1、醫院信息化安全建設項目整改建議1.1物理安全類別問題描述解決措施物理安全物 理 訪 問 控 制1.沒有登記進出機房的人員， 機房重要設備沒有劃區域隔 離。建議安排專人值守機房出入口。2.暫無相關申請和審批流程。需要經過申請和 審批流程，且有 專人陪同。防 盜 竊 與 防 破 壞大部分設備都已固定在機柜 中，但部分設備放至在機柜上 方，仍有大部分通信線纜未整 理和固定；部分設備和線纜有 標簽注意每個設備和線路的用 途，部分設備和線纜無此設置。建議所有設備和 通信線纜均固定 在機柜中，且所 有設備和線纜設 置標簽，說明用 途和去向。未部署紅外監控等光、電等技術的防盜報警系統建議部署紅外報警系統防

2、水 和精密空調出水位置布置漏水檢 測點，對漏水情況自動報警， 但檢測范圍未覆蓋所有易漏水建議部署完整的漏水檢測防潮的位置。電 磁 防 護對關鍵設備和磁介質實施電磁 屏蔽。建議對關鍵設備和磁介質實施電磁屏蔽1.2網絡安全類別問題描述解決措施網絡安全結構 安 全無按照對業務服務的 重要次序來指定帶寬 分配優先級別，保證在 網絡發生擁堵的時候 優先保護重要主機。采用高性能下一代防火 墻，按照業務的業務服 務的重要次序來指定帶 寬分配優先級別，保證 在網絡發生擁堵的時候 優先保護重要主機和業 務。邊 界 宀兀 整 性 檢未能夠對非授權設備 私自聯到內部網絡的 行為進行檢查，準確疋 出位置，并對其進行有

3、效阻 斷；建議部署網絡準入系統，對非授權設備私自 聯到內部網絡的行為進 行檢查。查未能夠對內部網絡用 戶私自聯到外部網絡 的行為進行檢查，準確 定出位置，并對其進行 有效阻斷。建議部署上網行為管理 系統，對內部用戶的上 網行為進行管理。入侵 防 范無相關入侵檢測設備 實現在網絡邊界處監 視以下攻擊行為：端口 掃描、強力攻擊、木馬 后門攻擊、拒絕服務攻 擊、緩沖區溢出攻擊、 IP碎片攻擊和網絡蠕 蟲攻擊等； 當檢測到攻擊行為時， 記錄攻擊源IP、攻擊類 型、攻擊目的、攻擊時 間，在發生嚴重入侵事 件時無法提供報警。建議部署IPS實現入侵 防范功能，在網絡邊界 監視并防護網絡攻擊行 為。惡意 代

4、碼無相關惡意代碼檢測 設備在網絡邊界處對 惡意代碼進行檢測和 清除，并升級和檢測系建議部署防毒網關實現 惡意代碼防范功能，在 網絡邊界監視惡意代碼 攻擊行為。防范統的更新。訪 問 控 制未能根據會話狀態信 息為數據流提供明確 的允許/拒絕訪問的能 力，控制粒度為端口級建議采用下一代防火墻，根據IP和端口設置 安全策略，只有符合策 略的數據包才能通過。未根據進出網絡的信息內容進行過濾。建議采用下一代防火墻，對進出網絡的信息 內容進行過濾，實現對應用層HTTR FTP、 TELNET SMTP POP3等協議命令級的控制。未限制網絡最大流量數及網絡連接數；建議采用下一代防火 墻，限制網絡最大流量

5、數及網絡連接數。重要網段未米取技術手段防止地址欺騙；建議啟用下一代防火墻的ARP防欺騙功能網絡設備防未對網絡設備的管理 員登錄地址進行限制；建議通過堡壘機和 ACL 策略設置限制網絡設備 的登錄地址，如信息技 術部的網段或若干個管 理IP。護主要網絡設備目前只 使用一種身份鑒別方 式。建議通過堡壘機使用U-KEY或者域認證的方式實現雙因子認證。密碼長8位，由小與子母和數字組成。不定期更改一次口令。建議通過堡壘機設定密 碼復雜度規則，并通過 改密計劃，自動定期進 行改密目前只有一個超級管理員。建議通過堡壘機設置審 計員、操作員等角色， 實現權限分離。未能夠根據記錄數據 進行分析，并生成審計 報表

