醫(yī)院信息化系統(tǒng)等級保護設計方案(共21頁)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上醫(yī)院信息化系統(tǒng)等級保護設計方案2013年4月專心-專注-專業(yè)目 錄1 項目背景2 方案設計原則根據(jù)國家信息安全保障政策法規(guī)和技術標準要求，同時參照相關行業(yè)規(guī)定，確定信息安全體系規(guī)劃和設計時遵循以下原則：3 安全等級劃分信息化系統(tǒng)包括應用服務系統(tǒng)等。信息包括公文信息、通訊錄、文件、日程安排、執(zhí)法數(shù)據(jù)等，這些信息由于涉及到醫(yī)療機構敏感信息，對數(shù)據(jù)的完整性和機密性要求具有較高需求，一旦遭到破壞或竊取，就會給用戶查詢提供錯誤數(shù)據(jù)或泄漏敏感信息，影響社會秩序和公共利益。1. 業(yè)務系統(tǒng)安全受到破壞時所侵害的客體信息化系統(tǒng)系統(tǒng)一旦遭到破壞或被竊取，所侵害的客體是公民、法人和其它組織

2、的合法權益以及社會秩序、公共利益。2. 對客體的侵害程度業(yè)務系統(tǒng)安全受到破壞時對社會秩序、公共利益的侵害程度表現(xiàn)為嚴重損害，具體表現(xiàn)為業(yè)務系統(tǒng)受到破壞或竊取后，會影響醫(yī)療機構行使社會管理和公共服務的職能，并對醫(yī)療機構形象造成社會不良影響，并對公民、法人和其他組織的合法權益造成損失。3. 業(yè)務系統(tǒng)安全等級根據(jù)上述分析結果，結合等級保護定級指南，××系統(tǒng)安全等級為：業(yè)務信息安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級4 技術方案設計根據(jù)差距分

3、析，確定整改技術方案的設計原則，建立總體技術框架結構，從業(yè)務安全、物理環(huán)境、通信網(wǎng)絡、計算環(huán)境、區(qū)域邊界、安全管理中心等方面設計落實基本技術要求的物理、網(wǎng)絡、系統(tǒng)、應用和數(shù)據(jù)的安全要求的技術路線。4.1 總體設計4.1.1 總體安全技術框架根據(jù)國家相關信息安全保護政策，在安全設計框架上，形成 “一個中心”保障下的“三重縱深防御防護體系”架構（一個中心是指安全管理中心，三層縱深防御體系則由安全計算環(huán)境、安全區(qū)域邊界以及安全通信網(wǎng)絡組成）。在安全物理基礎環(huán)境上，進一步強調(diào)了管理中心、計算環(huán)境、區(qū)域邊界及網(wǎng)絡傳輸?shù)目尚判?，使得其在整個生命周期中都建立有完整的信任鏈，確保它們始終都在安全管理中心的統(tǒng)一

4、管控下有序地運行，從而確保了平臺的安全性不會遭受破壞，如下圖所示：圖 1 等級保護總體安全技術框架物理安全是支撐信息系統(tǒng)安全運行的基礎保障設施的安全，是整個信息系統(tǒng)安全的基礎，也是信息系統(tǒng)最基本的安全基礎。安全計算環(huán)境是對平臺的信息存儲與處理進行安全保護的部件。安全計算環(huán)境由平臺中完成信息存儲與處理的計算機系統(tǒng)硬件和系統(tǒng)軟件以及外部設備及其聯(lián)接部件組成，也可以是單一的計算機系統(tǒng)。安全計算環(huán)境保護包括主機系統(tǒng)（操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)）和應用系統(tǒng)，以及主機系統(tǒng)和應用系統(tǒng)的備份與恢復。安全區(qū)域邊界是對平臺的安全計算環(huán)境的邊界，以及計算環(huán)境與通信網(wǎng)絡之間實現(xiàn)連接功能進行安全保護的部件。安全區(qū)域邊界保護主

