医院信息化系统等级保护设计方案.doc

《医院信息化系统等级保护设计方案.doc》由会员分享，可在线阅读，更多相关《医院信息化系统等级保护设计方案.doc（22页珍藏版）》请在咨信网上搜索。

1、医院信息化系统级别保护设计方案4月目 录1项目背景错误!未定义书签。2方案设计原则错误!未定义书签。3安全级别划分错误!未定义书签。4技术方案设计错误!未定义书签。4.1总体设计错误!未定义书签。4.1.1总体安全技术框架错误!未定义书签。4.1.2安全域划分错误!未定义书签。4.1.3总体部署错误!未定义书签。4.2具体设计错误!未定义书签。4.2.1物理安全设计错误!未定义书签。4.2.2安全计算环境设计错误!未定义书签。4.2.3安全区域边界设计错误!未定义书签。4.2.4安全通信网络设计错误!未定义书签。4.2.5安全管理中心设计错误!未定义书签。5安全管理体系设计错误!未定义书签。5

2、.1管理机构建设错误!未定义书签。5.2完善安全管理制度错误!未定义书签。5.3加强人才队伍建设错误!未定义书签。5.4遵循安全法规原则错误!未定义书签。5.5注重安全管理手段错误!未定义书签。5.6建立应急响应机制错误!未定义书签。6需要增长的设备错误!未定义书签。1 项目背景2 方案设计原则根据国家信息安全保障政策法规和技术原则规定，同步参照有关行业规定，拟定信息安全体系规划和设计时遵循如下原则：3 安全级别划分信息化系统涉及应用服务系统等。信息涉及公文信息、通讯录、文献、日程安排、执法数据等，这些信息由于波及到医疗机构敏感信息，对数据的完整性和机密性规定具有较高需求，一旦遭到破坏或窃取，

3、就会给顾客查询提供错误数据或泄漏敏感信息，影响社会秩序和公共利益。1. 业务系统安全受到破坏时所侵害的客体信息化系统系统一旦遭到破坏或被窃取，所侵害的客体是公民、法人和其他组织的合法权益以及社会秩序、公共利益。2. 对客体的侵害限度业务系统安全受到破坏时对社会秩序、公共利益的侵害限度体现为严重损害，具体体现为业务系统受到破坏或窃取后，会影响医疗机构行使社会管理和公共服务的职能，并对医疗机构形象导致社会不良影响，并对公民、法人和其她组织的合法权益导致损失。3. 业务系统安全级别根据上述分析成果，结合级别保护定级指南，系统安全级别为：业务信息安全被破坏时所侵害的客体对相应客体的侵害限度一般损害严重

4、损害特别严重损害公民、法人和其她组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级4 技术方案设计根据差距分析，拟定整治技术方案的设计原则，建立总体技术框架构造，从业务安全、物理环境、通信网络、计算环境、区域边界、安全管理中心等方面设计贯彻基本技术规定的物理、网络、系统、应用和数据的安全规定的技术路线。4.1 总体设计4.1.1 总体安全技术框架根据国家有关信息安全保护政策，在安全设计框架上，形成 “一种中心”保障下的“三重纵深防御防护体系”架构（一种中心是指安全管理中心，三层纵深防御体系则由安全计算环境、安全区域边界以及安全通信网络构成）。在安全物

5、理基本环境上，进一步强调了管理中心、计算环境、区域边界及网络传播的可信性，使得其在整个生命周期中都建立有完整的信任链，保证它们始终都在安全管理中心的统一管控下有序地运营，从而保证了平台的安全性不会遭受破坏，如下图所示：图 1 级别保护总体安全技术框架物理安全是支撑信息系统安全运营的基本保障设施的安全，是整个信息系统安全的基本，也是信息系统最基本的安全基本。安全计算环境是对平台的信息存储与解决进行安全保护的部件。安全计算环境由平台中完毕信息存储与解决的计算机系统硬件和系统软件以及外部设备及其联接部件构成，也可以是单一的计算机系统。安全计算环保涉及主机系统（操作系统和数据库系统）和应用系统，以及主

