医院信息安全建设方案.doc

《医院信息安全建设方案.doc》由会员分享，可在线阅读，更多相关《医院信息安全建设方案.doc（169页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上*医院信息安全建设方案 文档编号 密级 版本编号V1.0 日期 2022专心-专注-专业目录一. 概述1.1 项目背景随着医院信息化建设的逐步深入，网上业务由单一到多元化，各类应用系统数十个，信息系统承受的压力日益增长，医院信息系统已经成为医院正常运行不可或缺的支撑环境和工作平台，因此按照信息系统等级保护的基本要求，通过建立合理可靠的技术平台，细致的日常管理与及时的故障处理应急预案，将信息系统等级保护措施落实到实处，确保信息系统不间断运行，只有在技术和管理互相提供支撑的前提下才能确保系统的稳定运行。从医院角度依据信息安全等级保护的要求，通过对医院核心信息系统的建设。充

2、分发挥网络在医院信息系统中的应用。从技术安全阐述如何建立合理技术平台，加强安全防护对策。强调了保障网络和信息系统安全，让安全稳定的网络支撑医院走上可持续发展之路。核心业务是医院信息化建设的基础，是医院信息系统运行的平台，对医院运行效率和管理水平都有重要作用，因此创造良好信息系统安全运营环境是医院信息安全的最终目。医疗信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作，对于促进卫生信息化健康发展，保障医药卫生体制改革，维护公共利益、社会秩序和国家安全具有重要意义。为贯彻落实国家信息安全等级保护制度，规范和指导全国卫生行业医疗机构信息安全等级保护工作，卫生部办公厅印发了关于三级

3、甲等医院信息安全等级保护建设的相关通知，具体如：卫生部关于印发卫生行业信息安全等级保护工作的指导意见的通知卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知建设和整改要求：1.对三级甲等医院已确定安全保护等级的第三级信息系统，应当按照国家信息安全等级保护工作规范和医疗机构信息系统安全等级保护基本要求、医疗机构重要信息系统等级保护三级测评技术要求项等国家标准，开展安全保护现状分析，查找安全隐患及与国家信息安全等级保护标准之间的差距，确定安全需求。2.根据信息系统安全保护现状分析结果，按照信息安全技术信息系统安全等级保护基本要求、医疗机构信息系统安全等级保护基本要求、医疗机构重要信息系统等

4、级保护三级测评技术要求项等国家标准，制订信息系统安全等级保护建设整改方案。三级卫生信息系统安全建设整改方案应当经信息安全技术专家委员会论证，完善安全保护设施，建立安全管理制度，落实安全管理措施，形成信息安全技术防护体系和信息安全管理体系，有效保障医院信息系统安全。1.2 建设目标依据国家相关政策要求，依据*医院信息系统的实际需要，基于现代信息系统安全保障理论，采用现代信息安全保护技术，按照一定规则和体系化的信息安全防护策略进行的整体设计。建设目标覆盖以下内容l 完善基础安全防护整体架构，开展并完成信息系统等保工作，使之基本达到（符合）行业等级保护基本要求。l 加强信息安全管理工作，制订科学合理

5、的信息安全工作方针、政策，进一步完善信息安全管理制度体系，实现管理制度的标准化、规范化和流程化。l 建立科学、完备的信息安全运维管理体系，实现信息安全事件的全程全周期管理，切实保障信息系统安全、稳定运行。1.3 建设内容依据国家相关政策要求，对*医院的信息系统进行安全建设，覆盖信息安全的管理体系、技术体系和运维体系三个方面，建设内容覆盖以下各个层面l 物理层面l 网络层面l 主机层面l 应用层面l 数据层面l 管理层面1.4 建设必要性通过近几年的信息化建设，*医院已建成基本稳定的信息系统软、硬件平台，在信息安全方面也进行了基础性的部分建设，使系统有了一定的防护能力。但由于病毒攻击、恶意攻击泛