5、要是指對計算環(huán)境以及進出計算環(huán)境的信息進行保護，以及邊界設備的備份與恢復。安全通信網(wǎng)絡是對平臺安全計算環(huán)境之間進行信息傳輸實施安全保護的部件。安全通信網(wǎng)絡保護主要指對數(shù)據(jù)通信的保護及通信設備的備份與恢復。安全管理中心對平臺的安全策略及計算環(huán)境、區(qū)域邊界和通信網(wǎng)絡上的安全機制實施統(tǒng)一管理的平臺，又指各類安全保護系統(tǒng)的管理中心構成一個綜合性的管理中心。安全技術方案設計包括各級系統(tǒng)安全保護環(huán)境的設計及其安全互聯(lián)的設計，各級系統(tǒng)安全保護環(huán)境由相應級別的安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡和安全管理中心組成。平臺安全互聯(lián)由安全互聯(lián)部件和跨系統(tǒng)安全管理中心組成。4.1.2 安全域劃分安全域是指同一系統(tǒng)

6、內(nèi)根據(jù)信息的性質(zhì)、使用主體、安全目標和策略等元素的不同來劃分的不同邏輯子網(wǎng)或網(wǎng)絡，每一個邏輯區(qū)域有相同的安全保護需求，具有相同的安全訪問控制和邊界控制策略，區(qū)域間具有相互信任關系，而且相同的網(wǎng)絡安全域共享同樣的安全策略。本次建設中，醫(yī)療HIS計算機網(wǎng)絡安全域的劃分不能單純從安全角度考慮，而是應該以業(yè)務角度為主，輔以安全角度，并充分參照現(xiàn)有網(wǎng)絡結構和管理現(xiàn)狀，才能以較小的代價完成安全域劃分和網(wǎng)絡梳理，而又能保障其安全性。綜上所述，我們將依據(jù)下述的原則完成安全域的劃分：l 根據(jù)系統(tǒng)服務劃分Ø 對資源信息訪問控制；Ø 對與其相關的信息訪問控制；Ø 對其它資源的訪問控制；

7、l 按系統(tǒng)功能類型劃分根據(jù)功能類型或提供的服務類型劃分子系統(tǒng)，劃分時除了考慮到對用戶提供設計服務的系統(tǒng)、管理系統(tǒng)等外，還應考慮到對前兩類系統(tǒng)提供承載、支撐和管理作用的支持系統(tǒng)。l 按照網(wǎng)絡區(qū)域劃分根據(jù)資源使用情況及應用系統(tǒng)地理上分布的情況，在資源訪問控制、管理模式等存在較大差異，所以可按照信息系統(tǒng)運行所在的網(wǎng)絡區(qū)域進行子系統(tǒng)劃分。l 安全要求相似性原則在信息安全的三個基本屬性方面，同一區(qū)域內(nèi)的信息資產(chǎn)應具有相似的安全性要求、完整性要求和可用性要求。根據(jù)上述安全域的劃分規(guī)則，醫(yī)療HIS整體網(wǎng)絡可以劃分出以下幾大部分區(qū)域：4.1.3 總體部署4.2 詳細設計4.2.1 物理安全設計

8、物理位置的選擇中心機房的物理位置按以下要求進行選擇：l 在具有防震、防風和防雨等能力的建筑內(nèi)；l 避免設在建筑物的高層或地下室，以及用水設備的下層或隔壁。 物理訪問控制中心機房的物理訪問控制應按以下措施建設：l 機房出入口安排專人值守并配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員；l 對進入機房的來訪人員應經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍；l 對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設置物理隔離裝置，在重要區(qū)域前設置交付或安裝等過渡區(qū)域；l 重要區(qū)域應配置第二道電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。 防盜竊和防破壞中心機房的防盜和防破壞應按以下措施建設：

9、n 將主要設備放置在機房內(nèi)；n 將設備或主要部件進行固定，并設置明顯的不易除去的標記；n 將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中；n 對介質(zhì)分類標識，存儲在介質(zhì)庫或檔案室中；n 利用光、電等技術設置機房防盜報警系統(tǒng)；n 對機房設置監(jiān)控報警系統(tǒng)。 防雷擊中心機房防雷按以下措施建設：n 機房所在的建筑安裝避雷裝置。n 機房內(nèi)設置防雷保安器，防止感應雷；n 機房設置交流電源地線。 防火中心機房防火按以下措施建設：n 機房安裝火災自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火；n 機房及相關的工作房間和輔助房采用具有耐火等級的建筑材料；n 機房采取區(qū)域隔離防火措