6、机系统和应用系统的备份与恢复。安全区域边界是对平台的安全计算环境的边界，以及计算环境与通信网络之间实现连接功能进行安全保护的部件。安全区域边界保护重要是指对计算环境以及进出计算环境的信息进行保护，以及边界设备的备份与恢复。安全通信网络是对平台安全计算环境之间进行信息传播实行安全保护的部件。安全通信网络保护重要指对数据通信的保护及通信设备的备份与恢复。安全管理中心对平台的安全方略及计算环境、区域边界和通信网络上的安全机制实行统一管理的平台，又指各类安全保护系统的管理中心构成一种综合性的管理中心。安全技术方案设计涉及各级系统安全保护环境的设计及其安全互联的设计，各级系统安全保护环境由相应级别的安全

7、计算环境、安全区域边界、安全通信网络和安全管理中心构成。平台安全互联由安全互联部件和跨系统安全管理中心构成。4.1.2 安全域划分安全域是指同一系统内根据信息的性质、使用主体、安全目的和方略等元素的不同来划分的不同逻辑子网或网络，每一种逻辑区域有相似的安全保护需求，具有相似的安全访问控制和边界控制方略，区域间具有互相信任关系，并且相似的网络安全域共享同样的安全方略。本次建设中，医疗HIS计算机网络安全域的划分不能单纯从安全角度考虑，而是应当以业务角度为主，辅以安全角度，并充足参照既有网络构造和管理现状，才干以较小的代价完毕安全域划分和网络梳理，而又能保障其安全性。综上所述，我们将根据下述的原则

8、完毕安全域的划分：l 根据系统服务划分 对资源信息访问控制； 对与其有关的信息访问控制； 对其他资源的访问控制；l 按系统功能类型划分根据功能类型或提供的服务类型划分子系统，划分时除了考虑到对顾客提供设计服务的系统、管理系统等外，还应考虑到对前两类系统提供承载、支撑和管理作用的支持系统。l 按照网络区域划分根据资源使用状况及应用系统地理上分布的状况，在资源访问控制、管理模式等存在较大差别，因此可按照信息系统运营所在的网络区域进行子系统划分。l 安全规定相似性原则在信息安全的三个基本属性方面，同一区域内的信息资产应具有相似的安全性规定、完整性规定和可用性规定。根据上述安全域的划分规则，医疗HIS

9、整体网络可以划分出如下几大部分区域：4.1.3 总体部署4.2 具体设计4.2.1 物理安全设计4.2.1.1 物理位置的选择中心机房的物理位置按如下规定进行选择：l 在具有防震、防风和防雨等能力的建筑内；l 避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。4.2.1.2 物理访问控制中心机房的物理访问控制应按如下措施建设：l 机房出入口安排专人值守并配备电子门禁系统，控制、鉴别和记录进入的人员；l 对进入机房的来访人员应通过申请和审批流程，并限制和监控其活动范畴；l 对机房划分区域进行管理，区域和区域之间设立物理隔离装置，在重要区域前设立交付或安装等过渡区域；l 重要区域应配备第二道

10、电子门禁系统，控制、鉴别和记录进入的人员。4.2.1.3 防盗窃和防破坏中心机房的防盗和防破坏应按如下措施建设：n 将重要设备放置在机房内；n 将设备或重要部件进行固定，并设立明显的不易除去的标记；n 将通信线缆铺设在隐蔽处，可铺设在地下或管道中；n 对介质分类标记，存储在介质库或档案室中；n 运用光、电等技术设立机房防盗报警系统；n 对机房设立监控报警系统。4.2.1.4 防雷击中心机房防雷按如下措施建设：n 机房所在的建筑安装避雷装置。n 机房内设立防雷保安器，避免感应雷；n 机房设立交流电源地线。4.2.1.5 防火中心机房防火按如下措施建设：n 机房安装火灾自动消防系统，可以自动检测火