6、滥，应用软件漏洞层出不穷，*医院的信息安全方面仍面临较大的挑战。另一方面，*医院安全措施比较薄弱，安全防护意识有待加强，安全制度还有待完善。随着信息技术的飞速发展，如今基于信息系统安全防护已不能仅停留在普通网络安全设备的层面上，需要部署完善的、基于保护操作系统、数据、网络和应用的安全防护体系。从等级保护安全要求来看，安全建设的必要性主要体现在两个方面： 安全管理现状与等级保护要求的差距*医院自身信息系统建设及运维基础上，建立了一套满足并能够促进网络运维的安全管理体系，但同等级保护的安全管理要求相比较，现有管理制度不论在涉及方面的健全性，还是具体内容的完善性，都存在差距。主要包括：建立信息安全总

7、体策略、完善各个方面的信息安全管理制度、以及落实各类制度需要的表单。 安全技术现状与等级保护要求的差距整体设计方面的问题，即某些差距项的不满足是由于该系统在整体的安全策略设计上存在问题。同事缺乏相应产品实现安全控制，未能通过对产品的正确选择、部署和恰当配置满足相应要求。另外，由于使用者技术能力、安全意识的原因，或出于对系统运行性能影响的考虑等原因，产品没有得到正确的配置，从而使其相关安全功能没有得到发挥。二. 安全建设思路2.1 等级保护建设流程等级保护的设计与实施通过以下步骤进行：1. 系统识别与定级：通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。通过此

8、步骤充分了解系统状况，包括系统业务流程和功能模块，以及确定系统的等级，为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。2. 安全域设计：根据第一步的结果，通过分析系统业务流程、功能模块，根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次，为下一步安全保障体系框架设计提供基础框架。3. 安全保障体系框架设计：根据安全域框架，设计系统各个层次的安全保障体系框架（包括策略、组织、技术和运作），各层次的安全保障体系框架形成系统整体的安全保障体系框架。4. 确定安全域安全要求：参照国家相关等级保护安全要求，设计等级安全指标库。通过安全域适用安全等级选

9、择方法确定系统各区域等级，明确各安全域所需采用的安全指标。5. 评估现状：根据各等级的安全要求确定各等级的评估内容，根据国家相关风险评估方法，对系统各层次安全域进行有针对性的等级风险评估。通过等级风险评估，可以明确各层次安全域相应等级的安全差距，为下一步安全技术解决方案设计和安全管理建设提供依据。6. 安全技术解决方案设计：针对安全要求，建立安全技术措施库。通过等级风险评估结果，设计系统安全技术解决方案。7. 安全管理建设：针对安全要求，建立安全管理措施库。通过等级风险评估结果，进行安全管理建设。2.2 参考标准 计算机信息系统安全保护等级划分准则（GB17859-1999） 信息系统安全等级

10、保护基本要求（GB/T 22239-2008） 信息系统安全保护等级定级指南（GB/T 22240-2008） 信息系统等级保护安全设计技术要求 信息安全等级保护实施指南（报批稿） 信息系统安全等级保护测评要求（送审稿） GA/T3872002计算机信息系统安全等级保护网络技术要求 GA/T3882002计算机信息系统安全等级保护操作系统技术要求 GA/T3892002计算机信息系统安全等级保护数据库管理系统技术要求 GA/T3902002计算机信息系统安全等级保护通用技术要求 GA/T3912002计算机信息系统安全等级保护管理要求 GB/T18019-1999信息技术包过滤防火墙安全技术要

11、求 GB/T18020-1999信息技术应用级防火墙安全技术要求 ISO27000 IATF：信息保障技术框架 ISO/IEC 15408（CC） ISO/IEC 13335，第一部分：IT安全的概念和模型； 第二部分：IT安全的管理和计划制定； 第三部分：IT安全管理技术； 第四部分：安全措施的选择； 第五部分：网络安全管理指南。三. 安全现状分析3.1 网络架构分析现有网络情况如上图所示，安全防护能力较弱，只通过网络防火墙对互联网边界进行控制，缺少专业化的安全防护产品，存在重大安全风险。3.2 系统定级情况医院内HIS、LIS、PACS、EMR以及集成平台定义为三级，门户网站等其他系统为二

