市医院三级等保建设专业方案模版.docx

《市医院三级等保建设专业方案模版.docx》由会员分享，可在线阅读，更多相关《市医院三级等保建设专业方案模版.docx（50页珍藏版）》请在咨信网上搜索。

1、某市三院医疗信息系统安全三级等保建设方案目录1、某市三院医疗信息系统现状分析41.1拓扑图41.2网站/BS应用现状41.3漏洞扫描51.4边界入侵保护51.5安全配置加固51.6密码账号统一管理61.7数据库审计、行为审计61.8上网行为管理62、某市三院医疗信息系统潜在风险62.1黑客入侵造成的破坏和数据泄露62.2医疗信息系统漏洞问题72.3数据库安全审计问题82.4平台系统安全配置问题82.5平台虚拟化、云化带来的新威胁93、某市三院医疗信息系统安全需求分析103.1医疗信息系统建设安全要求103.2医疗等级保护要求分析113.3系统安全分层需求分析163.4虚拟化、云计算带来的安全问

2、题分析224、医疗信息系统安全保障体系设计254.1安全策略设计254.2安全设计原则264.3等级保护模型274.4系统建设依据284.5遵循的标准和规范295、安全管理体系方案设计295.1组织体系建设建议295.2管理体系建设建议306、安全服务体系方案设计326.1预警通告326.2技术风险评估326.3新上线系统评估336.4渗透测试336.5安全加固336.6虚拟化安全加固服务346.7应急响应357、安全技术体系方案设计357.1物理层安全357.2网络层安全367.3主机层安全407.4应用层安全437.5数据层安全467.6虚拟化、云计算安全解决方案488、平台安全建设方案小

3、结498.1安全产品汇总508.2产品及服务选型531 、某市三院医疗信息系统现实状况分析1.1系统现实状况某市第三人民医院（以下简称某三院）作为三级甲等医院，已经建成全院网络覆盖，医院内网已覆盖行政楼、老病房1/2F、门诊一期、门诊二期和门诊一期中心机房，医院外网和新农合、市社保机构互联。医院内网采取“关键-接入”二层交换架构，行政楼、病房、门诊经过接入交换机连接至中心机房关键交换机。HIS、LIS系统作为三院关键业务系统直接布署在中心机房，系统服务器直接挂载在中心机房关键交换机上。近期三院将在中心机房区域布署一套电子病历系统已完善三院医疗信息系统。在出口方向，医院有两条出口和外网互联，一条

4、经过防火墙完成和新农合、市医保机构互联，另一条经过ISA服务器接入互联网。2 、某市三院医疗信息系统潜在风险2.1黑客入侵造成破坏和数据泄露伴随医疗信息化普及，个人信息逐步以电子健康档案、电子病历和电子处方为载体，其中包含了个人在疾病控制、体检、诊疗、诊疗、医学研究过程中包含到肌体特征、健康情况、遗传基因、病史病历等个人信息。其中个人医疗健康信息秘密处于隐私权关键部位，而保障病人隐私安全是医院和医护人员职责。某市三院医疗信息系统某市三院中心机房聚集了大量病人隐私信息，而这些数据在传输过程中极易被窃取或监听。同时基于电子健康档案和电子病历大量集中存放情况，一旦系统被黑客控制，可能造成病人隐私外泄

5、，数据恶意删除和恶意修改等严重后果。病人隐私信息外泄将会给公民生活、工作和精神方面带来很大负面影响和损失，同时给平台所辖区域造成不良社会影响，严重损害机构公共形象，甚至可能引发法律纠纷。而数据恶意删除和篡改会造成电子健康档案和电子病历丢失和病人信息错误，给医护人员工作造成影响，甚至可能引发医疗事故。其次，伴随便携式数据处理和存放设备广泛应用，因为设备丢失而造成数据泄漏威胁也越来越严重。所以电子健康档案和电子病历数据作为卫生平台某市三院中心机房关键资产，必需采取有效方法以预防物理上丢失和黑客监听、入侵行为造成破坏，确保数据保密性，安全性和可用性。2.2医疗信息系统漏洞问题自计算机技术出现以来，因

6、为技术发展局限、编码错误等种种原因，漏洞无处不在而且已成为直接或间接威胁系统和应用程序脆弱点。操作系统和应用程序漏洞能够直接威胁数据完整性和机密性，流行蠕虫传输通常也依靠和严重安全漏洞，黑客主动攻击也往往离不开对漏洞利用。事实证实，99%以上攻击全部是利用已公布并有修补方法但用户未修补漏洞。某市三院医疗信息系统某市三院中心机房建设包含到大量网络设备，服务器，存放设备，主机等，其中不可避免地存在着可被攻击者利用安全弱点和漏洞，关键表现在操作系统、网络服务、TCP/IP协议、应用程序（如数据库、浏览器等）、网络设备等多个方面。正是这些弱点给蓄意或无意攻击者以可乘之机，一旦系统漏洞利用成功，势必影响

