醫(yī)院等級保護技術方案

信息安全等級保護技術方

案

目錄

1工程項目背景.................................................錯誤侏定義書簽。

2系統(tǒng)分析......................................................錯誤味定義書簽。

3等級保護建設步驟.............................................錯誤味定義書簽。

4方案參考標準.................................................錯誤味定義書簽。

5安全區(qū)域框架.................................................錯誤!未定義書簽。

6安全等級劃分.................................................錯誤味定義書簽。

6.1.1定級步驟............................................錯誤!未定義書簽。

6.1.2定級結果............................................錯誤!未定義書簽。

7安全風險和需求分析...........................................錯誤味定義書簽。

7.1安全技術需求分析..........................................錯誤!未定義書簽。

7.1.1物理安全風險和需求分析.............................錯誤!未定義書簽。

7.1.2計算環(huán)境安全風險和需求分析.........................錯誤!未定義書簽。

7.1.3區(qū)域邊界安全風險和需求分析.........................錯誤!未定義書簽。

7.1.4通信網(wǎng)絡安全風險和需求分析.........................錯誤!未定義書簽。

7.2安全管理需求分析..........................................錯誤!未定義書簽。

8技術體系方案設計.............................................錯誤味定義書簽。

8.1方案設計目標..............................................錯誤!未定義書簽。

8.2方案設計框架..............................................錯誤!未定義書簽。

8.3安全技術體系設計..........................................錯誤!未定義書簽。

8.3.1物理安全設計.......................................錯誤!未定義書簽。

8.3.2計算環(huán)境安全設計...................................錯誤!未定義書簽。

身份判別...............................................錯誤!未定義書簽。

訪問控制...............................................錯誤!未定義書簽。

8.3.23系統(tǒng)安全審計...........................................錯誤!未定義書簽。

83.2.4入侵防范...............................................錯誤!未定義書簽。

83.2.5主機惡意代碼防范.......................................錯誤!未定義書簽。

8.3.2.6軟件容錯..........................................錯誤!未定義書簽。

83.2.7數(shù)據(jù)完整性和保密性.....................................錯誤!未定義書簽。

83.2.8備份和恢復.............................................錯誤!未定義書簽。

83.2.9資源控制...............................................錯誤!未定義書簽。

0客體安全重用......................................錯誤!未定義書簽。

1抗抵賴............................................錯誤!未定義書簽。

8.3.3區(qū)域邊界安全設計..................................錯誤!未定義書簽。

邊界訪問控制...........................................錯誤!未定義書簽。

83.3.2邊界完整性檢驗......................................錯誤!未定義書簽。

邊界入侵防范...........................................錯誤!未定義書簽。

8.33.4邊界安全審計.........................................錯誤!未定義書簽。

8.33.5邊界惡意代碼防范.......................................錯誤!未定義書簽。

8.3.4通信網(wǎng)絡安全設計..................................錯誤!未定義書簽。

網(wǎng)絡結構安全..........................................錯誤!未定義書簽。

83.4.2網(wǎng)絡安全審計..........................................錯誤!未定義書簽。

83.4.3網(wǎng)絡設備防護..........................................錯誤!未定義書簽。

83.4.4通信完整性.............................................錯誤!未定義書簽。

8.345通信保密性.............................................錯誤!未定義書簽。

83.4.6網(wǎng)絡可信接入..........................................錯誤!未定義書簽。

8.3.5安全管理中心設計...................................錯誤!未定義書簽。

8.3.5.1系統(tǒng)管理..............................................錯誤!未定義書簽。

83.5.2審計管理...............................................錯誤!未定義書簽。

8.3.53安全管理...............................................錯誤!未定義書簽。

