醫(yī)院信息化系統(tǒng)等級保護設計方案

2013年4月

目錄

1項目背景..............................................4

2方案設計原則..........................................4

3安全等級劃分..........................................4

4技術(shù)方案設計..........................................5

4.1總體設計.........................................5

4.1.1總體安全技術(shù)框架.............................5

4.1.2安全域劃分...................................7

4.1.3總體部署.....................................9

4.2詳細設計.........................................9

4.2.1物理安全設計.................................9

4.2.2安全計算環(huán)境設計............................12

4.2.3安全區(qū)域邊界設計............................16

4.2.4安全通信網(wǎng)絡設計............................19

4.2.5安全管理中心設計...........................22

5安全管理體系設計.....................................23

5.1管理機構(gòu)建設....................................24

5.2完善安全管理制度................................24

5.3加強人才隊伍建設................................25

5.4遵循安全法規(guī)標準................................26

5.5重視安全管理手段................................26

5.6建立應急響應機制................................27

6需要增加的設備29

1項目背景

2方案設計原則

根據(jù)國家信息安全保障政策法規(guī)和技術(shù)標準要求，同時參照相關

行業(yè)規(guī)定，確定信息安全體系規(guī)劃和設計時遵循以下原則：

3安全等級劃分

信息化系統(tǒng)包括應用服務系統(tǒng)等。信息包括公文信息、通訊錄、

文件、日程安排、執(zhí)法數(shù)據(jù)等，這些信息由于涉及到醫(yī)療機構(gòu)敏感信

息，對數(shù)據(jù)的完整性和機密性要求具有較高需求，一旦遭到破壞或竊

取，就會給用戶查詢提供錯誤數(shù)據(jù)或泄漏敏感信息，影響社會秩序和

公共利益。

1.業(yè)務系統(tǒng)安全受到破壞時所侵害的客體

信息化系統(tǒng)系統(tǒng)一旦遭到破壞或被竊取，所侵害的客體是公民、

法人和其它組織的合法權(quán)益以及社會秩序、公共利益。

2.對客體的侵害程度

業(yè)務系統(tǒng)安全受到破壞時對社會秩序、公共利益的侵害程度表現(xiàn)

為嚴重損害，具體表現(xiàn)為業(yè)務系統(tǒng)受到破壞或竊取后，會影響醫(yī)療機

構(gòu)行使社會管理和公共服務的職能，并對醫(yī)療機構(gòu)形象造成社會不良

影響，并對公民、法人和其他組織的合法權(quán)益造成損失。

3.業(yè)務系統(tǒng)安全等級

根據(jù)上述分析結(jié)果，結(jié)合等級保護定級指南，XX系統(tǒng)安全等級

為:

對相應客體的侵害程度

業(yè)務信息安全被破壞時所侵

一般損特別嚴重

害的客體嚴重損害

害損害

公民、法人和其他組織的合

第一級第二級第二級

法權(quán)益

社會秩序、公共利益第二級第三級第四級

國家安全第三級第四級第五級

4技術(shù)方案設計

根據(jù)差距分析，確定整改技術(shù)方案的設計原則，建立總體技術(shù)框

架結(jié)構(gòu)，從業(yè)務安全、物理環(huán)境、通信網(wǎng)絡、計算環(huán)境、區(qū)域邊界、

安全管理中心等方面設計落實基本技術(shù)要求的物理、網(wǎng)絡、系統(tǒng)、應

用和數(shù)據(jù)的安全要求的技術(shù)路線。

4.1總體設計

4.1.1總體安全技術(shù)框架

根據(jù)國家相關信息安全保護政策，在安全設計框架上，形成“一

個中心”保障下的“三重縱深防御防護體系”架構(gòu)（一個中心是指安

全管理中心，三層縱深防御體系則由安全計算環(huán)境、安全區(qū)域邊界以

及安全通信網(wǎng)絡組成）。在安全物理基礎環(huán)境上，進一步強調(diào)了管理

中心、計算環(huán)境、區(qū)域邊界及網(wǎng)絡傳輸?shù)目尚判裕沟闷湓谡麄€生命

周期中都建立有完整的信任鏈，確保它們始終都在安全管理中心的統(tǒng)

一管控下有序地運行，從而確保了平臺的安全性不會遭受破壞，如下

物理安全是支撐信息系統(tǒng)安全運行的基礎保障設施的安全，是整

個信息系統(tǒng)安全的基礎，也是信息系統(tǒng)最基木的安全基礎。

安全計算環(huán)境是對平臺的信息存儲及處理進行安全保護的部件。

安全計算環(huán)境由平臺中完成信息存儲及處理的計算機系統(tǒng)硬件和系

統(tǒng)軟件以及外部設備及其聯(lián)接部件組成，也可以是單一的計算機系

統(tǒng)。安全計算環(huán)境保護包括主機系統(tǒng)（操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)）和應

