醫(yī)院信息系統(tǒng)等級保護測評實踐

張益釗 朱衛(wèi)國 孟曉陽

(1 北京協(xié)和醫(yī)院信息管理處 北京100044 (北京協(xié)和醫(yī)院信息管理處 北京100044) 2 北京建筑大學經(jīng)管學院 北京 100730)

邱志剛 蘇 博 宋 昭 王翔宇

(石化盈科信息技術有限責任公司 北京100007) (北京市電子產(chǎn)品質(zhì)量檢測中心 北京100005)

?

醫(yī)院信息系統(tǒng)等級保護測評實踐

張益釗 朱衛(wèi)國 孟曉陽

(1 北京協(xié)和醫(yī)院信息管理處 北京100044 (北京協(xié)和醫(yī)院信息管理處 北京100044) 2 北京建筑大學經(jīng)管學院 北京 100730)

邱志剛 蘇 博 宋 昭 王翔宇

(石化盈科信息技術有限責任公司 北京100007) (北京市電子產(chǎn)品質(zhì)量檢測中心 北京100005)

從北京協(xié)和醫(yī)院信息系統(tǒng)開展等級保護測評的實際出發(fā)，介紹信息系統(tǒng)定級情況以及測評的內(nèi)容和流程，論述在具體工作中發(fā)現(xiàn)的普遍問題與風險分析辦法，為信息安全相關工作提供借鑒。

等級保護；醫(yī)院信息系統(tǒng)；測評

1 引言

我國的信息安全等級保護工作已經(jīng)經(jīng)過了20余年的探索和發(fā)展。1994年，國務院頒布147號令——《中華人民共和國計算機信息系統(tǒng)安全保護條例 》[1]，規(guī)定 “計算機信息系統(tǒng)實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定”。該條例明確了3個內(nèi)容：一是確立等級保護是計算機信息系統(tǒng)安全保護的一項制度；二是出臺配套的規(guī)章和技術標準；三是明確公安部的牽頭地位。147號令的頒布，標志著我國的信息安全等級保護工作正式拉開了序幕。2003年9月7日，中共中央辦公廳、國務院辦公廳聯(lián)合頒布《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)【2003】27號)[2]，明確指出“實行信息安全等級保護”，這標志著等級保護已從計算機信息系統(tǒng)安全保護的一項制度提升到了國家信息安全保障一項基本制度。

2011年11月29日，原衛(wèi)生部辦公廳頒布《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》(衛(wèi)辦發(fā)【2011】85號)[3]，提出了衛(wèi)生行業(yè)要“做好信息安全等級保護工作”，并且明確了工作要求和工作原則，下達了定級備案、建設與整改、等級測評、宣傳培訓、監(jiān)督檢查5個階段的工作任務，為衛(wèi)生行業(yè)貫徹落實國家信息安全等級保護制度提供了指導意見。

2011年12月7日，原衛(wèi)生部辦公廳頒布《關于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》(衛(wèi)辦綜函【2011】1126號)[4]，規(guī)定了各階段工作任務的時間節(jié)點，要求“衛(wèi)生行業(yè)各單位要于2012年5月30日前完成本單位信息系統(tǒng)的定級備案工作”，并且“要于2015年12月30日前完成信息安全等級保護建設整改工作，通過等級測評?！?/p>

2012年北京市衛(wèi)生局發(fā)布《關于進一步加強北京市衛(wèi)生行業(yè)信息安全等級保護工作的通知》(京衛(wèi)辦字【2012】26號)[5]，復述了推進等級保護工作的具體內(nèi)容要求，如工作目標、工作原則、工作機制、工作任務、工作要求等，提出了對于北京市衛(wèi)生行業(yè)推進信息安全等級保護工作的時間細節(jié)要求，如2015年10月30日前完成測評工作。目前，北京市衛(wèi)生行業(yè)各單位均在大力發(fā)展信息化建設，信息安全保障的需求也日益迫切，依據(jù)原衛(wèi)生部和北京市衛(wèi)生局發(fā)布的各項工作指導意見和通知，各單位在逐步完成各項工作任務。