6、；建議通過日志分析系統根據記錄數據進行分析，并生成審計報表通過telnet 和http方式訪問設備，未采取必 要措施防止鑒別信息 在網絡傳輸過程中被 竊聽。建議通過堡壘機，使用 ssh協議登錄設備。1.3主機安全業務系統主機類別問題描述解決措施身份鑒別密碼未符合復雜性要求建議通過堡壘機設置密碼復雜度 要求，并通過改密計劃定期自動改 密：密碼長度最小值：8個字符；密碼最短使用期限：2天；密碼最長使用期限：90天；強制密碼歷史：24未啟用登錄失敗處 理功能，可采取結 束會話、限制非法 登錄次數和自動退 出等措施；建議通過堡壘機設置登錄失敗處理功能建議帳戶鎖定策略如下：帳戶鎖定 時間：15分鐘；帳戶

7、鎖定閥值：5 次無效登錄；重圍帳戶鎖定計數器：15分鐘之后。目前只使用用戶名和密碼登錄建議通過堡壘機使用 U-KEY或者域認證的方式實現雙因子認證。訪問已啟用磁盤默認共建議關閉磁盤默認共享功能控制享功能操作系統用戶可直 接對數據庫系統進 行操作，權限未分 離。建議禁用 Windows身份登錄方式。已禁用Guest用戶， 已設置管理員密 碼，但未重命名Administrator 用 戶。建議重命名 Administrator 用戶。安全所有審核策略均設建議采用日志審計系統對系統中審計置為無審核。的登陸日志、操作日志進行審計。剩余信息保護交互式登錄：不顯示最后的用戶名：已禁用。用可還原的加密來儲存

8、密碼：已禁用。建議設置：交互式登錄：不顯示最后的用戶名：已啟用關機：清除虛擬內 存頁面文件：已禁 用。建議設置關機：清除虛擬內存頁面 文件：已啟用。入侵防范未啟用Windows自帶的防火墻建議啟用windows自帶的防火墻未能夠對重要程序 的完整性進行檢 測，并在檢測到完 整性受到破壞后具 有恢復的措施；建議部署防篡改軟件對重要程序的完整性檢測操作系統存在不需 要的服務組件和應 用程序，系統補丁 未及時得到更新。建議通過漏洞掃描系統，定期對系 統進行掃描，并及時更新系統補 丁，建議通過配置檢查系統， 按照 等級保護要求進行基線檢查，及時 關閉不需要的服務和應用程序惡意代碼防范未安裝殺毒軟件建議

9、安裝殺毒軟件，通過統一管理 平臺進行統一升級和維護，保證病 毒特征庫得到及時的更新資源控制未限制管理網絡地 址范圍。建議設立設備管理區，僅限制幾臺 管理終端可以登錄管理服務器 建議通過堡壘機和 ACL策略設置 限制設備的登錄地址，如信息技術 部的網段或若干個管理IP。未啟用帶密碼保護的屏幕保護程序。建議啟用帶密碼保護的屏幕保護 程序。未能夠對系統的服務水平降低到預先建議米取技術措施監控 cpu內 存，硬盤等資源的使用率，并設置規定的最小值進行檢測和報警。報警閾值。數據庫主機類別問題描述解決措施身份鑒別sa用戶的密碼長最 低8位，由數字、 小寫字母組成，不 定期修改。存在7個口令為空 的用戶建議禁用口令為空的用戶。未啟用登錄失敗處 理功能。建議通過堡壘機設置登錄失敗處