用系統(tǒng)，以及主機系統(tǒng)和應用系統(tǒng)的備份及恢復。

安全區(qū)域邊界是對平臺的安全計算環(huán)境的邊界，以及計算環(huán)境及

通信網(wǎng)絡之間實現(xiàn)連接功能進行安全保護的部件。安全區(qū)域邊界保護

主要是指對計算環(huán)境以及進出計算環(huán)境的信息進行保護，以及邊界設

備的備份及恢復。

安全通信網(wǎng)絡是對平臺安全計算環(huán)境之間進行信息傳輸實施安全

保護的部件。安全通信網(wǎng)絡保護主要指對數(shù)據(jù)通信的保護及通信設備

的備份及恢復。

安全管理中心對平臺的安全策略及計算環(huán)境、區(qū)域邊界和通信網(wǎng)

絡上的安全機制實施統(tǒng)一管理的平臺，又指各類安全保護系統(tǒng)的管理

中心構(gòu)成一個綜合性的管理中心。

安全技術(shù)方案設計包括各級系統(tǒng)安全俁護環(huán)境的設計及其安全互

聯(lián)的設計，各級系統(tǒng)安全保護環(huán)境由相應級別的安全計算環(huán)境、安全

區(qū)域邊界、安全通信網(wǎng)絡和安全管理中心組成。平臺安全互聯(lián)由安全

互聯(lián)部件和跨系統(tǒng)安全管理中心組成。

4.1.2安全域劃分

安全域是指同一系統(tǒng)內(nèi)根據(jù)信息的性質(zhì)、使用主體、安全目標和

策略等元素的不同來劃分的不同邏輯子網(wǎng)或網(wǎng)絡，每一個邏輯區(qū)域有

相同的安全保護需求，具有相同的安全訪問控制和邊界控制策略，區(qū)

域間具有相互信任關系，而且相同的網(wǎng)絡安全域共享同樣的安全策

略。

本次建設中，醫(yī)療HTS計算機網(wǎng)絡安全域的劃分不能單純從安全

角度考慮，而是應該以業(yè)務角度為主，輔以安全角度，并充分參照現(xiàn)

有網(wǎng)絡結(jié)構(gòu)和管理現(xiàn)狀，才能以較小的代價完成安全域劃分和網(wǎng)絡梳

理，而又能保障其安全性。

綜上所述，我僅將依據(jù)下述的原則完成安全域的劃分：

?根據(jù)系統(tǒng)服務劃分

A對資源信息訪問控制；

?對及其相關的信息訪問控制；

?對其它資源的訪問控制；

?按系統(tǒng)功能類型劃分

根據(jù)功能類型或提供的服務類型劃分子系統(tǒng)，劃分時除了考慮到

對用戶提供設計服務的系統(tǒng)、管理系統(tǒng)等外，還應考慮到對前兩類系

統(tǒng)提供承載、支撐和管理作用的支持系統(tǒng)。

?按照網(wǎng)絡區(qū)域劃分

根據(jù)資源使用情況及應用系統(tǒng)地理上分布的情況，在資源訪問控

制、管理模式等存在較大差異，所以可按照信息系統(tǒng)運行所在的網(wǎng)絡

區(qū)域進行子系統(tǒng)劃分。

?安全要求相似性原則

在信息安全的三個基木屬性方面，同一區(qū)域內(nèi)的信息資產(chǎn)應具有

相似的安全性要求、完整性要求和可用性要求。

根據(jù)上述安全域的劃分規(guī)則，醫(yī)療1I1S整體網(wǎng)絡可以劃分出以下

幾大部分區(qū)域:

4.1.3總體部署

4.2詳細設計

4.2.1物理安全設計

物理位置的選擇

中心機房的物理位置按以下要求進行選擇：

?在具有防震、防風和防雨等能力的建筑內(nèi)；

?避免設在建筑物的高層或地下室，以及用水設備的下層或隔

壁。

4.2.1.2物理訪問控制

中心機房的物理訪問控制應按以下措施建設：

?機房出入口安排專人值守并配置電子門禁系統(tǒng)，控制、鑒別

和記錄進入的人員；

?對進入機房的來訪人員應經(jīng)過申請和審批流程，并限制和監(jiān)

