李克潮

（廣西中醫(yī)藥大學(xué)附屬瑞康醫(yī)院計(jì)算機(jī)中心，廣西 南寧 530011）

醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)方案的設(shè)計(jì)

李克潮

（廣西中醫(yī)藥大學(xué)附屬瑞康醫(yī)院計(jì)算機(jī)中心，廣西 南寧 530011）

醫(yī)院信息系統(tǒng)的發(fā)展是建立在信息安全、可靠的基礎(chǔ)上。文章根據(jù)國(guó)家及行業(yè)信息安全等級(jí)保護(hù)的標(biāo)準(zhǔn)，結(jié)合某三級(jí)甲等醫(yī)院的具體情況，從等級(jí)保護(hù)測(cè)評(píng)流程、測(cè)評(píng)對(duì)象、測(cè)評(píng)方法、測(cè)評(píng)工具、單元測(cè)評(píng)、整體測(cè)評(píng)等方面，對(duì)某三甲醫(yī)院的信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)方案進(jìn)行設(shè)計(jì)。通過(guò)測(cè)評(píng)，發(fā)現(xiàn)醫(yī)院信息系統(tǒng)存在的安全隱患，為該醫(yī)院信息化建設(shè)的下一步整改提供科學(xué)、合理的依據(jù)。

三甲醫(yī)院；信息系統(tǒng)；等級(jí)保護(hù)；測(cè)評(píng)

1 引言

伴隨著醫(yī)院信息化建設(shè)的開(kāi)展，醫(yī)院對(duì)信息系統(tǒng)的依賴(lài)越來(lái)越大[1-2]。然而，信息系統(tǒng)本身存在技術(shù)、管理等安全問(wèn)題。因此，文章根據(jù)國(guó)家及行業(yè)制定的信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)配套標(biāo)準(zhǔn)[3-5]，設(shè)計(jì)了某三級(jí)甲等醫(yī)院信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)的方案。通過(guò)測(cè)試手段對(duì)信息系統(tǒng)的安全技術(shù)措施、安全管理制度進(jìn)行單項(xiàng)驗(yàn)證和整體性分析，檢測(cè)信息系統(tǒng)現(xiàn)有的安全保護(hù)能力與國(guó)家、行業(yè)要求之間的差距，為該醫(yī)院信息化建設(shè)的下一步整改提供科學(xué)、合理的依據(jù)。

2 醫(yī)院概況

該醫(yī)院為全國(guó)三級(jí)甲等綜合性醫(yī)院，醫(yī)院信息系統(tǒng)的安全保護(hù)等級(jí)定為三級(jí)（S3A3G3）。醫(yī)院的信息系統(tǒng)包括：市醫(yī)保、區(qū)醫(yī)保、金保、鐵路醫(yī)保、掛號(hào)系統(tǒng)、門(mén)診系統(tǒng)、住院系統(tǒng)、排隊(duì)叫號(hào)系統(tǒng)、檢驗(yàn)系統(tǒng)、醫(yī)學(xué)影像系統(tǒng)、病理系統(tǒng)、藥房系統(tǒng)、藥庫(kù)系統(tǒng)、OA系統(tǒng)等。醫(yī)院的網(wǎng)絡(luò)結(jié)構(gòu)按功能劃分為邊界接入?yún)^(qū)、核心交換區(qū)、服務(wù)器區(qū)和辦公區(qū) 4大功能區(qū)域，如圖2所示。

3 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)的設(shè)計(jì)

3.1 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)流程

測(cè)評(píng)流程如圖 1所示。其中，測(cè)評(píng)準(zhǔn)備活動(dòng)包括等級(jí)測(cè)評(píng)項(xiàng)目啟動(dòng)、信息收集與分析、工具和表單準(zhǔn)備。方案編制活動(dòng)包括測(cè)評(píng)對(duì)象和指標(biāo)、測(cè)評(píng)工具接入點(diǎn)、測(cè)評(píng)內(nèi)容三者的確定，測(cè)評(píng)實(shí)施手冊(cè)開(kāi)發(fā)及測(cè)評(píng)方案編制?，F(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)包括測(cè)評(píng)實(shí)施準(zhǔn)備、現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還。分析與報(bào)告編制活動(dòng)包括單項(xiàng)測(cè)評(píng)結(jié)果判定、等級(jí)測(cè)評(píng)結(jié)論形成、整體測(cè)評(píng)、測(cè)評(píng)報(bào)告編制、風(fēng)險(xiǎn)分析、測(cè)評(píng)結(jié)果評(píng)審[3]。

