醫院信息系統等級保護測評實踐

張益釗 朱衛國 孟曉陽

(1 北京協和醫院信息管理處 北京100044 (北京協和醫院信息管理處 北京100044) 2 北京建筑大學經管學院 北京 100730)

邱志剛 蘇 博 宋 昭 王翔宇

(石化盈科信息技術有限責任公司 北京100007) (北京市電子產品質量檢測中心 北京100005)

?

醫院信息系統等級保護測評實踐

張益釗 朱衛國 孟曉陽

(1 北京協和醫院信息管理處 北京100044 (北京協和醫院信息管理處 北京100044) 2 北京建筑大學經管學院 北京 100730)

邱志剛 蘇 博 宋 昭 王翔宇

(石化盈科信息技術有限責任公司 北京100007) (北京市電子產品質量檢測中心 北京100005)

從北京協和醫院信息系統開展等級保護測評的實際出發，介紹信息系統定級情況以及測評的內容和流程，論述在具體工作中發現的普遍問題與風險分析辦法，為信息安全相關工作提供借鑒。

等級保護；醫院信息系統；測評

1 引言

我國的信息安全等級保護工作已經經過了20余年的探索和發展。1994年，國務院頒布147號令——《中華人民共和國計算機信息系統安全保護條例 》[1]，規定 “計算機信息系統實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定”。該條例明確了3個內容：一是確立等級保護是計算機信息系統安全保護的一項制度；二是出臺配套的規章和技術標準；三是明確公安部的牽頭地位。147號令的頒布，標志著我國的信息安全等級保護工作正式拉開了序幕。2003年9月7日，中共中央辦公廳、國務院辦公廳聯合頒布《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發【2003】27號)[2]，明確指出“實行信息安全等級保護”，這標志著等級保護已從計算機信息系統安全保護的一項制度提升到了國家信息安全保障一項基本制度。

2011年11月29日，原衛生部辦公廳頒布《衛生行業信息安全等級保護工作的指導意見》(衛辦發【2011】85號)[3]，提出了衛生行業要“做好信息安全等級保護工作”，并且明確了工作要求和工作原則，下達了定級備案、建設與整改、等級測評、宣傳培訓、監督檢查5個階段的工作任務，為衛生行業貫徹落實國家信息安全等級保護制度提供了指導意見。

2011年12月7日，原衛生部辦公廳頒布《關于全面開展衛生行業信息安全等級保護工作的通知》(衛辦綜函【2011】1126號)[4]，規定了各階段工作任務的時間節點，要求“衛生行業各單位要于2012年5月30日前完成本單位信息系統的定級備案工作”，并且“要于2015年12月30日前完成信息安全等級保護建設整改工作，通過等級測評。”

2012年北京市衛生局發布《關于進一步加強北京市衛生行業信息安全等級保護工作的通知》(京衛辦字【2012】26號)[5]，復述了推進等級保護工作的具體內容要求，如工作目標、工作原則、工作機制、工作任務、工作要求等，提出了對于北京市衛生行業推進信息安全等級保護工作的時間細節要求，如2015年10月30日前完成測評工作。目前，北京市衛生行業各單位均在大力發展信息化建設，信息安全保障的需求也日益迫切，依據原衛生部和北京市衛生局發布的各項工作指導意見和通知，各單位在逐步完成各項工作任務。

依據原衛生部辦公廳(衛辦發【2011】85號)頒布的《衛生行業信息安全等級保護工作的指導意見》，北京協和醫院也對院內信息系統進行了統一梳理與歸并，確定醫院主要應用系統“醫院門診住院信息系統”為信息安全等級保護第3級系統，其他如“影像存儲與傳輸系統”等輔助系統為第2級系統。本文主要從北京協和醫院信息系統開展等級保護測評的實際工作出發，介紹信息系統定級情況以及測評的內容和流程，論述在具體工作中發現的普遍問題與風險分析辦法，在各醫院普遍開展等級保護工作的大背景下，為信息安全相關工作提供借鑒[6-8]。

