医院信息系统等级保护安全体系设计
2014-08-07曾颖
曾 颖
医院信息系统等级保护安全体系设计
曾 颖
针对医院的核心 HIS 系统,根据国家等级保护的要求而设计的安全体系方案。分别依据物理层、网络层、主机层、应用层的不同特点,结合国家等级保护标准,针对性的提出安全解决方案,并给出了各个安全节点需要实现的功能要求。通过实践检验的,将等级保护建设的要求真正落实到医院 HIS 系统安全建设中。充分结合实际安全需求的、全面符合等级保护建设要求的、战略策略高度统一的解决方案。
等级保护;安全体系;HIS 系统
0 引言
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号,以下简称“27 号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2004 年 9 月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号,以下简称“66 号文件”)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。
27号文件和66 号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。医疗机构作为涉及国计民生的重要组成部分,其安全保障事关社会稳定,必须按照27号文件要求,全面实施信息安全等级保护。
《信息安全技术 信息系统安全等级保护实施指南》(GB/T25058-2010)中指明了信息系统安全等级保护建设实施的基本流程包括:信息系统定级、总体安全规划、安全设计与实施、安全运维与维护、信息系统终止等5个基本流程。如下图1所示:
信息系统安全等级保护实施的基本流程
可以看到在 5个基本流程中安全设计与实施对信息系统等级保护建设起到了承上启下的关键作用,既是总体安全规划的具体描述,也是安全运行与维护的依赖基础。有效的做好安全设计与实施环节的工作,是保障信息系统合规性建设的至关重要的任务。
1 安全体系设计
1.1 设计对象
作为医院,医疗机构信息系统(以下简称 HIS 系统)是信息系统的核心系统,涵盖了综合业务、临床业务、行政管理等各类应用系统,在三级甲等医院中,由于其重要性在等级保护中一般定级为三级。本设计方案以 HIS 系统的三级定案为例。
参考国际标准化组织(ISO)制定的开放系统互联标准(OSI)标准和 TCP/IP 标准对信息系统技术组成的构造方法,结合 HIS 系统业务应用分类,HIS 系统的技术模型,如下图2所示:
图2 HIS 系统模型
1.2 设计方案
1.2.1 物理层安全
物理层安全主要涉及的范畴包括环境安全(防火、防水、防雷击等)、设备和介质的防盗窃防破坏等方面。具体包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等十个控制点。
医院的机房建设标准、规范,在技术环节需符合等级保护三级要求,且在管理要求的执行方面还需要进一步提升安全措施,就医院普遍的机房建设上来看,物理层安全需整改如下:
防雷击措施
机房分区域隔离
防火措施不到位
1.2.2 网络层安全
网络层安全主要设计的方面包括结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护几大类安全控制。对应到医院的网络信息系统实际环境,网络层安全技术体系设计如下。
1.2.3 安全区域划分
为了实现医院信息系统的等级化划分与保护,需要依据等级保护的相关原则规划与区分不同安全保障对象,并根据保障对象设定不同业务功能及安全级别的安全区域,以根据各区域的重要性进行分级的安全管理。医院信息系统众多复杂,需根据各项业务的性质和特点,将信息系统分成若干业务子系统,分别为各业务子系统确定安全保护等级。
1.2.4 区域边界访问控制设计
区域边界的访问控制防护可以通过利用各区域边界区交换机设置 ACL 列表实现,但该方法不便于维护管理,并且对于访问控制的粒度把控的效果较差。从便于管理维护及安全性的角度考虑,可以通过在关键网络区域边界部署专业的访问控制设备(如防火墙产品),实现对区域边界的访问控制。访问控制措施需满足以下功能需求:
应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
应在会话处于非活跃一定时间或会话结束后终止网络连接;
应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户。
1.2.5 网络安全审计设计
安全审计是等级保护三级建设的重要内容,有必要在网络层做好对网络设备运行状况、网络流量、用户行为等要素的审计工作。审计系统需具备以下功能:
实时不间断地将来自不同厂商的安全设备、网络设备、主机、操作系统、用户业务系统的日志、警报等信息汇集到审计中心,实现全网综合安全审计;
将收集到的审计信息集中存储,通过严格的权限控制,对审计记录进行保护,避免受到未预期的删除、修改或覆盖;
审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
能够实时地对采集到的不同类型的信息进行归并和实时分析,通过统一的控制台界面进行实时、可视化的呈现。
1.2.6 边界完整性检查设计
参照《基本要求》,三级系统应在区域边界部署检测设备实现探测非法外联和入侵等行为,完成对区域边界的完整性保护。检测需具备以下功能:
能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;
能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
