医院等级保护建设网络安全建设 解决方案 2018年6月 目录 1 概述 5 1.1 背景分析 5 1.2 等级保护建设目标和范围 6 1.3 方案设计 7 1.4 参照标准 7 2 信息系统现状 7 2.1 医院网络安全现状 8 2.2 医院网络安全风险分析 8 2.3 医院网络安全需求 9 2.3.1 物理安全 9 2.3.2 网络安全 11 2.3.3 主机安全 11 2.3.4 应用安全 13 2.3.5 数据安全 14 2.3.6 安全域划分及边界防护 15 3 网络安全建设必要性 17 3.1 等级保护要求 17 3.2 医院系统面临安全威胁 18 4 网络安全建设目标 18 4.1 满足合规性要求 18 4.2 等级保护技术要求 19 5 安全技术体系方案设计 24 5.1 物理层安全 24 5.2 网络层安全 24 5.2.1 安全域划分 25 5.2.2 边界访问控制 27 5.2.3 网络审计 28 5.2.4 网络入侵防范 28 5.2.5 边界恶意代码防范 29 5.2.6 网络设备保护 29 5.2.7 主机层安全 30 5.2.8 身份鉴别 30 5.2.9 强制访问控制 30 5.2.10 主机入侵防范 31 5.2.11 主机审计 32 5.2.12 恶意代码防范 32 5.2.13 剩余信息保护 33 5.2.14 资源控制 33 5.3 应用层安全 34 5.3.1 身份鉴别 34 5.3.2 访问控制 34 5.3.3 安全审计 35 5.3.4 剩余信息保护 35 5.3.5 通信完整性 35 5.3.6 通信保密性 35 5.3.7 抗抵赖性 36 5.3.8 软件容错 36 5.3.9 资源控制 36 5.4 数据层安全 37 5.4.1 数据完整性 37 5.4.2 数据保密性 38 5.4.3 备份和恢复 39 6 安全建设方案小结 39 1.1 安全服务汇总 40 1.2 安全产品汇总 41 1 概述 1.1 背景分析 《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）明确规定我国“计算机信息系统实行安全等级保护”。依据国务院147号令要求而制订发布的强制性国家标准《计算机信息系统安全保护等级划分准则》（GB17859-1999）为计算机信息系统安全保护等级的划分奠定了技术基础。《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出实行信息安全等级保护，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度”。《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号）确定了实施信息安全等级保护制度的原则、工作职责划分、实施要求和实施计划，明确了开展信息安全等级保护工作的基本内容、工作流程、工作方法等。信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准的出台，为信息安全等级保护工作的开展提供了法律、政策、标准保障。2007年起公安部组织编制了《信息安全技术 信息系统等级保护安全设计技术要求》，为已定级信息系统的设计、整改提供标准依据，至2008年11月已报批为国标。与此同时，2007年7月全国开展重要信息系统等级保护定级工作，标志着信息安全等级保护工作在我国全面展开。

依据《计算机信息系统安全保护等级划分准则》，将信息系统安全保护能力划分为五个等级；
分别为：
　　第一级：用户自主保护级;由用户来决定如何对资源进行保护，以及采用何种方式进行保护。

　　第二级：系统审计保护级;本级的安全保护机制支持用户具有更强的自主保护能力。特别是具有访问审记能力，即它能创建、维护受保护对象的访问审计跟踪记录，记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息，所有和安全相关的操作都能够被记录下来，以便当系统发生安全问题时，可以根据审记记录，分析追查事故责任人。

　　第三级：安全标记保护级;具有第二级系统审计保护级的所有功能，并对访问者及其访问对象实施强制访问控制。通过对访问者和访问对象指定不同安全标记，限制访问者的权限。

第四级：结构化保护级;将前三级的安全保护能力扩展到所有访问者和访问对象，支持形式化的安全保护策略。其本身构造也是结构化的，以使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。

第五级：访问验证保护级;具备第四级的所有功能，还具有仲裁访问者能否访问某些对象的能力。为此，本级的安全保护机制不能被攻击、被篡改的，具有极强的抗渗透能力。　 目前，全国范围内的定级工作已经基本完成，2009年起将依据标准要求对已定级信息系统进行整改，以达到规范安全管理、提高信息安全保障能力到应有水平的目标 1.2 等级保护建设目标和范围 为了落实和贯彻自治区政府、公安部、保密局、卫生部、自治区卫生厅等国家有关部门信息安全等级保护工作要求，全面完善医院信息安全防护体系，落实 “分区分域、等级防护、多层防御”的安全防护策略，确保等级保护工作在本单位的顺利实施，提高整体信息安全防护水平，开展等级保护建设工作。

我们前期对医院网络进行了勘查分析，了解与等级保护要求之间的差距，提出安全建设方案。本方案主要遵循 GB/T22239-2008《信息安全技术信息安全等级保护基本要求》、 《信息安全等级保护管理办法》 公通字[2007]43 号）、 《信息安全风险评估规范》（GB/T 20984-2007）、《卫生行业信息安全等级保护工作的指导意见》标准等。

实施的范围包括：医院网站安全防护、医院各个信息系统的安全防护。

1.3 方案设计 根据等级保护要求以及前期分析了解的结果，医院信息系统存在的漏洞、弱点提出相关的整改意见，结合等级保护建设标准，并最终形成安全解决方案。

1.4 参照标准 GB/T22239-2008《信息安全技术信息安全等级保护基本要求》 《信息安全等级保护管理办法》（公通字[2007]43 号） 《信息安全技术信息安全风险评估规范》（GB/T 20984-2007） 《卫生行业信息安全等级保护工作的指导意见》 2 信息系统现状 随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，网络正深刻影响并改变着人类的生活和工作方式。医院已经逐步建立起依赖于网络的医院业务办公信息系统，比如门户WEB应用、HIS系统、LIS系统、电子病历系统、PACS系统等等，在给我们带来便利的同时，安全也面临更大的挑战。

对于医疗机构而言，数字化、网络化、信息化是医院实现不断发展的重要形式和发展方向，而网络信息功能和内容是通过WEB应用形式表现出来的。外界对医院信息化的了解也是从WEB应用开始的，从网上预约挂号、网上查询检查结果等等一系列工作都是通过WEB来实现的，医院门户WEB应用是医院现代化科技服务的窗口,也是医院对外宣传的窗口。而近年来，医院WEB应用的公众性质使其成为攻击和威胁的主要目标，医院WEB应用所面临的Web应用安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用等，极大地困扰着医院和公众用户，给医院的服务形象、信息网络和核心业务造成严重的破坏。因此，一个优秀的WEB应用安全建设是医院信息化是否能取得成效、充分发挥职能的基础，而合规、有效、全面的信息安全体系建设对保障其正常运行至关重要。

2.1 医院网络安全现状 目前医疗行业各大医院的信息化办公系统如：HIS系统、LIS系统、电子病历系统、PACS系统、OA系统等各大业务系统全部上线运行，给医院的正常办公业务带来极大的便利，给医生节省更多的时间来治疗患者，同时给患者带来便利的就医环节；
有的医院由于发展需要，建立了自己独立的门户网站，对外提供患者网上预约挂号，检查结果查询等功能，在几大系统中，医院OA系统由于内外网同时需要运行业务，因此医院设立了DMZ区，DMZ区放置医院OA系统服务器、对外网站服务器，以后随着医疗信息化的发展，全疆医院要实现电子病历共享，为了给病人提供更好的服务，各大医院将逐步实现网上预约挂号、网上查询等业务，这就需要医院内外网连通，实现内外网数据互通共享，因此内外网互联的安全建设非常重要，如何在内外网互联时保证内网信息数据的安全性、完整性是必须考虑的问题。

