WS_T 447-2014 基于電子病歷的醫(yī)院信息平臺(tái)技術(shù)規(guī)范(安全規(guī)范部分)

1、.9 安全規(guī)范9.1 安全設(shè)計(jì)原則9.1.1 規(guī)范性原則醫(yī)院信息平臺(tái)需按照信息系統(tǒng)等級(jí)保護(hù)三級(jí)（或以上的要求進(jìn)行安全建設(shè)，安全設(shè)計(jì)應(yīng)遵循已頒布的相關(guān)國(guó)家標(biāo)準(zhǔn)。9.1.2先進(jìn)性和適用性原則安全設(shè)計(jì)應(yīng)采用先進(jìn)的設(shè)計(jì)思想和方法，盡量采用國(guó)內(nèi)外先進(jìn)的安全技術(shù)。所采用的先進(jìn)技術(shù)應(yīng)符合實(shí)際情況；應(yīng)合理設(shè)置系統(tǒng)功能、恰當(dāng)進(jìn)行系統(tǒng)配置和設(shè)備選型，保障其具有較高的性價(jià)比，滿足業(yè)務(wù)管理的需要。9.1.3可擴(kuò)展性原則安全設(shè)計(jì)應(yīng)考慮通用性、靈活性，以便利用現(xiàn)有資源及應(yīng)用升級(jí)。9.1.4 開放性和兼容性原則對(duì)安全子系統(tǒng)的升級(jí)、擴(kuò)充、更新以及功能變化應(yīng)有較強(qiáng)的適應(yīng)能力。即當(dāng)這些因素發(fā)生變化時(shí)，安全子系統(tǒng)可以不做修改或少量

2、修改就能在新環(huán)境下運(yùn)行。9.1.5 可靠性原則安全設(shè)計(jì)應(yīng)確保系統(tǒng)的正常運(yùn)行和數(shù)據(jù)傳輸?shù)恼_性，防止由內(nèi)在因素和硬件環(huán)境造成的錯(cuò)誤和災(zāi)難性故障，確保系統(tǒng)可靠性。在保證關(guān)鍵技術(shù)實(shí)現(xiàn)的前提下，盡可能采用成熟安全產(chǎn)品和技術(shù)，保證系統(tǒng)的可用性、工程實(shí)施的簡(jiǎn)便快捷。9.1.6 系統(tǒng)性原則應(yīng)綜合考慮安全子系統(tǒng)的整體性、相關(guān)性、目的性、實(shí)用性和適應(yīng)性。另外，與業(yè)務(wù)系統(tǒng)的結(jié)合相對(duì)簡(jiǎn)單且獨(dú)立。9.1.7 技術(shù)和管理相結(jié)合原則安全體系應(yīng)遵循技術(shù)和管理相結(jié)合的原則進(jìn)行設(shè)計(jì)和實(shí)施，各種安全技術(shù)應(yīng)該與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。從社會(huì)系統(tǒng)工程的角度綜合考慮，最大限度發(fā)揮人防、物防、技防相

3、結(jié)合的作用。9.2 總體框架總體框架的設(shè)計(jì)要求包括：醫(yī)院信息平臺(tái)安全體系從安全技術(shù)、安全管理為要素進(jìn)行框架設(shè)計(jì)；應(yīng)從網(wǎng)絡(luò)安全（基礎(chǔ)網(wǎng)絡(luò)安全和邊界安全）、主機(jī)安全（終端系統(tǒng)安全、服務(wù)端系統(tǒng)安全）、應(yīng)用安全、數(shù)據(jù)安全幾個(gè)層面實(shí)現(xiàn)安全技術(shù)類要求；應(yīng)從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理幾個(gè)層面實(shí)現(xiàn)安全管理類要求。9.3 技術(shù)要求9.3.1 物理安全物理安全主要是指醫(yī)院信息平臺(tái)所在機(jī)房和辦公場(chǎng)地的安全性，主要應(yīng)考慮以下幾個(gè)方面內(nèi)容。物理位置的選擇：應(yīng)滿足GB/T 22239-2008申的要求；物理訪問(wèn)控制：應(yīng)滿足GB/T 22239-2008中7.1.1.

