医疗集团信息安全等级保护整改建议方案书模板.doc

延安医疗集团 信息安全等级保护整改提议方案书 沈阳东软系统集成工程 7月 目录 1 项目概述 3 1.1 项目建设背景 3 1.2 项目建设目标 3 1.3 项目参考标准 5 1.4 项目实施标准 5 2 现实状况及需求分析 6 2.1 现实状况描述 7 2.1.1 业务系统现实状况 7 2.1.2 基础设施现实状况 11 2.1.3 安全技术现实状况 16 2.1.4 安全管理现实状况 17 2.2 差距分析 18 2.2.1 系统定级情况 18 2.2.2 技术体系差距分析 18 2.2.3 管理体系方面差距 25 2.3 安全需求 25 2.3.1 信息安全管理需求 26 2.3.2 信息安全运维需求 28 2.3.3 分域保护安全需求 28 2.3.4 信息安全技术需求 28 3 安全技术设计方案 31 3.1 基础安全域定义 31 3.2 安全防护体系组成 32 3.3 系统整体布署 33 3.4 系统布署说明 35 4 安全加固建设方案 35 4.1 主机安全加固 36 4.2 网络安全加固 40 4.3 设备安全加固优化 41 4.4 数据库系统安全加固 41 4.5 管理制度 43 4.6 服务方法 43 4.7 服务步骤 44 5 帮助测评建设方案 44 6 安全管理体系建设方案 44 6.1 安全策略设计 47 6.2 安全策略和安全计划 48 6.3 管理制度 49 6.4 安全管理体系建设过程 50 6.5 落实医疗集团信息安全责任制 51 6.6 医疗集团安全管理现实状况分析 51 6.7 确定医疗集团安全管理策略，制订安全管理制度 52 6.8 落实医疗集团人员安全管理制度 52 6.9 落实医疗集团系统运维管理制度 53 6.10 落实医疗集团系统建设管理制度 55 6.11 医疗集团安全管理制度汇总 55 7 阶段项目验收和结果物 56 7.1 项目验收步骤 56 7.2 验收评审标准 57 7.3 阶段验收结果物和总结 57 8 附1：整改提议方案价格预算 59 9 附2：东软在医院等保整改建设中优势说明 61 1 项目概述 1.1 项目建设背景 依据卫生部制订《卫生行业信息安全等级保护工作指导意见》和陕西省卫生厅印发《相关全方面开展本省卫生行业信息安全等级保护通知》（陕卫办发〔〕131号）、《陕西省卫生行业信息安全等级保护工作实施方案》（陕卫办发〔〕132号）、《陕西省卫生厅办公室相关加强信息系统安全等级保护工作通知》（陕卫办数发〔〕275号）等相关文件要求，为深入促进和规范延安医疗集团（以下简称：医疗集团）信息化建设，提升医疗集团管理和业务工作水平，深入提升医疗集团信息安全保障能力和防护水平，建立面向医院、面向社会公众和患者、面向卫生行政部门高效、快捷、方便、优质医疗卫生信息共享和服务体系，充足利用医疗卫生资源，利用信息化战略优异性，努力提升人民群众健康水平，在响应国家相关等级保护要求基础上，维护院方信息安全，保障和促进医疗集团信息化建设健康发展，根据国家相关要求和标准规范要求、医疗行业发文要求，医疗集团决定围绕医院关键业务系统HIS系统、LIS系统、PACS系统深入开展信息安全等级保护工作，并在此基础上指导后续信息化安全建设方向。 本整改提议方案书是沈阳东软系统集成工程（以下简称：东软企业）在西安捷润数码科技针对医疗集团关键医院医疗集团本部信息化现实状况调研、分析后出具《延大附院安全整改提议书-具体V2.0》基础上，依据上述提议书所反应医疗集团相关安全问题和信息系统现实状况所出具等级保护整改提议方案书。信息系统安全状态会伴随时间推移和新技术和新漏洞等不停发觉而不停发展改变，故本提议方案书仅针对上述由西安捷润数码科技出具提议书所表现医疗集团信息系统现实状况而制作。后期进入项目实施阶段后，依据信息系统最新安全现实状况和具体产品布署环境，该提议方案书可能还需要有局部调整和更深入细化和优化。 1.2 项目建设目标 三级信息系统安全保护环境设计目标是：落实GB 17859-1999对三级信息系统安全保护要求，在二级安全保护环境基础上，经过实现基于安全策略模型和标识强制访问控制和增强系统审计机制，使得系统含有在统一安全策略管控下，保护敏感资源能力。 