ICS35.240.99C07健康醫療信息零信任安全訪問控制應用規范Healthandmedicalinformation-Applicationspecificationsofcybersecurityaccesscontrolforzerotrust廣東省計算機信息網絡安全協會發布IT/GDNS014-2024 健康醫療信息零信任安全訪問控制應用規范 2規范性引用文件 3術語和定義 4縮略語 5總體原則 6健康醫療信息零信任安全訪問控制系統組成 6.1核心組件 6.2主體 6.3資源 6.4支撐組件 7健康醫療信息零信任安全訪問控制應用要求 7.1醫療信息系統要求 7.2組件要求 7.3安全管理要求 4附錄A（資料性）健康醫療信息零信任安全訪問控制應用示例 A.1應用背景 A.2解決方案 附錄B（資料性）健康醫療信息零信任安全訪問控制體系參考架構 B.1參考架構 B.2訪問方式 B.3應用場景 附錄C（資料性）健康醫療信息零信任安全訪問控制應用流程參考 C.1系統準備流程 11C.2資源訪問流程 11參考文獻 T/GDNS014-2024本標準按照GB/T1.1《標準化工作導則第1部分：標準化文件的結構和起草規則》要求編寫。本標準由廣東省計算機信息網絡安全協會提出并歸口。本標準起草單位：廣州醫科大學附屬口腔醫院，廣東省計算機信息網絡安全協會，廣州市胸科醫院，廣州市衛生健康委員會，廣州市婦女兒童醫療中心，廣東省人民醫院，廣州醫科大學附屬第一醫院，南方醫科大學南方醫院，南方醫科大學第三附屬醫院，中山大學附屬第一醫院，中山大學附屬第三醫院，中國人民解放軍南部戰區總醫院，廣州醫科大學附屬第二醫院，廣州醫科大學附屬第三醫院，廣州醫科大學附屬第五醫院，中山市人民醫院，中山大學附屬第三醫院肇慶醫院，東莞市第六人民醫院，中山大學附屬第六醫院，粵北人民醫院，汕頭市中心醫院，江門市中心醫院，肇慶市第一人民醫院，廣州醫科大學附屬中醫醫院，廣東醫科大學附屬第二醫院，廣州星鼎網絡科技有限公司，深信服科技股份有限公司，廣東精點數據科技股份有限公司，三六零數字安全科技集團有限公司，深圳市聯軟科技股份有限公司。本標準起草人：張亮鳴，范培珉，李翠華，曹曉均，楊洋，黃振毅，嚴曉明，陳永輝，吳龍，陳智，黃鍵，嚴靜東，凌慶，張家慶，余俊蓉，劉瀚騰，銀琳，趙霞，楊廣黔，代科偉，余映慧，蘇韶生，藍懷仁，范年豐，熊勁光，周郵，廖茂成，邱揚，李迎新，陳倩文，謝志納，楊曉靈，林京安，陳文華，楊楚欣，曾意麗，陳月華，林楚文，葉濱，任重遠，裴度，許飛月，李青海，張力，陳秋亮，蔡明宇，陳容勝。本標準為首次發布。1T/GDNS014-2024健康醫療信息零信任安全訪問控制應用規范本文件規定了健康醫療信息零信任安全訪問控制應用總體原則、應用規范和管理規范。本文件適用于健康醫療信息零信任安全訪問控制建設和運維管理。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件;不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239信息安全技術網絡安全等級保護基本要求GB/T25069信息安全技術術語GB/T28827.1信息技術服務運行維護第1部分：通用要求GB/T28827.8信息技術服務運行維護第8部分：醫院信息系統管理要求GB/T43696網絡安全技術零信任參考體系架構GB/T36626信息安全技術信息系統安全運維管理指南3術語和定義GB/T25069、GB/T28827.8、GB/T43696界定的術語和定義適用于本文件。零信任安全訪問控制（ZeroTrustSecurityAccessControl），指基于最小權限授權，通過持續評估和動態管控，實現主體對資源訪問過程中的安全管理。