12、级。解读国家相关文件和定级指南等要求，结合各单位的实际情况，信息系统的五个等级可以做如下初步落实、描述：第一级，各单位及其下属单位的一般信息系统，其应用范围局限于本单位内部。系统受到破坏后，会对本单位及其员工的合法权益造成一般性损害，不良影响主要在本单位内部，不损害国家安全、社会秩序和公共利益。第二级，总部及各单位比较重要的信息系统。系统受到破坏后，会对总部、省级单位及其员工、客户造成严重损害，影响企业形象，带来一定的法律问题；或者对社会秩序和公共利益造成一般性损害、带来一定的社会不良影响，但不损害国家安全。第三级，总部及各单位跨省或全国联网运行的重要信息系统。系统受到破坏后，会对总部、省级单

13、位造成特别严重损害，严重影响企业形象，带来严重的法律问题；或者对社会秩序和公共利益造成严重损害，造成较大范围的社会不良影响；或者对国家安全造成了一般性损害。第四级，重要领域、重要部门三级信息系统中的部分重要系统。系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，重要领域、重要部门中的极端重要系统。系统受到破坏后，会对国家安全造成特别严重损害。四. 安全需求分析4.1 等级保护技术要求分析4.1.1 物理层安全需求物理安全是信息系统安全运行的基础和前提，是系统安全建设的重要组成部分。在等级保护中将物理安全划分为技术要求的第一部分，从物理位置选择、物理访问

14、控制、防盗窃防破坏、防雷击、防火、防水防潮、防静电、温湿度控制、电力供应、电磁防护等方面对信息系统的物理环境进行了规范。物理层考虑因素包括机房环境、机柜、电源、服务器、网络设备和其他设备的物理环境。该层为上层提供了一个生成、处理、存储和传输数据的物理媒体。物理层主要考虑如下方面的内容：u 物理位置的选择u 物理访问控制u 防盗窃和防破坏u 防雷击u 防火u 防水和防潮u 防静电u 温湿度控制u 电力供应u 电磁防护4.1.2 网络层安全需求网络层指利用路由器、交换机和相关网络设备建成的、可以用于在本地或远程传输数据的网络环境，是应用安全运行的基础设施之一，是保证应用安全运行的关键，也是实现内部

15、纵向交互、与其它单位横向交流的重要保证。在安全模型中，网络层中进行的各类传输活动的安全都应得到关注。现有的大部分攻击行为，包括病毒、蠕虫、远程溢出、口令猜测等攻击行为，都可以通过网络实现。网络层主要考虑如下方面的内容：u 结构安全与网段划分u 网络访问控制u 拨号访问控制u 网络安全审计u 边界完整性检查u 网络入侵防范u 恶意代码防范u 网络设备防护4.1.3 系统层安全需求系统层包括各类服务器、终端和其他办公设备操作系统层面的安全风险。系统层面临的安全风险主要来自两个方面，一方面来自系统本身的脆弱性，另一方面来自对系统的使用、配置和管理。这导致系统存在随时被黑客入侵或蠕虫爆发的可能。系统层

16、主要考虑如下方面的内容：u 身份鉴别u 自主访问控制u 强制访问控制u 安全审计u 系统保护u 剩余信息保护u 入侵防范u 恶意代码防范u 资源控制4.1.4 应用层安全需求应用层是在前面层次的基础之上，可以提供给最终用户真正办公功能的层次，应用层是用户与前面层次的接口。这个层次包括Web应用、文件处理、文件传输、文件存储和其他办公应用等，这些功能依靠相应的IE浏览器、FTP应用软件、公文处理系统、数据库访问控制系统等实现。应用层主要考虑如下方面的内容：u 身份鉴别u 访问控制u 安全审计u 剩余信息保护u 通信完整性u 通信保密性u 抗抵赖u 软件容错u 资源控制u 代码安全4.1.5 数据