2.2 医院网络安全风险分析 通过对医院网络现状的了解及分析，主要分为以下两大类安全威胁：
外部攻击 由于内网与外网互通，并且在出内外网之间处没有有效的安全防护设施，内网信息系统面临很大威胁，极易遭到外网中黑客攻击、DDoS攻击、木马、病毒等恶意攻击，破坏各类主机及服务器，导致医院网络性能下降、服务质量降低、信息安全没有保障。WEB应用遭受大量具有针对性的攻击，造成网站瘫痪，信息泄露，甚至网页被篡改。

内部威胁 局域网内部没有防护设备及有效隔离，一旦某个用户有意或是无意将感染了病毒、木马的移动存储设备接入内网，将造成整个网络木马病毒泛滥，给整个网络带来毁灭性打击。

2.3 医院网络安全需求 按照《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》，通过对医院网站和数据中心的安全状况评估、网络脆弱性扫描、本地安全审计、文档审查等方式，进行物理层面、网络层面、应用层面、主机层面、数据安全及备份、安全管理层面进行安全评估，最终寻找到以下差距：
2.3.1 物理安全 目前现有的物理安全机制不够完善，在物理安全的设计和施工中，需要考虑的安全要素包括：机房场地选择安全、机房内部安全防护、机房防火、机房供、配电、机房空调、降温、机房防水与防潮、机房防静电、机房接地与防雷击、机房电磁防护。

l 需要优先考虑机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。

l 需要在机房出入口应安排专人值守，控制、鉴别和记录进入的人员。

l 需要将通信线缆铺设在隐蔽处，例如：铺设在地下或管道中。

l 需要对介质分类标识，存储在介质库或档案室中。

l 需要在主机房安装必要的防盗报警设施。

l 机房建筑需要设置避雷装置及设置交流电源地线。

l 机房需要设置灭火设备和火灾自动报警系统。

l 在水管安装时，需要考虑不得穿过机房屋顶和活动地板下。

l 需要采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。

l 需要采取措施防止机房内水蒸气结露和地下积水的转移与渗透。

l 需要在关键设备上采用必要的接地防静电措施。

l 考虑机房需要设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

l 需要提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求。

l 需要考虑电源线和通信线缆应隔离铺设，避免互相干扰。

l 机房场地避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

l 需要对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；

l 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。

l 需要利用光、电等技术设置机房防盗报警系统，对机房设置监控报警系统。

l 需要设置防雷保安器，防止感应雷。

l 考虑机房设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火。

l 考虑机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料，机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。

l 需要安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。

l 考虑机房采用防静电地板。

l 考虑机房设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

l 需要设置冗余或并行的电力电缆线路为计算机系统供电，应建立备用供电系统。

l 需要采用接地方式防止外界电磁干扰和设备寄生耦合干扰，并对关键设备和磁介质实施电磁屏蔽。

2.3.2 网络安全 目前现有的通信网络安全机制不够完善，需依据《信息安全技术 信息系统安全等级保护基本要求》第三级基本要求加强现有网络安全机制。

l 需要对用户数据在网络传输中的数据提供保密性及完整性保护。

l 需要对通信网络进行安全审计，其网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录，并对确认为违规的用户操作行为需要提供报警，并对审计信息进行存储备份。

l 需要考虑网络边界访问控制对会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。

l 需要对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。

l 网络边界对入侵防范措施不够完善，考虑检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。

l 考虑网络边界对恶意代码防范能力应提供及时检测和清除，维护病毒库的升级更新。

2.3.3 主机安全 目前现有的主机安全机制不够完善，需依据《信息安全技术 信息系统安全等级保护基本要求》第三级基本要求加强现有主机安全机制。

1) 用户身份鉴别 l 需要对用户登录过程采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。

2) 标记和强制访问控制 l 系统资源访问控制需要对重要信息资源设置敏感标记，需要依据安全策略严格控制用户对有敏感标记重要信息资源的操作。

3) 系统安全审计 l 系统安全审计需要覆盖到服务器上的每个操作系统用户和数据库用户，应保护审计进程，避免受到未预期的中断。

l 审计记录包括安全事件的主体、客体、时间、类型和结果等内容；

l 考虑对各审计记录，应提供审计记录查询、分类和存储保护。

4) 用户数据完整性保护 l 需要采用各种常规校验机制，对系统安全计算环境中存储和传输的用户数据的完整性进行检验，能发现完整性被破坏的情况。

5) 用户数据保密性保护 l 需要采密码技术支持的保密性保护机制，为安全计算环境中存储和传输的用户数据进行保密性保护。

6) 剩余信息保护 l 剩余信息保护应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。

7) 入侵防范 l 需要能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。

8) 可信执行程序保护 需要构建从操作系统到上层应用的信任链，其中可采用可信计算技术，以实现系统运行过程中可执行程序的完整性检验，防范恶意代码等攻击，并在检测到其完整性受到破坏时，应采取有效的恢复措施。

2.3.4 应用安全 目前现有的应用安全机制不够完善，需依据《信息安全技术 信息系统安全等级保护基本要求》第三级基本要求的加强现有应用安全机制。

l 需要对用户登录过程提供用户身份标识唯一和鉴别信息复杂度检查功能，考虑保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用。考虑对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。

l 自主访问控制，需要依据安全策略控制用户对文件、数据库表等客体的访问，访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作。

l 考虑应用系统安全审计应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计。

l 考虑对重要信息资源设置敏感标记的功能，并依据安全策略严格控制用户对有敏感标记重要信息资源的操作。

l 考虑提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。

l 剩余信息保护：应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。

l 通信完整性：应采用密码技术保证通信过程中数据的完整性。

l 通信保密性：应对通信过程中的整个报文或会话过程进行加密。

l 抗抵赖：应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能；
应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。

l 软件容错：应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。

资源控制：应能够对一个时间段内可能的并发会话连接数进行限制，应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额，应能够对系统服务水平降低到预先规定的最小值进行检测和报警，应提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源。

2.3.5 数据安全 目前数据安全存在的安全隐患， 业务数据在传输过程中完整性受到破坏，数据存储没有经过加密处理，导致数据泄露。数据没有提供备份，导致重要数据丢失几种现象。因此需要在现有数据安全上增加以下几种保护：
l 数据完整性：应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。

l 数据保密性：应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性；
应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。

备份和恢复：应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放；
应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地；
应采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障；
应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。

2.3.6 安全域划分及边界防护 依据等级保护要求，安全分区、分级、分域及分层防护的原则，在进行安全防护建设之前，首先实现对信息系统的安全域划分。依据总体方案中 “二级系统统一成域，三级系统独立分域”的要求，主要采用物理防火墙隔离、虚拟防火墙隔离或Vlan隔离等形式进行安全域划分。