7、到系统稳定、可靠运行，更严重造成系统瘫痪和数据丢失，从而影响平台公众形象。所以能够立即发觉和修补漏洞对于平台某市三院中心机房网络安全有着关键意义。其次，基于某市三院中心机房设备、系统、应用量大情况，经过人工进行漏洞发觉和修补很花费人力和时间，所以有必需借助漏洞扫描设备和补丁服务器机制来实现自动化漏洞扫描和补丁下发。2.3数据库安全审计问题医疗行业信息化建设在带来多种便捷同时也引入了新隐患。伴随病人信息和药品信息数据化，加之内部安全管理制度不够完善，医疗机构内部运维人员能够借助本身职权，利用数据库操作窃取药品统方信息，修改药品库存数据，修改医保报销项目等，来牟取个人私利。其中药品统方行为是医疗行

8、业高度重视问题，其背后包含药品和医用耗材灰色交易严重扰乱医疗行业秩序，败坏医德医风，影响医院公众形象，是医疗机构必需果断阻止和查处行为。其次修改药品库存信息和修改医保报销项目等行为也会给医疗机构和社会造成损失。某市三院医疗信息系统某市三院中心机房聚集两大应用系统（HIS、LIS）和立即建设电子病历数据库包含医疗行业各方面信息，内部人员违规操作可能造成严重社会影响和给医疗机结组成重大损失。所以有必需经过有效手段对数据库多种操作进行审计，正确统计多种操作源、目标、时间、结果等，立即发觉多种业务上违规操作并进行告警和统计，同时提供具体审计统计方便事后进行追查。2.4平台系统安全配置问题伴随公共卫生，

9、医疗服务，医疗监管，综合管理，新农合五大业务应用系统不停发展，医疗信息系统应用不停增加，网络规模日益扩大，其管理、业务支撑系统网络结构也变得越来越复杂，各项系统使用和配置也变得十分复杂，维护和检验成为一项繁重工作。在医疗行业里，伴随各类通信和IT设备采取通用操作系统、通用数据库，及各类设备间越来越多使用IP协议进行通信，其配置安全问题更为凸出。在黑客攻击行为中，利用系统缺省、未修改安全配置攻入系统已屡见不鲜，所以，加强对网元配置安全防护成为关键。其中，关键应用和服务器数量及种类日益增多，一旦发生维护人员误操作，或采取一成不变初始系统设置而忽略了对于安全控制要求，就可能会极大影响系统正常运转。另

10、外，为了维持整个业务系统生命周期信息安全，必需从入网测试、工程验收和运行维护等阶段，设备全生命周期各个阶段加强和落实信息安全要求，也需要有一个方法进行风险控制和管理。3、某市三院医疗信息系统安全需求分析3.1医疗信息系统建设安全要求基于医疗信息系统信息平台可靠安全运行不仅关系到某市三院中心机房本身运行，还关系其它业务部门相关系统运行，所以它网络，主机，存放备份设备，系统软件，应用软件等部分应该含有极高可靠性；同时为保守企业和用户秘密，维护企业和用户正当权益，某市三院中心机房应含有良好安全策略，安全手段，安全环境及安全管理方法。众所周知，信息系统完整安全体系包含以下四个层次，最底层是物理级安全，

11、其包含计算机安全，硬件安全等,其次是网络级安全，关键包含链路冗余，防火墙等等，再次是系统级安全包含数据灾备，病毒防范等，最终是应用级安全包含统一身份认证，统一权限管理等，而贯穿整个体系是安全管理制度和安全标准，以实现非法用户进不来，无权用户看不到，关键内容改不了，数据操作赖不掉。整个平台安全体系以下图：平台安全体系结构图3.2医疗等级保护要求分析医疗机构作为包含国计民生关键组成部分，其安全保障事关社会稳定，有必需根据国家信息安全等级保护要求，全方面实施信息安全等级保护。卫生信息平台关键数据区、应用服务区及系统运维参考公安部、国家保密局、国家密码管理局、国务院信息化办公室联合印发信息安全等级保护

