醫院信息化系統等級保護設計方案

2013年4月

目錄

1項目背景..............................................4

2方案設計原則..........................................4

3安全等級劃分..........................................4

4技術方案設計..........................................5

4.1總體設計.........................................5

4.1.1總體安全技術框架.............................5

4.1.2安全域劃分...................................7

4.1.3總體部署.....................................9

4.2詳細設計.........................................9

4.2.1物理安全設計.................................9

4.2.2安全計算環境設計............................12

4.2.3安全區域邊界設計............................16

4.2.4安全通信網絡設計............................19

4.2.5安全管理中心設計...........................22

5安全管理體系設計.....................................23

5.1管理機構建設....................................24

5.2完善安全管理制度................................24

5.3加強人才隊伍建設................................25

5.4遵循安全法規標準................................26

5.5重視安全管理手段................................26

5.6建立應急響應機制................................27

6需要增加的設備29

1項目背景

2方案設計原則

根據國家信息安全保障政策法規和技術標準要求，同時參照相關

行業規定，確定信息安全體系規劃和設計時遵循以下原則：

3安全等級劃分

信息化系統包括應用服務系統等。信息包括公文信息、通訊錄、

文件、日程安排、執法數據等，這些信息由于涉及到醫療機構敏感信

息，對數據的完整性和機密性要求具有較高需求，一旦遭到破壞或竊

取，就會給用戶查詢提供錯誤數據或泄漏敏感信息，影響社會秩序和

公共利益。

1.業務系統安全受到破壞時所侵害的客體

信息化系統系統一旦遭到破壞或被竊取，所侵害的客體是公民、

法人和其它組織的合法權益以及社會秩序、公共利益。

2.對客體的侵害程度

業務系統安全受到破壞時對社會秩序、公共利益的侵害程度表現

為嚴重損害，具體表現為業務系統受到破壞或竊取后，會影響醫療機

構行使社會管理和公共服務的職能，并對醫療機構形象造成社會不良

影響，并對公民、法人和其他組織的合法權益造成損失。

3.業務系統安全等級

根據上述分析結果，結合等級保護定級指南，XX系統安全等級

為:

對相應客體的侵害程度

業務信息安全被破壞時所侵

一般損特別嚴重

害的客體嚴重損害

害損害

公民、法人和其他組織的合

第一級第二級第二級

法權益

社會秩序、公共利益第二級第三級第四級

國家安全第三級第四級第五級

4技術方案設計

根據差距分析，確定整改技術方案的設計原則，建立總體技術框

架結構，從業務安全、物理環境、通信網絡、計算環境、區域邊界、

安全管理中心等方面設計落實基本技術要求的物理、網絡、系統、應

用和數據的安全要求的技術路線。

4.1總體設計

4.1.1總體安全技術框架

根據國家相關信息安全保護政策，在安全設計框架上，形成“一

個中心”保障下的“三重縱深防御防護體系”架構（一個中心是指安

全管理中心，三層縱深防御體系則由安全計算環境、安全區域邊界以

及安全通信網絡組成）。在安全物理基礎環境上，進一步強調了管理

中心、計算環境、區域邊界及網絡傳輸的可信性，使得其在整個生命

周期中都建立有完整的信任鏈，確保它們始終都在安全管理中心的統

一管控下有序地運行，從而確保了平臺的安全性不會遭受破壞，如下

物理安全是支撐信息系統安全運行的基礎保障設施的安全，是整

個信息系統安全的基礎，也是信息系統最基木的安全基礎。

安全計算環境是對平臺的信息存儲及處理進行安全保護的部件。

安全計算環境由平臺中完成信息存儲及處理的計算機系統硬件和系

統軟件以及外部設備及其聯接部件組成，也可以是單一的計算機系

統。安全計算環境保護包括主機系統（操作系統和數據庫系統）和應

用系統，以及主機系統和應用系統的備份及恢復。

安全區域邊界是對平臺的安全計算環境的邊界，以及計算環境及

通信網絡之間實現連接功能進行安全保護的部件。安全區域邊界保護

主要是指對計算環境以及進出計算環境的信息進行保護，以及邊界設

備的備份及恢復。

安全通信網絡是對平臺安全計算環境之間進行信息傳輸實施安全

保護的部件。安全通信網絡保護主要指對數據通信的保護及通信設備

的備份及恢復。

安全管理中心對平臺的安全策略及計算環境、區域邊界和通信網

絡上的安全機制實施統一管理的平臺，又指各類安全保護系統的管理

中心構成一個綜合性的管理中心。

安全技術方案設計包括各級系統安全俁護環境的設計及其安全互

聯的設計，各級系統安全保護環境由相應級別的安全計算環境、安全

區域邊界、安全通信網絡和安全管理中心組成。平臺安全互聯由安全

互聯部件和跨系統安全管理中心組成。

4.1.2安全域劃分

安全域是指同一系統內根據信息的性質、使用主體、安全目標和

策略等元素的不同來劃分的不同邏輯子網或網絡，每一個邏輯區域有

相同的安全保護需求，具有相同的安全訪問控制和邊界控制策略，區

域間具有相互信任關系，而且相同的網絡安全域共享同樣的安全策

略。

本次建設中，醫療HTS計算機網絡安全域的劃分不能單純從安全

角度考慮，而是應該以業務角度為主，輔以安全角度，并充分參照現

有網絡結構和管理現狀，才能以較小的代價完成安全域劃分和網絡梳

理，而又能保障其安全性。

綜上所述，我僅將依據下述的原則完成安全域的劃分：

?根據系統服務劃分

A對資源信息訪問控制；

?對及其相關的信息訪問控制；

?對其它資源的訪問控制；

?按系統功能類型劃分

根據功能類型或提供的服務類型劃分子系統，劃分時除了考慮到

對用戶提供設計服務的系統、管理系統等外，還應考慮到對前兩類系

統提供承載、支撐和管理作用的支持系統。

?按照網絡區域劃分

根據資源使用情況及應用系統地理上分布的情況，在資源訪問控

制、管理模式等存在較大差異，所以可按照信息系統運行所在的網絡

區域進行子系統劃分。

?安全要求相似性原則

在信息安全的三個基木屬性方面，同一區域內的信息資產應具有

相似的安全性要求、完整性要求和可用性要求。

根據上述安全域的劃分規則，醫療1I1S整體網絡可以劃分出以下

幾大部分區域:

4.1.3總體部署

4.2詳細設計

4.2.1物理安全設計

物理位置的選擇

中心機房的物理位置按以下要求進行選擇：

?在具有防震、防風和防雨等能力的建筑內；

?避免設在建筑物的高層或地下室，以及用水設備的下層或隔

壁。

4.2.1.2物理訪問控制

中心機房的物理訪問控制應按以下措施建設：

?機房出入口安排專人值守并配置電子門禁系統，控制、鑒別

和記錄進入的人員；

?對進入機房的來訪人員應經過申請和審批流程，并限制和監

控其活動范圍；

?對機房劃分區域進行管理，區域和區域之間設置物理隔離裝

置，在重要區域前設置交付或安裝等過渡區域；

?重要區域應配置第二道電子門禁系統，控制、鑒別和記錄進

入的人員。

4.2.1.3防盜竊和防破壞

中心機房的防盜和防破壞應按以下措施建設：

■將主要設備放置在機房內；

■將設備或主要部件進行固定，并設置明顯的不易除去的標記;