11、情、自动报警，并自动灭火；n 机房及有关的工作房间和辅助房采用品有耐火级别的建筑材料；n 机房采用区域隔离防火措施，将重要设备与其她设备隔离开。4.2.1.6 防水和防潮中心机房防火和防潮按如下措施建设：n 水管安装，不得穿过机房屋顶和活动地板下；n 采用措施避免雨水通过机房窗户、屋顶和墙壁渗入；n 采用措施避免机房内水蒸气结露和地下积水的转移与渗入；n 安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。4.2.1.7 防静电中心机房防静电按如下措施建设：n 所有设备采用接地防静电措施；n 机房采用防静电地板；n 有条件的状况下，采用静电消除器等装置，减少静电的产生。4.2.1.8 温湿

12、度控制中心机房温湿度按如下措施建设：n 在机房安装温湿度自动调节设备，使机房温、湿度的变化在设备运营所容许的范畴之内。4.2.1.9 电力供应中心机房电力供应按如下措施建设：n 在机房供电线路上配备稳压器和过电压防护设备；n 安装UPS系统，提供不不不小于1小时的供电规定；n 设立冗余或并行的电力电缆线路为计算机系统供电；4.2.1.10 电磁防护中心机房电磁防护按如下措施建设：n 采用接地方式避免外界电磁干扰和设备寄生耦合干扰；n 电源线和通信线缆应隔离铺设，避免互相干扰；n 对保密性规定较高的服务器，放置屏蔽机柜和屏蔽室内。4.2.2 安全计算环境设计4.2.2.1 顾客身份辨认根据国家政

13、策在应用安全面的规定，应对波及接触移动政务业务敏感信息的顾客群体（如下简称敏感顾客），采用满足规定的数字证书身份认证机制，具体安全保障措施如下：l 基于数字证书和PIN码的多因子身份鉴别机制基于PKI技术体系的数字证书认证机制通过将数字证书与顾客的真实身份进行唯一绑定，可满足三级安全等保规定实现鉴别信息不可被重用和被冒用，从而可保证系统中的顾客身份不可假冒，实现了强身份认证；同步，数字证书的使用通过结合PIN码保护机制，满足了三级安全等保中有关“应对同一顾客采用两种或两种以上组合的鉴别技术实现顾客身份鉴别”的规定。因此，敏感顾客必须持有其数字证书才干进入管理平台进行有关的业务操作，从而从应用访

14、问源头上避免了非法顾客的非法登录，保证了进入移动政务平台的每一位顾客身份都是合法的。同步，数字证书是顾客登录系统的身份凭证，应避免被其他非法顾客所使用。因此，根据顾客终端设备为手持设备或便携设备，应采用基于SD、SIM卡的PIN码保护机制，实现对数字证书的安全存储和安全使用。注明：SD、SIM卡内部集成多种密码算法，多种运算直接可以在其内部封闭的环境下进行；同步，存储在其内部的顾客私钥无法导出和复制，且通过带有PIN保护，能有效抵御蛮力尝试。袭击者如果想冒充敏感顾客的身份进入医疗HIS，不仅需要窃取到顾客的SD、SIM卡，还需要懂得保护口令。因此，大大提高了认证的安全强度，也使得身份冒充变得更

15、加困难。l 部署安全中间件实现对登录顾客进行身份标记和鉴别根据第三级安全等保中有关“应提供专用的登录控制模块对登录顾客进行身份标记和鉴别”的规定，应在顾客终端和服务器端部署安全中间件，通过顾客终端和应用服务器两端的安全组件和安全控件互相验证各自证书，确认各自身份的真实性。客户端中间件应可以内嵌到Web页面中，也可以被专用Client程序调用，对顾客的使用应当是透明的；服务器端中间件部署在应用服务器上，接受并解决由客户端发送过来的安全认证、数据加解密和签名验证等系列安全解决祈求，为应用系统提供安全保护。安全中间件应面向业务应用提供如下功能： 数字签名：为应用系统提供重要业务数据及核心操作行为的数

