10
安全
10.1
前提假設
本章節的前提假設條件如下:
假設一:RHIN系統不支持從POS到POS直接發起的點到點的PHI等信息傳輸。
假設二:當將PHI等信息從RHIN系統下載到POS點上后,POS將負責該信息的安全性。
假設三:和RHIN系統相連的POS系統都將遵循POS站點安全建設規范。
假設四:RHIN系統下直接接入POS系統。本章節不考慮RHIN系統上下級互連的情況。
假設五:已建立RHIN系統CA認證體系或直接利用第三方CA認證體系。
10.2
安全方案目標
本安全方案的目標是支撐和保障區域衛生信息平臺的信息系統和業務的安全穩定運行,防止信息網絡癱瘓、防止應用系統破壞、防止業務數據丟失、防止衛生信息泄密、防止終端病毒感染、防止有害信息傳播、防止惡意滲透攻擊,以確保信息系統安全穩定運行,確保業務數據安全。
10.3
安全等級需求
基于健康檔案的區域衛生信息平臺所涉及信息包括:病人的基本健康信息,病人的診療數據,衛生資源數據等等。這些業務信息遭到破壞后,所侵害的客體是公民、法人和其他組織的合法權益。一旦業務信息遭到非法入侵、修改、增加、刪除等不明侵害(形式可以包括丟失、破壞、損壞等),會對公民、法人和其他組織的合法權益造成影響和損害。程度表現為嚴重損害,即工作職能收到嚴重影響,業務能力顯著下降,出現較嚴重的法律問題,較大范圍的不良影響等。根據以上描述
777
我們可以確定基于健康檔案的區域衛生信息平臺業務信息安全保護等級為第二級。
表10-1 業務信息安全分析
對相應客體的侵害程度
業務信息安全被破壞時所侵害的客體
一般損害
嚴重損害
特別嚴重損害
公民、法人和其他組織的合法權益
第一級
第二級
第二級
社會秩序、公共利益
第二級
第三級
第四級
國家安全
第三級
第四級
第五級
基于健康檔案的區域衛生信息平臺屬于為國計民生、經濟建設等提供服務的信息系統,其服務范圍為區域范圍內的普通公民、醫療機構等。該系統服務遭到破壞后,所侵害的客體是公民、法人和其他組織的合法權益,同時也侵害社會秩序和公共利益但不損害國家安全。客觀方面表現的侵害結果為:(1)可以對公民、法人和其他組織的合法權益造成侵害(影響正常工作的開展,導致業務能力下降,造成不良影響,引起法律糾紛等);(2)可以對社會秩序公共利益造成侵害(造成社會不良影響,引起公共利益的損害等)。根據《定級指南》的要求,出現上述兩個侵害客體時,優先考慮社會秩序和公共利益,另外一個不做考慮。上述結果的程度表現為:對社會秩序和公共利益造成一般損害,即會出現一定范圍的社會不良影響和公共利益的損害等,則業務信息安全保護等級為第二級。
表10-2 系統服務安全分析
對相應客體的侵害程度
系統服務被破壞時所侵害的客體
一般損害
嚴重損害
特別嚴重損害
公民、法人和其他組織的合法權益
第一級
第二級
第二級
社會秩序、公共利益
第二級
第三級
第四級
國家安全
第三級
第四級
第五級
信息系統的安全保護等級由業務信息安全等級和系統服務安全務安等級的較高者決定。所以,基于健康檔案的區域衛生信息平臺安全保護等級為第二級。
778
表10-3 RHIN安全等級
信息系統名稱
安全保護等級
業務信息安全等級
系統服務安全等級
基于健康檔案的區域衛生信息平臺
第二級
第二級
第二級
但是,從總體上考慮到某些基本業務信息系統(Point Of Service,POS)的信息系統,比如疾控中心,其系統服務遭受破壞后,可能會對社會秩序和公共利益造成嚴重損害,即會出現較大范圍的社會不良影響和較大程度的公共利益的損害等,所以其安全保護等級建議定為三級。但是由于本章主要考慮區域衛生信息平臺的安全保障,所以其它POS系統的安全保障方法不做論述。