依据国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基础要求》、《信息系统安全保护等级定级指南》等标准，和医疗集团对信息系统等级保护工作相关要求和要求，医疗集团已经对网络和信息系统进行等级保护定级，并按信息系统逐一编制了定级汇报和定级立案表，定级材料已经提交当地公安机关立案。 此次等级保护整改关键目标是为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基础技术要求而进行技术体系建设；为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面定基础管理要求而进行管理体系建设。经过上述两个方面建设使得医疗集团网络信息系统最终既能够满足等级保护相关要求，又能够全方位为医疗集团业务系统提供立体、纵深安全保障防御体系，确保信息系统整体安全保护能力。本项目建设将完成以下目标： 1、以医疗集团HIS、LIS、RIS、PACS、体检、临床路径、心电图系统等信息系统现有基础设施为基础，建设并完成满足等级保护三级系统基础要求信息系统，确保医疗集团整体信息化建设符合相关要求并迈向新台阶。 2、建立安全管理组织机构，成立信息安全工作小组，信息中心责任人为安全责任人，确定实施医院信息系统安全等级保护具体方案，并制订对应岗位责任制，确保信息安全等级保护工作顺利实施。 3、建立完善安全技术防护体系，依据信息安全等级保护要求，建立满足三级要求安全技术防护体系。 4、建立健全信息系统安全管理制度，依据信息安全等级保护要求，制订各项信息系统安全管理制度，对安全管理人员或操作人员实施关键管理操作建立操作规程和实施统计文档。 5、制订保障医疗活动不中止应急预案。应急预案是安全等级保护关键组成部分，按可能出现问题不一样情形制订对应应急方法，在系统出现故障和意外且无法短时间恢复情况下能确保医疗活动连续进行。 6、安全培训：为医疗集团信息化技术人员提供信息安全相关专业技术知识培训，并获取相关资质认证。 1.3 项目参考标准 东软企业有充足能力和丰富经验在遵照国家信息安全等级保护指南等最新安全标准前提下帮助医疗集团开展各项等级保护整改建设工作，并助力和配合医疗集团经过相关组织等级保护测评工作。本项目建设参考依据： 指导思想 中办[]27号文件（相关转发《国家信息化领导小组相关加强信息安全保障工作意见》通知） 公通字[]66号文件（相关印发《信息安全等级保护工作实施意见》通知） 公通字[]43号文件（相关印发《信息安全等级保护管理措施》通知） 公信安[] 1429《相关开展信息安全等级保护安全建设整改工作指导意见》 等级保护 GB 17859-1999 计算机信息系统安全保护等级划分准则信安字[]10号 信息安全技术 信息系统安全等级保护实施指南 系统定级 GB/T 22240- 信息安全技术 信息系统安全保护等级定级指南 技术方面 GB/T 20270- 信息安全技术 网络基础安全技术要求 GB/T 20271- 信息安全技术 信息系统通用安全技术要求 GB/T 20272- 信息安全技术 操作系统安全技术要求 GB/T 20273- 信息安全技术 数据库管理系统通用安全技术要求 GA/T671- 信息安全技术 终端计算机系统安全等级技术要求 GA/T 709- 信息安全技术 信息系统安全等级保护基础模型 GB/T 22239- 信息安全技术 信息系统安全等级保护基础要求 管理方面 GB/T 22239-信息安全技术 信息系统安全等级保护基础要求 GB/T20269-信息系统安全管理要求 GB/T20282- 信息系统安全工程管理要求 ISO/IEC 27001 信息系统安全管理体系标准 方案设计 信安秘字[]059 《信息系统等级保护安全设计技术要求》 等保测评 《信息系统安全等级保护测评要求》（公安部报批稿） 《信息系统安全等级保护测评过程指南》（公安部报批稿） 1.4 项目实施标准 针对医疗集团此次项目，东软企业如有幸参与，我们将严格遵照以下标准： n 保密性标准：东软企业对安全服务实施过程和结果将严格保密，在未经医疗集团授权情况下不会泄露给任何单位和个人，不会利用此数据进行任何侵害用户权益行为； n 标准性标准：服务过程中设计和实施全过程均依据中国或国际相关标准进行，依据等级保护三级基础要求，分等级分安全域进行安全设计和安全建设，对医疗集团计算机网络系统关键信息系统进行安全防护。 