南京市卫生12320网站等级保护建设要点和思考
李维冬,殷伟东,陈平
南京市卫生信息中心 运行科,江苏南京 210003
[摘 要]南京市卫生12320网站作为一个服务性网站,为全市人民提供了预约挂号、检验结果查询、居民电子健康档案查询、心理健康咨询等服务。本文以南京市卫生12320网站为例,阐述了对医疗卫生网站进行信息安全等级保护定级的过程和等级保护建设要点思路和体会。
[关键词]信息安全;等级保护;网站安全;公益性网站;等保备案
0 前言
随着卫生信息化的快速发展,医疗服务信息化系统已经深入到医疗工作的各个环节,民众的日常就医也和医疗服务系统息息相关。目前,信息安全越来越受到重视,因为系统一旦发生故障,将无法保证实时地为民众提供医疗服务。
国家卫计委(原卫生部)针对医疗信息行业的信息安全现状印发了《卫生行业信息安全等级保护工作的指导意见》,根据这份文件的要求,三甲医院的核心业务系统的定级原则上不低于第三级。按照实际经验和工作要求,不仅仅是三甲医院的核心系统定级为第三级,所有重要性与之相等的系统(不仅仅局限于医院的信息系统),包括信息中心业务系统和重要网站,定级都不应低于第三级[1]。
1 南京市卫生12320网站概述
南京市卫生12320网是由南京市卫生局主管,市卫生信息中心主办的网站,是政府为了方便广大市民预约挂号,打击贩号子、倒号而建成的公益性网站。随着医疗改革的进行,南京市卫生12320网站将成为市民看病、就医、普及健康知识的窗口。其初级目标是面对患者,提供预约挂号服务、专家咨询、基本药物目录查询、健康知识等功能,其他功能则兼具政府职能。从开通到现在,患者使用频率比较高的主要是预约挂号服务及专家频道。
2 网站安全体系架构
安全体系框架设计与业务架构、应用架构和数据架构紧密结合,满足门户上各类业务应用、数据整合标准及规范,从物理、网络、主机、应用、数据及管理方面对关键的安全防护子要素进行说明和设计,它是门户安全保障体系的指导性架构。南京市卫生12320网站的安全体系架构,见图1。
从安全管理平台角度来看,技术安全和管理安全同等重要,而在实际工作中,网站维护人员常常忽视管理层面的安全防护,如安全制度的建立和长期执行,机房登记制度等。只有技术安全和管理安全都得到了有效执行,才能说网站的安全体系是完备的[2]。
图1 安全体系架构图
3 12320网站信息安全等级保护建设流程和要点
3.1 信息安全等级保护定级
等级保护需要考虑的问题:① 12320网站受到侵入时受侵害的客体有哪些;② 客体受侵害的程度如何。综合这2个因素进行等级保护定级。信息安全等级保护等级从低到高分别是:自主保护级、指导保护级、监督保护级、强制保护级、专控保护级5个级别[3]。
12320网站每天为数以万计的群众提供预约挂号服务(包括网站预约、手机APP预约、微信预约、电话预约),如果网站被攻击导致瘫痪,必然会有大量患者涌入医院进行现场挂号,容易导致医院窗口排队,甚至引发群体性事件。再者,网站被黑客攻击极易导致患者信息被盗,而患者病理信息属于敏感信息,因此会导致负面的社会影响[4]。综上所述,定义为对“社会秩序,公共利益”造成“严重损害”,即信息安全等级保护定义为第三级,涉及到与预约挂号、医检结果查询相关的系统。
3.2 评审与备案
按照等级保护办法和定级指南要求,在完成对12320网站的自主定级后,应将定级结果上报到省卫生厅进行审批。审批过程中,省厅组织相关信息安全专家进行评审。
完成评审后,12320网站的管理部门南京市卫生信息中心应填写《信息系统安全等级保护备案表》和《信息系统安全等级保护定级报告》,其填写范例可在“中国信息安全等级保护网”查看。根据规定,对定级为二级以上(含二级)的信息系统或网站,应当报管辖范围内公安机关备案。因此,南京市卫生信息中心持评审意见,备案表和定级报告到南京市公安局办理备案手续,最终拿到备案回执和审核结果通知后完成定级备案。
3.3 网站安全建设与整改
在完成备案后需要对12320网站进行常态性的安全建设和整改,主要分为以下几个步骤。
3.3.1 风险评估和差距分析
