医院等级保护建设介绍.ppt

医院信息系统等级保护建设,四川大学信息安全研究所周安民2014.11,医疗信息化建设阶段,医院管理信息化（HMIS）建设内容：部门级信息化管理、全院级信息化管理特征：数据共享和基于财务核算为中心临床管理信息化（HCIS)建设内容：电子病例、医生工作站、PACS、LIS、RIS等系统特征：实现数字医院，医疗和管理信息处理无纸化和无胶片化、医院间联网，电子病例网上传递 区域卫生医疗服务（HGIS）建设内容：区域一体化医院信息、人口健康档案、疫情上报与应急指挥、远程医疗等系统特征：社会医疗保健资源和服务整合,以自身业务为主,信息共享与交换,重点建设国家级、省级和地市级三级卫生信息平台加强信息化在公共卫生、医疗服务、新农合、基本药物制度、综合管理五项业务中的深入应用建设电子健康档案和电子病例二个基础数据库建设一个医疗卫生信息专用网络基于健康档案，整合公共卫生、医疗平台等业务内容的区域卫生信息化平台。,“十二五”卫生信息化建设路线图（摘要）,卫生信息化趋势,国家卫生署关于国民卫生服务信息战略项目目标：保证医疗专业人员，患者和护理人员“在正确的时间和地点，拥有正确的信息”，以提高患者的医疗和服务质量。,全球未来卫生信息化发展方向：通过卫生信息共享来提高医疗服务效率、质量、可及性，降低医疗成本、医疗风险其中国家级及地方级的区域卫生信息共享的核心内容是居民健康档案。,卫生行业信息安全等级保护工作的指导意见,2011年11月，卫生部印发了卫生行业信息安全等级保护工作的指导意见通知，明确提出卫生行业信息安全等级保护工作的指导意见。以下重要卫生信息系统安全保护等级原则上不低于第三级：（1）卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统；（2）国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心；（3）三级甲等医院的核心业务信息系统；（4）卫生部网站系统；（5）其他经过信息安全技术专家委员会评定为第三级以上（含第三级）的信息系统。,信息安全等级保护法规政策体系,5,等级保护标准,6,技术要求,等保实施,等保测评,管理要求,GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求,GB/T 22240-2008 信息安全技术 信息系统安全保护等级定级指南GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南,GB/T 20269-2006 信息安全技术 信息系统安全管理要求GB/T 20282-2006 信息安全技术 信息系统安全工程管理要求,GB/T 28448-2012 信息系统安全等级保护测评要求 GB/T 28449-2012 信息系统安全等级保护测评过程指南,等级保护之五级划分,实施指南GB/T 25058-2010,等级保护实施过程,基本原则,主要过程及其活动,角色、职责,基本流程,等级变更,局部调整,信息系统定级,总体安全规划,安全设计与实施,安全运行维护,信息系统终止,国家管理部门（4家）,信息系统主管部门,信息系统运营、使用单位,信息安全服务机构,信息安全等级测评机构,信息安全产品供应商,8,等级保护定级指南GB/T 22240,9,定级方法,卫生行业信息安全等级保护工作的指导意见,2011年11月，卫生部印发了卫生行业信息安全等级保护工作的指导意见通知，明确提出卫生行业信息安全等级保护工作的指导意见。以下重要卫生信息系统安全保护等级原则上不低于第三级：（1）卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统；（2）国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心；（3）三级甲等医院的核心业务信息系统；（4）卫生部网站系统；（5）其他经过信息安全技术专家委员会评定为第三级以上（含第三级）的信息系统。,基本要求技术要求管理要求要求标注业务信息安全类要求（标记为S类）关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改系统服务保证类要求（标记为A类）关注的是保护系统连续正常的运行，避免因对系统的未授权修改、破坏而导致系统不可用通用安全保护类要求（标记为G类）既关注保护业务信息的安全性，同时也关注保护系统的连续可用性。