n 规范性标准：东软在各项安全服务工作中过程和文档，全部含有很好规范性（《东软安全服务实施规范》），可方便于项目标跟踪和控制； n 可控性标准：服务所使用工具、方法和过程全部会在东软企业和医疗集团双方认可范围之内，服务进度遵守进度表安排，确保双方对服务工作可控性； n 整体性标准：服务范围和内容整体全方面，包含到IT运行各个层面，避免因为遗漏造成未来安全隐患； n 最小影响标准：服务工作努力争取尽可能小影响信息系统正常运行，不会对现有业务造成显著影响。 n 体系化标准：在体系设计、建设中，东软企业将充足考虑到各个层面安全风险，构建完整立体安全防护体系。 n 优异性标准：为满足后续不停增加业务需求、对安全产品、安全技术全部充足考虑前瞻性要求，采取优异、成熟安全产品和优异管理方法。 n 分步骤标准：依据医疗集团要求，对医疗集团安全保障体系进行分期、分步骤有序布署和分期设计，不仅要完成现阶段项目任务，还需要为未来信息系统建设进行前瞻性指导。 n 服务细致化标准：在项目咨询、建设过程中东软企业将充足结合本身专业技术积累和行业经验，结合医疗集团实际信息系统量身定做才能够保障其信息系统安全稳定运行。 2 现实状况及需求分析 本节现实状况和需求分析关键是针对医疗集团本部（即：延大附院）进行分析，医疗集团下属其它7家县级医院在此次等级保护整改建设中仅考虑互联互通中边界安全防护设计。 2.1 现实状况描述 2.1.1 业务系统现实状况 医疗集团本部现在分为本部，东关分院两大部分，两院网络相对独立，经过专线连通，本部和东关分院网络结构以下图： 2.1.1.1 电子病历系统 医疗集团本部“电子病历系统”是医院关键业务系统，为整个医院医疗科研业务提供信息支持，为患者提供健康信息服务。电子病历系统包含：HIS应用系统、RIS应用系统、PACS应用系统、LIS应用系统、体检应用系统、临床路径应用系统、心电图应用系统等。 1 二. 2.1 2.2 2.3 2.4 2.5 2.5.1 2.5.1.1 2.1.1.1.1 HIS应用系统 HIS应用系统是医疗集团本部很关键系统。HIS系统覆盖了全院全部业务和业务全过程，功效包含了门诊挂号系统；中药库、西药库管理系统；住院部医生工作站系统；住院部护士工作站系统医技科室管理系统；院长查询分析系统；病案管理系统；设备、总务、供给室管理系统等功效。其它关键业务系统基础全部和HIS系统做了接口，实现功效跳转和数据共享等。利用该系统能实现对医院日常业务规范化管理，让管理者即时监控医疗集团本部运行情况，显著提升医疗集团本部工作效率，提升医疗集团本部医疗质量和管理水平。该系统为医疗集团本部关键生产系统，实时性要求很高，不仅连接医疗集团本部内部众多系统，而且连接医保网络。 2.5.1.1.1 RIS应用系统 RIS应用系统提供了一个全息数字化业务平台，放射科医师在此基础上进行数字化读片、诊疗、撰写汇报、审核并完成图像及其汇报分发。 2.5.1.1.2 LIS应用系统 LIS系统（Laboratory Information Management System），将试验仪器和计算机相连，快速实现对病人样品登录、试验数据存取、汇报审核、打印分发等功效，试验数据统计分析等繁杂操作过程实现了智能化、自动化和规范化管理。有利于提升试验室整体管理水平，降低漏洞和误操作，提升医疗检验质量。该系统为医疗集团本部关键业务系统，含有最多接入终端。 2.5.1.1.3 PACS应用系统 PACS系统应用在医疗集团本部影像科室系统，把日常产生多种医学影像（包含核磁，CT，超声，多种X光机，多种红外仪、显微仪等设备产生图像）经过多种接口（模拟，DICOM，网络）以数字化方法海量保留起来，当需要时候在一定授权下能够很快调回使用，同时增加部分辅助诊疗管理功效，负责在多种影像设备间传输数据和组织存放数据。该系统为医疗集团本部关键业务系统，需传输大量影像视频数据，对网络带宽有很高要求。 2.5.1.1.4 体检应用系统 体检系统以体检信息为根本，健康指导为纽带，经过规范体检步骤管理，合理安排体检项目，经过网络传输多种检验、检验结果，降低中间步骤，提升安全性和可靠性。