醫(yī)療行業(yè)等級保護測評解讀

1、醫(yī)療行業(yè)等級保護測評解讀深圳市信息安全測評中心 邱建中2009年7月30日1 醫(yī)療行業(yè)等級保護測評解讀等級測評概述等級測評的內容等級測評的流程和方法醫(yī)療行業(yè)信息安全現狀和測評重點關于測評機構2等級測評概述政策背景一、政策背景國家全面推行信息安全等級保護制度2007年6月，公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室聯合發(fā)布信息安全等級保護管理辦法（公通字200743號），在全社會范圍推行“信息安全等級保護”政策。等級保護工作是信息安全工作的基本制度，是維護國家信息安全的根本保障，是國家意志的體現。根據信息安全等級保護管理辦法規(guī)定，信息系統(tǒng)運營、使用單位在進行信息系統(tǒng)備案后，都應當

2、選擇測評機構進行等級測評。等級測評概述什么是等級測評二、什么是等級測評？等級測評是測評機構依據國家信息安全等級保護制度規(guī)定，受有關單位委托，按照有關管理規(guī)范和技術標準，對信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。等級測評概述為何要開展等級測評三、為什么要開展等級測評工作？1、等級測評是保證等級保護國家政策得到切實落實的重要保證 推行等級保護的目的是：促進運營和使用單位改造加固信息系統(tǒng)，確保信息系統(tǒng)達到相應等級的安全基本要求，取得相應等級的基本安全保護能力。系統(tǒng)是否滿足相應等級的基本要求成為問題的關鍵；等級測評是依據信息系統(tǒng)安全等級保護測評要求等技術標準，確定信息系統(tǒng)安全保護能力是否達到相應等

3、級基本要求的過程，是落實信息安全等級保護制度的關鍵步驟。如果不開展等級測評，等級保護這項國家政策將無法落地。2、等級測評對等級保護其他環(huán)節(jié)和等級保護整體工作成效具有決定性影響 等級保護包含：定級、備案、測評、建設整改、監(jiān)督檢查5個環(huán)節(jié)，每個環(huán)節(jié)環(huán)環(huán)相扣；等級測評結果是建設整改、監(jiān)督檢查的關鍵依據。等級測評對系統(tǒng)經過等級保護之后最終能夠達到什么樣的安全防護能力具有決定性影響，對等級保護工作的實際成效具有決定性影響。5等級測評概述為何要開展等級測評三、為什么要開展等級測評工作？3、等級測評獨特的技術裁決性質，決定了等級測評工作不可替代性 等級測評依據的是國家技術標準，落實的是國家信息安全政策，等級

4、測評的結果是國家信息安全監(jiān)管部門依法行使監(jiān)督、檢查管理的技術依據，具有明顯的技術權威評判性質。因此，作為一項政策性很強的技術專業(yè)化活動，等級測評必須保證強烈的獨立性、客觀性和公正性，等級測評必須嚴格區(qū)別于任何商業(yè)化的測試、評估活動，不能為商業(yè)性測評所取代。6等級測評概述政策解讀四、等級測評相關政策要求解讀信息安全等級保護管理辦法規(guī)定：信息系統(tǒng)建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規(guī)定條件的測評機構，依據信息系統(tǒng)安全等級保護測評要求等技術標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應當每年至少進行一次等級測評，第四級信息系統(tǒng)應當每半年至少進行一次等級測評，第五

5、級信息系統(tǒng)應當依據特殊安全需求進行等級測評。信息安全等級保護測評機構能力規(guī)范（征求意見稿）規(guī)定：測評機構應當按照有關規(guī)定和統(tǒng)一標準提供“客觀、公正、安全”的測評服務，按照統(tǒng)一的測評報告模板出具測評報告。測評機構不得從事下列活動： a) 承擔信息系統(tǒng)安全建設整改工作； b) 將等級測評任務分包、外包； c) 從事信息安全產品開發(fā)、營銷和信息系統(tǒng)集成活動； 限定被測評單位購買、使用其指定的信息安全產品； e) 未經許可占有、使用有關測評信息、資料及數據文件; f) 其他可能影響測評客觀、公正的活動。等級測評概述政策解讀政策解讀：測評依據： 信息系統(tǒng)安全等級保護測評要求等技術標準測評性質：符合性測評