主要分为以下安全域：
级别 安全区域 备注 二级 集中运维管理区 如：网络管理、漏洞扫描等应用 三级 内部服务器区 如：对内提供服务的应用系统 三级 外部服务器区 如：通过互联网对外提供服务的应用系统 2.3.6.1 安全域的实现形式 安全域实现方式以划分逻辑区域为主，旨在实现各安全区域的逻辑划分，明确边界以对各安全域分别防护，并且进行域间边界控制，安全域的实体展现为一个或多个物理网段或逻辑网段的集合。对新疆一附院信息系统安全域的划分手段采用如下方式：
防火墙安全隔离：采用双接口或多接口防火墙进行边界隔离，在每个安全域采用多接口防火墙的每个接口分别与不同的安全域连接以进行访问控制。

2.3.6.2 划分安全域，明确保护边界 采用将三级系统划分为独立安全域。二级系统安全域、桌面安全域、公共应用服务安全域。二级系统安全域包含除三级系统外的所有应用系统服务器；
集中运维管理安全域包含各业务日志管理地、集中运维、日志管理、备份管理、VPN管理等。

部署访问控制设备或设置访问控制规则在各安全域边界设置访问控制规则，其中安全域边界按照“安全域边界”章节所列举的边界进行防护。访问控制规则可以采用交换机访问控制策略或模块化逻辑防火墙的形式实现。

二级系统安全域边界访问控制规则可以通过交换机的访问控制规则实现，访问控制规则满足如下条件：根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。

按用户和系统之间的允许访问规则，控制粒度为单个用户。

三级系统安全域边界的安全防护需满足如下要求：
根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；
对进出网络的信息内容进行过滤，实现对应用层协议命令级的控制。

入侵检测系统部署：
二级系统、三级系统安全域内应部署入侵防御系统，并根据业务系统情况制定入侵防御策略，检测范围应包含二级系统服务器、三级系统服务器、其他应用服务器，入侵防御应满足如下要求：
u 定制入侵检测策略，如根据所检测的源、目的地址及端口号，所需监测的服务类型以定制入侵检测规则；
u 定制入侵检测重要事件即时报警策略；
入侵检测至少可监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等；
当检测到攻击行为时，入侵检测系统应当记录攻击源 IP、攻击类型、攻击目的 IP、攻击时间，在发生严重入侵事件时应能提供及时的报警信息。

3 网络安全建设必要性 3.1 等级保护要求 根据等级保护相关要求，应满足等级保护二级指导保护级相关要求，并根据《信息系统安全等级保护基本要求》及其他相关技术规范进行整改，应能够防护系统免受来自计算机病毒等恶意代码的侵害和外部小型组织的（如自发的三两人组成的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小等）以及其他相当危害程度的威胁（无意失误、技术故障等）所造成的重要资源损害并能够检测到此类威胁，并在威胁发生造成损害后，能够在一段时间内恢复部分功能。《要求》中就设备自身可靠性、抗灾害能力、网络可靠性、网络安全防护能力等多个角度对网络系统安全做了详细具体的要求。根据《信息安全等级保护管理办法》规定，信息系统使用单位应依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评，并且公安机关负责信息安全等级保护工作的监督、检查、指导。因此必须通过网络安全建设保障信息系统符合等级保护具体要求，切实保护网络系统安全稳定运行。

从网络安全现状分析来看，医院目前网络不具备网络、设备冗余抗灾能力，在事故发生后难以快速恢复，不能保障政务运行；
现有安全防护设备缺乏，不能有效防护网络攻击行为，网络安全没有保障。现有网络不能满足等级保护相关要求。

3.2 医院系统面临安全威胁 医院网络通过VPN或者DMZ区间接接入外网，在对外提供大量服务、进行信息交流给我们带来极大便利、提高业务处理能力的同时，不得不承受着巨大的安全威胁。

对医院网络而言，一旦遭到破坏，将严重影医院工作的正常开展；
网站如果被篡改，将造成恶劣的社会影响，降低政府公信度。同时医院信息系统如果遭到病毒木马的攻击将对医院内网造成不可估量的损失。因此开展医院网络安全建设，提高政医院网络抗攻击能力、事故恢复能力刻不容缓。

4 网络安全建设目标 4.1 满足合规性要求 信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

三级甲等医院的核心业务信息系统安全保护等级原则上不低于第三级。

二级甲等医院、三级乙等医院参考定级第二级。

序号 系统类别 三级医院 二级医院 一级医院 1 门户网站 2级 2级 1级 2 内部办公系统 2级 2级 1级 3 面向患者服务系统 3级 2级 1级 4 以电子病历为核心的医院信息系统 3级 3级 1级 4.2 等级保护技术要求 类别 要求 二级等保要求 三级等保要求 解决方案 网络安全 结构安全 网络设备处理能力和网络带宽冗余；
网络拓扑图绘制；
子网划分和地址分配；

网络设备处理能管理和网络带宽冗余；
网络拓扑图绘制；
子网划分和地址分配；
终端和服务器之间建立安全访问路径；
边界和重要网段之间隔离；
网络拥堵时对重要主机优先保护；

根据高峰业务流量选择高端设备，核心交换接入设备采用双机冗余；
合理划分子网、VLAN、安全域，网络设备带宽优先级规划。

访问控制 部署访问控制设备，启用访问控制功能；
根据会话状态提供允许/拒绝访问能力；
按访问控制规则进行资源访问控制，粒度到单个用户；
限制拨号访问用户数量 部署访问控制设备，启用访问控制功能；
根据会话状态提供允许/拒绝访问能力，控制粒度为端口级；
按访问控制规则进行资源访问控制，粒度到单个用户；
限制拨号访问用户数量；
网络信息内容过滤，应用层协议命令级控制；
会话终止；
网络流量数和连接数控制；
重要网段防地址欺骗 网络边界部署防火墙，制定相应ACL策略 安全审计 网络设备状况、网络流量、用户行为日志记录 网络设备状况、网络流量、用户行为日志记录；
数据分析和报表生成；
审计记录保护 部署网络安全审计系统 边界完整性检查 安全准入控制和非法外联监控 安全准入控制和非法外联监控并进行有效阻断 部署终端安全管理系统 入侵防范 攻击行为检测 攻击行为检测；
攻击日志记录和告警 部署入侵检测系统 恶意代码防范 无要求 网络边界病毒查杀；
病毒库升级 部署入侵保护系统 网络设备防护 身份鉴别；
管理员登陆地址限制；
用户标识唯一；
登陆失败处理；
鉴别信息加密；

身份鉴别；
管理员登陆地址限制；
用户标识唯一；
登陆失败处理；
鉴别信息加密；
身份鉴别采用2种或以上鉴别技术；
特权权限分离 部署等级保护安全配置核查系统 主机安全 身份鉴别 操作系统和数据库用户身份鉴别；
登录失败处理；
鉴别信息传输加密；
用户唯一性；

操作系统和数据库用户身份鉴别；
登录失败处理；
鉴别信息传输加密；
用户唯一性；
身份鉴别采用2种或以上鉴别技术 部署等级保护安全配置核查系统 访问控制 启用访问控制功能；
操作系统和数据库特权用户权限分离；
默认账户配置修改；
多余过期用户删除 启用访问控制功能；
操作系统和数据库特权用户权限分离；
默认账户配置修改；
多余过期用户删除；
角色权限分配，权限分离和最小权限原则；
重要信息敏感标记；
强制访问控制 部署堡垒机 安全审计 记录服务器的系统用户和数据库用户的重要安全相关行为、事件；
审计记录保护 记录服务器和重要客户端的系统用户和数据库用户的重要安全相关行为、事件；
审计记录保护；
审计报表生成；
审计进程保护 部署堡垒机 剩余信息保护 无 鉴别信息再分配前清除，系统文件、目录、数据库记录再分配前清除 操作系统及数据库加固 入侵防范 操作系统最小安装原则，定期升级 操作系统最小安装原则，定期升级；
检测对重要服务器的入侵行为；
重要程序完整性检测和破坏后的恢复。

