WS_T 447-2014 基于電子病歷的醫(yī)院信息平臺技術(shù)規(guī)范(安全規(guī)范部分)

1、.9 安全規(guī)范9.1 安全設(shè)計原則9.1.1 規(guī)范性原則醫(yī)院信息平臺需按照信息系統(tǒng)等級保護三級（或以上的要求進行安全建設(shè)，安全設(shè)計應(yīng)遵循已頒布的相關(guān)國家標準。9.1.2先進性和適用性原則安全設(shè)計應(yīng)采用先進的設(shè)計思想和方法，盡量采用國內(nèi)外先進的安全技術(shù)。所采用的先進技術(shù)應(yīng)符合實際情況；應(yīng)合理設(shè)置系統(tǒng)功能、恰當進行系統(tǒng)配置和設(shè)備選型，保障其具有較高的性價比，滿足業(yè)務(wù)管理的需要。9.1.3可擴展性原則安全設(shè)計應(yīng)考慮通用性、靈活性，以便利用現(xiàn)有資源及應(yīng)用升級。9.1.4 開放性和兼容性原則對安全子系統(tǒng)的升級、擴充、更新以及功能變化應(yīng)有較強的適應(yīng)能力。即當這些因素發(fā)生變化時，安全子系統(tǒng)可以不做修改或少量

2、修改就能在新環(huán)境下運行。9.1.5 可靠性原則安全設(shè)計應(yīng)確保系統(tǒng)的正常運行和數(shù)據(jù)傳輸?shù)恼_性，防止由內(nèi)在因素和硬件環(huán)境造成的錯誤和災(zāi)難性故障，確保系統(tǒng)可靠性。在保證關(guān)鍵技術(shù)實現(xiàn)的前提下，盡可能采用成熟安全產(chǎn)品和技術(shù)，保證系統(tǒng)的可用性、工程實施的簡便快捷。9.1.6 系統(tǒng)性原則應(yīng)綜合考慮安全子系統(tǒng)的整體性、相關(guān)性、目的性、實用性和適應(yīng)性。另外，與業(yè)務(wù)系統(tǒng)的結(jié)合相對簡單且獨立。9.1.7 技術(shù)和管理相結(jié)合原則安全體系應(yīng)遵循技術(shù)和管理相結(jié)合的原則進行設(shè)計和實施，各種安全技術(shù)應(yīng)該與運行管理機制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。從社會系統(tǒng)工程的角度綜合考慮，最大限度發(fā)揮人防、物防、技防相

3、結(jié)合的作用。9.2 總體框架總體框架的設(shè)計要求包括：醫(yī)院信息平臺安全體系從安全技術(shù)、安全管理為要素進行框架設(shè)計；應(yīng)從網(wǎng)絡(luò)安全（基礎(chǔ)網(wǎng)絡(luò)安全和邊界安全）、主機安全（終端系統(tǒng)安全、服務(wù)端系統(tǒng)安全）、應(yīng)用安全、數(shù)據(jù)安全幾個層面實現(xiàn)安全技術(shù)類要求；應(yīng)從安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理幾個層面實現(xiàn)安全管理類要求。9.3 技術(shù)要求9.3.1 物理安全物理安全主要是指醫(yī)院信息平臺所在機房和辦公場地的安全性，主要應(yīng)考慮以下幾個方面內(nèi)容。物理位置的選擇：應(yīng)滿足GB/T 22239-2008申的要求；物理訪問控制：應(yīng)滿足GB/T 22239-2008中7.1.1.