体检系统能够提供规范体检结果汇报，并能进行分析，使体检汇报更具科学性。体检系统跟HIS系统、LIS系统、RIS系统做了接口连接确保了健康情况资料连续性，能方便、快捷地进行逐年体检情况追踪，并体检信息综合分析，形成各项医疗统计报表，为体检单位提供人员整体健康情况分析。 2.5.1.1.5 临床路径应用系统 临床路径应用系统确保诊疗项目精细化、标准化、程序化，降低诊疗过程随意化，并和HIS应用系统做了接口连接；提升我院资源管理和利用，加强临床诊疗风险控制；缩短住院周期，减低费用；临床路径应用系统还能够为无相关经验人员提供教育学习机会。 2.5.1.1.6 心电图应用系统 心电图应用系统经过专有仪器对患者进行检测，检测结果存入心电图应用系统数据库，并和HIS系统做接口连接，医护人员能够经过HIS系统和心电图系统直接调用检测结果。 2.5.1.1.7 EMR应用系统 EMR系统（电子病历系统）是医学专用软件。医院经过电子病历以电子化方法统计患者就诊信息，包含：首页、病程统计、检验检验结果、医嘱、手术统计、护理统计等等，其中现有结构化信息，也有非结构化自由文本，还有图像信息。包含病人信息采集、存放、传输、质量控制、统计和利用。在医疗中作为关键信息源，提供超越纸张病历服务，满足医疗、法律和管理需求。 2.1.1.2 HIS就诊卡/一卡通系统 医疗集团本部将于近期上线“HIS就诊卡/一卡通系统”，该系统和其它做HIS接口系统不一样是：是集成在HIS系统中一个收费模块，和其它接口系统做了数据绑定，实现RIS、LIS、心电图等业务系统电子化计费、收费等功效，其相关财务数据存于HIS数据库中。该系统优化了患者就诊步骤,改变了就诊模式,提升了工作效率,提升了门、急诊工作质量和管理水平,促进了门、急诊部信息化建设。 因为该系统和HIS数据和其它业务数据含有紧密联络，估计在未来可能会和医院现有财务管理系统做接口，实现业务数据和财务数据根本绑定，所以其安全保密性、完整性、可用性要求和HIS系统、财务系统等关键业务系统相同关键。 2.1.1.3 财务管理系统 医疗集团本部财务系统是该院内部财务管理、资产管理、人员管理关键系统，涵盖业务功效有报账、对账、财务分析、票据管理、财务报表、所得税申报等功效。 2.1.2 基础设施现实状况 l 信息机房 序号 机房名称 物理位置 1 医疗集团本部中心机房 医疗集团本部21层（共21层） 2 医疗集团本部东关分院中心机房 医疗集团本部东关分院行政楼7层（共7层） l 关键业务应用系统 序号 系统名称 系统描述 等保等级 1. 电子病历系统 关键业务系统，包含HIS、RIS、LIS、PACS、体检、临床路径、心电图、EMR等多个功效模块 三级 2. HIS就诊卡/一卡通系统 关键业务系统，实现RIS、LIS、心电图等业务系统电子化计费、收费等功效。 三级 3. 财务系统 关键业务系统，涵盖报账、对账、财务分析、票据管理、财务报表、所得税申报等功效。 三级 l 关键主机/存放设备 序号 设备名称 操作系统/数据库管理系统 关键程度 1 HIS-应用服务器-1-IBM-X366 SQLSever 关键 2 HIS-应用服务器-3- Dell-P2950 SQLSever 关键 3 体检服务器- IBM X3650 SQLSever 关键 4 网管管理服务器-Dell-P2950 SQLSever 关键 5 PACS数据库服务器-Dell-R710 SQLSever 关键 6 RIS数据库服务器-Dell-R710 SQLSever 关键 7 LIS-应用服务器-4-IBM-X3650-M4 SQLSever 关键 8 HIS-应用服务器-1-IBM-X366 DB2数据库 关键 9 HIS-应用服务器-2- IBM-X3850 DB2数据库 关键 10 HIS-应用服务器-3- Dell-P2950 DB2数据库 关键 11 手麻IBM X3650 DB2数据库 关键 12 HIS-数据库服务器-主-IBM-P730 DB2数据库 关键 13 HIS-数据库服务器-备- IBM-P750 DB2数据库 关键 14 HIS-应用服务器-5- IBM-X3650-M4 