依據(jù)原衛(wèi)生部辦公廳(衛(wèi)辦發(fā)【2011】85號)頒布的《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》，北京協(xié)和醫(yī)院也對院內(nèi)信息系統(tǒng)進行了統(tǒng)一梳理與歸并，確定醫(yī)院主要應用系統(tǒng)“醫(yī)院門診住院信息系統(tǒng)”為信息安全等級保護第3級系統(tǒng)，其他如“影像存儲與傳輸系統(tǒng)”等輔助系統(tǒng)為第2級系統(tǒng)。本文主要從北京協(xié)和醫(yī)院信息系統(tǒng)開展等級保護測評的實際工作出發(fā)，介紹信息系統(tǒng)定級情況以及測評的內(nèi)容和流程，論述在具體工作中發(fā)現(xiàn)的普遍問題與風險分析辦法，在各醫(yī)院普遍開展等級保護工作的大背景下，為信息安全相關工作提供借鑒[6-8]。

2 信息系統(tǒng)定級情況以及測評內(nèi)容和流程

2.1 內(nèi)容

在定級過程中，北京協(xié)和醫(yī)院組織各方專家充分調(diào)研了系統(tǒng)現(xiàn)狀，依據(jù)系統(tǒng)現(xiàn)狀填寫《信息系統(tǒng)安全等級保護備案表》，撰寫《信息系統(tǒng)安全等級保護定級報告》，充分論證了系統(tǒng)的安全需求，確定了系統(tǒng)信息安全保護等級；依據(jù)指導意見的要求，如期完成了主要系統(tǒng)定級備案的工作，取得了《信息系統(tǒng)安全等級保護備案證明》[9-11]。同時，為配合國家等級保護政策的推進，符合國家等級保護的相關標準要求，北京協(xié)和醫(yī)院進一步提高了信息系統(tǒng)的信息安全保障能力和防護水平，委托北京市推薦的測評機構(gòu)——北京市電子產(chǎn)品質(zhì)量檢測中心(京字008號)進行等級保護測評，對醫(yī)院門診住院信息系統(tǒng)的安全狀態(tài)做出判斷，給出目標系統(tǒng)在安全技術和安全管理方面與相應安全等級保護基本要求之間的差距。測評結(jié)論作為院方進一步完善系統(tǒng)安全保護措施的依據(jù)。

2.2 流程

2015年4月2日召開項目啟動會，等級測評工作正式開始。2015年4-5月對醫(yī)院門診住院信息系統(tǒng)進行了現(xiàn)場安全管理核查和安全技術測評、物理安全測評、安全管理測評。根據(jù)現(xiàn)場測評結(jié)果提出了差距分析和整改建議，于2015年7-8月對整改結(jié)果進行了復測，2015年9月根據(jù)復測結(jié)果進行了單元測評結(jié)果匯總和整體測評分析，對不符合項進行了風險分析，得出測評結(jié)論，最終形成測評報告，確保依據(jù)北京市衛(wèi)生局要求，在2015年10月30日前完成測評工作[12]。本次測評流程,見圖1。

圖1 等級測評基本工作流程

3 測評結(jié)果分析

3.1 網(wǎng)絡安全層面

3.1.1 訪問控制 訪問控制(G3)中要求：“應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級”。一般信息系統(tǒng)，如醫(yī)院信息系統(tǒng)、門診系統(tǒng)或住院系統(tǒng)等均可以通過防火墻，設置為限制從系統(tǒng)外部訪問內(nèi)部的IP地址，但未達到端口級，在網(wǎng)絡內(nèi)部并未進行訪問限制，應該對防火墻進行細化配置予以整改彌補，如限于現(xiàn)實情況不能立刻整改的，可通過對現(xiàn)行規(guī)則進行梳理，確保所有訪問來源可信，提出后續(xù)整改計劃，于一定期限內(nèi)進行整改。

3.1.2 過濾信息內(nèi)容 訪問控制(G3)中要求：“應對進出網(wǎng)絡的信息內(nèi)容進行過濾，實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制”。如果自查時發(fā)現(xiàn)所屬的信息系統(tǒng)，如醫(yī)院信息系統(tǒng)、門診系統(tǒng)或住院系統(tǒng)等達不到該項要求，可采用防火墻進行細化配置予以整改彌補，如無該類設備的，可通過內(nèi)網(wǎng)部署入侵檢測設備進行部分彌補，降低風險。

3.1.3 保護審計記錄 在安全審計(G3)要求中明確提出：“應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等，保存時間不少于半年”。一般而言多數(shù)信息系統(tǒng)，如醫(yī)院信息系統(tǒng)、影像存儲與傳輸系統(tǒng)等可能達不到該項保存時間要求，未部署網(wǎng)絡設備的日志審計系統(tǒng)，安全審計紀錄缺失，可采用對網(wǎng)絡設備的審計日志(Syslog)外發(fā)的方式對審計紀錄進行保護，予以整改彌補。

