《区域医疗混合云双活数据中心技术规范》征求意见稿

1T/GYJSXXX—XXXX区域医疗混合云安全云架构技术规范本标准规定了医疗信息化建设运行过程中，混合云安全云架构所应遵循的技术规范与标准，旨在为区域医疗混合云应用提供严谨且系统的指导与参照。在云安全架构设计、云基础设施安全设计、数据安全、通信安全、应用安全、身份认证与访问控制、安全培训和意识、安全合规性和法规要求等核心环节，本标准均制定了明确的技术要求与操作规范，以保障医院信息化建设运行的稳健性与安全性。本标准适用于从事医疗信息化建设、运维管理和技术应用的专业人员使用，包括医院信息化管理人员、医疗系统开发人员、运维人员、安全和技术审核人员等。其他行业可参考本标准开展混合云安全云架构建设。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T28827信息技术服务运行维护GB/T20281-2020信息安全技术防火墙安全技术要求和测试评价方法GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T34982-2017云计算数据中心基本要求GB/T35273-2020信息安全技术个人信息安全规范GB/T36626-2018信息安全技术信息系统安全运维管理指南GB/T37732-2019信息技术云计算云存储系统服务接口功能GB/T38633-2020信息技术大数据系统运维和管理功能要求GB/T39725-2020信息安全技术健康医疗数据安全指南GB/T31168-2023信息安全技术云计算服务安全能力要求GA/T1394-2017信息安全技术运维安全管理产品安全技术要求GB/T43206-2023信息安全技术信息系统密码应用测评要求GB/T39837-2021信息技术远程运维技术参考模型YD/T3542-2019云服务开通过程运维管理技术要求YD/T4059-2022混合云平台安全能力要求TGDNS002-2023健康医疗数据合规流通标准GB/T22080信息技术安全技术信息安全管理体系要求GB/T25069信息安全技术术语GB/T32914信息安全技术网络安全服务能力要求GB/T37961信息技术服务服务基本要求GB/T36626信息安全技术信息系统安全运维管理指南GB/T28827.2信息技术服务运行维护第2部分：交付规范GB/T36463.1信息技术服务咨询设计第1部分：通用要求GB/T36463.2信息技术服务咨询设计第2部分：规划设计指南T/SHMHZQ088信息技术对外服务咨询服务规范GB/T36957信息安全技术灾难恢复服务要求GB/T37964—2019信息安全技术个人信息去标识化指南GB/T35273—2020信息安全技术个人信息安全规范GB/T39335—2020信息安全技术个人信息安全影响评估指南GB/T37988—2019信息安全技术数据交易服务安全要求2T/GYJSXXX—XXXXGB/T39477—2020信息安全技术政务信息共享数据安全技术要求GB/T37988—2019信息安全技术数据安全能力成熟度模型GB/T39725—2020信息安全技术健康医疗数据安全指南GB/T41479—2022信息安全技术网络数据处理安全要求GB/T38645-2020信息安全技术网络安全事件应急演练指南GB/T28827.3-2012信息技术服务运行维护第3部分：应急响应规范GB/T39204-2022信息安全技术关键信息基础设施安全保护要求GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T22240-2020信息安全技术网络安全等级保护定级指南GB/T25058-2019信息安全技术网络安全等级保护实施指南GB/T39786信息安全技术信息系统密码应用基本要求GM/T0030服务器密码机技术规范医院信息化建设应用技术指引全国医院信息化建设标准与规范(试行)医院信息互联互通标准化成熟度测方案医院分级管理标准3术语、定义与缩略语下列术语和定义适用于本文件。3.1术语与定义3.1.1云平台侧安全cloudplatformsecurity指云服务提供商负责的安全措施和策略3.1.2租户侧安全tenant-sidesecurity指云服务用户（租户）负责的安全措施和策略3.1.3云计算cloudcomputing通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助获取和管理资源的模式。注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。[来源：GB/T31168-2023，3.1]3.1.4云计算基础设施cloudcomputinginfrastructure为支撑基础设施即服务(IaaS)而构建的软硬件体系，包括物理基础设施和虚拟基础设施。[来源：DB44/T1458-2014，3.1]3.1.5云计算服务cloudcomputingservice使用定义的接口，借助云计算提供一种或多种资源的能力。[来源：GB/T31168-2023，3.2]3.1.6云服务用户cloudserviceuser云服务客户中使用云服务的自然人或实体代表。[来源：GB/T32400-2015，3.2.17]3T/GYJSXXX—XXXX3.1.7多用户multi-tenancy一个单独的软件实例可以为多个客户服务，是云的一个重要元素。[来源：DB44/T1458-2014，3.3]3.1.8云计算平台cloudcomputingplatform云服务商提供的云计算基础设施及其上的服务软件的集合。[来源：GB/T31168-2023，3.7]3.1.9混合云hybridcloud作为云计算的一种形态，混合云将私有云和公有云协同工作，从而提高用户跨云的资源利用率。3.1.10双活数据中心"doublelive"datacenter指同时在两个地理位置上建立的两个独立但并行运行的数据中心，它们之间通过高速的数据复制和同步机制连接。主要目的是确保在一个数据中心发生故障或维护时，另一个数据中心能够无缝接管服务，保障业务可用性。3.1.11披露disclosure将健康医疗数据向特定个人或组织进行转让、共享，以及向不特定个人、组织或社会公开发布的行[来源：GB/T39725-2020，3.9]3.1.12身份认证identityauthentication指通过一定的手段，完成对用户身份的确认。3.1.13访问控制accesscontrol保证数据处理系统的资源只能由被授权主体按照授权方式进行访问的手段。3.1.14混合云环境hybridcloudenvironments指结合公有云服务和私有云资源的云计算环境。3.1.15DDoS攻击DDoSattack分布式拒绝服务攻击，通过大量请求拥塞目标服务器，导致服务不可用。3.1.16入侵检测intrusiondetection通过监控和分析网络及系统活动，检测潜在的非法访问或恶意活动的行为。4安全架构设计目标4.1保护医疗数据和隐私安全应实施数据加密和访问控制策略，确保敏感数据的安全性。4T/GYJSXXX—XXXX宜构建全面的网络安全防护体系，包括防火墙、入侵检测和病毒防护。应实施数据安全生命周期管理，涵盖数据的创建、存储、处理、传输和销毁。4.2防范网络攻击和数据泄露应定期进行安全评估和漏洞扫描，确保及时发现并修复安全漏洞。宜实施多因素身份认证，提高用户身份验证的安全性。宜建立安全审计机制，记录和监控安全相关事件，确保审计日志的完整性和不可篡改性。4.3实现安全审计和追溯能力应实施自动化安全告警和事件响应流程，快速识别和响应安全威胁。