浅谈三甲医院信息安全等级保护工作

浅谈三甲医院信息安全等级保护工作 1、建设背景 随着医院信息化建设的不断的发展,医院各项工作的开展都不同程度的采用了网络信息系统,信息系统在三甲医院中的角色也越来越重要,现代医院的发展建设已经和信息化建设结合为一体;当医院信息系统安全受到攻击或破坏从而导致医院不能正常开展各项医疗工作时,就很容易引发社会性的群体事故,如泄露患者个人隐私信息(重大疾病)、挂号系统中断引发患者情绪不满在医院闹事,因此如何保证医院信息系统安全也成为医院信息化建设需重视的问题。 为了进一步做好医院信息安全保护工作,卫生部针对我国现阶段各医疗行业的现状,下发了《卫生行业信息安全等级保护工作的指导意见》的通知{2011}85号,在该通知中明确了信息安全等级保护与医疗行业信息安全保护的联系,根据该文件的指导精神,三甲医院的核心业务系统应按照信息安全等级保护第三级进行建设和保护。 2、建设过程 医院信息安全等级保护工作建设主要分为以下几个过程: 2.1医院信息系统定级评审 根据信息安全等级保护的相关规定,当信息系统遭到攻击或破坏时引发的后果可分为对国家安全、社会秩序及公共利益、公民及个人的合法利益的受损害程序来进行等级划分。对比此规定,按照卫生行业信息安全等级保护工作的相关,三甲医院应按照信息安全等级保护三级标准来对医院核心业务进行定级,并组织各方相关信息安全专家完成医院信息系统的定级工作。 2.2医院信息系统备案 在对医院信息系统进行定级评审后,医院需将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》及相关文档上交给当地卫生主管部门,有卫生部门报市级以上公安机关进行备案登记,等拿到备案回单后完成信息系统的定级工作。 2.3医院信息系统等级保护测评 在完成信息系统定级及备案工作后,需选择当地公安部门授权的具有信息安全等级保护测评资质的专业测评机构对医院信息系统进行整体测评。其测评目的在于对医院信息系统的安全防护能力做出客观评价,通过对物理安全、网络安全、应用安全、数据安全、主机安全、几个方面的安全检查,以国家信息安 全等级保护基本要求作为安全基线,进行客观的符合性判定,进一步衡量当前系统的安全防护能力,以及系统所面临的威胁和风险所在。为安全整改和将来的安全建设提供有力依据。 2.3.1测评指标与方法 医院核心业务系统属于等级保护三级系统,安全测评指标应包括《信息系统安全等级保护基本要求》7.1节“技术要求”中的三级通用指标类(G3),三级业务信息安全性指标类(S3)和三级业务服务保证类(A3)。 测评现场工作将采用访谈、检查和测试等三类方法。访谈是测评人员通过与信息系统有关人员进行交流、讨论等活动以获取证据的一种方法。检查是测评人员通过对测评对象进行观察、查验、分析等活动以获取证据的一种方法。测试是指测评人员对测评对象按照预定的方法/工具使其产生特定的响应等活动,然后通过查看、分析响应输出结果来获取证据的一种方法。 访谈使用到的工具主要是访谈列表。测评人员针对访谈列表上的问题,逐项与信息系统有关人员进行交流、讨论,根据被访谈人员的回答了解和确认信息系统的安全保护情况。检查使用到的工具主要是核查列表。测评人员针对核查列表上的问题,通过观察、查验、分析等活动,逐项核实。根据检查对象的不同,检查可以进一步分为文档审查、现场观测和配置核查等方式。依据工具和实施过程的不同,测试可以进一步细分为信息获取、漏洞扫描、渗透测试、密码分析等方式。信息获取是指获取存活主机/设备的名称、IP 地址、操作系统、开放的服务端口以及特定的数据包等信息内容;漏洞扫描是指利用漏洞扫描设备对目标设备进行自动探测,发现这些主机/设备上各个对网络开放端口上存在的错误配置和已知安全漏洞;渗透测试是模拟黑客可能使用的攻击技术,试图侵入信息系统或取得信息系统上的更多资源,以直观地测评信息系统的安全状况。