16、字签名，应用系统通过这些数字签名记录，在发生纠纷时对数字签名进行验证，真正实现重要业务数据和核心操作的完整性和不可抵赖性； 数字证书解析：对数字证书域进行解析，将解析后的证书内容，如证书序列号、顾客身份证号码、单位组织机构代码提交应用系统供应用系统使用； 数字信封：提供数字信封加密机制，提高数据加密效率和加密强度； 密钥分割：采用门限算法，可以将加密密钥分割成若干份提供应多人保管，当需要调取密钥时，根据预先商定的密钥持有方略在多人在场状况下将完毕密钥的重新组装得到原有密钥。 时间戳功能：通过获取原则时间源信息，对原则时间进行签名，提供具有法律效力的时间戳服务。 服务端证书管理功能：在应用服务器

17、上提供B/S方式的证书管理工具，顾客可以使用该工具很以便的配备和管理服务器证书。 XML签名：实现了通过扩展标记语言（XML）来创立、验证和管理数字签名。l 软件完整性保护采用代码签名证书对原始发布的软件进行完整性保护基于手机服务的应用系统普遍采用C/S架构，终端顾客运营手机应用程序软件访问应用系统，存在客户端软件被仿冒和篡改的风险。公务员顾客使用移动终端访问医疗HIS解决移动办公、移动执法等业务时，如果运营仿冒的程序软件，其业务中的信息数据将面临被窃取、篡改的危险。因此，建议对北京医疗HIS的终端应用程序软件签发代码签名证书，防备软件被仿冒和篡改的风险，使顾客免遭病毒和黑客程序的侵扰，为软件

18、的完整性提供可靠的保障。4.2.2.2 歹意代码防备对各服务器平台部署网络防病毒系统，实现对计算环境内歹意代码检测与阻杀，定级对防病毒系统病毒库特性码进行升级，保持最新的歹意代码检测库。4.2.2.3 WEB应用系统防护部署入侵防御系统或WEB防火墙实现对WEB应用程序安全保护。由于大部分服务系统都是采用WEB方式向外界提供服务，而由于目前针对WEB服务的袭击除了运用其IE漏洞、数据库漏洞、操作系统漏洞外，还运用编程语言程序设计漏洞，如SQL注入袭击是最常用的WEB应用袭击。目前大部分安全防护都是针相应用层如下的袭击，而相应用层本层的防护甚少，因此采用入侵防御系统或WEB防火墙从应用层上对WE

19、B服务提供防护。入侵防御系统或WEB防火墙采用专用入侵异常检测技术，对WEB应用实行全面、深度防御，可以有效辨认、制止日益盛行的WEB应用黑客袭击（如SQL注入、钓鱼袭击、表单绕过、缓冲区溢出、CGI扫描、目录遍历、命令注入、Cookie 注入、跨站脚本(XSS)、敏感信息泄露 、歹意代码、错误配备、隐藏字段、会话劫持、参数篡改、缓冲区溢出、应用层回绝服务、弱口令等。网页防篡改系统实现避免WEB应用程序URL盗链以及WEB应用程序非法篡改。4.2.2.4 可用性与数据安全为提高医疗HIS高可用性，应用系统服务器应采集群方式进行部署，实现应用服务的高可用性和负载。为了保障应用系统数据安全，对核心

20、数据应采用密码机相应用数据进行加密存储。同步采用数据备份软件和磁带机对数据库数据进行备份。4.2.3 安全区域边界设计4.2.3.1 防火墙在网络边界部署防火墙系统实现网络及应用的访问控制机制。防火墙采用基于连接状态检测的包过滤模块，从系统内核层对网络数据进行分析和解决，将属于同一连接的所有数据包作为一种整体的数据流看待，同一连接只在第一种包到来时检查规则一次，后续包则只需要检查其连接状态，系统内部高效维护了一张连接状态表。对于基于UDP合同、ICMP这种无连接状态的合同解决时，会为其建立虚拟的连接状态表，因此同样可以对连接过程状态进行监控。防火墙通过规则表与连接状态表的共同配合，大大地提高了