3.1.4 邊界完整性檢查 邊界完整性檢查(S3)中要求：“應能夠?qū)?nèi)部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢查，準確定位并對其進行有效阻斷”。一般而言大多數(shù)信息系統(tǒng)達不到該項要求，可采用網(wǎng)絡交換設備進行設置的方式，予以整改彌補。

3.1.5 惡意代碼防范 惡意代碼防范(G3)中要求：“應在與外單位和互聯(lián)網(wǎng)連接的網(wǎng)絡邊界處對惡意代碼進行檢測和清除”。部分信息系統(tǒng)達不到該項要求，可采用具備惡意代碼查殺清除功能的網(wǎng)絡安全設備，予以整改彌補。

3.1.6 管理員登錄地址限制 網(wǎng)絡設備防護(G3)中要求：“應對網(wǎng)絡設備的管理員登錄地址進行限制”。一般醫(yī)院類機構(gòu)并未對管理員登錄地址進行限制，可采用對網(wǎng)絡設備進行設置的方式，予以整改彌補，對不具備該項設置的網(wǎng)絡設備，可通過具備訪問控制功能的設備如防火墻等進行設置。

3.1.7 身份鑒別 網(wǎng)絡設備防護(G3)中要求：“主要網(wǎng)絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別”。醫(yī)院信息系統(tǒng)、影像存儲與傳輸系統(tǒng)等在上線初期達不到該項要求，在傳統(tǒng)的用戶名/口令方式之外還可采用網(wǎng)絡設備支持的如數(shù)字證書等身份鑒別方式對網(wǎng)絡設備進行設置，予以整改彌補，對不具備該項設置的網(wǎng)絡設備，建議對可登錄網(wǎng)絡設備的終端設備進行加強認證，如限定登錄范圍或采用安全計算機等，確保所有訪問來源可信。

3.2 主機安全層面

3.2.1 啟用登錄失敗處理功能 身份鑒別(S3)中要求：“應啟用登錄失敗處理功能，可采取結(jié)束會話、限制登錄間隔、限制非法登錄次數(shù)和自動退出等措施”。醫(yī)療機構(gòu)的主機大多為默認配置，不能達到該項要求，應對會話內(nèi)主機登錄次數(shù)進行配置，防止非法猜解密碼等攻擊行為。

3.2.2 組合的鑒別技術 身份鑒別(S3)中還要求：“宜采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別，如以密鑰證書、動態(tài)口令卡、生物特征等作為身份鑒別信息”。大部分醫(yī)院信息部門已有的現(xiàn)代化支付系統(tǒng)前置主機僅采用用戶名/口令一種鑒別方式，不能達到該項要求，在傳統(tǒng)的用戶名/口令方式之外還可采用主機操作系統(tǒng)支持的如數(shù)字證書等身份鑒別方式對主機進行設置，予以整改彌補，還可對可登錄主機的終端設備加強認證，如限定登錄范圍或采用安全計算機等，確保所有訪問來源可信。

3.2.3 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)權限分離 訪問控制(S3)中要求：“應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權用戶的權限分離”。部分衛(wèi)生行業(yè)單位主機管理員同時兼管數(shù)據(jù)庫，或有名義上的A、B崗設置，現(xiàn)實中主機與數(shù)據(jù)庫的管理權限并未分離，對于人員條件許可的，應將該權限真正分離，因衛(wèi)生行業(yè)單位內(nèi)部人員管理措施與管理制度等較為完善，所存在的風險較低。

3.2.4 安全審計內(nèi)容保護 安全審計(G3)中要求：“審計內(nèi)容應包括重要用戶行為、 系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用、賬號的分配、創(chuàng)建與變更、審計策略的調(diào)整、審計系統(tǒng)功能的關閉與啟動等系統(tǒng)內(nèi)重要的安全相關事件”。主機大多為默認配置，不能達到該項要求，較多衛(wèi)生行業(yè)單位未部署主機的日志審計系統(tǒng)，安全審計紀錄缺失，可采用對主機的審計日志外發(fā)的方式對審計紀錄進行保護，予以整改彌補。