从不同接入点对信息系统进行漏洞扫描和渗透测试,可以反映出信息系统在不同角度、不同视野下的安全状况。 2.3.2单元测评 把测评指标和测评方式结合到信息系统的具体测评对象上,就构成了可以具体测评的工作单元。测评机构将分别对物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理机构、安全#管理#、人员安全管理、系统建设管理和系统运维管理等方面进行单元测评。 2.3.3整体测评 信息系统的安全控制集成到信息系统后,会在层面内、层面间和区域间产生连接、交互、依赖、协同等相互关联关系,使信息系统的整体安全功能与信息系统的结构密切相关,在整体上呈现出一种集成特性。这些集成特性在安全控制的工作单元中是没有完全体现。因此,在安全控制测评的基础上,有必要对集成系统和运行环境进行整体测评。安全控制间的安全测评主要考虑同一层面上的不同安全控制间存在的功能增强、补充或削弱等关联作用。例如,主机层面的身份鉴别与访问控制之间关系密切,应关注他们之间的关联互补作用。层面间的安全测评主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。例如,网络层面、主机系统层面与安全管理的系统运维管理之间关系密切,应关注他们之间的关联互补作用。区域间的安全测评主要考虑互连互通(包括物理上和逻辑上的互连互通等)的不同区域之间存在的安全功能增强、补充和削弱等关联作用,特别是有数据交换的两个不同区域。系统结构安全测评主要考虑信息系统整体结构的安全性和整体安全防范的合理性。整体结构的安全性测评应从信息系统的物理布局、网络拓扑、业务逻辑(业务数据流)、系统实现和集成方式等入手,结合不同位置上可能面临的威胁、可能暴露的脆弱性等,综合判定信息系统的整体布局是否合理、整体是否安全有效等。在检查信息系统安全保护措施的具体实现方式和部署情况后,结合其业务数据流分析不同区域和不同边界与安全保护措施的关系、重要业务和关键信息与安全保护措施的关系等,参照纵深防御的要求,识别信息系统的安全防范是否突出重点、层层深入,综合判定信息系统的整体安全防范是否恰当合理。 2.4测评结果报备及整改 测评机构在完成对医院信息系统测评工作后,会出具《信息系统等级测评报告》,医院需将测评报告提交给当地公安机关进行备案,按照测评报告评测结果,对照《信息系统安全等级保护基本要求》等有关标准,结合医院工作实际,组织开展等级保护安全建设整改工作,将整改工作具体落实到个人并在预期内完成整改工作。 2.5制定医院信息安全等级保护管理体系 医院将参照信息安全等级保护管理要求,结合医院的自身实际情况,从信息安全管理机构、信息安全管理制度、信息人员安全、系统建设管理和系统运维管理等方面来构建信息安全等级保护管理体系。 总的来说,信息安全等级保护建设系统要从实际需求出发,定期检验建设的 合规性、合理性。合规性是指在政策要求指导下构建医院完整的信息安全体系。要落实国家等级保护标准;响应卫生部推进等级保护建设工作的指导精神;通过国家等级保护测评;为医疗行业信息安全体系建设以及等级保护建设方面起到试点示范效应。实际需求是指结合医院自身业务发展需要进行系统化建设,切实提高自身信息安全防护水平。实现主动防御外部入侵威胁,防范内部不操作带来危害影响;降低日常信息化管理工作难度,提高对复杂、异构信息系统的运管效率,做到“有法可依,有技可行”;对已建、新建和拟建的信息系统进行合理规划,规范建设。 参考文献: 1) 《信息安全等级保护管理办法》(公通字[2007]43号) 2) 《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008) 3) 《信息安全技术信息系统安全等级保护测评要求》 4) 《信息安全技术信息系统安全等级保护测评过程指南》