李克潮

（广西中医药大学附属瑞康医院计算机中心，广西 南宁 530011）

医院信息系统安全等级保护测评方案的设计

李克潮

（广西中医药大学附属瑞康医院计算机中心，广西 南宁 530011）

医院信息系统的发展是建立在信息安全、可靠的基础上。文章根据国家及行业信息安全等级保护的标准，结合某三级甲等医院的具体情况，从等级保护测评流程、测评对象、测评方法、测评工具、单元测评、整体测评等方面，对某三甲医院的信息系统等级保护测评方案进行设计。通过测评，发现医院信息系统存在的安全隐患，为该医院信息化建设的下一步整改提供科学、合理的依据。

三甲医院；信息系统；等级保护；测评

1 引言

伴随着医院信息化建设的开展，医院对信息系统的依赖越来越大[1-2]。然而，信息系统本身存在技术、管理等安全问题。因此，文章根据国家及行业制定的信息系统安全等级保护相关配套标准[3-5]，设计了某三级甲等医院信息系统等级保护测评的方案。通过测试手段对信息系统的安全技术措施、安全管理制度进行单项验证和整体性分析，检测信息系统现有的安全保护能力与国家、行业要求之间的差距，为该医院信息化建设的下一步整改提供科学、合理的依据。

2 医院概况

该医院为全国三级甲等综合性医院，医院信息系统的安全保护等级定为三级（S3A3G3）。医院的信息系统包括：市医保、区医保、金保、铁路医保、挂号系统、门诊系统、住院系统、排队叫号系统、检验系统、医学影像系统、病理系统、药房系统、药库系统、OA系统等。医院的网络结构按功能划分为边界接入区、核心交换区、服务器区和办公区 4大功能区域，如图2所示。

3 信息系统安全等级保护测评的设计

3.1 信息系统安全等级保护测评流程

测评流程如图 1所示。其中，测评准备活动包括等级测评项目启动、信息收集与分析、工具和表单准备。方案编制活动包括测评对象和指标、测评工具接入点、测评内容三者的确定，测评实施手册开发及测评方案编制。现场测评活动包括测评实施准备、现场测评和结果记录、结果确认和资料归还。分析与报告编制活动包括单项测评结果判定、等级测评结论形成、整体测评、测评报告编制、风险分析、测评结果评审[3]。

图1 信息系统安全等级保护测评流程图

3.2 测评对象与指标

3.2.1 测评对象

机房、业务应用软件(市医保、区医保、金保、铁路医保、挂号系统、门诊系统、住院系统、排队叫号系统、检验系统、医学影像系统、病理系统、药房系统、药库系统、OA系统等)、业务应用软件服务器的操作系统、网络互联设备(交换机、路由器) 的操作系统、安全设备(防火墙)的操作系统、安全管理文档。

3.2.2 测评指标

测评指标包括物理安全等10项指标，而物理安全又包括防盗窃和防破坏、物理位置的选择等子类[5]。

3.3 测评方法与工具

3.3.1 测评方法

（1）本次测评的主要方法包括访谈、检查和测试三种方式。

①访谈的主要内容是“安全管理”类的安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等管理制度。通过详细阅读各项管理制度，并与安全主管、人事负责人、系统建设负责人、资产管理员、运维管理员等，讨论各项制度描述、执行过程中存在疑问的地方。