控其活動范圍；

?對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設置物理隔離裝

置，在重要區(qū)域前設置交付或安裝等過渡區(qū)域；

?重要區(qū)域應配置第二道電子門禁系統(tǒng)，控制、鑒別和記錄進

入的人員。

4.2.1.3防盜竊和防破壞

中心機房的防盜和防破壞應按以下措施建設：

■將主要設備放置在機房內(nèi)；

■將設備或主要部件進行固定，并設置明顯的不易除去的標記;

■將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中；

■對介質(zhì)分類標識，存儲在介質(zhì)庫或檔案室中；

■利用光、電等技術(shù)設置機房防盜報警系統(tǒng)；

■對機房設置監(jiān)控報警系統(tǒng)。

4.2.1.4防雷擊

中心機房防雷按以下措施建設：

■機房所在的建筑安裝避雷裝置。

■機房內(nèi)設置防雷保安器，防止感應雷；

■機房設置交流電源地線。

防火

中心機房防火按以下措施建設：

■機房安裝火災自動消防系統(tǒng)，能夠自動檢測火情、自動報警,

并自動滅火；

■機房及相關的工作房間和輔助房采用具有耐火等級的建筑材

料；

■機房采取區(qū)域隔離防火措施，將重要設備及其他設備隔離開。

防水和防潮

中心機房防火和防潮按以下措施建設：

■水管安裝，不得穿過機房屋頂和活動地板下；

■采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；

■采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移及滲透；

■安裝對水敏感的檢測儀表或元件，對機房進行防水檢測和報

警。

防靜電

中心機房防靜電按以下措施建設：

■所有設備采用接地防靜電措施；

■機房采用防靜電地板；

■有條件的情況下，采用靜電消除器等裝置，減少靜電的產(chǎn)生。

4.2.1.8溫濕度控制

中心機房溫濕度按以下措施建設：

■在機房安裝溫濕度自動調(diào)節(jié)設備，使機房溫、濕度的變化在

設備運行所允許的范圍之內(nèi)。

4.2.1.9電力供應

中心機房電力供應按以下措施建設：

■在機房供電線路上配置穩(wěn)壓器和過電壓防護設備；

■安裝UPS系統(tǒng)，提供不小于1小時的供電要求；

■設置冗余或并行的電力電纜線路為計算機系統(tǒng)供電；

4.2.1.10電磁防護

中心機房電磁防護按以下措施建設：

■采用接地方式防止外界電磁干擾和設備寄生耦合干擾；

■電源線和通信線纜應隔離鋪設，避免互相干擾；

■對保密性要求較高的服務器，放置屏蔽機柜和屏蔽室內(nèi)。

4.2.2安全計算環(huán)境設計

4.2.2.1用戶身份識別

根據(jù)國家政策在應用安全方面的要求，應對涉及接觸移動政務業(yè)