部署网络入侵检测系统、终端管理软件，漏洞扫描 恶意代码防范 安装防恶意代码软件，定期升级；
恶意代码软件统一管理 安装防恶意代码软件，定期升级；
恶意代码软件统一管理；
主机和网络防恶意代码软件品牌异构 部署终端杀毒软件 资源控制 终端登录控制；
终端超时锁定；
单个用户资源限制 终端登录控制；
终端超时锁定；
单个用户资源限制 安全加固 应用安全 身份鉴别 启用身份鉴别机制；
登录失败处理 启用身份鉴别机制；
登录失败处理；
身份鉴别采用2种或以上鉴别技术 部署CA认证系统 访问控制 启用访问控制机制，控制用户对文件、数据库表等的访问；
启用访问控制策略；
账户最小权限原则和权限制约 启用访问控制机制，控制用户对文件、数据库表等的访问；
启用访问控制策略；
账户最小权限原则和权限制约；
重要信息敏感标记；
重要信息强制访问控制 部署CA认证系统 安全审计 启用安全审计机制，审计每个用户、系统重要安全事件 启用安全审计机制，审计每个用户、系统重要安全事件；
审计报表生成 部署应用防护系统 剩余信息保护 无 鉴别信息再分配前清除，系统文件、目录、数据库记录再分配前清除 操作系统及数据库加固 通信完整性 应采用技术保障信息过程中数据完整性 应采用密码技术保障信息过程中数据完整性 部署PKI体系 通信保密性 会话初始化验证，通信过程加密 会话初始化验证，通信过程整个报文或会话过程加密 部署PKI体系 抗抵赖 提供数据原发或接收证据 提供数据原发或接收证据 部署PKI体系 软件容错 数据校验功能，故障时能继续提供一部分功能 数据校验功能，故障时能继续提供一部分功能 代码审核 资源控制 会话超时自动结束，限制最大并发连接数，单个账户多重会话限制 会话超时自动结束，限制最大并发连接数，单个账户多重会话限制 安全加固 数据安全与备份恢复 数据完整性 能检测到鉴别信息和业务数据在传输过程中受到的破坏 能检测到系统管理数据、鉴别信息和业务数据在传输和存储过程中受到的破坏，并采取恢复措施 VPN加密，数据库访问控制 数据保密性 采用加密或其他措施实现鉴别信息的存储保密 采用加密或其他措施实现系统管理数据、鉴别信息、重要业务数据传输存储过程保密 信息加密 备份与恢复 重要信息备份恢复，关键网络设备、线路、数据硬件冗余 重要信息备份恢复，关键网络设备、线路、数据硬件冗余 重要信息定期备份，设备冗余 5 安全技术体系方案设计 5.1 物理层安全 物理安全主要包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

该部分内容参考《信息系统安全等级保护基本要求》的三级标准的要求进行建设。

建设过程中可以参考的标准主要包括：
GB50174－93《电子计算机机房设计规范》 GB 50057－1994《建筑物防雷设计规范》 GB 2887-88《计算站场地安全要求》 GB 2887-89《计算站场地技术条件》 BMB4-2000《电磁干扰器技术要求和测试方法》 5.2 网络层安全 网络层安全主要涉及的方面包括结构安全、访问控制、安全审计、入侵防范、恶意代码防范、网络设备防护几大类安全控制。

5.2.1 安全域划分 安全域划分原则：
Ø 业务保障原则 安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率。

Ø 适度安全原则 在安全域划分时会面临有些业务紧密相连，但是根据安全要求（信息密级要求，访问应用要求等）又要将其划分到不同安全域的矛盾。是将业务按安全域的要求强性划分，还是合并安全域以满足业务要求？必须综合考虑业务隔离的难度和合并安全域的风险（会出现有些资产保护级别不够），从而给出合适的安全域划分。

Ø 结构简化原则 安全域方法的直接目的和效果是要将整个网络变得更加简单，简单的网络结构便于设计防护体系。比如，安全域划分并不是粒度越细越好，安全域数量过多过杂可能导致安全域的管理过于复杂和困难。

Ø 等级保护原则 安全域的划分要做到每个安全域的信息资产价值相近，具有相同或相近的安全等级安全环境安全策略等。

Ø 立体协防原则 安全域的主要对象是网络，但是围绕安全域的防护需要考虑在各个层次上立体防守，包括在物理链路网络主机系统应用等层次；
同时，在部署安全域防护体系的时候，要综合运用身份鉴别访问控制检测审计链路冗余内容检测等各种安全功能实现协防。

Ø 生命周期原则 对于安全域的划分和布防不仅仅要考虑静态设计，还要考虑不断的变化；
另外，在安全域的建设和调整过程中要考虑工程化的管理。

XX医院数据中心规划以两台核心交换机作为数据中心网络的核心，通过二条专线接入XX医院外网，网络边界通过二台防火墙设备实现内部网络与XX医院外网之间的安全隔离与访问控制。业务网内部根据业务类型及安全需求划分为如图所示的多个安全区域：
外联区：
与数据中心核心交换机互联，在XX医院外网接入处部署防火墙，通过防火墙进行访问控制，实现安全隔离。

数据交换区：
用于部署数据中心的测试服务器、交换服务器及总线服务器等数据交换服务器。

应用服务器区：
用于部署数据中心的核心业务应用系统，根据相关要求通过部署防火墙、入侵防御来与其它网络进行安全隔离，同时部署WEB应用防火墙对基于WEB的应用系统进行防护。

核心数据区：
主要部署各业务系统所需的核心数据库及后台服务器，该区域依照等保要求架设网络环境。安全管理运维区域及办公服务器区域之间通过合理的VLAN划分及交换机的访问控制列表来加以隔离。并通过部署审计系统对数据操作进行安全审计。

安全管理区：
用于部署信息系统安全管理及网络管理的相关服务器及软硬件系统，依照等保要求架设网络环境。与业务服务器区域及互联网远程接入区域之间通过合理的VLAN划分及交换机的访问控制列表来加以隔离。

根据重点业务重点保护的原则，将核心交换区、应用服务区和核心数据区划分为三级安全区域，依据等级保护三级标准进行相应的安全建设；
数据交换区划分为二级安全区域，依据等级保护二级标准进行相应的安全建设。

5.2.2 边界访问控制 在网络结构中，需要对各区域的边界进行访问控制，对于XX医院外网边界、数据交换区边界、应用服务区域边界及核心数据区边界，需采取部署防火墙的方式实现高级别的访问控制，各区域访问控制方式说明如下：
Ø 外联区：通过部署高性能防火墙，实现数据中心网络与XX医院外网之间的访问控制；

Ø 数据交换区：通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对数据交换区的访问控制。

Ø 应用服务区：通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对应用服务区的访问控制。

Ø 核心数据区：通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对核心数据区的访问控制。

5.2.3 网络审计 网络安全审计系统主要用于监视并记录网络中的各类操作，侦查系统中存在的现有和潜在的威胁，实时地综合分析出网络中发生的安全事件，包括各种外部事件和内部事件。在数据中心核心交换机处旁路部署网络行为监控与审计系统，形成对全网网络数据的流量检测并进行相应安全审计，同时和其他网络安全设备共同为集中安全管理提供监控数据用于分析及检测。