2 信息系統定級情況以及測評內容和流程

2.1 內容

在定級過程中，北京協和醫院組織各方專家充分調研了系統現狀，依據系統現狀填寫《信息系統安全等級保護備案表》，撰寫《信息系統安全等級保護定級報告》，充分論證了系統的安全需求，確定了系統信息安全保護等級；依據指導意見的要求，如期完成了主要系統定級備案的工作，取得了《信息系統安全等級保護備案證明》[9-11]。同時，為配合國家等級保護政策的推進，符合國家等級保護的相關標準要求，北京協和醫院進一步提高了信息系統的信息安全保障能力和防護水平，委托北京市推薦的測評機構——北京市電子產品質量檢測中心(京字008號)進行等級保護測評，對醫院門診住院信息系統的安全狀態做出判斷，給出目標系統在安全技術和安全管理方面與相應安全等級保護基本要求之間的差距。測評結論作為院方進一步完善系統安全保護措施的依據。

2.2 流程

2015年4月2日召開項目啟動會，等級測評工作正式開始。2015年4-5月對醫院門診住院信息系統進行了現場安全管理核查和安全技術測評、物理安全測評、安全管理測評。根據現場測評結果提出了差距分析和整改建議，于2015年7-8月對整改結果進行了復測，2015年9月根據復測結果進行了單元測評結果匯總和整體測評分析，對不符合項進行了風險分析，得出測評結論，最終形成測評報告，確保依據北京市衛生局要求，在2015年10月30日前完成測評工作[12]。本次測評流程,見圖1。

圖1 等級測評基本工作流程

3 測評結果分析

3.1 網絡安全層面

3.1.1 訪問控制 訪問控制(G3)中要求：“應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級”。一般信息系統，如醫院信息系統、門診系統或住院系統等均可以通過防火墻，設置為限制從系統外部訪問內部的IP地址，但未達到端口級，在網絡內部并未進行訪問限制，應該對防火墻進行細化配置予以整改彌補，如限于現實情況不能立刻整改的，可通過對現行規則進行梳理，確保所有訪問來源可信，提出后續整改計劃，于一定期限內進行整改。

3.1.2 過濾信息內容 訪問控制(G3)中要求：“應對進出網絡的信息內容進行過濾，實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制”。如果自查時發現所屬的信息系統，如醫院信息系統、門診系統或住院系統等達不到該項要求，可采用防火墻進行細化配置予以整改彌補，如無該類設備的，可通過內網部署入侵檢測設備進行部分彌補，降低風險。

3.1.3 保護審計記錄 在安全審計(G3)要求中明確提出：“應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等，保存時間不少于半年”。一般而言多數信息系統，如醫院信息系統、影像存儲與傳輸系統等可能達不到該項保存時間要求，未部署網絡設備的日志審計系統，安全審計紀錄缺失，可采用對網絡設備的審計日志(Syslog)外發的方式對審計紀錄進行保護，予以整改彌補。

3.1.4 邊界完整性檢查 邊界完整性檢查(S3)中要求：“應能夠對內部網絡用戶私自聯到外部網絡的行為進行檢查，準確定位并對其進行有效阻斷”。一般而言大多數信息系統達不到該項要求，可采用網絡交換設備進行設置的方式，予以整改彌補。

3.1.5 惡意代碼防范 惡意代碼防范(G3)中要求：“應在與外單位和互聯網連接的網絡邊界處對惡意代碼進行檢測和清除”。部分信息系統達不到該項要求，可采用具備惡意代碼查殺清除功能的網絡安全設備，予以整改彌補。

3.1.6 管理員登錄地址限制 網絡設備防護(G3)中要求：“應對網絡設備的管理員登錄地址進行限制”。一般醫院類機構并未對管理員登錄地址進行限制，可采用對網絡設備進行設置的方式，予以整改彌補，對不具備該項設置的網絡設備，可通過具備訪問控制功能的設備如防火墻等進行設置。

3.1.7 身份鑒別 網絡設備防護(G3)中要求：“主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別”。醫院信息系統、影像存儲與傳輸系統等在上線初期達不到該項要求，在傳統的用戶名/口令方式之外還可采用網絡設備支持的如數字證書等身份鑒別方式對網絡設備進行設置，予以整改彌補，對不具備該項設置的網絡設備，建議對可登錄網絡設備的終端設備進行加強認證，如限定登錄范圍或采用安全計算機等，確保所有訪問來源可信。

3.2 主機安全層面

3.2.1 啟用登錄失敗處理功能 身份鑒別(S3)中要求：“應啟用登錄失敗處理功能，可采取結束會話、限制登錄間隔、限制非法登錄次數和自動退出等措施”。醫療機構的主機大多為默認配置，不能達到該項要求，應對會話內主機登錄次數進行配置，防止非法猜解密碼等攻擊行為。