17、层安全需求数据层是用户真正的数据，对于用户而言，数据才是真正至关重要的。数据安全需求包括数据库安全需求、数据传输安全需求、数据存储安全需求等构成。数据层主要考虑如下方面的内容：u 数据完整性u 数据保密性u 数据备份和恢复4.2 等级保护管理要求分析4.2.1 安全管理制度安全管理制度是企业或单位安全管理的根本，它需要制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架，并对安全管理活动中的各类管理内容建立安全管理制度，严格规定安全管理制度的授权和制定，使之能完全符合企业或单位的实际情况。安全管理制度主要考虑如下方面的内容：u 管理制度u 制定和发布u 评审和

18、修订4.2.2 安全管理机构安全管理机构是信息安全管理职能的执行者，该职能部门应该是独立的，同时设定相关的管理职责，实现信息安全管理工作有效进行的目标。加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通，定期召开协调会议，共同协作处理信息安全问题。安全管理机构主要考虑如下方面的内容：u 岗位设置u 人员配备u 授权和审批u 沟通和合作u 审核和检查4.2.3 人员安全管理人员安全管理是管理要求重要的组成部分，指定并授权专门的部门责人员录用，签署保密协议，并从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议。定期对各个岗位的人员进行安全技能及安全认知的考核，对关键岗位

19、的人员进行全面、严格的安全审查和技能考核，并考核结果进行记录和保存。对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训人员安全管理主要考虑如下方面的内容：u 人员录用u 人员离岗u 人员考核u 安全意识教育和培训u 外部人员访问管理4.2.4 系统建设管理系统建设管理，是针对信息系统定级、设计、建设等工作的管理要求。明确信息系统的边界和安全保护，组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定；据系统的安全保护等级选择基本安全措施，并依据风险分析的结果补充和调整安全措施，指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划

20、，对产品采购和自行开发进行规范化的管理。系统建设管理主要考虑如下方面的内容：u 系统定级u 安全方案设计u 产品采购和使用u 自行软件开发u 外包软件开发u 工程实施u 测试验收u 系统交付u 系统备案u 等级测评u 安全服务商选择4.2.5 系统运维管理系统运维管理是安全管理时间占比最大的一项内容，需要安全管理人员按照管理规范对对机房供配电、空调、温湿度控制等环境设施进行维护管理；建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为，建立统一的监控和安全管理中心。系统运维管理主要考虑如下方面的内容：u 环境管理u 资产管理u 介质管理u 设备管理u 监控

21、管理和安全管理中心u 网络安全管理u 系统安全管理u 恶意代码防范管理u 密码管理u 变更管理u 备份与恢复管理u 安全事件处置u 应急预案管理五. 总体设计思路5.1 设计目标落实GB17859-1999的安全保护要求，在安全保护环境的基础上，通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制，使得系统具有在统一安全策略管控下，保护敏感资源的能力。通过满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设；通过满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设，让信息系统的等级保护建设

22、方案最终既可以满足等级保护的相关要求，又能够全方面提供业务服务，形成立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能力5.2 设计原则5.2.1 合规性原则1994年国务院发布中华人民共和国计算机信息系统安全保护条例（国务院147号令），规定“计算机信息系统实行安全等级保护”的制度框架。1999年国家发布实施的计算机信息系统安全保护等级划分准则GB17859-1999，这是第一部强制性国家信息安全标准，也是一个技术法规。等级保护不仅是对信息安全产品或系统的检测、评估以及定级，更重要的是，等级保护是围绕信息安全保障全过程的一项基础性的管理制度，是一项基础性和制度性的工作。通过将等级化方

23、法和政府行业信息安全体系建设有效结合，设计一套符合需求的信息安全保障体系，是适合我国国情、系统化地解决信息安全问题的一个非常有效的方法。5.2.2 先进性原则安全设备必须采用专用的硬件平台和安全专业的软件平台保证设备本身的安全，符合业界技术的发展趋势，既体现先进性又比较成熟，并且是各个领域公认的领先产品。5.2.3 可靠性原则网络是信息化发展的基础，其稳定性至关重要；网络安全设备由于部署在关键节点，成为网络稳定性的重要因素。整个网络设计必须考虑到高可靠性因素。5.2.4 可扩展性原则信息网络处在不断发展完善的阶段，其网络也会不断的扩充变化，要求在保证网络安全的基础上整个网络具有灵活的可扩展性，