12、管理措施（公通字43号）要求，数据交换服务区参考二级信息安全等级保护要求建设、关键部分参考三级信息安全等级保护要求建设。信息系统名称安全保护等级业务信息安全等级系统服务安全等级某市第三人民医院医疗信息系统3333.2.2等级保护技术要求类别要求三级等保要求处理方案网络安全结构安全网络设备处理能管理和网络带宽冗余；网络拓扑图绘制；子网划分和地址分配；终端和服务器之间建立安全访问路径；边界和关键网段之间隔离；网络拥堵时对关键主机优先保护；依据高峰业务流量选择高端设备，关键交换接入设备采取双机冗余；合理划分子网、VLAN、安全域，网络设备带宽优先级计划。访问控制布署访问控制设备，启用访问控制功效；依

13、据会话状态提供许可/拒绝访问能力，控制粒度为端口级；按访问控制规则进行资源访问控制，粒度到单个用户；限制拨号访问用户数量；网络信息内容过滤，应用层协议命令级控制；会话终止；网络流量数和连接数控制；关键网段防地址欺骗网络边界布署防火墙，制订对应ACL策略安全审计网络设备情况、网络流量、用户行为日志统计；数据分析和报表生成；审计统计保护布署网络安全审计系统边界完整性检验安全准入控制和非法外联监控并进行有效阻断布署终端安全管理系统入侵防范攻击行为检测；攻击日志统计和告警布署入侵检测系统恶意代码防范网络边界病毒查杀；病毒库升级布署入侵保护系统网络设备防护身份判别；管理员登陆地址限制；用户标识唯一；登陆

14、失败处理；判别信息加密；身份判别采取2种或以上判别技术；特权权限分离布署等级保护安全配置核查系统主机安全身份判别操作系统和数据库用户身份判别；登录失败处理；判别信息传输加密；用户唯一性；身份判别采取2种或以上判别技术布署等级保护安全配置核查系统访问控制启用访问控制功效；操作系统和数据库特权用户权限分离；默认账户配置修改；多出过期用户删除；角色权限分配，权限分离和最小权限标准；关键信息敏感标识；强制访问控制布署堡垒机安全审计统计服务器和关键用户端系统用户和数据库用户关键安全相关行为、事件；审计统计保护；审计报表生成；审计进程保护布署堡垒机剩下信息保护判别信息再分配前清除，系统文件、目录、数据库统

15、计再分配前清除操作系统及数据库加固入侵防范操作系统最小安装标准，定时升级；检测对关键服务器入侵行为；关键程序完整性检测和破坏后恢复。布署网络入侵检测系统、终端管理软件，漏洞扫描恶意代码防范安装防恶意代码软件，定时升级；恶意代码软件统一管理；主机和网络防恶意代码软件品牌异构布署终端杀毒软件资源控制终端登录控制；终端超时锁定；单个用户资源限制安全加固应用安全身份判别启用身份判别机制；登录失败处理；身份判别采取2种或以上判别技术布署CA认证系统访问控制启用访问控制机制，控制用户对文件、数据库表等访问；启用访问控制策略；账户最小权限标准和权限制约；关键信息敏感标识；关键信息强制访问控制布署CA认证系统

16、安全审计启用安全审计机制，审计每个用户、系统关键安全事件；审计报表生成布署应用防护系统剩下信息保护判别信息再分配前清除，系统文件、目录、数据库统计再分配前清除操作系统及数据库加固通信完整性应采取密码技术保障信息过程中数据完整性布署PKI体系通信保密性会话初始化验证，通信过程整个报文或会话过程加密布署PKI体系抗抵赖提供数据原发或接收证据布署PKI体系软件容错数据校验功效，故障时能继续提供一部分功效代码审核资源控制会话超时自动结束，限制最大并发连接数，单个账户多重会话限制安全加固数据安全和备份恢复数据完整性能检测到系统管理数据、判别信息和业务数据在传输和存放过程中受到破坏，并采取恢复方法VPN加

17、密，数据库访问控制数据保密性采取加密或其它方法实现系统管理数据、判别信息、关键业务数据传输存放过程保密信息加密备份和恢复关键信息备份恢复，关键网络设备、线路、数据硬件冗余关键信息定时备份，设备冗余3.3系统安全分层需求分析依据基于健康档案区域卫生信息平台建设指南中安全要求部分，并参考等级保护三级技术要求，经过风险分析及信息安全建设情况调研，确定以下安全需求：3.3.1物理层安全需求某市三院中心机房是整个三级医疗信息系统平台关键节点，是系统运行基础，所以必需确保物理环境安全，关键包含以下多个方面：信息基础设备应安置在专用机房，含有良好电磁兼容工作环境，包含防磁、防尘、防水、防火、防静电、防雷保护