務敏感信息的用戶群體（以下簡稱敏感用戶），采取滿足要求的數(shù)字

證書身份認證機制，具體安全保障措施如下：

?基于數(shù)字證書和PIN碼的多因子身份鑒別機制

基于PKI技術(shù)體系的數(shù)字證書認證機制通過將數(shù)字證書及用戶的

真實身份進行唯一綁定，可滿足三級安全等保要求實現(xiàn)鑒別信息不可

被重用和被冒用，從而可確保系統(tǒng)中的用戶身份不可假冒，實現(xiàn)了強

身份認證；同時，數(shù)字證書的使用通過結(jié)合PIN碼保護機制，滿足了

三級安全等保中關于“應對同一用戶采用兩種或兩種以上組合的鑒別

技術(shù)實現(xiàn)用戶身份鑒別”的要求。

因此，敏感用戶必須持有其數(shù)字證書才能進入管理平臺進行相關

的業(yè)務操作，從而從應用訪問源頭上防止了非法用戶的非法登錄，確

保了進入移動政務平臺的每一位用戶身份都是合法的。

同時，數(shù)字證書是用戶登錄系統(tǒng)的身份憑證，應防止被其它非法

用戶所使用。因此，根據(jù)用戶終端設備為手持設備或便攜設備，應采

取基于SD、SIM卡的PIN碼保護機制，實現(xiàn)對數(shù)字證書的安全存儲和

安全使用。

注明：SD、SIM卡內(nèi)部集成多種密碼算法，各種運算直接可以在

其內(nèi)部封閉的環(huán)境下進行；同時:存儲在其內(nèi)部的用戶私鑰無法導出

和復制，且通過帶有PIN保護，能有效抵御蠻力嘗試。攻擊者如果想

冒充敏感用戶的身份進入醫(yī)療HIS,不僅需要竊取到用戶的SD、SIM

卡，還需要知道保護口令。因此，大大提高了認證的安全強度，也使

得身份冒充變得更加困難。

?部署安全中間件實現(xiàn)對登錄用戶進行身份標識和鑒別

根據(jù)第三級安全等保中關于“應提供專用的登錄控制模塊對登錄

用戶進行身份標識和鑒別”的要求，應在用戶終端和服務器端部署安

全中間件，通過用戶終端和應用服務器兩端的安全組件和安全控件互

相驗證各自證書，確認各自身份的真實性。

客戶端中間件應可以內(nèi)嵌到Web頁面中，也可以被專用Client

程序調(diào)用，對用戶的使用應該是透明的；服務器端中間件部署在應用

服務器上，接受并處理由客戶端發(fā)送過來的安全認證、數(shù)據(jù)加解密和

簽名驗證等系列安全處理請求，為應用系統(tǒng)提供安全保護。

應用層

接口/組件

ATL/jar/擴展庫

API(.dll/,so/,a/.o)

硬件驅(qū)動

軟證書

密碼設備

安全中間件應面向業(yè)務應用提供以下功能:

?數(shù)字簽名；為應用系統(tǒng)提供重要業(yè)務數(shù)據(jù)及關鍵操作行為的數(shù)

字簽名，應用系統(tǒng)通過這些數(shù)字簽名記錄，在發(fā)生糾紛時對數(shù)字簽名

進行驗證，真正實現(xiàn)重要業(yè)務數(shù)據(jù)和關鍵操作的完整性和不可抵賴

性；

?數(shù)字證書解析：對數(shù)字證書域進行解析，將解析后的證書內(nèi)容,

如證書序列號、用戶身份證號碼、單位組織機構(gòu)代碼提交應用系統(tǒng)供

應用系統(tǒng)使用；

?數(shù)字信封：提供數(shù)字信封加密機制，提升數(shù)據(jù)加密效率和加密

強度；

?密鑰分割：采用門限算法，可以將加密密鑰分割成若干份提供

給多人保管，當需要調(diào)取密鑰時，根據(jù)預先約定的密鑰持有策略在多

人在場情況下將完成密鑰的重新組裝得到原有密鑰。

?時間戳功能:通過獲取標準時間源信息，對標準時間進行簽名，

提供具有法律效力的時間戳服務。

?服務端證書管理功能：在應用服務器上提供B/S方式的證書管

理工具，用戶可以使用該工具很方便的配置和管理服務器證書。

?XML簽名：實現(xiàn)了通過擴展標記語言（XML）來創(chuàng)建、驗證和

管理數(shù)字簽名。

?軟件完整性保護

采取代碼簽名證書對原始發(fā)布的軟件進行完整性保護

基于手機服務的應用系統(tǒng)普遍采用C/S架構(gòu)，終端用戶運行手機

應用程序軟件訪問應用系統(tǒng)，存在客戶端軟件被仿冒和篡改的風險。

公務員用戶使用移動終端訪問醫(yī)療HTS處理移動辦公、移動執(zhí)法等業(yè)