10、施，將重要設備與其他設備隔離開。 防水和防潮中心機房防火和防潮按以下措施建設：n 水管安裝，不得穿過機房屋頂和活動地板下；n 采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；n 采取措施防止機房內(nèi)水蒸氣結露和地下積水的轉(zhuǎn)移與滲透；n 安裝對水敏感的檢測儀表或元件，對機房進行防水檢測和報警。 防靜電中心機房防靜電按以下措施建設：n 所有設備采用接地防靜電措施；n 機房采用防靜電地板；n 有條件的情況下，采用靜電消除器等裝置，減少靜電的產(chǎn)生。 溫濕度控制中心機房溫濕度按以下措施建設：n 在機房安裝溫濕度自動調(diào)節(jié)設備，使機房溫、濕度的變化在設備運行所允許的范圍

11、之內(nèi)。 電力供應中心機房電力供應按以下措施建設：n 在機房供電線路上配置穩(wěn)壓器和過電壓防護設備；n 安裝UPS系統(tǒng)，提供不小于1小時的供電要求；n 設置冗余或并行的電力電纜線路為計算機系統(tǒng)供電；0 電磁防護中心機房電磁防護按以下措施建設：n 采用接地方式防止外界電磁干擾和設備寄生耦合干擾；n 電源線和通信線纜應隔離鋪設，避免互相干擾；n 對保密性要求較高的服務器，放置屏蔽機柜和屏蔽室內(nèi)。4.2.2 安全計算環(huán)境設計 用戶身份識別根據(jù)國家政策在應用安全方面的要求，應對涉及接觸移動政務業(yè)務敏感信息的用戶群體（以下簡稱敏感用戶），采取滿足要求的數(shù)字證書身份認

12、證機制，具體安全保障措施如下：l 基于數(shù)字證書和PIN碼的多因子身份鑒別機制基于PKI技術體系的數(shù)字證書認證機制通過將數(shù)字證書與用戶的真實身份進行唯一綁定，可滿足三級安全等保要求實現(xiàn)鑒別信息不可被重用和被冒用，從而可確保系統(tǒng)中的用戶身份不可假冒，實現(xiàn)了強身份認證；同時，數(shù)字證書的使用通過結合PIN碼保護機制，滿足了三級安全等保中關于“應對同一用戶采用兩種或兩種以上組合的鑒別技術實現(xiàn)用戶身份鑒別”的要求。因此，敏感用戶必須持有其數(shù)字證書才能進入管理平臺進行相關的業(yè)務操作，從而從應用訪問源頭上防止了非法用戶的非法登錄，確保了進入移動政務平臺的每一位用戶身份都是合法的。同時，數(shù)字證書是用戶登錄系統(tǒng)的

13、身份憑證，應防止被其它非法用戶所使用。因此，根據(jù)用戶終端設備為手持設備或便攜設備，應采取基于SD、SIM卡的PIN碼保護機制，實現(xiàn)對數(shù)字證書的安全存儲和安全使用。注明：SD、SIM卡內(nèi)部集成多種密碼算法，各種運算直接可以在其內(nèi)部封閉的環(huán)境下進行；同時，存儲在其內(nèi)部的用戶私鑰無法導出和復制，且通過帶有PIN保護，能有效抵御蠻力嘗試。攻擊者如果想冒充敏感用戶的身份進入醫(yī)療HIS，不僅需要竊取到用戶的SD、SIM卡，還需要知道保護口令。因此，大大提高了認證的安全強度，也使得身份冒充變得更加困難。l 部署安全中間件實現(xiàn)對登錄用戶進行身份標識和鑒別根據(jù)第三級安全等保中關于“應提供專用的登錄控制模塊對登錄