4縮略語以下縮略語適用于本文件。PE：策略引擎（PolicyEngine）PA：策略管理（PolicyAdministration）PEP：策略執行點（PolicyEnforcementPoint）APP：手機應用軟件（Application）PKI：公鑰基礎設施（PublicKeyInfrastructure）API：應用程序接口（ApplicationProgramInterface）SDK：軟件開發工具包（SoftwareDevelopmentKit）SSL：安全嵌套層（SecureSocketsLayer）TCP：傳輸控制協議（TransmissionControlProtocol）HTTP：超文本傳輸協議（HyperTextTransferProtocol）HTTPS：基于安全嵌套層的超文本傳輸協議（HyperTextTransferProtocoloverSecureSocketLayer）2T/GDNS014-2024DMZ：隔離區（DemilitarizedZone）VPN：虛擬專用網絡（VirtualPrivateNetwork）VDI：虛擬桌面基礎架構（VirtualDesktopInfrastructure）DNS：域名系統（DomainNameSystem）5總體原則健康醫療信息零信任安全訪問控制應用應遵循以下原則：a）最小權限原則：用戶和設備只獲得必要的應用訪問權限，最大程度地減少應用暴露面。b）動態訪問控制原則：建立基于環境評估的動態訪問控制策略，結合網絡環境、用戶行為、終端環境等因素持續評估訪問主體，根據評估結果對訪問主體進行動態授權。c）持續信任評估原則：持續對主體、資源、環境的相關信息進行采集，評估可信程度，發現問題立即處理，防止惡意攻擊擴散。d）多因素驗證原則：任何訪問主體，在訪問任何資源前，都應經過多種身份認證才可授權，保證訪問的合法性。e）行為審計原則：記錄并保存主體訪問資源整個過程，便于追查溯源。f）數據保密性原則：采用密碼技術保證通信過程中數據的保密性。g）數據完整性原則：采用校驗技術或密碼技術保證通信過程中數據的完整性。6健康醫療信息零信任安全訪問控制系統組成零信任安全訪問控制系統由核心組件、支撐組件、主體和資源組成，如圖1所示。圖1零信任安全訪問控制系統參考架構6.1核心組件a）策略引擎：PE為特定主體的資源訪問提供決策，通過策略引擎完成授權決策和信任等級計算。b）策略管理：PA負責在主體和資源之間建立和維護連接。3T/GDNS014-2024c）策略執行點：PEP負責開啟/監控/中止主體和資源之間的連接。6.2主體主體是訪問發起的一方，可以是發起訪問的用戶、設備、醫療信息系統、APP等一種或多種的組合。其中用戶包含醫療信息系統的使用人員、開發人員、測試人員、管理人員和運維人員等，設備包含電腦、手機、平板和醫療移動終端等。6.3資源資源以醫患數據為主，通常也包括設備、醫療信息系統、服務、功能接口等。6.4支撐組件a）任務管理組件：提供主體訪問資源全過程的生命周期管理服務，包含資源發布、權限審批、連接建立、過程審計等。b）身份管理組件：為訪問主體、資源、核心組件以及其他支撐組件提供身份管理、鑒別、認證、記錄、溯源等服務，包括個人身份管理和資源身份管理。c）資源管理組件：為醫療數據、設備、信息系統、應用提供資源管理服務，包括資源分類分級管理、資源配置方式管理、資源訪問權限管理、資源訪問過程管理等。資源管理以醫療設備、信息系統、應用等資源單元作為最小單位，若干資源單元組合為被訪問資源。資源單元關聯同一資源標識、具有統一資源屬性、執行共同的安全策略。d）環境感知組件：在主體訪問資源過程中，通過采集網絡流量、資產信息、日志、漏洞信息、用戶行為、威脅信息等數據，分析訪問過程中的網絡行為、用戶行為，為訪問主體、資源、核心組件和其他支撐組件獲取、理解、回溯、顯示訪問主體、資源和訪問環境的狀態變化和變化趨勢。