| 福建卫生信息通讯
福建省卫生信息协会秘书处 2008年第07期(总第55期) 内部资料,免费交流
●协会工作简讯
协会举办信息网络安全培训班
为加强我省医疗卫生单位信息网络安全建设,增强各单位网络安全的防护能力,省卫生厅信息中心于2008年7月14至16日在福州马尾举办了信息网络安全培训班,该班由福建省卫生信息协会承办、福建海峡信息技术有限公司协办。本培训班学习的主要内容:信息系统安全等级保护相关政策要求以及信息系统安全风险测评标准;信息系统安全等级保护对应安全解决方案和信息系统安全服务体系;网络安全防护新技术;数据库审计系统、内网安全管理系统、电子文档安全加密系统和其他安全技术等。培训班还特邀福建省网络与信息安全测评中心有关专家前来授课。
本培训班有来自省、市、县医院及部队医院有关专业人员共65人参加学习。该培训班已列入省卫生厅2008年继续医学教育项目,参加学习的人员都授予了相应的学分。
(协会办公室,2008-7-20)
福建省新型农村合作医疗信息系统建设进入实施阶段
我省已提前实现了全省范围新农合制度的全覆盖,为了适应新形势下新农合信息管理的需要,省政府提出建立全省统一的新农合管理信息平台,以提高我省新农合的科学管理水平,促进新农合制度完善和健康发展。根据省领导的指示,全省新农合信息系统建设将依托现有的医保网络平台,实现资源共享。本项目由省卫生厅、省劳动和社会保障厅共同承担可行性研究和初步方案设计。2008年5月29日,省数字办组织专家完成了方案论证。6月20日,省发改委正式批复同意。6月24日,省人民政府办公厅转发了《省卫生厅等部门关于福建省新型农村合作医疗信息平台建设实施意见的通知》,新农合信息系统建设进入实施阶段。
本项目的目标是,体现以人为本,方便参合农民就医,费用结算网络化管理,年内先实现在设区市范围内做到异地就诊即时结报,今后再实现全省范围的异地结报;通过网络能实现在线审核结算,对基金支出进行预警和实时监控;对参合信息能够及时汇总、分析,实现新农合业务管理的决策辅助系统。为实现以上预期目标,项目建设内容将包括以下几方面:
1.在现有城镇医保网络的基础上整合利用资源,将新农合信息系统与城镇医保网络共享主机、数据存储设备、网络通信线路和机房设备,以各设区市为单位建设新农合的分中心平台;
2.各分中心平台网络向下辐射,通过县级网络节点覆盖本辖区所有新农合医疗定点机构、县级合管办和县级卫生行政部门;
3.各医疗机构的信息系统(HIS)开发接口程序,参合农民的就诊费用信息可直接从医疗机构局域网络导出并发送至新农合信息平台;
4.在设区市分中心平台上部署新农合信息管理软件,以县(区、市)为单位设置管理权限和工作参数,为本辖区新农合的结算、报销提供操作平台,并建立与医疗救助相衔接的管理模块;省级建立数据交换平台,满足省内农民异地就医的即时结报;
5.在省卫生厅建立全省新农合数据的备份中心,集中存放各设区市分中心的新农合数据,确保数据安全;同时提供全省资金监管、数据汇总、统计分析等功能,为新农合政策制定提供辅助决策;
6.逐步引入社会保障卡作为新农合个人身份的识别卡,在方案设计时考虑定点医疗机构信息系统的接口程序。
(协会办公室,2008-7-20)
执行《关于加强医院信息系统管理的通知》调研内容
最近,省卫生厅治理商业贿赂领导小组办公室下发了《关于印发2008年第一次调研内容的通知》,要求各单位做好调研工作。现将执行《关于加强医院信息系统管理的通知》调研内容刊登如下:
一、是否对省卫生厅《关于加强医院信息系统管理的通知》制定了具体贯彻落实意见(若有请提供文体文件)。
二、是否制定了信息中心管理制度(若有请提供文体文件)。
三、了解落实数据库后台密码的管理和授权情况。
四、是否制定因工作需要查询药品用量信息的有关制度。
五、是否安装数据库后台审计监控管理设备,是否制定数据库后台审计工作制度。是否按制度对数据库后台开展审计(若有请提供审计相关材料)。
六、对数据库后台审计中是否发现有新情况?是否对违规行为作过处理、处罚。
七、执行中遇到过哪些具体问题,如何解决的?
