李卫中 重庆市医院管理学会信息管理委员会常务委员

Presentation on theme: "李卫中 重庆市医院管理学会信息管理委员会常务委员"— Presentation transcript:

1 李卫中 重庆市医院管理学会信息管理委员会常务委员
信息系统安全等级保护 机房基本要求 1 等级保护？ 2 建设内容？ 3 数据安全！ 4 建设目标。 李卫中 重庆市医院管理学会信息管理委员会常务委员

2 1、等级保护发展历程 推行阶段：卫生部要求2015年前完成等保建设并通过等保评测 公安部要求：2013年前完成第三级安全建设要求
起步阶段： 实施国家等级保护登记 中华人民共和国计算机信息系统安全保护条例 (1994年2月18日中华人民共和国国务院令147号发布) 2003年9月中办国办颁发《关于加强信息安全保障工作的意见》（中办发[2003]27号） 2004年11月四部委会签《关于信息安全等级保护工作的实施意见》（公通字[2004]66号） 2005年9月国信办文件《 关于转发《电子政务信息安全等级保护实施指南》的通知 》（国信办[2004]25号） 2006年1月四部委会签《 关于印发《信息安全等级保护管理办法的通知 》（公通字[2006]7号） 2007年6月公安部、保密局、国密局、国信办联合印发《信息安全等级保护管理办法》（公通字［2007］43号 ） 2007年7月《关于开展全国重要信息系统安全等级保护定级工作的通知》 （公信安[2007]861号） 2008年发布GB/T 22239—2008 《信息系统安全等级保护基本要求》、GB/T 22240—2008 《信息系统安全等级保护定级指南》 2009年公安部发文《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号） 2010年3月公安部发文《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[303]号） 推行阶段：卫生部要求2015年前完成等保建设并通过等保评测

3 1、参考《信息安全技术 信息安全事件分类分级指南 》GB/Z 20986—2007 GB/T 22239—2008 《信息系统安全等级保护基本要求》
保护侧重点的不同，技术类安全要求进一步细分为：保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求（简记为S）； 保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求（简记为A）； 通用安全保护类要求（简记为G）。

4 信息机房基础条件 (注：2011年启动能力建设） 房屋建筑有相应的设备运行面积和散力承重； 配电系统有足够的容量和双供电保障，负载扩展；
信息机房基础条件 (注：2011年启动能力建设） 房屋建筑有相应的设备运行面积和散力承重； 配电系统有足够的容量和双供电保障，负载扩展； 制冷系统充足，温度冗余40%； 楼层也最好是2到3层；

5 信息机房从17个方面来建设 (注：2011年启动能力建设）
信息机房从17个方面来建设 (注：2011年启动能力建设） 9、 新风系统 10、信号屏蔽 11、地线匹配 12、综合布线 13、漏水检测 14、门禁系统 15、监控系统 16、消防系统 17、报警系统 1、机房环境选址 2、棚顶墙体装修 3、隔断装修 4、UPS电源 5、恒温恒湿 6、抗静电地板铺设 7、动力设备监控 系统 8、防雷保护

6 2、参考 GB/Z20986—2007 GB/T22239—2008 安全管理中心 全网设备统一管理 海量日志分析，风险预警 安全管理中心
安全事件快速响应 安全管理中心 安全边界 通信网络 计算环境 核心 信息资产 All phrases can be replaced with your own text. 安全边界 互联网边界安全 内网安全域边界安全 通信网络安全 关键设备与链路冗余 传输信息加密 计算环境安全 系统加固 补丁管理 病毒，木马防护 物理安全 物理环境 6

7 不同等级的信息系统应具备的基本安全保护能力
第一级安全保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。 第二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。 第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。 第四级安全保护能力：应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。 第五级安全保护能力：S1 A5 G5； S2 A5 G5； S3 A5 G5； S4 A5 G5； S5 A4 G5； S5 A3 G5； S5 A2 G5； S5 A1 G5；

8 1、等级保护在医院的关注点 G S A 即使相同安全保护等级的信息系统，其对业务信息的安全性要求和系统服务的连续性要求也有差异。
医疗信息服务系统，承载业务是以医嘱为中心，对其的安全关注点会有所不同，有的更关注业务的连续可靠。 8

9 1、等保建设过程

10 1、等级保护安全建设思路 第一步：需求分析 第二步：方案设计 第三步：安全实施 第四步：等级测评 差距分析 风险分析 建设方案设计
建设方案评审 第三步：安全实施 安全管理建设 安全技术建设 第四步：等级测评 选择测评机构 系统等级测评