安全架构设计应符合国家法律法规、行业标准和最佳实践。宜定期审查和更新安全策略，以适应新的法规要求和行业动态。4.4符合医疗信息安全相关法规和标准宜进行合规性评估，确保安全架构满足医疗信息安全管理的要求。4.5安全云架构区域医疗混合云安全云架构按照云平台侧安全、租户侧安全进行了分层防护设计，并在云安全管理中心、云监控中心强调了基于用户的安全防护设计，最终形成了以云平台安全为基础，以区域租户安全为保障，以云安全管理中心为核心的“一个中心、两侧防护”的信息安全整体保障体系。租户通过安全的通信网络以加密访问、API接口访问和Web门户服务访问等方式安全地访问云上的安全计算环境。云平台在管理安全体系的基础上通过计算环境安全、虚拟化安全实现云监控中心的功能，为租户提供一些列可靠的服务。云平台和租户之间存在着一种共享责任模型，云平台侧应负责提供安全的基础设施和服务，租户侧应负责确保其使用这些服务的方式是安全的。这种模型要求租户应继续投入资源来保护其数据和应用程序，同时也要求云平台提供商应确保其基础设施的安全性。图1区域医疗混合云安全云架构a)云平台侧安全:云平台侧安全旨在保护云基础设施、服务和平台整体的安全。这包括物理安全、网络安全、虚拟化安全、数据安全和应用程序安全等方面。云平台提供商应确保其提供的服务符合行业标准和合规性要求，同时提供必要的安全工具和服务，如防火墙、入侵检测系统、数据加密和灾难恢复解决方案。5T/GYJSXXX—XXXXa)租户侧安全:租户侧安全是指云服务用户（租户）负责的安全措施和策略，以确保其使用云服务的方式是安全的。这包括保护租户的数据、应用程序和终端设备，以及管理用户访问权限和身份验证。租户应根据其业务需求和合规要求，实施定制的安全措施，如端点安全解决方案、数据加密、应用程序安全测试和用户访问控制。总的来说，云平台侧安全和租户侧安全共同构成了云环境的安全体系，应要求云服务提供商和用户共同承担保护云资源和数据安全的责任。[参考：《GB/T22239-2019信息安全技术网络安全等级保护基本要求]5基础设施安全设计5.1网络安全设计5.1.1安全物理环境设计a)机房选址机房和办公场地选择在具有防震、防风和防雨等能力的建筑内。机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。b)机房管理机房出入口安排专人值守，控制、鉴别和记录进入的人员；需进入机房的来访人员须经过申请和审批流程，并限制和监控其活动范围。对机房划分区域进行管理，重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。c)机房环境合理规划设备安装位置，应预留足够的空间作安装、维护及操作之用。房间装修必需使用阻燃材料，耐火等级符合国家相关标准规定。机房门大小应满足系统设备安装时运输需要。机房墙壁及天花板应进行表面处理，防止尘埃脱落，机房应安装防静电活动地板。机房安装防雷和接地线；机房设置火灾自动消防系统，自动检测火情、自动报警，并自动灭火；机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；配备空调系统，保持房间恒湿、恒温的工作环境；供电线路配置稳压器和过电压防护设备；提供短期备用电力供应，满足关键设备在断电情况下的正常运行要求。设置冗余或并行的电力电缆线路为计算机系统供电；建立备用供电系统。强弱电线路隔离。对关键设备和磁介质实施电磁屏蔽。d)设备与介质管理为防止无关人员和不法分子非法接近网络并盗取信息、破坏网络和主机系统的数据的完整性和可用性，必须采用有效的区域监控、防盗报警系统。5.1.2安全通信网络设计a)网络结构安全选用主要网络设备时需考虑业务高峰数据流量，要考虑冗余空间满足业务高峰期需要。根据相应需求，考虑部署广域网优化产品，优化链路质量。合理规划路由；绘制网络拓扑结构图；根据不同部门或业务划分不同的网段或VLAN。b)网络安全审计在核心交换机处并接部署网络行为监控与审计系统，形成对全网网络数据的流量监测、安全审计。与其它网络安全设备进行联动，进行全网态势感知分析。c)网络设备防护为提高网络设备的自身安全性，保障各种网络应用的正常运行，对网络设备需要进行一系列的加固措施，包括：对登录用户进行身份鉴别；对登录地址进行限制；口令设置需3种以上字符、长度不少于8位，并定期更换；具有登录失败处理功能；启用SSH等管理方式，加密管理数据，防止被网络窃听。d)网络可信接入为保证网络边界的完整性，对非法接入进行监控与阻断，形成网络可信接入。部署网络准入控制，启用网络阻断方式包括ARP干扰、802.1x协议联动等。e)入侵防范6T/GYJSXXX—XXXX针对主机的入侵防范，可以从多个角度进行处理：1)部署入侵检测系统；2)部署漏洞扫描进行系统安全性检测；3)部署终端安全管理系统，开启补丁分发功能模块及时进行系统补丁升级；4)操作系统的安装遵循最小安装的原则，仅安装需要的组件和应用程序，关闭多余服务等；5)另外根据系统类型进行其它安全配置的加固处理。f)主机恶意代码防范针对病毒的风险，建议在所有终端主机和服务器上部署网络防病毒系统，加强终端主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。在安全管理安全域中，可以部署防病毒服务器，负责制定终端主机防病毒策略和统一下发。5.1.3安全区域边界设计a)边界访问控制入侵防范与应用层防攻击通过对行业网络的边界风险与需求分析，在网络层进行访问控制需部署边界安全防护产品，该安全产品实现对边界的访问控制、入侵防范和恶意代码防范。b)边界完整性检查边界完整性检查核心是要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查，维护网络边界完整性。通过部署终端安全管理系统可以实现这一目标。c)边界安全审计各安全区域边界已经部署了相应的安全设备负责进行区域边界的安全。对于流经各主要边界（重要服务器区域、外部连接边界）需要设置必要的审计机制，进行数据监视并记录各类操作，通过审计分析能够发现跨区域的安全威胁，实时地综合分析出网络中发生的安全事件。5.1.4安全计算环境设计a)访问控制实现自主访问控制和强制访问控制。措施主要包括：启用访问控制功能、权限控制、账号管理等。b)备份与恢复备份与恢复主要包含两方面内容：一方面是数据备份与恢复，本地根据业务情况做好完全数据备份。并提供能异地数据容灾条件。另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。c)服务器负载均衡应用高可用、应用高性能、应用可扩展、降低服务器负载、提升用户访问速度。d)链路负载均衡（入站）解决外部用户跨运营访问造成的访问速度慢的问题——智能DNS。（出入站）多条链路之间形成冗余，保障用户访问稳定性——链路健康状况检测。（出站）按需为内网用户选择合适的链路访问互联网,提升带宽资源利用率，减少带宽投资成本——多种链路负载算法、智能路由、DNS透明代理。e)全局负载均衡实现多数据中心入站流量选路、精确为用户选择最佳（就近）站点。5.1.5安全管理中心设计为了能准确了解系统的运行状态、设备的运行情况，统一部署安全策略，应进行安全管理中心的设计，根据要求，应在系统管理、审计管理和安全管理几个大方面进行建设。a)系统管理通过系统管理员对系统的服务器、网络设备、安全设备、应用系统进行统一的管理：用户身份管理：统一管理系统用户身份，合理划分类别或者组，以及不同的角色对模块的访问权限。系统资源配置：进行系统资源配置管理与监控。