八、市、县卫生局是否组织对医院落实《关于加强医院信息系统管理的通知》进行督查。
注:福建省卫生厅《关于加强医院信息系统管理的通知》(闽卫监186号)于2007年9月3日下达。在2007年第9期的《福建卫生信息通讯》有刊登该文件。
(协会办公室)
● 学术交流
信息系统安全等级保护基本要求(一)
编者按:省卫生厅信息中心委托省卫生信息协会于7月中旬举办全省卫生信息网络安全培训班,期间特邀请福建省网络与信息安全测评中心康仲生前来讲授信息系统安全等级保护基本要求。现将有关内容刊登如下:
一、作用和定位
1. 主要作用
①《基本要求》对等级保护工作中的安全控制选择、调整、实施等提出规范性要求,根据使用对象不同,其主要作用分为三种:
② 为信息系统建设单位和运营、使用单位提供技术指导。
③ 在信息系统的安全保护等级确定后,《基本要求》为信息系统的建设单位和运营、使用单位如何对特定等级的信息系统进行保护提供技术指导。
④为测评机构提供评估依据。
⑤《基本要求》为信息系统主管部门,信息系统运营、使用单位或专门的等级测评机构对信息系统安全保护等级的检测评估提供依据。
⑥为职能监管部门提供监督检查依据。
⑦《基本要求》为监管部门的监督检查提供依据,用于判断一个特定等级的信息系统是否按照国家要求进行了基本的保护。
2. 《基本要求》的定位
① 是系统安全保护、等级测评的一个基本“标尺”,同样级别的系统使用统一的“标尺”来衡量,保证权威性,是一个达标线;
② 每个级别的信息系统按照基本要求进行保护后,信息系统具有相应等级的基本安全保护能力,达到一种基本的安全状态;
③ 是每个级别信息系统进行安全保护工作的一个基本出发点,更加贴切的保护可以通过需求分析对基本要求进行补充,参考其他有关等级保护或安全方面的标准来实现。
二、框架结构
1. 《基本要求》在整体框架结构上以三种分类为支撑点,自上而下分别为:类、控制点和项。其中,类表示《基本要求》在整体上大的分类,其中技术部分分为:物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类,管理部分分为:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类,一共分为10大类。控制点表示每个大类下的关键控制点,如物理安全大类中的“物理访问控制”作为一个控制点。而项则是控制点下的具体要求项,如“机房出入应安排专人负责,控制、鉴别和记录进入的人员。”
2. 《基本要求》的安全要求的分类。安全要求从整体上分为技术和管理两大类,其中,技术类安全要求按其保护的侧重点不同,将其下的控制点分为三类:
3. 信息安全类(S类):关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。
4. 如,自主访问控制,该控制点主要关注的是防止未授权的访问系统,进而造成数据的 修改或泄漏。至于对保证业务的正常连续运行并没有直接的影响。
5. 服务保证类(A类):关注的是保护系统连续正常的运行,避免因对系统的未授权修改、破坏而导致系统不可用。
6. 如,数据的备份和恢复,该控制点很好的体现了对业务正常运行的保护。如通过对数据 进行备份,在发生安全事件后能够及时的进行恢复,从而保证了业务的正常运行。
7. 通用安全保护类(G类):既关注保护业务信息的安全性,同时也关注保护系统的 连续可用性。
8. 大多数技术类安全要求都属于此类,保护的重点既是为了保证业务能够正常运行,同时数据要安全。如,物理访问控制,该控制点主要是防止非授权人员物理访问系统主要工作环境,由于进入工作环境可能导致的后果既可能包括系统无法正常运行(如,损坏某台重要服务器),也可能窃取某些重要数据。因此,它保护的重点二者兼而有之。
9. 技术安全要求按其保护的侧重点不同分为S、A、G三类,如果从另外一个角度考虑,根据信息系统安全的整体结构来看,信息系统安全可从五个层面:物理、网络、主机系统、应用系统和数据对系统进行保护,因此,技术类安全要求也相应的分为五个层面上的安全要求:
① 物理层面安全要求:主要是从外界环境、基础设施、运行硬件、介质等方面为信息系统的安全运行提供基本的后台支持和保证;
② 网络层面安全要求:为信息系统能够在安全的网络环境中运行提供支持,确保网络系统安全运行,提供有效的网络服务;
③ 主机层面安全要求:在物理、网络层面安全的情况下,提供安全的操作系统和安全的数据库管理系统,以实现操作系统和数据库管理系统的安全运行;
④ 应用层面安全要求:在物理、网络、系统等层面安全的支持下,实现用户安全需求所确定的安全目标;
⑤ 数据及备份恢复层面安全要求:全面关注信息系统中存储、传输、处理等过程的数据的安全性。