■將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中；

■對介質分類標識，存儲在介質庫或檔案室中；

■利用光、電等技術設置機房防盜報警系統；

■對機房設置監控報警系統。

4.2.1.4防雷擊

中心機房防雷按以下措施建設：

■機房所在的建筑安裝避雷裝置。

■機房內設置防雷保安器，防止感應雷；

■機房設置交流電源地線。

防火

中心機房防火按以下措施建設：

■機房安裝火災自動消防系統，能夠自動檢測火情、自動報警,

并自動滅火；

■機房及相關的工作房間和輔助房采用具有耐火等級的建筑材

料；

■機房采取區域隔離防火措施，將重要設備及其他設備隔離開。

防水和防潮

中心機房防火和防潮按以下措施建設：

■水管安裝，不得穿過機房屋頂和活動地板下；

■采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；

■采取措施防止機房內水蒸氣結露和地下積水的轉移及滲透；

■安裝對水敏感的檢測儀表或元件，對機房進行防水檢測和報

警。

防靜電

中心機房防靜電按以下措施建設：

■所有設備采用接地防靜電措施；

■機房采用防靜電地板；

■有條件的情況下，采用靜電消除器等裝置，減少靜電的產生。

4.2.1.8溫濕度控制

中心機房溫濕度按以下措施建設：

■在機房安裝溫濕度自動調節設備，使機房溫、濕度的變化在

設備運行所允許的范圍之內。

4.2.1.9電力供應

中心機房電力供應按以下措施建設：

■在機房供電線路上配置穩壓器和過電壓防護設備；

■安裝UPS系統，提供不小于1小時的供電要求；

■設置冗余或并行的電力電纜線路為計算機系統供電；

4.2.1.10電磁防護

中心機房電磁防護按以下措施建設：

■采用接地方式防止外界電磁干擾和設備寄生耦合干擾；

■電源線和通信線纜應隔離鋪設，避免互相干擾；

■對保密性要求較高的服務器，放置屏蔽機柜和屏蔽室內。

4.2.2安全計算環境設計

4.2.2.1用戶身份識別

根據國家政策在應用安全方面的要求，應對涉及接觸移動政務業

務敏感信息的用戶群體（以下簡稱敏感用戶），采取滿足要求的數字

證書身份認證機制，具體安全保障措施如下：

?基于數字證書和PIN碼的多因子身份鑒別機制

基于PKI技術體系的數字證書認證機制通過將數字證書及用戶的

真實身份進行唯一綁定，可滿足三級安全等保要求實現鑒別信息不可

被重用和被冒用，從而可確保系統中的用戶身份不可假冒，實現了強

身份認證；同時，數字證書的使用通過結合PIN碼保護機制，滿足了

三級安全等保中關于“應對同一用戶采用兩種或兩種以上組合的鑒別

技術實現用戶身份鑒別”的要求。

因此，敏感用戶必須持有其數字證書才能進入管理平臺進行相關

的業務操作，從而從應用訪問源頭上防止了非法用戶的非法登錄，確

保了進入移動政務平臺的每一位用戶身份都是合法的。

同時，數字證書是用戶登錄系統的身份憑證，應防止被其它非法

用戶所使用。因此，根據用戶終端設備為手持設備或便攜設備，應采

取基于SD、SIM卡的PIN碼保護機制，實現對數字證書的安全存儲和

安全使用。

注明：SD、SIM卡內部集成多種密碼算法，各種運算直接可以在

其內部封閉的環境下進行；同時:存儲在其內部的用戶私鑰無法導出

和復制，且通過帶有PIN保護，能有效抵御蠻力嘗試。攻擊者如果想

冒充敏感用戶的身份進入醫療HIS,不僅需要竊取到用戶的SD、SIM

卡，還需要知道保護口令。因此，大大提高了認證的安全強度，也使

得身份冒充變得更加困難。

?部署安全中間件實現對登錄用戶進行身份標識和鑒別

根據第三級安全等保中關于“應提供專用的登錄控制模塊對登錄

用戶進行身份標識和鑒別”的要求，應在用戶終端和服務器端部署安

全中間件，通過用戶終端和應用服務器兩端的安全組件和安全控件互

相驗證各自證書，確認各自身份的真實性。

客戶端中間件應可以內嵌到Web頁面中，也可以被專用Client

程序調用，對用戶的使用應該是透明的；服務器端中間件部署在應用

服務器上，接受并處理由客戶端發送過來的安全認證、數據加解密和

簽名驗證等系列安全處理請求，為應用系統提供安全保護。

應用層

接口/組件

ATL/jar/擴展庫

API(.dll/,so/,a/.o)

硬件驅動

軟證書

密碼設備

安全中間件應面向業務應用提供以下功能:

?數字簽名；為應用系統提供重要業務數據及關鍵操作行為的數

字簽名，應用系統通過這些數字簽名記錄，在發生糾紛時對數字簽名

進行驗證，真正實現重要業務數據和關鍵操作的完整性和不可抵賴

性；

?數字證書解析：對數字證書域進行解析，將解析后的證書內容,

如證書序列號、用戶身份證號碼、單位組織機構代碼提交應用系統供

應用系統使用；

?數字信封：提供數字信封加密機制，提升數據加密效率和加密

強度；

?密鑰分割：采用門限算法，可以將加密密鑰分割成若干份提供

給多人保管，當需要調取密鑰時，根據預先約定的密鑰持有策略在多

人在場情況下將完成密鑰的重新組裝得到原有密鑰。

?時間戳功能:通過獲取標準時間源信息，對標準時間進行簽名，

提供具有法律效力的時間戳服務。

?服務端證書管理功能：在應用服務器上提供B/S方式的證書管

理工具，用戶可以使用該工具很方便的配置和管理服務器證書。

?XML簽名：實現了通過擴展標記語言（XML）來創建、驗證和

管理數字簽名。

?軟件完整性保護

采取代碼簽名證書對原始發布的軟件進行完整性保護

基于手機服務的應用系統普遍采用C/S架構，終端用戶運行手機

應用程序軟件訪問應用系統，存在客戶端軟件被仿冒和篡改的風險。

公務員用戶使用移動終端訪問醫療HTS處理移動辦公、移動執法等業

務時，如果運行仿冒的程序軟件，其業務中的信息數據將面臨被竊取、

篡改的危險。

因此，建議對北京醫療HTS的終端應用程序軟件簽發代碼簽名證

書，防范軟件被仿冒和篡改的風險，使用戶免遭病毒和黑客程序的侵

擾，為軟件的完整性提供可靠的保障。

4.2.2.2惡意代碼防范

對各服務器平臺部署網絡防病毒系統，實現對計算環境內惡意代

碼檢測及阻殺，定級對防病毒系統病毒庫特征碼進行升級，保持最新

的惡意代碼檢測庫。

WEB應用系統防護

部署入侵防御系統或WEB防火墻實現對WEB應用程序安全保護。

由于大部分服務系統都是采用WEB方式向外界提供服務，而由于目前

針對WEB服務的攻擊除了利用其IE漏洞、數據庫漏洞、操作系統漏

洞外，還利用編程語言程序設計漏洞，如SQL注入攻擊是最常用的

WEB應用攻擊。目前大部分安全防護都是針對應用層以下的攻擊，而

對應用層本層的防護甚少，因此采用入侵防御系統或WEB防火墻從應

用層上對2EB服務提供防護。

入侵防御系統或WEB防火墻采用專用入侵異常檢測技術，對WEB

應用實施全面、深度防御，能夠有效識別、阻止日益盛行的WEB應用

黑客攻擊(如SQL注入、釣魚攻擊、表單繞過、緩沖區溢出、CGI掃

描、目錄遍歷、命令注入、Cookie注入、跨站腳本(XSS)、敏感信息

泄露、惡意代碼、錯誤配置、隱藏字段、會話劫持、參數篡改、緩

沖區溢出、應用層拒絕服務、弱口令等。網頁防篡改系統實現防止

WEB應用程序URL盜鏈以及WEB應用程序非法篡改。

4.2.2.4可用性及數據安全

為提高醫療HIS高可用性，應用系統服務器應采集群方式進行部

署，實現應用服務的高可用性和負載。

為了保障應用系統數據安全，對關鍵數據應采用密碼機對應用數

據進行加密存儲。同時采用數據備份軟件和磁帶機對數據庫數據進行

備份。

4.2.3安全區域邊界設計

4.2.3.1防火墻

在網絡邊界部署防火墻系統實現網絡及應用的訪問控制機制。防

火墻采用基于連接狀態檢測的包過濾模塊，從系統內核層對網絡數據

進行分析和處理，將屬于同一連接的所有數據包作為一個整體的數據

流看待，同一連接只在第一個包到來時檢查規則一次，后續包則只需

