三级等保与系统集成会议v

2013/5/311KINGSTARWINNING专业成就梦想，技术引领未来医院信息系统三级等保与系统集成网络集成事业部邓荣华2013-05-31内容提要内容提要三级等保—医院信息系统安全的基石系统集成新实施规范云技术在医院信息系统的实际应用等级保护对医院信息系统建设的指导意义政府强制政策，必须要满足等级保护是国家信息方面的基本制度，属于法律符合性要求，属于国家重要信息系统的，必须需要满足此制度；政策要求，可以促进开展信息安全工作，提起领导和各部门的重视，统一思想做为国家或上级主管部门给出信息安全工作的政策方向和技术指导，可以指导我们规避策略和技术方向的风险等级保护还是一套比较先进的方法，做好了对实际工作及系统安全有较大帮助正确定级并遵照标准执行，可以规避部分信息安全责任依据国家要求，申请项目和经费较为容易等配保明保评护—医晴院些信猪息活系辩统老安驳全砖现刑实需长要

信息系统内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫等联级盆保锋护仁具凭体点分仓级曾说禽明第一级信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益第二级信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全第三级信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害第四级信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害第五级信息系统受到破坏后，会对国家安全造成特别严重损害三菌级个等恋保贸系属统角的笋控府制仅类蛇及咐控堡制恢项指标类技术/管理层面类数量项数量S类(3级)A类(3级)G类(3级)小计小计安全技术物理安全1181032网络安全106733主机安全313732应用安全522931数据安全21038安全管理安全管理制度N/A311安全管理机构520人员安全管理516系统建设管理1145系统运维管理1360合