,基本要求GB/T 22239,系统基本保护要求的组合,第一级 S1A1G1第二级 S1A2G2，S2A2G2，S2A1G2第三级 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四级 S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4,控制点,基本要求GB/T 22239,控制项,14,基本要求GB/T 22239,适宜的安全需求分析方法,？如何为信息系统确定既满足等级保护要求，又满足系统自身需求的安全需求分析方法。对一个正在运行的信息系统确定定级之后，运行使用单位最关心的是系统当前的保护状况是否满足等级保护的基本安全要求。产生该问题的原因是：等级保护作为政策性要求在系统建设之初并没有作为安全需求加以考虑，因此系统的安全保障体系或安全保护措施只能满足本部门、本单位的安全需求。信息系统定级之后发现，对于业务重要性相同的不同行业或地区的信息系统，由于建设年代不同、所在地域差异、设计人员和实施人员的水平差距等都会造成其信息系统的保护水平参差不齐。,选择、调整基本安全要求,在根据定级指南除了可以确定信息系统的安全保护等级外，还同时确定了信息系统在业务信息安全和系统服务安全两个方面的安全保护等级 这两个等级反映了信息系统在数据安全保护和服务能力保护的需求方面可能是不均衡的。在政务系统中，单个数据信息（例如文件）本身的安全性要求比较高，对于通过信息系统提供及时的数据服务的要求不高，对于生产控制系统和调度系统，其重要性不体现在每条控制指令数据上，而体现在整个控制系统或调度系统不能停止运行或不正常运行。,L(业务信息安全保护等级，系统服务安全保护等级)=Max(业务信息安全保护等级，系统服务安全保护等级),确定该信息系统的等级保护基本安全需求,在确定了系统的安全保护等级后，信息系统的运营使用单位人员可以参照以下步骤确定该信息系统的等级保护基本安全需求：第一步 根据其等级从基本要求中选择相应等级的基本安全要求。如，某一信息系统，根据定级指南确定系统等级为 3 级，首先从基本要求中选择三级的安全要求。第二步 根据定级过程中确定业务信息安全保护等级和系统服务安全保护等级，确定该信息系统的安全需求类，例如，L(3，2)，将所选择的基本要求的三级要求中标识为 A类的控制点要求，替换为二级要求中的相应控制点要求，低级别的基本要求中没有相应的控制点，则该控制点将不作为该系统的要求。注意：G 类要求是每个等级系统必备的要求，不能调整，G 类要求体现了相应等级系统的综合保护能力。,第三步 根据系统所面临的威胁特点调整安全要求,根据基本要求的整体设计思路，每级安全要求的实现是为了达到相应等级的威胁对抗能力和恢复能力，这种设计思路是面向所有信息系统的。当面临一个特定信息系统时，还需要具体分析其所面临的具体威胁。如果某个安全威胁对于该特定信息系统来讲是不会发生的，那么为对抗该威胁的相应安全要求对于该系统来讲，是不适用的。因此，需要进行相应的调整。这种情况在网络安全方面尤为明显，例如某个系统与互联网及本单位其他系统在网络上是物理隔离的，由于不会面临来自外部网络的安全威胁，该系统可以不选择相应的网络安全控制点或其中的要求项。,系统改建系统改建实施方案设计施方案设计,等级保护工作相关的大部分系统是已建成并投入运行的系统，信息系统的安全建设也已完成，因此信息系统的运营使用单位更关心如何找出现有安全防护与相应等级基本要求的差距。如何根据差距分析结果设计系统的改建方案，使其能够指导该系统后期具体的改建工作，逐步达到相应等级系统的保护能力。系统改建方案设计的主要依据是安全需求分析的结果，和对信息系统目前保护措施与基本要求 的差距的分析和评估。而系统改建方案的主要内容则是解决如何针对这些存在的差距，分析其存在的原因以及如何进行整改。系统改建设实施方案与新建系统的安全保护设施设计实施方案都是备案工作中所需要提交的技术文件。