1.2.7 入侵检测设计
在各网络区域的边界处,有必要通过部署入侵检测设备对网络攻击行为进行监测,并及时产生报警和详尽的报告。具体功能设计如下:
在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等;
当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
1.2.8 网络边界恶意代码防范设计
应在各网络区域边界部署防恶意代码设备实现网络层面的病毒防护以及恶意代码防范。区域边界防恶意代码设备需具备以下功能:
应在网络边界处对恶意代码进行检测和清除;
应维护恶意代码库的升级和检测系统的更新。
通过部署防病毒网关系统可以有效实现网络边界恶意代码防范的技术要求与建设需求。
2 主机层安全
主机层安全主要涉及的方面包括身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制几大类安全控制。
2.1 鉴别认证
针对主机身份鉴别的要求,主机身份鉴别应具有以下功能:
针对登录操作系统和数据库系统的用户进行身份标识和鉴别;
支持操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
支持启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
支持当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
针对为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性;
对采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
医院所有涉及三级信息系统的用户(包括技术支持人员,如操作人员、网络管理员、系统程序员以及数据库管理员等),应当具备仅供其个人或单独使用的独一无二的标识符(即用户 ID),以便跟踪后续行为,从而责任到人。
操作系统和数据库系统用户的身份鉴别信息应具有不易被冒用的特点,为不同用户分配不同的用户名,确保用户名具有唯一性,例如长且复杂的口令,一次性口令等;对重要系统的用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别,例如使用令牌或者证书。
对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被监控。
2.2 强制访问控制
针对主机访问控制的要求,主机访问控制应具有以下功能:
支持启用访问控制功能,依据安全策略控制用户对资源的访问;
支持根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
支持现操作系统和数据库系统特权用户的权限分离;
支持严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;
支持及时删除多余的、过期的帐户,避免共享帐户的存在;
支持对重要信息资源设置敏感标记;
支持依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
原则上,服务器应选用C2或以上安全级别的操作系统。核心系统的服务器应采用 B1级或相当于 B1的操作系统,此类操作系统采用访问控制(MAC)、安全标识、用户隔离、审计、鉴别、可信通路、口令和加密等技术。使用相当于B1安全级的操作系统可以较好解决保密性、数据完整性、防止计算机病毒和特洛伊木马危害。
目前国内很少有商用的B1级操作系统,可以在现有操作系统安装内核加固软件,从而使操作系统达到B1安全级别,其主要功能为:授权、认证、加密、口令、强制访问控制、审计、分析、过滤、服务包装、代理、隔离、隐蔽等。
2.3 服务器安全
服务器安全在信息系统安全中占有重要比例,其中包括大型机、小型机、Unix 服务器、Windows 服务器、工作站、移动计算设备、应用加密机和磁盘阵列等计算设备硬件及其操作系统、数据库。
针对医院网络中使用 Windows Sever 服务器,需要通过以下方式提高安全性:
安装经过验证的最新补丁包
设置密码复杂性
设置密码长度
设置密码最长存留期
设置密码历史
设置锁定密码阀值
审核策略
LAN Manager口令
允许自动系统管理员级登录
关机时清理虚拟内存页面交换文件
管理员帐户固定为 Administrator
重命名来宾帐户
不显示上次登陆的用户名
限制匿名枚举
关闭自动登录
关闭与应用无关服务
防止 ICMP 重定向
开放可访问端口
2.4 主机入侵检测
应能对关键主机的操作系统提供保护,提供根据入侵事件的风险程度进行分类报警。能够记录入侵的源 IP、攻击的类型、攻击的目的、攻击的时间;入侵行为发生时提供实时报警,记录数据库、切断非法连接、等响应方式。
可通过关键主机加固、终端安全管理系统及主机防毒系统的入侵检测模块实现以上功能。
2.5 主机安全审计
针对等级保护主机安全审计的要求,安全保障体系应具备以下审计功能:
支持审计范围覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
支持保护审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
支持保护审计内容记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
支持能够根据记录数据进行分析,并生成审计报表;
支持保护审计进程,避免受到未预期的中断;
支持保护审计记录,避免受到未预期的删除、修改或覆盖。
