医院信息化系统等级保护设计方案

医院信息化系统等级保护设计方案

2013年4月

目录

1项目背景..............................................4

2方案设计原则..........................................4

3安全等级划分..........................................4

4技术方案设计..........................................5

4.1总体设计.........................................5

4.1.1总体安全技术框架.............................5

4.1.2安全域划分...................................7

4.1.3总体部署.....................................9

4.2详细设计.........................................9

4.2.1物理安全设计.................................9

4.2.2安全计算环境设计............................12

4.2.3安全区域边界设计............................16

4.2.4安全通信网络设计............................19

4.2.5安全管理中心设计...........................22

5安全管理体系设计.....................................23

5.1管理机构建设....................................24

5.2完善安全管理制度................................24

5.3加强人才队伍建设................................25

5.4遵循安全法规标准................................26

5.5重视安全管理手段................................26

5.6建立应急响应机制................................27

6需要增加的设备29

1项目背景

2方案设计原则

根据国家信息安全保障政策法规和技术标准要求，同时参照相关

行业规定，确定信息安全体系规划和设计时遵循以下原则：

3安全等级划分

信息化系统包括应用服务系统等。信息包括公文信息、通讯录、

文件、日程安排、执法数据等，这些信息由于涉及到医疗机构敏感信

息，对数据的完整性和机密性要求具有较高需求，一旦遭到破坏或窃

取，就会给用户查询提供错误数据或泄漏敏感信息，影响社会秩序和

公共利益。

1.业务系统安全受到破坏时所侵害的客体

信息化系统系统一旦遭到破坏或被窃取，所侵害的客体是公民、

法人和其它组织的合法权益以及社会秩序、公共利益。

2.对客体的侵害程度

业务系统安全受到破坏时对社会秩序、公共利益的侵害程度表现

为严重损害，具体表现为业务系统受到破坏或窃取后，会影响医疗机

构行使社会管理和公共服务的职能，并对医疗机构形象造成社会不良

影响，并对公民、法人和其他组织的合法权益造成损失。

3.业务系统安全等级

根据上述分析结果，结合等级保护定级指南，XX系统安全等级

为:

对相应客体的侵害程度

业务信息安全被破坏时所侵

一般损特别严重

害的客体严重损害

害损害

公民、法人和其他组织的合

第一级第二级第二级

法权益

社会秩序、公共利益第二级第三级第四级

国家安全第三级第四级第五级

4技术方案设计

根据差距分析，确定整改技术方案的设计原则，建立总体技术框

架结构，从业务安全、物理环境、通信网络、计算环境、区域边界、

安全管理中心等方面设计落实基本技术要求的物理、网络、系统、应

用和数据的安全要求的技术路线。

4.1总体设计

4.1.1总体安全技术框架

根据国家相关信息安全保护政策，在安全设计框架上，形成“一

个中心”保障下的“三重纵深防御防护体系”架构（一个中心是指安

全管理中心，三层纵深防御体系则由安全计算环境、安全区域边界以

及安全通信网络组成）。在安全物理基础环境上，进一步强调了管理

中心、计算环境、区域边界及网络传输的可信性，使得其在整个生命

周期中都建立有完整的信任链，确保它们始终都在安全管理中心的统

一管控下有序地运行，从而确保了平台的安全性不会遭受破坏，如下

物理安全是支撑信息系统安全运行的基础保障设施的安全，是整

个信息系统安全的基础，也是信息系统最基木的安全基础。

安全计算环境是对平台的信息存储及处理进行安全保护的部件。

安全计算环境由平台中完成信息存储及处理的计算机系统硬件和系

统软件以及外部设备及其联接部件组成，也可以是单一的计算机系

统。安全计算环境保护包括主机系统（操作系统和数据库系统）和应

用系统，以及主机系统和应用系统的备份及恢复。

安全区域边界是对平台的安全计算环境的边界，以及计算环境及

通信网络之间实现连接功能进行安全保护的部件。安全区域边界保护

主要是指对计算环境以及进出计算环境的信息进行保护，以及边界设

备的备份及恢复。

安全通信网络是对平台安全计算环境之间进行信息传输实施安全

保护的部件。安全通信网络保护主要指对数据通信的保护及通信设备

的备份及恢复。

安全管理中心对平台的安全策略及计算环境、区域边界和通信网

络上的安全机制实施统一管理的平台，又指各类安全保护系统的管理

中心构成一个综合性的管理中心。

安全技术方案设计包括各级系统安全俣护环境的设计及其安全互

联的设计，各级系统安全保护环境由相应级别的安全计算环境、安全

区域边界、安全通信网络和安全管理中心组成。平台安全互联由安全

互联部件和跨系统安全管理中心组成。

4.1.2安全域划分

安全域是指同一系统内根据信息的性质、使用主体、安全目标和

策略等元素的不同来划分的不同逻辑子网或网络，每一个逻辑区域有

相同的安全保护需求，具有相同的安全访问控制和边界控制策略，区

域间具有相互信任关系，而且相同的网络安全域共享同样的安全策

略。

本次建设中，医疗HTS计算机网络安全域的划分不能单纯从安全

角度考虑，而是应该以业务角度为主，辅以安全角度，并充分参照现

有网络结构和管理现状，才能以较小的代价完成安全域划分和网络梳

理，而又能保障其安全性。

综上所述，我仅将依据下述的原则完成安全域的划分：

•根据系统服务划分

A对资源信息访问控制；

»对及其相关的信息访问控制；

»对其它资源的访问控制；

•按系统功能类型划分

根据功能类型或提供的服务类型划分子系统，划分时除了考虑到

对用户提供设计服务的系统、管理系统等外，还应考虑到对前两类系

统提供承载、支撑和管理作用的支持系统。

•按照网络区域划分

根据资源使用情况及应用系统地理上分布的情况，在资源访问控

制、管理模式等存在较大差异，所以可按照信息系统运行所在的网络

区域进行子系统划分。

•安全要求相似性原则

在信息安全的三个基木属性方面，同一区域内的信息资产应具有

相似的安全性要求、完整性要求和可用性要求。

根据上述安全域的划分规则，医疗1I1S整体网络可以划分出以下

几大部分区域:

4.1.3总体部署

4.2详细设计

4.2.1物理安全设计

物理位置的选择

中心机房的物理位置按以下要求进行选择：

•在具有防震、防风和防雨等能力的建筑内；

•避免设在建筑物的高层或地下室，以及用水设备的下层或隔

壁。

4.2.1.2物理访问控制

中心机房的物理访问控制应按以下措施建设：

•机房出入口安排专人值守并配置电子门禁系统，控制、鉴别

和记录进入的人员；

•对进入机房的来访人员应经过申请和审批流程，并限制和监

控其活动范围；

•对机房划分区域进行管理，区域和区域之间设置物理隔离装

置，在重要区域前设置交付或安装等过渡区域；

•重要区域应配置第二道电子门禁系统，控制、鉴别和记录进

入的人员。

4.2.1.3防盗窃和防破坏

中心机房的防盗和防破坏应按以下措施建设：

■将主要设备放置在机房内；

■将设备或主要部件进行固定，并设置明显的不易除去的标记;

