延安医疗集团信息安全等级保护整改建议方案书V1.0

信息安全等级保护整改建议方案书

沈阳东软系统集成工程有限公司

2015年7月目录

1项目概述 (3)

1.1项目建设背景 (3)

1.2项目建设目标 (3)

1.3项目参考标准 (5)

1.4项目实施原则 (5)

2现状及需求分析 (6)

2.1现状描述 (7)

2.1.1业务系统现状 (7)

2.1.2基础设施现状 (11)

2.1.3安全技术现状 (16)

2.1.4安全管理现状 (17)

2.2差距分析 (18)

2.2.1系统定级情况 (18)

2.2.2技术体系差距分析 (18)

2.2.3管理体系方面的差距 (25)

2.3安全需求 (25)

2.3.1信息安全管理需求 (26)

2.3.2信息安全运维需求 (28)

2.3.3分域保护安全需求 (28)

2.3.4信息安全技术需求 (28)

3安全技术设计方案 (31)

3.1基本安全域定义 (31)

3.2安全防护体系构成 (32)

3.3系统整体部署 (33)

3.4系统部署说明 (35)

4安全加固建设方案 (35)

4.1主机安全加固 (36)

4.2网络安全加固 (40)

4.3设备安全加固优化 (41)

4.4数据库系统安全加固 (41)

4.5管理制度 (43)

4.6服务方式 (43)

4.7服务流程 (44)

5协助测评建设方案 (44)

6安全管理体系建设方案 (44)

6.1安全策略设计 (47)6.2安全策略与安全规划 (48)

6.3管理制度 (49)

6.4安全管理体系建设过程 (50)

6.5落实医疗集团信息安全责任制 (51)

6.6医疗集团安全管理现状分析 (51)

6.7确定医疗集团安全管理策略，制定安全管理制度 (52)

6.8落实医疗集团人员安全管理制度 (52)

6.9落实医疗集团系统运维管理制度 (53)

6.10落实医疗集团系统建设管理制度 (55)

6.11医疗集团安全管理制度汇总 (55)

7阶段项目验收与成果物 (56)

7.1项目验收流程 (56)

7.2验收评审标准 (57)

7.3阶段验收成果物与总结 (57)

8附1：整改建议方案价格预算 (59)

9附2：东软在医院等保整改建设中优势说明 (61)1项目概述

1.1项目建设背景

根据卫生部制定的《卫生行业信息安全等级保护工作的指导意见》以及陕西省卫生厅印发的《关于全面开展我省卫生行业信息安全等级保护的通知》（陕卫办发…2012‟131号）、《陕西省卫生行业信息安全等级保护工作实施方案》（陕卫办发…2012‟132号）、《陕西省卫生厅办公室关于加强信息系统安全等级保护工作的通知》（陕卫办数发…2013‟275号）等相关文件要求，为进一步促进和规范延安医疗集团（以下简称：医疗集团）的信息化建设，提高医疗集团的管理与业务工作水平，进一步提高医疗集团信息安全保障能力和防护水平，建立面向医院、面向社会公众和患者、面向卫生行政部门的高效、快捷、方便、优质的医疗卫生信息共享与服务体系，充分利用医疗卫生资源，利用信息化的战略先进性，努力提高人民群众的健康水平，在响应国家关于等级保护要求的基础上，维护院方信息安全，保障和促进医疗集团信息化建设的健康发展，按照国家有关规定和标准规范要求、医疗行业发文要求，医疗集团决定围绕医院核心业务系统HIS系统、LIS系统、PACS系统深入开展信息安全等级保护工作，并在此基础上指引后续信息化安全建设方向。

本整改建议方案书是沈阳东软系统集成工程有限公司（以下简称：东软公司）在西安捷润数码科技有限公司针对医疗集团核心医院医疗集团本部信息化现状调研、分析后出具的《延大附院安全整改建议书-详细V2.0》的基础上，依据上述建议书所反映的医疗集团的相关安全问题和信息系统现状所出具的等级保护整改建议方案书。信息系统的安全状态会随着时间的推移和新技术和新漏洞等的不断发现而不断发展变化，故本建议方案书仅针对上述由西安捷润数码科技有限公司出具的建议书所体现的医疗集团的信息系统现状而制作。后期进入项目实施阶段后，根据信息系统的最新安全现状和具体的产品部署环境，该建议方案书可能还需要有局部的调整和更进一步的细化与优化。

1.2项目建设目标

三级信息系统安全保护环境的设计目标是：落实GB 17859-1999对三级信息系统的安全保护要求，在二级安全保护环境的基础上，通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制，使得系统具有在统一安全策略管控下，保护敏感资源的能力。

依照国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准，以及医疗集团对信息系统等级保护工作的有关规定和要求，医疗集团已经对网络和信息系统进行等级保护定级，并按信息系统逐个编制了定级报告和定级备案表，定级材料已经提交当地机关备案。

本次等级保护整改的核心目标是为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面的基本技术要求而进行技术体系建设；为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面定基本管理要求而进行管理体系建设。通过上述两个方面的建设使得医疗集团网络信息系统最终既可以满足等级保护的相关要求，又能够全方位为医疗集团的业务系统提供立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能力。本项目建设将完成以下目标：

1、以医疗集团HIS、LIS、RIS、PACS、体检、临床路径、心电图系统等信息系统的现有基础设施为基础，建设并完成满足等级保护三级系统基本要求的信息系统，确保医疗集团的整体信息化建设符合相关要求并迈向新的台阶。

2、建立安全管理组织机构，成立信息安全工作小组，信息中心负责人为安全责任人，拟定实施医院信息系统安全等级保护的具体方案，并制定相应的岗位责任制，确保信息安全等级保护工作顺利实施。

3、建立完善的安全技术防护体系，根据信息安全等级保护的要求，建立满足三级要求的安全技术防护体系。

4、建立健全信息系统安全管理制度，根据信息安全等级保护的要求，制定各项信息系统安全管理制度，对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。

5、制定保障医疗活动不中断的应急预案。应急预案是安全等级保护的重要组成部分，按可能出现问题的不同情形制定相应的应急措施，在系统出现故障和意外且无法短时间恢复的情况下能确保医疗活动持续进行。

6、安全培训：为医疗集团信息化技术人员提供信息安全相关专业技术知识培训，并获取相关资质认证。

1.3项目参考标准

东软公司有充分的能力和丰富的经验在遵循国家信息安全等级保护指南等最新安全标准的前提下协助医疗集团开展各项等级保护整改建设工作，并助力和配合医疗集团通过相关组织的等级保护测评工作。本项目建设参考依据：