计73（类）290（项）实酿施富系稻统丝式等保要项辆目嗓我绑们池的优优矿势1、对科用蛮户富医酷院堡信可息胁化杀实优际复运弊行城状想况耽的察非仆常贪清惰楚（包补括蓬医内院津机房诚房搭、许硬赚件岗设卸施架、凭应劣用镜软风件宰使槐用放情摔况配等怠）然，猪能督针稻对捕三殃级眠等皇保趁要钳求粪提灭供影各垦性份化萌解替决奔方筐案早，踢上棚海岸市亭卫野生陵局盲已瞧要例求博上亏海逆地铺区彻三战级厌医向院恐及疏区忌县础中降心哪医错院斜的H饼I猪S披\宾L跪I嫌S匹\浴R岔I袋S等溉核殃心致业掘务督系邮统冒都扁要达通牵过盏三伤级秧等客保共；2、调医涌院套要就通听过洒三鼻级烘等芳保售，季涉总及虫到维医塔院池的订应嚷用存软悔件讲（应谈用好软找件该的郊较碑大改平动）萌、揭硬别件加设统备县的宿增练减翼和贫系罗统炸集激成温方帐案肉等域三补大沟层红面愤的长调宴整受和轰完各善挽；3、必新般技洽术纱及熄安浙全痰设亡备睁的虽应呀用陵和袭医持院撞核果心尝的猫业隆务府紧概密业的度结婆合铁，熟将懂真拦正横对科医全院强信寒息特系瓦统阳安祥全侦有爽较宴大泪的县帮播助脏；4、舒三判级温等条保秃是春一甚项货长粱期壳的宰工池作检，演上忘海狸市付卫经生叼局参要思求沾每2年圾评衫审倒一巨次粥，横涉拔及识到敲医怨院涝日替常馒的井信无息言系牛统否后锋期维格护，饺我性们北可漫以呢做错到记一储体挡化嫁服理务；5、栽我耳公犯司蹲和幸上篇海役市筛信别息挺安介全神测俘评饲中介心充合演作局（垦上骡海肺市励三忍级美等详保充评所测窄机赴构旺）孙，茧有敞较亚强拍的轰专成业师和现实嫂施剧技缝术林保菠障枣。实深现箭医汤院摸三症级礼等龄保洁所筑涉南及派的驾各形个昏业雾务送层压面8主机安全物理安全网络安全数据安全应用安全信梅息系皆统等镇级仇保飘护—灭—网灵络安叙全的败集赢成鸭要弃点结构安全关键设备冗余空间主要设备冗余空间访问控制访问控制设备（用户、网段）应用层协议过滤拨号访问限制会话终止安全审计日志记录审计报表边界完整性检查内部的非法联出非授权设备私自外联子网/网段控制核心网络带宽整体网络带宽重要网段部署路由控制带宽分配优先级端口控制最大流量数及最大连接数防止地址欺骗审计记录的保护定位及阻断入侵防范检测常见攻击记录、报警恶意代码防范网络边界处防范网络设备防护基本的登录鉴别组合鉴别技术特权用户的权限分离等垃级鸟保穿护—梯—主掠机安巡寿全的辱集圆成两要占点身份鉴别基本的身份鉴别访问控制安全策略管理用户的权限分离特权用户的权限分离安全审计服务器基本运行情况审计审计报表剩余信息保护空间释放及信息清除组合鉴别技术敏感标记的设置及操作审计记录的保护入侵防范最小安装原则重要服务器：检测、记录、报警恶意代码防范主机与网络的防范产品不同资源控制监视重要服务器最小服务水平的检测及报警重要客户端的审计升级服务器重要程序完整性防恶意代码软件、代码库统一管理对用户会话数及终端登录的限制等思级提保重护—朵—应隐用安手全的偏集摸成到要也点身份鉴别基本的身份鉴别访问控制安全策略最小授权原则安全审计运行情况审计（用户级）审计报表剩余信息保护空间释放及信息清除组合鉴别技术敏感标记的设置及操作审计过程的保护通信完整性校验码技术密码技术软件容错自动保护功能资源控制资源分配限制、资源分配优先级最小服务水平的检测及报警数据有效性检验、部分运行保护对用户会话数及系统最大并发会话数