医疗行业等级保护测评解读

1、医疗行业等级保护测评解读深圳市信息安全测评中心 邱建中2009年7月30日1 医疗行业等级保护测评解读等级测评概述等级测评的内容等级测评的流程和方法医疗行业信息安全现状和测评重点关于测评机构2等级测评概述政策背景一、政策背景国家全面推行信息安全等级保护制度2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合发布信息安全等级保护管理办法（公通字200743号），在全社会范围推行“信息安全等级保护”政策。等级保护工作是信息安全工作的基本制度，是维护国家信息安全的根本保障，是国家意志的体现。根据信息安全等级保护管理办法规定，信息系统运营、使用单位在进行信息系统备案后，都应当

2、选择测评机构进行等级测评。等级测评概述什么是等级测评二、什么是等级测评？等级测评是测评机构依据国家信息安全等级保护制度规定，受有关单位委托，按照有关管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活动。等级测评概述为何要开展等级测评三、为什么要开展等级测评工作？1、等级测评是保证等级保护国家政策得到切实落实的重要保证 推行等级保护的目的是：促进运营和使用单位改造加固信息系统，确保信息系统达到相应等级的安全基本要求，取得相应等级的基本安全保护能力。系统是否满足相应等级的基本要求成为问题的关键；等级测评是依据信息系统安全等级保护测评要求等技术标准，确定信息系统安全保护能力是否达到相应等

3、级基本要求的过程，是落实信息安全等级保护制度的关键步骤。如果不开展等级测评，等级保护这项国家政策将无法落地。2、等级测评对等级保护其他环节和等级保护整体工作成效具有决定性影响 等级保护包含：定级、备案、测评、建设整改、监督检查5个环节，每个环节环环相扣；等级测评结果是建设整改、监督检查的关键依据。等级测评对系统经过等级保护之后最终能够达到什么样的安全防护能力具有决定性影响，对等级保护工作的实际成效具有决定性影响。5等级测评概述为何要开展等级测评三、为什么要开展等级测评工作？3、等级测评独特的技术裁决性质，决定了等级测评工作不可替代性 等级测评依据的是国家技术标准，落实的是国家信息安全政策，等级

4、测评的结果是国家信息安全监管部门依法行使监督、检查管理的技术依据，具有明显的技术权威评判性质。因此，作为一项政策性很强的技术专业化活动，等级测评必须保证强烈的独立性、客观性和公正性，等级测评必须严格区别于任何商业化的测试、评估活动，不能为商业性测评所取代。6等级测评概述政策解读四、等级测评相关政策要求解读信息安全等级保护管理办法规定：信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据信息系统安全等级保护测评要求等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五

5、级信息系统应当依据特殊安全需求进行等级测评。信息安全等级保护测评机构能力规范（征求意见稿）规定：测评机构应当按照有关规定和统一标准提供“客观、公正、安全”的测评服务，按照统一的测评报告模板出具测评报告。测评机构不得从事下列活动： a) 承担信息系统安全建设整改工作； b) 将等级测评任务分包、外包； c) 从事信息安全产品开发、营销和信息系统集成活动； 限定被测评单位购买、使用其指定的信息安全产品； e) 未经许可占有、使用有关测评信息、资料及数据文件; f) 其他可能影响测评客观、公正的活动。等级测评概述政策解读政策解读：测评依据： 信息系统安全等级保护测评要求等技术标准测评性质：符合性测评

6、，符标测试 测评对象：已经定级的信息系统测评频率：三级系统，每年至少一次；四级系统，每半年至少一次测评管理要求：强制性周期开展测评技术要求：等级化进行-不同级别的系统测评要求不同测评发起单位：主管部门，运维、使用单位，国家信息安全监管部门测评报告利用：测评报告整改加固指导性文件，也是系统备案附件测评机构要求： 公安机关同意备案或授权且不从事系统安全整改建设产品开发与营销等影响 “客观、公正、安全”的工作。8等级测评的内容十个方面业务安全物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理等级测评的内容物理位置选择物理安全(