DB2数据库 关键 15 HIS-应用服务器-4- IBM-X3650-M4 DB2数据库 关键 16 财务科服务器- IBM X3650 M3 Oracle数据库 关键 17 HIS-应用服务器-1-IBM-X366 WindowsServer-SP2 关键 18 HIS-应用服务器-2- IBM-X3850 WindowsServer-SP2 关键 19 HIS-应用服务器-3- IBM-X3650-M4- WindowsServer-SP2 关键 20 HIS-应用服务器-4- IBM-X3650-M4- WindowsServerSP2 关键 21 HIS-应用服务器-5- IBM-X3650-M4 WindowsServer-SP2 关键 22 财务科服务器- IBM X3650 M3 WindowsServer-SP2 关键 23 手麻-体检服务器- IBM X3650 WindowsServer-SP2 关键 24 综合管理服务器-Dell-P2950 WindowsServer-SP2 关键 25 PACS、RIS数据库服务器 WindowsServer-SP2 关键 26 PACS服务器-2-Dell-R710 WindowsServer-SP2 关键 27 内网服务器- Dell-P2950 WindowsServer-SP2 关键 28 图像引擎服务器-本部-Dell-T550 Windows7 关键 29 图像引擎服务器-东关Dell-T550 Windows7 关键 30 图像引擎服务器-洛川Dell-T550 Windows7 关键 31 HIS-数据库服务器-主-IBM-P730 AIX-5.3.0.0 关键 32 HIS-数据库服务器-备-IBM-P750 AIX-5.3.0.0 关键 33 心电服务器- IBM-X3650-M4（东关） WindowsServer-SP3 关键 34 临床路径服务器-IBM-X3650-M4（东关） WindowsServer-SP3 关键 35 物流服务器-IBM-X3650-M4（东关） WindowsServer-SP3 关键 36 HIS应用-1-输血-IBM-X3650-M4（东关） WindowsServer-SP3 关键 37 HIS应用-2-综合业务-IBM-X3650-M4（东关） WindowsServer-SP3 关键 38 HIS应用-3-IBM-X3650-M4（东关） WindowsServer-SP3 关键 39 心电服务器- IBM-X3650-M4（东关） SQLServer 关键 40 临床路径服务器-IBM-X3650-M4（东关） SQLServer 关键 41 物流服务器-IBM-X3650-M4（东关） SQLServer 关键 42 HIS应用-1-输血-IBM-X3650-M4（东关） DB2数据库 关键 43 HIS应用-2-综合业务-IBM-X3650-M4（东关） DB2数据库 关键 44 HIS应用-3-IBM-X3650-M4（东关） DB2数据库 关键 l 关键网络互连设备 序号 操作系统名称 设备名称 1 Cisco IOS v 5.0 关键交换机-Cisco-N7010-主 2 Cisco IOS v 12.2 关键交换机-Cisco-6509-备 3 Cisco IOS v 12.2 Sever-1-Cisco-4948 4 Cisco IOS v 12.2 Sever-2-Cisco-4948 5 Cisco IOS v 12.2 HIS-服务器接入交换机-Cisco-2960 6 Cisco IOS v 12.2 p1r1-Cicso-2960 7 Cisco IOS v 12.2 楼层接入交换机-1F- Cisco-2960 8 Cisco IOS v 12.2 楼层接入交换机-5F- Cisco-2960 9 Cisco IOS v 12.2 楼层接入交换机-10F- Cisco-2960 10 Cisco IOS v 12.2 楼层接入交换机-15F- Cisco-2960 11 Cisco IOS v 12.2 楼层接入交换机-20F- Cisco-2960 12 Cisco