■将通信线缆铺设在隐蔽处，可铺设在地下或管道中；

■对介质分类标识，存储在介质库或档案室中；

■利用光、电等技术设置机房防盗报警系统；

■对机房设置监控报警系统。

4.2.1.4防雷击

中心机房防雷按以下措施建设：

■机房所在的建筑安装避雷装置。

■机房内设置防雷保安器，防止感应雷；

■机房设置交流电源地线。

防火

中心机房防火按以下措施建设：

■机房安装火灾自动消防系统，能够自动检测火情、自动报警,

并自动灭火；

■机房及相关的工作房间和辅助房采用具有耐火等级的建筑材

料；

■机房采取区域隔离防火措施，将重要设备及其他设备隔离开。

防水和防潮

中心机房防火和防潮按以下措施建设：

■水管安装，不得穿过机房屋顶和活动地板下；

■采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；

■采取措施防止机房内水蒸气结露和地下积水的转移及渗透；

■安装对水敏感的检测仪表或元件，对机房进行防水检测和报

警。

防静电

中心机房防静电按以下措施建设：

■所有设备采用接地防静电措施；

■机房采用防静电地板；

■有条件的情况下，采用静电消除器等装置，减少静电的产生。

4.2.1.8温湿度控制

中心机房温湿度按以下措施建设：

■在机房安装温湿度自动调节设备，使机房温、湿度的变化在

设备运行所允许的范围之内。

4.2.1.9电力供应

中心机房电力供应按以下措施建设：

■在机房供电线路上配置稳压器和过电压防护设备；

■安装UPS系统，提供不小于1小时的供电要求；

■设置冗余或并行的电力电缆线路为计算机系统供电；

4.2.1.10电磁防护

中心机房电磁防护按以下措施建设：

■采用接地方式防止外界电磁干扰和设备寄生耦合干扰；

■电源线和通信线缆应隔离铺设，避免互相干扰；

■对保密性要求较高的服务器，放置屏蔽机柜和屏蔽室内。

4.2.2安全计算环境设计

4.2.2.1用户身份识别

根据国家政策在应用安全方面的要求，应对涉及接触移动政务业

务敏感信息的用户群体（以下简称敏感用户），采取满足要求的数字

证书身份认证机制，具体安全保障措施如下：

・基于数字证书和PIN码的多因子身份鉴别机制

基于PKI技术体系的数字证书认证机制通过将数字证书及用户的

真实身份进行唯一绑定，可满足三级安全等保要求实现鉴别信息不可

被重用和被冒用，从而可确保系统中的用户身份不可假冒，实现了强

身份认证；同时，数字证书的使用通过结合PIN码保护机制，满足了

三级安全等保中关于“应对同一用户采用两种或两种以上组合的鉴别

技术实现用户身份鉴别”的要求。

因此，敏感用户必须持有其数字证书才能进入管理平台进行相关

的业务操作，从而从应用访问源头上防止了非法用户的非法登录，确

保了进入移动政务平台的每一位用户身份都是合法的。

同时，数字证书是用户登录系统的身份凭证，应防止被其它非法

用户所使用。因此，根据用户终端设备为手持设备或便携设备，应采

取基于SD、SIM卡的PIN码保护机制，实现对数字证书的安全存储和

安全使用。

注明：SD、SIM卡内部集成多种密码算法，各种运算直接可以在

其内部封闭的环境下进行；同时:存储在其内部的用户私钥无法导出

和复制，且通过带有PIN保护，能有效抵御蛮力尝试。攻击者如果想

冒充敏感用户的身份进入医疗HIS,不仅需要窃取到用户的SD、SIM

卡，还需要知道保护口令。因此，大大提高了认证的安全强度，也使

得身份冒充变得更加困难。

•部署安全中间件实现对登录用户进行身份标识和鉴别

根据第三级安全等保中关于“应提供专用的登录控制模块对登录

用户进行身份标识和鉴别”的要求，应在用户终端和服务器端部署安

全中间件，通过用户终端和应用服务器两端的安全组件和安全控件互

相验证各自证书，确认各自身份的真实性。

客户端中间件应可以内嵌到Web页面中，也可以被专用Client

程序调用，对用户的使用应该是透明的；服务器端中间件部署在应用

服务器上，接受并处理由客户端发送过来的安全认证、数据加解密和

签名验证等系列安全处理请求，为应用系统提供安全保护。

应用层

接口/组件

ATL/jar/扩展库

API(.dll/,so/,a/.o)

硬件驱动

软证书

密码设备

安全中间件应面向业务应用提供以下功能:

・数字签名；为应用系统提供重要业务数据及关键操作行为的数

字签名，应用系统通过这些数字签名记录，在发生纠纷时对数字签名

进行验证，真正实现重要业务数据和关键操作的完整性和不可抵赖

性；

•数字证书解析：对数字证书域进行解析，将解析后的证书内容,

如证书序列号、用户身份证号码、单位组织机构代码提交应用系统供

应用系统使用；

•数字信封：提供数字信封加密机制，提升数据加密效率和加密

强度；

•密钥分割：采用门限算法，可以将加密密钥分割成若干份提供

给多人保管，当需要调取密钥时，根据预先约定的密钥持有策略在多

人在场情况下将完成密钥的重新组装得到原有密钥。

•时间戳功能:通过获取标准时间源信息，对标准时间进行签名，

提供具有法律效力的时间戳服务。

•服务端证书管理功能：在应用服务器上提供B/S方式的证书管

理工具，用户可以使用该工具很方便的配置和管理服务器证书。

•XML签名：实现了通过扩展标记语言（XML）来创建、验证和

管理数字签名。

•软件完整性保护

采取代码签名证书对原始发布的软件进行完整性保护

基于手机服务的应用系统普遍采用C/S架构，终端用户运行手机

应用程序软件访问应用系统，存在客户端软件被仿冒和篡改的风险。

公务员用户使用移动终端访问医疗HTS处理移动办公、移动执法等业

务时，如果运行仿冒的程序软件，其业务中的信息数据将面临被窃取、

篡改的危险。

因此，建议对北京医疗HTS的终端应用程序软件签发代码签名证

书，防范软件被仿冒和篡改的风险，使用户免遭病毒和黑客程序的侵

扰，为软件的完整性提供可靠的保障。

4.2.2.2恶意代码防范

对各服务器平台部署网络防病毒系统，实现对计算环境内恶意代

码检测及阻杀，定级对防病毒系统病毒库特征码进行升级，保持最新

的恶意代码检测库。

WEB应用系统防护

部署入侵防御系统或WEB防火墙实现对WEB应用程序安全保护。

由于大部分服务系统都是采用WEB方式向外界提供服务，而由于目前

针对WEB服务的攻击除了利用其IE漏洞、数据库漏洞、操作系统漏

洞外，还利用编程语言程序设计漏洞，如SQL注入攻击是最常用的

WEB应用攻击。目前大部分安全防护都是针对应用层以下的攻击，而

对应用层本层的防护甚少，因此采用入侵防御系统或WEB防火墙从应

用层上对2EB服务提供防护。

入侵防御系统或WEB防火墙采用专用入侵异常检测技术，对WEB

应用实施全面、深度防御，能够有效识别、阻止日益盛行的WEB应用

黑客攻击(如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫

描、目录遍历、命令注入、Cookie注入、跨站脚本(XSS)、敏感信息

泄露、恶意代码、错误配置、隐藏字段、会话劫持、参数篡改、缓

冲区溢出、应用层拒绝服务、弱口令等。网页防篡改系统实现防止

WEB应用程序URL盗链以及WEB应用程序非法篡改。

4.2.2.4可用性及数据安全

为提高医疗HIS高可用性，应用系统服务器应采集群方式进行部

署，实现应用服务的高可用性和负载。

为了保障应用系统数据安全，对关键数据应采用密码机对应用数

据进行加密存储。同时采用数据备份软件和磁带机对数据库数据进行

备份。

4.2.3安全区域边界设计

4.2.3.1防火墙

在网络边界部署防火墙系统实现网络及应用的访问控制机制。防

火墙采用基于连接状态检测的包过滤模块，从系统内核层对网络数据

进行分析和处理，将属于同一连接的所有数据包作为一个整体的数据

流看待，同一连接只在第一个包到来时检查规则一次，后续包则只需

要检查其连接状态，系统内部高效维护了一张连接状态表。对于基于

LDP协议、1CMP这种无连接状态的协议处理时，会为其建立虚拟的连

接状态表，因此同样能够对连接过程状态进行监控。防火墙通过规则

表及连接状态表的共同配合，大大地提高了系统的性能和安全性。防

火墙的包过滤控制策略细致灵活，不仅可以对数据包的进/出网络接

口、协议（TCP、UDP、ICMP、以及其他非IP协议）、源IP、目的IP、

源端口、目的端口、IP选项等进行控制，还可采用基于时间、用户

以及服务（群组）的控制策略。

防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全

的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火

墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不

安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这

些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基十路

由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。

防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访

问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生

可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和

攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重