1.4项目实施原则

针对医疗集团本次项目，东软公司如有幸参与，我们将严格遵循以下原则：

保密性原则：东软公司对安全服务的实施过程和结果将严格保密，在未经医疗集团授权的情况下不会泄露给任何单位和个人，不会利用此数据进行任何侵害客户

权益的行为；

⏹标准性原则：服务过程中的设计和实施的全过程均依据国内或国际的相关标准进

行，根据等级保护三级基本要求，分等级分安全域进行安全设计和安全建设，对

医疗集团计算机网络系统的重要信息系统进行安全防护。

⏹规范性原则：东软在各项安全服务工作中的过程和文档，都具有很好的规范性（《东

软安全服务实施规范》），可以便于项目的跟踪和控制；

⏹可控性原则：服务所使用的工具、方法和过程都会在东软公司与医疗集团双方认

可的范围之内，服务进度遵守进度表的安排，保证双方对服务工作的可控性；

⏹整体性原则：服务的范围和内容整体全面，涉及到IT运行的各个层面，避免由于

遗漏造成未来的安全隐患；

⏹最小影响原则：服务工作力求尽可能小的影响信息系统的正常运行，不会对现有

业务造成明显影响。

⏹体系化原则：在体系设计、建设中，东软公司将充分考虑到各个层面的安全风险，

构建完整的立体安全防护体系。

⏹先进性原则：为满足后续不断增长的业务需求、对安全产品、安全技术都充分考

虑前瞻性要求，采用先进、成熟的安全产品和先进的管理方法。

⏹分步骤原则：根据医疗集团要求，对医疗集团安全保障体系进行分期、分步骤的

有序部署和分期设计，不仅要完成现阶段的项目任务，还需要为未来信息系统的

建设进行前瞻性的指引。

⏹服务细致化原则：在项目咨询、建设过程中东软公司将充分结合自身的专业技术

积累与行业经验，结合医疗集团的实际信息系统量身定做才可以保障其信息系统

安全稳定的运行。

2现状及需求分析

本节的现状和需求分析主要是针对医疗集团本部（即：延大附院）进行分析的，医疗集团下属其他7家县级医院在本次等级保护整改建设中仅考虑互联互通中的边界安全防护设计。

2.1现状描述

2.1.1业务系统现状

医疗集团本部目前分为本部，东关分院两大部分，两院网络相对，通过专线连通，本部和东关分院网络结构如下图：

延安医疗集团信息安全等级保护整改建议方案书

8

医疗集团本部“电子病历系统”是医院的核心业务系统，为整个医院的医疗科研业务提供信息支持，为患者提供健康信息服务。电子病历系统包含：HIS应用系统、RIS应用系统、PACS应用系统、LIS应用系统、体检应用系统、临床路径应用系统、心电图应用系统等。

2.1.1.1.1 HIS应用系统

HIS应用系统是医疗集团本部非常重要的系统。HIS系统覆盖了全院所有业务和业务全过程，功能包括了门诊挂号系统；中药库、西药库管理系统；住院部医生工作站系统；住院部护士工作站系统医技科室管理系统；院长查询分析系统；病案管理系统；设备、总务、供应室管理系统等功能。其他重要业务系统基本都与HIS系统做了接口，实现功能跳转和数据共享等。运用该系统能实现对医院日常业务的规范化管理，让管理者即时监控医疗集团本部运营状况，显著提升医疗集团本部工作效率，提高医疗集团本部医疗质量和管理水平。该系统为医疗集团本部核心生产系统，实时性要求非常高，不仅连接医疗集团本部内部众多系统，而且连接医保网络。

2.5.1.1.1 RIS应用系统

RIS应用系统提供了一个全息的数字化业务平台，放射科医师在此基础上进行数字化读片、诊断、撰写报告、审核并完成图像及其报告的分发。

2.5.1.1.2 LIS应用系统

LIS系统（Laboratory Information Management System），将实验仪器与计算机相连，快速实现对病人样品登录、实验数据存取、报告审核、打印分发等功能，实验数据统计分析等繁杂的操作过程实现了智能化、自动化和规范化管理。有助于提高实验室的整体管理水平，减少漏洞和误操作，提高医疗检验质量。该系统为医疗集团本部重要业务系统，具有最多的接入终端。

2.5.1.1.3 PACS应用系统

PACS系统应用在医疗集团本部影像科室的系统，把日常产生的各种医学影像（包括核磁，CT，超声，各种X光机，各种红外仪、显微仪等设备产生的图像）通过各种接口（模拟，DICOM，网络）以数字化的方式海量保存起来，当需要的时候在一定的授权下能够很快的调回使用，同时增加一些辅助诊断管理功能，负责在各种影像设备间传输数据和组织存储数据。该系统为医疗集团本部重要业务系统，需传输大量的影像视频数据，对网络带宽有很高的要求。

2.5.1.1.4 体检应用系统

体检系统以体检信息为主线，健康指导为纽带，通过规范体检流程管理，合理安排体检项目，通过网络传输各种检验、检查结果，减少中间环节，提高安全性和可靠性。体检系统能够提供规范的体检结果报告，并能进行分析，使体检报告更具科学性。体检系统跟HIS 系统、LIS系统、RIS系统做了接口连接保证了健康状况资料连续性，能方便、快捷地进行逐年体检情况追踪，并体检信息综合分析，形成各项医疗统计报表，为体检单位提供人员整体健康状况分析。

2.5.1.1.5 临床路径应用系统

临床路径应用系统保证治疗项目精细化、标准化、程序化，减少治疗过程的随意化，并和HIS应用系统做了接口连接；提高我院资源的管理和利用，加强临床治疗的风险控制；缩短住院周期，减低费用；临床路径应用系统还可以为无相关经验人员提供教育学习机会。

2.5.1.1.6 心电图应用系统

心电图应用系统通过专有仪器对患者进行检测，检测结果存入心电图应用系统的数据库，并和HIS系统做接口连接，医护人员可以通过HIS系统和心电图系统直接调用检测结果。

2.5.1.1.7 EMR应用系统

EMR系统（电子病历系统）是医学专用软件。医院通过电子病历以电子化方式记录患者就诊的信息，包括：首页、病程记录、检查检验结果、医嘱、手术记录、护理记录等等，其中既有结构化信息，也有非结构化的自由文本，还有图像信息。涉及病人信息的采集、存储、传输、质量控制、统计和利用。在医疗中作为主要的信息源，提供超越纸张病历的服务，满足医疗、法律和管理需求。

2.1.1.2 HIS就诊卡/一卡通系统

医疗集团本部将于近期上线的“HIS就诊卡/一卡通系统”，该系统与其他做HIS接口系统不同的是：是集成在HIS系统中的一个收费模块，与其他接口系统做了数据绑定，实现RIS、LIS、心电图等业务系统的电子化计费、收费等功能，其相关财务数据存于HIS 数据库中。该系统优化了患者的就诊流程,改变了就诊模式,提高了工作效率,提升了门、急诊工作质量和管理水平,促进了门、急诊部的信息化建设。

由于该系统与HIS数据和其他业务数据具有紧密的联系，预计在将来可能会与医院现有财务管理系统做接口，实现业务数据和财务数据的彻底绑定，所以其安全的保密性、完整性、可用性的要求与HIS系统、财务系统等重要业务系统同等重要。

2.1.1.3 财务管理系统

医疗集团本部财务系统是该院内部财务管理、资产管理、人员管理的重要系统，涵盖的业务功能有报账、对账、财务分析、票据管理、财务报表、所得税申报等功能。

2.1.2基础设施现状

●信息机房

●主要业务应用系统

主要主机/存储设备

主要网络互连设备

主要网络安全设备

2.1.3安全技术现状

2.1.

3.1 物理安全现状

延大附中的信息机房分布于本部和东关分院两处，机房建设时间较早，在建设初期，国家相关的法规和标准不够健全，故在机房选址和基本的物理安全方面缺少对于相关安全要求的考虑，在机房选址、访问控制、防盗防破坏、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护方面均有不同程度的安全隐患和防护建设需求。

2.1.