24、特别是对安全域域的新增以及原有安全域域扩充等要求具有良好的支持。5.2.5 开放兼容性原则网络安全产品设计规范、技术指标符合国际和工业标准，支持多厂家产品，从而有效的保护投资。5.2.6 最小授权原则网络安全策略管理必须遵从最小授权原则，即不同安全域域内的主机只能访问属于相应的安全设备必须采用专用的硬件平台和安全专业的软件平台保证设备本身的安全，符合业界技术的发展趋势，既体现先进性又比较成熟，并且是各个领域公认的领先产品。5.2.7 经济性原则项目设计和建设过程中，将充分利用现有资源，在可用性的前提条件下充分保证系统建设的经济性，提高投资效率，避免重复建设。六. 整改建议6.1 物理安全类别问

25、题描述解决措施物理安全物理访问控制1.没有登记进出机房的人员，机房重要设备没有划区域隔离。建议安排专人值守机房出入口。2.暂无相关申请和审批流程。需要经过申请和审批流程，且有专人陪同。防盗窃与防破坏大部分设备都已固定在机柜中，但部分设备放至在机柜上方，仍有大部分通信线缆未整理和固定；部分设备和线缆有标签注意每个设备和线路的用途，部分设备和线缆无此设置。建议所有设备和通信线缆均固定在机柜中，且所有设备和线缆设置标签，说明用途和去向。未部署红外监控等光、电等技术的防盗报警系统建议部署红外报警系统防水和防潮精密空调出水位置布置漏水检测点，对漏水情况自动报警，但检测范围未覆盖所有易漏水的位置。建议部署

26、完整的漏水检测电磁防护对关键设备和磁介质实施电磁屏蔽。建议对关键设备和磁介质实施电磁屏蔽6.2 网络安全类别问题描述解决措施网络安全结构安全无按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。采用高性能下一代防火墙，按照业务的业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机和业务。边界完整性检查未能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；建议部署网络准入系统，对非授权设备私自联到内部网络的行为进行检查。未能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效

27、阻断。建议部署上网行为管理系统，对内部用户的上网行为进行管理。入侵防范无相关入侵检测设备实现在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时无法提供报警。建议部署IPS实现入侵防范功能，在网络边界监视并防护网络攻击行为。恶意代码防范无相关恶意代码检测设备在网络边界处对恶意代码进行检测和清除，并升级和检测系统的更新。建议部署防毒网关实现恶意代码防范功能，在网络边界监视恶意代码攻击行为。访问控制未能根据会话状态信息为数据流提供明确的允许/

28、拒绝访问的能力，控制粒度为端口级建议采用下一代防火墙，根据IP和端口设置安全策略，只有符合策略的数据包才能通过。未根据进出网络的信息内容进行过滤。建议采用下一代防火墙，对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。未限制网络最大流量数及网络连接数；建议采用下一代防火墙，限制网络最大流量数及网络连接数。重要网段未采取技术手段防止地址欺骗；建议启用下一代防火墙的ARP防欺骗功能网络设备防护未对网络设备的管理员登录地址进行限制；建议通过堡垒机和ACL策略设置限制网络设备的登录地址，如信息技术部的网段或若干个管理IP。主要网络设备目前只

29、使用一种身份鉴别方式。建议通过堡垒机使用U-KEY或者域认证的方式实现双因子认证。密码长8位，由小写字母和数字组成。不定期更改一次口令。建议通过堡垒机设定密码复杂度规则，并通过改密计划，自动定期进行改密目前只有一个超级管理员。建议通过堡垒机设置审计员、操作员等角色，实现权限分离。未能够根据记录数据进行分析，并生成审计报表；建议通过日志分析系统根据记录数据进行分析，并生成审计报表通过telnet和http方式访问设备，未采取必要措施防止鉴别信息在网络传输过程中被窃听。建议通过堡垒机，使用ssh协议登录设备。6.3 主机安全6.3.1 业务系统主机类别问题描述解决措施身份鉴别密码未符合复杂性要求建