18、，抑制和预防电磁泄漏；机房环境应达成国家相关标准；关键设备应有冗余后备系统；含有足够容量UPS后备电源；电源要有良好接地。3.3.2网络层安全需求结构安全： 应确保网络各个部分带宽满足业务高峰期需要； 应在业务终端和业务服务器之间进行路由控制建立安全访问路径； 应避免将关键网段布署在网络边界处且直接连接外部信息系统，关键网段和其它网段之间采取可靠技术隔离手段； 应根据对业务服务关键次序来指定带宽分配优先等级，确保在网络发生拥堵时候优先保护关键主机。访问控制： 应在网络边界布署访问控制设备，启用访问控制功效； 关键网段应采取技术手段预防地址欺骗； 应按用户和系统之间许可访问规则，决定许可或拒绝用

19、户对受控系统进行资源访问，控制粒度为单个用户； 应限制含有拨号访问权限用户数量。安全审计： 应对网络系统中网络设备运行情况、网络流量、用户行为等进行日志统计，并生成审计报表； 应对审计统计进行保护，避免受到未预期删除、修改或覆盖等。边界完整性检验： 应能够对非授权设备私自联到业务网络行为进行检验，正确定出位置，并对其进行有效阻断； 应能够对业务网络用户私自联到外部网络行为进行检验，正确定出位置，并对其进行有效阻断。入侵防范： 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等； 当检测到攻击行为时，统计攻击源IP、攻击类

20、型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警。恶意代码防范： 应在网络边界处对恶意代码进行检测和清除； 应维护恶意代码库升级和检测系统更新。网络设备防护： 应对网络设备管理员登录地址进行限制； 身份判别信息应含有不易被冒用特点，口令应有复杂度要求并定时更换； 应含有登录失败处理功效，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等方法； 当对网络设备进行远程管理时，应采取必需方法预防判别信息在网络传输过程中被窃听； 应实现设备特权用户权限分离。3.3.3主机层安全需求身份判别： 操作系统和数据库系统管理用户身份标识应含有不易被冒用特点，口令应有复杂度要求并定时更换； 应

21、启用登录失败处理功效，可采取结束会话、限制非法登录次数和自动退出等方法； 当对服务器进行远程管理时，应采取必需方法，预防判别信息在网络传输过程中被窃听； 应采取两种或两种以上组合判别技术对管理用户进行身份判别。访问控制： 应启用访问控制功效，依据安全策略控制用户对资源访问； 应依据管理用户角色分配权限，实现管理用户权限分离，仅授予管理用户所需最小权限； 应严格限制默认帐户访问权限，重命名系统默认帐户，修改这些帐户默认口令，立即删除多出、过期帐户，避免共享帐户存在。 应对关键信息资源设置敏感标识； 应依据安全策略严格控制用户对有敏感标识关键信息资源操作。安全审计： 应实现主机系统安全审计，审计范

22、围应覆盖到服务器和关键用户端上每个操作系统用户和数据库用户； 审计内容应包含关键用户行为、系统资源异常使用和关键系统命令使用等系统内关键安全相关事件； 审计统计应包含事件日期、时间、类型、主体标识、客体标识和结果等； 应能够依据统计数据进行分析，并生成审计报表； 应保护审计进程，避免受到未预期中止； 应保护审计统计，避免受到未预期删除、修改或覆盖等。剩下信息保护： 应确保操作系统和数据库系统用户判别信息所在存放空间，被释放或再分配给其它用户前得到完全清除，不管这些信息是存放在硬盘上还是在内存中； 应确保系统内文件、目录和数据库统计等资源所在存放空间，被释放或重新分配给其它用户前得到完全清除。入

23、侵防范： 应能够检测到对关键服务器进行入侵行为，能够统计入侵源IP、攻击类型、攻击目标、攻击时间，并在发生严重入侵事件时提供报警； 应能够对关键程序完整性进行检测，并在检测到完整性受到破坏后含有恢复方法； 操作系统应遵照最小安装标准，仅安装需要组件和应用程序，并经过设置升级服务器等方法保持系统补丁立即得到更新。资源控制： 应依据安全策略设置登录终端操作超时锁定； 应对关键服务器进行监视，包含监视服务器CPU、硬盘、内存、网络等资源使用情况； 应限制单个用户对系统资源最大或最小使用程度； 应能够对系统服务水平降低到预先要求最小值进行检测和报警。3.3.4应用层安全需求（说明：此部分内容需要在应用