3.2 网络安全现状：

延大附中信息系统采用百兆到桌面，千兆到交换，万兆到服务器的方式建立TCP/IP网络架构，在传统的接入-汇聚-核心三层架构上，将重要服务器以及HIS、LIS、PACS等应用系统放置在服务器区，但全网安全设备缺乏，整个信息系统网络架构中仅部署了一台防火墙，没有其他安全防护措施，网络访问主要通过交换机ACL控制。

2.1.

3.3 主机安全现状：

主机系统主要采用windows 2003、windows2008、windows7的微软操作系统和AIX 操作系统，所有的操作系统的配置均使用默认的缺省配置，未进行危险配置项的规避操作和系统漏洞的升级和加固工作。同时，根据西安捷润数码科技有限公司出具的差距分析报告和其他相关报告，延大附中的主机系统也未发现有主机防病毒系统，主机系统同时面临病毒和恶意代码的威胁。

2.1.

3.4 应用安全现状：

应用系统多为CS架构，系统设计开发之初并未充分考虑系统的安全需求和相关的合规性要求，系统建设和开发主要以实现功能性需求为主导目标，各应用系统的分角色分权限管理和强身份认证几乎均为空白。

2.1.

3.5 备份恢复现状：

所有的信息系统审计日志和运行日志均没有备份机制，核心业务系统的数据库可以做到同城异地备份，但对于数据的备份没有校验机制，对于已经备份的数据没有恢复测试机制。

2.1.4安全管理现状

根据《延大附院安全整改建议书-详细V2.0》的描述，医疗集团本部现有安全管理制度如下：

2.2差距分析

2.2.1系统定级情况

2.2.2技术体系差距分析

各子系统的详细差距分析参见《延大附院安全整改建议书-详细V2.0》，以下是对各子系统的普遍性安全问题和差距项的分析性描述，这些描述主要体现了医疗集团本部IT系统与等保三级要求的标准差距以及这些差距可能引发的相关安全隐患和可能引发的安全问题。

2.2.2.1 物理安全方面的差距

●机房位置选择：

机房场地选择在建筑物的最高层（本部21层、东关7层，都为最高层），不符合等保三级系统“机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。”的标准要求。

机房位于大楼的最高层易受大楼楼层负重，制约后期扩容；易遭受地质、天气类灾害的影响；也存在因为顶楼防水问题引起的机房漏水等安全隐患。

●物理访问控制：

机房专人值守但缺少机房出入人员的登记册，进出入机房缺少相关申请和审批的流程。可能因为出入人员的管理措施不到位，引发盗窃、破坏等恶意行为。

机房区域划分不够合理，只划分了监控区和设备区两个区域，可能造成区域安全问题的扩散。

●防盗窃和破坏：

网络设备及线路没有做明确标识，部分强电线路没有做明确标识，没有设置专门的介质存放柜，容易引发误操作类安全事故发生（本部机房）。

机房内没有设置视频监控及防盗红外监测和报警装置，缺少防盗监测报警技术措施，可能对盗窃和恶意闯入行为不能够及时发现，在发生盗窃和破坏事件后也不容易追责。

●防火：

机房安装有火情自动检测系统，但是长期未启用。灭火器是七氟丙烷灭火器，气压较低，并缺少防毒面具，机房内堆放有易燃杂物，防火措施不够全面，当发生火情时，可能造成灭火处理措施延误现象，当缺失防毒面具时，不能全面防护灭火人员的人身安全。

●防水和防潮：

机房空调下方没有设置防水监测线及防水堤坝装置，当空调排水线路发生故障或发生其他漏水现象时，不能有效对漏水现象进行检测和防护。东关机房存在漏水现象。

●防静电：

防静电地板接地铜条设置不完善，机柜没有做接地防护措施，监控台未铺设防静电桌布，可能引发静电破坏。

●温湿度控制：机房监控区与设备区有玻璃隔断，缺少对监控区的温湿度检测设备和自动调节设备，缺少对机房全面地温湿度检测和控制措施，可能引发由温湿度变化引起的设备当机或破坏事故或者因为湿度过量而影响设备的使用寿命。

●电路供电：

机房供电为单路供电，若发生电力线路故障，延时供电系统如部署有限，可能引发全部业务系统或部分业务系统中断运行的安全问题。

●电磁防护：

没有对设备采用电磁防护措施，通信线缆与供电线路交叉铺设，可能存在电磁干扰或数据泄漏等安全隐患。

2.2.2.2 网络安全方面的差距

2.2.2.2.1 网络整体

●结构安全：

业务终端与业务服务器之间未进行路由控制建立安全的访问路径、没有划分业务子网，没有在网段之间设置技术隔离措施，目前处于全网互通状况，不能有效、合理对业务终端的网络访问进行隔离，没有对业务带宽进行策略，可能造成网络层面的恶意攻击的现象。

没有对网络区域进行合理划分，部分服务器设备没有进行合理连接，存在单点故障隐患。

●边界完整性：

网络边界处没有相关安全设备，如入侵检测系统，不能对网络攻击行为进行监测，可能提升事后追责的难度，不能有效对全网安全状况进行分析。

2.2.2.2.2 网络设备

2.2.2.2.2.1 核心交换机

●访问控制：

具有ACL访问控制列表，但控制粒度为网段级，没有达到端口级，可能造成对端口级网络攻击行为防护措施的遗漏。

对网络设备的登录管理，管理终端的超时会话没有配置安全策略，未对网络设备管理用户按照最小安全访问原则进行权限配置，可能造成恶意连接和用户占用系统网络资源。

●安全审计：设备审计策略不完善，只能记录管理或操作设备的用户行为，无法对设备运行状态事件进行全面记录，没有对设备日志记录进行分析，没有配置日志服务器进行日志的记录和保存，可能造成审计不全面、数据遗漏或丢失等安全问题。

●网络设备防护：

没有对网络设备的登入用户终端IP进行，只采用用户名密码单一认证方式，没有设置登录失败等安全措施，并通过明文加密的方式进行远程管理，可能造成恶意登入、密码猜解、数据包盗取等安全问题。

没有对设备端口进行管理，没有对不必要的端口进行关闭，没有对设备系统相关文件进行备份，没有建立设备时钟同步机制。可能引发恶意攻击、数据丢失等安全问题。

2.2.2.2.2.2 服务器接入交换机

●访问控制：

具有ACL访问控制列表，但控制粒度为网段级，没有达到端口级，可能造成对端口级网络攻击行为防护措施的遗漏。

对网络设备的登录管理管理终端的超时会话没有配置安全策略，未对网络设备管理用户按照最小安全访问原则进行权限配置，可能造成恶意连接和用户占用系统网路资源。

●安全审计：

设备审计策略不完善，只能记录管理或操作设备的用户行为，无法对设备运行状态事件进行全面记录，没有对设备日志记录进行分析，没有配置日志服务器进行日志的记录和保存，可能造成审计不全面、数据遗漏或丢失等安全问题。

●网络设备防护：

没有对网络设备的登入用户终端IP进行，只采用用户名密码单一认证方式，没有设置登录失败等安全措施，并通过明文加密的方式进行远程管理，可能造成恶意登入、密码猜解、数据包盗取等安全问题。

没有对设备端口进行管理，没有对不必要的端口进行关闭，没有对设备系统相关文件进行备份，没有建立设备时钟同步机制。可能引发恶意攻击、数据丢失等安全问题。

2.2.2.2.2.3 楼层接入交换机

●访问控制：

对网络设备的登录管理管理终端的超时会话没有配置安全策略，未对网络设备管理用户按照最小安全访问原则进行权限配置，未进行相关的防地址欺骗技术手段的配置，可能造成恶意连接和用户占用系统网路资源。