4、2的要求；防盜竊和防破壞：應(yīng)滿足GB/T 22239-2008中的要求；防雷擊：應(yīng)滿足GB/T 22239-2008中的要求；防火：應(yīng)滿足GB/T 22239-2008中的要求；防水和防潮：應(yīng)滿足GB/T 22239-2008中的要求；防靜電：應(yīng)滿足GB/T 22239-2008中的要求；溫濕度控制：應(yīng)滿足GB/T 22239-2008中的要求；電力供應(yīng)：應(yīng)滿足GB/T 22239-2008中的要求；電磁防護(hù)：應(yīng)滿足GB/T 22239-2008中0的要求。9.3.2 網(wǎng)絡(luò)安全9.3

5、.2.1 基礎(chǔ)網(wǎng)絡(luò)安全.1 結(jié)構(gòu)安全結(jié)構(gòu)安全要求包括：應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力至少為歷史峰值的3倍；應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；應(yīng)繪制與當(dāng)前運(yùn)行情況相符完整的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，有相應(yīng)的網(wǎng)絡(luò)配置表，包含設(shè)備IP地址等主要信息，與當(dāng)前運(yùn)行情況相符，并及時(shí)更新；網(wǎng)絡(luò)系統(tǒng)建設(shè)應(yīng)符合8.5的要求。.2 網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù)要求包括：應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；應(yīng)刪除默認(rèn)用戶或修改默認(rèn)用戶的口令，根據(jù)管理需要開設(shè)用戶，不得使用缺省口令、空口令、弱口令；應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限

6、制；網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽。 安全區(qū)域邊界安全安全區(qū)域邊界安全要求包括：在醫(yī)院信息平臺(tái)和外部網(wǎng)絡(luò)邊界處應(yīng)部署防火墻設(shè)備或其他訪問(wèn)控制設(shè)備，訪問(wèn)控制設(shè)備需具備以下功能： 實(shí)現(xiàn)基于源目的IP地址、源MAC地址、服務(wù)端口、用戶、時(shí)間、組（網(wǎng)絡(luò)，服務(wù)，用戶，時(shí)間）的精細(xì)粒度的訪問(wèn)控制； 應(yīng)設(shè)定過(guò)濾規(guī)則集；規(guī)則集應(yīng)涵蓋財(cái)所有出入邊界的數(shù)據(jù)包的處理方式； 能

7、對(duì)連接、攻擊、認(rèn)證和配置等行為進(jìn)行審計(jì)，并且可以對(duì)審計(jì)事件提供的告警； 實(shí)現(xiàn)日志的本地存儲(chǔ)、遠(yuǎn)端存儲(chǔ)、備份等存儲(chǔ)方式； 應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、 POP3等協(xié)議命令級(jí)的控制； 應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接； 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；應(yīng)禁用網(wǎng)絡(luò)設(shè)備的閑置端口，采用對(duì)非虛擬IP進(jìn)行設(shè)備地址綁定等方式防止地址欺騙。在平臺(tái)和外部網(wǎng)絡(luò)邊界部署檢測(cè)設(shè)備實(shí)現(xiàn)探測(cè)網(wǎng)絡(luò)入侵和非法外聯(lián)行為，檢測(cè)控制設(shè)備需具備以下功能： 能夠監(jiān)測(cè)以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和

8、網(wǎng)絡(luò)蠕蟲攻擊等； 當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警； 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有 效阻斷； 能夠檢查網(wǎng)絡(luò)用戶終端采用雙網(wǎng)卡跨接外部網(wǎng)絡(luò)，或采用電話撥號(hào)、ADSL撥號(hào)、手機(jī)、無(wú)線上網(wǎng)卡等無(wú)線撥號(hào)方式連接其他外部網(wǎng)絡(luò)。應(yīng)在平臺(tái)和外部網(wǎng)絡(luò)邊界處對(duì)惡恚代碼進(jìn)行檢測(cè)和清除，包括： 在不嚴(yán)重影響網(wǎng)絡(luò)性能和業(yè)務(wù)的情況下，應(yīng)在網(wǎng)絡(luò)邊界部署惡意代碼檢測(cè)系統(tǒng)； 如果部署了主機(jī)惡意代碼檢測(cè)系統(tǒng)，可選擇安裝部署網(wǎng)絡(luò)邊界部署惡意代碼檢測(cè)系統(tǒng)。 安全審計(jì)在平臺(tái)和外部網(wǎng)絡(luò)邊界處部署審計(jì)系統(tǒng)，收集

9、、記錄邊界的相關(guān)安全事件，并將審計(jì)記錄轉(zhuǎn)換為標(biāo)準(zhǔn)格式，上報(bào)審計(jì)管理中心。邊界審計(jì)系統(tǒng)需具備以下功能：收集、記錄網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為的日志信息；審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；支持使用標(biāo)準(zhǔn)通訊協(xié)議將探測(cè)到的各種審計(jì)信息上報(bào)審計(jì)管理中心；應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。9.3.3 服務(wù)端系統(tǒng)安全 身份鑒別通過(guò)使用安全操作系統(tǒng)或相應(yīng)的系統(tǒng)加固軟件實(shí)現(xiàn)用戶身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根