4、2的要求；防盜竊和防破壞：應(yīng)滿足GB/T 22239-2008中的要求；防雷擊：應(yīng)滿足GB/T 22239-2008中的要求；防火：應(yīng)滿足GB/T 22239-2008中的要求；防水和防潮：應(yīng)滿足GB/T 22239-2008中的要求；防靜電：應(yīng)滿足GB/T 22239-2008中的要求；溫濕度控制：應(yīng)滿足GB/T 22239-2008中的要求；電力供應(yīng)：應(yīng)滿足GB/T 22239-2008中的要求；電磁防護：應(yīng)滿足GB/T 22239-2008中0的要求。9.3.2 網(wǎng)絡(luò)安全9.3

5、.2.1 基礎(chǔ)網(wǎng)絡(luò)安全.1 結(jié)構(gòu)安全結(jié)構(gòu)安全要求包括：應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力至少為歷史峰值的3倍；應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要；應(yīng)繪制與當前運行情況相符完整的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖，有相應(yīng)的網(wǎng)絡(luò)配置表，包含設(shè)備IP地址等主要信息，與當前運行情況相符，并及時更新；網(wǎng)絡(luò)系統(tǒng)建設(shè)應(yīng)符合8.5的要求。.2 網(wǎng)絡(luò)設(shè)備防護網(wǎng)絡(luò)設(shè)備防護要求包括：應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別；應(yīng)刪除默認用戶或修改默認用戶的口令，根據(jù)管理需要開設(shè)用戶，不得使用缺省口令、空口令、弱口令；應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限

6、制；網(wǎng)絡(luò)設(shè)備用戶的標識應(yīng)唯一；身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換；應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當網(wǎng)絡(luò)登錄連接超時自動退出等措施；當對網(wǎng)絡(luò)設(shè)備進行遠程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。 安全區(qū)域邊界安全安全區(qū)域邊界安全要求包括：在醫(yī)院信息平臺和外部網(wǎng)絡(luò)邊界處應(yīng)部署防火墻設(shè)備或其他訪問控制設(shè)備，訪問控制設(shè)備需具備以下功能： 實現(xiàn)基于源目的IP地址、源MAC地址、服務(wù)端口、用戶、時間、組（網(wǎng)絡(luò)，服務(wù)，用戶，時間）的精細粒度的訪問控制； 應(yīng)設(shè)定過濾規(guī)則集；規(guī)則集應(yīng)涵蓋財所有出入邊界的數(shù)據(jù)包的處理方式； 能

7、對連接、攻擊、認證和配置等行為進行審計，并且可以對審計事件提供的告警； 實現(xiàn)日志的本地存儲、遠端存儲、備份等存儲方式； 應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、 POP3等協(xié)議命令級的控制； 應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接； 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；應(yīng)禁用網(wǎng)絡(luò)設(shè)備的閑置端口，采用對非虛擬IP進行設(shè)備地址綁定等方式防止地址欺騙。在平臺和外部網(wǎng)絡(luò)邊界部署檢測設(shè)備實現(xiàn)探測網(wǎng)絡(luò)入侵和非法外聯(lián)行為，檢測控制設(shè)備需具備以下功能： 能夠監(jiān)測以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和

8、網(wǎng)絡(luò)蠕蟲攻擊等； 當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應(yīng)提供報警； 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有 效阻斷； 能夠檢查網(wǎng)絡(luò)用戶終端采用雙網(wǎng)卡跨接外部網(wǎng)絡(luò)，或采用電話撥號、ADSL撥號、手機、無線上網(wǎng)卡等無線撥號方式連接其他外部網(wǎng)絡(luò)。應(yīng)在平臺和外部網(wǎng)絡(luò)邊界處對惡恚代碼進行檢測和清除，包括： 在不嚴重影響網(wǎng)絡(luò)性能和業(yè)務(wù)的情況下，應(yīng)在網(wǎng)絡(luò)邊界部署惡意代碼檢測系統(tǒng)； 如果部署了主機惡意代碼檢測系統(tǒng)，可選擇安裝部署網(wǎng)絡(luò)邊界部署惡意代碼檢測系統(tǒng)。 安全審計在平臺和外部網(wǎng)絡(luò)邊界處部署審計系統(tǒng)，收集

