医院信息安全技术体系建设
(一)医院信息物理安全管理
医院信息的物理安全包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
(1)物理位置的选择。物理位置的选择主要是在初步选择系统物理运行环境时进行考虑。物理位置的正确选择是保证系统能够在安全的物理环境中运行的前提,它在一定程度上决定了面临的自然灾难及可能的环境威胁。如果没有正确地选择物理位置,必然会造成后期为保护物理环境而投入大量资金、设备,甚至无法弥补。物理位置选择必须考虑周遭的整体环境及具体楼宇的物理位置是否能够为信息系统的运行提供物理上的基本保证。
(2)物理访问控制。物理访问控制主要是对内部授权人员和临时外部人员进出系统主要物理工作环境进行人员控制。对进出口进行控制,是防护物理安全的第一道关口,也是防止外部未授权人员对系统进行本地恶意操作的重要防护措施。
(3)防盗窃和防破坏。防盗窃和防破坏主要考虑了系统运行的设备、介质及通信线缆的安全性。物理访问控制主要侧重在进出口,这可在一定程度上防止设备被盗。防盗窃和防破坏主要侧重在机房内部对设备、介质和通信线缆进行保护。
(4)防雷击。防雷击主要是考虑采取措施,防止雷电对设备造成的危害,避免引起巨大的经济损失。雷电对设备的破坏主要有两类:直击雷破坏和感应雷破坏。目前,大多数建筑物都设有防直击雷的措施——避雷装置,防雷击主要集中在防感应雷。防感应雷的主要工作是在进入UPS的输入配电柜加装防雷击装置,在窗花上加装防雷击地线等。
(5)防火。防火主要是考虑采取各种措施,防止火灾的发生及发生后能够及时灭火。分别从设备灭火、建筑材料防火和区域隔离防火等方面考虑。
(6)防水和防潮。防水和防潮主要是考虑防止室内由于各种原因的积水、水雾或湿度太高而造成设备运行异常。同时,这也是控制室内湿度的较好措施。
(7)防静电。防静电主要是考虑在物理环境里,尽量避免产生静电,以防止静电对设备、人员造成的伤害。大量静电如果积聚在设备上,会导致磁盘读/写错误、损坏磁头、对CMOS电路也会造成极大的威胁。
(8)温湿度控制。机房内的各种设备必须在一定的温度、湿度范围内才能正常运行。温度、湿度过高或过低都会对设备产生不利影响。
(9)电力供应。稳定、充足的电力供应是维持系统持续正常工作的重要条件。许多因素威胁到电力系统,最常见的是电力波动。电力波动对一些精密的电子配件会造成严重的物理损害。
(10)电磁防护。现代通信技术建立在电磁信号传播的基础上,空间电磁场的开放特性决定了电磁泄漏是危及系统安全性的一个重要因素。电磁防护主要是提供对信息系统设备的电磁信号进行保护,确保用户信息在使用和传输过程中的安全性。
(二)医院信息网络安全管理
医院信息网络安全包括结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。
(1)结构安全。在对网络安全实现全方位保护之前,应首先关注整个网络的资源分布、架构是否合理。只有结构安全才能在其基础上实现各种技术功能,达到网络安全保护的目的。
(2)访问控制。对网络而言,最重要的一道安全防线就是边界。边界上汇聚了所有流经网络的数据流,必须对其进行有效的监视和控制。在边界处,重要的就是对流经的数据(或者称进出网络)进行严格的访问控制。按照一定的规则允许或拒绝数据的流入、流出。
(3)安全审计。网络安全审计重点包括对网络流量监测及对异常流量的识别和报警、网络设备运行情况的监测等。
(4)边界完整性检查。在全网中对网络的连接状态进行监控、准确定位,并能及时报警和阻断。
(5)入侵防范。入侵防范主要是监视所在网段内的各种数据包,对每一个数据包或可疑数据包进行分析。如果数据包与内置的规则吻合,入侵检测系统就会记录事件的各种信息,并发出警报。
(6)恶意代码防范。及时自动更新产品中的恶意代码定义,这种更新必须非常频繁,且对用户透明。