10、據(jù)安全策略配置相關(guān)參數(shù)，安全操作系統(tǒng)或系統(tǒng)加固軟件需具備以下功能：在每次用戶登錄系統(tǒng)時(shí)，采用強(qiáng)化管理的口令或具有相應(yīng)安全強(qiáng)度的其他機(jī)制進(jìn)行用戶身份鑒別，并對(duì)鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)，要求包括： 宜支持?jǐn)?shù)字證書+USB KEY的認(rèn)證方式實(shí)現(xiàn)強(qiáng)身份鑒別； 配置用戶名口令認(rèn)證方式時(shí)，口令設(shè)置應(yīng)具備一定酌復(fù)雜度，不合格的口令被拒絕；口令 應(yīng)具備采用3種以上字符、長(zhǎng)度不少于8位，并設(shè)置定期更換要求；應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，保證系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用；應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理

11、時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽；應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別，要求包括： 通過(guò)本地控制臺(tái)管理主機(jī)設(shè)備時(shí)，應(yīng)采用一種或一種以上身份鑒別技術(shù)； 以遠(yuǎn)程方式登錄主機(jī)設(shè)備，應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)進(jìn)行身份鑒別。訪問(wèn)控制通過(guò)使用安全操作系統(tǒng)或相應(yīng)的系統(tǒng)加固軟件進(jìn)行系統(tǒng)加固實(shí)現(xiàn)自主訪問(wèn)控制安全要求。安全操作系統(tǒng)或系統(tǒng)加固軟件需具備以下功能：策略控制：能接收到管理中心下發(fā)的安全策略，并能依據(jù)此策略對(duì)登錄用戶的操作權(quán)限進(jìn)行控制；客體創(chuàng)建：用戶可以在管理中心下發(fā)的安全策略控制范圍內(nèi)創(chuàng)建客體，并擁有對(duì)客體的各種訪問(wèn)操作（讀、寫、修改和刪除

12、等）權(quán)限；授權(quán)管理：用戶可以將自己創(chuàng)建的客體的訪問(wèn)權(quán)限（讀、寫、修改和刪除等）的部鈴或全部授予其他用戶；訪問(wèn)控制主體的粒度為用戶級(jí)，客體的粒度為文件或數(shù)據(jù)庫(kù)表級(jí)；應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記；應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作；應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。重要服務(wù)器的CPU利用率、內(nèi)存、磁盤存儲(chǔ)空間等指標(biāo)超過(guò)預(yù)先規(guī)定的閾值后應(yīng)進(jìn)行報(bào)警。 安全審計(jì)在管理區(qū)域部署審計(jì)系統(tǒng)，對(duì)醫(yī)院信息平臺(tái)范圍內(nèi)的主機(jī)探測(cè)、記錄、相關(guān)安全事件，實(shí)現(xiàn)系統(tǒng)安全審計(jì)。審計(jì)系統(tǒng)

13、需具備以下功能：審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶；審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件，審計(jì)內(nèi)容至少包括：用戶的添加和刪除、審計(jì)功能的啟動(dòng)和關(guān)閉、審計(jì)策略的調(diào)整、權(quán)限變更、系統(tǒng)資源的異常使用、重要的系統(tǒng)操作（如用戶登錄、退出）等。審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等；審計(jì)記錄應(yīng)至少保存6個(gè)月；應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷。 惡意代碼防范通過(guò)部署病毒防護(hù)系統(tǒng)或配置具有相應(yīng)功能

14、的安全操作系統(tǒng)，實(shí)現(xiàn)主機(jī)計(jì)算環(huán)境的病毒防護(hù)以及惡意代碼防范。病毒防護(hù)系統(tǒng)需具備以下功能：遠(yuǎn)程控制與管理；保持操作系統(tǒng)補(bǔ)丁及時(shí)得到更新；全網(wǎng)查殺毒；防毒策略的定制與貧發(fā)實(shí)時(shí)監(jiān)控；客戶端防毒狀況；病毒與事件報(bào)警；病毒日志查詢與統(tǒng)計(jì)；集中式授權(quán)管理；全面監(jiān)控郵件客戶端。剩余信息保護(hù)剩余信息保護(hù)技術(shù)要求包括：應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶的鑒別信息所在的存儲(chǔ)空間，被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存放在硬盤上還是在內(nèi)存中；應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間，被釋放或重新分配給其他用戶前得到完全清除。 入侵防范入侵防范技術(shù)要求包括：操

15、作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新；應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測(cè)，并在檢測(cè)到完整性受到破壞后具有恢復(fù)的措施，如不能正常恢復(fù)，應(yīng)停止有關(guān)服務(wù)，并提供報(bào)警。9.3.4 終端系統(tǒng)安全通過(guò)使用安全操作系統(tǒng)或相應(yīng)的系統(tǒng)加固軟件進(jìn)行系統(tǒng)加固實(shí)現(xiàn)終端系統(tǒng)安全加固。安全操作系統(tǒng)或系統(tǒng)加固軟件硬件需具備以下功能：應(yīng)對(duì)登錄終端操作系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；宜支持?jǐn)?shù)字證書進(jìn)行身份認(rèn)證；使用口令進(jìn)行身份認(rèn)證時(shí)，