10. 管理类安全要求主要是围绕信息系统整个生命周期全过程而提出的,均为G类要求。信息系统的生命周期主要分为五个阶段:初始阶段、采购/开发阶段、实施阶段、运行维护阶段和废弃阶段。管理类安全要求正是针对这五个阶段的不同安全活动提出的,分为:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个方面。逐级增强
11. 不同级别的信息系统,其应该具备的安全保护能力不同,也就是对抗能力和恢复能力不同;安全保护能力不同意味着能够应对的威胁不同,较高级别的系统应该能够应对更多的威胁;应对威胁将通过技术措施和管理措施来实现,应对同一威胁可以有不同强度和数量的措施,较高级别的系统应考虑更为周密的应对措施。
① 主机安全-->入侵防范:(G2)
a.操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
② 主机安全-->入侵防范:(G3)
a.应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;
b.应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;
c.操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
③ 网络安全-->入侵防范:(G3)
a.应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
b.当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
④ 网络安全-->入侵防范:(G4)
a.应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
b.当检测到攻击行为时,应记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警及自动采取相应动作。
三、各级系统保护的主要内容
1. 各级系统安全保护要求-物理安全
① 物理安全保护的目的主要是使存放计算机、网络设备的机房以及信息系统的设备和存储数据的介质等免受物理环境、自然灾难以及人为操作失误和恶意操作等各种威胁所产生的攻击。物理安全是防护信息系统安全的最底层,缺乏物理安全,其他任何安全措施都是毫无意义的。
② 物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。具体包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等十个控制点。
各级系统安全保护要求-网络安全
③ 网络安全为信息系统在网络环境的安全运行提供支持。一方面,确保网络设备的安全运行,提供有效的网络服务,另一方面,确保在网上传输数据的保密性、完整性和可用性等。由于网络环境是抵御外部攻击的第一道防线,因此必须进行各方面的防护。对网络安全的保护,主要关注两个方面:共享和安全。开放的网络环境便利了各种资源之间的流动、共享,但同时也打开了“罪恶”的大门。因此,必须在二者之间寻找恰当的平衡点,使得在尽可能安全的情况下实现最大程度的资源共享,这是我们实现网络安全的理想目标。
④ 网络安全主要关注的方面包括:网络结构、网络边界以及网络设备自身安全等,具体的控制点包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等七个控制点。
2.结构安全
① 在对网络安全实现全方位保护之前,首先应关注整个网络的资源分布、架构是否合理。只有结构安全了,才能在其上实现各种技术功能,达到网络安全保护的目的。通常,一个机构是由多个业务部门组成,各部门的地位、重要性不同,部门所要处理的信息重要性也不同,因此,需要对整个网络进行子网划分。
② 该控制点主要从网段划分、资源(带宽、处理能力)保证、优先处理等方面来要求。
③ 应保证网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。
④ 应保证网络各部分的带宽满足业务高峰期需要。
⑤ 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径。
⑥ 应绘制于当前运行情况相符的网络拓扑结构图,网络拓扑结构的合理性。
⑦ 应根据各部门各系统的重要性,划分不同的子网和网段,应避免将重要网段直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段。
⑧ 根据业务服务的重要性指定带宽优先权。
3.访问控制