務時，如果運行仿冒的程序軟件，其業(yè)務中的信息數(shù)據(jù)將面臨被竊取、

篡改的危險。

因此，建議對北京醫(yī)療HTS的終端應用程序軟件簽發(fā)代碼簽名證

書，防范軟件被仿冒和篡改的風險，使用戶免遭病毒和黑客程序的侵

擾，為軟件的完整性提供可靠的保障。

4.2.2.2惡意代碼防范

對各服務器平臺部署網(wǎng)絡防病毒系統(tǒng)，實現(xiàn)對計算環(huán)境內(nèi)惡意代

碼檢測及阻殺，定級對防病毒系統(tǒng)病毒庫特征碼進行升級，保持最新

的惡意代碼檢測庫。

WEB應用系統(tǒng)防護

部署入侵防御系統(tǒng)或WEB防火墻實現(xiàn)對WEB應用程序安全保護。

由于大部分服務系統(tǒng)都是采用WEB方式向外界提供服務，而由于目前

針對WEB服務的攻擊除了利用其IE漏洞、數(shù)據(jù)庫漏洞、操作系統(tǒng)漏

洞外，還利用編程語言程序設計漏洞，如SQL注入攻擊是最常用的

WEB應用攻擊。目前大部分安全防護都是針對應用層以下的攻擊，而

對應用層本層的防護甚少，因此采用入侵防御系統(tǒng)或WEB防火墻從應

用層上對2EB服務提供防護。

入侵防御系統(tǒng)或WEB防火墻采用專用入侵異常檢測技術(shù)，對WEB

應用實施全面、深度防御，能夠有效識別、阻止日益盛行的WEB應用

黑客攻擊(如SQL注入、釣魚攻擊、表單繞過、緩沖區(qū)溢出、CGI掃

描、目錄遍歷、命令注入、Cookie注入、跨站腳本(XSS)、敏感信息

泄露、惡意代碼、錯誤配置、隱藏字段、會話劫持、參數(shù)篡改、緩

沖區(qū)溢出、應用層拒絕服務、弱口令等。網(wǎng)頁防篡改系統(tǒng)實現(xiàn)防止

WEB應用程序URL盜鏈以及WEB應用程序非法篡改。

4.2.2.4可用性及數(shù)據(jù)安全

為提高醫(yī)療HIS高可用性，應用系統(tǒng)服務器應采集群方式進行部

署，實現(xiàn)應用服務的高可用性和負載。

為了保障應用系統(tǒng)數(shù)據(jù)安全，對關鍵數(shù)據(jù)應采用密碼機對應用數(shù)

據(jù)進行加密存儲。同時采用數(shù)據(jù)備份軟件和磁帶機對數(shù)據(jù)庫數(shù)據(jù)進行

備份。

4.2.3安全區(qū)域邊界設計

4.2.3.1防火墻

在網(wǎng)絡邊界部署防火墻系統(tǒng)實現(xiàn)網(wǎng)絡及應用的訪問控制機制。防

火墻采用基于連接狀態(tài)檢測的包過濾模塊，從系統(tǒng)內(nèi)核層對網(wǎng)絡數(shù)據(jù)

進行分析和處理，將屬于同一連接的所有數(shù)據(jù)包作為一個整體的數(shù)據(jù)