16、口令應(yīng)有復(fù)雜度要求并定期更換；應(yīng)依據(jù)安全策略控制用戶對(duì)資源的訪問(wèn)，禁止通過(guò)USB、光驅(qū)等外設(shè)進(jìn)行數(shù)據(jù)交換，關(guān)閉不必要的服務(wù)和端口等；應(yīng)對(duì)系統(tǒng)中的重要終端進(jìn)行審計(jì)，審計(jì)粒度為用戶級(jí)；審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用及其他與審計(jì)相關(guān)的信息；審計(jì)記錄至少應(yīng)包括事件的日期、時(shí)間、類型、用戶名、訪問(wèn)對(duì)象、結(jié)果等；應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷； 應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等，審計(jì)記錄至少保存3個(gè)月；應(yīng)定期對(duì)審計(jì)記錄進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)異常行為；操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并保持系統(tǒng)補(bǔ)丁及時(shí)得到更新；宜支持多操作

17、系統(tǒng)，分離不同類型的應(yīng)用場(chǎng)景；可以采用硬件加固的方式實(shí)現(xiàn)終端系統(tǒng)安全加固，隔離異常終端，并且實(shí)現(xiàn)數(shù)字內(nèi)容舨權(quán)保護(hù)。9.3.5 應(yīng)用安全 用戶管理和權(quán)限控制用戶管理和權(quán)限控制要求包括：應(yīng)確保訪問(wèn)醫(yī)院信息平臺(tái)的所有實(shí)體（用戶和系統(tǒng)）采用唯一身份標(biāo)識(shí)，并對(duì)實(shí)體身份進(jìn)行統(tǒng) 一管理，包括： 對(duì)醫(yī)院信息平臺(tái)各類實(shí)體信息進(jìn)行數(shù)字身份的定義和標(biāo)識(shí)； 實(shí)現(xiàn)數(shù)字身份流程化管理，控制數(shù)字身份的整個(gè)生命周期，支持身份信息申請(qǐng)、審批、變更及撤銷等管理操作管理操作； 集中管理用戶身份屬性信息（包括姓名、性別、出生日期、民族、婚姻狀況、職業(yè)、工作單位、住址、有效身份證件號(hào)碼、聯(lián)系電話等）； 確保每個(gè)用戶應(yīng)具有

18、唯一的身份標(biāo)識(shí)和唯一的身份鑒別信息； 如果進(jìn)行用戶和系統(tǒng)之間的相互身份鑒別，則系統(tǒng)也應(yīng)具有唯一的身份鑒別信息； 確保用戶和系統(tǒng)的身份鑒別信息應(yīng)是不可偽造； 提供用戶自助服務(wù)功能（例如身份注冊(cè)申請(qǐng)、修改、密碼重置等）。應(yīng)根據(jù)用戶對(duì)醫(yī)院信息平臺(tái)系統(tǒng)的使用性質(zhì)的不同進(jìn)行用戶分類管理，包括： 將用戶分為業(yè)務(wù)用戶和管理用戶兩大類，根據(jù)用戶職責(zé)對(duì)用戶分類進(jìn)行細(xì)化； 創(chuàng)建用戶角色和工作組，按照一定規(guī)則將具有相同屬性或特征的用戶劃分為一組，進(jìn)行用戶組管理。系統(tǒng)支持對(duì)用戶、角色、資源和權(quán)限的標(biāo)準(zhǔn)化管理，實(shí)施權(quán)限昝理和權(quán)限的分配，包括： 應(yīng)支持基于“用戶-角色用戶組-應(yīng)用資源”的授權(quán)模型，制定授權(quán)策略； 確保每個(gè)

19、授權(quán)用戶應(yīng)具有唯一的用戶標(biāo)識(shí)(ID)和唯一的身份鑒別信息； 提供用戶角色創(chuàng)建服務(wù)：創(chuàng)建用戶角色和工作組，為各使用者分配獨(dú)立用戶名的功能； 為各角色、工作組和用戶進(jìn)行授權(quán)并分配相應(yīng)權(quán)限，提供取消用戶的功能，用戶取消后保留該用戶在系統(tǒng)中的歷史信息； 創(chuàng)建、修改電子病歷訪問(wèn)規(guī)則，根據(jù)業(yè)務(wù)規(guī)則對(duì)用戶自動(dòng)臨時(shí)授權(quán)的功能（如限定訪問(wèn)時(shí)間或訪問(wèn)資料范圍等），滿足電子病歷靈活訪問(wèn)授權(quán)的需要； 提供增加、修改、刪除和查詢用戶權(quán)限的功能； 應(yīng)支持分層次授權(quán)，避免集中授權(quán)復(fù)雜性，提高授權(quán)的準(zhǔn)確性； 業(yè)務(wù)權(quán)限和管理權(quán)限嚴(yán)格分開，業(yè)務(wù)用戶不應(yīng)具備管理權(quán)限； 應(yīng)對(duì)所有的授權(quán)行為進(jìn)行審計(jì)跟蹤，提供記錄權(quán)限修改操作日志的功能