① 对于网络而言,最重要的一道安全防线就是边界,边界上汇聚了所有流经网络的数据流,必须对其进行有效的监视和控制。所谓边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间的连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。有连接,必有数据间的流动,因此在边界处,重要的就是对流经的数据(或者称进出网络)进行严格的访问控制。按照一定的规则允许或拒绝数据的流入、流出。
② 如果说,网络访问控制是从数据的角度对网络中流动的数据进行控制,那么,拨号访问控制则是从用户的角度对远程访问网络的用户进行控制。对用户的访问控制,同样应按照一定的控制规则来允许或拒绝用户的访问。
③ 应在网络边界部署访问控制设备,启用访问控制功能。
④ 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。
⑤ 应限制网络最大流量数和网络连接数。
⑥ 应在会话处于非活跃一定时间或会话结束后终止网络连接。
⑦ 应不开放远程拔号访问功能。
4.安全审计
① 如果将安全审计仅仅理解为“日志记录”功能,那么目前大多数的操作系统、网络设备都有不同程度的日志功能。但是实际上仅这些日志根本不能保障系统的安全,也无法满足事后的追踪取证。安全审计并非日志功能的简单改进,也并非等同于入侵检测。
② 网络安全审计重点包括的方面:对网络流量监测以及对异常流量的识别和报警、网络设备运行情况的监测等。通过对以上方面的记录分析,形成报表,并在一定情况下发出报警、阻断等动作。其次,对安全审计记录的管理也是其中的一方面。由于各个网络产品产生的安全事件记录格式也不统一,难以进行综合分析,因此,集中审计已成为网络安全审计发展的必然趋势。
③ 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。
④ 审计记录应包括:事件的日期时间、用户、事件类型、事件是否成功等相关信息。
⑤ 应对审计跟踪极限的阀值,当存储空间接近极限时,能采取必要的措施,当存储空间消耗尽时,终止可审计事件的发生。
4.边界完整性检查
虽然网络采取了防火墙、IDS等有效的技术手段对边界进行了防护,但如果内网用户在边界处通过其他手段接入内网(如无线网卡、双网卡、modem拨号上网),这些边界防御则形同虚设。因此,必须在全网中对网络的连接状态进行监控,准确定位并能及时报警和阻断。
5.入侵防范
网络访问控制在网络安全中起到大门警卫的作用,对进出的数据进行规则匹配,是网络安全的第一道闸门。但其也有局限性,它只能对进出网络的数据进行分析,对网络内部发生的事件则无能为力。基于网络的入侵检测,被认为是防火墙之后的第二道安全闸门,它主要是监视所在网段内的各种数据包,对每一个数据包或可疑数据包进行分析,如果数据包与内置的规则吻合,入侵检测系统就会记录事件的各种信息,并发出警报。
6.恶意代码防范
目前,对恶意代码的防范已是全方位、立体防护的概念。根据对恶意代码引入的源头进行分析,可以得出,随着互联网的不断发展,从网络上引入到本地的恶意代码占绝大多数。因此,在网络边界处对恶意代码进行防范是整个防范工作的重点。部署了相应的网络防病毒产品后,并不代表“万事大吉”了,根据统计,平均每个月有300种新的病毒被发现,如果产品恶意代码库跟不上这一速度,其实际检测效率可能会大大降低,因此,必须及时地、自动更新产品中的恶意代码定义。这种更新必须非常频繁,且对用户透明。
7.网络设备防护
① 对网络安全的防护,除了对网络结构、网络边界部署相应的安全措施外,另外一个重要的方面就是对实现这些控制要求的网络设备的保护。通过登录网络设备对各种参数进行配置、修改等,都直接影响网络安全功能的发挥。因此,网络设备的防护主要是对用户登录前后的行为进行控制。
a)应对登录网络设备的用户进行身份鉴别;b)应对网络设备的管理员登录地址进行限制;c)网络设备用户的标识应唯一;d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;e) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;f) 网络设备用户的身份鉴别信息至少应有一种是不可伪造的;g) 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;h) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;i) 应实现设备特权用户的权限分离。
8. 各级系统安全保护要求-主机安全
① 主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机,服务器则包括应用程序、网络、web、文件与通信等服务器。主机系统是构成信息系统的主要部分,其上承载着各种应用。因此,主机系统安全是保护信息系统安全的中坚力量。