●安全审计：

设备审计策略不完善，只能记录管理或操作设备的用户行为，无法对设备运行状态事件进行全面记录，没有对设备日志记录进行分析，没有配置日志服务器进行日志的记录和保存，可能造成审计不全面、数据遗漏或丢失等安全问题。

●网络设备防护：

没有对网络设备的登入用户终端IP进行，对管理用户没有采取认证措施，没有设置登录失败等安全措施，并通过明文加密的方式进行远程管理，可能造成恶意登入、密码猜解、数据包盗取等安全问题。

没有对设备端口进行管理，没有对不必要的端口进行关闭，没有对设备系统相关文件进行备份，没有建立设备时钟同步机制。可能引发恶意攻击、数据丢失等安全问题。

2.2.2.3 主机安全方面的差距

●身份鉴别：

身份鉴别安全措施设备不完善，鉴别方式单一（用户名+密码），未设置：账户锁定时间、锁定阈值、复位账户锁定计数器、最小密码长度等，可能造成口令猜解、非法用户登入等安全问题。

主机设备没有三权分立，只有系统管理员，没有操作员、安全审计员。可能造成权限滥用的安全问题。

●访问控制：

没有对系统重要资源设置敏感标记，可能造成对数据和文件的非授权使用。

●安全审计：

安全审计策略开启不够全面，没有定期备份，没有日志服务器，可能造成审计信息遗漏或丢失，造成事后追责的难度。

●入侵防范：

没有设置IDS等入侵检测系统，不能够对主机层面的攻击行为进行管理。

部分不必要的端口和服务启用，扩大恶意攻击者的攻击面。

●资源控制：

缺少主机监控和审计系统，不能够对主机层面的系统运行和安全状况进行实时监控，不能对系统资源使用进行管理，可能造成系统资源的不合理利用或破坏行为。

2.2.2.4 应用安全方面的差距

●身份鉴别：

身份鉴别措施单一，只采用输入用户名密码的方式进行登录，没有设置鉴别复杂度管理措施和登录失败处理功能，可能造成恶意人员非法登入尝试、登入用户无法证明合法性等安全问题。

●访问控制：

缺少对重要信息资源设置敏感标记的功能，可能造成资源被非授权使用等安全问题。

●安全审计：

缺少对系统安全事件进行分析、统计、生成报表等功能，不能有效、及时对安全事件进行管理。

●剩余信息保护：

对终端登录系统的身份鉴别信息，没有及时清除，可能造成系统级别的数据盗取安全问题。

●通信完整性：

部分系统缺少应用级别的完整保护措施，可能造成数据的篡改等安全问题。

●通信保密性：

部分系统没有对数据包进行加密，造成数据泄密等安全问题。

●抗抵赖：

没有CA认证等系统，不能够对数据原发和接收人进行认证，可能造成数据伪造、身份伪造等安全问题。

●资源控制：

没有对单个用户的最大并发会话数、一个时间段内最大并发会话数的，缺失服务水平最低值报警措施和资源利用优先级设置措施，部分系统缺少最大并发会话连接数的，可能造成系统资源的不合理利用或破坏等安全问题。

2.2.2.5 数据安全及备份恢复方面的差距

●数据完整性：

业务数据从业务角度划分为：医疗数据、病人数据、医生数据、财务数据、药品数据等，从系统类别角度划分为：HIS综合数据、EMR数据、PACS数据、RIS数据、LIS数据、体检数据、心电图数据、临床路径数据等，这些数据的传输、处理和存储，一方面与HIS系统做接口，另一方面各自有其系统服务和数据库相对应，采用带内传输的方式。

上述数据在传输过程中的完整性安全措施需要在OSI模型中得以全面采用，才能构成客户端到服务端传输途径的全面的数据完整性保障措施。

经分析，通过带内传输的业务数据、鉴别信息和管理数据主要通过TCP/IP协议来实现数据包在传输层和网络层的互通，虽然TCP/IP协议具有CRC数据校验功能，但在应用层并没有具体的数据校验和完整性保护及恢复功能，使得应用层与传输层传送的数据可能会遭受篡改。

系统管理数据的账户密码、审计数据，登入系统的鉴别信息和应用系统业务数据都存储在服务器和数据库中，在HIS业务数据存储方面主要通过DB2的集群架构来实现数据的存储和备份，集群采用quorum模式，来对备份的数据进行校验，保障存储备份数据的完整性。数据库采用主备机制，本部数据库为主，东关数据库为备，东关HIS应用连接本部数据库，东关只接收本部DB2数据日志进行备份，当本部数据完整性遭受破坏后，从东关进行数据恢复。

●数据保密性：

通过远程桌面发送的系统管理数据全部采用基本模式，没有配置SSL加密模式，虽然基本模式中采用RDP传输协议中自带60位RSA-RC4加密算法对数据进行简单加密（只加密密码，不加密用户名），但通过“用户口令猜想”攻击手段，可以对Password进行穷举攻击或利用联想，其口令猜测成功率可以达到24.2%。

HIS、LIS、RIS、PACS、体检、临床路径系统其数据包没有采用加密措施，心电图系统采用自由加密技术对数据包进行加密。

HIS、心电图等部分系统的审计日志存放为本地服务器系统文件夹中的TXT文件中，没有采用数据加密处理技术。

HIS、RIS、LIS等数据库中的密码为MD5加密存储，但数据值没有启用加密措施。

●备份与恢复：

HIS存储只与一台光交换设备做连接，存在单点故障。HIS应用服务器为四台，本部、东关各两台，分别做主备。其数据库为主备架构。

部分服务器与单台接入交换机进行双线路连接，但只接入一台交换机。

2.2.3管理体系方面的差距

●安全管理制度：

缺少信息安全工作的总体方针和安全策略，缺少全面的信息安全管理制度体系，缺少对安全管理制度的评审记录，缺少对安全管理制度的制定和发布的管理文档。

●安全管理机构：

没有成立信息安全领导小组，缺少相关文件对管理机构内各部门和岗位职责及各个岗位人员的技能要求的描述，没有相关制度描述审批事项负责部门以及审批的流程和记录，缺少相关的安全检查记录及对安全检查相关要求的制度和安全检查报告及检查结果通告记录。

●人员安全管理：

缺少人员惩戒、考核、培训等相关制度和记录。

●系统建设管理：

缺少软件测试记录、开发文档、工程管理文档、验收报告等资料。

●系统运维管理：

缺少系统运维工作的具体管理规定和细则，没有建立起全面、深入的系统运维管理体系，如变更、备份恢复、应急响应、代码管理、系统升级、日志记录、工作授权与交接等制度。

2.3安全需求

医疗集团本部信息系统的安全需求首要的是要满足三级等级保护系统的防护要求，满足此类要求说到底是满足监管类的合规性要求。东软公司作为等级保护标准的起草参与厂商之一，对于等级保护标准有着区别于普通安全厂商的深刻理解。基于19年的技术积累与持续创新，东软公司网络安全事业部已成为国内一流的网络安全团队。我们认为信息安全建设需要正本清源，从信息安全的本质属性入手，这样不但有更多的方和最佳实践可供借鉴，同时也可以在满足等级保护合规性要求的同时，从根本上改善和提升延大附中信息系统的安全水平。