3.2.2 組合的鑒別技術 身份鑒別(S3)中還要求：“宜采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別，如以密鑰證書、動態口令卡、生物特征等作為身份鑒別信息”。大部分醫院信息部門已有的現代化支付系統前置主機僅采用用戶名/口令一種鑒別方式，不能達到該項要求，在傳統的用戶名/口令方式之外還可采用主機操作系統支持的如數字證書等身份鑒別方式對主機進行設置，予以整改彌補，還可對可登錄主機的終端設備加強認證，如限定登錄范圍或采用安全計算機等，確保所有訪問來源可信。

3.2.3 操作系統和數據庫系統權限分離 訪問控制(S3)中要求：“應實現操作系統和數據庫系統特權用戶的權限分離”。部分衛生行業單位主機管理員同時兼管數據庫，或有名義上的A、B崗設置，現實中主機與數據庫的管理權限并未分離，對于人員條件許可的，應將該權限真正分離，因衛生行業單位內部人員管理措施與管理制度等較為完善，所存在的風險較低。

3.2.4 安全審計內容保護 安全審計(G3)中要求：“審計內容應包括重要用戶行為、 系統資源的異常使用和重要系統命令的使用、賬號的分配、創建與變更、審計策略的調整、審計系統功能的關閉與啟動等系統內重要的安全相關事件”。主機大多為默認配置，不能達到該項要求，較多衛生行業單位未部署主機的日志審計系統，安全審計紀錄缺失，可采用對主機的審計日志外發的方式對審計紀錄進行保護，予以整改彌補。

3.2.5 病毒監控中心 惡意代碼防范(G3)中要求：“應建立病毒監控中心，對網絡內計算機感染病毒的情況進行監控”。一般情況下醫院信息部門因人員和資源有限未建立病毒監控中心，不能對網絡內計算機感染病毒的情況進行監控，應采用提供該機制的防病毒設施，予以整改彌補。

3.3 應用安全層面

身份鑒別(S3)中要求：“應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統中不存在重復用戶身份標識，身份鑒別信息不易被冒用”，還要求“應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，根據安全策略配置相關參數”。在上線的應用中沒有用戶鑒別信息復雜度檢查功能，僅僅采用不超過6位數字的口令進行身份鑒別，部分衛生行業單位部署的新終端通過智能卡、數字證書關聯使用者身份的鑒別措施予以彌補，因衛生行業單位內部監控措施與管理制度等也較為完善，所存在的風險較低。

4 安全管理測評結果分析及風險控制

4.1 安全管理測評結果分析

安全管理制度體系在信息安全保障工作中也是相當重要的，借助本次等級保護測評工作，北京協和醫院對安全管理制度體系也進行了一次梳理。從測評的結果來看，在安全管理制度方面還是較為完善的，建立了由安全管理總體策略、安全管理分項制度到安全管理工作實施記錄表格構成的多層次的體系結構，并且由專門人員進行制度的管理、記錄的收集與存檔，確保安全管理工作的開展有制度約束和規范，并且能夠進行記錄和回顧[13]。通過等級保護測評，對于安全管理制度體系的建設有了更系統的認識，從安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理5大方面對管理制度進行了梳理與改善，對于應急預案的定期培訓與演練等方面的工作都有了更高的重視程度，在之后安全管理工作的執行過程中，進行不斷審視和完善。

4.2 測評過程中的風險控制

經過測評發現的安全問題，對于醫院來說都是需要做好保密工作的，一旦問題被泄露，則會給醫院信息系統帶來不可估量的安全風險，因此，在測評過程中進行好風險控制對于開展信息安全等級保護工作也是必須重視的。首先在測評機構的選擇上，北京協和醫院選擇了由公安部門認可的具有等級保護測評資質的測評單位來實施測評工作，參與測評工作的工程師均為公安部門認可的具有測評工程師資質的人員。在測評工作開始前，與測評機構簽署了服務合同與保密協議，明確了責任和義務，確保測評機構開展測評工作的范圍均在授權范圍內。在進行漏洞掃描、滲透測試前，由掃描和測試的實施人員告知被測評單位實施的風險，配合部門做好必要的備份后方可實施，在實施的過程中做好系統監控工作。此外，還要求測評機構的測試人員應在掃描和測試開始前主動介紹測評工具的功能和風險，確認測評工具的版本和授權狀態，在測試人員獲得授權后方可實施測試工作，測試完成后，立即關閉由于測試開放的相應端口。為確保測評機構對全部測評結果、文檔的保密，多次考察測評機構的獨立的、保密的測評數據的處理系統，確保醫院的信息系統安全問題不會被泄露。在測評的全過程中，特別重視等級保護測評工作中的風險控制，確保測評工作確實提高信息系統的安全防護能力的同時，未給信息系統帶來更多的安全風險。