9、、記錄邊界的相關(guān)安全事件，并將審計記錄轉(zhuǎn)換為標準格式，上報審計管理中心。邊界審計系統(tǒng)需具備以下功能：收集、記錄網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為的日志信息；審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；支持使用標準通訊協(xié)議將探測到的各種審計信息上報審計管理中心；應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；應(yīng)對審計記錄進行保護，避免受到未預(yù)期的刪除、修改或覆蓋等。9.3.3 服務(wù)端系統(tǒng)安全 身份鑒別通過使用安全操作系統(tǒng)或相應(yīng)的系統(tǒng)加固軟件實現(xiàn)用戶身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根

10、據(jù)安全策略配置相關(guān)參數(shù)，安全操作系統(tǒng)或系統(tǒng)加固軟件需具備以下功能：在每次用戶登錄系統(tǒng)時，采用強化管理的口令或具有相應(yīng)安全強度的其他機制進行用戶身份鑒別，并對鑒別數(shù)據(jù)進行保密性和完整性保護，要求包括： 宜支持數(shù)字證書+USB KEY的認證方式實現(xiàn)強身份鑒別； 配置用戶名口令認證方式時，口令設(shè)置應(yīng)具備一定酌復(fù)雜度，不合格的口令被拒絕；口令 應(yīng)具備采用3種以上字符、長度不少于8位，并設(shè)置定期更換要求；應(yīng)提供用戶身份標識唯一和鑒別信息復(fù)雜度檢查功能，保證系統(tǒng)中不存在重復(fù)用戶身份標識，身份鑒別信息不易被冒用；應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；當對服務(wù)器進行遠程管理

11、時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別，要求包括： 通過本地控制臺管理主機設(shè)備時，應(yīng)采用一種或一種以上身份鑒別技術(shù)； 以遠程方式登錄主機設(shè)備，應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)進行身份鑒別。訪問控制通過使用安全操作系統(tǒng)或相應(yīng)的系統(tǒng)加固軟件進行系統(tǒng)加固實現(xiàn)自主訪問控制安全要求。安全操作系統(tǒng)或系統(tǒng)加固軟件需具備以下功能：策略控制：能接收到管理中心下發(fā)的安全策略，并能依據(jù)此策略對登錄用戶的操作權(quán)限進行控制；客體創(chuàng)建：用戶可以在管理中心下發(fā)的安全策略控制范圍內(nèi)創(chuàng)建客體，并擁有對客體的各種訪問操作（讀、寫、修改和刪除

12、等）權(quán)限；授權(quán)管理：用戶可以將自己創(chuàng)建的客體的訪問權(quán)限（讀、寫、修改和刪除等）的部鈴或全部授予其他用戶；訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級；應(yīng)對重要信息資源設(shè)置敏感標記；應(yīng)依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作；應(yīng)對重要服務(wù)器進行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進行檢測和報警。重要服務(wù)器的CPU利用率、內(nèi)存、磁盤存儲空間等指標超過預(yù)先規(guī)定的閾值后應(yīng)進行報警。 安全審計在管理區(qū)域部署審計系統(tǒng)，對醫(yī)院信息平臺范圍內(nèi)的主機探測、記錄、相關(guān)安全事件，實現(xiàn)系統(tǒng)安全審計。審計系統(tǒng)

13、需具備以下功能：審計范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件，審計內(nèi)容至少包括：用戶的添加和刪除、審計功能的啟動和關(guān)閉、審計策略的調(diào)整、權(quán)限變更、系統(tǒng)資源的異常使用、重要的系統(tǒng)操作（如用戶登錄、退出）等。審計記錄應(yīng)包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等；應(yīng)保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等；審計記錄應(yīng)至少保存6個月；應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；應(yīng)保護審計進程，避免受到未預(yù)期的中斷。 惡意代碼防范通過部署病毒防護系統(tǒng)或配置具有相應(yīng)功能

14、的安全操作系統(tǒng)，實現(xiàn)主機計算環(huán)境的病毒防護以及惡意代碼防范。病毒防護系統(tǒng)需具備以下功能：遠程控制與管理；保持操作系統(tǒng)補丁及時得到更新；全網(wǎng)查殺毒；防毒策略的定制與貧發(fā)實時監(jiān)控；客戶端防毒狀況；病毒與事件報警；病毒日志查詢與統(tǒng)計；集中式授權(quán)管理；全面監(jiān)控郵件客戶端。剩余信息保護剩余信息保護技術(shù)要求包括：應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。 入侵防范入侵防范技術(shù)要求包括：操