20、。信息安全.1 身份認(rèn)證身份認(rèn)證技術(shù)要求包括：應(yīng)提供專用的認(rèn)證模塊對(duì)訪問(wèn)平臺(tái)系統(tǒng)的用戶和系統(tǒng)進(jìn)行身份鑒別，并對(duì)鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)，應(yīng)選擇以下身份認(rèn)證機(jī)制中的兩種或兩種以上組合進(jìn)行身份認(rèn)證，包括： 基于PKI/CA體系的數(shù)字證書認(rèn)證方式：數(shù)字證書需存儲(chǔ)于硬件證書載體USB Key并進(jìn)行PIN口令保護(hù)、私鑰和PIN碼應(yīng)在USB Key內(nèi)生成； 用戶名口令認(rèn)證方式：口令設(shè)置應(yīng)具備一定的復(fù)雜度、口令設(shè)置定期更換耍求、口令字符輸入時(shí)應(yīng)不顯示原始字符、口令信息在傳輸及存儲(chǔ)過(guò)程中需采用密碼技術(shù)加密保護(hù)、管理員有權(quán)限重置密碼； 基于人體生物特征識(shí)別的認(rèn)證方式； 其他具有

21、相應(yīng)安全強(qiáng)度的認(rèn)證方式。應(yīng)支持登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施，包括： 設(shè)置賬戶鎖定閾值時(shí)間，當(dāng)失敗的用戶身份鑒別嘗試次數(shù)達(dá)到規(guī)定的數(shù)值時(shí)，應(yīng)能夠終止 用戶與系統(tǒng)之間的會(huì)話； 用戶多次登錄錯(cuò)誤時(shí)，自動(dòng)鎖定該賬戶，管理員有權(quán)限解除賬戶鎖定； 應(yīng)對(duì)身份鑒別失敗事件進(jìn)行審計(jì)跟蹤。應(yīng)支持單點(diǎn)登錄系統(tǒng)功能，用戶只經(jīng)過(guò)一次身份認(rèn)證即可訪問(wèn)不同的業(yè)務(wù)系統(tǒng)；應(yīng)提供節(jié)點(diǎn)認(rèn)證服務(wù)。各個(gè)接人總線的服務(wù)進(jìn)行雙向身份認(rèn)證，保證服務(wù)提供方可靠。.2 訪問(wèn)控制應(yīng)啟用訪問(wèn)控制功能，應(yīng)在安全策略控制范圍內(nèi)，據(jù)安全策略控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問(wèn)，訪問(wèn)控制的覆蓋范圍應(yīng)包括與

22、資源訪問(wèn)相關(guān)的主體、客體及它們之間的操作。技術(shù)要求包括：訪問(wèn)控制主體的粒度為用戶級(jí)，客體的粒度為文件或數(shù)據(jù)庫(kù)表級(jí)；訪問(wèn)操作包括對(duì)客體的創(chuàng)建、讀、寫、修改和刪除等；基于授權(quán)策略建立自主訪問(wèn)控制列表；應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)，控制粒度為單個(gè)用戶；應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作；應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許拒絕訪問(wèn)的能力，控制粒度為服務(wù)級(jí)；應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止連接；應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制；應(yīng)能夠?qū)蝹€(gè)賬戶的多重并發(fā)會(huì)話進(jìn)行限制；應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)

23、行限制；應(yīng)能夠?qū)σ粋€(gè)訪問(wèn)賬戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額；應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警；應(yīng)提供服務(wù)優(yōu)先級(jí)設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問(wèn)賬戶或請(qǐng)求進(jìn)程的優(yōu)先級(jí)，根據(jù)優(yōu)先級(jí)分配系統(tǒng)資源。.3 關(guān)鍵業(yè)務(wù)抗抵賴關(guān)鍵業(yè)務(wù)抗抵賴技術(shù)要求包括：系統(tǒng)執(zhí)行關(guān)鍵業(yè)務(wù)操作時(shí)，對(duì)參與者操作者發(fā)生動(dòng)作時(shí)（如：初始錄入、修改或數(shù)據(jù)傳遞）應(yīng)加入數(shù)字簽名功能；宜采用電子簽章技術(shù)與數(shù)字簽名技術(shù)結(jié)合的方式，實(shí)現(xiàn)對(duì)對(duì)關(guān)鍵信息或操作的數(shù)字簽名以及可視化展現(xiàn)；系統(tǒng)在敏感信息的傳送時(shí)，對(duì)傳送數(shù)據(jù)進(jìn)行數(shù)字簽名，確保消息的發(fā)送者或接收者以后不能否認(rèn)已發(fā)送或接收的消息，包括