14、用戶進行身份標識和鑒別”的要求，應在用戶終端和服務器端部署安全中間件，通過用戶終端和應用服務器兩端的安全組件和安全控件互相驗證各自證書，確認各自身份的真實性?？蛻舳酥虚g件應可以內(nèi)嵌到Web頁面中，也可以被專用Client程序調(diào)用，對用戶的使用應該是透明的；服務器端中間件部署在應用服務器上，接受并處理由客戶端發(fā)送過來的安全認證、數(shù)據(jù)加解密和簽名驗證等系列安全處理請求，為應用系統(tǒng)提供安全保護。安全中間件應面向業(yè)務應用提供以下功能： 數(shù)字簽名：為應用系統(tǒng)提供重要業(yè)務數(shù)據(jù)及關鍵操作行為的數(shù)字簽名，應用系統(tǒng)通過這些數(shù)字簽名記錄，在發(fā)生糾紛時對數(shù)字簽名進行驗證，真正實現(xiàn)重要業(yè)務數(shù)據(jù)和關鍵操作的完整性和不可

15、抵賴性； 數(shù)字證書解析：對數(shù)字證書域進行解析，將解析后的證書內(nèi)容，如證書序列號、用戶身份證號碼、單位組織機構代碼提交應用系統(tǒng)供應用系統(tǒng)使用； 數(shù)字信封：提供數(shù)字信封加密機制，提升數(shù)據(jù)加密效率和加密強度； 密鑰分割：采用門限算法，可以將加密密鑰分割成若干份提供給多人保管，當需要調(diào)取密鑰時，根據(jù)預先約定的密鑰持有策略在多人在場情況下將完成密鑰的重新組裝得到原有密鑰。 時間戳功能：通過獲取標準時間源信息，對標準時間進行簽名，提供具有法律效力的時間戳服務。 服務端證書管理功能：在應用服務器上提供B/S方式的證書管理工具，用戶可以使用該工具很方便的配置和管理服務器證書。 XML簽名：實現(xiàn)了通過擴展標記語

16、言（XML）來創(chuàng)建、驗證和管理數(shù)字簽名。l 軟件完整性保護采取代碼簽名證書對原始發(fā)布的軟件進行完整性保護基于手機服務的應用系統(tǒng)普遍采用C/S架構，終端用戶運行手機應用程序軟件訪問應用系統(tǒng)，存在客戶端軟件被仿冒和篡改的風險。公務員用戶使用移動終端訪問醫(yī)療HIS處理移動辦公、移動執(zhí)法等業(yè)務時，如果運行仿冒的程序軟件，其業(yè)務中的信息數(shù)據(jù)將面臨被竊取、篡改的危險。因此，建議對北京醫(yī)療HIS的終端應用程序軟件簽發(fā)代碼簽名證書，防范軟件被仿冒和篡改的風險，使用戶免遭病毒和黑客程序的侵擾，為軟件的完整性提供可靠的保障。 惡意代碼防范對各服務器平臺部署網(wǎng)絡防病毒系統(tǒng)，實現(xiàn)對計算環(huán)境內(nèi)惡意代碼檢測

17、與阻殺，定級對防病毒系統(tǒng)病毒庫特征碼進行升級，保持最新的惡意代碼檢測庫。 WEB應用系統(tǒng)防護部署入侵防御系統(tǒng)或WEB防火墻實現(xiàn)對WEB應用程序安全保護。由于大部分服務系統(tǒng)都是采用WEB方式向外界提供服務，而由于目前針對WEB服務的攻擊除了利用其IE漏洞、數(shù)據(jù)庫漏洞、操作系統(tǒng)漏洞外，還利用編程語言程序設計漏洞，如SQL注入攻擊是最常用的WEB應用攻擊。目前大部分安全防護都是針對應用層以下的攻擊，而對應用層本層的防護甚少，因此采用入侵防御系統(tǒng)或WEB防火墻從應用層上對WEB服務提供防護。入侵防御系統(tǒng)或WEB防火墻采用專用入侵異常檢測技術，對WEB應用實施全面、深度防御，能夠有效識別、