5 結語

綜合測評分析和安全整改的結果，北京協和醫院門診住院信息系統等級測評結果中存在“部分符合”項，但不會導致信息系統面臨高等級安全風險，故該系統測評結論為：基本符合。近年來，隨著醫院信息化建設突飛猛進的發展，新技術、新架構、新觀念、新管理模式和新系統不斷涌現，大幅提高了醫院各方面工作的效率，同時也增加了系統復雜度，而相應的信息安全保障需求和難度也隨之大幅提升，這就需要衛生行業的各單位與各信息安全服務機構、測評機構進行深度合作和不斷探索，嘗試建立適合衛生行業自身發展需要的衛生行業信息系統信息安全標準(建議可參考北京市衛生行業基礎設施建設指南和規范2008版)。隨著新技術的不斷發展和完善，應團隊協作，合作共贏，切實確保信息系統安全保障和測評工作，能夠與正在不斷發展和完善的新一代醫院信息系統相匹配。

1 國務院. 中華人民共和國計算機信息系統安全保護條例(147號令)[S]. 1994.

2 中央辦公廳、國務院辦公廳. 國家信息化領導小組關于加強信息安全保障工作的意見(中辦發【2003】27號)[S]. 2003.

3 衛生部辦公廳.衛生行業信息安全等級保護工作的指導意見(衛辦發【2011】85號)[S].2011.

4 衛生部辦公廳.衛生行業信息安全等級保護工作的指導意見(衛辦綜函【2011】1126號)[S].2011.

5 北京市衛生局. 北京市衛生局關于進一步加強北京市衛生行業信息安全等級保護工作的通知(京衛辦字【2012】26號)[S].2012.

6 屠正偉. 三級信息系統等級保護常見問題的整改建議[J]. 電力信息化， 2011,(3):65-68.

7 高朝勤. 信息系統等級保護中的多級安全技術研究[D]. 北京：北京工業大學，2012.

8 齊劍雄. 基于信息系統等級保護下安全巡檢系統的研究與設計[D] .北京：北京郵電大學，2012.

9 劉嘉. 基于綜合判定分析的信息系統安全檢驗技術研究[D]. 北京：北京郵電大學， 2011.

10 胡皓. 面向等級保護的主機安全測評系統的設計與實現[D]. 北京：中國科學院大學工程管理與信息技術學院，2013.

11 方勤. 基于《信息安全技術信息系統安全保護等級定級指南》的定級量化模型研究及實踐[D]. 重慶：重慶大學， 2008.

12 孟曉陽,郭杰峰. 使用IT運行監控系統保障醫院信息系統的高可用性[J]. 醫學信息學雜志,2015,36(2):23-26.

13 肖革新,馬家奇,周立平,等. 公共衛生信息系統安全等級保護建設相關問題思考[J]. 醫學信息學雜志,2012,33(2):2-8.

Practice of Grade Protection Assessment on the Hospital Information System

ZHANGYi-zhao,

1PekingUnionMedicalCollegeHospital,Beijing100730,China, 2SchoolofEconomicsandManagement,BeijingUniversityofCivilEngineeringandArchitecture,Beijing100044,China;

ZHUWei-guo,MENGXiao-yang,

PekingUnionMedicalCollegeHospital,Beijing100730,China;

QIUZhi-gang,SUBo,

Petro-CyberworksInformationTechnologyCo.Ltd,Beijing100007,

China;SONGZhao,WANGXiang-yu,

BeijingElectronicsStandard&EstimateResearchInstitute,Beijing100005,China

Starting from the practices of grade protection assessment on the information system of Peking Union Medical College Hospital, the paper introduces the information system grade and assessment contents and processes, discusses common problems found in specific work and risk analysis approaches so as to provide a reference for work related to information security.

Grade protection; Hospital information systems; Assessment

2015-10-20

張益釗，網絡工程師，北京建筑大學經管學院在讀碩士研究生，發表論文3篇；通訊作者：朱衛國，常務副處長。

R-056

A 〔DOI〕10.3969/j.issn.1673-6036.2015.10.003