6、，符標測試 測評對象：已經定級的信息系統(tǒng)測評頻率：三級系統(tǒng)，每年至少一次；四級系統(tǒng)，每半年至少一次測評管理要求：強制性周期開展測評技術要求：等級化進行-不同級別的系統(tǒng)測評要求不同測評發(fā)起單位：主管部門，運維、使用單位，國家信息安全監(jiān)管部門測評報告利用：測評報告整改加固指導性文件，也是系統(tǒng)備案附件測評機構要求： 公安機關同意備案或授權且不從事系統(tǒng)安全整改建設產品開發(fā)與營銷等影響 “客觀、公正、安全”的工作。8等級測評的內容十個方面業(yè)務安全物理安全技術要求管理要求基本要求網絡安全主機安全應用安全數據安全安全管理機構安全管理制度人員安全管理系統(tǒng)建設管理系統(tǒng)運維管理等級測評的內容物理位置選擇物理安全(

7、三級)物理訪問控制防盜竊和防破壞防雷擊防火防水和防潮溫濕度控制電力供應電磁防護防靜電物理層面構成組件包括信息系統(tǒng)工作的設施環(huán)境以及構成信息系統(tǒng)的硬件設備和介質等等級測評的內容結構安全和網段劃分網絡安全(三級)網絡訪問控制網絡安全審計邊界完整性檢查網絡入侵檢測惡意代碼防護網絡設備防護網絡層面構成組件負責支撐信息系統(tǒng)進行網絡互聯，為信息系統(tǒng)各個構成組件進行安全通信傳輸，一般包括計算機、網絡設備、連接線路以及它們構成的網絡拓撲等。兩個不同信息系統(tǒng)需要交換信息，而進行網絡互聯（內部互聯）；為了與其他單位/網絡交換信息，與他們的網絡互聯（外部互聯），這些網絡連接邊界是網絡安全測評的重點之一。等級測評的內

8、容身份鑒別主機系統(tǒng)安全(三級)訪問控制安全審計剩余信息保護入侵防范惡意代碼防范資源控制主機系統(tǒng)構成組件有服務器、終端/工作站等計算機設備，包括他們的操作系統(tǒng)、數據庫系統(tǒng)及其相關環(huán)境等。主機系統(tǒng)直接為信息系統(tǒng)的信息采集、加工、存儲、傳輸、檢索等提供運行環(huán)境，包括為信息系統(tǒng)用戶提供人機交互的環(huán)境。通常采取身份鑒別、訪問控制、安全審計、系統(tǒng)資源控制等安全功能，以保證系統(tǒng)的安全。等級測評的內容身份鑒別應用安全(三級)訪問控制通信完整性通信保密性安全審計剩余信息保護抗抵賴軟件容錯資源控制應用系統(tǒng)體系結構模型可以根據用戶與數據之間所具有的層次來劃分，即：單層應用體系結構模型、兩層應用體系結構模型、多層（可

9、以是三層或三層以上）應用體系結構模型。 等級測評的內容數據完整性數據安全(三級)數據保密性安全備份數據層面構成組件主要包括信息系統(tǒng)安全功能數據和用戶數據，這些數據可能處于傳輸和處理過程中，也可能處于存儲狀態(tài)。對于傳輸和處理過程中的數據，一般有機密性和完整性的安全要求，而對于存儲中的數據，還需要有備份恢復的安全要求。 等級測評的內容崗位設置安全管理機構(三級)人員配備授權和審批溝通與合作審核和檢查安全管理機構包括安全管理的崗位設置、人員配備、授權和審批、溝通和合作等方面內容，嚴格的安全管理應該由相對獨立的職能部門和崗位來完成。等級測評的內容管理制度安全管理制度(三級)制訂和發(fā)布評審和修訂安全管理