IOS v 12.2 楼层接入交换机-住院楼Cisco-2960 13 Cisco IOS v 12.2 楼层接入交换机-检验楼- Cisco-2960 14 Cisco IOS v 12.2 楼层接入交换机-仿古楼- Cisco-2960 15 Cisco IOS v 12.2 楼层接入交换机-儿科楼- Cisco-2960 16 Cisco IOS v 12.2 楼层接入交换机-CT楼- Cisco-2960 17 Cisco IOS v 12.2 关键交换机-Cisco-6509-主 18 Cisco IOS v 12.2 关键交换机-Cisco-3560-备 19 Cisco IOS v 12.2 dgfynei5-Cisco- C2960S 20 Cisco IOS v 12.2 dgfynei4-Cisco- C2960S 21 Cisco IOS v 12.2 dgfynei3-Cisco- C2960S 22 Cisco IOS v 12.2 dgfynei2-Cisco- C2960S 23 Cisco IOS v 12.2 dgfynei1-Cisco- C2960S 24 Cisco IOS v 12.2 dgfynei0-Cisco- C2960S l 关键网络安全设备 序号 设备名称 数量 用 途 关键程度 1. ？？？ 1 防火墙 关键 2. 3. 2.1.3 安全技术现实状况 2.1.3.1 物理安全现实状况 延大附中信息机房分布于本部和东关分院两处，机房建设时间较早，在建设早期，国家相关法规和标准不够健全，故在机房选址和基础物理安全方面缺乏对于相关安全要求考虑，在机房选址、访问控制、防盗防破坏、防火、防水和防潮、防静电、温湿度控制、电力供给、电磁防护方面全部有不一样程度安全隐患和防护建设需求。 2.1.3.2 网络安全现实状况： 延大附中信息系统采取百兆到桌面，千兆到交换，万兆到服务器方法建立TCP/IP网络架构，在传统接入-汇聚-关键三层架构上，将关键服务器和HIS、LIS、PACS等应用系统放置在服务器区，但全网安全设备缺乏，整个信息系统网络架构中仅布署了一台防火墙，没有其它安全防护方法，网络访问关键经过交换机ACL控制。 2.1.3.3 主机安全现实状况： 主机系统关键采取windows 、windows、windows7微软操作系统和AIX操作系统，全部操作系统配置均使用默认缺省配置，未进行危险配置项规避操作和系统漏洞升级和加固工作。同时，依据西安捷润数码科技出具差距分析汇报和其它相关汇报，延大附中主机系统也未发觉有主机防病毒系统，主机系统同时面临病毒和恶意代码威胁。 2.1.3.4 应用安全现实状况： 应用系统多为CS架构，系统设计开发之初并未充足考虑系统安全需求和相关合规性要求，系统建设和开发关键以实现功效性需求为主导目标，各应用系统分角色分权限管理和强身份认证几乎均为空白。 2.1.3.5 备份恢复现实状况： 全部信息系统审计日志和运行日志均没有备份机制，关键业务系统数据库能够做到同城异地备份，但对于数据备份没有校验机制，对于已经备份数据没有恢复测试机制。 2.1.4 安全管理现实状况 依据《延大附院安全整改提议书-具体V2.0》描述，医疗集团本部现有安全管理制度以下： 序号 文档名称 关键内容 1 机房管理制度 机房出入登记，相关配置变更统计，机房设备管理。 2 安全管理制度 设备安全操作和步骤要求，防偷窃、防破坏。 3 技术管理制度 软件更新升级，技术开发工作管理。 4 数据库备份制度 数据库备份时间，备份方法及操作人员。 5 技术部岗位职责 针对技术部全部岗位职责要求，关键为技术和管理人员约定职责范围。 6 机房值班人员职责 机房值班时间，人员安排。 7 介质安全管理制度 机房和办公设备区过期或错误资料介质统一销毁管理。 8 信息公布工作管理制度 对内对外信息公布格式检验，内容校验。 9 数据存放和保管制度 数据存放器和服务器管理制度。 10 服务器故障应急处理规程 服务器热备和冷备，和故障时处理方案。 11 系统维护和应急恢复制度 服务器系统升级维护，和服务器故障时应急方案。 12 用户端系统安全管理制度 用户端操作系统安全维护，病毒库升级。 