网络行为监控和审计系统将独立的网络传感器硬件组件连接到网络中的数据汇聚点设备上，对网络中的数据包进行分析、匹配、统计，通过特定的协议算法，从而实现入侵检测、信息还原等网络审计功能，根据记录生成详细的审计报表。网络行为监控和审计系统采取旁路技术，不用在目标主机中安装任何组件。同时玩了个审计系统可以与其他网络安全设备进行联动，将各自的监控记录送往安全管理安全域中的安全管理服务器，集中对网络异常、攻击和病毒进行分析和检测。

5.2.4 网络入侵防范 根据数据中心的业务安全需求和等级保护三级对入侵防范的要求，需要在网络中部署入侵检测产品。

入侵检测和产品通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测产品应支持深度内容检测、技术。配合实时更新的入侵攻击特征库，可检测网络攻击行为，包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁。当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。

同时基于数据中心对网络攻击行为的可控性，入侵检测产品有限的响应方式以及和防火墙联动的延迟和兼容性问题，这里推荐部署入侵保护产品，实现在入侵检测的基础上对攻击行为进行阻断，实现对入侵行为实时有效的防范。入侵检测/保护产品部署于外联区防火墙之后，是数据中心继防火墙边界访问控制后的第二道防线。

5.2.5 边界恶意代码防范 根据数据中心业务风险分析和等级保护三级对边界恶意代码防范的要求，需要在互联网边界部署防病毒产品。防病毒产品应具备针对HTTP、FTP、SMTP、POP3、IMAP以及MSN协议的内容检查、清除病毒的能力。支持查杀引导区病毒、文件型病毒、宏病毒、蠕虫病毒、特洛伊木马、后门程序、恶意脚本等各种恶意代码。并定期提供对病毒库版本的升级。

5.2.6 网络设备保护 对于网络中关键的交换机、路由器设备，也需要采用一定的安全设置及安全保障手段来实现网络层的控制。主要是根据等级保护基本要求配置网络设备自身的身份鉴别与权限控制，包括：登录地址、标识符、口令复杂度、失败处理、传输加密、特权用户权限分配等方面对网络设备进行安全加固。

由于不同网络设备安全配置的不同、配置维护工作繁杂，且信息安全是动态变化的，因此这里推荐通过自动化的配置核查设备，对网络层面和主机层的安全配置进行定期扫描核查，及时发现不满足基线要求的相关配置，并根据等级保护的安全配置要求提供相对应的安全配置加固指导。

5.2.7 主机层安全 主机层安全主要从身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方面来进行防护。

5.2.8 身份鉴别 为提高主机系统安全性，保障各种应用的正常运行，对主机系统需要进行一系列的加固措施，包括：
Ø 对登录操作系统和数据库系统的用户进行身份标识和鉴别，且保障用户名的唯一性。卫生信息平台所有用户应当具备独一无二的标识符以便跟踪后续行为，从而可以将责任对应到人。用户ID不得表示用户的权限级别，比如经理或主管等等。

Ø 根据基本要求配置用户名/口令，口令必须具备采用3中以上字符、长度不少于8位并定期更换。

Ø 启用登录失败处理功能，登录失败后采取结束会话、限制非法登录次数和自动退出等措施，重要的主机系统应对与之相连的服务器或终端设备进行身份标识和鉴别。

Ø 远程管理时应启用SSH等管理方式，加密管理数据，防止被网络窃听。

Ø 对主机管理员登录采取双因素认证方式，采用USBkey+密码进行身份鉴别。

5.2.9 强制访问控制 应在主机层启用强制访问控制功能，依据安全策略控制用户对资源的访问，对重要信息资源设置敏感标记，安全策略严格控制用户对有敏感标记重要信息资源的操作。

强制访问控制主要是对核心数据区的文件、数据库等资源的访问进行控制，避免越权非法使用。采用的措施主要包括以下几个方面。

Ø 启用访问控制功能：制定严格的访问控制安全策略，根据策略控制用户对应用系统的访问，特别是文件操作、数据访问等，控制粒度主体为用户级，客体为文件或者数据库表级别。

Ø 权限控制：对于制定的访问控制规则要能清楚的覆盖资源访问相关的主题、客体及它们之间的操作。对于不同的用户授权原则是进行能够完成工作的最小化授权，避免授权范围过大，并在它们之间形成互相支援的关系。

Ø 账号管理：严格限制默认账户的访问权限，重命名默认账户，修改默认口令，及时删除多余的、过期的账户，避免共享账户的存在。

Ø 访问控制的实现主要是采取两种方式：采用安全操作系统，或对操作系统进行安全改造，且使用效果要达到以上要求。

对于强制访问控制中的权限分配和账号管理部分可以通过等级保护配置核查产品进行定期扫描核查，及时发现与基线要求不符的配置并进行加固。同时账号管理和权限控制部分还可以通过堡垒机产品来进行强制管控，满足强制访问控制的要求。

5.2.10 主机入侵防范 根据等级保护三级要求，需要对主机入侵行为进行防范。针对主机的入侵防范，可以从以下多个角度进行处理：
Ø 部署入侵检测/保护系统，在防范网络入侵的同时对关键主机的操作系统提供保护，提供根据入侵事件的风险程度进行分类报警。

Ø 部署漏洞扫描进行安全性检测，及时发现主机漏洞并进行修补，减少攻击者可利用的对象。

Ø 操作系统的安全遵循最小安装的原则，仅安装需要的组件和应用程序，关闭多余服务等，减少组件、应用程序和服务中可能存在的漏洞。

Ø 根据系统类型进行安全配置的加固处理。

5.2.11 主机审计 主机层审计记录系统用户和数据库用户重要的安全相关事件。

系统用户审计主要包括重要用户行为、系统资源的异常使用和重要程序功能的执行等；
还包括数据文件的打开关闭，具体的行动，诸如读取、编辑和删除记录，以及打印报表等。对于系统用户审计建议可以通过堡垒机来实现，堡垒机是集账号权限管控以及用户行为审计与一体的安全运维产品，能够通过录屏，记录命令行等方式记录用户对重要服务器的访问行为以及所做的各种操作。

数据库用户审计主要包括用户的各种数据库操作，如插入、更新、删除、修改等行为。对于某些对数据可用性、保密性和完整性方面十分敏感的应用，要求能够捕捉到每个所改变记录的事前和事后的情况。对于数据库用户审计建议可以通过网络审计产品来实现，网络审计产品以旁路方式接入网络，不会对网络造成影响，能够对所有数据库操作行为进行细粒度的记录，以便事后追查。

5.2.12 恶意代码防范 针对病毒风险，应在数据中心所有服务器和终端主机上部署防病毒系统，加强终端主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。同时部署防病毒服务器，负责制定终端主机防病毒策略，进行防病毒系统的统一管理。终端防病毒系统应与网络防病毒系统为不同品牌，以构成立体防护体系。

5.2.13 剩余信息保护 为实现剩余信息保护，达到客体安全重用，应及时清除剩余信息存储空间，建议通过对操作系统及数据库系统进行安全加固配置，使得操作系统和数据库系统具备及时清除剩余信息的功能，从而保证用户的鉴别信息、文件、目录、数据库记录等敏感信息所在的存储空间（内存、硬盘）被及时释放或者再分配给其他用户前得到完全清除。