数据备份与恢复：数据的定期备份与恢复管理，据数据的重要性及其对系统运行的影响，制定数据的备份策略和恢复策略，定期执行备份与恢复策略。恶意代码防范管理：建立恶意代码管理中心，进行防恶意代码软件的统一管理。7T/GYJSXXX—XXXX系统补丁管理：集中进行补丁管理，定期统一进行系统补丁安装。注意应首先在测试环境中测试通过，并对重要文件进行备份后，方可实施系统补丁程序的安装。b)审计管理对各类审计记录进行存储、管理和查询等；对安全审计员进行严格的身份鉴别，并只允许其通过特定的命令或界面进行安全审计操作。c)监控管理统一监控管理将集中进行系统安全监测，对整个网络进行全局监控。安全管理平台可以以拓扑图的方式来直观清晰的显示设备关键属性和运行状态，提高安全管理的效率，保障网络的安全运行。5.2安全监控和事件响应设计5.2.1安全监控体系设计基于云安全监管系统构建一套统一的云安全监测和管理体制，为管理员提供统一的云安全监管界面，并为部署在云平台中的虚拟机提供安全合规性检测、网络连通性监测、网络流量流向监测、网络流量抓包分析等功能，为用户清晰展示云内的网络访问关系，便于及时验证网络安全防护策略配置有效性，为优化网络策略配置提供有力支撑，实现云上安全的“可看可查”。具体功能组成如图所示。a)管理端管理端实现虚拟资产发现、虚拟网络拓扑展示、网络通信可见、网络安全有效性监测、云上抓包、虚拟机运行状态监控、合规性检测、组件完整性检测、身份可信鉴别、安全风险检测、策略有效性检测、安全状态分析等能力。1)虚拟资产自动发现：云内虚拟机和虚拟网络，绘制虚拟网络拓扑图。2)虚拟机运行状态监控：采集虚拟机CPU、内存、存储配置、IP地址、MAC地址，操作系统类型等基础信息。3)虚拟机安全运行状态监控：监控虚拟主机管控客户端运行状态和系统CPU、内存、磁盘IO等运行状态。4)安全隔离有效性监测：实现云内网络安全隔离有效性检查，自动发现虚拟机内部的服务及监听端口，支持一键监测云内所有服务/端口之间的连通性，且能够导出监测结果。5)通信关系可见：据实际网络流量，自动绘制云内各虚拟主机与外部的通信关系。6)抓包工具：提供在线抓包工具，便于快速定位和分析问题。7)合规性检测：根据预先制定的安全规则或用户自定义的安全规则对云平台进行全方位的检测，检测是否符合安全规则，并给出检测报告，提供修改建议和意见。8)组件完整性检测：检测云平台系统的运行组件是否完整、是否被非法修改或篡改。8T/GYJSXXX—XXXX9)身份可信鉴别：检验云用户、云租户、云计算节点、云服务组件、虚拟实体等进行身份认证，是否满足云平台身份认证标准的要求，是否采用生物特征、密码标识、用户口令等多因子验证方法。10)安全风险检测：扫描云平台和虚机运行的系统和软件是否存在安全风险，并提示用户修补。11)策略有效性检测：收集和整理云平台及相关安全组件的安全，检验这些策略对云平台是否生效、是否有冲突、是否对防护对象有缺失。12)安全状态分析：通过检测结果，分析云平台的安全状态，形成检测报告并给出安全建议。b)代理端代理端实现安全策略验证、基础数据采集、网络抓包、安全风险扫描等能力。5.2.2事件响应设计基于应急响应工作的特点和事件的不规则性，事先制定出事件应急响应方法和过程，有助于组织在事件发生时及时组织混乱的发生或是在混乱状态中迅速恢复控制，将损失和负面影响降至最低，联通应急响应服务流程主要分为六个阶段，分别为准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。应急响应流程如下图所示。对于每个阶段都有其应完成的目标、实施人员角色等。 流程图要重画，不够清晰流程图要重画，不够清晰a)准备阶段（Preparation）目标：在事件真正发生前为应急响应做好预备性的工作。9T/GYJSXXX—XXXX角色：技术人员、运维人员。步骤：1)确定重要资产和风险；2)编制和管理应急响应计划：编制应急响应计划、应急响应计划的测试、应急响应的培训演练和维护；3)建立和训练应急响应组织和准备相关资源。b)检测阶段（Examination）目标：接到事故报警后在服务对象的配合下对异常的系统进行初步分析，确认其是否真正发生了信息安全事件，在肯定有安全事件发生后判定问题所发生的领域，其造成的危害和影响范围有多大，以及发展的速度与进一步的威胁是什么。制定进一步的响应策略，并保留证据。角色：应急服务实施小组成员、应急响应日常运行小组。步骤：1)监测、报告及信息收集；2)确定事件的类别和级别；3)初步动作和响应。c)抑制阶段（Suppresses）目标：及时采取行动限制事件扩散和影响的范围，限制潜在的损失与破坏，同时要确保封锁方法对涉及相关业务影响最小，避免事件升级。角色：应急服务实施小组、应急响应日常运行小组。步骤：1)启动应急响应计划；2)确定适当的响应方式；3)实施抑制行动。d)根除阶段（Eradicates）目标：对事件进行抑制之后，通过对有关事件或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。角色：应急服务实施小组、应急响应日常运行小组。根除措施：1)消除或阻断攻击源；2)找到并消除系统的脆弱性、漏洞；3)修改安全策略；4)加强防范措施；e)恢复阶段（Restoration）目标：恢复安全事件所涉及到得系统，并还原到正常状态，使业务能够正常进行，恢复工作应避免出现误操作导致数据的丢失。角色：应急服务实施小组、应急响应日常运行小组。步骤：1)恢复工作相关人员获得访问备用设施和地理区域的授权；通知相关系统的内部和外部业务伙伴。2)获得所需的办公用品和工作空间。3)获得所需的硬件部件。4)获得备份介质。5)恢复关键操作系统和应用软件。6)恢复系统数据。7)启用备份系统。8)通知重要用户系统已经恢复；在适当的时候解除封锁措施等。f)总结阶段（Summary）目标：通过以上各个阶段的记录表格，回顾安全事件处理的全过程，整理与事件相关的各种信息，进行总结，并尽可能的把所有信息记录到文档中。T/GYJSXXX—XXXX角色：应急服务实施小组、应急响应日常运行小组。步骤：1)事故总结——应急服务提供者应及时检查安全事件处理记录是否齐全，是否具备可塑性，并对事件处理过程进行总结和分析；——应急服务提供者应向服务对象提供完备的网络安全事件处理报告；——应急处理总结的具体工作及分析。5.3安全合规性评估和验证5.3.1安全合规性评估a)合规性框架与标准确定确定适用于区域医疗混合云环境的合规性框架，如HIPAA、GDPR或国内的相关医疗信息保护法规。明确不同框架和标准的具体要求，以及它们对数据保护、访问控制、审计和业务连续性的具体指导。b)风险评估通过识别、评估和分类区域医疗混合云环境中的潜在风险来开展风险评估。确定风险的影响程度和发生概率，为风险管理提供依据。c)安全控制措施评估评估现有的安全控制措施是否符合所选合规性框架的要求。审查数据加密、身份和访问管理、网络安全、物理安全等方面的控制措施。d)合规性差距分析通过对比合规性要求与当前实施的措施，识别合规性差距。制定补救计划，优先解决高风险的合规性差距。e)实施合规性改进措施编制详细的合规性评估报告，包括风险评估结果、控制措施的有效性评估和差距分析。提供改进建议和行动计划。根据评估报告，实施必要的改进措施来弥补合规性差距。更新或增加安全控制措施以满足合规性要求。5.3.2安全合规性验证a)验证措施的有效性通过测试和审计，验证改进措施的有效性，确保实施的措施能够持续满足合规性要求。b)持续监控和审计建立持续的监控和审计机制，以确保合规性要求得到持续满足。定期更新风险评估和合规性验证活动，以适应环境变化。c)合规性认证和报告根据需要获取第三方合规性认证，如ISO认证或行业特定的合规性标志。