在实施等级保护时,可综合考虑12320网站的复杂性和成本要求,采取比较灵活的风险评估方式。信息安全风险评估的典型过程主要分为风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认和风险分析6个阶段。通过资产评估、安全漏洞扫描、审计、网络架构分析、数据流分析方式,分析12320网站的资产现状、网站架构、安全设备、网络的弱点、威胁和风险,这些内容形成了《风险评估报告》[5]。依据等保相应级别的技术和管理安全要求,对网站和信息系统进行安全体系的差距分析,填写《等级保护差距分析报告》。
3.3.2 建设整改方案设计
根据风险评估和差距分析的情况,结合网站安全实际需求,通过分级的方法,制定出安全整改方案,三级以上(含三级)信息系统的安全整改建设方案,应经过信息安全技术专家委员会论证和评审[6]。
根据南京市卫生信息中心业务运行状况和网络数据流的重要性,划分为4大网络区域,分别为Internet网络区域、合作单位网络区域、核心数据交换区域、核心业务区域。Internet网络区域用于南京市卫生信息中心对外提供服务的应用,如:南京卫生12320网。南京卫生12320网有联通和电信2条外网线路,接入到外网防火墙上,同时部署入侵防御系统(IPS)、防火墙(WAF)来保护网站,防范来自Internet网络的攻击行为。核心业务区域运行南京市卫生信息中心各网站后台服务器和数据库,包括南京卫生12320网。
所有网络安全区域的划分都是根据业务的关联性、近似程度、安全重要级别来划分。网络安全区域重要性从高到低分别为核心业务区域、核心数据交换区域、合作单位网络区域、Internet网络区域。几大区域的安全性保护主要通过防火墙来防护,控制不同访问数据的访问目标和端口,同时在和Internet相关联的网络区域部署防范攻击的保护设备,及针对内部管理人员的运维审计设备[7]。需要注意的是,安全域的划分不能单纯从安全角度考虑,而是应该以业务角度为主,辅以安全角度,并充分参照现有网络结构和管理现状,才能以较小的代价既完成安全域划分和网络梳理,同时又能保障其安全性。
划分安全域后,在不同的信任级别的安全区域之间就形成了网络边界。实施边界安全防护措施,既可以使边界内部免遭外部攻击,也可以遏制内部不法人员跨越边界而向外部实施攻击。南京市卫生12320网站所在的核心业务区和其他区域之间都部署了IPS、WAF等设备,保障了网络区域边界的安全。
表1 等保整改建议表
3.3.3 开展等级测评
开展等级测评需要找公安局认可的具有“DJCP”认证的测评机构,机构名称可以在“中国信息安全等级保护网”查询。测评的主要流程有:
(1)准备阶段。主要是测评公司(南京市卫生12320网站的测评公司是江苏君立华域信息安全技术有限公司)与市卫生信息中心进行沟通,主要沟通网络拓扑结构、硬件设备情况等。
(2)方案制定阶段。测评公司会确定测评的内容,编制测评方案书。之后会与市卫生信息中心共同确定现场测评的时间和流程。
(3)现场测评阶段。这个阶段测评机构会驻场到市卫生信息中心,会对一共290个控制项进行逐一测评。需要注意的是,测评时不要影响正常业务的进行,因此尽量在下班之后进行。测评之前一定要准备好,要保证其对现有业务不会造成任何影响。在这个阶段,信息中心的网络工程师、信息安全工程师、系统工程师、审计工程师需要在场进行配合[8]。
(4)报告编制阶段。这个阶段,测评机构会将分项的测评结果进行判定、汇总后给出测评报告,告之客户网站的风险点、整改建议和测评结果。整改建议以表格形式列出,主要信息有测评项、测评结果、整改建议。在对12320网站的某次等保测评后出具的针对某路由器的整改建议表,见表1。
测评结果分为:全部符合、部分符合和不符合。不符合选项为没有通过测评,其他两项为通过测评。根据相关要求,290个控制项,达到80%以上符合的即可通过测评[9]。
(5)自查和监管部门检查。根据相关要求,当网站或系统定为第三级时,每年应至少进行一次等级保护自查,且监管部门每年至少来现场检查一次[10]。监管部门为本市市属公安部门,每年定期会对三级系统进行上门检查,检查内容是管理文档和现场实地勘察。检查完成之后公安部门会对检查结果进行评定,并对下一步安全工作给出指导意见。级保护的要求进行运维、管理和监督,根据整改建议对服务器和交换机进行必要的整改,可以有效增强网站及其服务器的安全性。因此,开展等级保护对网站及其服务器的安全性都有着重要的意义。
