医院网络安全建设是个持续改进的过程,既不能一蹴而就,也不能东一榔头、西一棒子。本文作者根据多年的实战经验,总结了“医院网络安全自评分表”,信息科对照这一目标,每年进行完善和持续改进,不遗漏、不懈怠。“不积跬步无以至千里”,每年提升5分就是进步。
【郝尚永专栏】医院网络与信息系统安全量化自评
笔者在查阅CHIMA发布的《2018-2019中国医院信息化状况调查报告》时发现,在网络安全措施方面,主要关注点在网络安全措施、系统安全措施、数据安全措施等方面,更多关注硬件设备、数据库审计软件等是否配备,而忽略了安全管理制度、日常安全管理与维护、管理措施执行情况、应急预案等人为因素。
例如,某单位虽然配备了防火墙,但基本是透明模式,没有设置相应的安全策略;某单位虽然配备了堡垒机,但服务器的远程桌面还都是开启状态,或者安装了teamviewer终端,工程师和厂商运维人员直接远程登录或者通过teamviewer直接登录服务器操作,绕过了堡垒机。虽然网络安全的硬件设备都购买安装了,但并没有真正起到信息安全的作用。
在安全工作领域,有个著名的“海恩法则”,笔者认为在网络与信息系统安全方面,“海恩法则”同样适用。“海恩法则”指出:每一起严重事故的背后,必然有29次轻微事故和300起未遂先兆以及1000起事故隐患。它强调两点:一是事故的发生是量的积累的结果;二是再好的技术、再完美的规章,在实际操作层面也无法取代人自身的素质和责任心。
医院网络与信息系统安全的基本目标是网络及信息系统的保密性、完整性和高可用性,这是网络安全的基本要素和安全建设应遵循的基本原则。除了这三个基本目标外,还包括信息的可追溯性、抗抵赖性、真实性、可控性等。
实现医院网络与信息系统安全的目标,不能仅仅依靠上线某硬件设备、软件的建设,更多的还要依靠系统的运维实施。信息系统安全运行包括人员安全、物理安全、运行安全、信息安全几个部分。
笔者根据国家信息安全规范、等保相关要求、三级医院评审相关要求,并参考公安、网信等上级部门的信息安全检查要求,特制定了“医院网络与信息系统安全量化自评百分表”,用于进行自评自测。通过自评自测查找不足,以评促建、以评促改,形成PDCA良性进步。网络安全目标的实现,不可能一蹴而就,而是一个持续运行、长治久安的过程。通过每年年底的自评自测,补齐短板,如果每年能提升5分就是一种进步。
第一部分 安全规划及人员安全方面(共20分)
涉及医院网络与信息系统的管理人员、维护人员、使用人员等,包括安全规划、规章制度、安全意识、安全技能等。
1.网络安全规划与建设(共7分)
检查信息化项目的同步规划、同步建设、同步使用安全技术措施,即“三同步”落实情况,提供项目安全建设方案、验收文档等相关资料;检查在信息系统正式上线前,是否委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试;检查是否与产品和服务的提供者明确了安全和保密义务与责任。
在每个新建的软硬件项目规划阶段,是否考虑了信息安全内容(1分); 建设阶段是否合规进行资金预算、是否同步设计安全措施(1分); 验收时是否针对安全部分进行验收测试(1分); 使用阶段是否部署相应安全技术措施、技术手段(1分); 每年新上线的系统提供安全性测试报告(1分); 没有新上线系统的提供相关项目安全建设方案(1分); 提供与软硬件厂商或运维商签订的安全保密协议(1分)。
2.网络安全管理机构设置和相关人员(共5分)
检查有关网络安全管理机构设置情况,检查是否对网络安全管理负责人和关键岗位人员进行了安全背景审查。
单位设立网络及信息安全领导小组及管理机构的文件(1分); 有关网络及信息安全管理责任人、各岗位及岗位职责等相关制度(1分); 背景审查资料、记录、人员资质文件等(1分); 定期对安全岗位的人员进行安全技能及安全认知的考核(1分); 离岗人员管理制度及记录,其中主要包括:对离岗人员信息系统访问权限终止说明;软硬件设备、身份证件等收回的说明,终止访问权限的表单及设备、证件等上缴表单记录(1分)。
3.网络安全制度(共2分)
检查是否建立完善的网络安全管理制度体系,定期对网络安全管理制度进行审核、修订、更新,废除过时的管理制度。