圖1 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)流程圖

3.2 測(cè)評(píng)對(duì)象與指標(biāo)

3.2.1 測(cè)評(píng)對(duì)象

機(jī)房、業(yè)務(wù)應(yīng)用軟件(市醫(yī)保、區(qū)醫(yī)保、金保、鐵路醫(yī)保、掛號(hào)系統(tǒng)、門(mén)診系統(tǒng)、住院系統(tǒng)、排隊(duì)叫號(hào)系統(tǒng)、檢驗(yàn)系統(tǒng)、醫(yī)學(xué)影像系統(tǒng)、病理系統(tǒng)、藥房系統(tǒng)、藥庫(kù)系統(tǒng)、OA系統(tǒng)等)、業(yè)務(wù)應(yīng)用軟件服務(wù)器的操作系統(tǒng)、網(wǎng)絡(luò)互聯(lián)設(shè)備(交換機(jī)、路由器) 的操作系統(tǒng)、安全設(shè)備(防火墻)的操作系統(tǒng)、安全管理文檔。

3.2.2 測(cè)評(píng)指標(biāo)

測(cè)評(píng)指標(biāo)包括物理安全等10項(xiàng)指標(biāo)，而物理安全又包括防盜竊和防破壞、物理位置的選擇等子類(lèi)[5]。

3.3 測(cè)評(píng)方法與工具

3.3.1 測(cè)評(píng)方法

（1）本次測(cè)評(píng)的主要方法包括訪談、檢查和測(cè)試三種方式。

①訪談的主要內(nèi)容是“安全管理”類(lèi)的安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等管理制度。通過(guò)詳細(xì)閱讀各項(xiàng)管理制度，并與安全主管、人事負(fù)責(zé)人、系統(tǒng)建設(shè)負(fù)責(zé)人、資產(chǎn)管理員、運(yùn)維管理員等，討論各項(xiàng)制度描述、執(zhí)行過(guò)程中存在疑問(wèn)的地方。

通過(guò)與不同類(lèi)型的人員討論的方式體現(xiàn)了訪談的廣度，通過(guò)對(duì)管理制度存在的疑問(wèn)進(jìn)行共同探討研究的方式體現(xiàn)了訪談的深度。

②檢查是對(duì)所有測(cè)評(píng)指標(biāo)的功能級(jí)文檔、機(jī)制和活動(dòng)進(jìn)行詳細(xì)徹底的分析、觀察和研究。根據(jù)獲取的數(shù)據(jù)，證明被測(cè)系統(tǒng)當(dāng)前的安全機(jī)制、配置、實(shí)現(xiàn)情況是否符合要求。

檢查所有測(cè)評(píng)指標(biāo)體現(xiàn)了檢查內(nèi)容的廣度。詳細(xì)徹底的分析、觀察和研究測(cè)評(píng)指標(biāo)的功能級(jí)文檔、機(jī)制和活動(dòng)的檢查方式，體現(xiàn)了檢查內(nèi)容的深度。

③測(cè)試是通過(guò)手工測(cè)試、工具掃描、模擬攻擊等方式，對(duì)被測(cè)系統(tǒng)中的主機(jī)、網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)，進(jìn)行功能、安全性等方面的測(cè)試。

手工測(cè)試、工具掃描、模擬攻擊等方式，體現(xiàn)了測(cè)試的深度。對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)進(jìn)行功能、安全性等方面的測(cè)試，體現(xiàn)了測(cè)試的廣度。

（2）風(fēng)險(xiǎn)分析方法

測(cè)評(píng)項(xiàng)目依據(jù)安全事件可能性和安全事件后果，對(duì)信息系統(tǒng)面臨的風(fēng)險(xiǎn)進(jìn)行分析。分析過(guò)程包括：