7、三级)物理访问控制防盗窃和防破坏防雷击防火防水和防潮温湿度控制电力供应电磁防护防静电物理层面构成组件包括信息系统工作的设施环境以及构成信息系统的硬件设备和介质等等级测评的内容结构安全和网段划分网络安全(三级)网络访问控制网络安全审计边界完整性检查网络入侵检测恶意代码防护网络设备防护网络层面构成组件负责支撑信息系统进行网络互联，为信息系统各个构成组件进行安全通信传输，一般包括计算机、网络设备、连接线路以及它们构成的网络拓扑等。两个不同信息系统需要交换信息，而进行网络互联（内部互联）；为了与其他单位/网络交换信息，与他们的网络互联（外部互联），这些网络连接边界是网络安全测评的重点之一。等级测评的内

8、容身份鉴别主机系统安全(三级)访问控制安全审计剩余信息保护入侵防范恶意代码防范资源控制主机系统构成组件有服务器、终端/工作站等计算机设备，包括他们的操作系统、数据库系统及其相关环境等。主机系统直接为信息系统的信息采集、加工、存储、传输、检索等提供运行环境，包括为信息系统用户提供人机交互的环境。通常采取身份鉴别、访问控制、安全审计、系统资源控制等安全功能，以保证系统的安全。等级测评的内容身份鉴别应用安全(三级)访问控制通信完整性通信保密性安全审计剩余信息保护抗抵赖软件容错资源控制应用系统体系结构模型可以根据用户与数据之间所具有的层次来划分，即：单层应用体系结构模型、两层应用体系结构模型、多层（可

9、以是三层或三层以上）应用体系结构模型。 等级测评的内容数据完整性数据安全(三级)数据保密性安全备份数据层面构成组件主要包括信息系统安全功能数据和用户数据，这些数据可能处于传输和处理过程中，也可能处于存储状态。对于传输和处理过程中的数据，一般有机密性和完整性的安全要求，而对于存储中的数据，还需要有备份恢复的安全要求。 等级测评的内容岗位设置安全管理机构(三级)人员配备授权和审批沟通与合作审核和检查安全管理机构包括安全管理的岗位设置、人员配备、授权和审批、沟通和合作等方面内容，严格的安全管理应该由相对独立的职能部门和岗位来完成。等级测评的内容管理制度安全管理制度(三级)制订和发布评审和修订安全管理

10、制度一般是文档化的，被正式制定、评审、发布和修订，内容包括策略、制度、规程、表格和记录等，构成一个塔式结构的文档体系。等级测评的内容人员录用人员安全管理(三级)人员离岗人员考核安全意识教育和培训外部人员访问管理包括信息系统用户、安全管理人员和第三方人员的管理，覆盖人员录用、人员离岗、人员考核、安全意识教育和培训、第三方人员管理等方面内容。等级测评的内容系统定级系统建设管理(三级)安全方案设计产品采购和使用自行软件开发外包软件开发工程实施测试验收系统交付安全服务商选择系统备案包括系统定级、安全风险分析、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全测评、系

11、统备案等信息系统安全等级建设的各个方面。等级测评的内容环境管理系统运维管理(三级)资产管理设备管理介质管理运行管理和监控管理网络安全管理系统安全管理恶意代码防范管理变更管理密码管理备份和恢复管理安全事件处置应急预案管理系统运维管理包括运行环境管理、资产管理、介质管理、设备使用管理、运行监控管理、恶意代码防护管理、网络安全管理、系统安全管理、密码管理、变更管理、备份和恢复管理、安全事件处置和应急计划管理等方面内容。 等级测评的内容主要核心技术1身份鉴别和自主访问控制2安全审计3完整性和保密性保护4边界保护5资源控制6入侵防范和恶意代码防范7安全管理平台设置8备份与恢复9强制访问控制10密码技术应