建立完善的网络与信息系统安全制度汇编(1分); 提供安全管理制度制定、修改及发布过程中的审批记录(1分)。
4.网络安全培训(共6分)
检查单位内部组织的专业人员信息安全教育和技术培训情况,培训内容应包括但不限于网络安全相关制度和规定、网络安全保护技术、网络安全风险意识、应急响应培训、岗位操作规程等;检查单位人员参加外部的培训工作情况。
提供定期进行单位内部信息安全教育培训的资料,包括培训通知、培训教材、参加人员等(2分); 提供信息安全管理人员参加外部组织的技术培训的资料,包括培训通知、培训教材、参加人员等(2分); 提供近两年内信息安全管理人员取得的安全类证书(2分)。
第二部分 物理安全方面(共10分)
信息系统的物理安全涉及到整个系统的配套部件、设备和设施的安全性能、所处的环境安全以及整个系统可靠运行等方面,是信息系统安全运行的基本保障。
1.中心机房(共6分)
检查信息中心机房运维机制,检查信息中心机房出入口人员或设施值守情况,检查信息中心机房安全设施情况。
提供中心机房物理安全相关的管理制度(1分); 与运维单位或托管单位签订的服务协议中应有针对机房物理安全保障内容,包括但不限于安全服务内容、责任等(1分); 有机房出入记录或机房配备电子门禁(1分); 外部人员进入机房审批表(1分); 机房设施完整,包含监控、防火、防盗、防雷、UPS、机房专用精密空调、温湿度自动调节系统等(2分)。
2.物理容灾机制(共4分)
检查重要设施、重要系统的物理容灾机制。
建立异地容灾机房(2分); 网络核心交换机、重要的服务器、存储等采取双机热备、集群、虚拟化等容灾机制(2分)。
第三部分 运行安全方面(共30分)
运行安全的目标是保障网络及信息系统能连续、稳定的运行,包括日常运行管理、审计跟踪、备份恢复、应急响应等。
1.资产管理(共8分)
检查资产管理措施、设备管理措施、检查信息系统梳理情况等,对本单位的信息资产做到心中有数账实相符。
提供信息资产管理制度文档(1分); 提供资产清单,包括:资产责任部门、重要程度、所处位置等内容(1分); 提供光盘、U盘、移动硬盘等介质管理相关制度文档(1分); 提供光盘、U盘、移动硬盘等介质管理的相应工作记录(1分); 提供设备管理制度,包括但不限于设备采购、维修和报废管理等(1分); 提供设备管理相应工作记录(1分); 提供信息系统清单(1分); 提供信息系统的日常升级维护等工作记录(1分)。
2.等保测评(共4分)
检查等保测评开展情况。
通过等保三级测评,并有测评报告(2分); 定期进行等保整改,并进行等保复测(2分)。
3.系统审计(共6分)
检查对信息系统的主机层面与应用系统层面的审计情况。
对管理人员登录主机后的操作行为进行审计,对系统中重要的、网络交换机、服务器、安全设备和主机进行严格的行为控制,对用户的操作、命令等进行必要的记录审计(2分); 对管理人员登录数据库的操作行为进行审计,对数据库的增删查改等数据操作命令进行记录审计(2分); 对前台使用人员对应用系统的使用行为进行审计,重点审计医疗系统中和业务流转流程息息相关的应用操作记录痕迹(2分)。
4.备份恢复(共4分)
检查重要系统的备份恢复措施。
提供本地数据备份与恢复功能,数据备份至少每天一次,备份介质场外存放(1分); 提供异地数据备份功能,利用网络将关键数据定时传送至备用场地(1分); 定期对数据备份进行恢复测试(1分); 采用备份一体机、虚拟化快照等备份机制(1分)。
5.应急预案及安全事件处置(共8分)
检查应急预案和应急演练情况;检查是否建立安全事件上报机制与措施。
提供应急预案。包括但不限于组织机构与职责、预警监测、研判和发布、响应、预警解除等流程,事件报告、安全事件等级和安全事件分类、应急响应、应急结束程序;预案演练、宣传、培训等工作规划;技术支撑队伍、专家队伍、社会资源、经费等保障措施(2分); 检查应急演练开展情况,每年至少开展一次有单位网络安全主要责任人参加的实战演练,有演练报告,内容包括但不限于工作部署、实施人员、演练步骤、演练结果、经验总结等内容(4分); 提供网络及信息安全事件上报制度(1分); 提供网络及信息上报记录文件(1分)。
第四部分 信息安全方面(共40分)
