摘 要:本文基于等级保护2.0标准体系,从技术角度论述医院信息化安全建设。依据医院信息化特点,结合等级保护2.0点的新要求,从内外网防护、主机准入控制和数据备份等几个方面系统的阐述了等级保护建设的新特点。
关键词:等级保护2.0;内外网防护;数据备份;准入控制
一、概述
为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,卫生部办公厅于2011年12月下发卫生部《卫生行业信息安全等级保护工作的指导意见》,从物理安全、主机安全、应用安全、数据安全与备份恢复四个层面提供融合化的等级保护解决方案,本文主要论述了目前系统的现状,依照《信息安全技术信息系统安全等级保护基本要求》2.0版本和系统现状进行了比对,分析出系统的不足,为达到系统安全等级二级的要求提出整改方案,通过此方案的实施提高信息系統的安全防护水平。
二、等保2.0新变化
(一)基本要求说明
根据信息系统安全等级保护基本要求说明,信息系统安全被分为两大部分,分别是技术要求部分和管理要求部分,只有满足相应等级的技术(管理)要求,才能达到一定的基本安全要求,从而实现相应的安全保护能力。
(二)安全指标说明
以信息系统实施等级保护二级为例,根据技术5大类(物理安全、网络安全、主机安全、应用安全和数据安全)和管理5大类(安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理),共计有66个子类,175个检项,如下图所示:
三、方案设计
(一)网络安全架构设计
(二)拓扑说明
此次网络方案设计严格安全信息安全等级化保护二建设级标准设计,并满足二级等级保护建设要求。网络共分为两套,外网一套内网一套,两张网络中间采用数据隔离网闸进行数据“摆渡”,既做到了两网的安全隔离,又确保了内网与外网数据交互的问题。内网出口部署专用防火墙、入侵防御保障主干链路安全。外网部署上网行为保证上网安全。运维管理区部署日至审计、入侵检测IDS、数据库审计、终端杀毒、堡垒机、备份一体机、准入系统,保障内部医疗数据安全,并记录分析、追溯。
(1)内网防火墙。采用防火墙技术,对网络边界进行边界保护,可以对所有流经防火墙的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包屏蔽,防范各类攻击行为,杜绝越权访问,防止非法攻击。通过合理布局,形成多级的纵深防御体系。(2)外网上网行为管理。基于互联网的应用从最初的文件共享、文件传输(FTP)、静态网页浏览(HTML)等内容单一、静态的、简单应用,逐步发展为包括E-Mail、ERP、OA、CRM、新闻信息、文件共享、视频会议、VoIP、即时通讯、网络游戏、电子商务、电子政务等等在内的动态的、复杂应用。网络承载的内容日益丰富,变得更加复杂、多样化。当今,互联网进入了应用级网络时代,逐步成为一个虚拟的真实社会。P2P传输、网络电视、网络游戏、在线聊天、Web视频、股票软件、网上银行、数据库、物流供应链、各种论坛以及大量未知的内容和信息纷纷涌进网络。(3)内网入侵防御系统。串联部署IPS入侵防御系统,通过IPS入侵特征库对流经服务器的所有请求流量进行过滤查杀。在此基础上增加安全审计产品可以更好的对入侵和安全事件进行关联和管理,并采取短信、邮件等形式的提供告警,实现及时、准确的入侵告警提醒。(4)数据库审计系统。数据库审计系统通过细粒度的数据库行为审计和SQL注入、XSS攻击防护,帮助用户有效监控数据库相关访问行为,防止敏感信息外泄。实时记录、分析数据库访问行为,及时发现安全事件并实时记录、告警、定位,方便管理员在安全事件发生后第一时间采取管控措施,加快对安全事件的响应速度,做到有效及时的防范安全风险。(5)入侵检测系统。入侵检测技术(IDS)其设计宗旨是预先对入侵活动和攻击性网络流量进行发现,通过监视网络或系统资源,避免其造成损失寻找违反安全策略的行为或攻击迹象,并发出报警,可与防火墙互补联动,实现对攻击的检测与防御,构筑有效的安全防护链。
(三)主机安全准入控制系统
入网规范管理系统是基于第三代准入控制技术基础的,面向下一代准入控制(NG NAC)的,纯硬件高性能网络准入控制设备。网规范管理系统主要从终端、网络、人员、管理4个维度,对网络使用、安全、管理中的各种元素进行全面的管控。第一,对网络中的终端进行终端授权管理;第二,基于网络层面对接入网络的各种设备进行设备定位透视、网络拓扑结构透视;第三,提供各种灵活的人员认证机制;第四,通过报表输出外部接口提供方便的管理手段。数据安全体系建立:备份存储一体机具有最广泛的备份功能,支持多种数据类型的备份,如数据库备份、文件备份、应用备份、操作系统备份等,涵盖从Windows、Linux到Unix操作系统平台,备份的数据可以通过多种方式进行存储,它利用成熟结构来完成对数据的存储备份。
四、结论
等级保护2.0标准的发布,为信息安全建设提出了更高的要求,防御理念由被动转变为主动,防御手段融合了更多的新兴技术,如态势感知,可信计算,此外从安全管理上也提出了更多的要求。本方案以等级保护2.0标准为基础,构建了完备的安全管理体系和技术体系,从“机构”、“制度”和“人员”三方面全面提升,完全满足网络安全法和等级保护2.0体系标准要求。
参考文献:
[1]肖勇.中医药项目预算监控平台信息安全等级保护实践[J].医学信息杂志,2014.09.
[2]刘署生.浅谈信息安全风险评估与风险分析方法的应用[J].网络空间安全,2017,z2.
作者简介:周安石(1979-),男,汉族,硕士研究生,高级工程师,研究方向:计算机网络通信教学研究、网络与信息安全。