24、系统开发和维护过程中给予实现。）身份判别： 应对同一用户采取两种或两种以上组合判别技术实现用户身份判别； 应提供用户身份标识唯一和判别信息复杂度检验功效，确保应用系统中不存在反复用户身份标识，身份判别信息不易被冒用； 应提供登录失败处理功效，可采取结束会话、限制非法登录次数和自动退出等方法； 应启用身份判别、用户身份标识唯一性检验、用户身份判别信息复杂度检验和登录失败处理功效，并依据安全策略配置相关参数。访问控制： 应由授权主体配置访问控制策略，并严格限制默认帐户访问权限； 应含有对关键信息资源设置敏感标识功效； 应依据安全策略严格控制用户对有敏感标识关键信息资源操作。安全审计： 应提供覆盖到

25、每个用户安全审计功效，对应用系统关键安全事件进行审计； 应确保无法单独中止审计进程，无法删除、修改或覆盖审计统计； 审计统计内容最少应包含事件日期、时间、提议者信息、类型、描述和结果等； 应提供对审计统计数据进行统计、查询、分析及生成审计报表功效。剩下信息保护： 应确保用户判别信息所在存放空间被释放或再分配给其它用户前得到完全清除，不管这些信息是存放在硬盘上还是在内存中； 应确保系统内文件、目录和数据库统计等资源所在存放空间被释放或重新分配给其它用户前得到完全清除。通信完整性： 应采取密码技术确保通信过程中数据完整性。通信保密性： 在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验

26、证； 应对通信过程中整个报文或会话过程进行加密。抗抵赖： 应含有在请求情况下为数据原发者或接收者提供数据原发证据功效； 应含有在请求情况下为数据原发者或接收者提供数据接收证据功效。软件容错： 应提供数据有效性检验功效，确保经过人机接口输入或经过通信接口输入数据格式或长度符合系统设定要求； 应提供自动保护功效，当故障发生时自动保护目前全部状态，确保系统能够进行恢复。资源控制： 当应用系统通信双方中一方在一段时间内未作任何响应，另一方应能够自动结束会话； 应能够对系统最大并发会话连接数进行限制； 应能够对单个帐户多重并发会话进行限制； 应能够对一个时间段内可能并发会话连接数进行限制； 应能够对一个

27、访问帐户或一个请求进程占用资源分配最大限额和最小限额； 应能够对系统服务水平降低到预先要求最小值进行检测和报警； 应提供服务优先级设定功效，并在安装后依据安全策略设定访问帐户或请求进程优先级，依据优先级分配系统资源。3.3.5数据及备份安全需求数据完整性： 应能够检测到系统管理数据、判别信息和关键业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必需恢复方法； 应能够检测到系统管理数据、判别信息和关键业务数据在存放过程中完整性受到破坏，并在检测到完整性错误时采取必需恢复方法。数据保密性： 应采取加密或其它有效方法实现系统管理数据、判别信息和关键业务数据传输保密性； 应采取加密或其它

28、保护方法实现系统管理数据、判别信息和关键业务数据存放保密性。备份和恢复： 应提供当地数据备份和恢复功效，完全数据备份最少天天一次，备份介质场外存放； 应提供异地数据备份功效，利用通信网络将关键数据定时批量传送至备用场地； 应采取冗余技术设计网络拓扑结构，避免关键节点存在单点故障； 应提供关键网络设备、通信线路和数据处理系统硬件冗余，确保系统高可用性。3.4虚拟化、云计算带来安全问题分析为了区域卫生平台云计算应用健康发展，就不能忽略对云计算面临各类安全威胁研究和分析，从而制订和建立对应政策、技术体系，应对立即到来云浪潮。3.4.1法规遵从在不一样国家和地域、企业或个人信息需要符合该国家和地域要求

29、法规，但在云计算环境下，用户可能根本无法知道其数据存放位置，更不用说哪个国家或地域了。现在国家层面、行业层面对各类合规性要求，这些合规性要求IT部门必需全方面控制关键信息自主可控性，而云计算依靠虚拟化技术提供服务，数据可能会在某市三院中心机房和物理主机之间移动，以确保负载均衡，假如合规要求必需找出数据正确位置实现可控目标时，公共云应用是一个值得考虑问题。而且全部数据放在公共云上，而且使用共享资源，就极难证实遵从了法规要求，云平台安全等级建设是否符合所服务业务和数据安全等级要求也是要考虑问题。3.4.2关键技术国产化问题面对云计算，我们必需认识到：在中国建设云计算平台，并不能确保我们就能够控制云