信息安全是指防治信息被故意或偶然的非法授权、泄露、更改、破坏,确保信息系统的可用性、完整性、保密性、可控性。针对信息系统中信息存在的形式和运行特点,信息安全包括操作系统安全、数据库安全、应用安全、病毒安全、访问控制等。
1.网络安全(共6分)
检查网络部署情况,网络安全设计情况,网络开放端口情况等。
提供网络拓扑图,应包含所有网络出入口(内网、互联网、医保网、银行专网、视频会议网、VPN等边界)和安全域,并与运行实际相符(2分); 提供网络的安全策略规划和设置,对应每个网络出入口边界的访问控制等安全措施(2分); 关闭与业务无关的网络端口及危险端口,并对各个系统及软件所使用的端口进行登记(2分)。
2.主机及数据库安全(共8分)
检查主机访问安全性、检查主机系统防病毒及恶意代码攻击情况、检查主机的安全配置情况、检查主机安全漏洞检测情况。
通过设定终端接入方式、网络地址范围等条件限制主机的登录终端(2分); 安装防恶意代码产品或防病毒产品,及时更新升级病毒库、防恶意代码软件版本和恶意代码库(2分); 制定和施行主机、数据库服务器系统策略,包括但不限于无多余账户、用户权限、密码策略、锁定策略、审核策略(2分); 每季度进行主机安全漏洞扫描并有漏洞扫描报告(2分)。
3.应用安全(14分)
检查重要系统安全检测情况、检查安全整改情况、检查Web应用防篡改、防攻击机制、检测应用系统中后门程序问题等。
每年对重要的应用系统进行信息安全风险评估(2分); 每年对重要的应用系统、网站进行安全漏洞检测(2分); 针对本单位自主发现及安全主管部门发现的安全隐患及主要漏洞,提供整改情况报告(2分); 针对上级安全主管部门发送的安全预警采取必要措施,包括但不限于安全预警通知、相应的安全运维措施(2分); 针对Web应用系统采取的防篡改、防攻击机制(2分); 扫描或手动检查Web应用系统中是否存在后门程序(2分); 测试或检查数据库及应用系统是否存在弱口令(2分)。
4.日常安全运维(共12分)
检查日常网络及信息安全运维的实际运转情况。
有日常安全运维的相关管理制度(2分); 有安全运维记录(包括但不限于补丁升级、漏洞扫描、防护策略调整、远程运维审批和日志审计)(2分); 对安全设备进行按需配置,包括防火墙、IPS/IDS等,并对配置文件进行定期离线备份(2分); 网络设备运行日志、服务器运行日志、数据库访问日志、业务系统运行日志等留存记录不少于6个月(2分); 有对系统运行状态进行监测的措施,以确保第一时间发现系统中断、性能下降或其他运行异常情况(2分); 每年对信息安全情况进行自查,其内容中应包括:网络威胁监测情况、入侵检测或入侵防御系统情况,发现的主要问题和薄弱环节、面临的安全威胁和风险、改进措施、整改效果等(2分)。
医院网络及信息系统安全,是一个宏大的课题,需要结合安全需求和实际情况建立完善的网络安全管理体系,形成科学化的医院网络安全保障机制。网络安全包含的内容和范围极广,量化自评不可能包罗万象,只能择其重点,而且需要根据医院的实际情况和时代的进步发展做更新调整。请各位同行多提宝贵意见,对自评表进行完善。
郝尚永:现任天津医科大学肿瘤医院(天津市肿瘤医院)总务处副处长、高级工程师,2008年6月至2018年10月任计算机网络中心主任。2000年6月毕业于天津大学管理信息系统专业,2012年6月取得天津大学软件工程硕士学位。自2000年7月参加工作一直从事医院信息系统规划构建、设计开发、运维服务、信息管理等工作。
兼任中国医院协会信息管理专业委员会委员、中国卫生信息学会电子病历与医院信息化专业委员会委员、中国医学装备学会数字医疗技术分会委员、中国研究型医院学会医疗和临床科研大数据应用专业委员会委员、天津市卫生信息学会常务理事、天津市卫生健康信息化建设专家等多项学术兼职。
HIT专家网∣致力推进中国卫生信息化
想加入HIT专家网专业交流群吗?
请添加“HIT专家网”小助手微信好友
(请务必注明姓名、单位名称、职务、主管技术或产品领域等实名信息)
微信订阅号:HIT180com
微信服务号:chinaHIT
投稿:tan_xiao@hit180.com
商务合作:(010)82373062