② 主机系统安全涉及的控制点包括:身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等九个控制点。
. 身份鉴别
为确保系统的安全,必须对系统中的每一用户或与之相连的服务器或终端设备进行有效的标识与鉴别,只有通过鉴别的用户才能被赋予相应的权限,进入系统并在规定的权限内操作。
. 安全标记
在主机系统层面,在高级别系统中要实现强度较强的访问控制必须要增加安全标记,通过对主体和客体进行标记,主体不能随意更改权限,权限是由系统客观具有的属性以及用户本身具有的属性决定的,因此,在很大程度上使非法访问受到限制,增加了访问控制的力度。
. 访问控制
在系统中实施访问控制是为了保证系统资源(操作系统和数据库管理系统)受控合法地使用。用户只能根据自己的权限大小来访问系统资源,不得越权访问。
. 可信路径
在计算机系统中,用户一般并不直接与内核打交道,通过应用层作为接口进行会话。但由于应用层并不是能完全信任的,因此在系统的安全功能中,提出了“可信路径”这一概念(也是桔皮书B2级的安全要求)。
. 安全审计
同网络安全审计相似,对主机进行安全审计,目的是为了保持对操作系统和数据库系统的运行情况以及系统用户行为的跟踪,以便事后追踪分析。主机安全审计主要涉及的方面包括:用户登录情况、系统配置情况以及系统资源使用情况等。
. 剩余信息保护
为保证存储在硬盘、内存或缓冲区中的信息不被非授权的访问,操作系统应对这些剩余信息加以保护。用户的鉴别信息、文件、目录等资源所在的存储空间,操作系统将其完全清除之后,才释放或重新分配给其他用户。
. 入侵防范
由于基于网络的入侵检测只是在被监测的网段内对网络非授权的访问、使用等情况进行防范,它无法防范网络内单台主机、服务器等被攻击的情况。基于主机的入侵检测,可以说是基于网络的“ 补充” ,补充检测那些出现在“ 授权” 的数据流或其他遗漏的数据流中的入侵行为。
. 恶意代码防范
恶意代码一般通过两种方式造成各种破坏,一种是通过网络,另外一种就是通过主机。网络边界处的恶意代码防范可以说是防范工作的“第一道门槛”,然而,如果恶意代码通过网络进行蔓延,那么直接后果就是造成网络内的主机感染,所以说,网关处的恶意代码防范并不是“一劳永逸”。另外,通过各种移动存储设备的接入主机,也可能造成该主机感染病毒,而后通过网络感染其他主机。所以说,这两种方式是交叉发生的,必须在两处同时进行防范,才能尽可能的保证安全。
由于不同厂商的恶意代码防范产品在恶意代码库的定义以及升级时机上都有所不同,因此,如果主机和网络的防范产品出于不同厂家,那么二者相互补充,在防范水平上会较同样一种产品防范两处要高。因此,在三级要求系统能够采取两种产品防范的要求。
由于信息系统具有网络层次多、节点多、覆盖地域广等特点,各部门对计算机的使用和维护水平也不尽相同,这些均要求防恶意代码软件能够提供统一管理和集中监控,能够在恶意代码监控中心的统一管理下,统一、自动升级,将潜在的恶意代码感染源清除在感染之前。同时,也极大的简化了系统维护工作,有利于防范恶意代码策略的有效实施。(未完待续)
(福建省网络与信息安全测评中心 康仲生)
● 公司简介
同有在医疗行业
——打造专业的网络数据安全、存储、备份、容灾、管理
北京同有飞骥科技有限公司是中国存储管理解决方案和专业服务提供的领导厂商,致力于为中国企业级客户的信息存储管理和数据备份提供全系列的存储产品和行业存储管理解决方案,是目前国内唯一的即具有高端集成能力又拥有自有品牌和全国销售渠道的专业存储服务公司之一。并连续获得2004、2005年中国最佳存储系统集成商,其自有品牌NetStor系列存储产品被评为2004年中国信息产业最有价值产品品牌和2005年行业用户采购首选品牌。
福州同恒网络通讯工程有限公司作为同有公司战略合作伙伴并签订福建省行业金牌代理,将为医疗行业构建与管理存储系统所需的全线存储产品,提供基于医疗特征的全方位存储管理解决方案和专业的服务,帮助医疗客户实施基于上述解决方案的高质量本地化应用开发和集成服务,应客户的特别需求提供全面系统集成的应用实施或第三方解决方案和产品的集成服务。
北京同有飞骥自成立以来,一直非常专注医疗行业存储管理信息化建设。经过多年的积累,北京同有飞骥已经发展成为医疗行业的存储服务专家,迄今为止,同在产品在全国医疗行业及福建省医疗卫生行业拥有几百家的成功案例并经过十多年的使用性能稳定、运行良好、获得客户的好评。
展望未来,北京同有将与福州同恒网络公司积极致力于福建医疗行业信息化建设,并提供优质产品、解决方案和极其竞争力的价格,与福建医疗客户共赢未来。
福州同恒网络通讯工程有限公司 0591-87502325 0591-87501406 0591-87520206
地址:福州市杨桥东路118号侨雄商业中心A座11楼
|