①判斷醫(yī)院信息系統(tǒng)的安全保護(hù)能力缺失（等級(jí)測(cè)評(píng)結(jié)果中的部分符合項(xiàng)和不符合項(xiàng)）被威脅的時(shí)候，利用導(dǎo)致安全事件發(fā)生的概率，可能性的取值范圍為高、中和低。

②判斷安全事件對(duì)信息系統(tǒng)業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全造成的影響程度。影響程度取值范圍為高、中和低。

③綜合過(guò)程(1)和(2)的結(jié)果，對(duì)信息系統(tǒng)面臨的風(fēng)險(xiǎn)進(jìn)行匯總和分等級(jí)。風(fēng)險(xiǎn)等級(jí)的取值范圍為高、中和低。

④結(jié)合信息系統(tǒng)的安全保護(hù)等級(jí)，對(duì)風(fēng)險(xiǎn)分析結(jié)果進(jìn)行評(píng)價(jià)，即對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益造成的風(fēng)險(xiǎn)。

3.3.2 測(cè)評(píng)工具

測(cè)評(píng)的信息系統(tǒng)為三級(jí)信息系統(tǒng)。根據(jù)三級(jí)信息系統(tǒng)的測(cè)評(píng)強(qiáng)度要求，在測(cè)試的廣度上，應(yīng)基本覆蓋所有的安全機(jī)制，在數(shù)量、范圍上可以抽樣；在測(cè)試的深度上，應(yīng)執(zhí)行功能測(cè)試和滲透測(cè)試。功能測(cè)試可能涉及機(jī)制的功能規(guī)范、高級(jí)設(shè)計(jì)和操作規(guī)程等文檔。滲透測(cè)試可能涉及機(jī)制的所有可用文檔，并試圖進(jìn)入信息系統(tǒng)等。因此，對(duì)其進(jìn)行測(cè)評(píng)，應(yīng)涉及到漏洞掃描工具、滲透測(cè)評(píng)工具集等多種測(cè)試工具：

（1）Nessus，是目前全世界使用人數(shù)最多的集系統(tǒng)漏洞掃描與分析一體的軟件。

（2）綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)，它能夠?qū)崿F(xiàn)漏洞預(yù)警、漏洞檢測(cè)、風(fēng)險(xiǎn)管理、漏洞修復(fù)和漏洞審計(jì)等功能。綠盟科技NSFOCUS安全小組到目前為止已經(jīng)獨(dú)立發(fā)現(xiàn)了40多個(gè)知名廠家的漏洞，綠盟科技維護(hù)著全球最大的中文漏洞知識(shí)庫(kù)。

3.4 測(cè)評(píng)內(nèi)容與實(shí)施

等級(jí)測(cè)評(píng)的現(xiàn)場(chǎng)實(shí)施過(guò)程由單元測(cè)評(píng)、工具測(cè)試和整體測(cè)評(píng)三部分構(gòu)成。

3.4.1 單元測(cè)評(píng)

對(duì)應(yīng)各安全控制點(diǎn)的測(cè)評(píng)稱(chēng)為單元測(cè)評(píng)。其包括物理安全測(cè)評(píng)等10個(gè)測(cè)評(píng)任務(wù)[5]。因篇幅有限，這里只列舉物理安全測(cè)評(píng)。

（1）物理安全測(cè)評(píng)

物理安全測(cè)評(píng)通過(guò)訪談和檢查方式測(cè)評(píng)信息系統(tǒng)的物理安全保障情況，主要涉及對(duì)象為信息系統(tǒng)所在的機(jī)房。

（2）物理安全測(cè)評(píng)內(nèi)容

物理安全層面測(cè)評(píng)內(nèi)容涉及物理位置的選擇等10個(gè)安全子類(lèi)。而物理位置測(cè)評(píng)指標(biāo)包括：

①機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。

②機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。

（3）物理安全測(cè)評(píng)實(shí)施

物理安全測(cè)評(píng)實(shí)施方法及過(guò)程[5]:

①文檔查閱與分析。測(cè)評(píng)人員對(duì)測(cè)評(píng)委托放提交的物理安全相關(guān)文檔（含制度、記錄等）等進(jìn)行查看和分析，并記錄相關(guān)證據(jù)。