要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻

击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分

析和威胁分析等而言也是非常重要的。

在以下区域边界部署防火墙，实现有效的安全边界划分和访问控

制：

•在运营商接入边界各部署防火墙；

•在LNS接入域及医疗HTS之间部署防火墙

•在平台互联网出口出部署防火墙

•在平台的出口和外网出口处部署防火墙

4.2.3.2异常流量管理

在及外部网络通信时，对网络边界的各类攻击，其中恶意流量攻

击是最主要的方式之一，通过部署抗系统，实现对SYNFlood、UDP

Flood、UDPDNSQueryFloods（M）StreamFlood.ICMPFlood、HTTP

GetFlood以及连接耗尽这些常见的D0S/DD0S攻击行为能够有效识

别，并通过集成的机制实时对这些攻击流量进行阻断。

异常流量管理系统的实时流量分析器提供门网络、应用以及IP

地址的实时流量采集、分析和展现功能，用户可以通过IP地址（用

户）、应用、通道、带宽等方式直观的查看整个网络中带宽的详细使

用情况。它是IT管理员优化网络带宽、解决带宽恶意使用的有力的

管理工具，为后续的带宽优化及管控、网络规划提供科学的依据,基

于系统内嵌的DPI智能分类引擎，系统可以探测和跟踪动态端口的分

配，并通过比对协议的特征库，能够识别变动端口的会话流，并能够

对使用同一端口的不同协议进行自动识别，实现网络流量的全面可视

化。用户可以自定义应用的特征码，避免产生不明流量，清理非法数

据包及IP碎片，输出符合TCP/IP协议的数据包。

4.2.3.3入侵防御

在核心交换机及服务域之间部署入侵防御系统，实现对各类入侵

行为进行检测及阻断。入侵防御系统能够识别多种L2〜L7层的网络

协议和应用软件，涵盖了目前主流的各种应用，包括P2P、VoIP、IM（即

时通讯）、视频/流媒体、网络游戏、炒股软件、企业内部应用、网络

管理协议、安全协议等，对边界对确认的入侵行为进行检测并阻断，

防止恶意攻击行为通过边界进入到内部回络，破坏网络边界的完整

性。网络入侵防御系统能通过对监测网络的高速报文捕获，进行深入

协议分析，结合模式匹配、统计以及行为关联分析，可以对各种类型

的事件和流量、原妗报文进行全面深入的监测。通过预设的策略条件

自动执行对网络中的行为事件的响应，主要的几种响应方式：告警，

日志，阻断，自定义响应方式。

4.2.3.4负载均衡

考虑大量用户同时访问医疗HIS时;将面临大流量合法用户的访

问，会造成应用服务性能受到很大挑战，很容易因合法用户造成对应

用服务的拒绝服务攻击，因此，针对应用系统采用网络负载均衡机制,

实现对合法用户流量访问均衡分担，避免大流量合法用户访问造成应

用服务宕机。

4.2.4安全通信网络设计

4.2.4.1安全接入

为保障外部网络用户安全接入到医疗HTS,采用基于密码技术的

机制实现接入用户的安全身份认证、授权控制、数据传输的完整性和

保密性保护。SSLVPN系统采用SSL安全协议的隧道封装模式，采用

国家密码主管部门审批的专用算法SM1等手段来保证广域网传输的

完整性，利用密码技术保证传输数据内容的完整性，防止篡改传输数

据或被破坏。

SSLVPN网关能够满足不同用户的这种安全需求，支持多种不同

强度的身份认证方式,如用户名+口令、RADIUS、AD、LDAP、USBKey>

证书、证书+口令、双因子认证等。适用于丰富的终端及操作系统，

还包括一些高端的PDA、智能手机、3G手机。操作系统方面不仅支持

Windows2000/XP/2003/Vista等通用的PC平台，还支持用户使用

WindowsMobile平台接入,并且在WindowsMobile平台上能够提供

任意的基于TP的访问，也支持非Windows的操作平台的远程接入。

这种支持多平台特性为用户提供了方便的访问特性，极大地满足用户

的需要。SSLVPN网关支持双机热备，可以提供主从，主主两种业务

模式，并且其HA功能可以在不同的型号之间实现。SSLVPN网关所

使用的基于角色的访问控制便于管理员制定灵活的控制规则。通过角

色将系统的访问用户同系统保护资源联系起来，既直观，而且在访问

控制策略发生变化的时候无须为每一种资源或者每一个用户修改权

限；只需要修改某一种服务/角色/用户的属性。SSLVPN网关同时支

持对终端环境的安全检查。

4.2.4.2虚拟专用网络

虚拟专用网(VirtualPrivateNetwork)技术是指采用隧道技

术以及加密、身份认证等方法，在公众网络上构建专用网络的技术，

数据通过安全的“加密管道”在公众网络中传播。

VPN技术实现了内部网信息在公众信息网中的传输，就如同在茫

茫的广域网中为用户拉出一条专线。对于用户来讲，公众网络起到了

“虚拟专用”的效果。通过VPN,网络对每个使用者也是专用的。也

就是说，VPN根据使用者的身份和权限，直接将使用者接入他所应该

接触的信息中。所以VPN对于每个用户，也是“专用”的。目前构建

虚拟专用网的国际标准主要有IPSec、SSL、SOCKS>PPTP、L2Tp等协

议。本方案中采用的是国际上使用最广泛的IPSEC协议。

IPSec提供的安全服务包括:

•保密性一一IPSoc在传输数据包之前将其加密.以保证数据的

保密性

•完整性一一IPSec.在目的地要验证数据包，以保证该数据包任

传输过程中没有被修改或替换

•真实性一一IPSec端要验证所有受IPSec保护的数据包

•防重放一一IPSec防止了数据包被捕捉并重新投放到网上，即

目的地会拒绝老的或重复的数据包，它通过报文的序列号实

现。

4.2.4.3网络安全审计

在网络环境中部署网络安全审计系统实现各类用户对应用系统、

数据库及网络访问行为进行安全审计，以便发现违规行为进行安全审

计及事后追踪。

4.2.4.4入侵检测

网络安全防护不但需要防外，还需要从内部进行防护。入侵行为

除了来自网络边界外，同时也需要对网络内的合法用户的入侵行为进

行检测，因此，部署入侵检测系统实现对内部网络的入侵行为进行检

测及报警。入侵检测系统通过对监测网络的高速报文捕获，进行深入

协议分析，结合模式匹配、统计以及行为关联分析，可以对各种类型

的事件和流量、原始报文进行全面深入的监测。通过预设的策略条件

自动执行对网络中的行为事件的响应，主要的几种响应方式：告警，

日志，自定义响应方式。

4.2.5安全管理中心设计

安全管理中心可能由一个或几个安全系统的管理中心共同组成，

各安全系统都实现三权分离管理。

4.2.5.1系统管理

应通过系统管理员对系统的资源和运行进行配置、控制和管理，

包括：用户身份管理，系统资源配置，系统加载和启动，系统运行的

异常处理，以及支持管理本地和/或异地灾难备份及恢复等；应对系

统管理员进行严格的身份鉴别，只允许其通过特定的命令或操作界面

进行系统管理操作，并对这些操作进行审计。

4.2.5.2安全管理

应通过安全管理员对系统中的主体、客体进行统一标记，进行系

统安全监测，并为安全计算环境、安全区域边界、安全通信网络配置

统一的安全策略；应对安全管理员进行严格的身份鉴别，并只允许其

通过特定的命令或操作界面进行安全管理操作，并进行审计，安全管

理设备应能过对安全设备进行统一的策略下发，使得各安全产品共同

一个完整的安全防御体系。

4.2.5.3审计管理

应通过安全审计员对分布在系统各个组成部分的安全审计机制

进行集中管理，包括：根据安全审计策略对审计记录进行分类；提供

按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行

存储、管理和查询等；对审计记录进行分析，并根据分析结果进行处

理；对安全审计员进行严格的身份鉴别，并只允许其通过特定的命令

或操作界面进行安全审计操作。

5安全管理体系设计

仅有安全技术防护，而无严格的安全管理相配合，是难以保障网

络系统运行安全的。因为诸多的不安全因素恰恰反映在组织管理和人

员的使用方面，这是计算机网络安全必须考虑和高度重视的基本问

题。

严格的安全管理制度，明确的安全职责划分，合理的人员角色定