24、： 為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能； 為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能；應(yīng)支持對(duì)數(shù)字簽名信息加蓋時(shí)間戳，時(shí)間戳應(yīng)由國(guó)家法定時(shí)間源來(lái)負(fù)責(zé)保障時(shí)間的授時(shí)和守時(shí)監(jiān)測(cè)。.4 數(shù)據(jù)完整性保護(hù)數(shù)據(jù)完整性保護(hù)技術(shù)要求包括：應(yīng)對(duì)交換數(shù)據(jù)進(jìn)衍數(shù)據(jù)完整性保護(hù)；宜采用數(shù)字摘要、數(shù)字簽名技術(shù)保障數(shù)據(jù)的完整性；應(yīng)對(duì)通信過(guò)程中的整個(gè)報(bào)文或會(huì)話過(guò)程敏感信息字段進(jìn)行加密，系統(tǒng)應(yīng)支持基于標(biāo)準(zhǔn)的加密機(jī)制；宜采用PKI密碼技術(shù)或采用具有相當(dāng)安全性的其他安全機(jī)制實(shí)現(xiàn)；應(yīng)保障交換數(shù)據(jù)的真實(shí)性及不可抵賴性。宜采用PKI密碼技術(shù)或采用具有相當(dāng)安全性的其他安全機(jī)制實(shí)現(xiàn)；應(yīng)確保電子病歷中的每個(gè)條目應(yīng)是編寫者

25、簽署，不應(yīng)出現(xiàn)由其他人簽署；宜采用數(shù)字簽名驗(yàn)簽技術(shù)實(shí)現(xiàn)；應(yīng)提供電子病歷的編寫者進(jìn)行電子病歷的驗(yàn)證功能，包括： 宜采用數(shù)字簽名驗(yàn)簽技術(shù)實(shí)現(xiàn)； 應(yīng)標(biāo)明電子病歷是否被驗(yàn)證； 驗(yàn)證過(guò)程記錄的文件要有保留。 隱私保護(hù)隱私保護(hù)技術(shù)要求包括：應(yīng)提供數(shù)據(jù)保密等級(jí)服務(wù)：對(duì)電子病歷設(shè)置保密等級(jí)的功能，對(duì)操作人員的權(quán)限實(shí)行分級(jí)管理，用戶根據(jù)權(quán)限訪問(wèn)相應(yīng)保密等級(jí)的電子病歷資料；授權(quán)用戶訪問(wèn)電子病歷時(shí)，自動(dòng)隱藏保密等級(jí)高于用戶權(quán)限的電子病歷資料；應(yīng)提供數(shù)據(jù)訪問(wèn)警示服務(wù)：當(dāng)醫(yī)務(wù)人員因工作需要查看非直接相關(guān)患者的電子病歷資料時(shí)，警示使用者要依照規(guī)定使用患者電子病歷資料；應(yīng)支持對(duì)電子病歷數(shù)據(jù)的創(chuàng)建、修改、刪除等

26、任何操作都將自動(dòng)生成、保存審訃日志；應(yīng)支持對(duì)關(guān)鍵個(gè)人病歷信息（字段級(jí)、記錄級(jí)、文件級(jí)）進(jìn)行加密存儲(chǔ)保護(hù)；應(yīng)提供患者匿名化處理服務(wù)：提供對(duì)電子病歷進(jìn)行患者匿名化處理的功能，以便在必要情況下保護(hù)患者健康情況等隱私；應(yīng)提供許可指令管理服務(wù)：轉(zhuǎn)換由立法、政策和個(gè)人特定許可指令帶來(lái)的隱私要求，并將這些需求應(yīng)用到醫(yī)院信息平臺(tái)環(huán)境中。在提供訪問(wèn)或傳輸患者電子病歷等醫(yī)療數(shù)據(jù)之前，該服務(wù)應(yīng)用于電子病歷以確定患者或個(gè)人的許可指令是否允許或限制這些醫(yī)療數(shù)據(jù)的公開。 審計(jì)追蹤審計(jì)追蹤技術(shù)要求包括：應(yīng)支持基本的行為審計(jì)記錄功能，包括： 應(yīng)能夠記錄每個(gè)業(yè)務(wù)用戶的關(guān)鍵操作，例如用戶登錄、用戶退出、增加修改用戶