15、作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新；應(yīng)能夠檢測到對重要服務(wù)器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警；應(yīng)能夠?qū)χ匾绦虻耐暾赃M行檢測，并在檢測到完整性受到破壞后具有恢復(fù)的措施，如不能正?；謴?fù)，應(yīng)停止有關(guān)服務(wù)，并提供報警。9.3.4 終端系統(tǒng)安全通過使用安全操作系統(tǒng)或相應(yīng)的系統(tǒng)加固軟件進行系統(tǒng)加固實現(xiàn)終端系統(tǒng)安全加固。安全操作系統(tǒng)或系統(tǒng)加固軟件硬件需具備以下功能：應(yīng)對登錄終端操作系統(tǒng)的用戶進行身份標識和鑒別；宜支持數(shù)字證書進行身份認證；使用口令進行身份認證時，

16、口令應(yīng)有復(fù)雜度要求并定期更換；應(yīng)依據(jù)安全策略控制用戶對資源的訪問，禁止通過USB、光驅(qū)等外設(shè)進行數(shù)據(jù)交換，關(guān)閉不必要的服務(wù)和端口等；應(yīng)對系統(tǒng)中的重要終端進行審計，審計粒度為用戶級；審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用及其他與審計相關(guān)的信息；審計記錄至少應(yīng)包括事件的日期、時間、類型、用戶名、訪問對象、結(jié)果等；應(yīng)保護審計進程，避免受到未預(yù)期的中斷； 應(yīng)保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等，審計記錄至少保存3個月；應(yīng)定期對審計記錄進行分析，以便及時發(fā)現(xiàn)異常行為；操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并保持系統(tǒng)補丁及時得到更新；宜支持多操作

17、系統(tǒng)，分離不同類型的應(yīng)用場景；可以采用硬件加固的方式實現(xiàn)終端系統(tǒng)安全加固，隔離異常終端，并且實現(xiàn)數(shù)字內(nèi)容舨權(quán)保護。9.3.5 應(yīng)用安全 用戶管理和權(quán)限控制用戶管理和權(quán)限控制要求包括：應(yīng)確保訪問醫(yī)院信息平臺的所有實體（用戶和系統(tǒng)）采用唯一身份標識，并對實體身份進行統(tǒng) 一管理，包括： 對醫(yī)院信息平臺各類實體信息進行數(shù)字身份的定義和標識； 實現(xiàn)數(shù)字身份流程化管理，控制數(shù)字身份的整個生命周期，支持身份信息申請、審批、變更及撤銷等管理操作管理操作； 集中管理用戶身份屬性信息（包括姓名、性別、出生日期、民族、婚姻狀況、職業(yè)、工作單位、住址、有效身份證件號碼、聯(lián)系電話等）； 確保每個用戶應(yīng)具有

18、唯一的身份標識和唯一的身份鑒別信息； 如果進行用戶和系統(tǒng)之間的相互身份鑒別，則系統(tǒng)也應(yīng)具有唯一的身份鑒別信息； 確保用戶和系統(tǒng)的身份鑒別信息應(yīng)是不可偽造； 提供用戶自助服務(wù)功能（例如身份注冊申請、修改、密碼重置等）。應(yīng)根據(jù)用戶對醫(yī)院信息平臺系統(tǒng)的使用性質(zhì)的不同進行用戶分類管理，包括： 將用戶分為業(yè)務(wù)用戶和管理用戶兩大類，根據(jù)用戶職責對用戶分類進行細化； 創(chuàng)建用戶角色和工作組，按照一定規(guī)則將具有相同屬性或特征的用戶劃分為一組，進行用戶組管理。系統(tǒng)支持對用戶、角色、資源和權(quán)限的標準化管理，實施權(quán)限昝理和權(quán)限的分配，包括： 應(yīng)支持基于“用戶-角色用戶組-應(yīng)用資源”的授權(quán)模型，制定授權(quán)策略； 確保每個