的限制审计记录的保护通信保密性初始化验证整个报文及会话过程加密敏感信息加密抗抵赖等胜级胶保喂护—口—数孟据莫安锁全及灾备仗份降恢挑复的树集慕成糠要除点数据完整性鉴别数据传输的完整性备份和恢复重要数据的备份各类数据传输及存储异地备份网络冗余、硬件冗余本地完全备份硬件冗余检测和恢复数据保密性鉴别数据存储的保密性各类数据的传输及存储每天1次备份介质场外存放卫警生扮局肠信斯息习中继心搞机绞房闪改剑造吹前脏拓赢扑内扯容黄提哨要内恋容驶提寻要云嫂技盐术叔在搬医候院毕信泥息禽系约统借的翅实贡际植应膜用系斧统蚀集编成悬的怠新实捕施规换范三级肤等船保—医箱院疾信董息蔑系熄统安析全的拿基抱石系延统墓集纪成伴新卡实羞施陵规睬范系庄统捞集零成管怖理规踏范效；系逃统妨集拍成技颂术垒规恩范；系淘统确集闯成测厉试规酸范闹；系税统集疫成切幻玉换规的范碎；系侵统售维馋护管仿理规赠范外；系座统齐集厨成管轨理规贤范系仿统染集漆成管庭理规宵范项秋目度的害实版施纠按哈照唐阶障段杯分眠为非五胜个筐阶艺段1、再启识动玩阶餐段主撇要徐根盲据相项鉴目灾的列合佛同印，样中晴标仇通咽知纵生验成《任弦务缺单》项哭目胶实索施砌跟已踪谊表透；2、能规您划剧阶别段主撞要根省据描项缠目蹲的合剪同缠，《任替务凳单》编咏写海项庙目叠实万施嫌计倚划仁，魔实刷施屿技腐术械方多案膨，冶项箱目茅验附收挽测戴试妇方畏案沫；3、稍实愚施背阶曾段首猾先判是篮沟艰通夸确按认满计悦划己和村技型术驼实文施聚方布案购，尿完勒成瘦系雅统容集芝成歌任陈务趁，《系藏统臂集扬成词报唐告》，《系芬统筝切清换袜报鸟告》；4、秀初巴验朱收躺阶宿段国（舒对滤于多大咏型坡项悟目睁增匹加缎初读验舟阶霞段仰）《项脚目蓝初设步企验编收繁验插收养报庙告》；《设促备漂安自装秀位存置伤图》；《设明备纯标大识践，节连橡线追标毛识石图》唤《电留源捕连蚂接厦标睬识奇图》；《项旋目础遗扭留锅问席题备什忘叨录》等5、捕项燃目驰验鹅收抱阶网段《项快目术试侨运振行甜，首维大护锹记抵录满报农告》；《项径目挺验壳收验总收迈报衡告》；总归共照最写多1矮8张席项飞目捞套激表系雄统伸集框成技凑术覆规令范1、惰硬饭件感安卫装a、浆硬誉件挤到鸦货秩验私收b、缠硬遮件塞设途备寨上身架c、姥设企备线狱路连宋接d、糊硬传件蛇设醒备慕加丢电否测挑试2、瓜系袭统僚集啊成a、懂系粱统爆选泛择宅及者相纺关肤设丸置b、棕服啄务猫器支名铃规毫划c、I亿P地惰址印规孟划d、购操中作岔系饲统程域凑账腿号寺规国划弟，落权坡限府策形略e、访数拐据发库系性统账室号吃规蜓划啦，怖权漠限腐策锈略f、淹服再务桌器C引P两U，茂内注存步优援化g、液数呀据张库撑优伶化h、钱数返据可库牌镜急像巴，役异圆地筋备解份窄，蹲容哄灾覆等惑策补略那部单署系灰统他集龟成技吗术友规许范服务器用户初始密码权限分配HISSVRsaSql@2k5（初始）默认用户，密码收回，应用程序不使用his类sa超级用户，his主程序使用用户，配置kwv40.inicxquery查询用户，供查询统计系统读取HIS数据histech医技用户，供医技系统连接HIS，如LIS、RIS及采用标准接口的医技第三方系统（心电图）hisquery普通查询用户，限制权限，比query级别低hisother供采用非标准接口的第三方系统使用，如手术麻醉、门诊输液室、住院自助发药机等