流看待，同一連接只在第一個包到來時檢查規(guī)則一次，后續(xù)包則只需

要檢查其連接狀態(tài)，系統(tǒng)內(nèi)部高效維護了一張連接狀態(tài)表。對于基于

LDP協(xié)議、1CMP這種無連接狀態(tài)的協(xié)議處理時，會為其建立虛擬的連

接狀態(tài)表，因此同樣能夠?qū)B接過程狀態(tài)進行監(jiān)控。防火墻通過規(guī)則

表及連接狀態(tài)表的共同配合，大大地提高了系統(tǒng)的性能和安全性。防

火墻的包過濾控制策略細致靈活，不僅可以對數(shù)據(jù)包的進/出網(wǎng)絡接

口、協(xié)議（TCP、UDP、ICMP、以及其他非IP協(xié)議）、源IP、目的IP、

源端口、目的端口、IP選項等進行控制，還可采用基于時間、用戶

以及服務（群組）的控制策略。

防火墻能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全

的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火

墻，所以網(wǎng)絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不

安全的NFS協(xié)議進出受保護網(wǎng)絡，這樣外部的攻擊者就不可能利用這

些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡。防火墻同時可以保護網(wǎng)絡免受基十路

由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。

防火墻可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪

問并作出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生

可疑動作時，防火墻能進行適當?shù)膱缶?，并提供網(wǎng)絡是否受到監(jiān)測和

攻擊的詳細信息。另外，收集一個網(wǎng)絡的使用和誤用情況也是非常重

要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻

擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡使用統(tǒng)計對網(wǎng)絡需求分

析和威脅分析等而言也是非常重要的。

在以下區(qū)域邊界部署防火墻，實現(xiàn)有效的安全邊界劃分和訪問控

制：

?在運營商接入邊界各部署防火墻；

?在LNS接入域及醫(yī)療HTS之間部署防火墻

?在平臺互聯(lián)網(wǎng)出口出部署防火墻

?在平臺的出口和外網(wǎng)出口處部署防火墻

4.2.3.2異常流量管理

在及外部網(wǎng)絡通信時，對網(wǎng)絡邊界的各類攻擊，其中惡意流量攻

擊是最主要的方式之一，通過部署抗系統(tǒng)，實現(xiàn)對SYNFlood、UDP

Flood、UDPDNSQueryFloods（M）StreamFlood.ICMPFlood、HTTP

GetFlood以及連接耗盡這些常見的D0S/DD0S攻擊行為能夠有效識

別，并通過集成的機制實時對這些攻擊流量進行阻斷。

異常流量管理系統(tǒng)的實時流量分析器提供門網(wǎng)絡、應用以及IP

地址的實時流量采集、分析和展現(xiàn)功能，用戶可以通過IP地址（用

戶）、應用、通道、帶寬等方式直觀的查看整個網(wǎng)絡中帶寬的詳細使

用情況。它是IT管理員優(yōu)化網(wǎng)絡帶寬、解決帶寬惡意使用的有力的

管理工具，為后續(xù)的帶寬優(yōu)化及管控、網(wǎng)絡規(guī)劃提供科學的依據(jù),基

于系統(tǒng)內(nèi)嵌的DPI智能分類引擎，系統(tǒng)可以探測和跟蹤動態(tài)端口的分

配，并通過比對協(xié)議的特征庫，能夠識別變動端口的會話流，并能夠

對使用同一端口的不同協(xié)議進行自動識別，實現(xiàn)網(wǎng)絡流量的全面可視

化。用戶可以自定義應用的特征碼，避免產(chǎn)生不明流量，清理非法數(shù)

據(jù)包及IP碎片，輸出符合TCP/IP協(xié)議的數(shù)據(jù)包。

4.2.3.3入侵防御

在核心交換機及服務域之間部署入侵防御系統(tǒng)，實現(xiàn)對各類入侵

行為進行檢測及阻斷。入侵防御系統(tǒng)能夠識別多種L2?L7層的網(wǎng)絡

協(xié)議和應用軟件，涵蓋了目前主流的各種應用，包括P2P、VoIP、IM（即

時通訊）、視頻/流媒體、網(wǎng)絡游戲、炒股軟件、企業(yè)內(nèi)部應用、網(wǎng)絡

管理協(xié)議、安全協(xié)議等，對邊界對確認的入侵行為進行檢測并阻斷，

防止惡意攻擊行為通過邊界進入到內(nèi)部回絡，破壞網(wǎng)絡邊界的完整

性。網(wǎng)絡入侵防御系統(tǒng)能通過對監(jiān)測網(wǎng)絡的高速報文捕獲，進行深入

協(xié)議分析，結(jié)合模式匹配、統(tǒng)計以及行為關聯(lián)分析，可以對各種類型

的事件和流量、原妗報文進行全面深入的監(jiān)測。通過預設的策略條件

自動執(zhí)行對網(wǎng)絡中的行為事件的響應，主要的幾種響應方式：告警，

日志，阻斷，自定義響應方式。

4.2.3.4負載均衡

考慮大量用戶同時訪問醫(yī)療HIS時;將面臨大流量合法用戶的訪

問，會造成應用服務性能受到很大挑戰(zhàn)，很容易因合法用戶造成對應

用服務的拒絕服務攻擊，因此，針對應用系統(tǒng)采用網(wǎng)絡負載均衡機制,

實現(xiàn)對合法用戶流量訪問均衡分擔，避免大流量合法用戶訪問造成應

用服務宕機。

4.2.4安全通信網(wǎng)絡設計

4.2.4.1安全接入

為保障外部網(wǎng)絡用戶安全接入到醫(yī)療HTS,采用基于密碼技術(shù)的

機制實現(xiàn)接入用戶的安全身份認證、授權(quán)控制、數(shù)據(jù)傳輸?shù)耐暾院?/p>

保密性保護。SSLVPN系統(tǒng)采用SSL安全協(xié)議的隧道封裝模式，采用

國家密碼主管部門審批的專用算法SM1等手段來保證廣域網(wǎng)傳輸?shù)?/p>

完整性，利用密碼技術(shù)保證傳輸數(shù)據(jù)內(nèi)容的完整性，防止篡改傳輸數(shù)

據(jù)或被破壞。

SSLVPN網(wǎng)關能夠滿足不同用戶的這種安全需求，支持多種不同

強度的身份認證方式,如用戶名+口令、RADIUS、AD、LDAP、USBKey>

證書、證書+口令、雙因子認證等。適用于豐富的終端及操作系統(tǒng)，

還包括一些高端的PDA、智能手機、3G手機。操作系統(tǒng)方面不僅支持

Windows2000/XP/2003/Vista等通用的PC平臺，還支持用戶使用

WindowsMobile平臺接入,并且在WindowsMobile平臺上能夠提供

任意的基于TP的訪問，也支持非Windows的操作平臺的遠程接入。

這種支持多平臺特性為用戶提供了方便的訪問特性，極大地滿足用戶

的需要。SSLVPN網(wǎng)關支持雙機熱備，可以提供主從，主主兩種業(yè)務

模式，并且其HA功能可以在不同的型號之間實現(xiàn)。SSLVPN網(wǎng)關所

使用的基于角色的訪問控制便于管理員制定靈活的控制規(guī)則。通過角

色將系統(tǒng)的訪問用戶同系統(tǒng)保護資源聯(lián)系起來，既直觀，而且在訪問

控制策略發(fā)生變化的時候無須為每一種資源或者每一個用戶修改權(quán)

