医院信息化安全建设项目安全需求分析.doc

《医院信息化安全建设项目安全需求分析.doc》由会员分享，可在线阅读，更多相关《医院信息化安全建设项目安全需求分析.doc（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、医院信息化安全建设项目安全需求分析1.1 等级保护技术要求分析1.1.1 物理层安全需求物理安全是信息系统安全运行的基础和前提，是系统安全建设的重要组成部分。在等级保护中将物理安全划分为技术要求的第一部分，从物理位置选择、物理访问控制、防盗窃防破坏、防雷击、防火、防水防潮、防静电、温湿度控制、电力供应、电磁防护等方面对信息系统的物理环境进行了规范。物理层考虑因素包括机房环境、机柜、电源、服务器、网络设备和其他设备的物理环境。该层为上层提供了一个生成、处理、存储和传输数据的物理媒体。物理层主要考虑如下方面的内容：u 物理位置的选择u 物理访问控制u 防盗窃和防破坏u 防雷击u 防火u 防水和防潮

2、u 防静电u 温湿度控制u 电力供应u 电磁防护1.1.2 网络层安全需求网络层指利用路由器、交换机和相关网络设备建成的、可以用于在本地或远程传输数据的网络环境，是应用安全运行的基础设施之一，是保证应用安全运行的关键，也是实现内部纵向交互、与其它单位横向交流的重要保证。在安全模型中，网络层中进行的各类传输活动的安全都应得到关注。现有的大部分攻击行为，包括病毒、蠕虫、远程溢出、口令猜测等攻击行为，都可以通过网络实现。网络层主要考虑如下方面的内容：u 结构安全与网段划分u 网络访问控制u 拨号访问控制u 网络安全审计u 边界完整性检查u 网络入侵防范u 恶意代码防范u 网络设备防护1.1.3 系统

3、层安全需求系统层包括各类服务器、终端和其他办公设备操作系统层面的安全风险。系统层面临的安全风险主要来自两个方面，一方面来自系统本身的脆弱性，另一方面来自对系统的使用、配置和管理。这导致系统存在随时被黑客入侵或蠕虫爆发的可能。系统层主要考虑如下方面的内容：u 身份鉴别u 自主访问控制u 强制访问控制u 安全审计u 系统保护u 剩余信息保护u 入侵防范u 恶意代码防范u 资源控制1.1.4 应用层安全需求应用层是在前面层次的基础之上，可以提供给最终用户真正办公功能的层次，应用层是用户与前面层次的接口。这个层次包括Web应用、文件处理、文件传输、文件存储和其他办公应用等，这些功能依靠相应的IE浏览器

4、、FTP应用软件、公文处理系统、数据库访问控制系统等实现。应用层主要考虑如下方面的内容：u 身份鉴别u 访问控制u 安全审计u 剩余信息保护u 通信完整性u 通信保密性u 抗抵赖u 软件容错u 资源控制u 代码安全1.1.5 数据层安全需求数据层是用户真正的数据，对于用户而言，数据才是真正至关重要的。数据安全需求包括数据库安全需求、数据传输安全需求、数据存储安全需求等构成。数据层主要考虑如下方面的内容：u 数据完整性u 数据保密性u 数据备份和恢复1.2 等级保护管理要求分析1.2.1 安全管理制度安全管理制度是企业或单位安全管理的根本，它需要制定信息安全工作的总体方针和安全策略，说明机构安全

5、工作的总体目标、范围、原则和安全框架，并对安全管理活动中的各类管理内容建立安全管理制度，严格规定安全管理制度的授权和制定，使之能完全符合企业或单位的实际情况。安全管理制度主要考虑如下方面的内容：u 管理制度u 制定和发布u 评审和修订1.2.2 安全管理机构安全管理机构是信息安全管理职能的执行者，该职能部门应该是独立的，同时设定相关的管理职责，实现信息安全管理工作有效进行的目标。加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通，定期召开协调会议，共同协作处理信息安全问题。安全管理机构主要考虑如下方面的内容：u 岗位设置u 人员配备u 授权和审批u 沟通和合作u 审核和

6、检查1.2.3 人员安全管理人员安全管理是管理要求重要的组成部分，指定并授权专门的部门责人员录用，签署保密协议，并从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议。定期对各个岗位的人员进行安全技能及安全认知的考核，对关键岗位的人员进行全面、严格的安全审查和技能考核，并考核结果进行记录和保存。对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训人员安全管理主要考虑如下方面的内容：u 人员录用u 人员离岗u 人员考核u 安全意识教育和培训u 外部人员访问管理1.2.4 系统建设管理系统建设管理，是针对信息系统定级、设计、建设等工作的管理要求。明确信息系统的边界和安全保护，组织相关部门和

7、有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定；据系统的安全保护等级选择基本安全措施，并依据风险分析的结果补充和调整安全措施，指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划，对产品采购和自行开发进行规范化的管理。系统建设管理主要考虑如下方面的内容：u 系统定级u 安全方案设计u 产品采购和使用u 自行软件开发u 外包软件开发u 工程实施u 测试验收u 系统交付u 系统备案u 等级测评u 安全服务商选择1.2.5 系统运维管理系统运维管理是安全管理时间占比最大的一项内容，需要安全管理人员按照管理规范对对机房供配电、空调、温湿度控制等环境设施进行维护管理；建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为，建立统一的监控和安全管理中心。系统运维管理主要考虑如下方面的内容：u 环境管理u 资产管理u 介质管理u 设备管理u 监控管理和安全管理中心u 网络安全管理u 系统安全管理u 恶意代码防范管理u 密码管理u 变更管理u 备份与恢复管理u 安全事件处置u 应急预案管理