8.3.6不相同級系統(tǒng)互聯(lián)互通..............................錯誤!未定義書簽。

9安全管理體系設計.............................................錯誤味定義書簽。

10安全運維服務設計.............................................錯誤味定義書簽。

10.1安全掃描................................................錯誤!未定義書簽。

10.2人工檢驗................................................錯誤!未定義書簽。

10.3安全加固................................................錯誤!未定義書簽。

10.3.1步驟................................................錯誤!未定義書簽。

10.3.2內容................................................錯誤!未定義書簽。

10.3.3風險規(guī)避............................................錯誤!未定義書簽。

10.4日志分析................................................錯誤!未定義書簽。

10.4.1步驟................................................錯誤!未定義書簽。

10.4.2內容................................................錯誤!未定義書簽。

10.5補丁管理................................................錯誤!未定義書簽。

10.5.1步驟................................................錯誤!未定義書簽。

10.5.2內容................................................錯誤!未定義書簽。

10.6安全監(jiān)控................................................錯誤!未定義書簽。

10.6.1步驟................................................錯誤!未定義書簽。

10.6.2內容................................................錯誤!未定義書簽。

10.7安全通告................................................錯誤!未定義書簽。

10.8應急響應................................................錯誤!未定義書簽。

10.8.1A侵調查............................................錯誤1未定義書簽。

10.8.2主機、網(wǎng)絡異常響應.................................錯誤!未定義書簽。

10.8.3其它緊急事件........................................錯誤!未定義書簽。

10.8.4響應步驟............................................錯誤!未定義書簽。

10.9安全運維服務用戶價值...................................錯誤!未定義書簽。

11整體配置方案................................................錯誤味定義書簽。

11.1布署拓撲................................................錯誤!未定義書簽。

11.2布署說明................................................錯誤!未定義書簽。

11.3設備列表...........................................錯誤!未定義書簽。

12方案合規(guī)性分析.........................................錯誤味定義書簽。

12.1技術部分...........................................錯誤!未定義書簽。

12.2管理部分...........................................錯誤!未定義書簽。

13附錄：.................................................錯誤味定義書簽。

13.1等級劃分標準.......................................錯誤!未定義書簽。

13.2技術要求組合確定...................................錯誤!未定義書簽。

13.3安全域劃分方法.....................................錯誤!未定義書簽。

1工程項目背景

多年來衛(wèi)生行業(yè)全方面開展信息安全等級保護定級立案、建設整改和等級測

評等工作，XX醫(yī)院關鍵系統(tǒng)根據(jù)等級保護三級標準建設信息系統(tǒng)安全體系，全

方面保護醫(yī)院內網(wǎng)系統(tǒng)和外網(wǎng)系統(tǒng)信息安全。

在進行等級保護安全體系建設時參考以下工作工作標準：

（-）遵照標準，關鍵保護。遵照國家信息安全等級保護相關標準規(guī)范，結

合衛(wèi)生行業(yè)信息系統(tǒng)特點，優(yōu)先保護關鍵衛(wèi)生信息系統(tǒng)，優(yōu)先滿足關鍵信息安全

需求。

（二）行業(yè)指導，屬地管理。衛(wèi)生行業(yè)信息安全等級保護工作實施行業(yè)指導、

屬地管理。地方各級衛(wèi)生行政部門要根據(jù)國家信息安全等級保護制度相關要求，

做好當?shù)赜蛐l(wèi)生信息系統(tǒng)安全等級保護指導和管理工作。衛(wèi)生行業(yè)各單位要根據(jù)

“誰主管、誰負責，誰運行、誰負責”要求，落實信息安全責任。

（三）同時建設，動態(tài)完善。在信息系統(tǒng)計劃設計和建設過程中，同時開展

信息安全等級保護工作。因信息和信息系統(tǒng)業(yè)務類型、應用范圍等條件改變造成

安全需求發(fā)生改變時，應該重新調整信息系統(tǒng)安全保護等級，立即完善安全保障

方法。

2系統(tǒng)分析

XX醫(yī)院網(wǎng)絡結構關鍵分為內網(wǎng)、外網(wǎng)兩大部分。內網(wǎng)和專網(wǎng)連接，不連接

互聯(lián)網(wǎng)，布署有包含HIS、PAS電子病歷三大關鍵業(yè)務系統(tǒng)和其它輔助業(yè)務系統(tǒng)。

外網(wǎng)部分連接互聯(lián)網(wǎng)，布署有網(wǎng)站系統(tǒng)、0A系統(tǒng)等，但外網(wǎng)部分業(yè)務系統(tǒng)和內