信息安全是指信息系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露；系统连续可靠正常地运行，信息服务不中断。信息安全包括了保密性、完整性、可用性等特性，本建议方案书将从信息安全管理、信息安全运维、信息安全技术三个方面展开需求分析，并力求使系统达到在统一安全策略下，防护系统免受来自外部有组织的团体或拥有较为丰富资源的威胁源发起的恶意攻击、经受较为严重的自然灾难和其他相当危害程度的威胁所造成的主要资源损害，能够及时发现安全漏洞和安全事件，并能在系统遭受损害后，较快恢复绝大部分功能。

2.3.1信息安全管理需求

⏹符合等级保护要求

2003年的《国家信息化领导小组关于加强信息安全保障工作的意见》（27号文）中指出：“要重点保护基础信息网络和关系、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。根据国家信息化领导小组的统一部署和安排，我国开始在全国范围内全面开展信息安全等级保护工作。

⏹符合国内国际标准

医疗集团本部由自身业务系统建设、运维、发展过程而形成了一系列信息安全管理的自身需求。自身需求需要满足国家、主管部门规定的信息安全管理标准、要求以外，还需要参考并符合一些相关的国内国际标准，才能够更有效的保障医疗集团本部信息系统的安全管理建设。

具体内容包括如下：

1、ISO_IEC 27001 GB/T22080-2008《信息安全管理体系要求》

ISO/IEC27001:2005信息安全管理体系要求（Information Security Management Systems Requirements ），是由国际标准化组织（ISO）和国际电工委员会（IEC）组成的联合技术委员会JTC1/SC27制定的ISMS国际标准，2005年正式颁布。我国于2008年颁布了等同采用ISO/IEC27001：2005的国家标准GB/T22080-2008，这两个标准具有同等效力。ISO/IEC 27001的宗旨是确保机构信息的机密性、完整性及可用性，共有11个管理控制域、39个控制目标及133项控制措施，可在其中选择适用于延大附中业务需求的控制措施，同时也可增加其它的控制措施。

医疗集团本部运用信息系统支撑其主要业务活动。从业务系统的复杂性、重要性，以及信息系统的整体规模、地理范围、工作人员等诸多因素考虑，现有的合规性管理要求并不能完全满足医疗集团本部对信息安全管理的全部需求，需要引入ISO_IEC 27001或称为GB/T22080-2008，健全医疗集团本部的信息系统安全管理体系。

通过比较已有的等级保护管理要求与医疗集团本部自身的信息安全管理需求，需要从ISO_IEC 27001中引入部分内容满足以下管理需求：

●业务连续性管理

目标：防止医疗集团本部业务活动中断、保证重要业务流程不受重大故障和灾难影响。

管理需求：应通过业务连续性管理采用控制措施，识别和降低风险，破坏性事件造成的后果，确保重要操作及时恢复；应实施业务连续性管理程序，预防和恢复控制相结合，将灾难和安全故障造成的影响降低到可以接受的水平。

●安全策略评审管理

目标：保证医疗集团本部信息系统符合组织的安全策略和标准。

管理需求：应确保信息系统、系统供应商、信息和信息资产的所有者、用户、管理层几个方面都遵守已发布的安全策略和标准；应确保信息系统所有者支持定期评审，确保系统符合相关的标准、要求。

●技术符合性检查管理

目标：保证信息系统符合安全技术实要求。

管理需求：应定期检查信息系统是否符合技术要求；应形成周期性检查的流程；应保证所有检查在合格的授权人员或其监督下完成。

2、SSE-CMM 《系统安全工程能力成熟度模型》

系统安全工程能力成熟模型（SSE-CMM）的开发源于1993年5月美国发起的研究工作。1999年完成SSE-CMM模型的第二版。SSE-CMM建立和完善一套成熟的、可度量的安全工程过程，从而确保安全工程的任何工程活动均是清晰定义的、可管理的、可测量的、可控制的并且是有效的；SSE-CMM还用于改进安全工程实施的现状，达到提高安全系统、安全产品和安全工程服务的质量和可用性并降低成本。

医疗集团本部信息系统从整改设计、开发采购、运行维护等各个阶段都有大量IT公司参与。主要包括系统集成商，应用开发者，产品厂商和服务供应商。医疗集团本部可以有效利用SSE-CMM模型去评审、控制及保障各个服务商在进行硬件、软件、系统等工程活动过程。

2.3.2信息安全运维需求

按照等级保护要求，信息安全工作应贯穿信息系统建设的生命周期，信息安全是一个动态的和不断补充完善、持续改进的过程，本节描述医疗集团本部安全保障系统运行维护的技术需求。

运行管理-从保证业务连续性的角度来看，运行管理是保障业务连续性中非常重要的环节。涉及到机房物理环境的安全管理、资产设备和介质的生命周期管理、网络安全管理、系统安全管理、恶意代码防范以及容灾管理。

变更管理-由于信息系统不是一成不变的，总是要根据业务运行的需要不断发展完善，在变化的过程中，很有可能引入新的安全风险，因此，信息系统的变更管理与信息安全密切相关。

安全监控-安全基础设施中的各种安全设备部署和安全管理平台建设完成后，需要通过安全监控工作始终保持对安全状态的关注，及时处理安全问题，把安全隐患扼杀在萌芽之中。

应急响应-制定应急响应流程和应急预案并定期演练，也可以借助第三方厂商帮助应急。 风险评估和持续改进-将风险评估工作制度化、日常化，按照PDCA的循环模型定期、不定期的进行是风险管理成果得以持续提升和改进的重要步骤。

2.3.3分域保护安全需求

基于《延大附院安全整改建议书-详细V2.0》的调研结果和对医疗集团本部信息系统网络拓扑结构的分析，目前医疗集团本部信息网络系统未按“系统功能和应用相似性”、“资产价值相似性”、“安全要求相似性”、“威胁相似性”等原则对现有网络结构进行安全区域的划分，导致网络结构没有规范化，缺少区域访问控制和网络层防病毒措施，不能有效控制蠕虫病毒等信息安全事件发生后所影响的范围，从而使得网络和安全管理人员无法对网络安全进行有效的管理。

2.3.4信息安全技术需求

信息安全技术需求要求能够遵从国家关于信息系统等级保护的要求（基本要求中的技术要求），根据所定义的不同的等级保护级别采取相应的技术手段对信息系统采取适当的安全保护。

等级保护实施指南中明确提出：对一个大型、复杂信息系统的构成内容进行抽象处理，提取共性形成模型，以便于针对模型要素提出统一的安全策略和安全措施要求。那么，这个模型化的安全技术措施整改设计方法就是：安全域的整改和设计。

根据安全域划分的要求，安全域可以分成四大类，即：安全计算环境（如：服务器区、客户端局域网环境）、安全区域边界（如：internet边界防火墙、外联边界防火墙、IPS）、安全通信网络、安全支撑系统（如：网管和性能管理系统、安全管理中心，其中安全管理中心又可以起到统一管理安全设备和安全事件的作用）。

2.3.4.1 安全通信网络

对照差距评估结果，医疗集团本部通信网络主要存在问题：缺乏网络边界隔离控制网关、缺少网络入侵检测、缺少网络性能监控和管理，网络恶意代码防范措施不足。

因此，安全通信网络的安全技术需求主要在于网络边界隔离与控制、网络安全审计、网络入侵防范、网络性能监控与管理、网络恶意代码防范这几个方面。

◆通信网络IT资源监控管理

信息系统是承载业务应用的基础，当信息系统出现性能下降或者不可用的情况时，业务应用必然受到直接影响，因此对IT信息系统的资源监控管理是医疗集团本部业务应用稳健运行所需要的一个重要技术环节。