30、平台中信息资源，也不能确保我们就是唯一控制者。因为很多技术仍然控制在国外企业手中，大规模云计算平台可能增加了国外控制中国手段，部分经过购置取得自主知识产权而不加以认真研究所谓自主产品，更在很大程度麻痹了国人，这种自主知识产权本质就是买下了推广她人产品权利。应该针对云计算所带来新安全需求进行技术研究和开发，预见到未来技术发展方向，主动探索新形势下可能出现信息安全新问题，在部分领域推出有自己特色云计算平台和云安全服务平台，满足中国信息服务对云计算应用需求和安全需求，实现对整个链条控制和管理。3.4.3大量迅猛涌现Web安全漏洞在云计算安全梯上仅采取传统网络安全技术是远远不够。云计算安全问题还必需考

31、虑比网络安全更为复杂问题，比如应用层面安全。云计算服务推进了InternetWeb化趋势。和传统操作系统、数据库、C/S系统安全漏洞相比，多用户、虚拟化、动态、业务逻辑服务复杂、用户参与等这些Web2.0和云服务特点对网络安全来说意味着巨大挑战，甚至是灾难。3.4.4拒绝服务攻击服务和数据随时可用性本身不仅是一项很关键安全指标，而且其质量确保在一个存在恶意攻击环境里会造成其实施复杂度大大增加。怎样预防以破坏正常应用DDOS攻击是一个很大挑战。因为云平台大规模和高性能，一旦遭受DDOS（抗拒绝服务攻击），云平台服务商是否有能力提供给正确技术手段，使正常应用不受影响，是评价一个云计算服务提供商关键

32、指标。拒绝服务攻击DoS和DDoS不是云服务所特有。不过，在云服务技术环境中，企业中关键关键数据、服务离开了企业网，迁移到了云服务中心。更多应用和集成业务开始依靠互联网。拒绝服务带来后果和破坏将会显著地超出传统企业网环境。3.4.5内部数据泄漏和滥用相对而言，安装在现有内部环境中应用更易于检验，而且我们也拥有了完善检验技术，然而，对安装在外部云计算应用假如没有妥善保护，这些数据可能从外部云计算被非法泄露，而且对其进行检验难度很大。当用户敏感数据在云端处理时候，企业关键数据和业务应用处于云服务提供商IT系统中，用户无法对风险进行直接控制，数据拥有者不能控制，甚至不知道数据存放位置，计算任务可能在

33、多台机器上运行，可能会在多个储存网络备份，也可能会在您不知情时导出。在多用户环境中，云服务提供商极难提供和单独用户环境相同资源隔离等级和相关保障，该数据甚至可能和竞争对手应用和数据保留在相同资源上，怎样确保云服务商本身内部安全管理和职责分离体系、审计保障等？怎样避免云计算环境中多用户共存带来潜在风险？这些全部成为云计算环境下用户最严厉安全顾虑或挑战之一。3.4.6身份管理（身份判定、授权和审计）原先为了安全放在防火墙内数据，现在放在了外部云计算环境中，能够使用简单用户名/密码进行判定，访问单位付费计算资源，对穿插于多种服务中用户账号提供及取消。怎样在多项服务中应用角色/策略管理、多个身份有效管

34、理、身份判定均面临着很大安全挑战。对职员、用户、参与者和工作负载身份判定、授权和审计是云计算安全性未来方向。3.4.7不一样云之间互联互通（可移植性）最为云计算平台用户关注是，应该能够无障、安全、合乎规则地取得完成其工作所需全部计算服务，云计算应该保障平台安全、合规和可移植性。但现在云计算厂商各自未战，还未在业界形成一个统一标准化体系，不管是云平台还是云服务统一标准全部没有形成，这就给云计算产业发展带来了瓶颈，各个企业为了自己云服务发展推出各自平台和服务标准，使得众多云平台和用户利益和长远发展得不到确保，更极大地阻碍着云计算通用性和替换性和软件适合性和继承性发展。为争取国际竞争地位，中国应立即

35、建立云计算行业标准化组织，主动参与国际标准化组织活动，推进云计算国际标准化工作。3.4.8潜在协议纠纷和法律诉讼云服务协议、服务商SLA和IT步骤、安全策略、事件处理和分析等全部可能存在不完善。虚拟化带来物理位置不确定性和国际相关法律法规复杂性全部使得潜在协议纠纷和法律诉讼成为成功利用云服务重大威胁。假如云计算提供商违反了协议，而且包含到安全问题，应该负多大程度法律责任，造成损失又怎样评定，这些问题在法律和政策领域全部还有待解答。4、医疗信息系统安全保障体系设计4.1安全策略设计为应对上述所面临威胁和风险，实现某市三院医疗信息系统安全建设目标，安全建设应遵照以下总体安全策略和基础安全策略：总体