30、议通过堡垒机设置密码复杂度要求，并通过改密计划定期自动改密：密码长度最小值：8个字符；密码最短使用期限：2天；密码最长使用期限：90天；强制密码历史：24未启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；建议通过堡垒机设置登录失败处理功能建议帐户锁定策略如下：帐户锁定时间：15分钟；帐户锁定阀值：5次无效登录；重围帐户锁定计数器：15分钟之后。目前只使用用户名和密码登录建议通过堡垒机使用U-KEY或者域认证的方式实现双因子认证。访问控制已启用磁盘默认共享功能建议关闭磁盘默认共享功能操作系统用户可直接对数据库系统进行操作，权限未分离。建议禁用Windows身份登录方式。已

31、禁用Guest用户，已设置管理员密码，但未重命名Administrator用户。建议重命名Administrator用户。安全审计所有审核策略均设置为无审核。建议采用日志审计系统对系统中的登陆日志、操作日志进行审计。剩余信息保护交互式登录：不显示最后的用户名：已禁用。用可还原的加密来储存密码：已禁用。建议设置：交互式登录：不显示最后的用户名：已启用关机：清除虚拟内存页面文件：已禁用。建议设置关机：清除虚拟内存页面文件：已启用。入侵防范未启用Windows自带的防火墙建议启用windows自带的防火墙未能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施；建议部署防篡改软件对

32、重要程序的完整性检测操作系统存在不需要的服务组件和应用程序，系统补丁未及时得到更新。建议通过漏洞扫描系统，定期对系统进行扫描，并及时更新系统补丁，建议通过配置检查系统，按照等级保护要求进行基线检查，及时关闭不需要的服务和应用程序恶意代码防范未安装杀毒软件建议安装杀毒软件，通过统一管理平台进行统一升级和维护，保证病毒特征库得到及时的更新资源控制未限制管理网络地址范围。建议设立设备管理区，仅限制几台管理终端可以登录管理服务器建议通过堡垒机和ACL策略设置限制设备的登录地址，如信息技术部的网段或若干个管理IP。未启用带密码保护的屏幕保护程序。建议启用带密码保护的屏幕保护程序。未能够对系统的服务水平降

33、低到预先规定的最小值进行检测和报警。建议采取技术措施监控CPU，内存，硬盘等资源的使用率，并设置报警阈值。6.3.2 数据库主机类别问题描述解决措施身份鉴别sa用户的密码长最低8位，由数字、小写字母组成，不定期修改。存在7个口令为空的用户建议禁用口令为空的用户。未启用登录失败处理功能。建议通过堡垒机设置登录失败处理功能，如连续登录失败3次则断开连接目前仅使用用户名和密码进行身份鉴别建议通过堡垒机使用U-KEY或者域认证的方式实现双因子认证。访问控制操作系统用户可直接对数据库系统进行操作，权限未分离。建议禁用Windows身份登录方式。安全审计已启用自带的审计功能，未启用C2审核跟踪功能。建议采

34、用数据库审计系统对数据库的所有操作进行审计和跟踪使用内置的审计策略，登录审核设置为：仅限失败的登录建议采用日志审计系统对系统中的登陆日志、操作日志进行审计。资源控制未限制管理网络地址范围。建议设立设备管理区，仅限制几台管理终端可以登录管理服务器建议通过堡垒机和ACL策略设置限制设备的登录地址，如信息技术部的网段或若干个管理IP。未启用带密码保护的屏幕保护程序。建议启用带密码保护的屏幕保护程序。6.4 应用安全6.4.1 HIS系统（三级）类别问题描述解决措施身份鉴别使用用户名/密码一种身份鉴别方式。建议应用系统采用两种或两种以上身份鉴别技术的组合来进行身份鉴别（如采用用户名/口令、挑战应答、动

