醫(yī)院信息系統(tǒng)安全等級保護測評方案的設(shè)計

李克潮

（廣西中醫(yī)藥大學附屬瑞康醫(yī)院計算機中心，廣西 南寧 530011）

醫(yī)院信息系統(tǒng)安全等級保護測評方案的設(shè)計

李克潮

（廣西中醫(yī)藥大學附屬瑞康醫(yī)院計算機中心，廣西 南寧 530011）

醫(yī)院信息系統(tǒng)的發(fā)展是建立在信息安全、可靠的基礎(chǔ)上。文章根據(jù)國家及行業(yè)信息安全等級保護的標準，結(jié)合某三級甲等醫(yī)院的具體情況，從等級保護測評流程、測評對象、測評方法、測評工具、單元測評、整體測評等方面，對某三甲醫(yī)院的信息系統(tǒng)等級保護測評方案進行設(shè)計。通過測評，發(fā)現(xiàn)醫(yī)院信息系統(tǒng)存在的安全隱患，為該醫(yī)院信息化建設(shè)的下一步整改提供科學、合理的依據(jù)。

三甲醫(yī)院；信息系統(tǒng)；等級保護；測評

1 引言

伴隨著醫(yī)院信息化建設(shè)的開展，醫(yī)院對信息系統(tǒng)的依賴越來越大[1-2]。然而，信息系統(tǒng)本身存在技術(shù)、管理等安全問題。因此，文章根據(jù)國家及行業(yè)制定的信息系統(tǒng)安全等級保護相關(guān)配套標準[3-5]，設(shè)計了某三級甲等醫(yī)院信息系統(tǒng)等級保護測評的方案。通過測試手段對信息系統(tǒng)的安全技術(shù)措施、安全管理制度進行單項驗證和整體性分析，檢測信息系統(tǒng)現(xiàn)有的安全保護能力與國家、行業(yè)要求之間的差距，為該醫(yī)院信息化建設(shè)的下一步整改提供科學、合理的依據(jù)。

2 醫(yī)院概況

該醫(yī)院為全國三級甲等綜合性醫(yī)院，醫(yī)院信息系統(tǒng)的安全保護等級定為三級（S3A3G3）。醫(yī)院的信息系統(tǒng)包括：市醫(yī)保、區(qū)醫(yī)保、金保、鐵路醫(yī)保、掛號系統(tǒng)、門診系統(tǒng)、住院系統(tǒng)、排隊叫號系統(tǒng)、檢驗系統(tǒng)、醫(yī)學影像系統(tǒng)、病理系統(tǒng)、藥房系統(tǒng)、藥庫系統(tǒng)、OA系統(tǒng)等。醫(yī)院的網(wǎng)絡(luò)結(jié)構(gòu)按功能劃分為邊界接入?yún)^(qū)、核心交換區(qū)、服務(wù)器區(qū)和辦公區(qū) 4大功能區(qū)域，如圖2所示。

3 信息系統(tǒng)安全等級保護測評的設(shè)計

3.1 信息系統(tǒng)安全等級保護測評流程

測評流程如圖 1所示。其中，測評準備活動包括等級測評項目啟動、信息收集與分析、工具和表單準備。方案編制活動包括測評對象和指標、測評工具接入點、測評內(nèi)容三者的確定，測評實施手冊開發(fā)及測評方案編制。現(xiàn)場測評活動包括測評實施準備、現(xiàn)場測評和結(jié)果記錄、結(jié)果確認和資料歸還。分析與報告編制活動包括單項測評結(jié)果判定、等級測評結(jié)論形成、整體測評、測評報告編制、風險分析、測評結(jié)果評審[3]。