10、制度一般是文檔化的，被正式制定、評審、發(fā)布和修訂，內容包括策略、制度、規(guī)程、表格和記錄等，構成一個塔式結構的文檔體系。等級測評的內容人員錄用人員安全管理(三級)人員離崗人員考核安全意識教育和培訓外部人員訪問管理包括信息系統(tǒng)用戶、安全管理人員和第三方人員的管理，覆蓋人員錄用、人員離崗、人員考核、安全意識教育和培訓、第三方人員管理等方面內容。等級測評的內容系統(tǒng)定級系統(tǒng)建設管理(三級)安全方案設計產品采購和使用自行軟件開發(fā)外包軟件開發(fā)工程實施測試驗收系統(tǒng)交付安全服務商選擇系統(tǒng)備案包括系統(tǒng)定級、安全風險分析、安全方案設計、產品采購、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、安全測評、系

11、統(tǒng)備案等信息系統(tǒng)安全等級建設的各個方面。等級測評的內容環(huán)境管理系統(tǒng)運維管理(三級)資產管理設備管理介質管理運行管理和監(jiān)控管理網絡安全管理系統(tǒng)安全管理惡意代碼防范管理變更管理密碼管理備份和恢復管理安全事件處置應急預案管理系統(tǒng)運維管理包括運行環(huán)境管理、資產管理、介質管理、設備使用管理、運行監(jiān)控管理、惡意代碼防護管理、網絡安全管理、系統(tǒng)安全管理、密碼管理、變更管理、備份和恢復管理、安全事件處置和應急計劃管理等方面內容。 等級測評的內容主要核心技術1身份鑒別和自主訪問控制2安全審計3完整性和保密性保護4邊界保護5資源控制6入侵防范和惡意代碼防范7安全管理平臺設置8備份與恢復9強制訪問控制10密碼技術應

12、用11環(huán)境與設施安全20等級測評的內容核心技術要求數據安全身份鑒別和自主訪問控制安全審計完整性和保密性保護資源控制入侵防范和惡意代碼防范備份與恢復強制訪問控制密碼技術應用環(huán)境與設施安全核心技術要求分布狀況：安全管理中心身份鑒別和自主訪問控制安全審計安全管理平臺設置11.環(huán)境與設施安全廣域網身份鑒別和自主訪問控制安全審計完整性和保密性保護邊界保護11.環(huán)境與設施安全局域網身份鑒別和自主訪問控制安全審計完整性和保密性保護邊界保護資源控制入侵防范和惡意代碼防范10.密碼技術應用11.環(huán)境與設施安全21等級測評的內容主要核心技術實現方式（參考）身份認證、防火墻訪問控制流量與行為審計、數據庫審計IPSe

13、c VPN、SSL VPN終端防外聯、接入認證負載均衡、流量控制IPS、防病毒、終端桌面管理SIEM、安全事件智能分析聯動IPSAN、CDP、WSAN操作系統(tǒng)文件訪問控制產品選購符合國密辦規(guī)定按照國標GB50173-93電子計算機機房設計規(guī)范 GB2887-89計算站場地技術條件 、 GB9361-88計算站場地安全要求建設核心技術要求1 身份鑒別和自主訪問控制2 安全審計3 完整性和保密性保護4 邊界保護5 資源控制6 入侵防范和惡意代碼防范7 安全管理平臺設置8 備份與恢復9 強制訪問控制10 密碼技術應用11 環(huán)境與設施安全22等級測評的流程等級測評項目啟動測評準備階段編制測評方案工具和

14、文檔準備現場實施階段分析測評結果報告編制階段交流與洽談形成等級測評結論編制測評報告結果確認和資料歸還現場測評和結果記錄方案確認和資源協(xié)調信息收集和分析測評準備階段-項目啟動向被測單位介紹等級測評的意義和作用，測評工作的基本流程和工作方法。了解被測單位的信息化建設狀況與發(fā)展。包括被測系統(tǒng)的行業(yè)特征、主管機構、業(yè)務范圍、地理位置以及被測系統(tǒng)基本情況，獲得被測系統(tǒng)的背景信息和聯絡方式，填寫系統(tǒng)基本情況調查表。指出被測單位應提供的基本資料，包括：被測系統(tǒng)總體描述文件，被測系統(tǒng)詳細描述文件，被測系統(tǒng)安全保護等級定級報告，系統(tǒng)驗收報告，安全需求分析報告，被測系統(tǒng)安全總體方案等。根據測評雙方簽訂的委托測評協(xié)