②機(jī)房實(shí)地觀測(cè)。測(cè)評(píng)人員在配合人員的陪同下對(duì)機(jī)房的安全措施進(jìn)行現(xiàn)場(chǎng)觀測(cè)，并記錄相關(guān)證據(jù)。

③人員訪談。測(cè)評(píng)人員根據(jù)文檔查閱和實(shí)地觀測(cè)的測(cè)評(píng)結(jié)果，針對(duì)部分不確定項(xiàng)目訪談相關(guān)人員，獲取補(bǔ)充證據(jù)。

④結(jié)果確認(rèn)。測(cè)評(píng)人員向配合人員提交物理安全測(cè)評(píng)的初步結(jié)果記錄。測(cè)評(píng)雙方對(duì)初步結(jié)果進(jìn)行下一步的分析和修訂后，認(rèn)可形成物理安全測(cè)評(píng)結(jié)果記錄。

（4）物理安全測(cè)評(píng)配合需求

物理安全測(cè)評(píng)配合項(xiàng)及需求說(shuō)明[5]：

①配合人：機(jī)房安全管理員陪同測(cè)評(píng)人員出入機(jī)房，并提供相關(guān)的文檔（如機(jī)房出入人員記錄、空調(diào)設(shè)備等基礎(chǔ)設(shè)施的維護(hù)記錄等）。

②安全權(quán)：測(cè)評(píng)人員在測(cè)評(píng)實(shí)施期間出入機(jī)房的授權(quán)許可。

③辦公環(huán)境：會(huì)議室。

3.4.2 工具測(cè)試

通過(guò)漏洞掃描工具、應(yīng)用安全掃描工具，對(duì)主機(jī)、應(yīng)用業(yè)務(wù)系統(tǒng)進(jìn)行掃描，找出其存在的安全隱患。

3.4.3 工具接入點(diǎn)

針對(duì)被測(cè)系統(tǒng)的網(wǎng)絡(luò)邊界和抽查設(shè)備、主機(jī)及業(yè)務(wù)應(yīng)用系統(tǒng)的情況，需要在被測(cè)系統(tǒng)及其互聯(lián)網(wǎng)絡(luò)中設(shè)置兩個(gè)工具接入點(diǎn)JA、JB。工具測(cè)試接入點(diǎn)示意圖如圖 2所示?！敖尤朦c(diǎn)”標(biāo)注表示進(jìn)行工具測(cè)試時(shí)，需要從該接入點(diǎn)接入，對(duì)應(yīng)的箭頭路線(xiàn)表示工具測(cè)試數(shù)據(jù)的主要流向。

圖2 工具接入點(diǎn)掃描網(wǎng)絡(luò)結(jié)構(gòu)圖

（1）JA接入點(diǎn)工具測(cè)試過(guò)程描述：

①在JA接入點(diǎn)的邊界區(qū)域互聯(lián)網(wǎng)、衛(wèi)生專(zhuān)網(wǎng)、市醫(yī)保、南鐵醫(yī)保等，為掃描工具提供網(wǎng)絡(luò)接入接口。

②為掃描工具分配相應(yīng)網(wǎng)段的IP地址，在JA點(diǎn)接入掃描工具，通過(guò)防火墻、核心交換機(jī)，對(duì)服務(wù)器區(qū)的HIS服務(wù)器、PACS服務(wù)器等，進(jìn)行漏洞掃描及應(yīng)用安全掃描。

（2）JB接入點(diǎn)工具測(cè)試過(guò)程描述：

①在JB接入點(diǎn)抽取一個(gè)辦公區(qū)接入交換機(jī)，為掃描工具提供網(wǎng)絡(luò)接入接口。

②為掃描工具分配兩個(gè)辦公區(qū)網(wǎng)段的IP地址，在JB點(diǎn)接入掃描工具，通過(guò)接入層交換機(jī)、匯聚層交換機(jī)、核心交換機(jī)，對(duì)服務(wù)器區(qū)的HIS服務(wù)器、PACS服務(wù)器等，進(jìn)行漏洞掃描及應(yīng)用安全掃描。

3.5 整體測(cè)評(píng)