因此，IT资源监管系统主要是对业务系统运行环境中的各种设备及软件进行有效的监控和管理，监控目标包括：主机服务器（操作系统）、数据库、网络设备、磁盘阵列、中间件、WEB服务、业务应用系统、防火墙、负载均衡、机房环境等。

◆资源控制

需要采用IT监管系统，对重要服务器的运行服务水平进行监视和报警，及时掌握系统的运行状况，如：CPU的利用率、剩余磁盘空间、内存、网络带宽等资源的使用情况。

◆通信网络入侵检测

在安全通信网络采取必要的入侵检测措施，检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。

◆通信网络恶意代码防范

在安全通信网络采取必要的恶意代码检测措施，及时对通信网络边界处的恶意代码进行检测和清除。

2.3.4.2 安全计算环境

在医疗集团本部的业务系统中存在重要数据处理业务，用户数据存放在安全计算环境中，对照差距评估结果，主要存在问题：身份鉴别、数据库审计、访问控制、漏洞检测加固、资源控制措施不足。

因此，安全计算环境的安全技术需求主要在于身份鉴别、访问控制、安全审计、漏洞检测加固、应用系统安全防护这几个方面，这几个方面也是安全计算的基础。

◆访问控制

访问控制也是是安全计算环境保护中极其重要的一环。它是在身份识别的基础上，根据不同身份对其提出的资源访问请求加以控制。在访问控制中，对其访问必须进行控制的资源称为客体，同理，必须控制它对客体的访问的活动资源，称为主体。主体即访问的发起者，通常为进程，程序或用户。客体包括各种资源，如文件，设备等。访问控制中第三个元素是保护规则，它定义了主体与客体可能的相互作用途径。

控制对信息的访问，应该根据业务要求和安全要求对信息访问与业务流程加以控制，还应该考虑信息传播和授权的策略。访问控制的目标是防止对任何资源的非法访问。所谓非法访问是指未经授权的使用、泄露、销毁以及发布等。访问控制是系统保密性、完整性、可用性和合法使用性的基础。

◆安全审计

审计是指对记录的回顾和分析，响应是根据审计的结果采取的应对措施。

审计和响应功能的最重要目标就是帮助系统的管理者达到个体（使用者）的可审计性。根据系统的安全性要求，将不同个体的操作记录下来，使得系统的管理者（安全管理者）可以在事后（或者事件发生时）了解操作者的情况。

应能记录系统相关安全事件，并能对特定安全事件进行报警；审计记录应包括安全事件的主体、客体、时间、类型和结果等内容；应提供审计记录的分类、统计分析和查询等；应提供审计记录的存储保护，确保审计记录不被破坏或非授权访问；应为安全管理中心提供接口；对不能由系立处理的安全事件，应提供可由授权主体调用的接口。

2.3.4.3 安全区域边界

医疗集团本部计信息系统网络已经进行了一定的安全区域边界划分，对照差距评估结果，主要存在问题：访问控制、边界入侵防范、边界恶意代码防范措施不足。

因此，安全区域边界的安全技术需求主要在于访问控制、边界入侵防范、边界完整性保护几个方面。

◆区域边界访问控制

在安全区域边界设置访问控制机制（如：定级系统服务器之间、普通服务器之间），对进出安全区域边界的数据信息进行控制，阻止非授权访问。

应根据业务的需要，制定区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议、请求的服务等，确定是否允许该数据包进出受保护的区域边界。

◆区域边界入侵防范

在安全区域边界设置必要的入侵检测机制，并对确认的违规行为及时报警。

◆区域边界恶意代码防范

在安全区域边界设置必要的恶意代码检测机制，及时对区域边界处的恶意代码进行检测和清除。

2.3.4.4 脆弱性管理

脆弱性管理是等级保护要求的一部分，是医疗集团本部安全风险管理的根本，通过对主机操作系统、数据库、网络设备和各种安全设备的脆弱性发现与修补，从信息系统内部进行强化，可以快速提高医疗集团本部信息系统的整体安全水平。

◆安全漏洞检测和加固

需要采用专业漏洞检测软件定期对医疗集团本部信息系统的系统级、数据库级、应用级安全漏洞进行检测，并根据检测结果及时进行安全加固。

3安全技术设计方案

3.1基本安全域定义

安全域的划分是网络防护的基础，事实上每一个安全边界所包含的区域都形成了一个安全域。这些区域具有不同的使命，具有不同的功能，分域保护的框架为明确各个域的安全等级奠定了基础，保证了信息流在交换过程中的安全性。

在本项目中，将严格按照本部和东关分院所属信息系统的重要性和网络使用的逻辑特性划分安全域，东西院均将划分如下确定的安全域：

内联接入区

外联接入区

运维接入区

业务系统区

核心交换区

管理支撑区

其中，外联接入区指与业务专网连接的边界区域；

内联接入区指与内部分院和楼层连接的边界区域；

运维接入区指内部运维人员和第三方维护人员接入的区域；

业务系统区是指业务系统所在的网络区域；

核心交换区是指系统数据集中交换转发的网络区域；

管理支撑区是指安全设备和其他管理系统所在的网络区域；

安全域的划分主要考虑网络边界和系统数据的重要性。在安全域中规划不同子域，采用不同等级的安全策略，保障信息安全。

3.2安全防护体系构成

针对医疗集团本部此次项目防护体系建设，本方案着重考虑以下层面的信息安全建设：

1.网络边界安全：在既定的边界点上，存在着来自内网、对内部的攻击隐患。如

为了达到某种不可告人目的的恶意攻击破坏或资料窃取行为；由于个人安全意识差

异，不慎成为被动的攻击破坏者的攻击行为；误操作造成无意的攻击行为。另一方

面，对于外部接入用户没有审计措施，一旦出现安全问题无从追查攻击的来源、时

间以及非法操作的过程，无法了解攻击者入侵了的目标和范围，从而违背了可追查

性原则。

2.计算环境安全：信息安全可以分为控制与监视两个层面：控制意味着对访问行为的

主动干涉，而监视则是对访问行为的旁路分析记录。在主要边界点上已经具有一定的访问控制功能和安全策略配置的前提下，访问控制设备对网络内部网段用户的安

全检查防范明显的弱于对于网络外部网段用户的安全检查防范，因此还需诸如防病

毒、安全审计、入侵防御等技术来弥补该项漏洞。

3.应用安全：最具威胁性的攻击往往是通过应用系统而表现出来的，这是因为信息资

产的价值往往需要应用系统而体现。作为信息资产的主要载体，应用系统将作为具

体的保护目标而得以考虑，如网页防篡改、风险评估等措施；

4.管理安全：信息安全的管理运维往往面临着多品牌、多技术的庞杂局面，因此建立

一个可提供唯一管理接口的网络运维平台是一个的理想选择。以网管系统为代表的

运维技术以及相关的安全咨询、漏洞管理等技术都将对此提供有效的解决方案。

3.3系统整体部署

根据上述区域的划分并结合本部和东关分院现有的网络及安全设备，整体的安全规划如下图所示：

延安医疗集团信息安全等级保护整改建议方案书

34

图3-1 医疗集团本部等级保护安全建设规划图

延安医疗集团信息安全等级保护整改建议方案书

3.4系统部署说明

医疗集团本部安全设备部署

医疗集团下属县医院安全设备部署

4安全加固建设方案

根据设计阶段的差距与评估分析报告、安全整改加固方案，东软对医疗集团本部参与测评的三级系统进行安全加固服务（包括主机安全加固、网络设备安全加固服务、安全设备安全加固优化服务、数据库系统安全加固服务、管理制度完善）。