21、系统的性能和安全性。防火墙的包过滤控制方略细致灵活，不仅可以对数据包的进/出网络接口、合同（TCP、UDP、ICMP、以及其她非IP合同）、源IP、目的IP、源端口、目的端口、IP选项等进行控制，还可采用基于时间、顾客以及服务（群组）的控制方略。防火墙能极大地提高一种内部网络的安全性，并通过过滤不安全的服务而减少风险。由于只有通过精心选择的应用合同才干通过防火墙，因此网络环境变得更安全。如防火墙可以严禁诸如众所周知的不安全的NFS合同进出受保护网络，这样外部的袭击者就不也许运用这些脆弱的合同来袭击内部网络。防火墙同步可以保护网络免受基于路由的袭击，如IP选项中的源路由袭击和ICMP重定向中的重

22、定向途径。防火墙可以回绝所有以上类型袭击的报文并告知防火墙管理员。如果所有的访问都通过防火墙，那么，防火墙就能记录下这些访问并作出日记记录，同步也能提供网络使用状况的记录数据。当发生可疑动作时，防火墙能进行合适的报警，并提供网络与否受到监测和袭击的具体信息。此外，收集一种网络的使用和误用状况也是非常重要的。一方面的理由是可以清晰防火墙与否可以抵挡袭击者的探测和袭击，并且清晰防火墙的控制与否充足。而网络使用记录对网络需求分析和威胁分析等而言也是非常重要的。在如下区域边界部署防火墙，实既有效的安全边界划分和访问控制：l 在运营商接入边界各部署防火墙；l 在LNS接入域与医疗HIS之间部署防火墙l

23、在平台互联网出口出部署防火墙l 在平台的出口和外网出口处部署防火墙4.2.3.2 异常流量管理在与外部网络通信时，对网络边界的各类袭击，其中歹意流量袭击是最重要的方式之一，通过部署抗系统，实现对SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及连接耗尽这些常用的DOS/DDOS袭击行为可以有效辨认，并通过集成的机制实时对这些袭击流量进行阻断。异常流量管理系统的实时流量分析器提供了网络、应用以及IP地址的实时流量采集、分析和呈现功能，顾客可以通过IP地址( 顾客)、应用、通道、带宽

24、等方式直观的查看整个网络中带宽的具体使用状况。它是IT管理员优化网络带宽、解决带宽歹意使用的有力的管理工具，为后续的带宽优化与管控、网络规划提供科学的根据。基于系统内嵌的DPI智能分类引擎，系统可以探测和跟踪动态端口的分派，并通过比对合同的特性库，可以辨认变动端口的会话流，并可以对使用同一端口的不同合同进行自动辨认，实现网络流量的全面可视化。顾客可以自定义应用的特性码，避免产生不明流量，清理非法数据包及IP碎片，输出符合TCP/IP合同的数据包。4.2.3.3 入侵防御在核心互换机与服务域之间部署入侵防御系统，实现对各类入侵行为进行检测与阻断。入侵防御系统可以辨认多种L2L7层的网络合同和应用

25、软件，涵盖了目前主流的多种应用，涉及P2P、VoIP、IM( 即时通讯)、视频/流媒体、网络游戏、炒股软件、公司内部应用、网络管理合同、安全合同等，对边界对确认的入侵行为进行检测并阻断，避免歹意袭击行为通过边界进入到内部网络，破坏网络边界的完整性。网络入侵防御系统能通过对监测网络的高速报文捕获，进行进一步合同分析，结合模式匹配、记录以及行为关联分析，可以对多种类型的事件和流量、原始报文进行全面进一步的监测。通过预设的方略条件自动执行对网络中的行为事件的响应，重要的几种响应方式：告警，日记，阻断，自定义响应方式。4.2.3.4 负载均衡考虑大量顾客同步访问医疗HIS时，将面临大流量合法顾客的访问

