某医院等级保护安全整改方案

某医院等级保护安全整改方案内容摘要：

现状： 东院采用百兆到桌面，千兆到交换，万兆到服务器的方式建立 TCP/IP 网络架构，在传统的接入 汇聚 核心三层架构上，将重要服务器以及 HIS、 LIS、 PACS等应用系统放置在 DMZ 区，其中对 HIS 系统的访问采用 NAT 地址转换技术。 安全设备较少，在外网出口处、 DMZ 区、以及 HIS 系统前分别部署了 checkpoint、Cisco ASA5550、 Cisco ASA5520 防火墙进行防护，没有其他安全防护措施。 西院网络也采用传统的接入 汇聚 核心三层架构，网络设备、安全设备较少，接入核心交换机（热备），并通过深信服上网行为管理设备接入互联网。 西院内部的门诊楼、行政楼、后勤楼、住院楼等直接连接核心交换机。 东院、西院网络访问主要通过交换机 ACL 控制，部分访问控制由防火墙策略控制。  主机安全现状： 主机系统主要采用 windows 2020 和 windows2020 系统，部分系统采用集群和虚拟化技术， 东院主机安装了 McAfee 主机防病毒。 XX 医院 等级保护 安全 整改 方案 第 8 页 共 103 页  应用安全现状： 应用系统均为 CS 架构， 权限管理 通过不同用户 角色设置不同模块和菜单的方式来为其分配功能模块。  备份恢复 现状： 由系统管理员执行数据备份和恢复。 安全管理现状 经调研和访谈， XX 医院 现有安全管理制度，如下： 序号 制度名称 主要内容 1. 《中医医院信息化建设基本规范》（征求意见稿） 第一章 总则 第二章 硬件设施 第三章 软件系统 第四章 运行与维护 第五章 系统安全 第六章 培训与岗位要求 第七章 检查与评估 第八章 附则 2. 《门诊部信息系统应急预案》 本预案为进一步促进医院应急管理工作，提高 门诊处置突发事件的能力，最大限度地预防和减少突发事件及其造成的损害和影响，保证员工生命安全和国家财产安全，维护正常的生产秩序，根据医院实际情况制定； 3. 《业务应用保障实施细则》 本标准主要内容包括：挂号、门诊、药房、院长、病区护士工作站系统的保障， XX 医院 等级保护 安全 整改 方案 第 9 页 共 103 页 特制定本细则。 4. 《 XX 医院 （东部）信息系统应急方案》 本制度本细则规定了包括了：医保专线、网络设备、服务器保障、应用软件保障，病毒保障的信息系统应急方案 5. 《信息安全策略》 本制度规定办法规定了医院的信息安全总体目标、方针、原则等具体事 项。 6. 《人员岗位职责》 本制度规定了各个岗位的职责、权限、管理的工作事项及承担的任务。 7. 《计算机信息系统安全管理制度》 本制度规定为网络系统、操作系统、网络设备、终端设备等操作事务特制定本办法。 8. 《密码口令、管理制度》 本制度规定西院的所有设备口令和账号的使用、保管等。 9. 《系统运行管理制度》 办法规定了西院的信息系统的运行和维护过程中的管理规则等、特指定管理方法。 10. 《技术文档管理制度》 本规定适用于西院管理制度的及技术文档，存放、更新、发布、废除等使用细则。 11. 《培训制度》 为规范员工的个人技能提升、医院整体培训规章、报销等等。 XX 医院 等级保护 安全 整改 方案 第 10 页 共 103 页 差距分析 系统定级情况 XX 医院 HIS、 LIS、 PACS 信息系统 已 确定为第 三 级系统， 由 信息中心 负责维护 ，同时由开发商协同维护。 