通过与不同类型的人员讨论的方式体现了访谈的广度，通过对管理制度存在的疑问进行共同探讨研究的方式体现了访谈的深度。

②检查是对所有测评指标的功能级文档、机制和活动进行详细彻底的分析、观察和研究。根据获取的数据，证明被测系统当前的安全机制、配置、实现情况是否符合要求。

检查所有测评指标体现了检查内容的广度。详细彻底的分析、观察和研究测评指标的功能级文档、机制和活动的检查方式，体现了检查内容的深度。

③测试是通过手工测试、工具扫描、模拟攻击等方式，对被测系统中的主机、网络设备、业务系统，进行功能、安全性等方面的测试。

手工测试、工具扫描、模拟攻击等方式，体现了测试的深度。对主机、网络设备、业务系统进行功能、安全性等方面的测试，体现了测试的广度。

（2）风险分析方法

测评项目依据安全事件可能性和安全事件后果，对信息系统面临的风险进行分析。分析过程包括：

①判断医院信息系统的安全保护能力缺失（等级测评结果中的部分符合项和不符合项）被威胁的时候，利用导致安全事件发生的概率，可能性的取值范围为高、中和低。

②判断安全事件对信息系统业务信息安全和系统服务安全造成的影响程度。影响程度取值范围为高、中和低。

③综合过程(1)和(2)的结果，对信息系统面临的风险进行汇总和分等级。风险等级的取值范围为高、中和低。

④结合信息系统的安全保护等级，对风险分析结果进行评价，即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。

3.3.2 测评工具

测评的信息系统为三级信息系统。根据三级信息系统的测评强度要求，在测试的广度上，应基本覆盖所有的安全机制，在数量、范围上可以抽样；在测试的深度上，应执行功能测试和渗透测试。功能测试可能涉及机制的功能规范、高级设计和操作规程等文档。渗透测试可能涉及机制的所有可用文档，并试图进入信息系统等。因此，对其进行测评，应涉及到漏洞扫描工具、渗透测评工具集等多种测试工具：

（1）Nessus，是目前全世界使用人数最多的集系统漏洞扫描与分析一体的软件。

（2）绿盟远程安全评估系统，它能够实现漏洞预警、漏洞检测、风险管理、漏洞修复和漏洞审计等功能。绿盟科技NSFOCUS安全小组到目前为止已经独立发现了40多个知名厂家的漏洞，绿盟科技维护着全球最大的中文漏洞知识库。

3.4 测评内容与实施

等级测评的现场实施过程由单元测评、工具测试和整体测评三部分构成。

3.4.1 单元测评

对应各安全控制点的测评称为单元测评。其包括物理安全测评等10个测评任务[5]。因篇幅有限，这里只列举物理安全测评。

（1）物理安全测评

物理安全测评通过访谈和检查方式测评信息系统的物理安全保障情况，主要涉及对象为信息系统所在的机房。

（2）物理安全测评内容

物理安全层面测评内容涉及物理位置的选择等10个安全子类。而物理位置测评指标包括：

①机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。

②机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

（3）物理安全测评实施

物理安全测评实施方法及过程[5]:

①文档查阅与分析。测评人员对测评委托放提交的物理安全相关文档（含制度、记录等）等进行查看和分析，并记录相关证据。

②机房实地观测。测评人员在配合人员的陪同下对机房的安全措施进行现场观测，并记录相关证据。

③人员访谈。测评人员根据文档查阅和实地观测的测评结果，针对部分不确定项目访谈相关人员，获取补充证据。

④结果确认。测评人员向配合人员提交物理安全测评的初步结果记录。测评双方对初步结果进行下一步的分析和修订后，认可形成物理安全测评结果记录。

（4）物理安全测评配合需求

物理安全测评配合项及需求说明[5]：

①配合人：机房安全管理员陪同测评人员出入机房，并提供相关的文档（如机房出入人员记录、空调设备等基础设施的维护记录等）。

②安全权：测评人员在测评实施期间出入机房的授权许可。

③办公环境：会议室。

3.4.2 工具测试

通过漏洞扫描工具、应用安全扫描工具，对主机、应用业务系统进行扫描，找出其存在的安全隐患。

3.4.3 工具接入点

针对被测系统的网络边界和抽查设备、主机及业务应用系统的情况，需要在被测系统及其互联网络中设置两个工具接入点JA、JB。工具测试接入点示意图如图 2所示。“接入点”标注表示进行工具测试时，需要从该接入点接入，对应的箭头路线表示工具测试数据的主要流向。

