)部集成多種密碼算法，各種運(yùn)算直接可以在其內(nèi)部封閉的環(huán)境下進(jìn)行；同時，存儲在其內(nèi)部的用戶私鑰無法導(dǎo)出和復(fù)制，且通過帶有PIN保護(hù)，能有效抵御蠻力嘗試。攻擊者如果想冒充敏感用戶的身份進(jìn)入醫(yī)療HIS，不僅需要竊取到用戶的SD、SIM卡，還需要知道保護(hù)口令。因此，大大提高了認(rèn)證的安全強(qiáng)度，也使得身份冒充變得更加困難。l 部署安全中間件實現(xiàn)對登錄用戶進(jìn)行身份標(biāo)識和鑒別根據(jù)第三級安全等保中關(guān)于“應(yīng)提供專用的登錄控制模塊對登錄

14、用戶進(jìn)行身份標(biāo)識和鑒別”的要求，應(yīng)在用戶終端和服務(wù)器端部署安全中間件，通過用戶終端和應(yīng)用服務(wù)器兩端的安全組件和安全控件互相驗證各自證書，確認(rèn)各自身份的真實性?？蛻舳酥虚g件應(yīng)可以內(nèi)嵌到Web頁面中，也可以被專用Client程序調(diào)用，對用戶的使用應(yīng)該是透明的；服務(wù)器端中間件部署在應(yīng)用服務(wù)器上，接受并處理由客戶端發(fā)送過來的安全認(rèn)證、數(shù)據(jù)加解密和簽名驗證等系列安全處理請求，為應(yīng)用系統(tǒng)提供安全保護(hù)。安全中間件應(yīng)面向業(yè)務(wù)應(yīng)用提供以下功能： 數(shù)字簽名：為應(yīng)用系統(tǒng)提供重要業(yè)務(wù)數(shù)據(jù)及關(guān)鍵操作行為的數(shù)字簽名，應(yīng)用系統(tǒng)通過這些數(shù)字簽名記錄，在發(fā)生糾紛時對數(shù)字簽名進(jìn)行驗證，真正實現(xiàn)重要業(yè)務(wù)數(shù)據(jù)和關(guān)鍵操作的完整性和不可

15、抵賴性； 數(shù)字證書解析：對數(shù)字證書域進(jìn)行解析，將解析后的證書內(nèi)容，如證書序列號、用戶身份證號碼、單位組織機(jī)構(gòu)代碼提交應(yīng)用系統(tǒng)供應(yīng)用系統(tǒng)使用； 數(shù)字信封：提供數(shù)字信封加密機(jī)制，提升數(shù)據(jù)加密效率和加密強(qiáng)度； 密鑰分割：采用門限算法，可以將加密密鑰分割成若干份提供給多人保管，當(dāng)需要調(diào)取密鑰時，根據(jù)預(yù)先約定的密鑰持有策略在多人在場情況下將完成密鑰的重新組裝得到原有密鑰。 時間戳功能：通過獲取標(biāo)準(zhǔn)時間源信息，對標(biāo)準(zhǔn)時間進(jìn)行簽名，提供具有法律效力的時間戳服務(wù)。 服務(wù)端證書管理功能：在應(yīng)用服務(wù)器上提供B/S方式的證書管理工具，用戶可以使用該工具很方便的配置和管理服務(wù)器證書。 XML簽名：實現(xiàn)了通過擴(kuò)展標(biāo)記語

16、言（XML）來創(chuàng)建、驗證和管理數(shù)字簽名。l 軟件完整性保護(hù)采取代碼簽名證書對原始發(fā)布的軟件進(jìn)行完整性保護(hù)基于手機(jī)服務(wù)的應(yīng)用系統(tǒng)普遍采用C/S架構(gòu)，終端用戶運(yùn)行手機(jī)應(yīng)用程序軟件訪問應(yīng)用系統(tǒng)，存在客戶端軟件被仿冒和篡改的風(fēng)險。公務(wù)員用戶使用移動終端訪問醫(yī)療HIS處理移動辦公、移動執(zhí)法等業(yè)務(wù)時，如果運(yùn)行仿冒的程序軟件，其業(yè)務(wù)中的信息數(shù)據(jù)將面臨被竊取、篡改的危險。因此，建議對北京醫(yī)療HIS的終端應(yīng)用程序軟件簽發(fā)代碼簽名證書，防范軟件被仿冒和篡改的風(fēng)險，使用戶免遭病毒和黑客程序的侵?jǐn)_，為軟件的完整性提供可靠的保障。 惡意代碼防范對各服務(wù)器平臺部署網(wǎng)絡(luò)防病毒系統(tǒng)，實現(xiàn)對計算環(huán)境內(nèi)惡意代碼檢測