36、安全目标：l 遵照国家相关政策、法规和标准；l 落实等级保护标准，尤其是对不一样类别关键业务单独保护。l 一手抓技术、一手抓管理；管理和技术并重，互为支撑，互为补充，相互协同，形成有效综合预防、追查及应急响应安全保障体系。总体安全策略：l 物理安全策略在现有物理安全方法基础上，从环境、设备、介质、配电故障切换、冗余等方面，完善物理安全保障方法，保障某市三院医疗信息系统免受因上述内容破坏造成服务停止或数据损失。 l 网络安全策略明确等级保护方法；合理划分安全域，确定各安全域物理边界和逻辑边界，明确不一样安全域之间信任关系。在安全域网络边界建立有效访问控制方法。经过安全区域最大程度实施数据源隐藏，

37、结构化和纵深化区域防御预防和抵御多种网络攻击，确保某市三院医疗信息系统各个网络系统连续、稳定、可靠运行。l 系统安全策略对操作系统、数据库及服务系统进行漏洞修补和安全加固，对关键业务服务器建立严格审核机制。最大程度处理由操作系统、数据库系统、服务系统、网络协议漏洞带来安全问题，处理黑客入侵、非法访问、系统缺点、病毒等安全隐患。 l 应用安全策略针对某市三院医疗业务系统安全需求特点，处理服务公布内容更新和审核等方面权限控制、信息保密、数据完整性、责任认定、不可否认性等多个方面建立对应方法。 l 安全管理策略针对某市三院医疗信息系统安全管理需求，在安全管理上需要在完善人员管理、资产管理、站点维护管

38、理、灾难管理、应急响应、安全服务、人才管理等方面机制、制度同时，和管理技术紧密结合，形成一套比较完备某市三院医疗信息系统安全管理保障体系。4.2安全设计标准因为本方案内容包含很多方面，所以进行分析时要本着多层面、多角度标准，从理论到实际，从软件到硬件，从组件到人员，制订具体实施方案和安全策略，避免遗漏。为确保本方案能够在后期顺利推广和实施，绿盟科技将遵照以下标准：合规性标准安全体系建立必需遵照相关法规，不能和现行法规和标准产生任何冲突。关键遵照标准有：l 信息安全技术信息系统安全等级保护基础要求l 卫生部基于健康档案区域卫生信息平台建设指南实用性标准系统安全设计必需和某市三院医疗现实需求相一致

39、，其采取安全方法必需针对突出、亟待处理安全问题。整体性标准安全产品必需能相互配套，并和现有网络和应用软件兼容，从而组成一个完整信息系统。可靠性和安全性标准系统设计要含有较高可靠性和安全性，确保安全方法尽可能小地影响某市三院医疗内部业务系统。高扩展性标准系统设计所选择软硬件产品应含有一定通用性，采取标准技术、结构、系统组件和用户接口，支持全部流行网络标准及协议，便于以后网络规模和业务扩展。优异性标准安全技术应含有一定优异性、前瞻性，以实现整个安全保障体系相对稳定性。可管理性标准确保整个信息系统应含有较高资源利用率并便于管理和维护。4.3等级保护模型为了提升网络安全系统防护能力，某市三院医疗网络安

40、全系统在建设过程中充足考虑到整个系统安全性，将在本期建设中从信息安全管理体系、信息安全服务体系、信息安全技术体系三个方面着手建立统一安全保障体系，力保网络信息安全。在整个系统安全计划和建设过程中，在等级保护指导下，要求以P2DR安全保障模型为基础建设思绪，安全体系将根据事前防护、事中检测、事后审计策略来建设。结合安全管理、安全产品及安全服务等多个层次，保障某市三院医疗信息系统安全。图 1.1 P2DR安全保障模型图安全方法实施不是一个静态过程，它是改变，经过一次安全策略实施后，网络安全风险和相关安全漏洞会降低，在一定时期内，网络安全问题不再很突出，不过，伴随网络应用和网络系统扩展和丰富，相关系

41、统安全问题又会增加，而且，黑客攻击手段改变，更增加了网络安全威胁。这时候，就需要对网络资产和风险进行评定，实施对应安全策略，所以，本期网络安全保障系统建设也是一个循序渐进过程，要求在整体安全策略控制和指导下，综合利用安全防护、检测、响应和其它辅助方法组成了一个完整、动态安全循环，在安全策略指导下确保信息系统安全。4.4系统建设依据l 党中央、国务院相关深化医药卫生体制改革意见；l 国务院医药卫生体制改革近期关键实施方案（）；l 国家卫生部等5部委公布相关公立医院改革试点指导意见；l 卫生部电子病历基础架构和数据标准（试行）；l 卫生部健康档案基础架构和数据标准（试行）；l 卫生部基于健康档案区