15、議書和系統(tǒng)規(guī)模，測評機構組建測評項目組，從人員方面做好準備，并編制項目計劃。24測評準備階段-信息收集與分析被測單位積極配合測評機構，為測評機構提供其所需要的各種資料，包括被測單位的各種方針文件、規(guī)章制度及相關過程管理記錄、被測系統(tǒng)總體描述文件、被測系統(tǒng)詳細描述文件、被測系統(tǒng)安全保護等級定級報告、安全需求分析報告、被測系統(tǒng)安全總體方案、安全現狀評價報告、被測系統(tǒng)安全詳細設計方案、用戶指南、運行步驟、網絡圖表、配置管理文檔等。測評機構分析被測單位提供的系統(tǒng)相關文件和初步了解到的系統(tǒng)基本情況，將需要補充了解的內容編制成調查表并發(fā)放給被測系統(tǒng)運行維護人員。測評機構收回填寫完成的調查表單，并分析調查結

16、果，以進一步了解和熟悉被測系統(tǒng)的實際情況。分析的內容包括被測系統(tǒng)的基本信息、管理框架、被測系統(tǒng)的網絡及設備部署、業(yè)務種類和特性、業(yè)務系統(tǒng)處理的信息資產、用戶范圍和用戶類型等。25測評準備階段-系統(tǒng)調查表內容全面順序合理保留邏輯關聯內容至少包括被測系統(tǒng)的行業(yè)特征、主管機構、業(yè)務范圍、地理位置、背景信息、聯絡方式、組織管理結構、管理策略、部門設置和部門在業(yè)務運行中的作用、崗位職責、物理環(huán)境、網絡拓撲結構、硬件設備部署情況、范圍及邊界、業(yè)務種類及特性、業(yè)務流程、業(yè)務安全保護等級等。26測評準備階段-編制測評方案根據被測系統(tǒng)基本情況描述被測系統(tǒng)，包括被測系統(tǒng)基本信息、管理框架、被測系統(tǒng)的網絡及設備部署

17、、業(yè)務種類和特性、業(yè)務信息安全等級、系統(tǒng)服務安全等級、業(yè)務流程相關設備、部件和數據、管理模式、用戶范圍和用戶類型等。根據被測系統(tǒng)規(guī)模確定人員分工和測評計劃。對于一般規(guī)模且業(yè)務種類較少的被測系統(tǒng)，分組負責主機、網絡、應用安全測評和工具測試。測評計劃可以列表的形式給出，包括總體時間安排、分項測評時間安排等。選擇適當的測評對象、方式和工具。確定測評指標。確定現場測評實施內容，包括單項測評和系統(tǒng)整體測評。匯總上述6個步驟的各類文檔和資料形成測評方案文稿。評審和提交測評方案。測評方案初稿應通過測評項目組全體成員評審，修改完成后形成提交稿。然后，測評機構將測評方案提交給被測單位。被測單位應對該測評方案簽字

18、認可。27測評準備階段-工具和文檔準備測評人員熟悉被測系統(tǒng)相關的操作系統(tǒng)、數據庫及業(yè)務流程等。測評人員調試、熟悉本次測評過程中將用到的測評工具，包括作業(yè)指導書、漏洞掃描工具、滲透性測試工具、性能測試工具和協(xié)議分析工具等。準備和打印文檔，主要包括：測評方案、現場測評授權書、作業(yè)指導書、測評結果記錄表格（含測評人員入場和離場確認）、文檔接收/歸還確認單等。28現場測評階段-方案確認與資源協(xié)調召開測評現場首次會，測評機構介紹測評工作，交流測評信息，進一步明確測評計劃和方案中的內容，說明測評過程中具體的實施工作內容，測評時間安排等，以便于后面的測評工作開展。測評雙方對測評方案進行最終審定。測評雙方確認