2.2 差距分析 2.2.1 系统定级情况 系统名称 等级保护等级 相关系统 电子病历系统 三级 HIS、LIS、RIS、PACS、体检、临床路径、心电图系统等 财务管理系统 三级 / 2.2.2 技术体系差距分析 各子系统具体差距分析参见《延大附院安全整改提议书-具体V2.0》，以下是对各子系统普遍性安全问题和差距项分析性描述，这些描述关键表现了医疗集团本部IT系统和等保三级要求标准差距和这些差距可能引发相关安全隐患和可能引发安全问题。 2.2.2.1 物理安全方面差距 l 机房位置选择： 机房场地选择在建筑物最高层（本部21层、东关7层，全部为最高层），不符合等保三级系统“机房场地应避免设在建筑物高层或地下室，和用水设备下层或隔壁。”标准要求。 机房在大楼最高层易受大楼楼层负重限制，制约后期扩容；易遭受地质、天气类灾难影响；也存在因为顶楼防水问题引发机房漏水等安全隐患。 l 物理访问控制： 机房专员值守但缺乏机房出入人员登记册，进出入机房缺乏相关申请和审批步骤。可能因为出入人员管理方法不到位，引发偷窃、破坏等恶意行为。 机房区域划分不够合理，只划分了监控区和设备区两个区域，可能造成区域安全问题扩散。 l 防偷窃和破坏： 网络设备及线路没有做明确标识，部分强电线路没有做明确标识，没有设置专门介质存放柜，轻易引发误操作类安全事故发生（本部机房）。 机房内没有设置视频监控及防盗红外监测和报警装置，缺乏防盗监测报警技术方法，可能对偷窃和恶意闯进行为不能够立即发觉，在发生偷窃和破坏事件后也不轻易追责。 l 防火： 机房安装有火情自动检测系统，不过长久未启用。灭火器是七氟丙烷灭火器，气压较低，并缺乏防毒面具，机房内堆放有易燃杂物，防火方法不够全方面，当发生火情时，可能造成灭火处理方法延误现象，当缺失防毒面具时，不能全方面防护灭火人员人身安全。 l 防水和防潮： 机房空调下方没有设置防水监测线及防水堤坝装置，当空调排水线路发生故障或发生其它漏水现象时，不能有效对漏水现象进行检测和防护。东关机房存在漏水现象。 l 防静电： 防静电地板接地铜条设置不完善，机柜没有做接地防护方法，监控台未铺设防静电桌布，可能引发静电破坏。 l 温湿度控制： 机房监控区和设备区有玻璃隔断， 缺乏对监控区温湿度检测设备和自动调整设备，缺乏对机房全方面地温湿度检测和控制方法，可能引发由温湿度改变引发设备当机或破坏事故或因为湿度过量而影响设备使用寿命。 l 电路供电： 机房供电为单路供电，若发生电力线路故障，延时供电系统如布署有限，可能引发全部业务系统或部分业务系统中止运行安全问题。 l 电磁防护： 没有对设备采取电磁防护方法，通信线缆和供电线路交叉铺设，可能存在电磁干扰或数据泄漏等安全隐患。 2.2.2.2 网络安全方面差距 2.2.2.2.1 网络整体 l 结构安全： 业务终端和业务服务器之间未进行路由控制建立安全访问路径、没有划分业务子网，没有在网段之间设置技术隔离方法，现在处于全网互通情况，不能有效、合理对业务终端网络访问进行隔离，没有对业务带宽进行策略限制，可能造成网络层面恶意攻击现象。 没有对网络区域进行合理划分，部分服务器设备没有进行合理连接，存在单点故障隐患。 l 边界完整性： 网络边界处没有相关安全设备，如入侵检测系统，不能对网络攻击行为进行监测，可能提升事后追责难度，不能有效对全网安全情况进行分析。 2.2.2.2.2 网络设备 2.2.2.2.2.1 关键交换机 l 访问控制： 含有ACL访问控制列表，但控制粒度为网段级，没有达成端口级，可能造成对端口级网络攻击行为防护方法遗漏。 对网络设备登录管理，管理终端超时会话没有配置安全策略，未对网络设备管理用户根据最小安全访问标准进行权限配置，可能造成恶意连接和用户占用系统网络资源。 l 安全审计： 设备审计策略不完善，只能统计管理或操作设备用户行为，无法对设备运行状态事件进行全方面统计，没有对设备日志统计进行分析，没有配置日志服务器进行日志统计和保留，可能造成审计不全方面、数据遗漏或丢失等安全问题。 l 网络设备防护： 没有对网络设备登入用户终端IP进行限制，只采取用户名密码单一认证方法，没有设置登录失败等安全方法，并经过明文加密方法进行远程管理，可能造成恶意登入、密码猜解、数据包盗取等安全问题。 