42、域卫生信息平台建设指南；l 卫生部基于健康档案区域卫生信息平台建设技术处理方案（试行）；l 卫生部办公厅相关印发基于电子健康档案、电子病历、门诊统筹管理基层医疗卫生信息系统试点项目管理方案通知；l 基于电子健康档案、电子病历、门诊统筹管理基层医疗卫生信息系统试点项目技术方案等。4.5遵照标准和规范l 国家信息化领导小组相关加强信息安全保障工作意见（27号文）l 公通字43号信息安全等级保护管理措施l 信息安全技术信息系统安全等级保护基础要求l 信息安全技术信息安全等级保护定级指南l 信息安全技术信息系统安全等级保护实施指南l GB/T 9387.2-1995 开放系统互连基础参考模型第2部分：

43、安全体系结构l RFC 1825TCP/IP安全体系结构l ISO 10181:1996信息技术开放系统互连开放系统安全框架l GB/T 18237-信息技术开放系统互连通用高层安全l AS/NZS 4360: 1999 风险管理标准l GAO/AIMD-00-33信息安全风险评定l IATF信息保障技术框架5、安全管理体系方案设计依据对某市三院医疗系统安全需求分析，下面针对某市三院医疗信息系统组织和管理体系安全问题提出信息安全管理提议方案。5.1组织体系建设提议5.1.1安全组织建设某市三院医疗信息系统组织体系应实施“统一组织、分散管理”方法，在平台内建立一个独立信息安全部门或以信息中心作为

44、某市三院医疗信息安全管理机构，负责整个平台范围信息安全管理和维护工作。这么在区域平台范围内形成信息安全管理专一工作，从而各级信息技术部门也所以会很好配合安全推行工作。5.1.2安全岗位建设安全岗位是某市三院医疗信息系统安全管理机构依据系统安全需要设定负责某一个或某多个安全事务职位，岗位在系统内部能够是含有垂直领导关系若干层次一个序列，一个人能够负责一个或多个安全岗位，但一个人不得同时兼任安全岗位所对应系统管理员或具体业务岗位。所以岗位并不是一个机构，它由管理机构设定，由人事机构管理。5.1.3人员安全培训安全培训是确保信息系统安全前提。某市三院医疗信息安全培训内容应包含：法律法规培训、内部制度

45、培训、岗位操作培训、普遍安全意识和和岗位相关关键安全意识相结合培训、业务素质和技能技巧培训等。培训对象应包含信息系统相关全部些人员（不仅仅是从事安全管理和业务人员），以提升她们安全意识和安全技术水平。5.2管理体系建设提议除了在某市三院医疗信息系统功效上增加安全技术手段外，安全管理是必需安全保障条件。安全管理建设强调经过管理手段实现管理方法安全保护，关键内容包含安全制度管理、资产安全管理、物理安全管理、技术安全管理和安全风险管理五个部分。对这些方面要求有效实施，能够对上面全部风险进行影响，包含减小、转移甚至避免一些风险。5.2.1安全制度管理安全管理制度是信息系统内部依据某市三院医疗信息系统必

46、需安全需求制订一系列内部规章制度，关键内容包含：安全管理和实施机构行为规范、岗位设定及其操作规范、岗位人员素质要求及其行为规范等。安全制度管理是法律管理形式化、具体化、法规和管理接口，是信息安全得以实现关键确保。5.2.2资产安全管理资产是组成某市三院医疗信息系统基础要素，它安全是整个信息系统安全直接原因，全部安全技术和安全管理方法全部是围绕着资产安全为中心。资产安全管理内容包含信息系统设备安全、软件安全、数据安全和文档安全。5.2.3物理安全管理物理安全管理是保护某市三院医疗信息系统网络设备、设施和其它媒介免遭地震、水灾、火灾等环境事故和人为操作失误或错误及多种计算机犯罪行为造成破坏过程。它关键包含机房安全管理、环境安全管理和物理控制管理等方面内容。5.2.4技术安全管理建设某市三院医疗技术安全管理目标是经过多种管理方法实现对网络、系统、应用生命周期过程管理，做到以下两个方面：有效利用已经有安全技术和专用安全产品；使用现有网络设备、主机和应用本身安全特征进行日常安全管