EMRSVRsaSql@2k5（初始）

emrsa类sa超级用户，EMR主程序使用用户emrquery

CXSERVERsaSql@2k5（初始）查询服务器cxsa类sa超级用户cxquery查询用户，供查询统计系统读取HIS数据

LISSVRsaSql@2k5（初始）LIS数据库虚拟服务器lissa类sa超级用户，用户LIS主程序lisquery

PACSSVRsaSql@2k5RIS$PACS服务器rissa类sa超级用户，用户RIS主程序risquery

1

所有服务器操作系统杀毒软件病毒库均已过期。高2

防病毒服务器仅有administrator帐户，无审核权限用户，未实现管理用户的权限分离。低3

所有服务器操作系统均未重命名administrator。中4

应用服务器2（114）、防病毒服务器开启的审核策略不完善。中5

所有服务器操作系统系统补丁未及时更新。低6

服务器HPSystemManagementHomepage版本过低（<7.1.1）存在多个安全漏洞，以及远程桌面存在可执行恶意代码等安全漏洞。中7

操作系统未关闭默认共享服务（C$\D$\E$）,未关闭Server等服务，数据库服务器1（110）未启用屏幕保护程序。低8

服务器操作系统版本为2003R2SP2，未及时更新补丁，已关闭自动更新功能，最近更新时间为2012-01-04.中

9数据库系统sa帐户未强制实施密码策略，未启用强制密码过期策略；distributor_admin但未实施密码过期策略。低10

数据库系统采用远程管理时未启用强制加密或者隐藏实例，无法保证鉴别信息在网络传输过程中被窃听。中11

数据库系统未重命名默认的帐户（SA），且存在系统帐户未禁用（如不用的话，建议禁用）低12

当前数据库版本为SQLServer2005(9.00.4035)，经扫描，发现SQLServer数据库存在未及时更新安全补丁、sp_replwritetovarbin存在受限内存覆盖漏洞、注册扩展程序许可等高风险漏洞。中三恐级浙等悲保碑整困改裕部征分那－田主荡机浓安董全系淘统揉集假成技弊术愤规摩范1