19、授權(quán)用戶應(yīng)具有唯一的用戶標識(ID)和唯一的身份鑒別信息； 提供用戶角色創(chuàng)建服務(wù)：創(chuàng)建用戶角色和工作組，為各使用者分配獨立用戶名的功能； 為各角色、工作組和用戶進行授權(quán)并分配相應(yīng)權(quán)限，提供取消用戶的功能，用戶取消后保留該用戶在系統(tǒng)中的歷史信息； 創(chuàng)建、修改電子病歷訪問規(guī)則，根據(jù)業(yè)務(wù)規(guī)則對用戶自動臨時授權(quán)的功能（如限定訪問時間或訪問資料范圍等），滿足電子病歷靈活訪問授權(quán)的需要； 提供增加、修改、刪除和查詢用戶權(quán)限的功能； 應(yīng)支持分層次授權(quán)，避免集中授權(quán)復(fù)雜性，提高授權(quán)的準確性； 業(yè)務(wù)權(quán)限和管理權(quán)限嚴格分開，業(yè)務(wù)用戶不應(yīng)具備管理權(quán)限； 應(yīng)對所有的授權(quán)行為進行審計跟蹤，提供記錄權(quán)限修改操作日志的功能

20、。信息安全.1 身份認證身份認證技術(shù)要求包括：應(yīng)提供專用的認證模塊對訪問平臺系統(tǒng)的用戶和系統(tǒng)進行身份鑒別，并對鑒別數(shù)據(jù)進行保密性和完整性保護，應(yīng)選擇以下身份認證機制中的兩種或兩種以上組合進行身份認證，包括： 基于PKI/CA體系的數(shù)字證書認證方式：數(shù)字證書需存儲于硬件證書載體USB Key并進行PIN口令保護、私鑰和PIN碼應(yīng)在USB Key內(nèi)生成； 用戶名口令認證方式：口令設(shè)置應(yīng)具備一定的復(fù)雜度、口令設(shè)置定期更換耍求、口令字符輸入時應(yīng)不顯示原始字符、口令信息在傳輸及存儲過程中需采用密碼技術(shù)加密保護、管理員有權(quán)限重置密碼； 基于人體生物特征識別的認證方式； 其他具有

21、相應(yīng)安全強度的認證方式。應(yīng)支持登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施，包括： 設(shè)置賬戶鎖定閾值時間，當失敗的用戶身份鑒別嘗試次數(shù)達到規(guī)定的數(shù)值時，應(yīng)能夠終止 用戶與系統(tǒng)之間的會話； 用戶多次登錄錯誤時，自動鎖定該賬戶，管理員有權(quán)限解除賬戶鎖定； 應(yīng)對身份鑒別失敗事件進行審計跟蹤。應(yīng)支持單點登錄系統(tǒng)功能，用戶只經(jīng)過一次身份認證即可訪問不同的業(yè)務(wù)系統(tǒng)；應(yīng)提供節(jié)點認證服務(wù)。各個接人總線的服務(wù)進行雙向身份認證，保證服務(wù)提供方可靠。.2 訪問控制應(yīng)啟用訪問控制功能，應(yīng)在安全策略控制范圍內(nèi)，據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問，訪問控制的覆蓋范圍應(yīng)包括與

22、資源訪問相關(guān)的主體、客體及它們之間的操作。技術(shù)要求包括：訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級；訪問操作包括對客體的創(chuàng)建、讀、寫、修改和刪除等；基于授權(quán)策略建立自主訪問控制列表；應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；應(yīng)依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作；應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許拒絕訪問的能力，控制粒度為服務(wù)級；應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止連接；應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制；應(yīng)能夠?qū)蝹€賬戶的多重并發(fā)會話進行限制；應(yīng)能夠?qū)σ粋€時間段內(nèi)可能的并發(fā)會話連接數(shù)進