限；只需要修改某一種服務/角色/用戶的屬性。SSLVPN網(wǎng)關同時支

持對終端環(huán)境的安全檢查。

4.2.4.2虛擬專用網(wǎng)絡

虛擬專用網(wǎng)(VirtualPrivateNetwork)技術(shù)是指采用隧道技

術(shù)以及加密、身份認證等方法，在公眾網(wǎng)絡上構(gòu)建專用網(wǎng)絡的技術(shù)，

數(shù)據(jù)通過安全的“加密管道”在公眾網(wǎng)絡中傳播。

VPN技術(shù)實現(xiàn)了內(nèi)部網(wǎng)信息在公眾信息網(wǎng)中的傳輸，就如同在茫

茫的廣域網(wǎng)中為用戶拉出一條專線。對于用戶來講，公眾網(wǎng)絡起到了

“虛擬專用”的效果。通過VPN,網(wǎng)絡對每個使用者也是專用的。也

就是說，VPN根據(jù)使用者的身份和權(quán)限，直接將使用者接入他所應該

接觸的信息中。所以VPN對于每個用戶，也是“專用”的。目前構(gòu)建

虛擬專用網(wǎng)的國際標準主要有IPSec、SSL、SOCKS>PPTP、L2Tp等協(xié)

議。本方案中采用的是國際上使用最廣泛的IPSEC協(xié)議。

IPSec提供的安全服務包括:

?保密性一一IPSoc在傳輸數(shù)據(jù)包之前將其加密.以保證數(shù)據(jù)的

保密性

?完整性一一IPSec.在目的地要驗證數(shù)據(jù)包，以保證該數(shù)據(jù)包任

傳輸過程中沒有被修改或替換

?真實性一一IPSec端要驗證所有受IPSec保護的數(shù)據(jù)包

?防重放一一IPSec防止了數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上，即

目的地會拒絕老的或重復的數(shù)據(jù)包，它通過報文的序列號實

現(xiàn)。

4.2.4.3網(wǎng)絡安全審計

在網(wǎng)絡環(huán)境中部署網(wǎng)絡安全審計系統(tǒng)實現(xiàn)各類用戶對應用系統(tǒng)、

數(shù)據(jù)庫及網(wǎng)絡訪問行為進行安全審計，以便發(fā)現(xiàn)違規(guī)行為進行安全審

計及事后追蹤。

4.2.4.4入侵檢測

網(wǎng)絡安全防護不但需要防外，還需要從內(nèi)部進行防護。入侵行為

除了來自網(wǎng)絡邊界外，同時也需要對網(wǎng)絡內(nèi)的合法用戶的入侵行為進

行檢測，因此，部署入侵檢測系統(tǒng)實現(xiàn)對內(nèi)部網(wǎng)絡的入侵行為進行檢

測及報警。入侵檢測系統(tǒng)通過對監(jiān)測網(wǎng)絡的高速報文捕獲，進行深入

協(xié)議分析，結(jié)合模式匹配、統(tǒng)計以及行為關聯(lián)分析，可以對各種類型

的事件和流量、原始報文進行全面深入的監(jiān)測。通過預設的策略條件

自動執(zhí)行對網(wǎng)絡中的行為事件的響應，主要的幾種響應方式：告警，

日志，自定義響應方式。

4.2.5安全管理中心設計

安全管理中心可能由一個或幾個安全系統(tǒng)的管理中心共同組成，

各安全系統(tǒng)都實現(xiàn)三權(quán)分離管理。

4.2.5.1系統(tǒng)管理

應通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理，

包括：用戶身份管理，系統(tǒng)資源配置，系統(tǒng)加載和啟動，系統(tǒng)運行的

異常處理，以及支持管理本地和/或異地災難備份及恢復等；應對系

統(tǒng)管理員進行嚴格的身份鑒別，只允許其通過特定的命令或操作界面

進行系統(tǒng)管理操作，并對這些操作進行審計。

4.2.5.2安全管理

應通過安全管理員對系統(tǒng)中的主體、客體進行統(tǒng)一標記，進行系

統(tǒng)安全監(jiān)測，并為安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡配置

統(tǒng)一的安全策略；應對安全管理員進行嚴格的身份鑒別，并只允許其

通過特定的命令或操作界面進行安全管理操作，并進行審計，安全管

理設備應能過對安全設備進行統(tǒng)一的策略下發(fā)，使得各安全產(chǎn)品共同

一個完整的安全防御體系。

4.2.5.3審計管理

應通過安全審計員對分布在系統(tǒng)各個組成部分的安全審計機制

進行集中管理，包括：根據(jù)安全審計策略對審計記錄進行分類；提供

按時間段開啟和關閉相應類型的安全審計機制；對各類審計記錄進行

存儲、管理和查詢等；對審計記錄進行分析，并根據(jù)分析結(jié)果進行處

理；對安全審計員進行嚴格的身份鑒別，并只允許其通過特定的命令

或操作界面進行安全審計操作。

5安全管理體系設計

僅有安全技術(shù)防護，而無嚴格的安全管理相配合，是難以保障網(wǎng)