(7)网络设备防护。通过登录网络设备对各种参数进行配置、修改等,都直接影响网络安全功能的发挥,网络设备的防护主要是对用户登录前后的行为进行控制。
(三)医院信息主机安全管理
医院信息主机安全包括身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制。
(1)身份鉴别。为确保系统的安全,必须对系统中的每一用户或与之相连的服务器或终端设备进行有效的标识与鉴别。只有通过鉴别的用户才能被赋予相应的权限,进入系统并在规定的权限内操作。
(2)入侵防范。基于主机的入侵检测,可以说是基于网络的“补充”,补充检测那些出现在“授权”的数据流或其他遗漏的数据流中的入侵行为。
(3)恶意代码防范。恶意代码通过各种移动的存储设备接入主机,可能造成该主机感染病毒,而后通过网络感染其他主机。
(4)资源控制。为保证资源有效共享和充分利用,操作系统必须对资源的使用进行控制,包括限制单个用户的多重并发会话、限制最大并发会话连接数、限制单个用户对系统资源的最大和最小使用限度、当登录终端的操作超时或鉴别失畋时进行锁定、根据服务优先级分配系统资源等。
(四)医院信息应用安全管理
医院信息应用安全包括身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制。
(1)身份鉴别。同主机系统的身份鉴别一样,应用系统同样对登录的用户进行身份鉴别,以确保用户在规定的权限内进行操作。
(2)安全标记。在应用系统层面,在高级别系统中如要实现强度较强的访问控制,必须增加安全标记。通过对主体和客体进行标记,主体不能随意更改权限,权限是由系统客观具有的属性及用户本身具有的属性决定的,因此,在很大程度上使非法访问受到限制,增加了访问控制的力度。
(3)访问控制。在应用系统中实施访问控制是为了保证应用系统受控制地合法使用。用户只能根据自己的权限大小来访问应用系统,不得越权访问。
(4)可信路径。在计算机系统中,用户一般并不直接与内核打交道,通过应用层作为接口进行会话。但由于应用层并不能被完全信任,因此,在系统的安全功能中,提出“可信路径”这一概念。
(5)安全审计。应用系统安全审计的目的是保持对应用系统的运行情况及系统用户行为的有效跟踪,以便事后追踪分析。应用安全审计主要涉及的方面包括:用户登录情况、系统功能执行及系统资源使用情况等。
(6)剩余信息保护。为保证存储在硬盘、内存或缓冲区中的信息不被未授权用户访问,应用系统应对这些剩余信息加以保护。用户的鉴别信息、文件、目录等资源所在的存储空间,应将其完全清除之后,释放或重新分配给其他用户。
(7)通信完整性。为了防止发生意外的信息泄露,并保护数据免受传输时擅自修改,就必须确保通信点间的安全性。
(8)通信保密性。同通信完整性一样,通信保密性也是保证通信安全的重要方面。它主要确保数据处于保密状态,不被窃听。
(9)抗抵赖。通信完整性和保密性并不能保证通信抗抵赖行为,即通信双方或不承认已发出的数据,或不承认已接收到的数据,从而无法保证应用的正常进行。必须采取一定的抗抵赖手段,防止双方否认数据所进行的交换。
(10)软件容错。软件容错技术是提高整个系统可靠性的有效途径,通常在硬件配置上,采用了冗余备份的方法,以便在资源上保证系统的可靠性。在软件设计上,则主要考虑应用程序对错误(故障)的检测、处理能力。
(五)医院信息数据安全、数据备份和恢复
医院信息数据安全、数据备份和恢复包括数据完整性、数据保密性、数据备份和恢复。
(1)数据完整性。数据完整性主要保证各种重要数据在存储和传输过程中免受未授权用户的破坏。这种保护包括对完整性破坏的检测和恢复。
(2)数据保密性。数据保密性主要从数据的传输和存储两个方面保证各类敏感数据不被未授权用户访问,以免造成数据泄露。
(3)数据备份和恢复。对数据进行备份,是防止数据遭到破坏后无法使用的最好方法。