定期向相关利益相关者报告合规性状态，包括任何重大的合规性问题和解决方案。通过这一系列的评估和验证活动，可以确保区域医疗混合云安全架构不仅在初始阶段符合所有相关的安全和合规性要求，而且能够在整个运营周期内持续维持这种符合状态。6数据安全6.1数据加密和密钥管理云计算数据安全和加密是确保云计算环境中数据保密性、完整性和可用性的关键措施。6.1.1数据加密标准a)应采用密码技术对通信实体进行身份鉴别，保证通信实体身份的真实性；b)应采用密码技术对登录设备的用户进行身份鉴别，保证用户身份的真实性；c)应采用密码技术保证系统资源访问控制信息的完整性；T/GYJSXXX—XXXXd)应采用密码技术保证信息系统应用的重要数据在传输、存储过程中的机密性；e)应根据密码应用方案建立相应密钥管理规则；f)应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限。g)应使用SSL/TLS协议加密数据在客户端和服务器之间的传输过程。h)对存储在云中的数据进行加密，宜使用透明数据加密（TDE）或加密文件系统（EFS）。[来源：信息安全技术信息系统密码应用基本要求GB/T39786-20217第二级密码应用基本要求]6.1.2密钥安全应用a)应使用密钥管理服务来安全地创建、存储、管理和销毁加密密钥。b)应实施数字签名和哈希算法来验证数据的完整性和来源。c)访问具体影像云应用，需要对访问者身份进行有效性验证，不允许未经授权的访问；d)数据传输在涉及用户隐私内容时需要加密，如姓名、电话、住址、E-mai1、帐号信息等；[来源：基于移动互联网的医疗影像云业务总体技术要求YD/T4925-202412.安全要求]e)个人敏感信息的存储应采用加密等安全措施，个人敏感信息的判定依照GB/T35273；f)在用户主动操作删除数据时，宜由用户进一步确认或取消数据删除操作；[来源：互联网医疗健康移动应用安全技术要求YD/T4903-20246.2.7数据安全]g)系统提供挂号功能的，使用所必需的个人信息应仅包含用户的移动电话号码、患者的姓名、证件类型和号码、预约挂号的医院和科室信息；h)系统不应明文存储、传输问诊时的病情描述信息，以及既往病史、社会史、家族史症状和生活方式等各类病历记载的数据。i)应使用国家商用密码算法（如SM3、SM4）和安全的协议（如HTTPS、SSH）来保护数据。[来源：互联网医疗健康移动应用安全技术要求YD/T4903-20246.2.7数据安全]6.1.3密钥生命周期管理a)密钥生成1)应使用符合国家标准的随机数发生器产生密钥；2)应具备检查和剔除弱密钥的能力。b)密钥的存储1)密钥应加密存储,并采取严格的安全防护措施,防止密钥被非法获取；2)密钥加密密钥应存储在专用硬件中。c)密钥分发1)密钥分发应采取身份鉴别、数据完整性、数据机密性等安全措施，应能够抗截取、假冒、篡改、重放等攻击，保证密钥的安全性。d)密钥的使用与更换1)密钥应明确用途，并按用途正确使用；2)在密钥使用过程中,应有安全措施防止密钥的泄露和替换；3)在密钥使用过程中,应按照密钥更换周期要求更换密钥,密钥更换允许中断系统运行；4)密钥疑似泄露时，必须停止使用,并启动相应的应急处理和响应措施。e)密钥的归档与销毁1)应采取有效的安全措施,保证归档密钥的安全性和正确性；2)归档密钥应进行数据备份；3)应具有紧急情况下销毁密钥的措施；4)当密码设备从服务中永久删除时,设备中存储的全部私钥都应被销毁。f)人员管理要求1)应建立人员培训制度，对于涉及密码的操作和管理以及密钥管理人员进行专门培训；2)应配备密钥管理人员，实行AB岗制度。[来源：银行核心信息系统密码应用技术要求GM/T0077-20197.3密钥安全与管理要求]6.2数据备份和恢复策略T/GYJSXXX—XXXX6.2.1备份策略设计备份类型选择备份类型主要有3种：a)全备份完全备份定义是所有数据备份，优点是恢复快，缺点是备份数据量大，数据多时可能做一次全备份需很长时间。b)增量备份备份自上一次备份以来更新的所有数据，其优点是每次备份的数据量少，缺点是恢复时需要全备份及多份增量备份。c)差异备份备份自上一次全备份以来更新的所有数据，其优缺点介于上两者之间。在备份类型选择时，一般的规则是：a)对于操作系统和应用程序代码，可在每次系统更新或安装新软件时做一次全备份。b)对于一些日常数据更新量大，但总体数据量不是非常大的关键应用数据，可每天在用户使用量较小的时候安排全备份。c)对于日常更新量相对于总体数据量较小，而总体数据量非常大的关键应用数据，可每隔一个月或一周安排一次全备份，再此基础上，每隔一个较短的时间间隔做增量备份。备份窗口选择备份窗口，是指每次备份的间隔时间，这主要取决于每次备份间隔能够容忍丢失的数据量、每次备份的数据量和备份的速度。理论上，备份的间隔越短越好，但每次备份总需一定的时间，而且备份总会或多或少地影响系统的正常处理性能。因而，对一些关键数据，可预先定义备份窗口大小，再根据备份数据量计算所需的备份速度，若备份速度不能满足要求，则可考虑使用更快的网络、更速磁盘或增加备份设备。保存时间选择备份过程中要用到大量的存储介质，备份介质的保留时间的长短将决定所需购置和维护的介质量。本项目的备份策略是基于磁盘回收制，即保存有过时数据的磁盘空间可重新覆盖使用，保留周期可根据业务数据类型、备份存储空间大小和法规遵从要求来确定。备份策略确定备份策略应包含两个部分，即服务器及其它相关计算机（如应用服务器）上的操作系统和应用程序代码的备份策略和日常业务数据的备份策略。操作系统和应用程序代码的备份策略比较简单，一般可先对所有系统做一次全备份，然后每周对关键系统做一次全备份；此外，每台机器做过软件安装或系统升级后，应立刻做一次全备份。业务数据的日常备份策略可按如下制订：a)每周在访问量比较小的时候做一次全备份。b)每天对业务数据做一次全备份或增量备份。c)每次业务数据做大调整后应立即做一次全备份。d)具体策略将根据各个系统的运行情况及数据重要性确定。表1备份类型与策略参考举例按数据类型备份类型备份策略保留时间数据库全备份每周一次至少保留最近2份全备增量/差异备份每天一次依赖全备份保留文件全备份每周一次至少保留最近2份全备增量/差异备份每天一次依赖全备份保留物理/虚拟OS全备份每周一次至少保留最近1份全备增量/差异备份每天一次依赖全备份保留T/GYJSXXX—XXXX按重要程度支持的备份类型建议策略保留时间核心每周一次全备份每天两次增量备份数据库在TB级别：建议每周一次全备份，每天两次差异备份或者增量备份呢数据库在GB级别：建议每天全备份，每2-4小时进行增量备份至少保留最近2份全备重要每周一次全备份每天一次增量备份建议每周一次全备份，每天进行一次增量或者差异备份至少保留最近2份全备一般每周一次全备份每天一次增量备份每周一次全备份或者数据/应用变更后备份至少保留最近1份全备6.2.2恢复策略设计恢复方式选择恢复方式包括：重定向恢复，细粒度恢复，挂载恢复，瞬时恢复，演练恢复以及跨平台迁移、恢复。重定向恢复：支持文件系统数据在不同平台上恢复。支持数据库在同样操作系统，同样系统架构，同样数据库实例，不同机器上恢复。支持操作系统数据在同样系统架构，不同机器上恢复。细粒度恢复：支持文件、操作系统、数据库应用，部分数据下载恢复等等。挂载恢复：支持对备份数据打包为逻辑卷快速挂载目标端，目标端可直接打开已挂载的磁盘卷，找回丢失数据。瞬时恢复：秒级时间内恢复并启动虚拟机或者操作系统，快速恢复业务，减少故障时间。演练恢复：支持本地备份服务器启动备份虚拟机或者操作系统，快速验证备份数据有效性，保证备份数据的正确性。