10.4
系統風險分析
10.4.1
信息和信息系統分析
信息和信息系統構成了RHIN的信息資產。基于健康檔案的區域衛生信息平臺的使用對象主要是醫療衛生人員,最終的服務對象是居民和患者。醫療衛生人員為了更好的為居民和患者提供可靠的、可及的、連續的醫療衛生服務,需要依賴平臺提供的眾多服務。
RHIN平臺中的業務數據的類型主要包括文檔數據、操作型數據、輔助決策型數據。文檔數據是以文檔形式存在于平臺中的臨床和預防保健業務數據,例如檢驗報告、處方,傳染病報告卡等。這些數據是結果數據。操作型數據一般是指平臺從業務系統中采集、匯總、供實時業務查詢和統計使用的數據。輔助決策數據是指存儲在數據倉庫中,以主題方式組織,是經過二次加工的歷史數據。這些信息是需要安全保護的重點對象,其可用性、機密性和完整性均需要進行一定程度的保障。
RHIN平臺網絡基礎設施平臺由內、外兩大網絡部分組成。外部網絡對外收集和提供信息(向下級部門采集與提供信息,向上級數據中心報送信息),內部網進行信息管理和系統開發。其網絡拓撲示意圖如下:
779
圖10-1 信息和信息系統分析
10.4.2
安全風險分析
我們之所以要解決安全問題,是因為信息網絡存在被病毒、黑客攻擊等各類安全威脅攻擊的可能性,也就是說存在安全風險,并隨時可能因此造成財產、時間、聲譽上的損失,而根據安全風險的定義,安全風險的大小主要取決于以下四個方面:資產的價值、資產的脆弱性、面臨的威脅程度,以及已經采取的防范措施。
圖10-2 安全風險要素分析
780
也就是說,當一個系統具有了信息化的核心資產(有很重要的數據保存在服務器上,比如患者信息,),這些資產存在弱點和漏洞(比如承載這些信息的操作系統或數據庫具有緩沖區溢出漏洞),又同時存在被安全威脅攻擊的可能(比如黑客已經開發出了針對這種漏洞的蠕蟲和攻擊方法等),而且系統沒有部署相應的防御手段(比如網絡或主機入侵防御系統),那么就會導致安全風險,從而給系統造成損失。
因此,RHIN平臺的安全風險和這四個方面緊密相關,也只有同時解決好這四個方面的問題,才可能真正的確保RHIN平臺的安全。
10.4.3
資產分析
在本網絡中,數據中心數據庫服務器、應用集成平臺服務器和內部應用系統承載了關鍵的數據信息,需要進行重點的防護。此外,RHIN數據交換系統也需要進行重點保護,以避免非授權訪問和攻擊等安全事故發生。
10.4.4
威脅分析
RHIN平臺面臨的威脅主要來自于身份假冒、信息竊取、內容篡改、非法入侵、病毒侵襲等造成的破壞。
假冒、口令竊取威脅
身份鑒別是網絡安全的基本要求,互聯網擁有大量用戶,系統很難分辨哪些是合法用戶,哪些是非法用戶,存在身份假冒等威脅。一旦醫護人員或患者的身份被假冒,將影響到患者信息、醫療數據的安全性和隱私性。
竊取、數據泄漏、信息篡改威脅
RHIN系統存在大量不宜公開的內部信息,如病人的健康信息、醫療記錄等,互聯網作為高度開放的網絡,內部數據在傳輸過程中極易被竊取和監聽,內部數據要面對高水平黑客和別有用心者,信息泄漏的威脅更大。而且由于RHIN擔當了跨系統醫療健康數據交互的功能,一旦數據被篡改,其影響范圍將會非常大。另外,隨著便攜式數據處理和存儲設備,比如筆記本電腦、USB存儲介質的廣泛應用,由于設備丟失而導致的PHI等數據泄漏途徑也不可忽視。
攻擊和入侵威脅
RHIN系統具有互聯網連接,而且和多個區域衛生機構具有連接,其遭到惡意
781 |
|
資源大小:1.38 MB 