安全加固内容如下：

4.1主机安全加固

主要对医疗集团本部信息中心机房所有主机系统（含虚拟机）进行安全加固，内容如下:

⏹检查主机系统的补丁管理；

⏹账号及口令策略；

⏹网络与服务

⏹文件系统；

⏹日志审核；

⏹防火墙策略；

⏹系统钩子；

⏹木马、后门及rookit；

⏹安全性增强；

1)Unix服务器系统安全加固

用户帐户设置

UID－用户ID基本要求

UNIX中Root安全标准

默认系统帐户安全标准

密码要求

密码保护登陆失败次数

GID－组ID的基本要求

网络设置

IP协议栈的安全设置

套接字队列长度定义用来防护SYN攻击

重定向

源站路由

TIME_WAIT设置

ECHO回应广播

地址掩码查询和时间戳广播

/etc/hosts.equiv, .rhosts和.netrc配置文件

X Window系统

/etc/hosts.deny和/etc/hosts.allow的配置规范

权限控制

用户文件和HOME目录属性

操作系统资源

操作系统补丁管理

审计策略

系统访问日志

日志记录保存期限

Sudo日志记录

2)Windows服务器系统安全加固

用户账号控制

密码策略

复杂性要求

账户锁定策略

内置默认账户安全

安全选项策略

注册表安全配置注册表访问授权

禁止匿名访问注册表

针对网络攻击的安全考虑事项

禁用8.3 格式文件名的自动生成

禁用LMHASH 创建

配置NTLMSSP 安全

禁用自动运行功能

附加的注册表安全配置

服务管理

成员服务器

域控制器

文件/目录控制

目录保护

文件保护

评估新补丁对操作系统及应用系统的影响，在不影响系统正常使用的情况下

确定修补程序当前版本状态

部署修补程序

系统审计日志

其它配置安全

确保所有的磁盘卷使用NTFS文件系统

系统启动设置

屏幕保护设置

远程管理访问要求

防病毒管理

实施内容及方法：

1、对测评系统的各系统管理员进行访谈，结合医疗集团本部的应用需求，评估分析现有的各服务器的运行情况、是否虚拟机（Vmware、Citrix）、维护管理情况等，分析其中的不满足项及安全隐患。

2、使用Xscan工具扫描检测所有服务器中系统账号的口令设置是否存在不安全因素。

同时，在本次项目的检查工作中，我们还将检测所有存在弱口令账号的应用服务。

3、使用Nessus漏洞扫描工具对所有服务器进行全面漏洞扫描检查（注意：需要根据服务器的实际系统情况优化Nessus的检测规则，例如去掉不适用的Cisco、AIX、MacOS 等检测对象规则）。扫描检测完毕后，结合人工分析更正或去除误报信息，并对同类问题进行归类合并。

Nessus检测能力示意图

服务器调研对象：

需要用户方配合的工作：

一方面，东软服务人员的访谈工作需要用户方系统管理员的配合。另外，服务器漏洞扫描通常不会影响到服务器的正常运行，但是为了确保万一，东软服务人员在进行扫描检测之前，将首先与用户方的系统管理员和安全管理员进行沟通，确认具体的扫描检测对象、扫描时间安排、以及扫描中需要特别注意的事项等，尽量避开业务高峰期时段。

需要用户方配合的工作：

本阶段工作中我方所使用的检测工具只具有系统信息采集行为，不会更改任何系统配置文件。由于我方需要拷贝检测工具到检测对象主机上并运行，为了能够检测到更深层次的系统问题，检测工具需要借用管理员权限运行，因此需要用户方的系统管理员临时对东软服务人员开放检查对象主机的administrator和root帐号权限（时限为10~20分钟），亦或者由用户方的系统管理员使用不可见的管理口令先登录进检查对象主机后，再将控制台留给东软服务人员，用户方的系统管理员可以随时监控我方人员的操作行为。

阶段成果物：

⏹《服务器主机系统安全加固纪要》

4.2网络安全加固

主要对医疗集团本部信息中心机房及弱电井网络设备进行安全加固，内容如下:

⏹划分网络安全区域：根据医疗集团本部系统的重要性、安全保护级别划分安全

区域；

⏹网络设备的补丁管理及版本；

⏹账号及口令策略；

⏹访问控制；

⏹网络与服务；

⏹日志审核4.3设备安全加固优化

安全设备是否配置最优，实现其最优功能和性能，保证网络系统的正常运行、是否存在漏洞或后门、自身的保护机制是否实现、检查安全设备的补丁管理、账号及口令策略、访问控制、网络与服务、日志审核，主要内容如下：

关闭不必要系统服务

开启系统各项审计功能

配置账号、组策略

配置注册表相应的安全项

配置文件系统的权限

评估新补丁对操作系统及应用系统的影响，在不影响系统正常使用的情况下，

升级系统补丁

升级防病毒软件的版本

4.4数据库系统安全加固

数据库系统主要从系统版本、用户账号、口令管理、传输情况、文件系统、日志审核等方面进行安全加固，主要内容如下：

数据库组件安装优化

适度应用数据库补丁程序

数据库服务运行权限改善

清理数据库默认配置无用账号

改善程序包权限设置

改善登录认证方式设置

改善传输加密协议配置

设置客户端连接IP策略

禁用Extproc功能

清理不必要的存储过程

增强数据库日志审计功能

实施内容及方法：

1、对医疗集团本部的系统管理员进行访谈，结合医疗集团本部的应用需求，评估分析医疗集团本部现有的各数据库系统的运行情况、业务数据量情况、维护管理情况等，分析其中的不满足项及安全隐患。

2、使用Shadow Database Scanner漏洞扫描工具对所有数据库系统进行漏洞扫描检查，分析检测数据库系统中存在的安全脆弱性。扫描检测完毕后，结合人工分析更正或去除误报信息，并对同类问题进行归类合并。

Shadow Database Scanner检测能力示意图

注意：需要根据医疗集团本部数据库系统的实际情况优化Shadow Database Scanner的检测规则，例如去掉不适用的IBM DB2、MiniSql、Sybase、SAP DB、Lotus Domino等检测对象规则。

3、使用Nessus漏洞扫描工具对所有数据库系统进行补充性漏洞扫描检查。（注意：只需加载Database检测对象规则）

数据库调研对象：

需要医疗集团本部配合的工作：

东软服务人员的访谈工作需要医疗集团本部系统管理员的配合。另外，数据库漏洞扫描通常不会影响到数据库系统的正常运行，但是为了确保万一，东软服务人员在进行扫描检测之前，将首先与医疗集团本部的系统管理员和安全管理员进行沟通，确认具体的扫描检测对象、扫描时间安排、以及扫描中需要特别注意的事项等，尽量避开业务高峰期时段。