26、，会导致应用服务性能受到很大挑战，很容易因合法顾客导致相应用服务的回绝服务袭击，因此，针相应用系统采用网络负载均衡机制，实现对合法顾客流量访问均衡分担，避免大流量合法顾客访问导致应用服务宕机。4.2.4 安全通信网络设计4.2.4.1 安全接入为保障外部网络顾客安全接入到医疗HIS，采用基于密码技术的机制实现接入顾客的安全身份认证、授权控制、数据传播的完整性和保密性保护。SSL VPN系统采用SSL安全合同的隧道封装模式，采用国家密码主管部门审批的专用算法SM1等手段来保证广域网传播的完整性，运用密码技术保证传播数据内容的完整性，避免篡改传播数据或被破坏。SSL VPN网关可以满足不同顾客的这

27、种安全需求，支持多种不同强度的身份认证方式，如顾客名+口令、RADIUS、AD、LDAP、USB Key、证书、证书+口令、双因子认证等。合用于丰富的终端及操作系统，还涉及某些高品位的PDA、智能手机、3G手机。操作系统方面不仅支持 Windows /XP/Vista等通用的PC平台，还支持顾客使用Windows Mobile平台接入，并且在Windows Mobile平台上可以提供任意的基于IP的访问，也支持非Windows的操作平台的远程接入。这种支持多平台特性为顾客提供了以便的访问特性，极大地满足顾客的需要。SSL VPN网关支持双机热备，可以提供主从，主主两种业务模式，并且其HA功能可

28、以在不同的型号之间实现。SSL VPN网关所使用的基于角色的访问控制便于管理员制定灵活的控制规则。通过角色将系统的访问顾客同系统保护资源联系起来，既直观，并且在访问控制方略发生变化的时候不必为每一种资源或者每一种顾客修改权限；只需要修改某一种服务/角色/顾客的属性。SSL VPN网关同步支持对终端环境的安全检查。4.2.4.2 虚拟专用网络虚拟专用网（Virtual Private Network）技术是指采用隧道技术以及加密、身份认证等措施，在公众网络上构建专用网络的技术，数据通过安全的“加密管道”在公众网络中传播。VPN技术实现了内部网信息在公众信息网中的传播，就犹如在茫茫的广域网中为顾客

29、拉出一条专线。对于顾客来讲，公众网络起到了“虚拟专用”的效果。通过VPN，网络对每个使用者也是专用的。也就是说，VPN根据使用者的身份和权限，直接将使用者接入她所应当接触的信息中。因此VPN对于每个顾客，也是“专用”的。目前构建虚拟专用网的国际原则重要有IPSec、SSL、SOCKS、PPTP、L2TP等合同。本方案中采用的是国际上使用最广泛的IPSEC合同。IPSec提供的安全服务涉及：l 保密性IPSec在传播数据包之前将其加密以保证数据的保密性l 完整性IPSec在目的地要验证数据包，以保证该数据包任传播过程中没有被修改或替代l 真实性IPSec端要验证所有受IPSec保护的数据包l 防

30、重放IPSec避免了数据包被捕获并重新投放到网上，即目的地会回绝老的或反复的数据包，它通过报文的序列号实现。4.2.4.3 网络安全审计在网络环境中部署网络安全审计系统实现各类顾客相应用系统、数据库及网络访问行为进行安全审计，以便发现违规行为进行安全审计及事后追踪。4.2.4.4 入侵检测网络安全防护不仅需要防外，还需要从内部进行防护。入侵行为除了来自网络边界外，同步也需要对网络内的合法顾客的入侵行为进行检测，因此，部署入侵检测系统实现对内部网络的入侵行为进行检测与报警。入侵检测系统通过对监测网络的高速报文捕获，进行进一步合同分析，结合模式匹配、记录以及行为关联分析，可以对多种类型的事件和流量