5.2.14 资源控制 对主机层面的资源控制可以通过以下几个方面来实现：
Ø 登录条件限制：在交换、路由设定终端接入控制，或使用主机防护软件设定终端接入限制，对网络地址范围等条件限制用户终端登录。

Ø 用户可用资源阈值：限制单个用户对系统资源的最大最小使用限度，保障正常合理的资源占用。

Ø 设定安全策略对在终端登录超时的用户进行锁定，使用主机监控产品对重要的服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况，并对用户的资源使用情况做出大小使用度限制。当系统的服务水平降低到预先规定的最小值进行检测和报警。

Ø 通过内网终端管理系统实现对用户的接入方式、登陆超时锁定、主机资源、网络资源等进行告警及控制。

建议根据基本要求通过安全加固措施对主机资源进行限定，还可以通过部署监控管理系统进行资源监控。

5.3 应用层安全 5.3.1 身份鉴别 为提高应用服务安全性，保障各种业务的正常运行，应在应用系统开发过程中进行相应身份鉴别功能的开发，包括：
Ø 根据基本要求配置用户名/口令，口令必须具备采用3中以上字符、长度不少于8位并定期更换。

Ø 保证系统用户名具有唯一性。

Ø 启用登录失败处理功能，登录失败后采取结束会话、限制非法登录次数和自动退出等措施。

Ø 对用户登录采取双因素认证方式，采用USBkey+密码进行身份鉴别或者通过CA系统进行身份鉴别。

5.3.2 访问控制 应用层访问控制可以通过以下几个方面实现：
Ø 根据等级保护基本要求进行访问控制的配置，包括：权限定义、默认账号的权限管理、控制粒度的确定等。

Ø 通过安全加固措施制定严格的用户权限策略，保证账号、口令等符合安全策略要求。

Ø 通过防火墙制定符合基本要求的ACL策略。

通过部署WEB应用防火墙保护基于WEB的应用服务器 5.3.3 安全审计 应用层安全审计是对业务应用系统行为的审计，需要与应用系统紧密结合，此审计功能应与应用系统统一开发。

数据中心业务系统审计应记录系统重要安全时间的日期、时间、发起者信息、类型、描述和结果等，并保护好审计结果，阻止非法删除、修改或覆盖审计记录。同时能够对记录数据进行统计、查询、分析及生产审计报表。

同时可以部署数据库审计系统对用户行为、用户事件及系统状态加以审计、范围覆盖到每个用户，从而把握数据库系统的整体安全性。

5.3.4 剩余信息保护 为实现剩余信息保护，达到客体安全重用，应及时清除剩余信息存储空间，建议通过对操作系统及数据库系统进行安全加固配置，使得操作系统和数据库系统具备及时清除剩余信息的功能，从而保证用户的鉴别信息、文件、目录、数据库记录等敏感信息所在的存储空间（内存、硬盘）被及时释放或者再分配给其他用户前得到完全清除。

5.3.5 通信完整性 对于信息传输和存储的完整性校验可采用消息摘要机制确保完整性校验，应在应用系统开发过程中进行数据完整性校验功能开发。

对于信息传输的完整性校验应由传输加密系统完成，可以通过部署VPN系统以保证远程数据传输的数据完整性。对于信息存储的完整性校验应由应由系统和数据库系统完成。

5.3.6 通信保密性 应用层的通信保密性主要由应用系统完成，应在应用系统开发过程中进行数据加密的开发。在通信双方建立连接之前，应用系统应利用密码技术进行绘画初始化验证，并对通信过程中的敏感信息字段进行加密。对于信息传输的通信保密性应由加密系统完成。可以通过部署VPN系统以保证远程数据传输的数据机密性。

5.3.7 抗抵赖性 抗抵赖性可以通过数字签名技术实现，通过数字签名及签名验证技术，可以判断数据的发送方是否是真是存在的用户。数字签名是不对称加密算法的典型应用。数字签名的应用过程是：数据源发送方是用自己的四月对数据校验和对其他与数据内容有关的便利进行加密处理，完成对数据的合法“签名”，数据接收方则利用对方的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性的同时，通过对签名的验证，可以判断数据在传输过程中是否被更改。从而，可以实现数据的发送方不能对发送的数据进行抵赖，发送的数据是完整的，实现系统的抗抵赖性和完整性需求。

5.3.8 软件容错 对于软件容错应在应用系统开发过程中进行相应容错功能的开发，并在上线之前进行代码审核，对输入数据进行校验，保证复核规定；
且应具备自动保护功能设计，故障后可以恢复。

5.3.9 资源控制 应用层面的资源控制可以通过系统安全加固措施进行系统资源限定来实现：
Ø 会话自动结束：当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话，释放资源；

Ø 会话限制：对应用系统的最大并发会话连接数进行限制，对一个时间段内可能的并发会话连接数进行限制，对单个帐户的多重并发会话进行限制，设定相关阈值，保证系统可用性。

Ø 超时锁定：根据安全策略设置应用会话超时锁定。

Ø 应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；

Ø 应能够对系统服务水平降低到预先规定的最小值进行检测和报警；

Ø 应提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源。

5.4 数据层安全 5.4.1 数据完整性 数据中心中传输的重要数据，其安全要求较高，尤其是血液系统中的数据信息和精神卫生管理系统中的隐私信息，建议采用消息摘要机制来确保完整性校验。其方法是：发送方使用散列函数，如（SHA，MD5等）对要发送的信息进行摘要计算，得到信息的鉴别码，联通信息一起发送给接收方，将信息也信息摘要进行打包后插入身份鉴别标识，发送给接收方。接收方对接收到的信息，首先确认发送方的身份信息，解包后，重新计算，将得到的鉴别码与收到的鉴别码进行比较，若二者相同，则可以判定信息未被篡改，信息完整性没有受到破坏。在传输过程中可以通过VPN系统来保证数据包是完整性、保密性和可用性。

数据存储过程中的完整性可以通过数据库的访问控制来实现。

(1) 读访问控制 必须制定相应的控制措施，以确保获准访问数据库或数据库表的个体，能够在数据库数据的信息分类级别的合适的级别得到验证。通过使用报表或者查询工具提供的读访问必须由数据所有人控制和批准，以确保能够采取有效的控制措施控制谁可以读取哪些数据。

(2) 读取/写入访问控制 对于那些提供读访问的数据库而言，每个访问该数据的自然人以及/或者对象或进程都必须确立相应的账户。该ID可以在数据库内直接建立，或者通过那些提供数据访问功能的应用予以建立。这些账户必须遵从本标准规定的计算机账户标准。

用户验证机制必须基于防御性验证技术（比如用户ID/密码），这种技术可以应用于每一次登录尝试或重新验证，并且能够根据登录尝试的被拒绝情况指定保护措施。

为了保证数据库的操作不会绕过应用安全，定义角色的能力不得成为默认的用户特权。访问数据库配置表必须仅限于数据库管理员，以防未经授权的插入、更新和删除。

5.4.2 数据保密性 关于数据保密性，可以通过一些具体的技术保护手段，在数据和文档的生命周期过程中对其进行安全相关防护，确保内部数据和文档在整个生命周期的过程中的安全。