通常情况下,主机层审计记录系统用户和数据库用户重要的安全相关事件,包括重要用户行为、系统资源的异常使用和重要程序功能的执行等;还包括数据文件的打开关闭,具体的行动,诸如读取、编辑和删除记录,以及打印报表等。
对于某些对数据可用性、保密性和完整性方面十分敏感的应用,审核跟踪需能捕捉到每个所改变记录的事前和事后的情况。
2.6 恶意代码防范
针对恶意代码防范的要求,应具有以下功能:
安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;
主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;
支持防恶意代码的统一管理。
网络中的所有 windows 系统服务器及主机上均统一部署网络版防病毒系统,确保系统的病毒代码库保持最新,实现恶意代码的全面防护。并部署病毒预警系统,实现全网病毒的统一监控管理。
3 应用层安全
此部分内容需要在应用系统的设计、开发过程中进行设计与改进。针对应用系统的结构特性,将在软件架构、安全功能、程序控制安全三方面进行说明。
3.1 软件架构安全
应用安全架构遵从 SOA 思想构建,分为展现层、应用层和支撑层,各层面需要做的安全考虑如下:
(1)展现层安全
展现层客户端安全组件主要应提供两类服务,第一,采用基于认证技术的客户端组件对数据进行加密,保证数据传输时的保密性和不可抵赖性。第二,客户端组件还可以提供对输入有效性的校验,以防止恶意攻击,加强系统安全性。
(2)应用层安全
应用层安全体系由认证子系统、授权子系统以及审计子系统构成。
认证子系统提供对用户身份进行验证的功能,基于CA技术、单点登录(SSO)以及相应的密码策略提供对系统入口的防护。
授权子系统应采用基于角色的授权机制,对于不同的角色分配不同应用系统的访问权限。
审计子系统应记录系统用户的访问过程,建立一套全面的、有效的回溯和追查机制。可以让系统管理员实时监测用户对企业各应用系统的访问状态,及时发现非法访问事件,对出现的问题进行事后追溯和责任追究提供实证。
(3)支撑层安全
支撑层主要以基础安全组件构成,主要包括:数据服务、数据存储、文件服务、日志服务在内的多个支撑服务组件,在底层实现了对应用层和展现层架构的支撑。
3.2 安全功能
(1)安全认证
针对应用身份鉴别的要求,应用身份鉴别应具有以下功能:
提供专用的登录控制模块对登录用户进行身份标识和鉴别;
对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;
提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;
提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
(2)访问授权
针对应用访问控制的要求,应用访问控制应具有以下功能:
应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;
访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;
由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;
应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
具有对重要信息资源设置敏感标记的功能;
依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
(3)日志审计
针对应用安全审计的要求,应用安全审计应具有以下功能:
提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;
保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;
审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;
提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。
(4)数据加密
针对应用通信保密性的要求,应用通信保密性应具有以下功能:
在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;
对通信过程中的整个报文或会话过程进行加密。
(5)数据签名
针对应用通信完整性的要求,应用通信完整性应具有以下功能:
采用密码技术产品保证通信过程中数据的完整性;
在应用系统中,通信双方应约定密码算法,计算通信数据报文的报文验证码,在进行通信时,双方根据校验码判断对方报文的有效性;
这里的通信双方既针对两个不同系统也可以是同一系统中不同模块;
在较为重要的系统中还应采用数字签名技术进行数据交互,以实现抗抵赖功能。
4 程序控制安全
4.1 剩余信息保护
剩余信息是指信息系统中比较敏感或者重要的位于内存或者硬盘中却不再被使用的信息。剩余信息应该及时完全删除以防止信息泄露。
登录用户的鉴别信息(如口令等)在完成登录验证过程后,应当完全清除;
用户帐户被删除后,其鉴别信息的存放空间(内存或者硬盘)被释放前,应当安全清除其中的内容;
系统内的文件、目录和数据库记录等资源所在存储空间被释放或重新分配给其他用户前得到完全清除。
4.2 软件容错
容错技术是指当计算机软硬件系统由于器件老化、错误输入、外部环境影响及原始设计错误等等因素产生异常行为时维持系统正常工作的技术总和。它是使系统在发生故障时仍能持续运行的技术。为保证较高的可用性,重要的应用软件系统应具有容错功能。