23、行限制；應(yīng)能夠?qū)σ粋€訪問賬戶或一個請求進程占用的資源分配最大限額和最小限額；應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進行檢測和報警；應(yīng)提供服務(wù)優(yōu)先級設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問賬戶或請求進程的優(yōu)先級，根據(jù)優(yōu)先級分配系統(tǒng)資源。.3 關(guān)鍵業(yè)務(wù)抗抵賴關(guān)鍵業(yè)務(wù)抗抵賴技術(shù)要求包括：系統(tǒng)執(zhí)行關(guān)鍵業(yè)務(wù)操作時，對參與者操作者發(fā)生動作時（如：初始錄入、修改或數(shù)據(jù)傳遞）應(yīng)加入數(shù)字簽名功能；宜采用電子簽章技術(shù)與數(shù)字簽名技術(shù)結(jié)合的方式，實現(xiàn)對對關(guān)鍵信息或操作的數(shù)字簽名以及可視化展現(xiàn)；系統(tǒng)在敏感信息的傳送時，對傳送數(shù)據(jù)進行數(shù)字簽名，確保消息的發(fā)送者或接收者以后不能否認已發(fā)送或接收的消息，包括

24、： 為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能； 為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能；應(yīng)支持對數(shù)字簽名信息加蓋時間戳，時間戳應(yīng)由國家法定時間源來負責保障時間的授時和守時監(jiān)測。.4 數(shù)據(jù)完整性保護數(shù)據(jù)完整性保護技術(shù)要求包括：應(yīng)對交換數(shù)據(jù)進衍數(shù)據(jù)完整性保護；宜采用數(shù)字摘要、數(shù)字簽名技術(shù)保障數(shù)據(jù)的完整性；應(yīng)對通信過程中的整個報文或會話過程敏感信息字段進行加密，系統(tǒng)應(yīng)支持基于標準的加密機制；宜采用PKI密碼技術(shù)或采用具有相當安全性的其他安全機制實現(xiàn)；應(yīng)保障交換數(shù)據(jù)的真實性及不可抵賴性。宜采用PKI密碼技術(shù)或采用具有相當安全性的其他安全機制實現(xiàn)；應(yīng)確保電子病歷中的每個條目應(yīng)是編寫者

25、簽署，不應(yīng)出現(xiàn)由其他人簽署；宜采用數(shù)字簽名驗簽技術(shù)實現(xiàn)；應(yīng)提供電子病歷的編寫者進行電子病歷的驗證功能，包括： 宜采用數(shù)字簽名驗簽技術(shù)實現(xiàn)； 應(yīng)標明電子病歷是否被驗證； 驗證過程記錄的文件要有保留。 隱私保護隱私保護技術(shù)要求包括：應(yīng)提供數(shù)據(jù)保密等級服務(wù)：對電子病歷設(shè)置保密等級的功能，對操作人員的權(quán)限實行分級管理，用戶根據(jù)權(quán)限訪問相應(yīng)保密等級的電子病歷資料；授權(quán)用戶訪問電子病歷時，自動隱藏保密等級高于用戶權(quán)限的電子病歷資料；應(yīng)提供數(shù)據(jù)訪問警示服務(wù)：當醫(yī)務(wù)人員因工作需要查看非直接相關(guān)患者的電子病歷資料時，警示使用者要依照規(guī)定使用患者電子病歷資料；應(yīng)支持對電子病歷數(shù)據(jù)的創(chuàng)建、修改、刪除等

26、任何操作都將自動生成、保存審訃日志；應(yīng)支持對關(guān)鍵個人病歷信息（字段級、記錄級、文件級）進行加密存儲保護；應(yīng)提供患者匿名化處理服務(wù)：提供對電子病歷進行患者匿名化處理的功能，以便在必要情況下保護患者健康情況等隱私；應(yīng)提供許可指令管理服務(wù)：轉(zhuǎn)換由立法、政策和個人特定許可指令帶來的隱私要求，并將這些需求應(yīng)用到醫(yī)院信息平臺環(huán)境中。在提供訪問或傳輸患者電子病歷等醫(yī)療數(shù)據(jù)之前，該服務(wù)應(yīng)用于電子病歷以確定患者或個人的許可指令是否允許或限制這些醫(yī)療數(shù)據(jù)的公開。 審計追蹤審計追蹤技術(shù)要求包括：應(yīng)支持基本的行為審計記錄功能，包括： 應(yīng)能夠記錄每個業(yè)務(wù)用戶的關(guān)鍵操作，例如用戶登錄、用戶退出、增加修改用戶