要檢查其連接狀態，系統內部高效維護了一張連接狀態表。對于基于

LDP協議、1CMP這種無連接狀態的協議處理時，會為其建立虛擬的連

接狀態表，因此同樣能夠對連接過程狀態進行監控。防火墻通過規則

表及連接狀態表的共同配合，大大地提高了系統的性能和安全性。防

火墻的包過濾控制策略細致靈活，不僅可以對數據包的進/出網絡接

口、協議（TCP、UDP、ICMP、以及其他非IP協議）、源IP、目的IP、

源端口、目的端口、IP選項等進行控制，還可采用基于時間、用戶

以及服務（群組）的控制策略。

防火墻能極大地提高一個內部網絡的安全性，并通過過濾不安全

的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火

墻，所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不

安全的NFS協議進出受保護網絡，這樣外部的攻擊者就不可能利用這

些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基十路

由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。

防火墻可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪

問并作出日志記錄，同時也能提供網絡使用情況的統計數據。當發生

可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和

攻擊的詳細信息。另外，收集一個網絡的使用和誤用情況也是非常重

要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻

擊，并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分

析和威脅分析等而言也是非常重要的。

在以下區域邊界部署防火墻，實現有效的安全邊界劃分和訪問控

制：

?在運營商接入邊界各部署防火墻；

?在LNS接入域及醫療HTS之間部署防火墻

?在平臺互聯網出口出部署防火墻

?在平臺的出口和外網出口處部署防火墻

4.2.3.2異常流量管理

在及外部網絡通信時，對網絡邊界的各類攻擊，其中惡意流量攻

擊是最主要的方式之一，通過部署抗系統，實現對SYNFlood、UDP

Flood、UDPDNSQueryFloods（M）StreamFlood.ICMPFlood、HTTP

GetFlood以及連接耗盡這些常見的D0S/DD0S攻擊行為能夠有效識

別，并通過集成的機制實時對這些攻擊流量進行阻斷。

異常流量管理系統的實時流量分析器提供門網絡、應用以及IP

地址的實時流量采集、分析和展現功能，用戶可以通過IP地址（用

戶）、應用、通道、帶寬等方式直觀的查看整個網絡中帶寬的詳細使

用情況。它是IT管理員優化網絡帶寬、解決帶寬惡意使用的有力的

管理工具，為后續的帶寬優化及管控、網絡規劃提供科學的依據,基

于系統內嵌的DPI智能分類引擎，系統可以探測和跟蹤動態端口的分

配，并通過比對協議的特征庫，能夠識別變動端口的會話流，并能夠

對使用同一端口的不同協議進行自動識別，實現網絡流量的全面可視

化。用戶可以自定義應用的特征碼，避免產生不明流量，清理非法數

據包及IP碎片，輸出符合TCP/IP協議的數據包。

4.2.3.3入侵防御

在核心交換機及服務域之間部署入侵防御系統，實現對各類入侵