19、現場測評需要的各種資源，包括被測單位的配合人員和需要提供的測評條件等。被測單位簽署現場授權委托書。測評人員根據會議溝通結果，對測評結果記錄表單和測評程序進行必要的更新。29現場測評階段-現場測評結果記錄制定應急預案系統(tǒng)詳細調研系統(tǒng)安全技術測評系統(tǒng)安全管理測評結果記錄測評原始記錄是出具測評報告的依據，是最重要的測評證據記錄。為保證能夠重復檢驗活動的全部過程，原始記錄應包含足夠的信息；所有的測評原始記錄應按照規(guī)定的格式填寫，不得漏記、補記、追記。嚴格執(zhí)行測評方案和作業(yè)指導書，根據 “現場測評和結果記錄”的要求進行認真測評和記錄測評結果，確保結果記錄的真實性、完整性和有效性。30現場測評階段- 結果

20、確認和資料歸還測評人員在現場測評完成之后，應首先匯總現場測評的測評記錄，對漏掉和需要進一步驗證的內容實施補充測評。測評雙方對測評過程中發(fā)現的問題進行現場確認。測評機構歸還測評過程中借閱的所有文檔資料，并由被測單位文檔資料提供者簽字確認。31報告編制階段-分析測評結果根據測評結果的符合性判定情況，對現場測評的單個測評對象的單個測評項的測評結果是否符合要求進行判斷，即單項判定，形成單項判定結論，判定結論分為兩種情況：符合和不符合。根據單項判定結論將單項測評的數據按照層面進行匯總分析，以表格的形式，分別統(tǒng)計物理安全、網絡安全、主機系統(tǒng)安全、應用安全、管理安全等各層面的不同安全控制的不同測評對象的單項

21、測評結論，并對符合項和不符合項進行統(tǒng)計。根據單項判定結論和數據匯總統(tǒng)計分析情況進行系統(tǒng)整體測評分析，分析單項判定結果為不符合的測評項是否影響系統(tǒng)的整體安全保護能力，分析系統(tǒng)的整體結構是否合理。32報告編制階段-形成測評結論在數據匯總分析的基礎上，結合系統(tǒng)整體測評結果及被測系統(tǒng)的實際情況等，分析測評結論為不符合的測評項是否影響系統(tǒng)安全目標實現，是否影響系統(tǒng)安全保護能力。根據系統(tǒng)安全保護現狀與等級保護基本要求之間的差距，分析系統(tǒng)存在的問題，給出系統(tǒng)等級測評結論，并提出改進建議。33報告編制階段-報告編制本階段是一個自下而上的逐步匯總、形成等級測評結論的過程，首先根據現場測評結果和測評要求，對測評結

22、果進行分析，得出單項測評結果判定。系統(tǒng)整體測評分析：綜合分析被測系統(tǒng)各個層面的安全控制狀況及系統(tǒng)的整體安全保護能力是否達到其相應等級的保護要求，并給出最終結論；根據上述分析過程和最終結論，并指出系統(tǒng)中存在的主要問題和整改建議。34等級測評的方法人員訪談現場檢查測試驗證等級測評的方法-人員訪談訪談對象主要是：信息安全主管，信息安全管理員，信息系統(tǒng)的網絡安全員，設備安全管理員和用戶訪談工具主要是：管理核查表訪談適用的情況有：了解和明確管理方面的問題；了解信息系統(tǒng)的全局性（包括局部）的非細節(jié)性技術安排問題，一般不涉及到具體的實現細節(jié)措施訪談獲得的證據，一般不作為系統(tǒng)測評判定的主要依據，只作為參考的依