絡系統(tǒng)運行安全的。因為諸多的不安全因素恰恰反映在組織管理和人

員的使用方面，這是計算機網(wǎng)絡安全必須考慮和高度重視的基本問

題。

嚴格的安全管理制度，明確的安全職責劃分，合理的人員角色定

義，完備的應急響應機制，都可以在很大程度上減少安全隱患。因此,

醫(yī)療HIS的安全建設、運行、維護、管理都要重視安全管理，嚴格按

制度進行辦事，嚴格按制度辦事，明確責任權(quán)力，規(guī)范操作，加強人

員、設備的管理以及人員的培訓，提高安全管理水平。醫(yī)療HIS安全

管理模型如下圖所示：

業(yè)務應用二

■制點、人員的領1美戛

擰制點管理0.,■人員分級管理/大

彩電TM控制點與安全員對府二責任

生全系統(tǒng)安全布控人員布控

由拜網(wǎng)絡.主機.康加

硬竹.

■

安全人員管理

《軟件）

安全管理中心-??

貴產(chǎn).人員.供態(tài).業(yè)務.安全制度.安全審It

5.1管理機構(gòu)建設

醫(yī)療HIS安全事關醫(yī)療機構(gòu)重要政務的處理和醫(yī)療機構(gòu)形象以及

生命安全，需要從戰(zhàn)略高度充分認識安全防護的重要性和緊迫性。因

此，需要在現(xiàn)有組織設置的基礎上，進一步明確安全管理的相關組織、

機構(gòu)和職責，建立集中統(tǒng)一、分工協(xié)作、各司其職的安全管理責任機

制。

,成立經(jīng)安全領導小組，負責醫(yī)療HIS建設和運行維護過程中有

關安全事務的組織協(xié)調(diào)工作。

,健仝安仝責任制，進一步明確各部門、單位的安仝職責，包括

系統(tǒng)運行、維護、資產(chǎn)管理等責任部門，并落實各項安全工作

的具體負責人。

/按最小特權(quán)原則和職責分離原則，配備系統(tǒng)管理員、安全管理

員、安全審計員，分工明確，責任到人。

/建立定期安全檢查、協(xié)調(diào)機制，及時掌握醫(yī)療HIS的安全狀態(tài)

和安全管理制度執(zhí)行情況。

5.2完善安全管理制度

為保證醫(yī)療HIS系統(tǒng)正常運行，必須首先建立、健全一套及之相

應的安全管理制度，需要制定和完善的安全管理制度包括但不限于以

下制度規(guī)范：

/信息安全管理規(guī)范：明確安全目標、安全原則、管理組織、職

責和人員、機房、設備、軟件、信息介質(zhì)、技術(shù)文檔、安全審

計、應急處理等方面的總的管理要求。

/人員管理相關制度：明確安全管理人員錄用、培訓、調(diào)離、獎

懲等方面的具體要求和各類管理人員的具體職責。

/機房管理相關制度：明確機房管理、機房出入、設備出入、機

房值班、日常維護、定期維護、故障處理、電源管理、消防管

理、信息保密等方面的具體管理要求。

,設備管理相關制度：明確設備購置、使用、維修等方面的具體

管理要求。

,軟件管理相關制度：明確軟件采購、測試、安裝、登記、保管、

使用、維護、防病毒等方面的具體管理要求。

/信息介質(zhì)管理相關制度：明確各類信息介質(zhì)的采購、登記、借

用、復制、銷毀、儲存等方面的具體管理要求。

/技術(shù)文檔管理相關制度：明確技術(shù)文檔歸檔、借閱、復制、備

份、銷毀等方面的具體管理要求。

/安全審計管理相關制度：明確安全審計內(nèi)容、周期、審計流程

以及日志保存時間、處理等方面的具體管理要求。

/應急處理管理相關制度：明確處理各類信息安全緊急事件的應

急組織、人員、響應流程、處理步驟等。

5.3加強人才隊伍建設

由于信息安全的復雜性、專業(yè)性、特殊性，醫(yī)