没有对设备端口进行管理，没有对无须要端口进行关闭，没有对设备系统相关文件进行备份，没有建立设备时钟同时机制。可能引发恶意攻击、数据丢失等安全问题。 2.2.2.2.2.2 服务器接入交换机 l 访问控制： 含有ACL访问控制列表，但控制粒度为网段级，没有达成端口级，可能造成对端口级网络攻击行为防护方法遗漏。 对网络设备登录管理管理终端超时会话没有配置安全策略，未对网络设备管理用户根据最小安全访问标准进行权限配置，可能造成恶意连接和用户占用系统网路资源。 l 安全审计： 设备审计策略不完善，只能统计管理或操作设备用户行为，无法对设备运行状态事件进行全方面统计，没有对设备日志统计进行分析，没有配置日志服务器进行日志统计和保留，可能造成审计不全方面、数据遗漏或丢失等安全问题。 l 网络设备防护： 没有对网络设备登入用户终端IP进行限制，只采取用户名密码单一认证方法，没有设置登录失败等安全方法，并经过明文加密方法进行远程管理，可能造成恶意登入、密码猜解、数据包盗取等安全问题。 没有对设备端口进行管理，没有对无须要端口进行关闭，没有对设备系统相关文件进行备份，没有建立设备时钟同时机制。可能引发恶意攻击、数据丢失等安全问题。 2.2.2.2.2.3 楼层接入交换机 l 访问控制： 对网络设备登录管理管理终端超时会话没有配置安全策略，未对网络设备管理用户根据最小安全访问标准进行权限配置，未进行相关防地址欺骗技术手段配置，可能造成恶意连接和用户占用系统网路资源。 l 安全审计： 设备审计策略不完善，只能统计管理或操作设备用户行为，无法对设备运行状态事件进行全方面统计，没有对设备日志统计进行分析，没有配置日志服务器进行日志统计和保留，可能造成审计不全方面、数据遗漏或丢失等安全问题。 l 网络设备防护： 没有对网络设备登入用户终端IP进行限制，对管理用户没有采取认证方法，没有设置登录失败等安全方法，并经过明文加密方法进行远程管理，可能造成恶意登入、密码猜解、数据包盗取等安全问题。 没有对设备端口进行管理，没有对无须要端口进行关闭，没有对设备系统相关文件进行备份，没有建立设备时钟同时机制。可能引发恶意攻击、数据丢失等安全问题。 2.2.2.3 主机安全方面差距 l 身份判别： 身份判别安全方法设备不完善，判别方法单一（用户名+密码），未设置：账户锁定时间、锁定阈值、复位账户锁定计数器、最小密码长度等，可能造成口令猜解、非法用户登入等安全问题。 主机设备没有三权分立，只有系统管理员，没有操作员、安全审计员。可能造成权限滥用安全问题。 l 访问控制： 没有对系统关键资源设置敏感标识，可能造成对数据和文件非授权使用。 l 安全审计： 安全审计策略开启不够全方面，没有定时备份，没有日志服务器，可能造成审计信息遗漏或丢失，造成事后追责难度。 l 入侵防范： 没有设置IDS等入侵检测系统，不能够对主机层面攻击行为进行管理。 部分无须要端口和服务启用，扩大恶意攻击者攻击面。 l 资源控制： 缺乏主机监控和审计系统，不能够对主机层面系统运行和安全情况进行实时监控，不能对系统资源使用进行管理，可能造成系统资源不合理利用或破坏行为。 2.2.2.4 应用安全方面差距 l 身份判别： 身份判别方法单一，只采取输入用户名密码方法进行登录，没有设置判别复杂度管理方法和登录失败处理功效，可能造成恶意人员非法登入尝试、登入用户无法证实正当性等安全问题。 l 访问控制： 缺乏对关键信息资源设置敏感标识功效，可能造成资源被非授权使用等安全问题。 l 安全审计： 缺乏对系统安全事件进行分析、统计、生成报表等功效，不能有效、立即对安全事件进行管理。 l 剩下信息保护： 对终端登录系统身份判别信息，没有立即清除，可能造成系统等级数据盗取安全问题。 l 通信完整性： 部分系统缺乏应用等级完整保护方法，可能造成数据篡改等安全问题。 l 通信保密性： 部分系统没有对数据包进行加密，造成数据泄密等安全问题。 l 抗抵赖： 没有CA认证等系统，不能够对数据原发和接收人进行认证，可能造成数据伪造、身份伪造等安全问题。 l 资源控制： 没有对单个用户最大并发会话数、一个时间段内最大并发会话数限制，缺失服务水平最低值报警方法和资源利用优先级设置方法，部分系统缺乏最大并发会话连接数限制，可能造成系统资源不合理利用或破坏等安全问题。 2.2.2.5