3.2.5 病毒監(jiān)控中心 惡意代碼防范(G3)中要求：“應建立病毒監(jiān)控中心，對網(wǎng)絡內(nèi)計算機感染病毒的情況進行監(jiān)控”。一般情況下醫(yī)院信息部門因人員和資源有限未建立病毒監(jiān)控中心，不能對網(wǎng)絡內(nèi)計算機感染病毒的情況進行監(jiān)控，應采用提供該機制的防病毒設施，予以整改彌補。

3.3 應用安全層面

身份鑒別(S3)中要求：“應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統(tǒng)中不存在重復用戶身份標識，身份鑒別信息不易被冒用”，還要求“應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，根據(jù)安全策略配置相關參數(shù)”。在上線的應用中沒有用戶鑒別信息復雜度檢查功能，僅僅采用不超過6位數(shù)字的口令進行身份鑒別，部分衛(wèi)生行業(yè)單位部署的新終端通過智能卡、數(shù)字證書關聯(lián)使用者身份的鑒別措施予以彌補，因衛(wèi)生行業(yè)單位內(nèi)部監(jiān)控措施與管理制度等也較為完善，所存在的風險較低。

4 安全管理測評結(jié)果分析及風險控制

4.1 安全管理測評結(jié)果分析

安全管理制度體系在信息安全保障工作中也是相當重要的，借助本次等級保護測評工作，北京協(xié)和醫(yī)院對安全管理制度體系也進行了一次梳理。從測評的結(jié)果來看，在安全管理制度方面還是較為完善的，建立了由安全管理總體策略、安全管理分項制度到安全管理工作實施記錄表格構(gòu)成的多層次的體系結(jié)構(gòu)，并且由專門人員進行制度的管理、記錄的收集與存檔，確保安全管理工作的開展有制度約束和規(guī)范，并且能夠進行記錄和回顧[13]。通過等級保護測評，對于安全管理制度體系的建設有了更系統(tǒng)的認識，從安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理5大方面對管理制度進行了梳理與改善，對于應急預案的定期培訓與演練等方面的工作都有了更高的重視程度，在之后安全管理工作的執(zhí)行過程中，進行不斷審視和完善。

4.2 測評過程中的風險控制

經(jīng)過測評發(fā)現(xiàn)的安全問題，對于醫(yī)院來說都是需要做好保密工作的，一旦問題被泄露，則會給醫(yī)院信息系統(tǒng)帶來不可估量的安全風險，因此，在測評過程中進行好風險控制對于開展信息安全等級保護工作也是必須重視的。首先在測評機構(gòu)的選擇上，北京協(xié)和醫(yī)院選擇了由公安部門認可的具有等級保護測評資質(zhì)的測評單位來實施測評工作，參與測評工作的工程師均為公安部門認可的具有測評工程師資質(zhì)的人員。在測評工作開始前，與測評機構(gòu)簽署了服務合同與保密協(xié)議，明確了責任和義務，確保測評機構(gòu)開展測評工作的范圍均在授權范圍內(nèi)。在進行漏洞掃描、滲透測試前，由掃描和測試的實施人員告知被測評單位實施的風險，配合部門做好必要的備份后方可實施，在實施的過程中做好系統(tǒng)監(jiān)控工作。此外，還要求測評機構(gòu)的測試人員應在掃描和測試開始前主動介紹測評工具的功能和風險，確認測評工具的版本和授權狀態(tài)，在測試人員獲得授權后方可實施測試工作，測試完成后，立即關閉由于測試開放的相應端口。為確保測評機構(gòu)對全部測評結(jié)果、文檔的保密，多次考察測評機構(gòu)的獨立的、保密的測評數(shù)據(jù)的處理系統(tǒng)，確保醫(yī)院的信息系統(tǒng)安全問題不會被泄露。在測評的全過程中，特別重視等級保護測評工作中的風險控制，確保測評工作確實提高信息系統(tǒng)的安全防護能力的同時，未給信息系統(tǒng)帶來更多的安全風險。