35、态口令、物理设备如（如U-KEY）、生物识别技术中的任意两种组合）未提供密码复杂度校验功能。建议后台管理程序提供密码复杂度校验功能已启用身份鉴别、身份标识唯一性检查、已提供登录失败处理功能，未提供用户口令复杂度检查功能，未提供根据需要配置相关安全参数功能。建议提供用户口令复杂度检查功能，建议后台管理程序提供根据需要配置相关安全参数功能。访问控制未对重要信息资源设置敏感标记的功能；建议采用数据审计系统，应用系统对重要信息资源设置敏感标记，如对重要信息资源设置机密和普通的等级，对高危操作或者高频率敏感数据操作进行告警依据安全策略严格控制用户对有敏感标记重要信息资源的操作建议采用数据审计系统，应用系

36、统对重要信息资源设置敏感标记，如对重要信息资源设置机密和普通的等级，对高危操作或者高频率敏感数据操作进行告警建议应用系统的强制访问控制与用户身份鉴别、标识等安全功能密切配合，并且控制粒度达到主体为用户级，客体为文件和数据库表级。安全审计应用层面未提供安全审计建议采用网络审计系统实现应用层面的审计效果未保证无法单独中断审计进程，无法删除、修改或覆盖审计记录建议采用日志审计系统对日志进行独立存储的避免对审计记录的修改、删除或覆盖。应用层面未提供安全审计建议采用网络审计系统，进行全面审计，记录包括事件的日期、时间、类型、主体标识、客体标识和结果等内容应用层面未提供安全审计建议采用网络审计系统，定期生

37、成审计报表并包含必要审计要素。数据完整性未采用密码技术保证通信过程中数据的完整性。建议采用密码技术保证通信过程中数据的完整性：如系统根据校验码判断对方数据包的有效性，用密码计算通信数据报文的报过文验证码；可通过Hash函数（如MD5、SHA和MAC）对完整性进行校验，但不能使用CRC。未启用带密码保护的屏幕保护程序。建议启用带密码保护的屏幕保护程序。抗抵赖未使用数字证书建议部署数字证书。资源控制未限制最大并发会话连接数。建议限制访问系统的最大并发会话连接数未对单个帐户的多重并发会话进行限制。建议限制单个账户的多重并发，限制一个账户只能在一台终端上登录未限制一个时间段内的最大并发会话连接数。建议

38、限制访问系统的最大并发会话连接数。未能够对系统服务水平降低到预先规定的最小值进行检测和报警；建议设置专门的监控软件或硬件，监控系统的服务能力，当服务能力低于阀值时报警。6.4.2 LIS系统（三级）类别问题描述解决措施身份鉴别使用用户名/密码一种身份鉴别方式。建议应用系统采用两种或两种以上身份鉴别技术的组合来进行身份鉴别（如采用用户名/口令、挑战应答、动态口令、物理设备如（如U-KEY）、生物识别技术中的任意两种组合）未提供密码复杂度校验功能。建议提供鉴别信息复杂度检查功能，限制密码长度在8位以上，包含大小写字母、数字和字符，及时修改管理员密码，增强管理员密码复杂度。未提供登录失败处理功能建议

39、提供登录失败处理功能，登录失败35次，锁定用户一段时间已启用身份鉴别、身份标识唯一性检查、已提供登录失败处理功能，未提供用户口令复杂度检查功能，未提供根据需要配置相关安全参数功能。建议提供用户口令复杂度检查功能，建议后台管理程序提供根据需要配置相关安全参数功能。访问控制未对重要信息资源设置敏感标记的功能；建议采用数据审计系统，应用系统对重要信息资源设置敏感标记，如对重要信息资源设置机密和普通的等级，对高危操作或者高频率敏感数据操作进行告警依据安全策略严格控制用户对有敏感标记重要信息资源的操作建议采用数据审计系统，应用系统对重要信息资源设置敏感标记，如对重要信息资源设置机密和普通的等级，对高危操

40、作或者高频率敏感数据操作进行告警建议应用系统的强制访问控制与用户身份鉴别、标识等安全功能密切配合，并且控制粒度达到主体为用户级，客体为文件和数据库表级。安全审计应用层面未提供安全审计建议采用网络审计系统实现应用层面的审计效果未保证无法单独中断审计进程，无法删除、修改或覆盖审计记录建议采用日志审计系统对日志进行独立存储的避免对审计记录的修改、删除或覆盖。应用层面未提供安全审计建议采用网络审计系统，进行全面审计，记录包括事件的日期、时间、类型、主体标识、客体标识和结果等内容应用层面未提供安全审计建议采用网络审计系统，定期生成审计报表并包含必要审计要素。软件容错未有自动保护功能，当故障发生时自动保护