12、用11环境与设施安全20等级测评的内容核心技术要求数据安全身份鉴别和自主访问控制安全审计完整性和保密性保护资源控制入侵防范和恶意代码防范备份与恢复强制访问控制密码技术应用环境与设施安全核心技术要求分布状况：安全管理中心身份鉴别和自主访问控制安全审计安全管理平台设置11.环境与设施安全广域网身份鉴别和自主访问控制安全审计完整性和保密性保护边界保护11.环境与设施安全局域网身份鉴别和自主访问控制安全审计完整性和保密性保护边界保护资源控制入侵防范和恶意代码防范10.密码技术应用11.环境与设施安全21等级测评的内容主要核心技术实现方式（参考）身份认证、防火墙访问控制流量与行为审计、数据库审计IPSe

13、c VPN、SSL VPN终端防外联、接入认证负载均衡、流量控制IPS、防病毒、终端桌面管理SIEM、安全事件智能分析联动IPSAN、CDP、WSAN操作系统文件访问控制产品选购符合国密办规定按照国标GB50173-93电子计算机机房设计规范 GB2887-89计算站场地技术条件 、 GB9361-88计算站场地安全要求建设核心技术要求1 身份鉴别和自主访问控制2 安全审计3 完整性和保密性保护4 边界保护5 资源控制6 入侵防范和恶意代码防范7 安全管理平台设置8 备份与恢复9 强制访问控制10 密码技术应用11 环境与设施安全22等级测评的流程等级测评项目启动测评准备阶段编制测评方案工具和

14、文档准备现场实施阶段分析测评结果报告编制阶段交流与洽谈形成等级测评结论编制测评报告结果确认和资料归还现场测评和结果记录方案确认和资源协调信息收集和分析测评准备阶段-项目启动向被测单位介绍等级测评的意义和作用，测评工作的基本流程和工作方法。了解被测单位的信息化建设状况与发展。包括被测系统的行业特征、主管机构、业务范围、地理位置以及被测系统基本情况，获得被测系统的背景信息和联络方式，填写系统基本情况调查表。指出被测单位应提供的基本资料，包括：被测系统总体描述文件，被测系统详细描述文件，被测系统安全保护等级定级报告，系统验收报告，安全需求分析报告，被测系统安全总体方案等。根据测评双方签订的委托测评协

15、议书和系统规模，测评机构组建测评项目组，从人员方面做好准备，并编制项目计划。24测评准备阶段-信息收集与分析被测单位积极配合测评机构，为测评机构提供其所需要的各种资料，包括被测单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、被测系统详细描述文件、被测系统安全保护等级定级报告、安全需求分析报告、被测系统安全总体方案、安全现状评价报告、被测系统安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。测评机构分析被测单位提供的系统相关文件和初步了解到的系统基本情况，将需要补充了解的内容编制成调查表并发放给被测系统运行维护人员。测评机构收回填写完成的调查表单，并分析调查结

16、果，以进一步了解和熟悉被测系统的实际情况。分析的内容包括被测系统的基本信息、管理框架、被测系统的网络及设备部署、业务种类和特性、业务系统处理的信息资产、用户范围和用户类型等。25测评准备阶段-系统调查表内容全面顺序合理保留逻辑关联内容至少包括被测系统的行业特征、主管机构、业务范围、地理位置、背景信息、联络方式、组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责、物理环境、网络拓扑结构、硬件设备部署情况、范围及边界、业务种类及特性、业务流程、业务安全保护等级等。26测评准备阶段-编制测评方案根据被测系统基本情况描述被测系统，包括被测系统基本信息、管理框架、被测系统的网络及设备部署