圖1 信息系統(tǒng)安全等級保護測評流程圖

3.2 測評對象與指標

3.2.1 測評對象

機房、業(yè)務(wù)應(yīng)用軟件(市醫(yī)保、區(qū)醫(yī)保、金保、鐵路醫(yī)保、掛號系統(tǒng)、門診系統(tǒng)、住院系統(tǒng)、排隊叫號系統(tǒng)、檢驗系統(tǒng)、醫(yī)學影像系統(tǒng)、病理系統(tǒng)、藥房系統(tǒng)、藥庫系統(tǒng)、OA系統(tǒng)等)、業(yè)務(wù)應(yīng)用軟件服務(wù)器的操作系統(tǒng)、網(wǎng)絡(luò)互聯(lián)設(shè)備(交換機、路由器) 的操作系統(tǒng)、安全設(shè)備(防火墻)的操作系統(tǒng)、安全管理文檔。

3.2.2 測評指標

測評指標包括物理安全等10項指標，而物理安全又包括防盜竊和防破壞、物理位置的選擇等子類[5]。

3.3 測評方法與工具

3.3.1 測評方法

（1）本次測評的主要方法包括訪談、檢查和測試三種方式。

①訪談的主要內(nèi)容是“安全管理”類的安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等管理制度。通過詳細閱讀各項管理制度，并與安全主管、人事負責人、系統(tǒng)建設(shè)負責人、資產(chǎn)管理員、運維管理員等，討論各項制度描述、執(zhí)行過程中存在疑問的地方。

通過與不同類型的人員討論的方式體現(xiàn)了訪談的廣度，通過對管理制度存在的疑問進行共同探討研究的方式體現(xiàn)了訪談的深度。

②檢查是對所有測評指標的功能級文檔、機制和活動進行詳細徹底的分析、觀察和研究。根據(jù)獲取的數(shù)據(jù)，證明被測系統(tǒng)當前的安全機制、配置、實現(xiàn)情況是否符合要求。

檢查所有測評指標體現(xiàn)了檢查內(nèi)容的廣度。詳細徹底的分析、觀察和研究測評指標的功能級文檔、機制和活動的檢查方式，體現(xiàn)了檢查內(nèi)容的深度。

③測試是通過手工測試、工具掃描、模擬攻擊等方式，對被測系統(tǒng)中的主機、網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)，進行功能、安全性等方面的測試。

手工測試、工具掃描、模擬攻擊等方式，體現(xiàn)了測試的深度。對主機、網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)進行功能、安全性等方面的測試，體現(xiàn)了測試的廣度。

（2）風險分析方法

測評項目依據(jù)安全事件可能性和安全事件后果，對信息系統(tǒng)面臨的風險進行分析。分析過程包括：

①判斷醫(yī)院信息系統(tǒng)的安全保護能力缺失（等級測評結(jié)果中的部分符合項和不符合項）被威脅的時候，利用導致安全事件發(fā)生的概率，可能性的取值范圍為高、中和低。

②判斷安全事件對信息系統(tǒng)業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全造成的影響程度。影響程度取值范圍為高、中和低。

③綜合過程(1)和(2)的結(jié)果，對信息系統(tǒng)面臨的風險進行匯總和分等級。風險等級的取值范圍為高、中和低。

④結(jié)合信息系統(tǒng)的安全保護等級，對風險分析結(jié)果進行評價，即對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益造成的風險。

3.3.2 測評工具

測評的信息系統(tǒng)為三級信息系統(tǒng)。根據(jù)三級信息系統(tǒng)的測評強度要求，在測試的廣度上，應(yīng)基本覆蓋所有的安全機制，在數(shù)量、范圍上可以抽樣；在測試的深度上，應(yīng)執(zhí)行功能測試和滲透測試。功能測試可能涉及機制的功能規(guī)范、高級設(shè)計和操作規(guī)程等文檔。滲透測試可能涉及機制的所有可用文檔，并試圖進入信息系統(tǒng)等。因此，對其進行測評，應(yīng)涉及到漏洞掃描工具、滲透測評工具集等多種測試工具：