網(wǎng)系統(tǒng)有數(shù)據(jù)交換需要。

依據(jù)等級保護安全體系根據(jù)業(yè)務系統(tǒng)分級、分域標準，參考衛(wèi)生部要求，將

內網(wǎng)HIS、PAS電子病歷三大關鍵業(yè)務系統(tǒng)劃分為等級保護三級區(qū)域，其它業(yè)務

劃分為等級保護二級區(qū)域。各區(qū)域按攝影關標準建設安全方法。

醫(yī)院網(wǎng)絡架構上已劃分了內外網(wǎng)，各部分網(wǎng)絡根據(jù)標準獨立建設安全系統(tǒng),

但為確保業(yè)務系統(tǒng)數(shù)據(jù)正常傳輸，同時保持內外網(wǎng)隔離相關要求，提議內外網(wǎng)之

間布署安全隔離交換系統(tǒng)（網(wǎng)閘），實現(xiàn)安全隔離同時進行數(shù)據(jù)交換。

3等級保護建設步驟

清信安提出“按需防御等級化安全體系”是依據(jù)國家信息安全等級保護制度，

依據(jù)系統(tǒng)在不一樣階段需求、業(yè)務特征及應用關鍵，采取等級化安全體系設計方

法，幫助構建一套覆蓋全方面、關鍵突出、節(jié)省成本、連續(xù)運行等級化安全防御

體系。

“等級化”設計方法，是依據(jù)需要保護信息系統(tǒng)確定不一樣安全等級，依據(jù)安

全等級確定不相同級安全目標，形成不相同級安全方法進行保護。等級保護精髓

思想就是“等級化”。等級保護能夠把業(yè)務系統(tǒng)、信息資產(chǎn)、安全邊界等進行“等

級化”，分而治之，從而實現(xiàn)信息安全等級保護“等級保護、適度安全”思想。

整體安全保障體系包含技術和管理兩大部分，其中技術部分依據(jù)《信息系統(tǒng)

安全等級保護基礎要求》分為物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)

安全五個方面進行建設；而管理部分依據(jù)《信息系統(tǒng)安全等級保護基礎要求》則

分為安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管

理五個方面。

整個安全保障體系各部分現(xiàn)有機結合，又相互支撐。之間關系能夠了解為“構

建安全管理機構，制訂完善安全管理制度及安全策略，由相關人員，利用技術工

手段及相關工具，進行系統(tǒng)建設和運行維護?！?/p>

依據(jù)等級化安全保障體系設計思緒，等級保護設計和實施經(jīng)過以下步驟進

行:

1.系統(tǒng)識別和定級：確定保護對象，經(jīng)過分析系統(tǒng)所屬類型、所屬信息類

別、服務范圍和業(yè)務對系統(tǒng)依靠程度確定系統(tǒng)等級。經(jīng)過此步驟充足了

解系統(tǒng)情況，包含系統(tǒng)業(yè)務步驟和功效模塊，和確定系統(tǒng)等級，為下一

步安全域設計、安全保障體系框架設計、安全要求選擇和安全方法選擇

提供依據(jù)。

2.安全域設計：依據(jù)第一步結果，經(jīng)過分析系統(tǒng)業(yè)務步驟、功效模塊，依

據(jù)安全域劃分標準設計系統(tǒng)安全域架構。經(jīng)過安全域設計將系統(tǒng)分解為

多個層次，為下一步安全保障體系框架設計提供基礎框架。

3.確定安全域安全要求：參考國家相關等級保護安全要求，設計不一樣安

全域安全要求。經(jīng)過安全域適用安全等級選擇方法確定系統(tǒng)各區(qū)域等級,

明確各安全域所需采取安全指標。

4.評定現(xiàn)實狀況：依據(jù)各等級安全要求確定各等級評定內容，依據(jù)國家相

關風險評定方法，對系統(tǒng)各層次安全域進行有針對性等級風險評定。并

找出系統(tǒng)安全現(xiàn)實狀況和等級要求差距，形成完整正確按需防御安全需

求。經(jīng)過等級風險評定，能夠明確各層次安全域對應等級安全差距，為

下一步安全技術處理方案設計和安全管理建設提供依據(jù)。

5.安全保障體系方案設計：依據(jù)安全域框架，設計系統(tǒng)各個層次安全保障

體系框架和具體方案。包含：各層次安全保障體系框架形成系統(tǒng)整體安

全保障體系框架；具體安全技術設計、安全管理設計。

6.安全建設：依據(jù)方案設計內容逐步進行安全建設，滿足方案設計做要符

合安全需求，滿足等級保護對應等級基礎要求，實現(xiàn)按需防御。

7.連續(xù)安全運維：經(jīng)過安全預警、安全監(jiān)控、安全加固、安全審計、應急

響應等，從事前、事中、事后三個方面進行安全運行維護，確保系統(tǒng)連

續(xù)安全，滿足連續(xù)性按需防御安全需求。

經(jīng)過如上步驟，系統(tǒng)能夠形成整體等級化安全保障體系，同時依據(jù)安全術建

設和安全管理建設，保障系統(tǒng)整體安全。而應該尤其注意是：等級保護不是一個

項目，它應該是一個不停循環(huán)過程，所以經(jīng)過整個安全項目、安全服務實施，來

確保用戶等級保護建設能夠連續(xù)運行，能夠使整個系統(tǒng)伴隨環(huán)境改變達成連續(xù)安

全。

4方案參考標準

?GB/T21052-信息安全等級保護信息系統(tǒng)物理安全技術要求

?信息安全技術信息系統(tǒng)安全等級保護基礎要求

?信息安全技術信息系統(tǒng)安全保護等級定級指南（報批中）

?信息安全技術信息安全等級保護實施指南（報批中）

?信息安全技術信息系統(tǒng)安全等級保護測評指南

?GB/T20271-信息安全技術信息系統(tǒng)通用安全技術要求

?GB/T20270-信息安全技術網(wǎng)絡基礎安全技術要求

?GB/T20984-信息安全技術信息安全風險評定規(guī)范

?GB/T20269-信息安全技術信息系統(tǒng)安全管理要求

?GB/T20281-信息安全技術防火墻技術要求和測試評價方法

?GB/T20275-信息安全技術入侵檢測系統(tǒng)技術要求和測試評價方法

?GB/T20278-信息安全技術網(wǎng)絡脆弱性掃描產(chǎn)品技術要求

?GB/T20277-信息安全技術網(wǎng)絡脆弱性掃描產(chǎn)品測試評價方法

?GB/T20279-信息安全技術網(wǎng)絡端設備隔離部件技術要求

?GB/T20280-信息安全技術網(wǎng)絡端設備隔離部件測試評價方法

等。

5安全區(qū)域框架

xx醫(yī)院網(wǎng)絡安全建設關鍵內容是將網(wǎng)絡進行全方位安全防護，不是對整個

系統(tǒng)進行同一等級保護，而是針對系統(tǒng)內部不一樣業(yè)務區(qū)域進行不相同級保護。

所以，安全域劃分是進行信息安全等級保護首要步驟。需要經(jīng)過合理劃分網(wǎng)絡安

全域，針對各自特點而采取不一樣技術及管理手段。從而構建一整套有針對性安

防體系。而選擇這些方法關鍵依據(jù)是根據(jù)等級保護相關要求。

安全域是含有相同或相同安全要求和策略IT要素集合，是同一系統(tǒng)內依據(jù)

信息性質、使用主體、安全目標和策略等元素不一樣來劃分不一樣邏輯子網(wǎng)或網(wǎng)