41、当前所有状态，保证系统能够进行恢复。建议应用服务器架构负载均衡实现自动保护功能。资源控制未限制最大并发会话连接数。建议限制访问系统的最大并发会话连接数未对单个帐户的多重并发会话进行限制。建议限制单个账户的多重并发，限制一个账户只能在一台终端上登录未限制一个时间段内的最大并发会话连接数。建议限制访问系统的最大并发会话连接数。未能对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；建议通过下一代防火墙，通过流量控制的方式限制帐户的资源配额未能够对系统服务水平降低到预先规定的最小值进行检测和报警；建议设置专门的监控软件或硬件，监控系统的服务能力，当服务能力低于阀值时报警。未提供服务优先级设

42、定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源建议通过下一代防火墙，通过流量通道优先级设定，当资源紧张时优先满足权限高的用户的访问请求。6.4.3 PACS系统（三级）类别问题描述解决措施身份鉴别未提供密码复杂度校验功能。建议提供鉴别信息复杂度检查功能，限制密码长度在8位以上，包含大小写字母、数字和字符，及时修改管理员密码，增强管理员密码复杂度。已启用身份鉴别、身份标识唯一性检查、已提供登录失败处理功能，未提供用户口令复杂度检查功能，未提供根据需要配置相关安全参数功能。建议提供用户口令复杂度检查功能，建议后台管理程序提供根据需要配置相关安全参数功能。访问控

43、制未对重要信息资源设置敏感标记的功能；建议采用数据审计系统，应用系统对重要信息资源设置敏感标记，如对重要信息资源设置机密和普通的等级，对高危操作或者高频率敏感数据操作进行告警依据安全策略严格控制用户对有敏感标记重要信息资源的操作建议采用数据审计系统，应用系统对重要信息资源设置敏感标记，如对重要信息资源设置机密和普通的等级，对高危操作或者高频率敏感数据操作进行告警建议应用系统的强制访问控制与用户身份鉴别、标识等安全功能密切配合，并且控制粒度达到主体为用户级，客体为文件和数据库表级。安全审计已提供日志查询功能，未提供对日志进行统计、分析及生成报表的功能。建议采用日志审计系统，提供对日志进行统计、分

44、析及生成报表的功能。软件容错未有自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。建议应用服务器架构负载均衡实现自动保护功能。资源控制未提供结束空闲会话功能建议应用系统提供登录终端的操作超时锁定，空闲为会话超时时间设置为30分钟。未能对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；建议通过下一代防火墙，通过流量控制的方式限制帐户的资源配额6.4.4 EMR系统（三级）类别问题描述解决措施身份鉴别使用用户名/密码一种身份鉴别方式。建议应用系统采用两种或两种以上身份鉴别技术的组合来进行身份鉴别（如采用用户名/口令、挑战应答、动态口令、物理设备如（如U-KEY）、生

45、物识别技术中的任意两种组合）未提供密码复杂度校验功能。建议提供鉴别信息复杂度检查功能，限制密码长度在8位以上，包含大小写字母、数字和字符，及时修改管理员密码，增强管理员密码复杂度。未提供登录失败处理功能建议提供登录失败处理功能，登录失败35次，锁定用户一段时间已启用身份鉴别、身份标识唯一性检查、已提供登录失败处理功能，未提供用户口令复杂度检查功能，未提供根据需要配置相关安全参数功能。建议提供用户口令复杂度检查功能，建议后台管理程序提供根据需要配置相关安全参数功能。访问控制未对重要信息资源设置敏感标记的功能；建议采用数据审计系统，应用系统对重要信息资源设置敏感标记，如对重要信息资源设置机密和普通的等级，对高危操作或者高频率敏感数据操作进行告警依据安全策略严格控制用户对有敏感标记重要信息资源的操作建议采用数据审计系统，应用