应用系统未对用户口令长度以及复杂度未进行限制。低2

应用系统未提供登录失败处理功能。

3

应用系统没有提供安全审计功能。（且无审计权限用户）

4

应用系统没有提供当故障发生时的自动保护当前所有状态的功能。

5

应用系统未限制最大并发连接数。中6

应用系统未采取措施对用户口令等敏感信息在通信过程中的完整性及保密性进行保护。（可采用HTTPS）中三淹级懂等两保狸整袍改欲部望分尽－馅应辅用安朽全系洋统约集拾成技设术倦规勺范特岛别担注遇意必项宵：1、离系针统挖全紫面顺升发级扭到w捎i扫n魄d扰o敢w嫌2早0峡0职8蒜r况2付x岩6钉4和S著Q稠L味s胸e派r凶v晨e科r夕2扇0恼0张5沈x皂6结42、印要典求操鬼作贞系咽统逢补荷丁更殿新到盆最翼新3、M皆S度D筋T饭C（德分冠布验式牛事姥务辞处龄理宴）要羽求姿安兴装，艳实殖现古不留同乞数钉据巩库裤之军间酿的淡数界据彩访践问4、禁朝止筐一宣些行不励必油要财的茶服货务崇。1）F侮T拐PP血u餐b傲l寒i敌s划h脑i触n临gS肆e值r奋v根i肤c虏e（郑文植件亩传秒输离服盒务踏）2）R棕e叫m杰o冠t晃eR适e戴g赤i先s施t终r穷yS圈e吓r牢v跑i间c惨e（去远各程蒜注禁册段服膊务犯）3）R陷o符u监t绸i拖n均ga舍n斧d住R猛e余m夸o援t课eA磨c案c脑e巾s溜s（返远睛程泻访桐问腔服犯务乞）4）S绪i尝m的p番l丽eM着a趁i但l呆T趟r盟a孤n浆s吗p分o物r权t屋P抓r遭o病t正o棉c去o害l槐(沾S绝M刺T疏P)（挖简路单朽文依件就传袜输叹服厨务后）5）T摸e增l红n骗e放t原/迈T要e捕r晒m遍i弱n酱a伍l居S按e罚r兔v援i档c汁e香s（吹远赖程绕登园录跨服铁务岩，如道需根远亦程孟连汁接菌再姐开）6）W柳o除r草l厉dW活i嫁d番e榆W碌e猜b桶P亦u近b谎l酱i汁s威h盯i谢n处gS食e蓬r献v的i返c尽e（善远族程对公沟共却服仪务至）系躁统糖集恳成技店术观规夸范系非统爽集推成技贝术捡规低范系佛统集慌成测箭试规永范测判试目夸的1、检世查V狱C穿S故歌障较转免移有础效政性2、验童证容索灾月系写统有桌效晒性测逢试步兄骤1、手止动和图自构动拦故叛障塘转滤移彻服同务组2、集刻群服宽务纵器口中药一欲台浅服娱务懒器注断酷开泄网线络(禁资用键网冤卡猎或带拔宰掉诱内衔网衫网集线)3、关顿闭群危集住服瞧务仰器知中结任也意惕一袜台服事务恐器4、存估储镜疯像横时殊，康关益闭桃一办台存芦储5、两台S够A秩N交看换僻机亿时贡，侨关灾闭拴其展中窝任微意锅一键台S钞A旬N交胡换县机6、狱服膊务私器集舟群时挽，利服傅务亦器誓、秩存村储颗分茂别霞安食装沫在衡两糖台说机绵柜孙，桌关随闭遮一蒜个机演柜倾电产源7、服莫务纠器存峡储I衡/炮O压联力误测认试8、数预据分完某整赞性同测称试（c仁h督e蛙c枣k茧D婆B核,切践换前速做尾一屑次洁，钩切确换匙后烘再千做恐一庄次赔）系遗统集千成切傅换规敬范1、肾数互据跳保国护要万求切示换前秀做驱好渐数垫据揭库炭异威地父、惧本急地无完脸全课备厕份.确进保冒数化据不丢戚失竹。系宜统厅集拾成上避线撇前争后叨各鼻做味一驳次故数甩据册完崖整造性杜测严试光。2、景停锄机器时躲间切虫换宵时阀间一棒般速推经荐扮放箩在执晚恭间1腾0点荐后被急黑诊庭相净对斯较练少宵时租进腥行，群烛集切矛换正番常1吗5分板钟是内军是险可台以那完洁成的如使果切傅换察有勒问今题宰，朽立颤即轮准网备脏回眯撤纺方衡案腾，童进情一很步篇确友认滥切郑换赶失师败趁环扭节。3、泼回高撤精方郊案不樱论医正院灵大趟小镇，侨数假据炒库图大剪小聪都在要屠做话好睡应以急共及大回德撤方繁案，腿回际撤鄙到屋原肃服较务饮器酸系宇统。系遭统泽维兆护努管额理珠规妹范1、机牵房环舅境击运敬维盼管河理少内耻容2、网万络浙系器统蹦运大维坑管搞理之内磁容3、服委务捏器氏、布存边储饥及采备懂份巷系择统同运肥维颠管颗理馆内胸容4、安胳全怠系负统村运怕维饮管优理椅内据容5、数剧据它库裙系怎统捧运径维朵管泳理痰内公容6、应驴用铲中菌间狂件拌系掌统野运绞维皂管州理筋内趁容7、业毕务法应京用醋系玩统欠运险维辈管步理忘内故容初始服务报匆告跪管伸理服务支撑及服务数据提供服务支撑服习务桑支舟撑现仔场报例微行伙维次护/随贩机冲服篮务故什障座管溜理问痛题券管网理集副中言监慕控变趴更蛮管斜理资稳产顷配恐置勾管迟理性蝇能狭管荐理提垂供右性廊能着数根据基钩本耽服资务确吉定培服酱务种范欣围涝、脸规晚范内和盏流扎程提器供锁报扁告枣数扔据问总题攻管牵理触请个求变拘更座请欠求故爸障割事妻件故箭障者事芦件变偿更总请坑求变荐更矩影农响吨分执析服智务堆热看线故施障喜事链件A机辽房钥环预境青巡祝查B网透络饰运搞维C系脏统咸运扔维Ｇ黎中恭间甘件飞维峡护Ｅ侧设忆备靠维热护Ｆ投数浴据桨库病维佩护可神选帅服杂务Ｄ俯病票毒露防牢护Ｈ且性宏能牌优牺化I维例护返培拔训服幸务才平俯台服心务疮管俊理熔系摩统监洁控枣系滤统Ｅ觉业粘务攀维岩护系错统插维处护帮管击理规内范内很容请提勒要内延容鲜提宿要系符统阔集液成饮新实锐施规马范云奶技层术嚼在趣医幕院梅信迷息则系贷统姨的妹实迷际削应涉用三献级度等例保—医赌院鸣信勉息势系狮统安体全的显基键石云夹技签术北在车医袍疗就信动息钢系锈统仿的冰应赞用医灭院滋如供果维所涛有撤硬徐件星的泡设朗备偏都佣支歌持提虚趋拟店化赔技桐术偏，可声实滩现爱真检正台意歉义丙的笨“祖云环”吹计热算件。服丈务诉器怕虚区拟昂化存纹储殖虚聚拟羊化桌筒面诱虚雪拟课化网俘络拔虚否拟讲化应灯用奇虚场拟贤化云供技谷术兵在班医苏疗仿信合息润系忙统奇的瘦应龄用—烤—服亡务孤器版部启分云棒技郊术奶在贩医饥疗旬信相息栋系株统摩的恨应袜用—补—网层络易部截分常柴见徐的扣医掉院球网依络隙图云惩技功术桶在回医涌疗母信穗息凉系黑统捕的咏整聋体弃应确用姐图云顽技萝术痕在反卫腾生揪局绑端蜓的品案想例云拒技般术螺的差应沫用临效胡果物避理拆服疲务王器炸整赢合—属—医柳疗戏卫挥生剖机旧构副能柏够航节与省蹲数与据红中琴心巷空蜘间辱、颂降不低填能锁耗贝和循冷斜却职成芬本始，怠使途服故务围器砍利目用唤率登最绞大其化数料据眯集拍中叠监拆控区、萍管印理—艺—服句务旦器爆、通应贪用碰程竿序芝、摄和编各坏种煌医群疗惩敏靠感渐数佛据超都龄将且存证放树在斗数趋据