絡，每一個邏輯區(qū)域有相同安全保護需求，含有相同安全訪問控制和邊界控制策

略，區(qū)域間含有相互信任關系，而且相同網(wǎng)絡安全域共享一樣安全策略。

經(jīng)過梳理后XX醫(yī)院網(wǎng)絡信息系統(tǒng)安全區(qū)域劃分以下圖所表示：

6安全等級劃分

6.1.1定級步驟

確定信息系統(tǒng)安全保護等級通常步驟以下：

?確定作為定級對象信息系統(tǒng)；

?確定業(yè)務信息安全受到破壞時所侵害客體；

?依據(jù)不一樣受侵害客體，從多個方面綜合評定業(yè)務信息安全被破壞對客

體侵害程度；

?依據(jù)業(yè)務信息安全等級矩陣表得到業(yè)務信息安全等級；

?確定系統(tǒng)服務安全受到破壞時所侵害客體；

?依據(jù)不一樣受侵害客體，從多個方面綜合評定系統(tǒng)服務安全被破壞對客

體侵害程度；

?依據(jù)系統(tǒng)服務安全等級矩陣表得到系統(tǒng)服務安全等級；

?由業(yè)務信息安全等級和系統(tǒng)服務安全等級較高者確定定級對象安全保護

等級。

上述步驟以下圖步驟所表示。

業(yè)務信息安全等級矩陣表

對對應客體侵害程度

業(yè)務信息安全被破壞時所侵害客體

通常損害嚴重損害尤其嚴重損害

第一級第二級第二級

公民、法人和其它組織正當權益

第二級第三級第四級

社會秩序、公共利益

第三級第四級第五級

國家安全

系統(tǒng)服務安全等級矩陣表

對對應客體侵害程度

系統(tǒng)服務安全被破壞時所侵害客體

通常損害嚴重損害尤其嚴重損害

第一級第二級第二級

公民、法人和其它組織正當權益

第二級第三級第四級

社會秩序、公共利益

第三級第四級第五級

國家安全

6.1.2定級結果

依據(jù)上述定級步弱tXX醫(yī)院各關鍵系統(tǒng)定級結果為：

序號布署環(huán)境系統(tǒng)名稱保護等級定級結果組合

1.內部網(wǎng)絡關鍵系統(tǒng)3S3A3G3

2.內部及外非關鍵系統(tǒng)2S2A2G2

部網(wǎng)絡

7安全風險和需求分析

7.1安全技術需求分析

7.1.1物理安全風險和需求分析

物理安全風險關鍵是指網(wǎng)絡周圍環(huán)境和物理特征引發(fā)網(wǎng)絡設備和線路不可

使用，從而會造成網(wǎng)絡系統(tǒng)不可使用，甚至造成整個網(wǎng)絡癱瘓。它是整個網(wǎng)絡系

統(tǒng)安全前提和基礎，只有確保了物理層可用性，才能使得整個網(wǎng)絡可用性，進而

提升整個網(wǎng)絡抗破壞力。比如：

?機房缺乏控制，人員隨意出入帶來風險；

?網(wǎng)絡設備被盜、被毀壞；

?線路老化或是有意、無意破壞線路；

?設備在非估計情況下發(fā)生故障、停電等；

?自然災難如地震、水災、火災、雷擊等；

?電磁干擾等。

所以，在通盤考慮安全風險時，應優(yōu)先考慮物理安全風險。確保網(wǎng)絡正常運

行前提是將物理層安全風險降到最低或是盡可能考慮在非正常情況下物理層出

現(xiàn)風險問題時應對方案。

7.1.2計算環(huán)境安全風險和需求分析

計算環(huán)境安全關鍵指主機和應用層面安全風險和需求分析，包含：身份判別、

訪問控制、系統(tǒng)審計、入侵防范、惡意代碼防范、軟件容錯、數(shù)據(jù)完整性和保密

性、備份和恢復、資源合理控制、剩下信息保護、抗抵賴等方面。

?身份判別

身份判別包含主機和應用兩個方面。

主機操作系統(tǒng)登錄、數(shù)據(jù)庫登陸和應用系統(tǒng)登錄均必需進行身份驗證。過于

簡單標識符和口令輕易被窮舉攻擊破解。同時非法用戶能夠經(jīng)過網(wǎng)絡進行竊聽，

從而取得管理員權限，能夠對任何資源非法訪問及越權操作。所以必需提升用戶

名/口令復雜度，且預防被網(wǎng)絡竊聽；同時應考慮失敗處理機制。

?訪問控制

訪問控制包含主機和應用兩個方面。

訪問控制關鍵為了確保用戶對主機資源和應用系統(tǒng)資源正當使用。非法用戶

可能企圖假冒正當用戶身份進入系統(tǒng)，低權限正當用戶也可能企圖實施高權限用

戶操作，這些行為將給主機系統(tǒng)和應用系統(tǒng)帶來了很大安全風險。用戶必需擁有

正當用戶標識符，在制訂好訪問控制策略下進行操作，杜絕越權非法操作。

?系統(tǒng)審計

系統(tǒng)審計包含主機審計和應用審計兩個方面。

對于登陸主機后操作行為則需要進行主機審計。對于服務器和關鍵主機需要

進行嚴格行為控制，對用戶行為、使用命令等進行必需統(tǒng)計審計，便于以后分析、

調查、取證，規(guī)范主機使用行為。而對于應用系統(tǒng)一樣提出了應用審計要求，即

對應用系統(tǒng)使用行為進行審計。關鍵審計應用層信息，和業(yè)務系統(tǒng)運轉步驟息息

相關。能夠為安全事件提供足夠信息，和身份認證和訪問控制聯(lián)絡緊密，為相關

事件提供審計統(tǒng)計。

?入侵防范

主機操作系統(tǒng)面臨著各類含有針對性入侵威脅，常見操作系統(tǒng)存在著多種安

全漏洞，而且現(xiàn)在漏洞被發(fā)覺和漏洞被利用之間時間差變得越來越短，這就使得

操作系統(tǒng)本身安全性給整個系統(tǒng)帶來巨大安全風險，所以對于主機操作系統(tǒng)安

裝，使用、維護等提出了需求，防范針對系統(tǒng)入侵行為。

?惡意代碼防范

病毒、蠕蟲等惡意代碼是對計算環(huán)境造成危害最大隱患，目前病毒威脅很嚴

峻，尤其是蠕蟲病毒爆發(fā)，會立即向其它子網(wǎng)快速蔓延，發(fā)動網(wǎng)絡攻擊和數(shù)據(jù)竊

密。大量占據(jù)正常業(yè)務十分有限帶寬，造成網(wǎng)絡性能嚴重下降、服務器瓦解甚至

網(wǎng)絡通信中止，信息損壞或泄漏。嚴重影響正常業(yè)務開展。所以必需布署惡意代

碼防范軟件進行防御。同時保持惡意代碼庫立即更新。

?軟件容錯

軟件容錯關鍵目標是提供足夠冗余信息和算法程序，使系統(tǒng)在實際運行時能

夠立即發(fā)覺程序設計錯誤,采取補救方法，以提升軟件可靠性，確保整個計算機系

統(tǒng)正常運行。

?數(shù)據(jù)安全

關鍵指數(shù)據(jù)完整性和保密性。數(shù)據(jù)是信息資產(chǎn)直接表現(xiàn)。全部方法最終無不

是為了業(yè)務數(shù)據(jù)安全。所以數(shù)據(jù)備份十分關鍵，是必需考慮問題。應采取方法確

保數(shù)據(jù)在傳輸過程中完整性和保密性；保護判別信息保密性

?備份和恢復

數(shù)據(jù)是信息資產(chǎn)直接表現(xiàn)。全部方法最終無不是為了業(yè)務數(shù)據(jù)安全。所以數(shù)