17、與阻殺，定級對防病毒系統(tǒng)病毒庫特征碼進(jìn)行升級，保持最新的惡意代碼檢測庫。 WEB應(yīng)用系統(tǒng)防護(hù)部署入侵防御系統(tǒng)或WEB防火墻實現(xiàn)對WEB應(yīng)用程序安全保護(hù)。由于大部分服務(wù)系統(tǒng)都是采用WEB方式向外界提供服務(wù)，而由于目前針對WEB服務(wù)的攻擊除了利用其IE漏洞、數(shù)據(jù)庫漏洞、操作系統(tǒng)漏洞外，還利用編程語言程序設(shè)計漏洞，如SQL注入攻擊是最常用的WEB應(yīng)用攻擊。目前大部分安全防護(hù)都是針對應(yīng)用層以下的攻擊，而對應(yīng)用層本層的防護(hù)甚少，因此采用入侵防御系統(tǒng)或WEB防火墻從應(yīng)用層上對WEB服務(wù)提供防護(hù)。入侵防御系統(tǒng)或WEB防火墻采用專用入侵異常檢測技術(shù)，對WEB應(yīng)用實施全面、深度防御，能夠有效識別、

18、阻止日益盛行的WEB應(yīng)用黑客攻擊（如SQL注入、釣魚攻擊、表單繞過、緩沖區(qū)溢出、CGI掃描、目錄遍歷、命令注入、Cookie 注入、跨站腳本(XSS)、敏感信息泄露 、惡意代碼、錯誤配置、隱藏字段、會話劫持、參數(shù)篡改、緩沖區(qū)溢出、應(yīng)用層拒絕服務(wù)、弱口令等。網(wǎng)頁防篡改系統(tǒng)實現(xiàn)防止WEB應(yīng)用程序URL盜鏈以及WEB應(yīng)用程序非法篡改。 可用性與數(shù)據(jù)安全為提高醫(yī)療HIS高可用性，應(yīng)用系統(tǒng)服務(wù)器應(yīng)采集群方式進(jìn)行部署，實現(xiàn)應(yīng)用服務(wù)的高可用性和負(fù)載。為了保障應(yīng)用系統(tǒng)數(shù)據(jù)安全，對關(guān)鍵數(shù)據(jù)應(yīng)采用密碼機(jī)對應(yīng)用數(shù)據(jù)進(jìn)行加密存儲。同時采用數(shù)據(jù)備份軟件和磁帶機(jī)對數(shù)據(jù)庫數(shù)據(jù)進(jìn)行備份。4.2.3 安全區(qū)域邊界

19、設(shè)計 防火墻在網(wǎng)絡(luò)邊界部署防火墻系統(tǒng)實現(xiàn)網(wǎng)絡(luò)及應(yīng)用的訪問控制機(jī)制。防火墻采用基于連接狀態(tài)檢測的包過濾模塊，從系統(tǒng)內(nèi)核層對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析和處理，將屬于同一連接的所有數(shù)據(jù)包作為一個整體的數(shù)據(jù)流看待，同一連接只在第一個包到來時檢查規(guī)則一次，后續(xù)包則只需要檢查其連接狀態(tài)，系統(tǒng)內(nèi)部高效維護(hù)了一張連接狀態(tài)表。對于基于UDP協(xié)議、ICMP這種無連接狀態(tài)的協(xié)議處理時，會為其建立虛擬的連接狀態(tài)表，因此同樣能夠?qū)B接過程狀態(tài)進(jìn)行監(jiān)控。防火墻通過規(guī)則表與連接狀態(tài)表的共同配合，大大地提高了系統(tǒng)的性能和安全性。防火墻的包過濾控制策略細(xì)致靈活，不僅可以對數(shù)據(jù)包的進(jìn)/出網(wǎng)絡(luò)接口、協(xié)議（TCP、UDP、ICM

20、P、以及其他非IP協(xié)議）、源IP、目的IP、源端口、目的端口、IP選項等進(jìn)行控制，還可采用基于時間、用戶以及服務(wù)（群組）的控制策略。防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄

21、下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能進(jìn)行適當(dāng)?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。另外，收集一個網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。在以下區(qū)域邊界部署防火墻，實現(xiàn)有效的安全邊界劃分和訪問控制：l 在運(yùn)營商接入邊界各部署防火墻；l 在LNS接入域與醫(yī)療HIS之間部署防火墻l 在平臺互聯(lián)網(wǎng)出口出部署防火墻l 在平臺的出口和外網(wǎng)出口處部署防火墻 異常流量管理在與外部網(wǎng)絡(luò)通信時，對

22、網(wǎng)絡(luò)邊界的各類攻擊，其中惡意流量攻擊是最主要的方式之一，通過部署抗系統(tǒng)，實現(xiàn)對SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及連接耗盡這些常見的DOS/DDOS攻擊行為能夠有效識別，并通過集成的機(jī)制實時對這些攻擊流量進(jìn)行阻斷。異常流量管理系統(tǒng)的實時流量分析器提供了網(wǎng)絡(luò)、應(yīng)用以及IP地址的實時流量采集、分析和展現(xiàn)功能，用戶可以通過IP地址( 用戶)、應(yīng)用、通道、帶寬等方式直觀的查看整個網(wǎng)絡(luò)中帶寬的詳細(xì)使用情況。它是IT管理員優(yōu)化網(wǎng)絡(luò)帶寬、解決帶寬惡意使用的有力的管理工具，為后續(xù)的

23、帶寬優(yōu)化與管控、網(wǎng)絡(luò)規(guī)劃提供科學(xué)的依據(jù)?；谙到y(tǒng)內(nèi)嵌的DPI智能分類引擎，系統(tǒng)可以探測和跟蹤動態(tài)端口的分配，并通過比對協(xié)議的特征庫，能夠識別變動端口的會話流，并能夠?qū)κ褂猛欢丝诘牟煌瑓f(xié)議進(jìn)行自動識別，實現(xiàn)網(wǎng)絡(luò)流量的全面可視化。用戶可以自定義應(yīng)用的特征碼，避免產(chǎn)生不明流量，清理非法數(shù)據(jù)包及IP碎片，輸出符合TCP/IP協(xié)議的數(shù)據(jù)包。 入侵防御在核心交換機(jī)與服務(wù)域之間部署入侵防御系統(tǒng)，實現(xiàn)對各類入侵行為進(jìn)行檢測與阻斷。入侵防御系統(tǒng)能夠識別多種L2L7層的網(wǎng)絡(luò)協(xié)議和應(yīng)用軟件，涵蓋了目前主流的各種應(yīng)用，包括P2P、VoIP、IM( 即時通訊)、視頻/流媒體、網(wǎng)絡(luò)游戲、炒股軟件、企業(yè)內(nèi)部

24、應(yīng)用、網(wǎng)絡(luò)管理協(xié)議、安全協(xié)議等，對邊界對確認(rèn)的入侵行為進(jìn)行檢測并阻斷，防止惡意攻擊行為通過邊界進(jìn)入到內(nèi)部網(wǎng)絡(luò)，破壞網(wǎng)絡(luò)邊界的完整性。網(wǎng)絡(luò)入侵防御系統(tǒng)能通過對監(jiān)測網(wǎng)絡(luò)的高速報文捕獲，進(jìn)行深入?yún)f(xié)議分析，結(jié)合模式匹配、統(tǒng)計以及行為關(guān)聯(lián)分析，可以對各種類型的事件和流量、原始報文進(jìn)行全面深入的監(jiān)測。通過預(yù)設(shè)的策略條件自動執(zhí)行對網(wǎng)絡(luò)中的行為事件的響應(yīng)，主要的幾種響應(yīng)方式：告警，日志，阻斷，自定義響應(yīng)方式。 負(fù)載均衡考慮大量用戶同時訪問醫(yī)療HIS時，將面臨大流量合法用戶的訪問，會造成應(yīng)用服務(wù)性能受到很大挑戰(zhàn)，很容易因合法用戶造成對應(yīng)用服務(wù)的拒絕服務(wù)攻擊，因此，針對應(yīng)用系統(tǒng)采用網(wǎng)絡(luò)負(fù)載均衡機(jī)制，