1) 加强对于数据的认证管理 操作系统须设置相应的认证手段；
数据本身也须设置相应的认证手段，对于重要的数据应对其本身设置相应的认证机制。

2) 加强对于数据的授权管理 对文件系统的访问权限进行一定的限制；
对网络共享文件夹进行必要的认证和授权。除非特别必要，可禁止在个人的计算机上设置网络文件夹共享。

3) 数据和文档加密 保护数据和文档的另一个重要方法是进行数据和文档加密。数据加密后，即使别人获得了相应的数据和文档，也无法获得其中的内容。

网络设备、操作系统、数据库系统和应用程序的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他有效措施实现传输保密性和存储保密性。

当使用便携式和移动式设备时，应加密或者采用可移动磁盘存储敏感信息。

4) 加强对数据和文档日志审计管理 使用审计策略对文件夹、数据和文档进行审计，审计结果记录在安全日志中，通过安全日志就可查看哪些组或用户对文件夹、文件进行了什么级别的操作，从而发现系统可能面临的非法访问，并通过采取相应的措施，将这种安全隐患减到最低。

5) 进行通信保密 用于特定业务通信的通信信道应符合相关的国家规定，密码算法和密钥的使用应符合国家密码管理规定。

5.4.3 备份和恢复 针对数据的备份和恢复要求，应用数据的备份和恢复应具有以下功能：
Ø 应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放；

Ø 应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地；

Ø 应采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障；

Ø 应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。

6 安全建设方案小结 在统一的等级保护安全策略指导下，我们将整个XX医院的安全保障体系设计分为安全管理体系建设、安全服务体系建设和安全技术体系建设等三个方面，其中安全技术体系建设的内容包括安全基础设施（主要包括防火墙、入侵防护系统、安全审计系统、漏洞扫描、WEB防火墙等）、安全服务体系（主要内容包括安全预警通告、安全风险评估、应急响应等服务）；
安全管理体系建设的内容包括组织、制度、管理手段等。通过建立XX医院安全技术体系、安全服务体系和安全管理体系，提供身份认证、访问控制、抗抵赖和数据机密性、完整性、可用性、可控性等安全服务，形成集防护、检测、响应于一体的安全防护体系，实现实体安全、应用安全、系统安全、网络安全、管理安全，以满足XX医院最根本的安全需求。

1.1 安全服务汇总 安全服务 简要说明 预算价 等级保护差距分析 根据所在行业等级保护的要求，进行差距分析，在定级、评估、整改、运维方面提供支持。

安全加固 医疗平台服务应提供主机设备、网络设备和业务系统的安全加固 渗透测试 提供完整的信息探测，漏洞识别及确认，威胁分析，风险管理及规避流程和技术，并提供详细的渗透测试服务报告，包括具体的操作步骤描述、响应分析以及最后的安全修复建议。

新上线系统评估 新系统上线之前进行必要的安全检查，使其达到等级保护的安全保障要求，可以有效减轻后期安全运维的压力，同时在代码级的安全整改加固也可节约大量投资成本。

应急预案制定与演练 基于信息系统安全防护的技术和管理组织的实际情况，为客户制定应急预案，并指导进行演练。

紧急事件响应处理 在接到客户应急响应服务请求后，安全专家提供远程安全支持和现场安全支持，判断事件类型，协助客户降低影响，并提供分析建议。

1.2 安全产品汇总 系统层次 安全防护产品 简要说明 物理层安全 无 主要机房安全，包括物理机房访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

网络层安全 XX安全网关系统 高性能专业防火墙，部署在卫生管理平台网络安全域边界，对域间流量进行隔离，不同域间进行访问控制；
满足等保对“边界访问控制”的要求 XX安全审计系统 专业的信息安全审计产品，针对卫生管理平台全网网络数据流量进行检测、审计，以便追查取证；
满足等保对“网络审计”的要求。

XX入侵防护系统 在线部署的安全防护产品，主动对卫生管理平台网络流量中的恶意流量如蠕虫、病毒、间谍软件、黑客攻击等进行实时阻断，避免或减缓攻击可能给用户带来的损失；
是继防火墙访问控制后的第二道防线；
满足等保对“网络入侵防范”的要求。

防病毒系统 具备针对多协议的内容检查、清除病毒的能力；
支持查杀引导区病毒、文件型病毒、宏病毒、蠕虫病毒、特洛伊木马、后门程序、恶意脚本等各种恶意代码；
支持集中管理并定期提供对病毒库版本的升级。满足等保对“边界恶意代码防范”的需求。

XX安全配置核查系统 通过自动化的配置核查工具，对网络中系统及设备的配置进行定期扫描核查，及时发现不满足基线要求的相关配置；
满足等保对“网络设备保护”的要求。

主机层安全 身份认证系统 对登录操作系统和数据库系统的用户进行身份标识和鉴别，且保障用户名的唯一性；
对主机管理员登录采取双因素认证方式，采用USBkey+密码进行身份鉴别；
满足等保对“身份鉴别”的需求；

XX入侵防护系统 在线部署的安全防护产品（参考前面网络层）；
满足等保对“主机入侵防范”的要求。

XX远程安全评估系统 专业的漏洞管理产品，对平台中的网络资产（服务器、交换机、存储）进行漏洞扫描、分析，提供专业、有效的漏洞防护建议；
将资产、漏洞和威胁紧密结合，提供了图形化、可量化的风险报告，整体、直观地展示卫生管理平台中的风险走势。满足等保对“主机入侵防范”的要求；

XX安全审计系统 专业的信息安全审计产品，针对卫生管理平台中内部人员访问敏感数据信息（数据库、一卡通系统等）的行为进行审计，以便追查取证；
满足等保对“主机审计”的要求。

应用层安全 身份认证系统 （同主机层）；
满足等保对“身份鉴别”、“抗抵赖性”的要求。

XXWEB应用防护系统） 专业网站安全防护系统，提供SQL注入及跨站脚本漏洞检测和分析功能；
提供TCP Flood及HTTP Flood攻击防护功能；
提供服务器侧恶意代码过滤功能；
提供网络爬虫和网页盗链防护功能。满足等保对“访问控制”的要求。

XX安全审计系统 （同主机层）；
满足等保对“安全审计”的要求。

VPN系统 通过部署VPN系统以保证远程数据传输的数据完整性；
满足等保对“通信完整性”、“通信保密性”的要求。

数据层安全 加密机 对数据、文档进行加密保存或传输；
满足等保对“数据保密性”的要求。

数据备份系统 提供本地数据备份与恢复功能，完全数据备份至少每天一次；
满足等保对“备份和恢复”的要求。

异地灾备系统 提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地；
满足等保对“备份和恢复”的要求。

一 辈子时光在匆忙中流逝，谁都无法挽留。多少人前半生忙忙碌碌，奔波追逐，后半生回望过去，难免感叹一生的碌碌无为，恨时光短暂，荒废了最好的光阴。

　　人过中年，不停跟时间妥协，之所以不争抢，处世淡然，完全是经过世故的淬炼，达到心智的成熟。

　　有朋友问我，怎样写出滋润心灵的文字？是要，引用名言，还是有什么规律？我笑着回，随心随意，不为难自己。你为难自己，就要刻意去效仿，你不随心随意就要被名利世俗困扰，自然心态会有偏差，文字也染上了俗气。

　　现实生活中，不乏完美主义者，终日在不食人间烟火的意境中活着，虚拟不切合实际。如此，唯有活在当下，才是真正的人生笺言。常常想，不想活在过去的人，是经历了太多的大起大落，不想被束缚在心灵蜗居里的人，是失去的太多，一番大彻大悟后，对视的眼神定会愈发清澈，坦然笑对人生的雨雪冰霜。