11 考虑《国家信息安全等级保护制度第三级要求 》与基本分类
1、等级保护基本框架 G S A 物理安全 技术要求 管理要求 基本要求 网络安全 主机安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 考虑《国家信息安全等级保护制度第三级要求 》与基本分类

12 1、业务系统等级保护定级 等级保护建设 整改 定级 测评、检查 整改进行中 医保，医疗，健康档案 落实进行中 医疗机构办公系统: 2级
医疗机构： 电子病历、HIS、LIS、PACS，.....3级 卫生管理机构： 区域健康档案大数据、区域电子病历大数据 4、5级 平台调度系统：5级 医保，医疗，健康档案 落实进行中 定级 等级保护建设 整改进行中 测评、检查 《国家信息安全等级保护制度第三级要求 》 概述对信息安全事件的分级主要考虑三个要素：信息系统的重要程度、系统损失、社会影响

13 1、等级保护安全建设规划 3 2 4 1 5 建设安全管理 中心 建立安全组织 完善基础安全 技术措施 等保安全 建设需求 完善安全制度
安全域划分

14 2、机房安全是硬杠子 G 设备设施故障（FF）灾害性事件（DI） 其他事件（OI） 物理安全 域及子域 建设方案及措施 物理位置的选择
计算环境安全 安全管理中心 通信网络安全 边界安全 物理安全 域及子域 建设方案及措施 物理位置的选择 物理位置选址及楼层的选择。 物理访问控制 进行人员配备，制定管理制度。 对进出人员采用陪同或监控设备进行限制和监控。 划分机房区域，加强对区域的管理和重要区域控制力度。 防盗窃和防破坏 进行制定防盗窃防破坏相关管理制度。进行光、电技术防盗报警系统的配备。 防雷击 进行设置防雷保安器，防止感应雷。 防火 进行消防、耐火、隔离等措施建设。 防水和防潮 进行防水检测仪表的安装使用。 防静电 按照基本要求进行建设。 安装防静电地板。 温湿度控制 配备空调系统。 电力供应 配备稳压器和过电压防护设备；配备UPS系统 设置冗余或并行的电力电缆线路，建立备用供电系统； 电磁防护 按照基本要求进行接地，暂时无需电磁屏蔽措施。 1、在一定程度上决定了面临的自然灾难以及可能的环境威胁，要具有基本防护自然条件的能力 2、要机房分区域管理，对系统主要物理工作环境进出口进行控制 3、在机房内部要具有防盗报警和监控设施，能保护设备、介质和通信线缆 4、机房和设备本身要具备接地防感应雷措施 5、具备自动火灾报警装置和灭火设备，建筑材料放火，区域放火隔离措施 6、机房室内墙壁、屋顶等方面经过防水防潮处理，具备水灾报警装置，能够自动对室内漏水进行检测和报警 7、具备防静电地板、设备防静电接地措施 8、具备自动调控温湿度的专用设施，保持湿度在40％－70％，温度在20摄氏度左右 9、具备稳压器和过电压保护装置，配备不间断电源（UPS），重要系统应配备备份供电系统 10、线缆物理距离上隔离、设备接地、重要设备具备电磁屏蔽措施 14

15 2、机房有五个核心管理制度 A 安全管理制度 系统建设管理 安全管理机构 人员安全管理 系统运维管理 15
特定部门制定信息安全管理制度，包括：总体方针、安全策略、操作规程等 对制度的文件格式、发布范围、方式进行控制 定期对管理制度进行评审 安全领导小组、设置信息安全职能部门和专职安全管理员 明确授权和审批职责、审批形式和规程，并进行记录和审查 与相关机构内部门及外界组织进行沟通 建立安全检查制度，明确检查周期、内容、负责人、流程、结果处理等 对录用人员背景、身份、专业等进行审查，并对技能进行考核，与全部员工签署保密协议 规范离岗过程，对离岗人员进行设备归还和权限中止 人员定期进行技能考核，并进行后续处置 建立培训制度，对不同岗位人员进行安全培训 建立外部人员访问制度，要求得到书面授权和审批，并有人员全程陪同 对信息系统定级并论证，对安全建设进行规划和设计，且通过论证和批准，产品采购进行选型测试 信息系统要及时备案和测评 工程实施、验收和系统交付管理制度化，工程验收委托第三方测试 选择那些已获得国家的相关规定服务商，并签订相关的安全协议 安全检查、安全事件处置、恶意代码管理、备份和恢复、密码使用、系统变更、介质管理、设备使用过程，机房出入管理，办公环境保密，资产管理，带离设备控制规范化、制度化； 建立安全管理中心，对各种安全事项和监测结果进行集中监控和管理 15