（1）Nessus，是目前全世界使用人數(shù)最多的集系統(tǒng)漏洞掃描與分析一體的軟件。

（2）綠盟遠程安全評估系統(tǒng)，它能夠?qū)崿F(xiàn)漏洞預警、漏洞檢測、風險管理、漏洞修復和漏洞審計等功能。綠盟科技NSFOCUS安全小組到目前為止已經(jīng)獨立發(fā)現(xiàn)了40多個知名廠家的漏洞，綠盟科技維護著全球最大的中文漏洞知識庫。

3.4 測評內(nèi)容與實施

等級測評的現(xiàn)場實施過程由單元測評、工具測試和整體測評三部分構(gòu)成。

3.4.1 單元測評

對應(yīng)各安全控制點的測評稱為單元測評。其包括物理安全測評等10個測評任務(wù)[5]。因篇幅有限，這里只列舉物理安全測評。

（1）物理安全測評

物理安全測評通過訪談和檢查方式測評信息系統(tǒng)的物理安全保障情況，主要涉及對象為信息系統(tǒng)所在的機房。

（2）物理安全測評內(nèi)容

物理安全層面測評內(nèi)容涉及物理位置的選擇等10個安全子類。而物理位置測評指標包括：

①機房和辦公場地應(yīng)選擇在具有防震、防風和防雨等能力的建筑內(nèi)。

②機房場地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。

（3）物理安全測評實施

物理安全測評實施方法及過程[5]:

①文檔查閱與分析。測評人員對測評委托放提交的物理安全相關(guān)文檔（含制度、記錄等）等進行查看和分析，并記錄相關(guān)證據(jù)。

②機房實地觀測。測評人員在配合人員的陪同下對機房的安全措施進行現(xiàn)場觀測，并記錄相關(guān)證據(jù)。

③人員訪談。測評人員根據(jù)文檔查閱和實地觀測的測評結(jié)果，針對部分不確定項目訪談相關(guān)人員，獲取補充證據(jù)。

④結(jié)果確認。測評人員向配合人員提交物理安全測評的初步結(jié)果記錄。測評雙方對初步結(jié)果進行下一步的分析和修訂后，認可形成物理安全測評結(jié)果記錄。

（4）物理安全測評配合需求

物理安全測評配合項及需求說明[5]：

①配合人：機房安全管理員陪同測評人員出入機房，并提供相關(guān)的文檔（如機房出入人員記錄、空調(diào)設(shè)備等基礎(chǔ)設(shè)施的維護記錄等）。

②安全權(quán)：測評人員在測評實施期間出入機房的授權(quán)許可。

③辦公環(huán)境：會議室。

3.4.2 工具測試

通過漏洞掃描工具、應(yīng)用安全掃描工具，對主機、應(yīng)用業(yè)務(wù)系統(tǒng)進行掃描，找出其存在的安全隱患。

3.4.3 工具接入點

針對被測系統(tǒng)的網(wǎng)絡(luò)邊界和抽查設(shè)備、主機及業(yè)務(wù)應(yīng)用系統(tǒng)的情況，需要在被測系統(tǒng)及其互聯(lián)網(wǎng)絡(luò)中設(shè)置兩個工具接入點JA、JB。工具測試接入點示意圖如圖 2所示?！敖尤朦c”標注表示進行工具測試時，需要從該接入點接入，對應(yīng)的箭頭路線表示工具測試數(shù)據(jù)的主要流向。

圖2 工具接入點掃描網(wǎng)絡(luò)結(jié)構(gòu)圖

（1）JA接入點工具測試過程描述：

①在JA接入點的邊界區(qū)域互聯(lián)網(wǎng)、衛(wèi)生專網(wǎng)、市醫(yī)保、南鐵醫(yī)保等，為掃描工具提供網(wǎng)絡(luò)接入接口。

②為掃描工具分配相應(yīng)網(wǎng)段的IP地址，在JA點接入掃描工具，通過防火墻、核心交換機，對服務(wù)器區(qū)的HIS服務(wù)器、PACS服務(wù)器等，進行漏洞掃描及應(yīng)用安全掃描。