　　对于随波逐流的人们，难免要被世俗困扰，不问过去，不畏将来又将是怎么样的一种纠葛，无从知晓。

　　不得不说，人是活在矛盾中的。既要简单，又难淡然，挣扎在名利世俗中，一切身不由己，又有那样的生活是我们自己想要的呢？ 　　人前，你笑脸相迎，带着伪装的面具，不敢轻易得罪人；
人后，黯然伤怀，总感叹命运的不公平，人生的不如意；
常常仰望别人的幸福，而忽视了自己，却不知你与他所想要的幸福，都只得一二，十之八九只有在希冀中追求，不是吗？ 　　人活一辈子，心怀梦想，苍凉追梦，难能可贵的是执着向前，义无反顾，最惧怕瞻前顾后，退缩不前。一生短暂如光影交错，有几个人能放下牵绊，有几个人能不难为自己，活的精彩呢！ 　　我们的一生，是匆忙的行走，谁的人生，不是时刻在被命运捉弄中前行。我想，我是无法和命运抗衡的，却又时刻想做真实的自己。眼下的生活是一面镜子，对照着卑微的自己，心有万千光芒，无法放弃的却总是太多太多。

　　中年，人生的分水岭，不再有小女孩的浪漫情怀，撒娇卖萌，穿着也越发简单，舒适即可。年轻时可以穿紧身裙，牛仔裤，甚至小一码的高跟鞋，不惜磨破了脚板，夹痛了脚趾，依旧笑魇如花，人前卖弄。年少时，青春做砝码，别人的一句赞美能心头飘飘然，走在马路上，陌生男子的回头率，成了青春的资本，忘乎所以。

　　年龄越大，对身边的一切似乎没了热情，争吵，攀比，打扮，都没了兴趣。有人说，女人要爱自己，打扮的漂漂亮亮的才行，而我却恰恰相反，正如有一天涂了口红出门，儿子吓了一跳，一句太庸俗，再昂贵品牌的口红你都不适合，让我哑然失笑。原来，他宁愿喜欢素面朝天的妈妈，也不想要矫揉造作的中年妇女，我必须保持最初的简洁，亦或简单。

　　居家女人虽平庸，却总想活出真我。不喜欢的东西，学会舍弃，生活趋于安静。每天打理家务，照顾子女，空闲的时间看看书，散散步，陪婆婆去买菜，少一些功利心，多一些平常心，生活便达到了想要的简单。

　　人过中年天过午，流逝的时间不会等我的。不想为难自己了，几十年光阴里，不停做着事与愿违的选择，极力说服自己，多替别人想想，多顾及别人的感受，却忽视了委屈的自己。

　　我承认，给自己负担，就是难为自己。不愿意放下，就是心态使然。其实，你大可不必为了别人改变自己，为自己活着，才是真理。从今天起，不愿意迎合的人，选择放手；
卑鄙下流，虚情假意的损友，拒绝交往，只要随心随意，什么都不是难题。要明白，他们走近你的世界，只想利用你，却从不顾及你的感受，既保持若即若离，又想无偿索求，时刻为难着你，美其名曰这是一份难得的缘 一辈子时光在匆忙中流逝，谁都无法挽留。多少人前半生忙忙碌碌，奔波追逐，后半生回望过去，难免感叹一生的碌碌无为，恨时光短暂，荒废了最好的光阴。

　　人过中年，不停跟时间妥协，之所以不争抢，处世淡然，完全是经过世故的淬炼，达到心智的成熟。

　　有朋友问我，怎样写出滋润心灵的文字？是要，引用名言，还是有什么规律？我笑着回，随心随意，不为难自己。你为难自己，就要刻意去效仿，你不随心随意就要被名利世俗困扰，自然心态会有偏差，文字也染上了俗气。

　　现实生活中，不乏完美主义者，终日在不食人间烟火的意境中活着，虚拟不切合实际。如此，唯有活在当下，才是真正的人生笺言。常常想，不想活在过去的人，是经历了太多的大起大落，不想被束缚在心灵蜗居里的人，是失去的太多，一番大彻大悟后，对视的眼神定会愈发清澈，坦然笑对人生的雨雪冰霜。

　　对于随波逐流的人们，难免要被世俗困扰，不问过去，不畏将来又将是怎么样的一种纠葛，无从知晓。

　　不得不说，人是活在矛盾中的。既要简单，又难淡然，挣扎在名利世俗中，一切身不由己，又有那样的生活是我们自己想要的呢？ 　　人前，你笑脸相迎，带着伪装的面具，不敢轻易得罪人；
人后，黯然伤怀，总感叹命运的不公平，人生的不如意；
常常仰望别人的幸福，而忽视了自己，却不知你与他所想要的幸福，都只得一二，十之八九只有在希冀中追求，不是吗？ 　　人活一辈子，心怀梦想，苍凉追梦，难能可贵的是执着向前，义无反顾，最惧怕瞻前顾后，退缩不前。一生短暂如光影交错，有几个人能放下牵绊，有几个人能不难为自己，活的精彩呢！ 　　我们的一生，是匆忙的行走，谁的人生，不是时刻在被命运捉弄中前行。我想，我是无法和命运抗衡的，却又时刻想做真实的自己。眼下的生活是一面镜子，对照着卑微的自己，心有万千光芒，无法放弃的却总是太多太多。

　　中年，人生的分水岭，不再有小女孩的浪漫情怀，撒娇卖萌，穿着也越发简单，舒适即可。年轻时可以穿紧身裙，牛仔裤，甚至小一码的高跟鞋，不惜磨破了脚板，夹痛了脚趾，依旧笑魇如花，人前卖弄。年少时，青春做砝码，别人的一句赞美能心头飘飘然，走在马路上，陌生男子的回头率，成了青春的资本，忘乎所以。

　　年龄越大，对身边的一切似乎没了热情，争吵，攀比，打扮，都没了兴趣。有人说，女人要爱自己，打扮的漂漂亮亮的才行，而我却恰恰相反，正如有一天涂了口红出门，儿子吓了一跳，一句太庸俗，再昂贵品牌的口红你都不适合，让我哑然失笑。原来，他宁愿喜欢素面朝天的妈妈，也不想要矫揉造作的中年妇女，我必须保持最初的简洁，亦或简单。

　　居家女人虽平庸，却总想活出真我。不喜欢的东西，学会舍弃，生活趋于安静。每天打理家务，照顾子女，空闲的时间看看书，散散步，陪婆婆去买菜，少一些功利心，多一些平常心，生活便达到了想要的简单。

　　人过中年天过午，流逝的时间不会等我的。不想为难自己了，几十年光阴里，不停做着事与愿违的选择，极力说服自己，多替别人想想，多顾及别人的感受，却忽视了委屈的自己。

　　我承认，给自己负担，就是难为自己。不愿意放下，就是心态使然。其实，你大可不必为了别人改变自己，为自己活着，才是真理。从今天起，不愿意迎合的人，选择放手；
卑鄙下流，虚情假意的损友，拒绝交往，只要随心随意，什么都不是难题。要明白，他们走近你的世界，只想利用你，却从不顾及你的感受，既保持若即若离，又想无偿索求，时刻为难着你，美其名曰这是一份难得的缘