系统差距分析 为了配合信息安全等级保护实施工作的开展， XX 医院 各信息系统管理员协助 XX 公司 项目实施小组，对定级 信息系统 进行了等级保护测评，找出 差距，具体情况如下：  物理安全方面的差距  机房管理制度不完善  机房监控存在盲区，无法监控到全部区域  未设置摆渡区域  未对重要服务器区域进行单独隔离  部分线 路零散、散落在机架间  设备未设置标签  机房进出没有审批制度，也无进出登记表  介质随意摆放，分类、标识、管理不到位  网络安全方面的差距  网络结构未划分安全区域  无法对网络入侵行为进行及时探测发现 XX 医院 等级保护 安全 整改 方案 第 11 页 共 103 页  无 自动化 统一监管平台，对网络状况实时监控 差  无法保证关键业务优先级和网络关键应用分配带宽  用户接入网络控制无法有效定位 ，内网私自接入外部无法控制  网络无法应对拒绝攻击、黑客攻击等常见的入侵行为  无法 对恶意代码 在 网络边界处 （内外网边界） 进行检测和清除  内外网混接， 无准入控制  设备信息传输未加密  采用不安全的远程连接方 式  设备配置未优化  网络设备、安全设备日志审计薄弱  主机安全方面的差距  对用户 身份鉴别 仅采用用户名口令方式  主机补丁更新不及时  安全审计功能薄弱或无审计措施  没有对剩余信息采取处理或清楚措施  入侵防范方面，不能及时检测入侵行为  对主机资源利用情况、用户分配资源情况不能报警、监控  恶意代码软件的 不能 统一管理  未限制终端登录接入方式及地址范围  未限制单个用户对系统资源的 使用 限度  应用安全方面的差距 XX 医院 等级保护 安全 整改 方案 第 12 页 共 103 页  对用户 身份鉴别 仅采用用户名口令方式  用户名等重要信息多义明文形式存放  无法保证数据通信中数据的完整性、机密性  账号 共用  账号口令不符合强壮度规定， 缺省较多  应用系统发生故障时，仅靠应急预案，系统操作不能回滚  系统不 支持自动备份功能和异地备份管理  系统在资源控制方面考虑较少  系统数据未做分权管理，通过模块和菜单控制  数据安全 及备份恢复 方面的差距  数据传输的机密性无法保证  没有足够的技术措施保证数据传输的完整性  数据存放大多为明文  备份数据集中存放， 无异地数据备份  安全管理制度方面的差距  制度不够完善  安全管理机构方面的差距  无有效的信息安全组织  人员安全管理方面的差距  缺乏 信息系统安全教育及技术培训  安全意识和安全培训不 到位 XX 医院 等级保护 安全 整改 方案 第 13 页 共 103 页  无定期考核制度  第三方人员访问限制粒度较粗  系统建设管理方面的差距  系统建设考虑安全性较少  系统运维管理方面的差距  未能对设备状态、网络情况、日志告警、安全审计等安全相关事项进行集中管理  系统运维方面的管理制度不完善，应加强管理制度方面的建设  运维人员操作记录无法审计  没有完善的变更、审批流程及相关制度 安全需求 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断 ，信息安全包括了 保密性、完整性、可用性 等特性， 本方案 将从信息安全管理、信息安全运维、信息安全技术三个方面展开需求分析，使系统达到： 三级系统：能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难，以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭受损害后，能够较快恢复绝大部分功能。 信息安全管理需求  符合等级保护要求 XX 医院 等级保护 安全 整改 方案 第 14 页 共 103 页 2020 年的 《 国家信息化领导小组关于加强信息安全保障工作的意见》（ 27号文）中指出：“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等 方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。 根据国家信息化领导小组的统一部署和安排，我国开始在全国范围内全面开展信息安全等级保护工作。  符合国内国际标准 XX 医院 由自身业务系统建设、运维、发展过程而形成一系列信息安全管理的 自身需求。 