（2）JB接入點工具測試過程描述：

①在JB接入點抽取一個辦公區(qū)接入交換機，為掃描工具提供網(wǎng)絡(luò)接入接口。

②為掃描工具分配兩個辦公區(qū)網(wǎng)段的IP地址，在JB點接入掃描工具，通過接入層交換機、匯聚層交換機、核心交換機，對服務(wù)器區(qū)的HIS服務(wù)器、PACS服務(wù)器等，進行漏洞掃描及應(yīng)用安全掃描。

3.5 整體測評

系統(tǒng)整體測評主要是在單項測評的基礎(chǔ)上，通過測評分析安全控制點間、層面間和安全區(qū)域間存在的關(guān)聯(lián)作用，在整體結(jié)構(gòu)上是否合理、簡單、有效，驗證和分析不符合項是否影響系統(tǒng)的安全保護能力，測試分析系統(tǒng)的整體安全性是否合理[3]。

3.5.1 控制點間安全測評

在同一功能區(qū)域的同一層面內(nèi)，其他安全控制點是否存在對該安全控制點具有補充作用（如安全審計、物理訪問控制、防盜竊及抗抵賴等）。另外，分析是否存在其他的安全措施或技術(shù)與該要求項具有相似的安全功能。

3.5.2 層面間安全測評

層面間的安全測評，重點分析其他層面上功能相同或相似的安全控制點是否對該安全控制點存在補充作用（如應(yīng)用層加密與網(wǎng)絡(luò)層加密、主機層與應(yīng)用層上的身份鑒別等），以及技術(shù)與管理上各層面的關(guān)聯(lián)關(guān)系（如主機安全與系統(tǒng)運維管理、應(yīng)用安全與系統(tǒng)運維管理等）。

3.5.3 區(qū)域間安全測評

區(qū)域間安全測評，重點分析系統(tǒng)中訪問控制路徑（如不同功能區(qū)域間的數(shù)據(jù)流流向和控制方式），是否存在區(qū)域間安全功能的相互補充。

4 結(jié)論

通過對三級甲等醫(yī)院的信息系統(tǒng)進行安全等級保護測評方案的設(shè)計，與國家及行業(yè)的標準、制度進行比較，得出該醫(yī)院信息系統(tǒng)基本符合第三級安全保護的要求。但存在如機房管理不規(guī)范、工作人員信息安全意識薄弱等問題。文章設(shè)計的信息系統(tǒng)等級保護測評方法，具有較高的可操作性，為該醫(yī)院信息化建設(shè)的整改提供依據(jù)，可作為其他醫(yī)院測評的借鑒。

[1] 郎漫芝,王暉,鄧小虹.醫(yī)院信息系統(tǒng)信息安全等級保護的實施探討[J].計算機應(yīng)用與軟件,2013,1:206-208.

[2] 徐璟璟.醫(yī)院信息系統(tǒng)安全等級保護[J].信息與電腦(理論版),2015(8):91,93.

[3] GB/T28449-2012.信息安全技術(shù) 信息系統(tǒng)安全等級保護測評過程指南[S].2012.

[4] GB/T22240-2008.信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南[S].2008.

[5] GB/T22239-2008.信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求[S].2008.

Design of security classified protection testing and evaluation scheme for hospital information system

Development of hospital information system is based on the information security and reliability. According to the standards of national and industry information security classified protection, combining with the specific circumstances of one A-level tertiary hospital, using classified protection evaluation process, evaluation object, evaluation methods, evaluation tools, unit evaluation, overall evaluation and so on, designs information system classified protection testing and evaluation scheme for one A-level tertiary hospital. Through testing and evaluation, hospital information system security risks were found, that provide scientific and reasonable basis for next step of hospital information construction.

A-level tertiary hospital; information system; classified protection; testing and evaluation

TP311

A

1008-1151(2016)07-0023-03

2016-06-10

廣西教育廳科研項目(201204LX481)。

李克潮(1982－)，男，廣西南寧人，廣西中醫(yī)藥大學附屬瑞康醫(yī)院計算機中心信息系統(tǒng)項目管理師，碩士，研究方向為信息安全、個性化推薦。