应用系统要对输入数据有效性验证,仅仅允许符合当前正常操作要求所允许数据进入系统,防止系统被恶意输入非法数据造成系统异常行为,甚至被恶意控制。
应用系统应能够检测到系统的故障,并及时保存当前状态,保证系统能够进行恢复。
4.3 资源控制
针对应用资源控制的要求,应用资源控制应具有以下功能:
当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;
应能够对系统的最大并发会话连接数进行限制;
应能够对单个帐户的多重并发会话进行限制;
应能够对一个时间段内可能的并发会话连接数进行限制;
应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额;
应能够对系统服务水平降低到预先规定的最小值进行检测和报警;
应提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。
4.4 抗抵赖
应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能,即在接到原发者或接收者的请求时,应用系统能就传输的信息产生原发证据,证明该信息的发送由该原发者所为。
应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能,即在接到原发者或接收者的请求时,应用系统能就接收到的信息产生接收证据,证明该信息的接收由该接收者所为。
5 总结
本设计方案是等级保护《基本要求》和《安全设计技术要求》的有效结合,是等级保护基线要求与体系框架设计的有效统一。立足于医院 HIS 系统的实际安全需求,以建立的统一安全策略为指引,既解决了等级保护保护建设工作的合规性,又保证了安全体系建设的完整性、先进性与适用性。
本设计方案已被某些三甲医院采用,为医院提供了安全运行体系的建设思路,并有效提升了医院的安全运维工作。
[1]《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)
[2]《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号)
[3]《信息安全等级保护管理办法》(公通字[2007]43 号)
[4]GB17859-1999 计算机信息系统 安全保护等级划分准则
[5]GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求
[6]GBT 25070-2010-信息系统等级保护安全设计技术要求(报批稿)
[7]GB/T 19716《信息技术信息安全管理实用规则》
[8]ISO/IEC 17799 《 Information technology : Code of practice for Information Security Management》
[9]唐孝均;刘忠豫;陈德麟;朱建钢;郑元鹤;;医院信息系统(HIS)[J];上海生物医学工程;1985 年 04 期
[10]陈国经;医院信息系统的安全性[J];中国医院管理;1987年06期
A System Design of Classified Protection System for Hospital Information System
Zeng Ying
(Legend Information Technology (Beijing)Inc. Shanghai Office, Shanghai 200135, China)
This paper provides a design of security system for hospital information system (HIS), the core of a hospital, based on the standards of national information system security classified protection. Combining the national standards and the various characteristics of different layers, that are physical layer, network level, host layer and application layer, we present different security solutions accordingly and the requirements of function of each security node. The solution has been proved by practical testing and implemented the standards of national information system security classified protection, which integrates with the actual security needs, conforms to the national standards and unites strategy and tactic highly.
Classified Protection; Security System; Hospital Information System (HIS)
TP311
A
1007-757X(2014)02-0043-05
2014.02.25)
曾 颖(1972-),网神信息技术(北京)股份有限公司上海办事处,讲师,研究方向:等级保护、安全体系、安全管理,上海,200135