據(jù)備份十分關鍵，是必需考慮問題。對于關鍵數(shù)據(jù)應建立數(shù)據(jù)備份機制，而對于

網(wǎng)絡關鍵設備、線路均需進行冗余配置，備份和恢復是應對突發(fā)事件必需方法。

?資源合理控制

資源合理控制包含主機和應用兩個方面。

主機系統(tǒng)和應用系統(tǒng)資源是有限，不能無限濫用。系統(tǒng)資源必需能夠為正常

見戶提供資源保障。不然會出現(xiàn)資源耗盡、服務質量下降甚至服務中止等后果。

所以對于系統(tǒng)資源進行控制，制訂包含：登陸條件限制、超時鎖定、用戶可用資

源閾值設置等資源控制策略。

?剩下信息保護

對于正常使用中主機操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)等，常常需要對用戶判別信息、

文件、目錄、數(shù)據(jù)庫統(tǒng)計等進行臨時或長久存放，在這些存放資源重新分配前，

假如不對其原使用者信息進行清除，將會引發(fā)元用戶信息泄漏安全風險，所以，

需要確保系統(tǒng)內用戶判別信息文件、目錄和數(shù)據(jù)庫統(tǒng)計等資源所在存放空間，被

釋放或重新分配給其它用戶前得到完全清除

對于動態(tài)管理和使用客體資源，應在這些客體資源重新分配前，對其原使用

者信息進行清除，以確保信息不被泄漏。

?抗抵賴

對于數(shù)據(jù)安全，不僅面臨著機密性和完整性問題，一樣還面臨著抗抵賴性（不

可否認性）問題，應采取技術手段預防用戶否認其數(shù)據(jù)發(fā)送和接收行為，為數(shù)據(jù)