17、、业务种类和特性、业务信息安全等级、系统服务安全等级、业务流程相关设备、部件和数据、管理模式、用户范围和用户类型等。根据被测系统规模确定人员分工和测评计划。对于一般规模且业务种类较少的被测系统，分组负责主机、网络、应用安全测评和工具测试。测评计划可以列表的形式给出，包括总体时间安排、分项测评时间安排等。选择适当的测评对象、方式和工具。确定测评指标。确定现场测评实施内容，包括单项测评和系统整体测评。汇总上述6个步骤的各类文档和资料形成测评方案文稿。评审和提交测评方案。测评方案初稿应通过测评项目组全体成员评审，修改完成后形成提交稿。然后，测评机构将测评方案提交给被测单位。被测单位应对该测评方案签字

18、认可。27测评准备阶段-工具和文档准备测评人员熟悉被测系统相关的操作系统、数据库及业务流程等。测评人员调试、熟悉本次测评过程中将用到的测评工具，包括作业指导书、漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。准备和打印文档，主要包括：测评方案、现场测评授权书、作业指导书、测评结果记录表格（含测评人员入场和离场确认）、文档接收/归还确认单等。28现场测评阶段-方案确认与资源协调召开测评现场首次会，测评机构介绍测评工作，交流测评信息，进一步明确测评计划和方案中的内容，说明测评过程中具体的实施工作内容，测评时间安排等，以便于后面的测评工作开展。测评双方对测评方案进行最终审定。测评双方确认

19、现场测评需要的各种资源，包括被测单位的配合人员和需要提供的测评条件等。被测单位签署现场授权委托书。测评人员根据会议沟通结果，对测评结果记录表单和测评程序进行必要的更新。29现场测评阶段-现场测评结果记录制定应急预案系统详细调研系统安全技术测评系统安全管理测评结果记录测评原始记录是出具测评报告的依据，是最重要的测评证据记录。为保证能够重复检验活动的全部过程，原始记录应包含足够的信息；所有的测评原始记录应按照规定的格式填写，不得漏记、补记、追记。严格执行测评方案和作业指导书，根据 “现场测评和结果记录”的要求进行认真测评和记录测评结果，确保结果记录的真实性、完整性和有效性。30现场测评阶段- 结果

20、确认和资料归还测评人员在现场测评完成之后，应首先汇总现场测评的测评记录，对漏掉和需要进一步验证的内容实施补充测评。测评双方对测评过程中发现的问题进行现场确认。测评机构归还测评过程中借阅的所有文档资料，并由被测单位文档资料提供者签字确认。31报告编制阶段-分析测评结果根据测评结果的符合性判定情况，对现场测评的单个测评对象的单个测评项的测评结果是否符合要求进行判断，即单项判定，形成单项判定结论，判定结论分为两种情况：符合和不符合。根据单项判定结论将单项测评的数据按照层面进行汇总分析，以表格的形式，分别统计物理安全、网络安全、主机系统安全、应用安全、管理安全等各层面的不同安全控制的不同测评对象的单项

21、测评结论，并对符合项和不符合项进行统计。根据单项判定结论和数据汇总统计分析情况进行系统整体测评分析，分析单项判定结果为不符合的测评项是否影响系统的整体安全保护能力，分析系统的整体结构是否合理。32报告编制阶段-形成测评结论在数据汇总分析的基础上，结合系统整体测评结果及被测系统的实际情况等，分析测评结论为不符合的测评项是否影响系统安全目标实现，是否影响系统安全保护能力。根据系统安全保护现状与等级保护基本要求之间的差距，分析系统存在的问题，给出系统等级测评结论，并提出改进建议。33报告编制阶段-报告编制本阶段是一个自下而上的逐步汇总、形成等级测评结论的过程，首先根据现场测评结果和测评要求，对测评结

22、果进行分析，得出单项测评结果判定。系统整体测评分析：综合分析被测系统各个层面的安全控制状况及系统的整体安全保护能力是否达到其相应等级的保护要求，并给出最终结论；根据上述分析过程和最终结论，并指出系统中存在的主要问题和整改建议。34等级测评的方法人员访谈现场检查测试验证等级测评的方法-人员访谈访谈对象主要是：信息安全主管，信息安全管理员，信息系统的网络安全员，设备安全管理员和用户访谈工具主要是：管理核查表访谈适用的情况有：了解和明确管理方面的问题；了解信息系统的全局性（包括局部）的非细节性技术安排问题，一般不涉及到具体的实现细节措施访谈获得的证据，一般不作为系统测评判定的主要依据，只作为参考的依