25、實現(xiàn)對合法用戶流量訪問均衡分擔(dān)，避免大流量合法用戶訪問造成應(yīng)用服務(wù)宕機(jī)。4.2.4 安全通信網(wǎng)絡(luò)設(shè)計 安全接入為保障外部網(wǎng)絡(luò)用戶安全接入到醫(yī)療HIS，采用基于密碼技術(shù)的機(jī)制實現(xiàn)接入用戶的安全身份認(rèn)證、授權(quán)控制、數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄员Ｗo(hù)。SSL VPN系統(tǒng)采用SSL安全協(xié)議的隧道封裝模式，采用國家密碼主管部門審批的專用算法SM1等手段來保證廣域網(wǎng)傳輸?shù)耐暾?，利用密碼技術(shù)保證傳輸數(shù)據(jù)內(nèi)容的完整性，防止篡改傳輸數(shù)據(jù)或被破壞。SSL VPN網(wǎng)關(guān)能夠滿足不同用戶的這種安全需求，支持多種不同強(qiáng)度的身份認(rèn)證方式，如用戶名+口令、RADIUS、AD、LDAP、USB Key、證書、證書+口

26、令、雙因子認(rèn)證等。適用于豐富的終端及操作系統(tǒng)，還包括一些高端的PDA、智能手機(jī)、3G手機(jī)。操作系統(tǒng)方面不僅支持 Windows 2000/XP/2003/Vista等通用的PC平臺，還支持用戶使用Windows Mobile平臺接入，并且在Windows Mobile平臺上能夠提供任意的基于IP的訪問，也支持非Windows的操作平臺的遠(yuǎn)程接入。這種支持多平臺特性為用戶提供了方便的訪問特性，極大地滿足用戶的需要。SSL VPN網(wǎng)關(guān)支持雙機(jī)熱備，可以提供主從，主主兩種業(yè)務(wù)模式，并且其HA功能可以在不同的型號之間實現(xiàn)。SSL VPN網(wǎng)關(guān)所使用的基于角色的訪問控制便于管理員制定靈活的控制規(guī)則。通過角

27、色將系統(tǒng)的訪問用戶同系統(tǒng)保護(hù)資源聯(lián)系起來，既直觀，而且在訪問控制策略發(fā)生變化的時候無須為每一種資源或者每一個用戶修改權(quán)限；只需要修改某一種服務(wù)/角色/用戶的屬性。SSL VPN網(wǎng)關(guān)同時支持對終端環(huán)境的安全檢查。 虛擬專用網(wǎng)絡(luò)虛擬專用網(wǎng)（Virtual Private Network）技術(shù)是指采用隧道技術(shù)以及加密、身份認(rèn)證等方法，在公眾網(wǎng)絡(luò)上構(gòu)建專用網(wǎng)絡(luò)的技術(shù)，數(shù)據(jù)通過安全的“加密管道”在公眾網(wǎng)絡(luò)中傳播。VPN技術(shù)實現(xiàn)了內(nèi)部網(wǎng)信息在公眾信息網(wǎng)中的傳輸，就如同在茫茫的廣域網(wǎng)中為用戶拉出一條專線。對于用戶來講，公眾網(wǎng)絡(luò)起到了“虛擬專用”的效果。通過VPN，網(wǎng)絡(luò)對每個使用者也是專用的。也

28、就是說，VPN根據(jù)使用者的身份和權(quán)限，直接將使用者接入他所應(yīng)該接觸的信息中。所以VPN對于每個用戶，也是“專用”的。目前構(gòu)建虛擬專用網(wǎng)的國際標(biāo)準(zhǔn)主要有IPSec、SSL、SOCKS、PPTP、L2TP等協(xié)議。本方案中采用的是國際上使用最廣泛的IPSEC協(xié)議。IPSec提供的安全服務(wù)包括：l 保密性IPSec在傳輸數(shù)據(jù)包之前將其加密以保證數(shù)據(jù)的保密性l 完整性IPSec在目的地要驗證數(shù)據(jù)包，以保證該數(shù)據(jù)包任傳輸過程中沒有被修改或替換l 真實性IPSec端要驗證所有受IPSec保護(hù)的數(shù)據(jù)包l 防重放IPSec防止了數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上，即目的地會拒絕老的或重復(fù)的數(shù)據(jù)包，它通過報文的序列號實