18、阻止日益盛行的WEB應用黑客攻擊（如SQL注入、釣魚攻擊、表單繞過、緩沖區(qū)溢出、CGI掃描、目錄遍歷、命令注入、Cookie 注入、跨站腳本(XSS)、敏感信息泄露 、惡意代碼、錯誤配置、隱藏字段、會話劫持、參數(shù)篡改、緩沖區(qū)溢出、應用層拒絕服務、弱口令等。網(wǎng)頁防篡改系統(tǒng)實現(xiàn)防止WEB應用程序URL盜鏈以及WEB應用程序非法篡改。 可用性與數(shù)據(jù)安全為提高醫(yī)療HIS高可用性，應用系統(tǒng)服務器應采集群方式進行部署，實現(xiàn)應用服務的高可用性和負載。為了保障應用系統(tǒng)數(shù)據(jù)安全，對關鍵數(shù)據(jù)應采用密碼機對應用數(shù)據(jù)進行加密存儲。同時采用數(shù)據(jù)備份軟件和磁帶機對數(shù)據(jù)庫數(shù)據(jù)進行備份。4.2.3 安全區(qū)域邊界

19、設計 防火墻在網(wǎng)絡邊界部署防火墻系統(tǒng)實現(xiàn)網(wǎng)絡及應用的訪問控制機制。防火墻采用基于連接狀態(tài)檢測的包過濾模塊，從系統(tǒng)內(nèi)核層對網(wǎng)絡數(shù)據(jù)進行分析和處理，將屬于同一連接的所有數(shù)據(jù)包作為一個整體的數(shù)據(jù)流看待，同一連接只在第一個包到來時檢查規(guī)則一次，后續(xù)包則只需要檢查其連接狀態(tài)，系統(tǒng)內(nèi)部高效維護了一張連接狀態(tài)表。對于基于UDP協(xié)議、ICMP這種無連接狀態(tài)的協(xié)議處理時，會為其建立虛擬的連接狀態(tài)表，因此同樣能夠?qū)B接過程狀態(tài)進行監(jiān)控。防火墻通過規(guī)則表與連接狀態(tài)表的共同配合，大大地提高了系統(tǒng)的性能和安全性。防火墻的包過濾控制策略細致靈活，不僅可以對數(shù)據(jù)包的進/出網(wǎng)絡接口、協(xié)議（TCP、UDP、ICM

20、P、以及其他非IP協(xié)議）、源IP、目的IP、源端口、目的端口、IP選項等進行控制，還可采用基于時間、用戶以及服務（群組）的控制策略。防火墻能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡。防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄

21、下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個網(wǎng)絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡使用統(tǒng)計對網(wǎng)絡需求分析和威脅分析等而言也是非常重要的。在以下區(qū)域邊界部署防火墻，實現(xiàn)有效的安全邊界劃分和訪問控制：l 在運營商接入邊界各部署防火墻；l 在LNS接入域與醫(yī)療HIS之間部署防火墻l 在平臺互聯(lián)網(wǎng)出口出部署防火墻l 在平臺的出口和外網(wǎng)出口處部署防火墻 異常流量管理在與外部網(wǎng)絡通信時，對

22、網(wǎng)絡邊界的各類攻擊，其中惡意流量攻擊是最主要的方式之一，通過部署抗系統(tǒng)，實現(xiàn)對SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及連接耗盡這些常見的DOS/DDOS攻擊行為能夠有效識別，并通過集成的機制實時對這些攻擊流量進行阻斷。異常流量管理系統(tǒng)的實時流量分析器提供了網(wǎng)絡、應用以及IP地址的實時流量采集、分析和展現(xiàn)功能，用戶可以通過IP地址( 用戶)、應用、通道、帶寬等方式直觀的查看整個網(wǎng)絡中帶寬的詳細使用情況。它是IT管理員優(yōu)化網(wǎng)絡帶寬、解決帶寬惡意使用的有力的管理工具，為后續(xù)的

23、帶寬優(yōu)化與管控、網(wǎng)絡規(guī)劃提供科學的依據(jù)。基于系統(tǒng)內(nèi)嵌的DPI智能分類引擎，系統(tǒng)可以探測和跟蹤動態(tài)端口的分配，并通過比對協(xié)議的特征庫，能夠識別變動端口的會話流，并能夠?qū)κ褂猛欢丝诘牟煌瑓f(xié)議進行自動識別，實現(xiàn)網(wǎng)絡流量的全面可視化。用戶可以自定義應用的特征碼，避免產(chǎn)生不明流量，清理非法數(shù)據(jù)包及IP碎片，輸出符合TCP/IP協(xié)議的數(shù)據(jù)包。 入侵防御在核心交換機與服務域之間部署入侵防御系統(tǒng)，實現(xiàn)對各類入侵行為進行檢測與阻斷。入侵防御系統(tǒng)能夠識別多種L2L7層的網(wǎng)絡協(xié)議和應用軟件，涵蓋了目前主流的各種應用，包括P2P、VoIP、IM( 即時通訊)、視頻/流媒體、網(wǎng)絡游戲、炒股軟件、企業(yè)內(nèi)部