图2 工具接入点扫描网络结构图

（1）JA接入点工具测试过程描述：

①在JA接入点的边界区域互联网、卫生专网、市医保、南铁医保等，为扫描工具提供网络接入接口。

②为扫描工具分配相应网段的IP地址，在JA点接入扫描工具，通过防火墙、核心交换机，对服务器区的HIS服务器、PACS服务器等，进行漏洞扫描及应用安全扫描。

（2）JB接入点工具测试过程描述：

①在JB接入点抽取一个办公区接入交换机，为扫描工具提供网络接入接口。

②为扫描工具分配两个办公区网段的IP地址，在JB点接入扫描工具，通过接入层交换机、汇聚层交换机、核心交换机，对服务器区的HIS服务器、PACS服务器等，进行漏洞扫描及应用安全扫描。

3.5 整体测评

系统整体测评主要是在单项测评的基础上，通过测评分析安全控制点间、层面间和安全区域间存在的关联作用，在整体结构上是否合理、简单、有效，验证和分析不符合项是否影响系统的安全保护能力，测试分析系统的整体安全性是否合理[3]。

3.5.1 控制点间安全测评

在同一功能区域的同一层面内，其他安全控制点是否存在对该安全控制点具有补充作用（如安全审计、物理访问控制、防盗窃及抗抵赖等）。另外，分析是否存在其他的安全措施或技术与该要求项具有相似的安全功能。

3.5.2 层面间安全测评

层面间的安全测评，重点分析其他层面上功能相同或相似的安全控制点是否对该安全控制点存在补充作用（如应用层加密与网络层加密、主机层与应用层上的身份鉴别等），以及技术与管理上各层面的关联关系（如主机安全与系统运维管理、应用安全与系统运维管理等）。

3.5.3 区域间安全测评

区域间安全测评，重点分析系统中访问控制路径（如不同功能区域间的数据流流向和控制方式），是否存在区域间安全功能的相互补充。

4 结论

通过对三级甲等医院的信息系统进行安全等级保护测评方案的设计，与国家及行业的标准、制度进行比较，得出该医院信息系统基本符合第三级安全保护的要求。但存在如机房管理不规范、工作人员信息安全意识薄弱等问题。文章设计的信息系统等级保护测评方法，具有较高的可操作性，为该医院信息化建设的整改提供依据，可作为其他医院测评的借鉴。

[1] 郎漫芝,王晖,邓小虹.医院信息系统信息安全等级保护的实施探讨[J].计算机应用与软件,2013,1:206-208.

[2] 徐璟璟.医院信息系统安全等级保护[J].信息与电脑(理论版),2015(8):91,93.

[3] GB/T28449-2012.信息安全技术 信息系统安全等级保护测评过程指南[S].2012.

[4] GB/T22240-2008.信息安全技术 信息系统安全等级保护定级指南[S].2008.

[5] GB/T22239-2008.信息安全技术 信息系统安全等级保护基本要求[S].2008.

Design of security classified protection testing and evaluation scheme for hospital information system

Development of hospital information system is based on the information security and reliability. According to the standards of national and industry information security classified protection, combining with the specific circumstances of one A-level tertiary hospital, using classified protection evaluation process, evaluation object, evaluation methods, evaluation tools, unit evaluation, overall evaluation and so on, designs information system classified protection testing and evaluation scheme for one A-level tertiary hospital. Through testing and evaluation, hospital information system security risks were found, that provide scientific and reasonable basis for next step of hospital information construction.

A-level tertiary hospital; information system; classified protection; testing and evaluation

TP311

A

1008-1151(2016)07-0023-03

2016-06-10

广西教育厅科研项目(201204LX481)。

李克潮(1982－)，男，广西南宁人，广西中医药大学附属瑞康医院计算机中心信息系统项目管理师，硕士，研究方向为信息安全、个性化推荐。