31、、原始报文进行全面进一步的监测。通过预设的方略条件自动执行对网络中的行为事件的响应，重要的几种响应方式：告警，日记，自定义响应方式。4.2.5 安全管理中心设计安全管理中心也许由一种或几种安全系统的管理中心共同构成，各安全系统都实现三权分离管理。4.2.5.1 系统管理应通过系统管理员对系统的资源和运营进行配备、控制和管理，涉及：顾客身份管理，系统资源配备，系统加载和启动，系统运营的异常解决，以及支持管理本地和/或异地劫难备份与恢复等；应对系统管理员进行严格的身份鉴别，只容许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计。4.2.5.2 安全管理应通过安全管理员对系统中的主体

32、、客体进行统一标记，进行系统安全监测，并为安全计算环境、安全区域边界、安全通信网络配备统一的安全方略；应对安全管理员进行严格的身份鉴别，并只容许其通过特定的命令或操作界面进行安全管理操作，并进行审计。安全管理设备应能过对安全设备进行统一的方略下发，使得各安全产品共同一种完整的安全防御体系。4.2.5.3 审计管理应通过安全审计员对分布在系统各个构成部分的安全审计机制进行集中管理，涉及：根据安全审计方略对审计记录进行分类；提供准时间段启动和关闭相应类型的安全审计机制；对各类审计记录进行存储、管理和查询等；对审计记录进行分析，并根据分析成果进行解决；对安全审计员进行严格的身份鉴别，并只容许其通过特

33、定的命令或操作界面进行安全审计操作。5 安全管理体系设计仅有安全技术防护，而无严格的安全管理相配合，是难以保障网络系统运营安全的。由于诸多的不安全因素恰恰反映在组织管理和人员的使用方面，这是计算机网络安全必须考虑和高度注重的基本问题。严格的安全管理制度，明确的安全职责划分，合理的人员角色定义，完备的应急响应机制，都可以在很大限度上减少安全隐患。因此，医疗HIS的安全建设、运营、维护、管理都要注重安全管理，严格按制度进行办事，严格按制度办事，明确责任权力，规范操作，加强人员、设备的管理以及人员的培训，提高安全管理水平。医疗HIS安全管理模型如下图所示：5.1 管理机构建设医疗HIS安全事关医疗机

34、构重要政务的解决和医疗机构形象以及生命安全，需要从战略高度充足结识安全防护的重要性和急切性。因此，需要在既有组织设立的基本上，进一步明确安全管理的有关组织、机构和职责，建立集中统一、分工协作、各司其职的安全管理责任机制。 成立经安全领导小组，负责医疗HIS建设和运营维护过程中有关安全事务的组织协调工作。 健全安全责任制，进一步明确各部门、单位的安全职责，涉及系统运营、维护、资产管理等责任部门，并贯彻各项安全工作的具体负责人。 按最小特权原则和职责分离原则，配备系统管理员、安全管理员、安全审计员，分工明确，责任到人。 建立定期安全检查、协调机制，及时掌握医疗HIS的安全状态和安全管理制度执行状况

35、。5.2 完善安全管理制度为保证医疗HIS系统正常运营，必须一方面建立、健全一套与之相应的安全管理制度，需要制定和完善的安全管理制度涉及但不限于如下制度规范： 信息安全管理规范：明确安全目的、安全原则、管理组织、职责和人员、机房、设备、软件、信息介质、技术文档、安全审计、应急解决等方面的总的管理规定。 人员管理有关制度：明确安全管理人员录取、培训、调离、奖惩等方面的具体规定和各类管理人员的具体职责。 机房管理有关制度：明确机房管理、机房出入、设备出入、机房值班、平常维护、定期维护、故障解决、电源管理、消防管理、信息保密等方面的具体管理规定。 设备管理有关制度：明确设备购买、使用、维修等方面的具