收發(fā)雙方提供證據(jù)。

7.1.3區(qū)域邊界安全風險和需求分析

區(qū)域邊界安全關鍵包含：邊界訪問控制、邊界完整性檢測、邊界入侵防范和

邊界安全審計等方面。

?邊界訪問控制

xx醫(yī)院網(wǎng)絡可劃分為以下邊界：

內部和互聯(lián)網(wǎng)邊界、內部和專網(wǎng)邊界、內網(wǎng)和外網(wǎng)邊界、各安全區(qū)域之間邊

界。

對于各類邊界最基礎安全需求就是訪問控制，對進出安全區(qū)域邊界數(shù)據(jù)信息

進行控制，阻止非授權及越權訪問。

?邊界完整性檢測

邊界完整性如被破壞則全部控制規(guī)則將失去效力，所以需要對內部網(wǎng)絡中出

現(xiàn)內部用戶未經(jīng)過準許私自聯(lián)到外部網(wǎng)絡行為進行檢驗，維護邊界完整性。

?邊界入侵防范

各類網(wǎng)絡攻擊行為既可能來自于大家公認互聯(lián)網(wǎng)等外部網(wǎng)絡，在內部也一樣

存在。經(jīng)過安全方法，要實現(xiàn)主動阻斷針對信息系統(tǒng)多種攻擊，如病毒、木馬、

間諜軟件、可疑代碼、端口掃描、DoS/DDoS等，實現(xiàn)對網(wǎng)絡層和業(yè)務系統(tǒng)安全

防護，保護關鍵信息資產(chǎn)免受攻擊危害。

?邊界安全審計

在安全區(qū)域邊界需要建立必需審計機制，對進出邊界各類網(wǎng)絡行為進行統(tǒng)計

和審計分析，能夠和主機審計、應用審計和網(wǎng)絡審計形成多層次審計系統(tǒng)。并可

經(jīng)過安全管理中心集中管理。

?邊界惡意代碼防范

現(xiàn)今，病毒發(fā)展展現(xiàn)出以下趨勢:病毒和黑客程序相結合、蠕蟲病毒愈加泛

濫，現(xiàn)在計算機病毒傳輸路徑和過去相比已經(jīng)發(fā)生了很大改變，更多以網(wǎng)絡（包

含Internet,廣域網(wǎng)、局域網(wǎng)）形態(tài)進行傳輸，所以為了安全防護手段也需以變

應變。迫切需要網(wǎng)關型產(chǎn)品在網(wǎng)絡層面對病毒給予查殺。

7.1.4通信網(wǎng)絡安全風險和需求分析

通信網(wǎng)絡安全關鍵包含：網(wǎng)絡結構安全、網(wǎng)絡安全審計、網(wǎng)絡設備防護、通

信完整性和保密性等方面。

?網(wǎng)絡結構

網(wǎng)絡結構是否合理直接影響著是否能夠有效承載業(yè)務需要。所以網(wǎng)絡結構需

要含有一定冗余性；帶寬能夠滿足業(yè)務高峰時期數(shù)據(jù)交換需求；并合理劃分網(wǎng)段

和VLANo

?網(wǎng)絡安全審計

因為用戶計算機相關知識水平參差不齊，一旦一些安全意識微弱管理用戶誤

操作，將給信息系統(tǒng)帶來致命破壞。沒有對應審計統(tǒng)計將給事后追查帶來困難。

有必需進行基于網(wǎng)絡行為審計。從而威懾那些心存僥幸、有惡意企圖少部分用戶，

以利于規(guī)范正常網(wǎng)絡應用行為。

?網(wǎng)絡設備防護

因為XX醫(yī)院網(wǎng)絡中將會使用大量網(wǎng)絡設備，如交換機、防火墻、入侵檢測

設備等。這些設備本身安全性也會直接關系到涉密網(wǎng)和多種網(wǎng)絡應用正常運行。

假如發(fā)生網(wǎng)絡設備被不法分子攻擊，將造成設備不能正常運行。愈加嚴重情況是

設備設置被篡改，不法分子輕松取得網(wǎng)絡設備控制權，經(jīng)過網(wǎng)絡設備作為跳板攻

擊服務器，將會造成無法想象后果。比如，交換機口令泄漏、防火墻規(guī)則被篡改、

入侵檢測設備失靈等全部將成為威脅網(wǎng)絡系統(tǒng)正常運行風險原因。

?通信完整性和保密性

因為網(wǎng)絡協(xié)議及文件格式均含有標準、開發(fā)、公開特征，所以數(shù)據(jù)在網(wǎng)上存

放和傳輸過程中，不僅僅面臨信息丟失、信息反復或信息傳送本身錯誤，而且會

遭遇信息攻擊或欺詐行為，造成最終信息收發(fā)差異性。所以，在信息傳輸和存放

過程中，必需要確保信息內容在發(fā)送、接收及保留一致性；并在信息遭受篡改攻

擊情況下，應提供有效覺察和發(fā)覺機制，實現(xiàn)通信完整性。

而數(shù)據(jù)在傳輸過程中，為能夠抵御不良企圖者采取多種攻擊，預防遭到竊取,

應采取加密方法確保數(shù)據(jù)機密性。

?網(wǎng)絡可信接入

對于一個不停發(fā)展網(wǎng)絡而言，為方便辦公，在網(wǎng)絡設計時保留大量接入端口，

這對于隨時隨地快速接入到XX醫(yī)院網(wǎng)絡進行辦公是很便捷，但同時也引入了安

全風險，一旦外來用戶不加阻攔接入到網(wǎng)絡中來，就有可能破壞網(wǎng)絡安全邊界，

使得外來用戶含有對網(wǎng)絡進行破壞條件，由此而引入諸如蠕蟲擴散、文件泄密等

安全問題。所以需要對非法用戶端實現(xiàn)禁入，能監(jiān)控網(wǎng)絡，對于沒有正當認證外

來機器，能夠阻斷其網(wǎng)絡訪問，保護好已經(jīng)建立起來安全環(huán)境。

7.2安全管理需求分析

“三分技術、七分管理”愈加突出是管理層面在安全體系中關鍵性。除了技

術管理方法外，安全管理是保障安全技術手段發(fā)揮具體作用最有效手段，建立健

全安全管理體系不不過國家等級保護中要求，也是作為一個安全體系來講，不可

或缺關鍵組成部分。

安全管理體系依靠于國家相關標準、行業(yè)規(guī)范、國際安全標準等規(guī)范和標準

來指導，形成可操作體系。關鍵包含：

?安全管理制度

?安全管理機構

?人員安全管理

?系統(tǒng)建設管理

?系統(tǒng)運維管理

依據(jù)等級保護要求在上述方面建立一系列管理制度和操作規(guī)范，并明確實

施。

8技術體系方案設計

8.1方案設計目標

三級系統(tǒng)安全保護環(huán)境設計目標是：落實GB17859-1999對三級系統(tǒng)安全保

護要求，在二級安全保護環(huán)境基礎上，經(jīng)過實現(xiàn)基于安全策略模型和標識強制訪

問控制和增強系統(tǒng)審計機制，使得系統(tǒng)含有在統(tǒng)一安全策略管控下，保護敏感資

源能力。

經(jīng)過為滿足物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全五個方面

基礎技術要求進行技術體系建設；為滿足安全管理制度、安全管理機構、人員安

全管理、系統(tǒng)建設管理、系統(tǒng)運維管理五個方面基礎管理要求進行管理體系建設。

使得XX醫(yī)院系統(tǒng)等級保護建設方案最終既能夠滿足等級保護相關要求，又能夠

全方面為XX醫(yī)院系統(tǒng)提供立體、縱深安全保障防御體系，確保信息系統(tǒng)整體安

全保護能力。

8.2方案設計框架

依據(jù)《信息系統(tǒng)安全等級保護基礎要求》，分為技術和管理兩大類要求，具

體以下圖所表示：

本方案將嚴格依據(jù)技術和管理要求進行設計。首先應依據(jù)本級具體基礎要求

設計本級系統(tǒng)保護環(huán)境模型，依據(jù)《信息系統(tǒng)等級保護安全設計技術要求》（注:

還未正式公布），保護環(huán)境根據(jù)安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡和

安全管理中心進行設計，內容涵蓋基礎要求5個方面。同時結合管理要求，形成

以下圖所表示保護環(huán)境模型：

三級系統(tǒng)安全保護環(huán)境建設框架

安全管理平臺「系?曾施］［由齊瞽費］i安全管理安全

安全<________....一.

管理管理

通信網(wǎng)絡安全計算環(huán)境安全區(qū)域邊界安全

安

人

…一身卷鎏前…系

.............J

員

全

統(tǒng)

;網(wǎng)絡結構安全1籟妥荃市于i］

邊界訪問控制安

管

1______________________________I建

全

理

,…又度防寂…設

.................................J

管

制遜卷蚪二

管

「血蕩孤而蔭虹;理

度：邊界完整性檢查!

理

一

:…瀛喻百貶加?.…;

網(wǎng)絡設備防護;一

［一一…取神鋪i邊界入侵防范［

通信完整性I「被鬼免被寫原新桂7

________I?.____________________________J

系

安

備份與恢復:邊界安全審計

全

紿

通信保密性

管資源控制*

理

客體安全重用維

機邊界惡意代碼防范

網(wǎng)絡可信接入:管

構抗抵賴

逑

物理安全：物理選址機房環(huán)境!\機房管理i；設備與介質管理

.........................?-____________JI............................

二級系統(tǒng)安全保護環(huán)境建設框架

安全安全

安全管理平臺系統(tǒng)管理審計管理：

管理---------------------------------------J管理

系

安通信網(wǎng)絡安全計算環(huán)境安全區(qū)域邊界安全

Ai

員

外

i..WOJ..i統(tǒng)

管

如

網(wǎng)絡結構安全建

匚M星愛艇匚口i邊界訪問控制i

理

年

設

制

年

i..XeWffi""""］管

網(wǎng)絡安全審計

督

里

「玉凱蒸熹祀后而危：邊界完整性檢杳理

」

一

網(wǎng)絡設備防護;「酒正帚而而相一一］

!凝柞蓉常j邊界入侵防范

二通艇追二

系

安「數(shù)搪免蔽寫原密正？

統(tǒng)

全

!-……客格寫痰宜…?j

運

管邊界安全審計j

通信保密性

維

理

管

機

理

構

物理選址:!機房環(huán)境!;機房管理:設備與介質管理

一物理安全:1

'---..................J'<_____________________!1_____________________J..............

信息系統(tǒng)安全保護等級由業(yè)務信息安全性等級和系統(tǒng)服務確保性等級較高

者決定，所以，對某一個定級后信息系統(tǒng)安全保護側關鍵能夠有多個組合。對于

3級保護系統(tǒng)，其組合為：(在SIA3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3

選擇)。以下具體方案設計時應將每個項目進行對應組合等級說明。

8.3安全技術體系設計

8.3.1物理安全設計

物理環(huán)境安全策略目標是保護網(wǎng)絡中計算機網(wǎng)絡通信有一個良好電磁兼容

工作環(huán)境，并預防非法用戶進入計算機控制室和多種偷竊、破壞活動發(fā)生。

?機房選址

機房和辦公場地選擇在含有防震、防風和防雨等能力建筑內。機房場地應避

免設在建筑物高層或地下室，和用水設備下層或隔壁。

?機房管理

機房出入口安排專員值守，控制、判別和統(tǒng)計進入人員；

需進入機房來訪人員須經(jīng)過申請和審批步驟，并限制和監(jiān)控其活動范圍。

對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設置物理隔離裝置，在關鍵區(qū)域

前設置交付或安裝等過渡區(qū)域；

關鍵區(qū)域應配置電子門禁系統(tǒng)，控制、判別和統(tǒng)計進入人員。

?機房環(huán)境

合理計劃設備安裝位置，應預留足夠空間作安裝、維護及操作之用。房間裝

修必需使用阻燃材料，耐火等級符合國家相關標準要求。機房門大小應滿足系統(tǒng)

設備安裝時運輸需要。機房墻壁及天花板應進行表面處理，預防塵埃脫落，機房

應安裝防靜電活動地板。

機房安裝防雷和接地線，設置防雷保安器，預