10
安全
10.1
前提假设
本章节的前提假设条件如下:
假设一:RHIN系统不支持从POS到POS直接发起的点到点的PHI等信息传输。
假设二:当将PHI等信息从RHIN系统下载到POS点上后,POS将负责该信息的安全性。
假设三:和RHIN系统相连的POS系统都将遵循POS站点安全建设规范。
假设四:RHIN系统下直接接入POS系统。本章节不考虑RHIN系统上下级互连的情况。
假设五:已建立RHIN系统CA认证体系或直接利用第三方CA认证体系。
10.2
安全方案目标
本安全方案的目标是支撑和保障区域卫生信息平台的信息系统和业务的安全稳定运行,防止信息网络瘫痪、防止应用系统破坏、防止业务数据丢失、防止卫生信息泄密、防止终端病毒感染、防止有害信息传播、防止恶意渗透攻击,以确保信息系统安全稳定运行,确保业务数据安全。
10.3
安全等级需求
基于健康档案的区域卫生信息平台所涉及信息包括:病人的基本健康信息,病人的诊疗数据,卫生资源数据等等。这些业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。一旦业务信息遭到非法入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对公民、法人和其他组织的合法权益造成影响和损害。程度表现为严重损害,即工作职能收到严重影响,业务能力显著下降,出现较严重的法律问题,较大范围的不良影响等。根据以上描述
777
我们可以确定基于健康档案的区域卫生信息平台业务信息安全保护等级为第二级。
表10-1 业务信息安全分析
对相应客体的侵害程度
业务信息安全被破坏时所侵害的客体
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
第一级
第二级
第二级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级
基于健康档案的区域卫生信息平台属于为国计民生、经济建设等提供服务的信息系统,其服务范围为区域范围内的普通公民、医疗机构等。该系统服务遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益但不损害国家安全。客观方面表现的侵害结果为:(1)可以对公民、法人和其他组织的合法权益造成侵害(影响正常工作的开展,导致业务能力下降,造成不良影响,引起法律纠纷等);(2)可以对社会秩序公共利益造成侵害(造成社会不良影响,引起公共利益的损害等)。根据《定级指南》的要求,出现上述两个侵害客体时,优先考虑社会秩序和公共利益,另外一个不做考虑。上述结果的程度表现为:对社会秩序和公共利益造成一般损害,即会出现一定范围的社会不良影响和公共利益的损害等,则业务信息安全保护等级为第二级。
表10-2 系统服务安全分析
对相应客体的侵害程度
系统服务被破坏时所侵害的客体
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
第一级
第二级
第二级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级
信息系统的安全保护等级由业务信息安全等级和系统服务安全务安等级的较高者决定。所以,基于健康档案的区域卫生信息平台安全保护等级为第二级。
778
表10-3 RHIN安全等级
信息系统名称
安全保护等级
业务信息安全等级
系统服务安全等级
基于健康档案的区域卫生信息平台
第二级
第二级
第二级
但是,从总体上考虑到某些基本业务信息系统(Point Of Service,POS)的信息系统,比如疾控中心,其系统服务遭受破坏后,可能会对社会秩序和公共利益造成严重损害,即会出现较大范围的社会不良影响和较大程度的公共利益的损害等,所以其安全保护等级建议定为三级。但是由于本章主要考虑区域卫生信息平台的安全保障,所以其它POS系统的安全保障方法不做论述。
10.4
系统风险分析
10.4.1
信息和信息系统分析
信息和信息系统构成了RHIN的信息资产。基于健康档案的区域卫生信息平台的使用对象主要是医疗卫生人员,最终的服务对象是居民和患者。医疗卫生人员为了更好的为居民和患者提供可靠的、可及的、连续的医疗卫生服务,需要依赖平台提供的众多服务。
RHIN平台中的业务数据的类型主要包括文档数据、操作型数据、辅助决策型数据。文档数据是以文档形式存在于平台中的临床和预防保健业务数据,例如检验报告、处方,传染病报告卡等。这些数据是结果数据。操作型数据一般是指平台从业务系统中采集、汇总、供实时业务查询和统计使用的数据。辅助决策数据是指存储在数据仓库中,以主题方式组织,是经过二次加工的历史数据。这些信息是需要安全保护的重点对象,其可用性、机密性和完整性均需要进行一定程度的保障。
RHIN平台网络基础设施平台由内、外两大网络部分组成。外部网络对外收集和提供信息(向下级部门采集与提供信息,向上级数据中心报送信息),内部网进行信息管理和系统开发。其网络拓扑示意图如下:
779
图10-1 信息和信息系统分析
10.4.2
安全风险分析
我们之所以要解决安全问题,是因为信息网络存在被病毒、黑客攻击等各类安全威胁攻击的可能性,也就是说存在安全风险,并随时可能因此造成财产、时间、声誉上的损失,而根据安全风险的定义,安全风险的大小主要取决于以下四个方面:资产的价值、资产的脆弱性、面临的威胁程度,以及已经采取的防范措施。
图10-2 安全风险要素分析
780
也就是说,当一个系统具有了信息化的核心资产(有很重要的数据保存在服务器上,比如患者信息,),这些资产存在弱点和漏洞(比如承载这些信息的操作系统或数据库具有缓冲区溢出漏洞),又同时存在被安全威胁攻击的可能(比如黑客已经开发出了针对这种漏洞的蠕虫和攻击方法等),而且系统没有部署相应的防御手段(比如网络或主机入侵防御系统),那么就会导致安全风险,从而给系统造成损失。
因此,RHIN平台的安全风险和这四个方面紧密相关,也只有同时解决好这四个方面的问题,才可能真正的确保RHIN平台的安全。
10.4.3
资产分析
在本网络中,数据中心数据库服务器、应用集成平台服务器和内部应用系统承载了关键的数据信息,需要进行重点的防护。此外,RHIN数据交换系统也需要进行重点保护,以避免非授权访问和攻击等安全事故发生。
10.4.4
威胁分析
RHIN平台面临的威胁主要来自于身份假冒、信息窃取、内容篡改、非法入侵、病毒侵袭等造成的破坏。
假冒、口令窃取威胁
身份鉴别是网络安全的基本要求,互联网拥有大量用户,系统很难分辨哪些是合法用户,哪些是非法用户,存在身份假冒等威胁。一旦医护人员或患者的身份被假冒,将影响到患者信息、医疗数据的安全性和隐私性。
窃取、数据泄漏、信息篡改威胁
RHIN系统存在大量不宜公开的内部信息,如病人的健康信息、医疗记录等,互联网作为高度开放的网络,内部数据在传输过程中极易被窃取和监听,内部数据要面对高水平黑客和别有用心者,信息泄漏的威胁更大。而且由于RHIN担当了跨系统医疗健康数据交互的功能,一旦数据被篡改,其影响范围将会非常大。另外,随着便携式数据处理和存储设备,比如笔记本电脑、USB存储介质的广泛应用,由于设备丢失而导致的PHI等数据泄漏途径也不可忽视。
攻击和入侵威胁
RHIN系统具有互联网连接,而且和多个区域卫生机构具有连接,其遭到恶意
781 |
|
资源大小:1.38 MB 