27、權(quán)限、用戶訪問(wèn)行為和重要系統(tǒng)命令使用、內(nèi)部數(shù)據(jù)訪問(wèn)行為等操作； 審計(jì)記錄的內(nèi)容應(yīng)至少包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等； 支持授權(quán)用戶通過(guò)審計(jì)查閱工具進(jìn)行審計(jì)數(shù)據(jù)的查詢，審計(jì)數(shù)據(jù)應(yīng)易于理解； 具備審計(jì)日志數(shù)據(jù)的完整性保護(hù)，應(yīng)保證審計(jì)日志無(wú)法刪除、修改或覆蓋，審計(jì)記錄應(yīng)至少保存6個(gè)月。應(yīng)支持對(duì)安全信息的統(tǒng)計(jì)分析，包括： 能夠?qū)I(yè)務(wù)系統(tǒng)的訪問(wèn)內(nèi)容、訪問(wèn)行為和訪問(wèn)結(jié)果，發(fā)現(xiàn)和捕獲各種用戶訪問(wèn)應(yīng)用操作行為、違規(guī)行為，全面記錄業(yè)務(wù)系統(tǒng)中的各種用戶訪問(wèn)會(huì)話和事件，實(shí)現(xiàn)對(duì)業(yè)務(wù)系統(tǒng)訪問(wèn)信息進(jìn)行關(guān)聯(lián)分析； 系統(tǒng)應(yīng)支持種類齊全的統(tǒng)計(jì)分析策略，并生戍多類詳盡的安全報(bào)告，如日?qǐng)?bào)表、月報(bào)表、年報(bào)表等

28、階段報(bào)表以及各種比較報(bào)表，便于安全管理員從多個(gè)角度進(jìn)行有效的關(guān)聯(lián)分析。應(yīng)支持用戶訪問(wèn)行為監(jiān)測(cè)。能夠?qū)τ脩粼L問(wèn)平臺(tái)系統(tǒng)的認(rèn)證、訪問(wèn)控制、數(shù)據(jù)簽名、數(shù)據(jù)加密等業(yè)務(wù)操作進(jìn)行綜合監(jiān)控。 剩余信息保護(hù)剩余信息保護(hù)技術(shù)要求包括：應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存放在硬盤上還是在內(nèi)存中；應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清除。 軟件容錯(cuò)軟件容錯(cuò)技術(shù)要求包括：應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求；在故障發(fā)生時(shí)，應(yīng)

29、用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧?.3.6 數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)安全及備份恢復(fù)技術(shù)要求包括：應(yīng)能檢測(cè)到系統(tǒng)管理數(shù)據(jù)、身份鑒別信息、電子病歷等重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中完整性受到破壞，并能夠采取必要的恢復(fù)措施。包括： 宜采用數(shù)字摘要技術(shù)保障數(shù)據(jù)的完整性； 宜采用數(shù)字簽名驗(yàn)簽技術(shù)、時(shí)間戳技術(shù)保障數(shù)據(jù)的真實(shí)性歿不可抵賴性； 能對(duì)發(fā)現(xiàn)的數(shù)據(jù)破壞事件進(jìn)行記錄。應(yīng)對(duì)身份鑒別信息、電子病歷等重要業(yè)務(wù)數(shù)據(jù)等重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中對(duì)敏感信息字段進(jìn)行加密，系統(tǒng)應(yīng)支持基于標(biāo)準(zhǔn)的加密機(jī)制。宜采用PKI密碼技術(shù)或采用具有相當(dāng)安全性的其他安全機(jī)制實(shí)現(xiàn)。建立數(shù)據(jù)備份措施，建立備份管理制

30、度，制定數(shù)據(jù)備份策略，對(duì)重要信息進(jìn)行備份以及對(duì)依據(jù)備份記錄進(jìn)行數(shù)據(jù)恢復(fù)，包括： 定期采取手工備份方式對(duì)重要文件及保存在數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行備份； 定期采取自動(dòng)備份系統(tǒng)進(jìn)行應(yīng)用數(shù)據(jù)備份，管理員應(yīng)復(fù)核自動(dòng)備份結(jié)果； 關(guān)鍵存儲(chǔ)部件宜采用冗余磁盤陣列技術(shù)并支持失效部件的在線更換；對(duì)重要設(shè)備應(yīng)進(jìn)行冗余配置，以實(shí)現(xiàn)雙機(jī)熱備或冷備； 數(shù)據(jù)庫(kù)服務(wù)器宜采用雙機(jī)冗余熱備方式；進(jìn)行定期在線維護(hù)，以縮短恢復(fù)所需時(shí)間； 用戶可以通過(guò)備份記錄進(jìn)行數(shù)據(jù)恢復(fù)； 在條件具備的情況下，應(yīng)在異地建立和維護(hù)重要數(shù)據(jù)的備份存儲(chǔ)系統(tǒng)，利用地理上的分離保障系統(tǒng)和數(shù)據(jù)對(duì)災(zāi)難性事件的抵御能力； 故障恢復(fù)前應(yīng)制定合理的恢復(fù)工作計(jì)劃以及故障恢復(fù)方案