e）密碼服務組件：保障訪問主體、資源、核心組件和其他支撐組件的實體身份真實性、數據的機密性和完整性、操作行為的不可否認性，按照醫療行業商密合規要求為訪問主體、資源、核心組件和其他支撐組件提供密碼相關的網絡和通信安全服務、設備和計算安全服務、應用和數據安全服務。7健康醫療信息零信任安全訪問控制應用要求7.1醫療信息系統要求a）考慮身份認證和授權對象范圍是可明確和可管理的醫療信息系統。b）優先考慮主體和資源分屬兩個不同安全域的醫療信息系統。c）優先考慮等級保護定級重要程度為三級或以上的醫療信息系統。d）優先考慮容易被滲透和攻擊的醫療信息系統。e）優先考慮已對接統一身份認證平臺的醫療信息系統。7.2組件要求a）滿足s總體原則的要求。b）采用安全傳輸協議對通信數據進行加密傳輸，優先考慮國密算法和證書。c）可與統一身份認證平臺進行對接，并建立多種認證機制。d）可集群部署，保證高可用性。e）自身具備防爆破、防SQL注入、防參數遍歷等安全防護能力。4T/GDNS014-20247.3安全管理要求a）符合GB/T36626、GB/T28827.1、GB/T28827.8的相關規定。b）制定醫療信息系統、零信任安全訪問控制系統運維策略，并定期評估。c）為醫療信息系統、零信任安全訪問控制系統運維定義和分配相關角色和職責。d）對運維人員進行權限分類，根據身份進行多因素認證，定期檢查運維人員訪問權限；尤其對于第三方運維人員，應明確第三方運維人員的運維范圍、訪問權限和工作職責等內容，建立權限申請、權限審批、權限定期更新等機制。e）加強安全風險管理，制定突發事件應急預案，規范處置流程，定期組織應急培訓及應急演練。5T/GDNS014-2024（資料性）健康醫療信息零信任安全訪問控制應用示例A.1應用背景某市級口腔醫院為解決內網業務系統暴露在互聯網環境中的安全隱患，需要一種既能保證無感知的用戶訪問體驗，又能有效避免暴露帶來的各種安全風險的訪問控制系統，平衡安全與體驗。A.1.1現狀分析醫院的所有業務系統均部署在本地機房，業務系統包括內網核心業務系統和互聯網業務系統，分別部署在內網數據中心區域和外網DMZ區域。兩個區域之間邏輯隔離，通過雙向網閘進行數據交換。醫院內網PC電腦可以訪問數據中心區的核心業務系統，在院內辦公時可以直接訪問，遠程辦公或移動辦公時，需要通過VPN進行訪問。DMZ區業務包含對公眾開放業務系統（掛號、官網等）和對院內員工開放業務系統（OA），OA系統以H5應用方式嵌入企業微信工作臺，以便醫院員工可以隨時隨地使用。醫院在安全防護方面還是采用傳統的基于網絡的防護手段，已無法滿足日益復雜的安全環境面臨的主要風險，包括：一、內部服務器端口需要開放到互聯網才能以H5形式接入企業微信，一旦端口暴露互聯網，很容易被黑客嗅探攻擊，即使有登錄保護，也難以避免被端口掃碼、撞庫、暴力破解攻擊；二、移動辦公接入后員工權限難管理，盡管企業微信提供了應用權限管理功能，但H5應用本質上還是Web訪問，通過訪問鏈接，可以在企業微信之外隨意對應用進行訪問；三、無法保障移動辦公數據在互聯網中的傳輸安全，很多內部業務系統自身并未進行SSL加密，在互聯網傳輸時容易被監聽竊密甚至篡改。A.1.2需求狀分析為保證醫院內外部業務系統的安全穩定運行，基于零信任構建安全訪問控制體系，需在以下幾個方面加強安全防護：a）業務隱身：通過零信任系統將面向員工開放的業務系統（如：OA系統）進行暴露面收斂，只對具有權限的員工或應用可見；b）自適應身份認證：多因子認證結合基于訪問環境和訪問行為的自適應身份認證；c）全周期終端環境檢測：自定義安全基線，保障接入終端的合規性；d）業務準入和動態權限控制：可根據業務系統的重要程度制定不同安全等級的安全訪問基線，并基于多源信任評估，動態調整用戶訪問權限，確保訪問行為可信。