跨平台恢复与迁移：可根据恢复目标虚拟化平台的虚拟机格式，重新组合虚拟机数据，将虚拟机恢复或迁移至其他虚拟化平台上。例如将VMware虚拟机恢复至深信服、H3C、华为虚拟化平台等。定期恢复策略设计a)明确验证目标和范围明确数据恢复验证的目标和范围。例如参照《电子病历系统应用水平分级评价标准（试行）》5级09.04.5要求2）每季度至少进行一次数据恢复验证，保障备份数据的可用性。验证是为了验证特定类型的数据恢复策略是否有效，还是为了评估整个数据恢复流程的可靠性。同时，确定验证测试涉及的数据类型、存储位置和恢复目标。b)制定详细的验证测试计划设计验证测试用例：根据验证测试目标和范围，制定详细的验证测试用例。每个验证测试用例应涵盖不同的数据丢失场景和恢复方法。确定验证测试环境：搭建与生产环境相似的验证测试环境，包括硬件、软件和数据结构。确保验证测试环境能够模拟真实的数据丢失和恢复过程。安排验证测试时间和资源：根据验证测试计划的复杂性和规模，合理安排验证测试时间和所需资源，确保验证测试能够顺利进行。c)准备备份副本数据生成备份副本数据：根据验证测试用例的需求，生成具有多样性的验证测试数据。这些数据应涵盖各种文件类型、数据库记录和关键业务数据。T/GYJSXXX—XXXX模拟数据丢失：在验证测试环境中，模拟各种数据丢失情况，如意外删除、硬件故障或恶意攻击等，验证模拟灾难场景下数据恢复的有效性。d)执行验证测试按照验证测试用例执行：根据制定的验证测试用例，逐一执行数据恢复验证测试。记录每个验证测试用例的执行过程、恢复结果和遇到的问题。验证恢复效果：检查恢复的数据是否完整、准确，与原始数据是否一致。同时，验证恢复过程是否满足预设的恢复时间目标和恢复点目标。e)记录和分析验证测试结果记录验证测试过程：详细记录验证测试过程中的操作步骤、恢复结果和遇到的问题，以便后续分析和改进。分析验证测试结果：对验证测试结果进行深入分析，找出可能存在的问题和改进点。例如，分析恢复失败的原因、恢复时间的长短以及资源使用情况等。f)制定改进措施根据验证测试结果和分析，制定针对性的改进措施。这可能包括优化数据恢复策略、调整恢复流程、更新恢复工具或增强数据安全防护等。6.3数据访问控制和权限管理6.3.1数据访问安全本项要求包含但不限于以下项目：a)混合云双活数据中心的场地、设施、环境及布线应满足GB/T34982-2017中场地、设施、环境及布线的规定；b)医疗系统数据访问安全应满足GB/T39725-2020中使用披露的规定；[来源：GB/T39725-2020，7]c)应确保只有与数据相对应授权的人员才能访问和使用特定的数据；d)应确保访问数据的真实性和完整性，防止数据在传输或存储过程中被篡改或损坏，如数据校验、数字签名和故障容忍系统等；e)应确保数据在需要使用时可随时使用和访问，不受任何不可预见的干扰或故障的影响。f)应在访问数据时进行合适的加密和验证，以防止未经授权的访问或篡改，数据加密应满足GB/T39477-2020中数据加密的规定；[来源：GB/T39477-2020，、]g)加密后的数据应只能被经过授权的用户或系统解密和访问，确保数据的访问权限受到有效控制；h)应采用多种加密策略并保证加密算法的强度和安全性以保护医疗数据的安全性和隐私性。6.3.2访问控制策略本项要求包含但不限于以下项目：a)访问控制策略应满足GB/T39725-2020中数据使用的规定；[来源：GB/T39725-2020，]b)应在医疗系统不同场景和不同主体间合理选择相适应的访问策略，根据需求决定具体方案；c)应明确访问权限的范围并细化终端设备的访问控制，确保终端设备的访问安全；d)应符合相关的法律法规和行业标准，确保数据访问和操作符合合规要求，保护用户隐私和数据安全；e)应实现过滤和安全检测并定期审查和完善，排除恶意流量或安全隐患；f)应根据信息密级和重要性划分系统安全域并采用安全保密设备进行边界防护；g)数据应能够以较快的速度被请求和响应，降低用户等待时间，可通过合理的数据缓存、负载均衡等方式以优化数据访问的性能。h)应能够记录所有的数据访问和操作事件，确保可以追踪和审计所有的数据访问行为，安全审计应满足GB/Z41290-2022中安全审计策略定制的规定；[来源：GB/Z41290-2022，6.2]i)应能够对审计日志进行分析和统计，发现潜在的安全风险和漏洞，以及时改进访问策略和控制措施，审计日志应受到保护，防止未经授权的修改或删除，确保审计日志的完整性和可靠性。T/GYJSXXX—XXXX6.3.3权限管理本项要求包含但不限于以下项目：a)权限管理应满足GB/T39477-2020中授权管理的规定；[来源：GB/T39477-2020，6.2.2]b)应确保医疗数据的访问权限根据用户角色和需求进行精确控制，严格区分不同用户角色对数据访问的权限；c)应实现医疗系统中对数据权限的分级管理、定期审查和更新权限等措施，确保权限正确、有d)应明确医疗大数据在收集、存储和使用过程中的规范和限制，保护患者的隐私权和信息安全。6.4数据保留和销毁策略6.4.1数据保留策略数据保留方式离线存储是数据保留的典型方式，代表产品有磁盘、光盘（DVD\BD）或磁带。利用磁带库离线数据保留是一种数据安全策略。磁带介质上的数据在读写时是顺序进行的。当需要读取数据时，需要把带子卷到头，再进行定位。技术原理上是将原始数据完全一样地复制，严格来说应复制两份，保存在异地。在原始数据丢失或遭到破坏的情况下，利用备份数据把原始数据恢复出来，使系统能够正常工作。数据备份的正常进行需要有软件和硬件的支持。因此，离线存储的主要用于数据的长久存储。磁带介质价格相对最低，容量价格比最好，是性价比较高方案。使用磁带库作为备份系统的扩展离线存储解决方案有如下优点：a)存储容量大。由于磁带库中有多盘磁带，因此磁带库的在线容量为n倍的单盘磁带容量。这对一个或多个备份作业其数据量大于单盘磁带容量的情况来说，能够实现自动换带，不需要系统管理员来人工更换磁带；同时磁带库的大容量加上磁带的轮换使用，使用户在几个月甚至一年内不需要打开磁带库的门来更换磁带。b)全自动操作。结合专业备份软件，根据系统管理员的设置，能够完成定时、定文件、定目录、定数据库的自动备份任务，做到无人值守。一般把备份作业时间设定在系统网络负荷最轻的深夜或凌晨来进行。全自动操作还包括磁带库的自动诊断、感应、识别、恢复或报警以及磁带库自动日常维护和磁带机自动清洗等。c)备份数据更安全。由于磁带库有机械锁和软件锁双重保护，使不相关的人员根本无法接触到磁带，从而确保备份磁带的安全性。同时由于减少了人工磁带管理工作，避免了磁带搞混、丢失或错误处理。数据保留策略大纲a)总则本数据保留策略旨在确保区域医疗混合云架构中存储的患者健康信息（PHI）、医疗记录和其他敏感数据的完整性、可用性和合规性，同时满足法律、法规和行业标准的要求。b)数据生命周期管理数据识别：明确哪些数据属于需要保留的范畴，包括但不限于患者病历、影像资料、诊断报告、医嘱记录等。数据分类：根据数据的敏感性和重要性，对数据进行分类，设定不同的保留期限和访问权限。数据评估：定期评估数据的价值和使用频率，以确定是否需要进行归档或删除。c)数据存储期限PHI与医疗记录：患者健康信息和医疗记录应至少保留至法律规定的保存期限，通常为患者去世后一段时间，或根据当地医疗法规的要求。财务与行政记录：财务和行政记录应保留至满足税务、审计和其他法律要求的时间。研究数据：用于研究的数据保留期限应根据研究项目的需要和相关协议确定。d)数据删除过期数据：当数据超过预定的存储期限后，应执行安全的数据删除操作，确保数据无法被恢复。违规数据：对于违反隐私政策、法律或合同规定的数据，应立即删除。