阶段成果物：

●《数据库系统安全加固纪要》

4.5管理制度

参见安全管理体系建设部分。

4.6服务方式

1)安全加固服务将由东软高级安全专家负责指导、辅助实施。

2)服务方式由采用纯手工方式实际登录各主机系统进行本地安全配置加固和优化。

4.7服务流程

5协助测评建设方案

在完成安全整改与加固阶段工作后，确认安全整改情况并汇总形成阶段报告。

全程跟踪和协助医疗集团、第三方测评单位对本次定级的信息系统开展等级保护三级测评工作，将本次等级测评分得分达到总分的75%以上。

6安全管理体系建设方案

东软按照国家有关规定，依据《信息系统安全等级保护基本要求》，参照《信息系统安全管理要求》、ISO27000等标准规范要求，建立医疗集团信息安全管理组织体系、规范、相关制度。

建立医疗集团信息安全组织体系，明确领导机构和责任部门，落实规范和相关制度。建立岗位和人员管理制度，根据职责分工，分别设置安全管理机构和岗位，制订每个岗位的职责与任务，落实安全管理责任制。

根据信息安全管理需求，确定安全管理目标和安全策略，针对信息系统的各类管理活动，制定人员安全管理制度、系统建设管理制度、系统运维管理制度、定期检查制度等，规范安全管理人员或操作人员的操作规程等，初步建成完善的适合医院的安全管理体系。

东软信息系统安全管理建设整改工作流程

医疗集团信息安全建设工作过程中将充分考虑医疗集团信息化发展战略的总体要求，与信息化建设的实际需求和信息安全风险的实际状况相结合，遵循国家的法律法规、技术标准和行业的有关规定并且具有明确的指导性和可实施性。并应配合医疗集团通过沟通、培训、颁布、审核、调整等步骤进行安全策略的部署。通过策略的部署，建立完善医疗集团信息安全管理体系，保证医疗集团网络与信息安全水平和系统的建设和发展同步进行，避免因为网络与信息安全水平的滞后而影响医疗集团的整体发展。

同时，在等级保护指标体系的设计基础之上，我方还将结合医疗卫生系统特性，为医疗集团设计制定以策略为核心，管理体系、技术体系和运维体系共同支撑的整体信息安全保障体系。具体包括：

管理体系

安全管理体系的作用是通过建立健全组织机构、规章制度，以及通过人员安全管理、安全教育与培训和各项管理制度的有效执行，来落实人员职责，确定行为规范，保证技术措施真正发挥效用，与技术体系共同保障安全策略的有效贯彻和落实。信息安全管理体系主要包括组织机构、规章制度、人员安全、安全教育和培训等四个方面内容。

技术体系

信息安全技术体系的作用是通过使用安全产品和技术，支撑和实现安全策略，达到信息系统的保密、完整、可用等安全目标。按照PDR2模型，医疗信息系统信息安全技术体系涉及信息安全防护、检测、响应和恢复四个方面的内容：

防护：通过访问控制、信息系统完整性保护、系统与通信保护、物理与环境保护等安全控制措施，使信息系统具备比较完善的抵抗攻击破坏的能力。

检测：通过采取入侵检测、漏洞扫描、安全审计等技术手段，对信息系统运行状态和操作行为进行监控和记录，对信息系统的脆弱性以及面临的威胁进行评估，及时发现安全隐患和入侵行为并发出告警。

响应：通过事件监控和处理工具等技术措施，提高应急处理和事件响应能力，保证在安全事件发生后能够及时进行分析、定位、跟踪、排除和取证，通过建立信息系统备份和恢复机制，保证在安全事件发生后及时有效地进行信息系统设施和重要数据的恢复。安全技术模型如下图所示。

6.1安全策略设计

安全策略是一个单位对信息安全目标和工作原则的规定，其表现形式是一系列安全策略体系文件。安全策略是信息安全保障体系的核心，是信息安全管理工作、技术工作和运维工作的目标和依据。

在本次项目中，东软将根据医疗集团安全工作内容，设计涵盖医疗集团信息系统各个方面的管理类的安全管理制度、标准、流程和规范等策略文档。我方为医疗集团设计的安全策略体系文件将由安全策略、管理制度和操作规程三个层次组成，并具备以下七个特性：指导性：安全策略体系文件将对医疗集团整体信息安全工作提供全局性的指导。

可行性：安全策略体系文件能够适应医疗集团的现实情况和可预见的变化，在当前和未来的一段时间内切实可行。

动态性：安全策略体系文件据有明确的时效性，不会长期一成不变。随着信息安全形势的动态变化和信息技术的不断发展，我方将对策略体系文件进行不断的调整和修正。

可审核性：安全策略体系文件可作为审核和评价医疗集团内部对信息安全策略遵守和执行情况的依据。

文档化：安全策略体系文件将会使用清晰和完整的文档进行描述。

6.2安全策略与安全规划

安全策略是指导医疗集团所有信息安全工作的纲领性文件，是信息安全决策机构对信息安全工作的决策和意图的表述。安全策略的作用在于统一对信息安全工作的认识，规定信息安全的基本架构，明确信息安全的根本目标和原则。本次项目中东软将协助医疗集团确定安全管理体系的层次及建立方式，明确各层次在安全管理体系中的职责以及安全策略，建立具有高可操作性的考核体系，以加强安全策略及各项管理制度的可落实性。

我方为医疗集团设计的信息安全安全策略将具备以下特性：

⏹安全策略紧紧围绕行业的发展战略，符合医疗集团实际的信息安全需求，能保障与

促进信息化建设的顺利进行，避免理想化与不可操作性。

⏹安全策略中将明确阐述医疗集团所有信息化建设项目在规划设计、开发建设、运行

维护和变更废弃等各阶段，应遵循的总体原则和要求。

⏹安全策略在经过医疗集团信息安全决策机构批准之后，将具备指导和规范信息安全

工作的效力。

⏹安全策略中将规定其自身的时效性，当信息系统运行环境发生重大变化时，我方将

协助医疗集团及时对总体安全策略进行必要的调整，并将调整后的策略提交医疗集

团信息安全决策机构批准。

⏹安全策略将包括：《医疗集团信息安全总体策略》、《信息安全组织管理框架》、《信

息安全应急预案》、《业务连续性管理程序》等。

6.3管理制度

管理制度是在安全策略的指导下，对信息安全某一方面工作的目标和原则进行阐述的文件，根据医疗集团信息系统特点结合等级保护要求，制定安全管理制度。我方为医疗集团设计的信息安全管理制度将具备以下特性：

⏹管理制度依据安全策略制订，明确信息安全各方面工作的目标和原则。

⏹管理制度将包括但不限于以下内容：《信息系统安全审计与管理评审规定》、《信息

安全风险评估管理规定》、《信息资产处理规定》、《人员安全管理程序》、《第三方和

外包安全管理规定》、《工作环境安全管理规定》、《网络设备安全管理规定》、《服务

器安全管理规定》、《个人计算机使用与维护规定》、《信息安全设备管理规定》、《系

统补丁管理程序》、《网络访问管理规定》、《用户管理程序》、《操作系统、应用程序

访问管理规定》、《介质处理与安全管理规定》、《应用软件开发与维护安全管理规

定》、《信息安全应急预案》、《业务连续性管理程序》。

⏹管理制度中将明确负责执行该策略的责任单位（部门）、该策略的适用范围、该策

略所针对的信息安全工作的目标和原则。

⏹管理制度中将规定其自身的时效性，当信息系统运行环境发生变化时，我方将协助

医疗集团及时对管理制度进行必要的调整。

管理制度框架图示例如下：