A.2解決方案A.2.1架構設計基于零信任參考架構，該醫院的零信任安全訪問控制體系總體框架如圖A.2.1所示。6T/GDNS014-2024圖A.2.1該醫院零信任安全訪問控制體系總體框架采用數據中心本地化方式部署零信任安全訪問控制系統主要模塊（控制中心和代理網關將代理網關特定通訊端口發布到互聯網，可根據內外網不同資源按需部署不同代理網關。控制中心部署到現有網絡，保障可與代理網關及身份管理平臺（該醫院沒有4A，使用企業微信管理身份源）通訊即可。采用數據中心本地化方式部署桌面云一體機構建統一的桌面云資源池，并給員工分配好各自的VDI賬號和桌面資源。在內網環境下員工只需通過PC電腦登錄自己的云桌面賬號即可訪問內網核心業務系統，在外網環境下員工通過先登錄零信任系統再登錄云桌面賬號實現內網核心業務系統訪問。采用數據中心本地化方式部署安全態勢感知、網絡準入控制等安全設備，通過OPENAPI對接的方式，將全網安全日志同步至零信任系統，以便零信任系統動態評估訪問主體的可信程度，增加整個訪問控制過程的安全性。A.2.2效益分析通過構建該醫院零信任安全訪問控制體系，達到了以下效果：提高了醫院整體安全性。基于零信任構建的安全訪問控制體系，從終端、業務系統、身份、網絡等多個層次強化了醫院的整體安全性。通過對每一次訪問實施身份認證和鑒權，有效避免了非法侵入、暴力破解、數據泄露等風險。提升了醫院的整體運行效率。基于零信任構建的安全訪問控制體系，以身份認證為基石，在強化安全認證的同時簡化了認證流程，提升了整體訪問效率。7T/GDNS014-2024（資料性）健康醫療信息零信任安全訪問控制體系參考架構B.1參考架構健康醫療信息零信任安全訪問控制體系參考架構（如圖B.1所示），主要包括訪問主體、零信任控制中心、零信任代理執行、身份源和應用資源。在訪問主體側，終端設備包含電腦、平板、手機和醫療移動終端等，操作系統包含Windows、macOS、UOS、Kylin、Ubuntu、Android、iOS、Harmony等。零信任控制中心，是整個零信任安全訪問控制體系的策略引擎PE和策略管理PA，負責訪問授權的最終決策。零信任控制中心提供用戶管理、終端管理、自適應認證、動態訪問控制、策略管理等管理控制功能，除此之外，控制中心提供開放能力，可以與醫療衛生機構已有的身份基礎設施（4A、PKI）進行對接和同步。零信任代理執行，是整個零信任安全訪問控制體系的策略執行點PEP，負責執行控制中心下發的授權策略，轉發合法訪問請求，攔截非法訪問請求。訪問主體無法直接訪問到應用資源，需要通過控制中心嚴格的身份認證和授權決策，再由代理執行訪問。零信任代理執行支持多種訪問協議代理，包含7層WEB代理、4層TCP代理、3層IP代理。圖B.1健康醫療信息零信任安全訪問控制體系參考架構B.2訪問方式健康醫療信息零信任安全訪問控制應支持兩種訪問方式，針對C/S業務系統采用客戶端建立加密隧道訪問，針對B/S業務系統通過瀏覽器采用反向代理方式訪問。B.2.1隧道訪問隧道訪問場景下，終端下載安裝零信任客戶端，客戶端與零信任系統建立加密隧道，實現數據包代理轉發。隧道訪問時零信任系統提供用戶、終端、進程、網絡、權限、數據多維度安全能力。隧道訪問具體流程如圖B.2.1所示。8T/GDNS014-2024圖B.2.1零信任隧道訪問流程a）用戶可信：支持多種認證方式、多因子身份認證以及動態調整認證強度的方式。b）終端可信：收集終端信息，生成終端硬件指紋，對系統環境及軟件環境進行動態監測，實時發現終端環境風險，并及時阻斷。c）進程可信：采集進程的信息及指紋，根據進程的使用情況、簽名信息，通過動態ACL規則允許/阻止訪問。