T/GYJSXXX—XXXXe)数据归档归档条件：对于仍需保留但不再频繁使用的数据，应进行归档处理，以减少存储成本和提高数据检索效率。归档方式：采用符合行业标准的归档技术，确保归档数据的安全性和可访问性。f)监督与审计监控机制：建立数据保留策略的监控机制，定期审查数据保留情况，确保策略得到有效执行。审计要求：接受内部和外部审计，以验证数据保留策略的合规性和有效性。g)违规处理对于违反本数据保留策略的行为，将根据情节严重程度采取相应的纪律措施和法律责任追究。6.4.2数据销毁策略数据销毁方式对数据进行销毁的技术方案主要包括两方面，一是逻辑层面的数据软销毁技术，二是物理层面的硬销毁技术。医院数据通常存储在本地介质（如闪存、光盘、硬盘、磁带等）以及网络上（如云存储）。大数据背景下，云存储逐渐成为医院数据存储方式的优选，不论存储在何处，医院都需要建立统一的数据销毁方案来对需要销毁的数据进行安全销毁。本小节主要针对逻辑层面的数据软销毁技术展开讨论，针对物理层面的硬销毁将在下一小节涉及。a)本地数据销毁技术本地数据的数据软销毁通常采用数据覆写法，数据覆写是指将非敏感数据或无意义数据写入以前存有敏感数据的硬盘簇。硬盘上的数据都是以二进制“0”或“1”形式存储的，使用预先定义的无意义、无规律的信息反复多次覆盖硬盘上的原有数据，达到数据不可读的目的，即实现了数据销毁。根据数据覆写时的具体顺序，可将其分为逐位覆写、跳位覆写、随机覆写等模式。根据时间、密级的不同要求，可组合使用这些模式。覆写次数因存储介质、数据敏感度、实际业务需求不同而存在差异，在不了解存储器实际编码方式的情况下，为了尽量增强数据覆写的有效性，正确确定覆写次数与覆写数据格式非常重要，目前常见的数据覆写包括3次数据覆写法与7次数据覆写法。b)网络数据销毁技术基于密钥销毁的可信删除技术：云存储环境下，数据通常以密文方式存储，该方法不销毁数据本身而是通过销毁加密数据密钥的方式实现数据的不可访问，只要用户安全的销毁密钥，就可以保护数据密文无法在多项式时间内被破解，将数据销毁问题转换成密钥销毁问题；基于时间过期机制的数据自销毁技术：在网络存储中或者与网络连接的其他环境中安装一个数据自销毁程序，在数据销毁前给数据设定一个过期时间标签，数据过期后立即执行删除销毁操作。c)存储介质销毁技术当存储介质需要被替换掉或淘汰掉不再使用时，如果仅仅只是对存储介质中的文件进行删除，仍然有可能通过技术手段恢复相关数据。因此，需要对存储介质进行彻底的物理销毁，保证数据无法复原，防止因存储媒体丢失、被窃或未授权的访问而导致存储媒体中的数据泄漏的安全风险。目前，介质销毁主要基于物理层面的硬销毁实现，通过物理、化学方式直接销毁存储介质。物理销毁可分为消磁、捣碎、焚毁等方法，化学销毁有滴盐酸法。数据销毁策略大纲a)总则本策略旨在确保区域医疗混合云架构中存储的敏感医疗数据在达到其生命周期终点或不再需要时能够被安全、有效地销毁，防止数据泄露和非法访问。数据销毁应遵循最小化保留期限、彻底销毁和审计可追踪的原则。b)适用范围本策略适用于区域医疗混合云架构中所有存储敏感医疗数据的系统、设备和服务，包括但不限于云存储、本地存储、备份系统等。c)数据销毁流程数据识别与分类：首先，对需要销毁的数据进行识别和分类，明确哪些数据属于敏感医疗数据，需要按照本策略进行销毁。T/GYJSXXX—XXXX数据销毁操作：采用物理或逻辑手段对数据进行销毁。物理销毁包括磁盘格式化、磁盘销毁等；逻辑销毁包括使用数据擦除软件对存储介质上的数据进行覆盖、删除等。销毁操作应确保数据无法被恢复。销毁验证与记录：在销毁操作完成后，应对销毁结果进行验证，确保数据已被彻底销毁。同时，应记录销毁操作的相关信息，包括销毁时间、销毁方式、销毁人员等，以便后续审计和追踪。d)数据安全要求最小化保留期限：根据相关法律法规和业务需求，设定敏感医疗数据的保留期限。一旦数据达到保留期限或不再需要，应立即启动销毁流程。访问控制：对数据的访问应实施严格的访问控制策略，确保只有授权人员能够访问和销毁数据。e)审计与监督定期审计：定期对数据销毁策略的执行情况进行审计，确保销毁操作符合规范要求。违规处理：对于违反本策略的行为，应依法依规进行处理，并对相关责任人进行追责。通过实施本数据销毁策略，可以确保区域医疗混合云架构中存储的敏感医疗数据在达到其生命周期终点或不再需要时得到安全、有效的销毁，降低数据泄露和非法访问的风险。7通信安全7.1传输加密和安全通信保障随着我国医联体、医共体建设的稳步推进，全国各地都在展开区域医疗数据中心的建设，医疗数据暴露的风险进一步提高。因此区域医疗混合云在设计时，应参照以下规范：a)数据在传输时应采用加密认证技术手段实现身份认证、访问控制和数据加密传输[GB/T22239-2019《信息安全技术网络安全等级保护基本要求》通信传输稍作修改]；b)在通信过程中应采用密码技术保证通信过程中数据的完整性、保密性[引自GB/T22239-2019《信息安全技术网络安全等级保护基本要求》通信传输稍作修改]；c)应提供满足国家密码管理法律法规的通信加密要求的安全机制的能力，且在通信前给予密码技术对通信的双方进行验证或认证[引自GB/T31168—2023《信息安全技术云计算服务安全》7.2传输的保密性和完整性保护稍作修改]。7.2网络隔离和流量监控7.2.1网络隔离策略a)针对对主体、客体以及经过网络隔离的主客体之间的所有操作,网络隔离应能够执行以下端到端基本的信息流控制策略:1)所有主客体之间发送和接收的信息流均执行网络层协议剥离,还原成应用层数据；2)主客体之间发送和接收的信息流均经过安全策略允许后传输；3)授权管理员通过独立的管理接口,经过身份验证后,授权管理员与网络隔离产品间发送的管理信息经过安全策略允许后传输。[来源：信息安全技术网络和终端隔离产品安全技术要求GB/T20279-2015.1.1基本的信息流控制策略]b)网络隔离的基本的信息流控制策略的预期结果如下：1)所有主客体之间发送和接收的信息流应执行网络层协议剥离,还原成应用层数据;2)主客体之间发送和接收的信息流应经过安全策略允许后传输。3)授权管理员与网络隔离产品间发送的管理信息应经过安全策略允许后传输。[来源：信息安全技术网络和终端隔离产品测试评价方法GB/T20277-20.1基本的信息流控制策略]c)域隔离1)为保护网络隔离安全功能免遭不可信主体(内部或外部网络上的主机)的干扰和篡改,应为其自身的执行环境设定一个安全区域,并把网络隔离控制范围内的各个主体(内部或外部网络上的主机)的安全区域分隔开。[来源：信息安全技术网络和终端隔离产品安全技术要求GB/T20279-2015.6域隔离]7.2.2安全区域设计T/GYJSXXX—XXXXa)安全通信网络架构1)应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略；2)应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务；[来源：GB/T22239-2019信息安全技术网络安全等级保护基本要求8.2云计算安全扩展要求]b)云安全通信网络设计技术要求1)应对网络策略控制器和网络设备(或设备代理)之间网络通信进行加密；2)应禁止通过互联网直接访问云计算平台物理网络。[来源：GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求云安全通信网络设计技术要求]c)安全区域边界1)应在不同等级的网络区域边界部署访问控制机制,设置访问控制规则；2)应在检测到网络攻击行为、异常流量情况时进行告警；3)应对云服务商和云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启；[来源：GB/T22239-2019信息安全技术网络安全等级保护基本要求8.2安全区域边界]d)云安全区域边界设计技术要求1)应实现不同租户间虚拟网络资源之间的隔离,并避免网络资源过量占用；2)应保证云计算平台管理流量与云租户业务流量分离；3)应能够识别、监控虚拟机之间、虚拟机与物理机之间的网络流量。