29、現(xiàn)。 網(wǎng)絡(luò)安全審計在網(wǎng)絡(luò)環(huán)境中部署網(wǎng)絡(luò)安全審計系統(tǒng)實現(xiàn)各類用戶對應(yīng)用系統(tǒng)、數(shù)據(jù)庫及網(wǎng)絡(luò)訪問行為進(jìn)行安全審計，以便發(fā)現(xiàn)違規(guī)行為進(jìn)行安全審計及事后追蹤。 入侵檢測網(wǎng)絡(luò)安全防護(hù)不但需要防外，還需要從內(nèi)部進(jìn)行防護(hù)。入侵行為除了來自網(wǎng)絡(luò)邊界外，同時也需要對網(wǎng)絡(luò)內(nèi)的合法用戶的入侵行為進(jìn)行檢測，因此，部署入侵檢測系統(tǒng)實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的入侵行為進(jìn)行檢測與報警。入侵檢測系統(tǒng)通過對監(jiān)測網(wǎng)絡(luò)的高速報文捕獲，進(jìn)行深入?yún)f(xié)議分析，結(jié)合模式匹配、統(tǒng)計以及行為關(guān)聯(lián)分析，可以對各種類型的事件和流量、原始報文進(jìn)行全面深入的監(jiān)測。通過預(yù)設(shè)的策略條件自動執(zhí)行對網(wǎng)絡(luò)中的行為事件的響應(yīng)，主要的幾種響應(yīng)方式：告警

30、，日志，自定義響應(yīng)方式。4.2.5 安全管理中心設(shè)計安全管理中心可能由一個或幾個安全系統(tǒng)的管理中心共同組成，各安全系統(tǒng)都實現(xiàn)三權(quán)分離管理。 系統(tǒng)管理應(yīng)通過系統(tǒng)管理員對系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，包括：用戶身份管理，系統(tǒng)資源配置，系統(tǒng)加載和啟動，系統(tǒng)運(yùn)行的異常處理，以及支持管理本地和/或異地災(zāi)難備份與恢復(fù)等；應(yīng)對系統(tǒng)管理員進(jìn)行嚴(yán)格的身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對這些操作進(jìn)行審計。 安全管理應(yīng)通過安全管理員對系統(tǒng)中的主體、客體進(jìn)行統(tǒng)一標(biāo)記，進(jìn)行系統(tǒng)安全監(jiān)測，并為安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)配置統(tǒng)一的安全策略；應(yīng)對安

31、全管理員進(jìn)行嚴(yán)格的身份鑒別，并只允許其通過特定的命令或操作界面進(jìn)行安全管理操作，并進(jìn)行審計。安全管理設(shè)備應(yīng)能過對安全設(shè)備進(jìn)行統(tǒng)一的策略下發(fā)，使得各安全產(chǎn)品共同一個完整的安全防御體系。 審計管理應(yīng)通過安全審計員對分布在系統(tǒng)各個組成部分的安全審計機(jī)制進(jìn)行集中管理，包括：根據(jù)安全審計策略對審計記錄進(jìn)行分類；提供按時間段開啟和關(guān)閉相應(yīng)類型的安全審計機(jī)制；對各類審計記錄進(jìn)行存儲、管理和查詢等；對審計記錄進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理；對安全審計員進(jìn)行嚴(yán)格的身份鑒別，并只允許其通過特定的命令或操作界面進(jìn)行安全審計操作。5 安全管理體系設(shè)計僅有安全技術(shù)防護(hù)，而無嚴(yán)格的安全管理相配合，是難以保

32、障網(wǎng)絡(luò)系統(tǒng)運(yùn)行安全的。因為諸多的不安全因素恰恰反映在組織管理和人員的使用方面，這是計算機(jī)網(wǎng)絡(luò)安全必須考慮和高度重視的基本問題。嚴(yán)格的安全管理制度，明確的安全職責(zé)劃分，合理的人員角色定義，完備的應(yīng)急響應(yīng)機(jī)制，都可以在很大程度上減少安全隱患。因此，醫(yī)療HIS的安全建設(shè)、運(yùn)行、維護(hù)、管理都要重視安全管理，嚴(yán)格按制度進(jìn)行辦事，嚴(yán)格按制度辦事，明確責(zé)任權(quán)力，規(guī)范操作，加強(qiáng)人員、設(shè)備的管理以及人員的培訓(xùn)，提高安全管理水平。醫(yī)療HIS安全管理模型如下圖所示：5.1 管理機(jī)構(gòu)建設(shè)醫(yī)療HIS安全事關(guān)醫(yī)療機(jī)構(gòu)重要政務(wù)的處理和醫(yī)療機(jī)構(gòu)形象以及生命安全，需要從戰(zhàn)略高度充分認(rèn)識安全防護(hù)的重要性和緊迫性。因此，需要在現(xiàn)有