16 2、机房硬件对应关系 G、S 网络安全 安全防护手段对应 结构安全(G) 虚拟网关、网闸 访问控制(G) 防火墙 安全审计(G) 审计网关
审计网关、终端准入 入侵防范(G) IPS入侵防御 恶意代码防范(G) IPS入侵防御、防病毒网关 网络设备防护(G) 双机冗错

17 2、设备管理和人员要求 G 信息破坏事件（IDI）；信息内容安全事件（ICSI）

18 2、G S A在五个安全区分与交织关系 物理安全 网络安全 主机安全 应用安全 数据安全 18
对机房分区域管理，出入由专用设施进行控制，具备监控、防盗报警设施 具备防雷设施，自动检测火灾、水灾发生并报警，有适当的灭火设备 具备接地、防静电地板等防静电措施和自动调控温湿度的设施 配备不间断电源和备份供电系统，设备的电磁屏蔽 进行安全域划分，边界处具备防火墙、恶意代码防护、边界完整性保护、入侵检测等控制措施 对网络设备运行、网络流量等基本情况进行记录、分析，并形成报表，保护审计记录不被删除和篡改 设备登录双因素验证，特权用户权限分离 对用户行为、系统异常情况等进行记录、分析，并形成报表，保护审计记录不被删除和篡改 系统安装遵循最小授权原则、设置服务器及时更新，对入侵行为进行检测、报警和记录 对恶意代码进行统一管理，与网络处的恶意代码防范产品异构 设备登录双因素验证，限制用户对系统资源的访问，实现不同系统用户的权限分离用户的权限最小化 系统登录双因素验证，实现用户的权限最小化 对用户行为、安全事件进行记录，并能够统计、分析、并生成报表 对存放鉴别信息、文件、记录等存储空间进行重新使用前的清除 确保数据的完整性，通信过程整个报文或会话过程信息加密 限制单个用户或单位时间会话数量、最大并发会话数量 保证鉴别信息、重要业务数据、系统管理数据的传输完整性，能检测，能恢复 保证系统管理数据、鉴别信息和重要业务数据的传输和存储的保密性 本地完全数据备份，重要数据异地备份 具备冗余网络拓扑 18

19 2、机房重点横看网络隔离

20 2、机房纵看主机布防核心

21 2、评分是扫描各个系统指标 G、S、A 信息安全事件分类 鉴别和认证 访问控制 内容安全 监控和审计 备份和恢复 终端 应用 系统 网络
恶意代码防范 口令、数字证书 统一身份管理 统一认证管理 接入控制网闸 NAC 终端监控审计 终端补丁管理 应用 内容加密技术 应用安全审计 数据库备份恢复 邮件防病毒 应用安全扫描 应用备份和复制 系统 系统安全扫描 补丁管理 恶意代码过滤 本地数据备份 系统安全审计 文件加密技术 远程数据备份 主机入侵检测 网络 网络安全扫描 防火墙 硬件防病毒网关 检测和入侵抵御IPS 网络安全审计 流量控制/QOS 传输安全/VPN 网络安全检测 机房 门禁 物理分区 监控摄像 建筑安全 机房安全 环境监控

22 2、三级医院覆盖等保基本要求 主机房核心数据的安全访问、数据库审计 ＋ 院内终端电脑安全桌面管理 ≧ 三级甲等医院信息安全建设水平

23 2、区县级覆盖等保基本要求 区域平台组网： 安全网关： 等保合规 络改动少 安全部署更灵活 故障自动切换 易于管理 防火墙 入侵检测防护
终端接入控制 虚拟网关 虚拟网关 卫生局 虚拟网关 虚拟网关 安全网关： 防火墙 入侵检测防护 WEB应用防护 流量分析与行为审计 漏洞扫描 数据库防火墙 应用 应用 应用 网络 管理 安全 管理 堡垒机

24 3、数据库安全问题 信息管理人员可利用数据库来进行药品“统方” 数据管理员可直接打开数据库修改数据 把非医保报销项目修改为可报销项目
司马迁《史记》天下熙熙皆，为利来，天下攘攘，皆为利往。 说，天下人为了利益而蜂拥而至，为了利益各奔东西。