自身需求 需要满足国家、主管部门规定的信息安全管理标准、要求以外，还需要参考并符合一些相关的国内国际标准，才能够更有效的保障 XX 医院 信息系统的安全管理建设。 具体内容包括如下 ： ISO_IEC 27001 GB/T220802020《信息安全管理体系要求》 ISO/IEC27001:2020 信 息 安 全 管 理体 系 要 求 （ Information Security Management Systems Requirements ），是由国际标准化组织（ ISO）和国际电工委员会（ IEC）组成的联合技术委员会 JTC1/SC27 制定的 ISMS 国际标准，2020 年正式颁布。 我国于 2020 年颁布了等同采用 ISO/IEC27001： 2020 的国家标准 GB/T220802020，这两个标准具有同等效力。 ISO/IEC 27001 的宗旨是确保机构信息的机 密性、完整性及可用性，共有 39 个控制目标及 134 项控制措施，可在其中选择适用于其业务的控制措施，同时也可增加其它的控制措施。 XX 医院 运用信息系统支撑其主要业务活动。 从业务系统的复杂性、重要性，以及信息系统的整体规模、地理范围、工作人员等诸多因素考虑，现有的合规性管理要求并不能完全满足 XX 医院 对信息安全管理的全部需求，需要引入ISO_IEC 27001 或称为 GB/T220802020，健全 XX 医院 的信息系统安全管理体系。 通过比较已有的等级保护 管理要求与 XX 医院 自身 的信息安全管理需求，需 XX 医院 等级保护 安全 整改 方案 第 15 页 共 103 页 要从 ISO_IEC 27001 中引入部分内容满足以下管理需求：  业务连续性管理 目标：防止 XX 医院 业务活动中断、保证重要业务流程不受重大故障和灾难影响。 管理需求：应通过业务连续性管理采用控制措施，识别和降低风险，限制破坏性事件造成的后果，确保重要操作及时恢复；应实施业务连续性管理程序，预防和恢复控制相结合，将灾难和安全故障造成的影响降低到可以接受的水平。  安全策略评审管理 目标：保证 XX 医院 信息系统符合组织的安全策略和标准。 管理需求：应确保信息系统、系统供应商、信息和信息资产的所有者、用户、管理层几个方面都遵守已发布的安 全策略和标准； 应确保信息系统所有者支持定期评审，确保系统符合相关的标准、要求。  技术符合性检查管理 目标：保证信息系统符合安全技术实要求。 管理需求：应定期检查信息系统是否符合技术要求；应形成周期性检查的流程；应保证所有检查在合格的授权人员或其监督下完成。 SSECMM 《系统安全工程能力成熟度模型》 系统安全工程能力成熟模型（ SSECMM）的开发源于 1993 年 5 月美国国家安全局发起的研究工作。 1999 年完成 SSECMM 模型的第二版。 SSECMM建立和完善一套成熟的、可度量的安全工程过程，从而确 保安全工程的任何工程活动均是清晰定义的、可管理的、可测量的、可控制的并且是有效的； SSECMM还用于改进安全工程实施的现状，达到提高安全系统、安全产品和安全工程服务的质量和可用性并降低成本。 XX 医院 信息系统从 整改 设计、开发采购、运行维护等各个阶段都有大量 IT XX 医院 等级保护 安全 整改 方案 第 16 页 共 103 页 公司参与。 主要包括系统集成商，应用开发者，产品厂商和服务供应商。 XX 医院 可以有效利用 SSECMM 模型去评审、控制及保障各个服务商在进行硬件、软件、系统等工程活动过程。 信息安全运维需求 按照等级保护要求，信息安全工作应贯穿信息系统建设的生命周期，信 息安全是一个动态的和不断补充完善、持续改进的过程，本节描述 XX 医院 安全保障系统运行维护的技术需求。  运行管理 从保证业务连续性的角度来看，运行管理是保障业务连续性中非常重要的环节。 涉及到机房物理环境的安全管理、资产设备和介质的生命周期管理管理、网络安全管理、系统安全管理、恶意代码防范以及容灾管理。