d）連接可信：實現隧道SSL加密，提供SPA單包授權網絡隱身能力，在接收到合法的SPA敲門數據包前，服務端不響應來自客戶端的任何連接請求。e）權限可信：支持個人、角色、群組、組織架構授權應用權限的方式，實現權限精細化控制，動態收縮用戶權限，實現權限可信。f）數據可信：支持建立工作空間，在工作空間中提供數據隔離、網絡隔離、文件加密、外設管控及屏幕水印/審計能力。B.2.2反向代理訪問訪問http/https這兩種協議的B/S應用，通過web反向代理技術，在瀏覽器輸入web域名發起訪問時，通過修改公網DNS域名解析的A記錄，將訪問流量指向零信任代理執行，由代理執行訪問業務系統。反向代理訪問時零信任系統提供用戶、網絡、權限維度安全能力。反向代理訪問具體流程如圖B.2.2所示。9T/GDNS014-2024圖B.2.2零信任反向代理訪問流程a）用戶可信：支持多種認證方式、多因子身份認證以及動態調整認證強度的方式。b）連接可信：實現通信過程使用符合醫療行業合規要求的算法加密。c）權限可信：支持個人、角色、群組、組織架構授權應用權限的方式，實現權限精細化控制，動態收縮用戶權限，實現權限可信。B.3應用場景B.3.1遠程辦公場景隨著“互聯網+醫療”的深入推進，不僅僅是為患者提供的互聯網服務快速增加，員工的遠程辦公需求也越來越多，例如：院外OA辦公、線上訂餐、移動APP查房、遠程診療等等。針對員工的遠程辦公場景，需要通過安全的接入方式降低醫療衛生機構網絡被攻擊的風險，同時保障機構業務運行的效率和員工辦公的體驗。零信任在醫療行業遠程辦公應用場景如圖B.3.1所示。圖B.3.1零信任在醫療行業遠程辦公應用場景T/GDNS014-2024通過零信任系統提供統一的遠程接入訪問入口，在出口防火墻上關閉原有的服務端口映射，在內網防火墻上取消辦公網直連內部業務系統的網絡策略，避免內部服務完全暴露在辦公網絡中，所有的互聯網終端設備訪問醫療信息系統都需進行用戶、終端、應用的身份認證，并進行細粒度的權限訪問校驗然后通過代理網關訪問具體的醫療信息系統，這樣能極大的減少內部資源被非授權訪問的行為。員工遠程遠程辦公時，使用零信任客戶端訪問使用B.2.1隧道訪問方式，使用瀏覽器訪問使用B.2.2反向代理訪問方式，使用移動APP訪問通過拉起內置的零信任SDK包實現隧道建立。零信任控制中心和代理網關均采用集群部署，保證遠程接入入口的高可用性，僅零信任代理網關暴露在外網，所有內部醫療信息系統的服務和端口均被隱藏，通過可信用戶、可信設備、可信應用、可信鏈路，建立信任鏈的方式來訪問業務系統。B.3.2遠程運維場景由于醫療衛生機構信息科室人員編制有限，大量的運維工作無法及時到現場處理，因此，通常會采用雇傭第三方的運維人員或者使用移動終端遠程運維的方式保障運維的及時性。在遠程運維場景下，零信任可以實現最小權限訪問以及終端環境安全檢測，從而保障運維過程的安全性。零信任在醫療行業遠程運維應用場景如圖B.3.2所示。圖B.3.2零信任在醫療行業遠程運維應用場景通過部署零信任安全訪問控制系統，確保運維人員經過身份驗證、運維終端經過環境檢測后才可獲得運維權限，對運維人員的身份和運維終端的環境進行持續安全評估并及時調整運維權限。在實際運維場景中，零信任安全訪問控制系統可與堡壘機、遠程桌面、遠程應用發布等常見運維工具和手段組合使用。T/GDNS014-2024（資料性）健康醫療信息零信任安全訪問控制應用流程參考C.1系統準備流程a）系統選型，參照“圖1零信任安全訪問控制系統參考架構”進行系統選型設計，零信任核心組件至少包含策略管理PA和策略執行點PEP；b）身份認證初始化，包括訪問主體和資源的身份注冊驗證；c）訪問控制策略初始化，根據安全需求配置對應的訪問控制