23、據。但是對低級別的系統(tǒng)，有些訪談結果是可以作為測評的依據等級測評的方法-現場檢查現場檢查主要有核查、審查、評審、觀察、對照和分析等檢查對象包括：文檔、記錄、機制、設備等檢查工具主要是：管理和技術核查表檢查人員不直接操作設備，主要在被測人員操作下查看結果和記錄比如：要求打印防火墻的策略，提交檢查等級測評的方法-測試驗證測試驗證須由測試人員自己動手，操作工具設備開展工作測試驗證主要分有：功能、性能測試、攻擊測試、滲透測試等類型測評對象主要包括：安全機制，設備等測試借助的設備主要有：掃描檢測工具，網絡協(xié)議分析儀，攻擊工具，滲透工具集等對技術要求來講，測試的目的是驗證信息系統(tǒng)當前安全機制運行的有效性和

24、安全強度等醫(yī)療行業(yè)安全現狀和測評重點醫(yī)療機構信息化建設特點：1、系統(tǒng)承載業(yè)務具有高度的相似性2、同類系統(tǒng)的安全需求特性和強度趨同3、網絡結構類似4、系統(tǒng)建設互相借鑒，應用系統(tǒng)類型較少，很多單位使用同一廠商開發(fā)的相同應用系統(tǒng)5、技術力量，尤其是安全技術力量缺乏，對相關技術要求和標準不熟悉6、存在的問題和困難具有相通性醫(yī)療行業(yè)安全現狀和測評重點物理環(huán)境未注意保留防盜竊、監(jiān)控報警系統(tǒng)的運行維護檢查記錄缺乏各種設備的安全資質和驗收報告網絡安全未合理劃分vlan網絡邊界未設置合理的訪問控制措施未配備入侵防范和網絡層惡意代碼防范設備主機安全主機數據庫的補丁未完全更新主機和數據庫管理員權限未分離未關閉多余的

25、服務，未配置合理的口令等措施醫(yī)療行業(yè)容易出現的安全現象：40醫(yī)療行業(yè)安全現狀和測評重點應用安全用戶名和密碼以明文形式傳輸未設置雙因素認證方式無抗抵賴功能數據安全無完整性機制無保密性機制關鍵設備無冗余，未異地備份安全管理未建立體系化的安全管理，無詳細運行記錄醫(yī)療行業(yè)容易出現的安全現象：41醫(yī)療行業(yè)安全現狀和測評重點重視局部安全，對總體安全認識不足，對IT規(guī)劃、安全規(guī)劃在信息安全中的重要性認識不足；建設過程中，在物理環(huán)境、網絡、主機、應用、數據及管理各層面均采用了部分安全措施；但往往忽視整體的安全規(guī)劃，在安全運維中經常陷于 “頭痛醫(yī)頭，腳痛醫(yī)腳”疲于奔命的局面；對安全運維、安全服務認識不足，自身技

26、術條件不足情況下，安全運維長期缺位而不注意引入安全服務；認為信息安全只是技術問題，對安全管理認識不足，未能運行有效的安全管理體系，造成制度不到位、責任不明確，出現問題難以查找原因；認為信息安全即網絡安全，對物理、主機、應用、數據安全認識不足，尤其對應用安全認識不足；重視安全產品的采購，忽視安全機制的建立；認為要達到等級保護要求，把該買的設備買夠就行，結果不但造成浪費，而且事與愿違。醫(yī)療行業(yè)容易出現安全認識方面的誤區(qū)：42關于測評機構-對測評機構的要求一、目前的基本要求：達到省級公安網絡監(jiān)察部門備案條件并備案；二、公安部2009年7月開始安排測評機構試點，提出未來規(guī)范測評機構的較高要求：不得從事信息系統(tǒng)安全建設整改，產品開發(fā)、營銷和信息系統(tǒng)集成等可能影響測評“客觀、公正、安全”的經營活動；應依據相關質量體系標準建立、實施和保持適應等級測評工作開展的管理制度體系。具備滿足等級測評工作需要的工具，如漏洞掃描器、協(xié)議分析儀、性能測試儀和滲透測試工具等。等級測評機構應具備文檔化的測評方法（如測評指導書）具有安全保管記錄的能力，所有的測評記錄應保存一定時間。 43關于測評機構深圳市信息安全測評中心單位性質