24、應用、網(wǎng)絡管理協(xié)議、安全協(xié)議等，對邊界對確認的入侵行為進行檢測并阻斷，防止惡意攻擊行為通過邊界進入到內(nèi)部網(wǎng)絡，破壞網(wǎng)絡邊界的完整性。網(wǎng)絡入侵防御系統(tǒng)能通過對監(jiān)測網(wǎng)絡的高速報文捕獲，進行深入?yún)f(xié)議分析，結合模式匹配、統(tǒng)計以及行為關聯(lián)分析，可以對各種類型的事件和流量、原始報文進行全面深入的監(jiān)測。通過預設的策略條件自動執(zhí)行對網(wǎng)絡中的行為事件的響應，主要的幾種響應方式：告警，日志，阻斷，自定義響應方式。 負載均衡考慮大量用戶同時訪問醫(yī)療HIS時，將面臨大流量合法用戶的訪問，會造成應用服務性能受到很大挑戰(zhàn)，很容易因合法用戶造成對應用服務的拒絕服務攻擊，因此，針對應用系統(tǒng)采用網(wǎng)絡負載均衡機制，

25、實現(xiàn)對合法用戶流量訪問均衡分擔，避免大流量合法用戶訪問造成應用服務宕機。4.2.4 安全通信網(wǎng)絡設計 安全接入為保障外部網(wǎng)絡用戶安全接入到醫(yī)療HIS，采用基于密碼技術的機制實現(xiàn)接入用戶的安全身份認證、授權控制、數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄员Ｗo。SSL VPN系統(tǒng)采用SSL安全協(xié)議的隧道封裝模式，采用國家密碼主管部門審批的專用算法SM1等手段來保證廣域網(wǎng)傳輸?shù)耐暾裕妹艽a技術保證傳輸數(shù)據(jù)內(nèi)容的完整性，防止篡改傳輸數(shù)據(jù)或被破壞。SSL VPN網(wǎng)關能夠滿足不同用戶的這種安全需求，支持多種不同強度的身份認證方式，如用戶名+口令、RADIUS、AD、LDAP、USB Key、證書、證書+口

26、令、雙因子認證等。適用于豐富的終端及操作系統(tǒng)，還包括一些高端的PDA、智能手機、3G手機。操作系統(tǒng)方面不僅支持 Windows 2000/XP/2003/Vista等通用的PC平臺，還支持用戶使用Windows Mobile平臺接入，并且在Windows Mobile平臺上能夠提供任意的基于IP的訪問，也支持非Windows的操作平臺的遠程接入。這種支持多平臺特性為用戶提供了方便的訪問特性，極大地滿足用戶的需要。SSL VPN網(wǎng)關支持雙機熱備，可以提供主從，主主兩種業(yè)務模式，并且其HA功能可以在不同的型號之間實現(xiàn)。SSL VPN網(wǎng)關所使用的基于角色的訪問控制便于管理員制定靈活的控制規(guī)則。通過角

27、色將系統(tǒng)的訪問用戶同系統(tǒng)保護資源聯(lián)系起來，既直觀，而且在訪問控制策略發(fā)生變化的時候無須為每一種資源或者每一個用戶修改權限；只需要修改某一種服務/角色/用戶的屬性。SSL VPN網(wǎng)關同時支持對終端環(huán)境的安全檢查。 虛擬專用網(wǎng)絡虛擬專用網(wǎng)（Virtual Private Network）技術是指采用隧道技術以及加密、身份認證等方法，在公眾網(wǎng)絡上構建專用網(wǎng)絡的技術，數(shù)據(jù)通過安全的“加密管道”在公眾網(wǎng)絡中傳播。VPN技術實現(xiàn)了內(nèi)部網(wǎng)信息在公眾信息網(wǎng)中的傳輸，就如同在茫茫的廣域網(wǎng)中為用戶拉出一條專線。對于用戶來講，公眾網(wǎng)絡起到了“虛擬專用”的效果。通過VPN，網(wǎng)絡對每個使用者也是專用的。也

