《数字化医院信息安全体系设计方案.docx》由会员分享,可在线阅读,更多相关《数字化医院信息安全体系设计方案.docx(11页珍藏版)》请在第壹文秘上搜索。
1、数字化医院信息安全体系设计方案1概述在医院信息化建设过程中,计算机系统安全建设是一个必不可少的环节。系统安全设计,首先是针对系统所面临的来自网络内部和外部的各种安全风险进行分析,特别是对需要保护的各类信息及可承受的最大风险程度的分析,制定与各类信息(系统)安全需求相应的安全目标和安全策略,建立起包括“风险分析、安全需求分析、安全策略制定和实施、风险评估、事件监测和及时响应”的可适应安全模型,并作为系统配置、管理和应用的基本安全框架,以形成符合医院信息系统合理、完善的信息安全体系。并在形成的安全体系结构的基础上,将信息安全机制(访问控制技术、密码技术和鉴别技术等)支撑的各种安全服务(机密性、完整
2、性、可用性、可审计性和抗抵赖性等)功能,合理地作用在医院信息系统的各个安全需求分布点上,最终达到使风险值稳定、收敛且实现安全与风险的适度平衡。2网络安全体系化设计原则2.1 体系化设计医院信息系统设计必须从整体上全面把握系统的安全要求和风险,综合考虑信息网络的各种实体和各个环节,综合使用各层次的各种安全手段,面向全局建立安全体系,统一规划和设计系统的安全机制和安全措施,为信息网络和业务系统提供全方位的安全服务。2.2 可行性、可靠性、安全性可行性是安全体系设计的根本,我们要保证整个安全体系设计在可行的基础上,按照可靠性、安全性的设计原则,提供适合系统需要的安全体系设计方案。2.3 开发性、扩展
3、性必须保证安全系统的开发性以保证不同厂家的不同产品能够集成到安全系统中来,使整个系统的安全不依赖于某个厂家的产品,保证系统安全产品选择具有更大的灵活度。随着系统的使用,安全需求会不断变化,安全技术也在不断提高,安全体系设计必须具有扩展性,确保根据变化的需要,实现系统安全功能的不断扩展和系统安全性的不断提高,而在机构上不作大的改动。2.4 合理平衡在安全体系设计中,要在坚持系统建设“安全第一”的原则下,确保实现系统安全目标得以实现的前提下,注重系统安全子系统总体造价的合理性、可实施性、可用性。客观上绝大多数信息系统不可能单纯考虑安全而不惜一切代价。因为远远超出造价预期的安全最大的不安全。因此在安
4、全体系设计中应综合考虑各方面因素,寻找最佳的平衡点,在正确的系统安全策略与安全目标的基础上,以合理的投资换取最大的安全性能,同时不因性能开销和使用、管理的复杂而影响整个系统的高效运行。2.5 完备性2.6 安全风险分析医院信息系统安全子系统的建设是一个系统工程项目,涉及多种安全技术和产品,必须成为系统安全体系的一个组成部分,而不能支离破碎,各行其是。与此同时,技术是安全体系的实现手段,如何正确、合理、有效的使用安全技术和产品,需要通过安全管理来保证,系统安全体系必须双管齐下,使技术与管理紧密结合。在安全管理的基础上,采用各种技术手段,构建系统的安全体系。通过引用TCP/IP分层结构,逐层分析各
5、层次所面临的风险,基于网络的信息安全风险可划分为五个安全层,即物理层、网络层、系统层、应用层和安全管理层。物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。例如:设备被盗、被毁坏;设备老化、意外故障;计算机系统通过无线电辐射泄露秘密信息等。 网络层的安全风险主要包括数据的泄露与篡改、中间业务网络的安全威胁、互联网出口的安全威胁。 数据泄露与篡改的安全威胁:同级局域网和上下级网络数据传输线路之间存在被窃听的威胁,同时局域网内部也存在着内部攻击,敏感信息可能被侵袭者搭线窃取和篡改。 关键业务网络的安全威胁:一般来讲,关键的业务网络由于提供服务,网络的一端