[来源：GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求云安全区域边界设计技术要求]4)应对公有云和私有云之间的边界设置访问控制策略，对进出混合云区域边界的数据信息进行控制，防止非授权及越权访问；5)应在公有云和私有云之间的边界设置安全保护机制，探测并阻断非法网络连接和网络入侵行为，并针对恶意代码进行防范。[来源：YD/T4059-2022混合云平台安全能力要求6.3跨云安全]e)安全计算环境1)当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制；2)应保证当虚拟机迁移时,访问控制策略随其迁移；3)应允许云服务客户设置不同虚拟机之间的访问控制策略。4)应能检测虚拟机之间的资源隔离失效,并进行告警；5)应能检测非授权新建虚拟机或者重新启用虚拟机，并进行告警；6)应能够检测恶意代码感染及在虚拟机间蔓延的情况,并进行告警；7)应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。[来源：GB/T22239-2019信息安全技术网络安全等级保护基本要求8.2安全计算环境]f)云安全计算环境设计技术要求1)应支持注册到云计算服务的云租户建立主子账号,并采用用户名和用户标识符标识主子账号用户身份。2)应支持建立云租户账号体系,实现主体对虚拟机、云数据库、云网络、云存储等客体的访3)应支持对云服务商和云租户远程管理时执行的特权命令进行审计。4)应提供重要业务数据加密服务,加密密钥由租户自行管理：应提供加密服务,保证虚拟机在迁移过程中重要数据的保密性5)物理机和宿主机应安装经过安全加固的操作系统或进行主机恶意代码防范；6)应支持镜像和快照提供对虚拟机镜像和快照文件的完整性保护。[来源：GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求云安全计算环境设计技术要求]T/GYJSXXX—XXXX7.2.3流量监控和分析通过对网络或系统的基础环境以一定的接口方式采集日志等相关数据,关联分析并识别发现安全事件和威胁风险,进行可视化展示和告警,并存储产生的数据,从而掌握整体安全态势。a)接口连接1)应为每一种接口类型设置统一的标准格式要求。b)采集1)流数据或包数据采集应可进行协议解析和元数据收集；2)日志数据采集应将不同日志文件或数据转化为统一格式数据；c)存储1)将不同类型的异构数据(如标准格式日志、元数据、PCAP文件等)进行分类、分布式4)支持对某一时间段内告警日志进行统计分析；5)支持对不同攻击类型事件数量进行统计分析；6)支持对攻击地理区域进行统计分析；源：GB/T37956-2019信息安全技术网站安全云防护平台技术要求6.5统计分析]1)对展示与告警进行时间源管理,保证展示和告警数据实时推送；2)支持安全事件、运行状态、安全威胁、策略与配置的监测结果的展示。[来源：GB/T36635-2018信息安全技术网络安全监测基本要求与实施指南6网络安全监测基本要求]3)应对公有云和私有云之间通信的网络流量进行监控，发现异常立即告警，防止DoS/DDoS攻击。[来源：YD/T4059-2022混合云平台安全能力要求5.3.2跨云传输安全]7.3网络防护和入侵检测7.3.1典型网络安全防护架构a)DDOS防护部署在网络边缘的抗DDOS设备，能够识别和过滤恶意流量，保护关键业务不受DDOS攻击影响。b)入侵检测部署在关键网络节点的IPS设备，实时监控和分析网络活动，检测和拦截已知网络攻击。7.3.2防DDOS攻击设备和IPS功能说明a)防DDOS攻击设备：具备高效的流量清洗功能，能够识别并清洗恶意流量。引入行为分析技术，通过建立网络基线，能够快速检测攻击并生成攻击特征。此外，基于不同协议对可疑攻击源进行挑战，确认其行为合法性，进一步提高入侵检测的准确性，确保关键业务不受DDOS攻击影响。同时，设备还支持与抗DDOS服务提供商的协同工作，实现更强大流量的防护能力。b)IPS：具备实时检测、预警和阻断已知网络威胁。7.3.3网络安全防护策略设计a)DDOS防护策略：使用行为分析技术，建立网络基线，以便更准确地检测潜在威胁，通过实时特征自动分析技术，以及多协议挑战机制，准确拦截攻击流量，减少误拦和漏拦。启用黑名单和白名单机制，并与抗DDOS服务提供商紧密合作，实现高效的流量清洗和防护。此外，定期对防护策略进行评估和调整，以适应不断变化的威胁环境。T/GYJSXXX—XXXXb)入侵检测策略：使用适合医疗行业业务的特征库进行防护，定期自动更新IPS规则库，更新最大周期为一周。配置实时报警系统，并实施日志分析和审计策略。c)SSL攻击检测：行为分析需要支持SSL协议，基于SSL网络流量基线检测并阻断SSL协议的攻击行为。同时IPS需要具备SSL流量解密分析能力。7.3.4多方安全协同工作与抗DDOS服务提供商、SIEM系统以及安全情报提供商紧密合作，实现安全事件的集中收集、分析和响应。通过共享威胁情报和防护策略，提高整体安全防护能力。7.4数据包过滤和防火墙配置7.4.1数据包过滤技术数据包过滤技术是通过检查网络数据包的头部信息来决定是否允许该数据包通过网络设备的安全技术。它基于一组预定义的规则或策略，每个规则都包含了源IP地址、目标IP地址、端口号等信息。当一个数据包到达网络设备时，它的头部信息将与规则进行匹配，如果匹配成功，则根据规则的配置决定是否允许数据包通过。数据包过滤技术可以分为两种类型：有状态和无状态。有状态数据包过滤跟踪数据包的状态，例如TCP连接的建立和终止，它能够提供更高级别的安全保护。而无状态数据包过滤只检查单个数据包的头部信息，无法识别连接的状态。数据包过滤技术广泛应用于防火墙配置中。通过定义规则，管理员可以设置哪些数据包允许通过防火墙，哪些数据包应该被阻止。实现包过滤技术应使用访问控制列表（ACL）。包过滤防火墙配置应包括以下主要几个步骤：a)允许或禁止防火墙；b)设置防火墙缺省过滤方式；c)设置包过滤防火墙分片报文检测开关；d)配置分片报文检测的上、下门限值；e)在接口上应用访问控制列表。7.4.2防火墙的接口和安全区域防火墙通过安全区域（SecurityZone）来隔离不同安全级别的网络。防火墙通过将接口划分到不同的安全区域，从而将接口连接的网络划分为不同的安全级别。防火墙上的接口应该加入合理的安全区域，达到流量安全管理的目的。防火墙的接口加入安全区域代表接口所连接的网络加入安全区域，而不单指接口本身。防火墙的安全区域按照安全级别的不同从1到100划分安全级别，数字越大表示安全级别越高。防火墙一般缺省情况下划分了trust、dmz、untrust和local四个安全区域，管理员还可以自定义安全区域实现更细粒度的控制。防火墙的一个接口只能加入到一个安全区域，一个安全区域下可以加入多个接口。有一个特殊的安全区域local，安全级别最高为100。local代表防火墙本身，local区域中不能添加任何接口，防火墙上所有接口本身都隐含属于local区域。除了防火墙的物理接口，还支持一些类型的逻辑接口，如子接口、VLANIF、Tunnel接口等，这些逻辑接口在使用时也需要加入安全区域。7.4.3防火墙的安全策略防火墙通过“安全策略”规则控制流量。