25 3、数据库审计 S 安全状况检查 安全脆弱改进 改进效果审计 数据库审计
数据库审计策略，如用户、数据库操作类型、数据库表名、字段名，精准定位信息泄露源头 数据库操作命令完全还原，方便调查取证 提供丰富的数据库审计信息查询分析，综合分析数据库操作情况 旁路部署模式，不影响数据库系统自身运行与性能 覆盖七种主流数据库类型 量化检查结果 区分风险重点，优先解决数据库漏洞等重点问题 安全状况检查 安全脆弱改进 自动化运行 数据库脆弱性全面检查 改进效果审计 完善安全流程 提供决策依据 25

26 3、机房内中的数据库要求 S 做到： 敏感数据“看不见” 核心数据“拿不走” 运维操作“能审计” 红色为等保3级保检查的数据安全部分
2017/9/9 3、机房内中的数据库要求 S Defense-in-depth data security means looking at data security holistically. To do that, one needs to look at the entire life cycle of the data, where the data resides, what applications access the data, who is accessing the data and under what conditions, and ensuring that the systems have been properly configured and remain that way. The three key elements of this approach are Encryption and Data Masking, Access Control, and Monitoring Encryption and masking are important for protecting data outside the access control perimeter of the database. Data sitting on disk underneath the database and applications, data in test and development environments, data traveling over the network and data on backup media needs protection that only encryption and masking can offer. Access controls beyond the application level are now vital to enabling organization to achieve the benefits of data consolidation, off-shoring and cloud computing. Regulations and privacy laws require limited access to application data, even by the database administrator and especially from ad-hoc tools that can be used to bypass the application. While encryption and access control are key components to protecting data, even the best security systems are not complete without a monitoring system in place. Just as video cameras supplement audible alarms in homes and businesses, monitoring provides the corresponding who, what and when that complements the encryption, masking and access control systems 做到： 敏感数据“看不见” 核心数据“拿不走” 运维操作“能审计” 预 防 控 制 发 现 备份和恢复 权限访问控制 数据加密和屏蔽 访问审计和阻断 红色为等保3级保检查的数据安全部分 Oracle Confidential 26 26

27 3、深度防御——为了数据安全 S 红色为3级保数据布置，数据安全从里到外 审计和阻断 数据库防火墙，应用和数据库之间设置 审计保险
2017/9/9 3、深度防御——为了数据安全 S 审计和阻断 数据库防火墙，应用和数据库之间设置 审计保险 加密和屏蔽 高级安全组件 安全备份、回退、接管、演练、快照 数据遮蔽 预 防 控 制 访问控制 发 现 数据库权限角色管理 标签安全组件 备份和恢复 权限访问控制 配置和恢复 数据加密和屏蔽 配置管理工具 全面闪回组件 历史数据字节级取证 访问审计和阻断 红色为3级保数据布置，数据安全从里到外 Oracle Confidential 27 27

28 3、参考《信息安全技术 信息安全事件分类分级指南 》
资产 威胁 脆弱性 控制措施 中心机房数据安全解决方案 预防为主，制定并落实安全管理制度，对内部员工进行安全意识培训，技术上部署对网络、系统设备进行漏洞扫描，漏洞修补，对威胁进行管理；事前预防，及早发展风险隐患，并有效修补。 影响 概率 风险 部署信息数据库审计和运维审计系统，对数据中心不法行为形成威慑，按用户需求产生分析报告，及时发现安全事态，分析并解除风险。 事态 事件 完善应急响应体系，在事件发生时启动，分事件、分级别进行响应，依托审计系统，进行电子取证，追溯事件源头，修补管理漏洞。 损失 恢复 专家支持 知识 28

29 4、GB/Z 20986—2007任务完成后 保障业务完整性，可用性，机密性 咨询服务 方案产品 符合等级保护法规的要求 29 安全策略
信息安全组织 资产管理 访问控制 人力资源安全 物理和环境安全 通信和操作安全 信息系统获取开发和维护 信息安全事件管理 业务连续性管理 符合型 一级 二级 三级 四级 五级 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 物理安全 网络安全 主机安全 应用安全 数据安全 安全管理中心 Text in here 边界安全 咨询服务 方案产品 通信网络安全 Text in here 计算环境安全 符合等级保护法规的要求 29

30 4、GB/T 22239—2008目标完成后 《国家信息安全等级保护制度第三级要求》 解决五个安全环节 安全策略 信息安全组织 资产管理
访问控制 人力资源安全 物理和环境安全 通信和操作安全 信息系统获取开发和维护 信息安全事件管理 业务连续性管理 符合型 安全管理制度 安全管理机构 人员安全管理 安全建设管理 安全运维管理 《国家信息安全等级保护制度第三级要求》 解决五个安全环节 30