33、組織設(shè)置的基礎(chǔ)上，進(jìn)一步明確安全管理的相關(guān)組織、機(jī)構(gòu)和職責(zé)，建立集中統(tǒng)一、分工協(xié)作、各司其職的安全管理責(zé)任機(jī)制。ü 成立經(jīng)安全領(lǐng)導(dǎo)小組，負(fù)責(zé)醫(yī)療HIS建設(shè)和運(yùn)行維護(hù)過程中有關(guān)安全事務(wù)的組織協(xié)調(diào)工作。ü 健全安全責(zé)任制，進(jìn)一步明確各部門、單位的安全職責(zé)，包括系統(tǒng)運(yùn)行、維護(hù)、資產(chǎn)管理等責(zé)任部門，并落實各項安全工作的具體負(fù)責(zé)人。ü 按最小特權(quán)原則和職責(zé)分離原則，配備系統(tǒng)管理員、安全管理員、安全審計員，分工明確，責(zé)任到人。ü 建立定期安全檢查、協(xié)調(diào)機(jī)制，及時掌握醫(yī)療HIS的安全狀態(tài)和安全管理制度執(zhí)行情況。5.2 完善安全管理制度為保證醫(yī)療HIS系統(tǒng)正常運(yùn)行，必須

34、首先建立、健全一套與之相應(yīng)的安全管理制度，需要制定和完善的安全管理制度包括但不限于以下制度規(guī)范：ü 信息安全管理規(guī)范：明確安全目標(biāo)、安全原則、管理組織、職責(zé)和人員、機(jī)房、設(shè)備、軟件、信息介質(zhì)、技術(shù)文檔、安全審計、應(yīng)急處理等方面的總的管理要求。ü 人員管理相關(guān)制度：明確安全管理人員錄用、培訓(xùn)、調(diào)離、獎懲等方面的具體要求和各類管理人員的具體職責(zé)。ü 機(jī)房管理相關(guān)制度：明確機(jī)房管理、機(jī)房出入、設(shè)備出入、機(jī)房值班、日常維護(hù)、定期維護(hù)、故障處理、電源管理、消防管理、信息保密等方面的具體管理要求。ü 設(shè)備管理相關(guān)制度：明確設(shè)備購置、使用、維修等方面的具體管理要求。&

35、#252; 軟件管理相關(guān)制度：明確軟件采購、測試、安裝、登記、保管、使用、維護(hù)、防病毒等方面的具體管理要求。ü 信息介質(zhì)管理相關(guān)制度：明確各類信息介質(zhì)的采購、登記、借用、復(fù)制、銷毀、儲存等方面的具體管理要求。ü 技術(shù)文檔管理相關(guān)制度：明確技術(shù)文檔歸檔、借閱、復(fù)制、備份、銷毀等方面的具體管理要求。ü 安全審計管理相關(guān)制度：明確安全審計內(nèi)容、周期、審計流程以及日志保存時間、處理等方面的具體管理要求。ü 應(yīng)急處理管理相關(guān)制度：明確處理各類信息安全緊急事件的應(yīng)急組織、人員、響應(yīng)流程、處理步驟等。5.3 加強(qiáng)人才隊伍建設(shè)由于信息安全的復(fù)雜性、專業(yè)性、特殊性，醫(yī)療HIS相關(guān)單位需要重視網(wǎng)絡(luò)安全人員的培養(yǎng)、使用和管理。在人才隊伍建設(shè)方面，應(yīng)采取以下措施：ü 錄用一定數(shù)量的責(zé)任心強(qiáng)、守紀(jì)律、懂技術(shù)的安全人員，同時加強(qiáng)安全技術(shù)交流，定期對系統(tǒng)管理員、安全管理員、審計管理員進(jìn)行專業(yè)的安全培訓(xùn)，使其掌握計算機(jī)安全的高級知識，了解黑客使用的流行手段，有能力對網(wǎng)絡(luò)攻擊采取必要的防范措施，盡快形成一支高度自覺、遵紀(jì)守法的安全技術(shù)和管理隊