28、就是說，VPN根據(jù)使用者的身份和權限，直接將使用者接入他所應該接觸的信息中。所以VPN對于每個用戶，也是“專用”的。目前構建虛擬專用網(wǎng)的國際標準主要有IPSec、SSL、SOCKS、PPTP、L2TP等協(xié)議。本方案中采用的是國際上使用最廣泛的IPSEC協(xié)議。IPSec提供的安全服務包括：l 保密性IPSec在傳輸數(shù)據(jù)包之前將其加密以保證數(shù)據(jù)的保密性l 完整性IPSec在目的地要驗證數(shù)據(jù)包，以保證該數(shù)據(jù)包任傳輸過程中沒有被修改或替換l 真實性IPSec端要驗證所有受IPSec保護的數(shù)據(jù)包l 防重放IPSec防止了數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上，即目的地會拒絕老的或重復的數(shù)據(jù)包，它通過報文的序列號實

29、現(xiàn)。 網(wǎng)絡安全審計在網(wǎng)絡環(huán)境中部署網(wǎng)絡安全審計系統(tǒng)實現(xiàn)各類用戶對應用系統(tǒng)、數(shù)據(jù)庫及網(wǎng)絡訪問行為進行安全審計，以便發(fā)現(xiàn)違規(guī)行為進行安全審計及事后追蹤。 入侵檢測網(wǎng)絡安全防護不但需要防外，還需要從內(nèi)部進行防護。入侵行為除了來自網(wǎng)絡邊界外，同時也需要對網(wǎng)絡內(nèi)的合法用戶的入侵行為進行檢測，因此，部署入侵檢測系統(tǒng)實現(xiàn)對內(nèi)部網(wǎng)絡的入侵行為進行檢測與報警。入侵檢測系統(tǒng)通過對監(jiān)測網(wǎng)絡的高速報文捕獲，進行深入?yún)f(xié)議分析，結合模式匹配、統(tǒng)計以及行為關聯(lián)分析，可以對各種類型的事件和流量、原始報文進行全面深入的監(jiān)測。通過預設的策略條件自動執(zhí)行對網(wǎng)絡中的行為事件的響應，主要的幾種響應方式：告警

30、，日志，自定義響應方式。4.2.5 安全管理中心設計安全管理中心可能由一個或幾個安全系統(tǒng)的管理中心共同組成，各安全系統(tǒng)都實現(xiàn)三權分離管理。 系統(tǒng)管理應通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理，包括：用戶身份管理，系統(tǒng)資源配置，系統(tǒng)加載和啟動，系統(tǒng)運行的異常處理，以及支持管理本地和/或異地災難備份與恢復等；應對系統(tǒng)管理員進行嚴格的身份鑒別，只允許其通過特定的命令或操作界面進行系統(tǒng)管理操作，并對這些操作進行審計。 安全管理應通過安全管理員對系統(tǒng)中的主體、客體進行統(tǒng)一標記，進行系統(tǒng)安全監(jiān)測，并為安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡配置統(tǒng)一的安全策略；應對安

31、全管理員進行嚴格的身份鑒別，并只允許其通過特定的命令或操作界面進行安全管理操作，并進行審計。安全管理設備應能過對安全設備進行統(tǒng)一的策略下發(fā)，使得各安全產(chǎn)品共同一個完整的安全防御體系。 審計管理應通過安全審計員對分布在系統(tǒng)各個組成部分的安全審計機制進行集中管理，包括：根據(jù)安全審計策略對審計記錄進行分類；提供按時間段開啟和關閉相應類型的安全審計機制；對各類審計記錄進行存儲、管理和查詢等；對審計記錄進行分析，并根據(jù)分析結果進行處理；對安全審計員進行嚴格的身份鑒別，并只允許其通過特定的命令或操作界面進行安全審計操作。5 安全管理體系設計僅有安全技術防護，而無嚴格的安全管理相配合，是難以保