6、可能处于一个较为开放的网络环境中,或者很可能与INTERNET网络进行互连,所以业务网络环境的复杂性和开放性成为关键业务网络系统潜在威胁的最大来源。 互联网出口的安全威胁:机构或企业的内部办公、业务网络与互联网Intemet不可避免地相互联通,这种边界的安全威胁是最大最不可靠的。随着互联网技术的发展,基于网络的黑客攻击技术,入侵技术也在飞快的发展,这些攻击具有方式多种多样,破坏性较大,入侵工具简单易用等特点,这些都使机构或企业网络系统面临巨大的安全风险,严重影响业务的进行。 系统级的安全风险分析主要针对网络中采用的操作系统、数据库及相关商用产品的安全漏洞和病毒威胁。 目前主流的操作系统Wind
7、oWS以及各种网络设备或网络安全设备中的专用操作系统。这些操作系统自身也存在许多安全漏洞。随着黑客的技术手段日益高超,新的攻击手段也不断出现。有的是协议自身的问题,有的是系统自身设计不完善造成的,因此,主机系统本身的各种安全隐患,注定将带来各种攻击的可能性。基于这些主机系统之上的业务也将不同程度的受到威胁。服务系统登录和主机登录使用的静态口令问题,这样非法用户通过网络窃听、非法数据库访问、穷举攻击、重放攻击等手段很容易得到这种静态口令。对关键业务服务器的非授权访问:业务服务器是网络系统中提供信息数据服务的关键,许多信息只有相应级别用户才能查阅。信息泄漏:如果没有完善的安全措施,可能会有非法用户
8、没有经过允许直接访问网络资源,造成机密信息外泄。责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全风险。建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案。因此,最可行的做法是管理制度和网络安全解决方案相结合。3 .系统安全体系医院信息系统的安全体系设计属于系统工程的设计,不是某种单元安全技术能够解决的。安全体系的设计必须以科学的安全体系结构模型为依据,才能保证系统安全体系的完备性、合理性。为了系统、科学地分析安全方案涉及的各种安全问题,通过分析和综合,提出了三维安全体系结构。安全服务维从安全服务的角度,表示了系统安全的具体内容,包括:1)数据保密性:数据存储和
9、传输时加密,防止数据窃取、窃听。2)数据完整性:防止数据篡改。3)访问控制性:防止非授权使用资源或以非授权的方式使用资源。4)身份认证性:用于确认所声明的身份的有效性。5)安全审计:设置审计记录措施,分析审计记录。6)可用性、可靠性:在系统降级和受到破坏时能使系统继续完成其功能,使得在不利条件下尽可能少地受到侵害者的破坏。系统单元层从系统安全的角度表示了系统安全体系各个方面的内容,包括应用系统安全、数据系统安全、网络平台安全、物理安全。贯穿于上述四个方面是安全管理。通过技术手段和行政管理手段,安全管理将涉及到各系统单元在各个协议层次提供的各种安全服务,构成整个系统的安全体系结构。4 .物理安全
10、物理安全设计主要涉及环境安全、设备安全,是对信息系统所在环境、所用设备,所载媒体进行安全保护。对于环境安全,机房设计要求符合GB9361-88的A类安全标准,实行分区管理。对于设备安全,主要是设置安全防盗报警装置和监视系统,采用电源保护、防线路截获、防辐射泄漏、防雷电击、利用噪声干扰等措施来保护设备的物理安全和媒体安全。4.1 主机系统安全主机采用开放平台,关键业务系统使用容错容灾及负载均衡技术,来提高系统的可靠性与安全性。下面就主机系统的安全性各方面进行分别论述。 操作系统安全操作系统中最根本的安全措施是存取控制,它是对程序执行期间使用资源合法性进行检查。加强操作系统的超级用户的密码管理,防