31、，數(shù)據(jù)恢復(fù)完成后應(yīng)檢測(cè)數(shù)據(jù)的完整性。9.4 管理要求基本管理要求從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理幾個(gè)方面提出。包括以下要求：安全管理制度：應(yīng)滿足GB/T 22239-2008中7.2.1的要求；安全管理機(jī)構(gòu)：應(yīng)滿足GB/T 22239-2008中7.2.2的要求；人員安全管理：應(yīng)滿足GB/T 22239-2008中7.2.3的要求；系統(tǒng)建設(shè)管理：應(yīng)滿足GB/T 22239-2008中7.2.4的要求；系統(tǒng)運(yùn)維管理：應(yīng)滿足GB/T 22239-2008中7.2.5的要求。1 0 性能要求10.1 最小接入系統(tǒng)數(shù)接入系統(tǒng)指接人醫(yī)院信息平臺(tái)的獨(dú)立應(yīng)用系統(tǒng)，如PA

32、CS、LIS等。具體要求包括：對(duì)二級(jí)醫(yī)院醫(yī)院信息平臺(tái)，允許最小接入系統(tǒng)數(shù)大于或等于3個(gè)；對(duì)三級(jí)醫(yī)院醫(yī)院信息平臺(tái)，允許最小接入系統(tǒng)數(shù)大于或等于6個(gè)。10.2最小并發(fā)用戶數(shù)最小并發(fā)用戶數(shù)要求包括：對(duì)二級(jí)醫(yī)院基于醫(yī)院信息平臺(tái)的應(yīng)用系統(tǒng)，總的允許最小并發(fā)用戶數(shù)大于200;對(duì)三級(jí)醫(yī)院基于醫(yī)院信息平臺(tái)的應(yīng)用系統(tǒng)，總的允許最小并發(fā)用戶數(shù)大于600。10.3 基礎(chǔ)服務(wù)平均響應(yīng)時(shí)間基礎(chǔ)服務(wù)平均響應(yīng)時(shí)間要求包括：個(gè)人注冊(cè)服務(wù)調(diào)用，單個(gè)患者注冊(cè)平均響應(yīng)時(shí)間小于1 s；個(gè)人基本信息查詢，總記錄50萬(wàn)以上，按患者唯一標(biāo)識(shí)查詢單個(gè)患者查詢平均響應(yīng)時(shí)間小于2 s；總證錄100萬(wàn)以上，按患者唯一標(biāo)識(shí)查詢單個(gè)患者查詢平均響應(yīng)時(shí)

33、間小于3 s；基于人口統(tǒng)計(jì)學(xué)信息的患者信息匹配（基于索引），總記錄50萬(wàn)以上，返回患者唯一標(biāo)識(shí)數(shù)據(jù)，WS/T 447-2014 返回記錄數(shù)小于10條時(shí)，平均響應(yīng)時(shí)間小于10 s；總記錄100萬(wàn)以上，返回記錄數(shù)小于10條時(shí)，平均響應(yīng)時(shí)間小于15 s。10.4 電子病歷整合服務(wù)平均響應(yīng)時(shí)間電子病歷整合服務(wù)平均響應(yīng)時(shí)間要求包括：就診信息查詢，總記錄50萬(wàn)以上，按患者唯一標(biāo)識(shí)查詢，單個(gè)患者查詢平均響應(yīng)時(shí)間小于2 s；總記錄100萬(wàn)以上，按患者唯一標(biāo)識(shí)查詢，單個(gè)患者查詢平均響應(yīng)時(shí)間小于3 s；就診信息接收，單次患者就診信息保存平均響應(yīng)時(shí)間小于1 s；醫(yī)囑信息查詢，總記錄500萬(wàn)以上，按患者就診號(hào)（一次就診標(biāo)識(shí)號(hào)）查詢，返回記錄數(shù)小于10條時(shí)，平均響應(yīng)時(shí)間小于3 s；總記錄1 000萬(wàn)以上，返回記錄數(shù)小于10條時(shí)，平均響應(yīng)時(shí)間小于4s；醫(yī)囑信息接收，每次提交小于10條時(shí)，平均響應(yīng)時(shí)間小于3 s；申請(qǐng)單查詢服務(wù)，按一個(gè)申請(qǐng)單標(biāo)識(shí)號(hào)查詢，平均響應(yīng)時(shí)間小于2 s；申請(qǐng)單