36、体管理规定。 软件管理有关制度：明确软件采购、测试、安装、登记、保管、使用、维护、防病毒等方面的具体管理规定。 信息介质管理有关制度：明确各类信息介质的采购、登记、借用、复制、销毁、储存等方面的具体管理规定。 技术文档管理有关制度：明确技术文档归档、借阅、复制、备份、销毁等方面的具体管理规定。 安全审计管理有关制度：明确安全审计内容、周期、审计流程以及日记保存时间、解决等方面的具体管理规定。 应急解决管理有关制度：明确解决各类信息安全紧急事件的应急组织、人员、响应流程、解决环节等。5.3 加强人才队伍建设由于信息安全的复杂性、专业性、特殊性，医疗HIS有关单位需要注重网络安全人员的培养、使用和

37、管理。在人才队伍建设方面，应采用如下措施： 录取一定数量的责任心强、守纪律、懂技术的安全人员，同步加强安全技术交流，定期对系统管理员、安全管理员、审计管理员进行专业的安全培训，使其掌握计算机安全的高档知识，理解黑客使用的流行手段，有能力对网络袭击采用必要的防备措施，尽快形成一支高度自觉、遵纪守法的安全技术和管理队伍。 加强对主管安全工作负责人的安全管理培训，使其掌握和理解信息安全目的、安全管理规则、平常安全检查程序，以及安全方略、管理制度的制定。 加强对业务系统操作、使用人员的培训，上岗前一定要进行有关培训，使其理解自己应负的安全职责，熟悉有关的安全管理制度和安全操作规程，强化安全意识。 充足

38、发挥信息安全领域专家的作用，聘任安全技术专家，成立安全专家技术小组，负责安全征询、重大问题的决策等。5.4 遵循安全法规原则安全法规原则是约束、指引和规范信息安全建设，保证互联互通、业务协调、信息共享所必须遵守的法律、法规和技术原则规范。医疗HIS安全建设一方面要遵循国家及的安全法规、原则，另一方面要结合医疗HIS自身的发展规定，建立自身安全规范、规定。5.5 注重安全管理手段安全管理手段是实行安全方略、安全管理制度的技术保障，充足运用和集成有关的安全管理技术能有效地提高安全管理的自动化能力，减轻管理人员的工作承当，减少人为失误带来的安全隐患。目前，网管系统、操作系统、数据库系统和所有安全产品

39、均提供了有关的安全管理功能，可基本上实现故障管理、配备管理、性能管理，可基本实现安全管理的智能化、程序化、自动化。但是，对这些安全管理手段不注重，不常常加以运用，网络系统安全是无法得到保证的。因此，要对安全管理手段予以高度注重，充足发挥安全管理手段的作用，常常运用有关安全管理手段，检查网络安全状态，保证安全措施得到实现以及实现的安全，特别是常常对产品和系统日记进行审计分析，可以及时发现也许的安全隐患。5.6 建立应急响应机制由于多种不拟定的复杂因素诸多，医疗HIS也许会面临许多突发事件，如系统宕机、线路毁坏、设备损毁等。因此，为了保证突发较大安全事件时，能得到及时的响应和增援，必须建立和逐渐完

40、善应急响应机制，保证医疗HIS的安全稳定运营。 建立应急响应管理组织：建立应急保障领导小组和组织管理机构，保证应急保障的组织管理和顺利实行； 建立应急响应增援队伍：建立由运营管理中心技术人员和安全服务机构专业人员构成的应急响应技术小组，对发生的应急状况进行增援； 培训应急响应人员：建立技术培训、交流和协作机制，加强网络、安全管理人员的应急响应技术培训、交流和协作，及时通报和协调有关安全保密技术问题； 制定应急响应预案：应急响应必须提前建立预案而不是等待事件发生。预案制定后，要定期进行演习，实行其环节以验证预案的有效性和训练参与者熟悉紧急事件的规范化解决流程。同步，需要常常根据网络和安全环境的变化对预案进行更新和完善。 将第三方的信息应急响应增援体系纳入到医疗HIS的应急响应增援体系中，保证信息系统浮现突发事件时，可以得到及时的应急响应。6 需要增长的设备设备数量配备规定其她状况阐明