23、据。但是对低级别的系统，有些访谈结果是可以作为测评的依据等级测评的方法-现场检查现场检查主要有核查、审查、评审、观察、对照和分析等检查对象包括：文档、记录、机制、设备等检查工具主要是：管理和技术核查表检查人员不直接操作设备，主要在被测人员操作下查看结果和记录比如：要求打印防火墙的策略，提交检查等级测评的方法-测试验证测试验证须由测试人员自己动手，操作工具设备开展工作测试验证主要分有：功能、性能测试、攻击测试、渗透测试等类型测评对象主要包括：安全机制，设备等测试借助的设备主要有：扫描检测工具，网络协议分析仪，攻击工具，渗透工具集等对技术要求来讲，测试的目的是验证信息系统当前安全机制运行的有效性和

24、安全强度等医疗行业安全现状和测评重点医疗机构信息化建设特点：1、系统承载业务具有高度的相似性2、同类系统的安全需求特性和强度趋同3、网络结构类似4、系统建设互相借鉴，应用系统类型较少，很多单位使用同一厂商开发的相同应用系统5、技术力量，尤其是安全技术力量缺乏，对相关技术要求和标准不熟悉6、存在的问题和困难具有相通性医疗行业安全现状和测评重点物理环境未注意保留防盗窃、监控报警系统的运行维护检查记录缺乏各种设备的安全资质和验收报告网络安全未合理划分vlan网络边界未设置合理的访问控制措施未配备入侵防范和网络层恶意代码防范设备主机安全主机数据库的补丁未完全更新主机和数据库管理员权限未分离未关闭多余的

25、服务，未配置合理的口令等措施医疗行业容易出现的安全现象：40医疗行业安全现状和测评重点应用安全用户名和密码以明文形式传输未设置双因素认证方式无抗抵赖功能数据安全无完整性机制无保密性机制关键设备无冗余，未异地备份安全管理未建立体系化的安全管理，无详细运行记录医疗行业容易出现的安全现象：41医疗行业安全现状和测评重点重视局部安全，对总体安全认识不足，对IT规划、安全规划在信息安全中的重要性认识不足；建设过程中，在物理环境、网络、主机、应用、数据及管理各层面均采用了部分安全措施；但往往忽视整体的安全规划，在安全运维中经常陷于 “头痛医头，脚痛医脚”疲于奔命的局面；对安全运维、安全服务认识不足，自身技

26、术条件不足情况下，安全运维长期缺位而不注意引入安全服务；认为信息安全只是技术问题，对安全管理认识不足，未能运行有效的安全管理体系，造成制度不到位、责任不明确，出现问题难以查找原因；认为信息安全即网络安全，对物理、主机、应用、数据安全认识不足，尤其对应用安全认识不足；重视安全产品的采购，忽视安全机制的建立；认为要达到等级保护要求，把该买的设备买够就行，结果不但造成浪费，而且事与愿违。医疗行业容易出现安全认识方面的误区：42关于测评机构-对测评机构的要求一、目前的基本要求：达到省级公安网络监察部门备案条件并备案；二、公安部2009年7月开始安排测评机构试点，提出未来规范测评机构的较高要求：不得从事信息系统安全建设整改，产品开发、营销和信息系统集成等可能影响测评“客观、公正、安全”的经营活动；应依据相关质量体系标准建立、实施和保持适应等级测评工作开展的管理制度体系。具备满足等级测评工作需要的工具，如漏洞扫描器、协议分析仪、性能测试仪和渗透测试工具等。等级测评机构应具备文档化的测评方法（如测评指导书）具有安全保管记录的能力，所有的测评记录应保存一定时间。 43关于测评机构深圳市信息安全测评中心单位性质