义，完备的应急响应机制，都可以在很大程度上减少安全隐患。因此,

医疗HIS的安全建设、运行、维护、管理都要重视安全管理，严格按

制度进行办事，严格按制度办事，明确责任权力，规范操作，加强人

员、设备的管理以及人员的培训，提高安全管理水平。医疗HIS安全

管理模型如下图所示：

业务应用二

■制点、人员的领1美戛

拧制点管理0.,■人员分级管理/大

彩电TM控制点与安全员对府二责任

生全系统安全布控人员布控

由拜网络.主机.康加

硬竹.

■

安全人员管理

《软件）

安全管理中心-»•

贵产.人员.供态.业务.安全制度.安全审It

5.1管理机构建设

医疗HIS安全事关医疗机构重要政务的处理和医疗机构形象以及

生命安全，需要从战略高度充分认识安全防护的重要性和紧迫性。因

此，需要在现有组织设置的基础上，进一步明确安全管理的相关组织、

机构和职责，建立集中统一、分工协作、各司其职的安全管理责任机

制。

,成立经安全领导小组，负责医疗HIS建设和运行维护过程中有

关安全事务的组织协调工作。

,健仝安仝责任制，进一步明确各部门、单位的安仝职责，包括

系统运行、维护、资产管理等责任部门，并落实各项安全工作

的具体负责人。

/按最小特权原则和职责分离原则，配备系统管理员、安全管理

员、安全审计员，分工明确，责任到人。

/建立定期安全检查、协调机制，及时掌握医疗HIS的安全状态

和安全管理制度执行情况。

5.2完善安全管理制度

为保证医疗HIS系统正常运行，必须首先建立、健全一套及之相

应的安全管理制度，需要制定和完善的安全管理制度包括但不限于以

下制度规范：

/信息安全管理规范：明确安全目标、安全原则、管理组织、职

责和人员、机房、设备、软件、信息介质、技术文档、安全审

计、应急处理等方面的总的管理要求。

/人员管理相关制度：明确安全管理人员录用、培训、调离、奖

惩等方面的具体要求和各类管理人员的具体职责。

/机房管理相关制度：明确机房管理、机房出入、设备出入、机

房值班、日常维护、定期维护、故障处理、电源管理、消防管

理、信息保密等方面的具体管理要求。

,设备管理相关制度：明确设备购置、使用、维修等方面的具体

管理要求。

,软件管理相关制度：明确软件采购、测试、安装、登记、保管、

使用、维护、防病毒等方面的具体管理要求。

/信息介质管理相关制度：明确各类信息介质的采购、登记、借

用、复制、销毁、储存等方面的具体管理要求。

/技术文档管理相关制度：明确技术文档归档、借阅、复制、备

份、销毁等方面的具体管理要求。

/安全审计管理相关制度：明确安全审计内容、周期、审计流程

以及日志保存时间、处理等方面的具体管理要求。

/应急处理管理相关制度：明确处理各类信息安全紧急事件的应

急组织、人员、响应流程、处理步骤等。

5.3加强人才队伍建设

由于信息安全的复杂性、专业性、特殊性，医