安全策略由匹配条件、动作和内容安全配置文件组成。所有匹配条件在一条安全策略中都是可选配置，配置的条件要全部符合才认为匹配，它们之间是“与”的关系。当一个匹配条件中配置了多个值，多个值之间是“或”的关系时，只要流量匹配了其中任意一个值，就匹配了这个条件。一条安全策略中的匹配条件越具体，其所描述的流量越精确，则控制越精准。防火墙一般使用五元组合（源/目的IP地址、源/目的端口号、协议）作为匹配条件，下一代防火墙（NGFW）还可以检测报文的用户、应用和时间段等，更加精确地配置安全策略。穿越防火墙的数据包流量、防火墙发出的流量、防火墙接收的流量均受安全策略控制。T/GYJSXXX—XXXX本地安全策略是指与Local域相关的安全策略。当防火墙主动访问其他安全区域的对象时，例如防火墙向日志服务器上报日志、防火墙连接安全中心升级特征库等，应配置Local到其他安全区域的安全策略。防火墙存在一条缺省安全策略default，默认禁止所有的域间流量。缺省策略永远位于策略列表的最底端，且不可删除。用户创建的安全策略，按照创建顺序从上往下排列，新创建的安全策略默认位于策略列表底部，缺省策略之前。防火墙接收到流量之后，按照安全策略列表从上向下依次匹配。一旦某一条安全策略匹配成功，则停止匹配，并按照该安全策略指定的动作处理流量。如果所有手工创建的安全策略都未匹配，则按照缺省策略处理。配置安全策略时，建议使用先精确后宽泛的原则。如果新增安全策略，要留意和已有安全策略的顺序关系，应根据需要做出相应的调整。7.4.4防火墙的初始配置首次使用防火墙设备，应完成防火墙接入互联网的基础配置。不同厂家的设备出厂配置不相同，要查阅产品文档。首次登录创建的管理员，一般拥有系统管理员权限和Web服务类型。防火墙支持管理员绑定不同的权限角色。防火墙缺省工作在TCP/IP协议的第三层，通常作为企业Internet出口网关，实现内外网通信的同时进行安全防护。此种模式设备通过路由协议转发各个网段之间的报文，这种接入方式也被称为“路由模式”。防火墙三层接入部署在内外网之间时，还需要负责内网的私网地址与外网的公网地址之间的转换，也就是NAT功能，因此这种接入方式又常被称为“NAT模式”。7.4.5配置防火墙的二层透明接入二层透明接入就是防火墙使用两个二层接口接入网络，宜部署在出口网关的内侧。此种接入方式的优点是不影响原有网络结构，不需要调整上下行设备路由，因此也称为“透明模式”。二层透明接入防火墙同样具备安全防护能力，建议也要配置安全策略。部分三层特有的功能二层接口不支持，例如路由。但是可以使用VLANIF作为三层接口。防火墙无需全局切换路由模式、透明模式，而是进行接口级别的模式切换。接口工作在三层，就可以实现三层网关的功能；接口工作在二层，就可以实现二层透明接入的功能。二、三层接入可以并存。7.4.6建立防火墙访问外部服务通道防火墙本身进行特征库升级、License在线激活等需要防火墙可以访问Internet的外部服务。应为防火墙提供一个三层接口和公网IP地址连接到安全中心、License中心等；二层透明接入应配置一个VLANIF接口，配置接口IP地址并加入安全区域，应保障该地址到Internet路由可达。7.4.7测试防火墙的网络连通性防火墙完成正确配置后，内网PC和防火墙均可以访问Internet，宜按如下操作分别进行测试确认。测试内网PC访问Internet。在内网PC浏览器中输入一个网址，测试是否可以打开网页。也可以登录防火墙Web界面在“诊断中心”进行网页URL访问诊断。7.5虚拟专用网络(VPN)设置7.5.1初始配置a)应在首次使用前完成防火墙接入互联网的基础配置；b)应设置防火墙支持管理员绑定不同的权限角色；c)可将防火墙三层接入部署在内外网之间，此时需负责内网的私网地址与外网的公网地址之间的转换。7.5.2设置防火墙访问外部服务通道T/GYJSXXX—XXXXa)确保防火墙提供一个三层接口IP地址连接安全中心、License中心等。三层接入一般使用公网接口IP地址即可；二层透明接入则需要配置一个VLANIF接口，配置接口IP并加入安全区域，确保该地址到Internet路由可达；b)确保防火墙已经配置DNS服务器，否则防火墙无法通过域名访问外部服务；c)如果接口IP是私网地址，还需要配置源NAT。二层透明接入时，根据规划可以由防火墙进行NAT转换，也可以由出口路由器进行NAT转换；d)配置安全策略允许防火墙访问外部服务、DNS服务器等。放行的服务等根据业务需求制定，例如防火墙访问DNS服务器要放行DNS，防火墙升级特征库要放行HTTPS；e)需经过测试保证网络连通性；f)可根据需求规划更多分区。7.5.3VPN设置a)应支持VPC多租户虚拟网络，实现大规模的租户网络隔离，互不干扰；b)应实现为各租户提供独立的Vrouter/EIP/ELB/VPN等各种网络云服务；c)应解决VLAN模式在数量、交换机性能、物理网络上的限制；d)应实现连接多个自定义虚拟私有网络、私有网络与外部网络的功能；e)应实现不同网络的云主机的互相通信；f)应实现对进出虚拟机端口的网络报文进行安全过滤；g)应实现用户自定义访问安全规则的功能；h)应解决网络延迟和阻塞等问题；i)应实现IP资源与弹性云主机、裸金属服务器、虚拟负载均衡、NAT网关等资源灵活地绑定及解绑；j)应实现虚拟负载均衡。8应用安全8.1应用架构安全设计应用系统作为部署在区域医疗混合云中的业务主体，在保障其高可用性和高冗余性的同时，也面临着多种挑战和风险(如事件处理、应用安全、权限访问、合规性治理、数据保护、供应链安全等)。为确保其安全性，混合云的安全架构需涵盖对应用、API、底层基础设施以及软件供应链的保护。以下规范可供参考：a)应保证网络设备的业务处理能力满足业务高峰期需要[引自GB/T22239-2019《信息安全技术网络安全等级保护基本要求》网络架构稍作修改]；b)应提供应用系统的冗余设计，保证系统的可用性[引自GB/T22239-2019《信息安全技术网络安全等级保护基本要求》网络架构稍作修改]；c)应保证云计算平台不承载高于其安全保护等级的业务应用系统[引自GB/T22239-2019《信息安全技术网络安全等级保护基本要求》8.1.2.1网络架构稍作修改]；d)应保证云计算平台不承载高于其安全保护等级的业务应用系统[引自GB/T22239-2019《信息安全技术网络安全等级保护基本要求》8.1.2.1网络架构稍作修改]。8.2弱点分析和漏洞管理目前，混合云上的资产弱点分析和漏洞管理成熟度远远落后于传统本地数据中心，造成偏差的主要原因在于缺乏适配混合云环境的资产漏洞检测与管理解决方案。因此，可以参考云计算和本地数据中心对脆弱性检测和漏洞管理的相关规范：a)使用脆弱性扫描工具和技术，对应用系统进行脆弱性扫描，并标识和报告可能影响该应用的安全漏洞，建立威胁情报和检测系统从多个来源收集数据，并使用机器学习等分析技术来分析数据，此外还有安全运营中心(SOC)员工进行研究和监督，以识别新出现和普遍存在的安全威胁并缓解其风险。[自GB/T31168—2023《信息安全技术云计算服务安全》14.2脆弱性扫描稍作修改]T/GYJSXXX—XXXXb)应建立安全风险闭环管控机制，定期对应用系统进行弱点分析，对发现的应用系统安全漏洞进行及时的修补，并确保漏洞影响降低到可接受的水平，同时要持续推行漏洞管理，以防范新出现的威胁。Web应用防火墙提供的阻断措施至关重要，能减轻潜在的应用漏洞造成的破坏。[引自GB/T22239-2019《信息安全技术网络安全等级保护基本要求》6.1.9.4漏洞和风险管理稍作修改]8.3应用程序防护和安全日志管理a)混合云的应用程序防护安全需要提供包括对应用、AP