系統(tǒng)整體測(cè)評(píng)主要是在單項(xiàng)測(cè)評(píng)的基礎(chǔ)上，通過(guò)測(cè)評(píng)分析安全控制點(diǎn)間、層面間和安全區(qū)域間存在的關(guān)聯(lián)作用，在整體結(jié)構(gòu)上是否合理、簡(jiǎn)單、有效，驗(yàn)證和分析不符合項(xiàng)是否影響系統(tǒng)的安全保護(hù)能力，測(cè)試分析系統(tǒng)的整體安全性是否合理[3]。

3.5.1 控制點(diǎn)間安全測(cè)評(píng)

在同一功能區(qū)域的同一層面內(nèi)，其他安全控制點(diǎn)是否存在對(duì)該安全控制點(diǎn)具有補(bǔ)充作用（如安全審計(jì)、物理訪問(wèn)控制、防盜竊及抗抵賴(lài)等）。另外，分析是否存在其他的安全措施或技術(shù)與該要求項(xiàng)具有相似的安全功能。

3.5.2 層面間安全測(cè)評(píng)

層面間的安全測(cè)評(píng)，重點(diǎn)分析其他層面上功能相同或相似的安全控制點(diǎn)是否對(duì)該安全控制點(diǎn)存在補(bǔ)充作用（如應(yīng)用層加密與網(wǎng)絡(luò)層加密、主機(jī)層與應(yīng)用層上的身份鑒別等），以及技術(shù)與管理上各層面的關(guān)聯(lián)關(guān)系（如主機(jī)安全與系統(tǒng)運(yùn)維管理、應(yīng)用安全與系統(tǒng)運(yùn)維管理等）。

3.5.3 區(qū)域間安全測(cè)評(píng)

區(qū)域間安全測(cè)評(píng)，重點(diǎn)分析系統(tǒng)中訪問(wèn)控制路徑（如不同功能區(qū)域間的數(shù)據(jù)流流向和控制方式），是否存在區(qū)域間安全功能的相互補(bǔ)充。

4 結(jié)論

通過(guò)對(duì)三級(jí)甲等醫(yī)院的信息系統(tǒng)進(jìn)行安全等級(jí)保護(hù)測(cè)評(píng)方案的設(shè)計(jì)，與國(guó)家及行業(yè)的標(biāo)準(zhǔn)、制度進(jìn)行比較，得出該醫(yī)院信息系統(tǒng)基本符合第三級(jí)安全保護(hù)的要求。但存在如機(jī)房管理不規(guī)范、工作人員信息安全意識(shí)薄弱等問(wèn)題。文章設(shè)計(jì)的信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)方法，具有較高的可操作性，為該醫(yī)院信息化建設(shè)的整改提供依據(jù)，可作為其他醫(yī)院測(cè)評(píng)的借鑒。

[1] 郎漫芝,王暉,鄧小虹.醫(yī)院信息系統(tǒng)信息安全等級(jí)保護(hù)的實(shí)施探討[J].計(jì)算機(jī)應(yīng)用與軟件,2013,1:206-208.

[2] 徐璟璟.醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)[J].信息與電腦(理論版),2015(8):91,93.

[3] GB/T28449-2012.信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南[S].2012.

[4] GB/T22240-2008.信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南[S].2008.

[5] GB/T22239-2008.信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].2008.

Design of security classified protection testing and evaluation scheme for hospital information system

Development of hospital information system is based on the information security and reliability. According to the standards of national and industry information security classified protection, combining with the specific circumstances of one A-level tertiary hospital, using classified protection evaluation process, evaluation object, evaluation methods, evaluation tools, unit evaluation, overall evaluation and so on, designs information system classified protection testing and evaluation scheme for one A-level tertiary hospital. Through testing and evaluation, hospital information system security risks were found, that provide scientific and reasonable basis for next step of hospital information construction.

A-level tertiary hospital; information system; classified protection; testing and evaluation

TP311

A

1008-1151(2016)07-0023-03

2016-06-10

廣西教育廳科研項(xiàng)目(201204LX481)。

李克潮(1982－)，男，廣西南寧人，廣西中醫(yī)藥大學(xué)附屬瑞康醫(yī)院計(jì)算機(jī)中心信息系統(tǒng)項(xiàng)目管理師，碩士，研究方向?yàn)樾畔踩?、個(gè)性化推薦。