27、權(quán)限、用戶訪問行為和重要系統(tǒng)命令使用、內(nèi)部數(shù)據(jù)訪問行為等操作； 審計記錄的內(nèi)容應(yīng)至少包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等； 支持授權(quán)用戶通過審計查閱工具進行審計數(shù)據(jù)的查詢，審計數(shù)據(jù)應(yīng)易于理解； 具備審計日志數(shù)據(jù)的完整性保護，應(yīng)保證審計日志無法刪除、修改或覆蓋，審計記錄應(yīng)至少保存6個月。應(yīng)支持對安全信息的統(tǒng)計分析，包括： 能夠?qū)I(yè)務(wù)系統(tǒng)的訪問內(nèi)容、訪問行為和訪問結(jié)果，發(fā)現(xiàn)和捕獲各種用戶訪問應(yīng)用操作行為、違規(guī)行為，全面記錄業(yè)務(wù)系統(tǒng)中的各種用戶訪問會話和事件，實現(xiàn)對業(yè)務(wù)系統(tǒng)訪問信息進行關(guān)聯(lián)分析； 系統(tǒng)應(yīng)支持種類齊全的統(tǒng)計分析策略，并生戍多類詳盡的安全報告，如日報表、月報表、年報表等

28、階段報表以及各種比較報表，便于安全管理員從多個角度進行有效的關(guān)聯(lián)分析。應(yīng)支持用戶訪問行為監(jiān)測。能夠?qū)τ脩粼L問平臺系統(tǒng)的認證、訪問控制、數(shù)據(jù)簽名、數(shù)據(jù)加密等業(yè)務(wù)操作進行綜合監(jiān)控。 剩余信息保護剩余信息保護技術(shù)要求包括：應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。 軟件容錯軟件容錯技術(shù)要求包括：應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；在故障發(fā)生時，應(yīng)

29、用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧?.3.6 數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)安全及備份恢復(fù)技術(shù)要求包括：應(yīng)能檢測到系統(tǒng)管理數(shù)據(jù)、身份鑒別信息、電子病歷等重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲過程中完整性受到破壞，并能夠采取必要的恢復(fù)措施。包括： 宜采用數(shù)字摘要技術(shù)保障數(shù)據(jù)的完整性； 宜采用數(shù)字簽名驗簽技術(shù)、時間戳技術(shù)保障數(shù)據(jù)的真實性歿不可抵賴性； 能對發(fā)現(xiàn)的數(shù)據(jù)破壞事件進行記錄。應(yīng)對身份鑒別信息、電子病歷等重要業(yè)務(wù)數(shù)據(jù)等重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲過程中對敏感信息字段進行加密，系統(tǒng)應(yīng)支持基于標準的加密機制。宜采用PKI密碼技術(shù)或采用具有相當安全性的其他安全機制實現(xiàn)。建立數(shù)據(jù)備份措施，建立備份管理制

30、度，制定數(shù)據(jù)備份策略，對重要信息進行備份以及對依據(jù)備份記錄進行數(shù)據(jù)恢復(fù)，包括： 定期采取手工備份方式對重要文件及保存在數(shù)據(jù)庫中的數(shù)據(jù)進行備份； 定期采取自動備份系統(tǒng)進行應(yīng)用數(shù)據(jù)備份，管理員應(yīng)復(fù)核自動備份結(jié)果； 關(guān)鍵存儲部件宜采用冗余磁盤陣列技術(shù)并支持失效部件的在線更換；對重要設(shè)備應(yīng)進行冗余配置，以實現(xiàn)雙機熱備或冷備； 數(shù)據(jù)庫服務(wù)器宜采用雙機冗余熱備方式；進行定期在線維護，以縮短恢復(fù)所需時間； 用戶可以通過備份記錄進行數(shù)據(jù)恢復(fù)； 在條件具備的情況下，應(yīng)在異地建立和維護重要數(shù)據(jù)的備份存儲系統(tǒng)，利用地理上的分離保障系統(tǒng)和數(shù)據(jù)對災(zāi)難性事件的抵御能力； 故障恢復(fù)前應(yīng)制定合理的恢復(fù)工作計劃以及故障恢復(fù)方案