11、止任意对数据的程序读、写、执行权限的修改;同时,防止对系统文件任意删除来保护操作系统安全。 留痕技术系统日志机制,用来记录系统运行的全过程。系统日志文件是自动生成的,且对用户是透明的,其内容包括:操作日期、时间、操作工作站名、用户名、操作的文件名、操作方式、操作内容等等,它对系统的运行监督、维护分析、故障恢复,都可以起到非常重要的作用。为了避免非法用户从系统外取得系统数据或是合法用户为逃避系统日志的运行监督而从系统外取得数据,对系统中重要数据采取加密的格式存放。例如在系统中,为了防止案件发生或在发生案件后为侦破提供监督数据。 系统状态检查每个工作日结束和关机前,除将当日数据、文件进行备份外,还
12、需要将系统中主要的数据文件和程序文件的状态记录下来。这些数据主要包括:文件名、文件长度、最后修改日期、时间等,在每次开机时,对照检查。 网络计算机病毒防范技术的实现计算机网络同样面临如何防护系统能够对付不断出现的新病毒问题,典型的做法是建立计算机病毒防范措施,加强管理,并不断地升级防病毒软件的版本。4.2 主机系统的安全维护针对服务器系统中存在的诸多风险,应该采取相应的安全维护措施: 及时安装操作系统和服务器软件的最新版本和修补程序。不断会有一些系统的漏洞被发现,通常软件厂商会发布新的版本或补丁程序,以修补安全漏洞,保持使用的版本是最新的可以使安全的威胁最小; 进行必要的安全配置,在系统配置中
13、关闭存在安全隐患的、不需要的服务,比如:FTP,Telnet,finger,login,shell,BOOTP,TFTP等等,这些协议都存在安全隐患。禁止某些r命令,比如:rlogin,rsh等; 加强登录过程的身份认证,设置复杂、不易猜测的登录口令,严密保护帐号口令并经常变更,防止非法用户轻易猜出口令,确保用户使用的合法性,限制未授权的用户对主机的访问; 严格控制登录访问者的操作权限,将其完成的操作限制在最小的范围内; 充分利用系统本身的日志功能,对用户的所有访问作记录,定期检查系统安全日志和系统状态,以便及早发现系统中可能出现的非法入侵行为,为管理员的安全决策提供依据,为事后审查提供依据。
14、5 .数据安全设计数据库安全和日志服务是两个相互关联的过程。数据库中数据的保护一方面通过应用程程序的完整全面来避免系统维护人员和业务科室人员不直接操作数据库中的表,还有一个是就通过日志来保护,通过日志一方面保证操作的可追踪性,另一方面保证操作的可逆性。通过数据库提供的系统权限、对象权限(查询、修改、删除、插入等)来进行控制,并且利用权限角色将相应的权限分类,使得权限管理更加灵活。对数据进行严格的合理性校验,提高原始数据的可靠性;通过数据库本身的机制以及程序中的控制来保证数据的完整性和一致性。6 .数据备份与恢复为保证数据系统的安全,确保在应急情况下的紧急处理,必须对系统的数据采用备份和恢复机制
15、。各个业务单位的局域网中的数据由本业务单位自己备份;再选择一个合适的个地方对数据中心的数据作异地备份。在系统数据出现问题的时候,通过数据恢复系统,对损坏的数据进行恢复。7 .错误日志及运行日志日志管理有两个含义:其一,被动调用的日志接口;其二,主动记录的日志行为。就日志内容而言,有架构日志和业务日志两种。基础服务中的日志提供调用的日志接口及架构日志记录功能,但业务日志需由业务系统调用日志接口完成。即基础服务中的日志服务在运行期会自动记录下用户进入子系统之前的行为一一主要是访问日志,而用户进入子系统之后的业务行为需由业务系统组织日志内容并调用日志接口完成。8 .应用系统权限分类应用软件权限管理包括模块级权限、数据级权限和操作级权限。组织机构及用户是不以信息系统的意志所转移的客观存在的实体,即不管有没有信息系统,不管有多少个信息系统,组织机构及用户都实实在在地存在着,并且是唯一存在的。所以组织单元(部门)、角色(岗位)、用户可以纳入统一管理范畴。对于权限管理而言,权限的本质就是将资源的使用权分配给人员。因此有了模块级权限管理、数据级权限管理、操作级权限管理三个由浅入深的管理层次。模块级权限是指某个人能操作哪些模块;但操作同一模块的用户管理的数据却不一定一样;但既便是两个用户操作同一模块和同样的数据,操作权限却不尽相同。