5 結(jié)語

綜合測評分析和安全整改的結(jié)果，北京協(xié)和醫(yī)院門診住院信息系統(tǒng)等級測評結(jié)果中存在“部分符合”項，但不會導致信息系統(tǒng)面臨高等級安全風險，故該系統(tǒng)測評結(jié)論為：基本符合。近年來，隨著醫(yī)院信息化建設突飛猛進的發(fā)展，新技術、新架構(gòu)、新觀念、新管理模式和新系統(tǒng)不斷涌現(xiàn)，大幅提高了醫(yī)院各方面工作的效率，同時也增加了系統(tǒng)復雜度，而相應的信息安全保障需求和難度也隨之大幅提升，這就需要衛(wèi)生行業(yè)的各單位與各信息安全服務機構(gòu)、測評機構(gòu)進行深度合作和不斷探索，嘗試建立適合衛(wèi)生行業(yè)自身發(fā)展需要的衛(wèi)生行業(yè)信息系統(tǒng)信息安全標準(建議可參考北京市衛(wèi)生行業(yè)基礎設施建設指南和規(guī)范2008版)。隨著新技術的不斷發(fā)展和完善，應團隊協(xié)作，合作共贏，切實確保信息系統(tǒng)安全保障和測評工作，能夠與正在不斷發(fā)展和完善的新一代醫(yī)院信息系統(tǒng)相匹配。

1 國務院. 中華人民共和國計算機信息系統(tǒng)安全保護條例(147號令)[S]. 1994.

2 中央辦公廳、國務院辦公廳. 國家信息化領導小組關于加強信息安全保障工作的意見(中辦發(fā)【2003】27號)[S]. 2003.

3 衛(wèi)生部辦公廳.衛(wèi)生行業(yè)信息安全等級保護工作的指導意見(衛(wèi)辦發(fā)【2011】85號)[S].2011.

4 衛(wèi)生部辦公廳.衛(wèi)生行業(yè)信息安全等級保護工作的指導意見(衛(wèi)辦綜函【2011】1126號)[S].2011.

5 北京市衛(wèi)生局. 北京市衛(wèi)生局關于進一步加強北京市衛(wèi)生行業(yè)信息安全等級保護工作的通知(京衛(wèi)辦字【2012】26號)[S].2012.

6 屠正偉. 三級信息系統(tǒng)等級保護常見問題的整改建議[J]. 電力信息化， 2011,(3):65-68.

7 高朝勤. 信息系統(tǒng)等級保護中的多級安全技術研究[D]. 北京：北京工業(yè)大學，2012.

8 齊劍雄. 基于信息系統(tǒng)等級保護下安全巡檢系統(tǒng)的研究與設計[D] .北京：北京郵電大學，2012.

9 劉嘉. 基于綜合判定分析的信息系統(tǒng)安全檢驗技術研究[D]. 北京：北京郵電大學， 2011.

10 胡皓. 面向等級保護的主機安全測評系統(tǒng)的設計與實現(xiàn)[D]. 北京：中國科學院大學工程管理與信息技術學院，2013.

11 方勤. 基于《信息安全技術信息系統(tǒng)安全保護等級定級指南》的定級量化模型研究及實踐[D]. 重慶：重慶大學， 2008.

12 孟曉陽,郭杰峰. 使用IT運行監(jiān)控系統(tǒng)保障醫(yī)院信息系統(tǒng)的高可用性[J]. 醫(yī)學信息學雜志,2015,36(2):23-26.

13 肖革新,馬家奇,周立平,等. 公共衛(wèi)生信息系統(tǒng)安全等級保護建設相關問題思考[J]. 醫(yī)學信息學雜志,2012,33(2):2-8.

Practice of Grade Protection Assessment on the Hospital Information System

ZHANGYi-zhao,

1PekingUnionMedicalCollegeHospital,Beijing100730,China, 2SchoolofEconomicsandManagement,BeijingUniversityofCivilEngineeringandArchitecture,Beijing100044,China;

ZHUWei-guo,MENGXiao-yang,

PekingUnionMedicalCollegeHospital,Beijing100730,China;

QIUZhi-gang,SUBo,

Petro-CyberworksInformationTechnologyCo.Ltd,Beijing100007,

China;SONGZhao,WANGXiang-yu,

BeijingElectronicsStandard&EstimateResearchInstitute,Beijing100005,China

Starting from the practices of grade protection assessment on the information system of Peking Union Medical College Hospital, the paper introduces the information system grade and assessment contents and processes, discusses common problems found in specific work and risk analysis approaches so as to provide a reference for work related to information security.

Grade protection; Hospital information systems; Assessment

2015-10-20

張益釗，網(wǎng)絡工程師，北京建筑大學經(jīng)管學院在讀碩士研究生，發(fā)表論文3篇；通訊作者：朱衛(wèi)國，常務副處長。

R-056

A 〔DOI〕10.3969/j.issn.1673-6036.2015.10.003