,应坚持的基本原则,上网的机器不触“敏”怎么能保证上网机未触及敏感信息触“敏”的机器不上网或者严控上网怎么能保证触“敏”机安全连接外部网络严禁介质交叉使用如何严控一般介质插入触敏机使用如何严控敏感介质插入一般机使用,对安全保障的感想,基于主动防御的思想，保护信息资产 基于信息流的资产、风险全程识别与控制 正视现实，按照等级保护的要求制定适宜安全策略 重视残余风险的识别与控制 综合、专业的安全运维和管理,人、安全意识,核心,等级保护基本要求概述,物理安全,环境设备、介质,23,基本要求GB/T 22239,等级保护整改方案设计,之技术设计,等级保护整改方案设计,之技术设计,物理位置的选择,基本防护能力,高层、地下室,物理访问控制,基本出入控制,分区域管理,在机房中的活动,电子门禁,防盗窃和防破坏,存放位置、标记标识,监控报警系统,防雷击,建筑防雷、机房接地,设备防雷,防火,灭火设备、自动报警,自动消防系统,区域隔离措施,防静电,关键设备,主要设备,防静电地板,电力供应,稳定电压、短期供应,主要设备,冗余/并行线路,备用供电系统,电磁防护,线缆隔离,接地防干扰,电磁屏蔽,防水和防潮,温湿度控制,物理安全的整改要点,网络安全,结构边界设备,27,基本要求GB/T 22239,安全域（第3级）,安全域（第2级）,监督保护级网络,安全域（第3级）,安全域（第2级）,安全域（第2级）,控制高敏感级信息由高等级安全域流向低等级安全域,：分域分级防护示意,安全域划分示意,考虑的主要因素：按数据类型公开、敏感、受控按用户类别医院、病人、卫生医疗管理机构科研机构、银行保险等合作机构 按信息流向 各级卫生机构及 非卫生机构间 数据共享和交互 公众数据查询,、,等级保护整改方案设计,之技术设计,等级保护整改方案设计,之技术设计,结构安全,关键设备冗余空间,主要设备冗余空间,访问控制,访问控制设备（用户、网段）,应用层协议过滤,拨号访问限制,会话终止,安全审计,日志记录,审计报表,边界完整性检查,内部的非法联出,非授权设备私自外联,网络安全的整改要点,子网/网段控制,核心网络带宽,整体网络带宽,重要网段部署,路由控制,带宽分配优先级,端口控制,最大流量数及最大连接数,防止地址欺骗,审计记录的保护,定位及阻断,入侵防范,检测常见攻击,记录、报警,恶意代码防范,网络边界处防范,网络设备防护,基本的登录鉴别,组合鉴别技术,特权用户的权限分离,主机安全,服务器；终端/工作站On操作系统；数据库系统,33,基本要求GB/T 22239,等级保护整改方案设计,之技术设计,等级保护整改方案设计,之技术设计,身份鉴别,基本的身份鉴别,访问控制,安全策略,管理用户的权限分离,特权用户的权限分离,安全审计,服务器基本运行情况审计,审计报表,剩余信息保护,空间释放及信息清除,主机安全的整改要点,组合鉴别技术,敏感标记的设置及操作,审计记录的保护,入侵防范,最小安装原则,重要服务器：检测、记录、报警,恶意代码防范,主机与网络的防范产品不同,资源控制,监视重要服务器,最小服务水平的检测及报警,重要客户端的审计,升级服务器,重要程序完整性,防恶意代码软件、代码库统一管理,对用户会话数及终端登录的限制,应用安全,基本应用业务应用,37,基本要求GB/T 22239,等级保护整改方案设计,之技术设计,等级保护整改方案设计,之技术设计,等级保护整改方案设计,之技术设计,身份鉴别,基本的身份鉴别,访问控制,安全策略,最小授权原则,安全审计,运行情况审计（用户级）,审计报表,剩余信息保护,空间释放及信息清除,应用安全的整改要点,组合鉴别技术,敏感标记的设置及操作,审计过程的保护,通信完整性,校验码技术,密码技术,软件容错,自动保护功能,资源控制,资源分配限制、资源分配优先级,最小服务水平的检测及报警,数据有效性检验、部分运行保护,对用户会话数及 系统最大并发会话数的限制,审计记录的保护,通信保密性,初始化验证,整个报文及会话过程加密,敏感信息加密,抗抵赖,数据安全及备份恢复,用户数据系统数据业务数据数据备份硬件冗余异地实时备份,42,基本要求GB/T 22239,等级保护整改方案设计,之技术设计,数据完整性,鉴别数据传输的完整性,备份和恢复,重要数据的备份,数据安全及备份恢复的整改要点,各类数据传输及存储,异地备份,网络冗余、硬件冗余,本地完全备份,硬件冗余,检测和恢复,数据保密性,鉴别数据存储的保密性,各类数据的传输及存储,每天1次,备份介质场外存放,技术整改措施示意,第3级,管理制度,总体方针策略管理制度操作规程,46,基本要求GB/T 22239,管理机构,最高管理层执行管理层业务运营层,47,基本要求GB/T 22239,人员安全,内部人员外部人员,48,基本要求GB/T 22239,建设管理,定级、设计建设实施验收交付测评,49,基本要求GB/T 22239,运维管理,日常/应急/变更制度化管理监管、安管中心,50,基本要求GB/T 22239,管理整改措施示意,第3级,谢 谢。,