32、障網(wǎng)絡系統(tǒng)運行安全的。因為諸多的不安全因素恰恰反映在組織管理和人員的使用方面，這是計算機網(wǎng)絡安全必須考慮和高度重視的基本問題。嚴格的安全管理制度，明確的安全職責劃分，合理的人員角色定義，完備的應急響應機制，都可以在很大程度上減少安全隱患。因此，醫(yī)療HIS的安全建設、運行、維護、管理都要重視安全管理，嚴格按制度進行辦事，嚴格按制度辦事，明確責任權力，規(guī)范操作，加強人員、設備的管理以及人員的培訓，提高安全管理水平。醫(yī)療HIS安全管理模型如下圖所示：5.1 管理機構建設醫(yī)療HIS安全事關醫(yī)療機構重要政務的處理和醫(yī)療機構形象以及生命安全，需要從戰(zhàn)略高度充分認識安全防護的重要性和緊迫性。因此，需要在現(xiàn)有

33、組織設置的基礎上，進一步明確安全管理的相關組織、機構和職責，建立集中統(tǒng)一、分工協(xié)作、各司其職的安全管理責任機制。ü 成立經(jīng)安全領導小組，負責醫(yī)療HIS建設和運行維護過程中有關安全事務的組織協(xié)調(diào)工作。ü 健全安全責任制，進一步明確各部門、單位的安全職責，包括系統(tǒng)運行、維護、資產(chǎn)管理等責任部門，并落實各項安全工作的具體負責人。ü 按最小特權原則和職責分離原則，配備系統(tǒng)管理員、安全管理員、安全審計員，分工明確，責任到人。ü 建立定期安全檢查、協(xié)調(diào)機制，及時掌握醫(yī)療HIS的安全狀態(tài)和安全管理制度執(zhí)行情況。5.2 完善安全管理制度為保證醫(yī)療HIS系統(tǒng)正常運行，必須

34、首先建立、健全一套與之相應的安全管理制度，需要制定和完善的安全管理制度包括但不限于以下制度規(guī)范：ü 信息安全管理規(guī)范：明確安全目標、安全原則、管理組織、職責和人員、機房、設備、軟件、信息介質(zhì)、技術文檔、安全審計、應急處理等方面的總的管理要求。ü 人員管理相關制度：明確安全管理人員錄用、培訓、調(diào)離、獎懲等方面的具體要求和各類管理人員的具體職責。ü 機房管理相關制度：明確機房管理、機房出入、設備出入、機房值班、日常維護、定期維護、故障處理、電源管理、消防管理、信息保密等方面的具體管理要求。ü 設備管理相關制度：明確設備購置、使用、維修等方面的具體管理要求。&

35、#252; 軟件管理相關制度：明確軟件采購、測試、安裝、登記、保管、使用、維護、防病毒等方面的具體管理要求。ü 信息介質(zhì)管理相關制度：明確各類信息介質(zhì)的采購、登記、借用、復制、銷毀、儲存等方面的具體管理要求。ü 技術文檔管理相關制度：明確技術文檔歸檔、借閱、復制、備份、銷毀等方面的具體管理要求。ü 安全審計管理相關制度：明確安全審計內(nèi)容、周期、審計流程以及日志保存時間、處理等方面的具體管理要求。ü 應急處理管理相關制度：明確處理各類信息安全緊急事件的應急組織、人員、響應流程、處理步驟等。5.3 加強人才隊伍建設由于信息安全的復雜性、專業(yè)性、特殊性，醫(yī)療HIS相關單位需要重視網(wǎng)絡安全人員的培養(yǎng)、使用和管理。在人才隊伍建設方面，應采取以下措施：ü 錄用一定數(shù)量的責任心強、守紀律、懂技術的安全人員，同時加強安全技術交流，定期對系統(tǒng)管理員、安全管理員、審計管理員進行專業(yè)的安全培訓，使其掌握計算機安全的高級知識，了解黑客使用的流行手段，有能力對網(wǎng)絡攻擊采取必要的防范措施，盡快形成一支高度自覺、遵紀守法的安全技術和管理隊