信息安全作为一项常态性工作对业务系统和网站的正常运行起着关键性的作用,而等级保护作为信息安全工作的重要组成部分,充当着业务系统和网站每年一次或每年多次的“体检员”的角色。等级保护工作需要网络工程师、信息安全工程师、系统工程师、审计工程师共同配合完成,需要各方人员细致和耐心地对照检查项逐项检查。可以说,没有做等级保护的系统和网站是不完整的。因此,梳理等级保护建设的要点和步骤对同类网站的等保建设是有益和值得借鉴的。
4 总结和思考
本文以南京市卫生12320网站为例,通过对信息安全等级保护制度的阐述和分析,初步探讨了信息安全等级保护的实施策略和流程。本文表明,服务器维护人员按照等
[参考文献]
[1] 辛均益,陈启岳,王宏宇.关于医院重要信息系统信息安全等级保护工作的探讨[A].第28次全国计算机安全学术交流会论文集[C].2013.
[2] 王丽娜,张东军.医疗卫生行业信息安全等级保护的现状与对策[J].医疗卫生装备,2013,(6):87-88.
[3] 韩作为.医院信息安全等级保护三级建设流程与要点[J].中国数字医学, 2013,(5):34-35.
[4] 吴海翔.浅谈内部网络安全问题及对策[J].电子技术与软件,2014, (1):234.
[5] 郝惠英,王才有.医院信息安全体系设计方法[J].中国数字医学,2010,(3):61-63.
[6] 彭坤,冷金昌,孙晓玮,等.基于等级保护的跨区域医疗信息安全保障体系研究[J].中国数字医学,2013,(6):88-90.
[7] 郎漫芝,王晖,邓小虹.医院信息系统信息安全等级保护的实施探讨[J].计算机应用与软件,2013,(1):206-208.
[8] 王俊.基于等级保护的医院网络区域边界安全研究[J].中国数字医学,2013,(3):96-97.
[9] 李享,李婧,张红,等.医院与社区信息协同共享模式网络安全解决方案[J].中国医疗设备,2014,29(10):38-40.
[10] 郑攀,王晖,张杰,等.数字医疗设备信息安全防护探讨[J].中国数字医学,2014,(7):33-35.
Key Points and Several Thoughts on the Construction of the Grading Protection of Nanjing Health 12320 Website
LI Wei-dong, YIN Wei-dong, CHEN Ping
Department of Operation, Nanjing Health Information Center, Nanjing Jiangsu 210003, China
Abstract:As a service website, Nanjing Health 12320 website can provide the following services for the whole city: appointment register, query of the test results and electronic health records, mental health consultation. Taking Nanjing Health 12320 website as an example, this paper expounds the process of grading the level of information security protection, and then puts forward the key points and several thoughts on the construction of grading protection.
Key words:information security; grading protection; websites security; websites for public welfare; grading protection record
[中图分类号]R197.324
[文献标志码]C
doi:10.3969/j.issn.1674-1633.2016.01.049
[文章编号]1674-1633(2016)01-0153-03
收稿日期:2015-03-22
修回日期:2015-12-06
通讯作者:陈平,硕士,高级工程师,南京市卫生信息中心副主任。