31、，數(shù)據(jù)恢復(fù)完成后應(yīng)檢測數(shù)據(jù)的完整性。9.4 管理要求基本管理要求從安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理幾個方面提出。包括以下要求：安全管理制度：應(yīng)滿足GB/T 22239-2008中7.2.1的要求；安全管理機構(gòu)：應(yīng)滿足GB/T 22239-2008中7.2.2的要求；人員安全管理：應(yīng)滿足GB/T 22239-2008中7.2.3的要求；系統(tǒng)建設(shè)管理：應(yīng)滿足GB/T 22239-2008中7.2.4的要求；系統(tǒng)運維管理：應(yīng)滿足GB/T 22239-2008中7.2.5的要求。1 0 性能要求10.1 最小接入系統(tǒng)數(shù)接入系統(tǒng)指接人醫(yī)院信息平臺的獨立應(yīng)用系統(tǒng)，如PA

32、CS、LIS等。具體要求包括：對二級醫(yī)院醫(yī)院信息平臺，允許最小接入系統(tǒng)數(shù)大于或等于3個；對三級醫(yī)院醫(yī)院信息平臺，允許最小接入系統(tǒng)數(shù)大于或等于6個。10.2最小并發(fā)用戶數(shù)最小并發(fā)用戶數(shù)要求包括：對二級醫(yī)院基于醫(yī)院信息平臺的應(yīng)用系統(tǒng)，總的允許最小并發(fā)用戶數(shù)大于200;對三級醫(yī)院基于醫(yī)院信息平臺的應(yīng)用系統(tǒng)，總的允許最小并發(fā)用戶數(shù)大于600。10.3 基礎(chǔ)服務(wù)平均響應(yīng)時間基礎(chǔ)服務(wù)平均響應(yīng)時間要求包括：個人注冊服務(wù)調(diào)用，單個患者注冊平均響應(yīng)時間小于1 s；個人基本信息查詢，總記錄50萬以上，按患者唯一標識查詢單個患者查詢平均響應(yīng)時間小于2 s；總證錄100萬以上，按患者唯一標識查詢單個患者查詢平均響應(yīng)時

33、間小于3 s；基于人口統(tǒng)計學信息的患者信息匹配（基于索引），總記錄50萬以上，返回患者唯一標識數(shù)據(jù)，WS/T 447-2014 返回記錄數(shù)小于10條時，平均響應(yīng)時間小于10 s；總記錄100萬以上，返回記錄數(shù)小于10條時，平均響應(yīng)時間小于15 s。10.4 電子病歷整合服務(wù)平均響應(yīng)時間電子病歷整合服務(wù)平均響應(yīng)時間要求包括：就診信息查詢，總記錄50萬以上，按患者唯一標識查詢，單個患者查詢平均響應(yīng)時間小于2 s；總記錄100萬以上，按患者唯一標識查詢，單個患者查詢平均響應(yīng)時間小于3 s；就診信息接收，單次患者就診信息保存平均響應(yīng)時間小于1 s；醫(yī)囑信息查詢，總記錄500萬以上，按患者就診號（一次就診標識號）查詢，返回記錄數(shù)小于10條時，平均響應(yīng)時間小于3 s；總記錄1 000萬以上，返回記錄數(shù)小于10條時，平均響應(yīng)時間小于4s；醫(yī)囑信息接收，每次提交小于10條時，平均響應(yīng)時間小于3 s；申請單查詢服務(wù)，按一個申請單標識號查詢，平均響應(yīng)時間小于2 s；申請單