行為進行檢測及阻斷。入侵防御系統能夠識別多種L2?L7層的網絡

協議和應用軟件，涵蓋了目前主流的各種應用，包括P2P、VoIP、IM（即

時通訊）、視頻/流媒體、網絡游戲、炒股軟件、企業內部應用、網絡

管理協議、安全協議等，對邊界對確認的入侵行為進行檢測并阻斷，

防止惡意攻擊行為通過邊界進入到內部回絡，破壞網絡邊界的完整

性。網絡入侵防御系統能通過對監測網絡的高速報文捕獲，進行深入

協議分析，結合模式匹配、統計以及行為關聯分析，可以對各種類型

的事件和流量、原妗報文進行全面深入的監測。通過預設的策略條件

自動執行對網絡中的行為事件的響應，主要的幾種響應方式：告警，

日志，阻斷，自定義響應方式。

4.2.3.4負載均衡

考慮大量用戶同時訪問醫療HIS時;將面臨大流量合法用戶的訪

問，會造成應用服務性能受到很大挑戰，很容易因合法用戶造成對應

用服務的拒絕服務攻擊，因此，針對應用系統采用網絡負載均衡機制,

實現對合法用戶流量訪問均衡分擔，避免大流量合法用戶訪問造成應

用服務宕機。

4.2.4安全通信網絡設計

4.2.4.1安全接入

為保障外部網絡用戶安全接入到醫療HTS,采用基于密碼技術的

機制實現接入用戶的安全身份認證、授權控制、數據傳輸的完整性和

保密性保護。SSLVPN系統采用SSL安全協議的隧道封裝模式，采用

國家密碼主管部門審批的專用算法SM1等手段來保證廣域網傳輸的

完整性，利用密碼技術保證傳輸數據內容的完整性，防止篡改傳輸數

據或被破壞。

SSLVPN網關能夠滿足不同用戶的這種安全需求，支持多種不同

強度的身份認證方式,如用戶名+口令、RADIUS、AD、LDAP、USBKey>

證書、證書+口令、雙因子認證等。適用于豐富的終端及操作系統，

還包括一些高端的PDA、智能手機、3G手機。操作系統方面不僅支持

Windows2000/XP/2003/Vista等通用的PC平臺，還支持用戶使用

WindowsMobile平臺接入,并且在WindowsMobile平臺上能夠提供

任意的基于TP的訪問，也支持非Windows的操作平臺的遠程接入。

這種支持多平臺特性為用戶提供了方便的訪問特性，極大地滿足用戶

的需要。SSLVPN網關支持雙機熱備，可以提供主從，主主兩種業務

模式，并且其HA功能可以在不同的型號之間實現。SSLVPN網關所

使用的基于角色的訪問控制便于管理員制定靈活的控制規則。通過角

色將系統的訪問用戶同系統保護資源聯系起來，既直觀，而且在訪問

控制策略發生變化的時候無須為每一種資源或者每一個用戶修改權

限；只需要修改某一種服務/角色/用戶的屬性。SSLVPN網關同時支

持對終端環境的安全檢查。

4.2.4.2虛擬專用網絡

虛擬專用網(VirtualPrivateNetwork)技術是指采用隧道技

術以及加密、身份認證等方法，在公眾網絡上構建專用網絡的技術，

數據通過安全的“加密管道”在公眾網絡中傳播。

VPN技術實現了內部網信息在公眾信息網中的傳輸，就如同在茫

茫的廣域網中為用戶拉出一條專線。對于用戶來講，公眾網絡起到了

“虛擬專用”的效果。通過VPN,網絡對每個使用者也是專用的。也

就是說，VPN根據使用者的身份和權限，直接將使用者接入他所應該

接觸的信息中。所以VPN對于每個用戶，也是“專用”的。目前構建

虛擬專用網的國際標準主要有IPSec、SSL、SOCKS>PPTP、L2Tp等協

議。本方案中采用的是國際上使用最廣泛的IPSEC協議。

IPSec提供的安全服務包括:

?保密性一一IPSoc在傳輸數據包之前將其加密.以保證數據的

保密性

?完整性一一IPSec.在目的地要驗證數據包，以保證該數據包任

傳輸過程中沒有被修改或替換

?真實性一一IPSec端要驗證所有受IPSec保護的數據包

?防重放一一IPSec防止了數據包被捕捉并重新投放到網上，即

目的地會拒絕老的或重復的數據包，它通過報文的序列號實

現。

4.2.4.3網絡安全審計

在網絡環境中部署網絡安全審計系統實現各類用戶對應用系統、

數據庫及網絡訪問行為進行安全審計，以便發現違規行為進行安全審

計及事后追蹤。

4.2.4.4入侵檢測

網絡安全防護不但需要防外，還需要從內部進行防護。入侵行為

除了來自網絡邊界外，同時也需要對網絡內的合法用戶的入侵行為進

行檢測，因此，部署入侵檢測系統實現對內部網絡的入侵行為進行檢

測及報警。入侵檢測系統通過對監測網絡的高速報文捕獲，進行深入

協議分析，結合模式匹配、統計以及行為關聯分析，可以對各種類型

的事件和流量、原始報文進行全面深入的監測。通過預設的策略條件

自動執行對網絡中的行為事件的響應，主要的幾種響應方式：告警，

日志，自定義響應方式。

4.2.5安全管理中心設計

安全管理中心可能由一個或幾個安全系統的管理中心共同組成，

各安全系統都實現三權分離管理。

4.2.5.1系統管理

應通過系統管理員對系統的資源和運行進行配置、控制和管理，

包括：用戶身份管理，系統資源配置，系統加載和啟動，系統運行的

異常處理，以及支持管理本地和/或異地災難備份及恢復等；應對系

統管理員進行嚴格的身份鑒別，只允許其通過特定的命令或操作界面

進行系統管理操作，并對這些操作進行審計。

4.2.5.2安全管理

應通過安全管理員對系統中的主體、客體進行統一標記，進行系

統安全監測，并為安全計算環境、安全區域邊界、安全通信網絡配置

統一的安全策略；應對安全管理員進行嚴格的身份鑒別，并只允許其

通過特定的命令或操作界面進行安全管理操作，并進行審計，安全管

理設備應能過對安全設備進行統一的策略下發，使得各安全產品共同

一個完整的安全防御體系。

4.2.5.3審計管理

應通過安全審計員對分布在系統各個組成部分的安全審計機制

進行集中管理，包括：根據安全審計策略對審計記錄進行分類；提供

按時間段開啟和關閉相應類型的安全審計機制；對各類審計記錄進行

存儲、管理和查詢等；對審計記錄進行分析，并根據分析結果進行處

理；對安全審計員進行嚴格的身份鑒別，并只允許其通過特定的命令

或操作界面進行安全審計操作。

5安全管理體系設計

僅有安全技術防護，而無嚴格的安全管理相配合，是難以保障網

絡系統運行安全的。因為諸多的不安全因素恰恰反映在組織管理和人

員的使用方面，這是計算機網絡安全必須考慮和高度重視的基本問

題。

嚴格的安全管理制度，明確的安全職責劃分，合理的人員角色定

義，完備的應急響應機制，都可以在很大程度上減少安全隱患。因此,

醫療HIS的安全建設、運行、維護、管理都要重視安全管理，嚴格按

制度進行辦事，嚴格按制度辦事，明確責任權力，規范操作，加強人

員、設備的管理以及人員的培訓，提高安全管理水平。醫療HIS安全

管理模型如下圖所示：

業務應用二

■制點、人員的領1美戛

擰制點管理0.,■人員分級管理/大

彩電TM控制點與安全員對府二責任

生全系統安全布控人員布控

由拜網絡.主機.康加

硬竹.

■

安全人員管理

《軟件）

安全管理中心-??

貴產.人員.供態.業務.安全制度.安全審It

5.1管理機構建設

醫療HIS安全事關醫療機構重要政務的處理和醫療機構形象以及

生命安全，需要從戰略高度充分認識安全防護的重要性和緊迫性。因

此，需要在現有組織設置的基礎上，進一步明確安全管理的相關組織、

機構和職責，建立集中統一、分工協作、各司其職的安全管理責任機

制。

,成立經安全領導小組，負責醫療HIS建設和運行維護過程中有

關安全事務的組織協調工作。

,健仝安仝責任制，進一步明確各部門、單位的安仝職責，包括

系統運行、維護、資產管理等責任部門，并落實各項安全工作

的具體負責人。

/按最小特權原則和職責分離原則，配備系統管理員、安全管理

員、安全審計員，分工明確，責任到人。

/建立定期安全檢查、協調機制，及時掌握醫療HIS的安全狀態

和安全管理制度執行情況。

5.2完善安全管理制度

為保證醫療HIS系統正常運行，必須首先建立、健全一套及之相

應的安全管理制度，需要制定和完善的安全管理制度包括但不限于以

下制度規范：

/信息安全管理規范：明確安全目標、安全原則、管理組織、職

責和人員、機房、設備、軟件、信息介質、技術文檔、安全審

計、應急處理等方面的總的管理要求。

/人員管理相關制度：明確安全管理人員錄用、培訓、調離、獎

懲等方面的具體要求和各類管理人員的具體職責。

/機房管理相關制度：明確機房管理、機房出入、設備出入、機

房值班、日常維護、定期維護、故障處理、電源管理、消防管

理、信息保密等方面的具體管理要求。

,設備管理相關制度：明確設備購置、使用、維修等方面的具體

管理要求。

,軟件管理相關制度：明確軟件采購、測試、安裝、登記、保管、

使用、維護、防病毒等方面的具體管理要求。

/信息介質管理相關制度：明確各類信息介質的采購、登記、借

用、復制、銷毀、儲存等方面的具體管理要求。

/技術文檔管理相關制度：明確技術文檔歸檔、借閱、復制、備

份、銷毀等方面的具體管理要求。

/安全審計管理相關制度：明確安全審計內容、周期、審計流程

以及日志保存時間、處理等方面的具體管理要求。

/應急處理管理相關制度：明確處理各類信息安全緊急事件的應

急組織、人員、響應流程、處理步驟等。

5.3加強人才隊伍建設

由于信息安全的復雜性、專業性、特殊性，醫