信息安全基线在医院信息系统及应用简述.pdfVIP

信息安全基线在医院信息系统的应用简述 ① ② 张巍 庞大军 ①南方医科大学珠江医院，510280，广东省广州市工业大道中253 号 ②中山大学中山眼科中心，510060，广东省广州市先烈南路54 号 摘 要 一般来说，信息系统安全基线是信息系统最小安全保证要求，这种信息安全管理的 方法在全球各种信息系统安全管理领域有广泛的应用。本文介绍信息系统安全基线的基本理 论，并对安全基线管理在医院信息系统的实践进行分析、介绍。 关键词 安全基线 医院信息系统 信息系统安全基线是是最低的安全要求，安全基线管理方法在全球各种信息系统安全 管理领域有广泛的应用。以HIS、电子病历为标志的医院信息系统建设从2000 年左右开始， 扩张型建设基本完成，各医疗机构均把重心向提高效率、提高安全性这些内涵建设方面转移。 应用信息安全基线管理是解决医疗行业信息系统运营安全的有效途径。 1 信息安全基线简述 信息系统安全基线是信息系统最小安全保证要求。参考国内外的成功经验，同时结合一 些医疗行业的风险控制手段，就可以设计出针对医院信息系统的基线安全模型。在这些参考 内容中，最值得借鉴的是美国 FISMA 的实施和落地过程。 FISMA 的全称是The Federal Information Security Management Act，即联邦信息安 全管理法案，是由NIST (美国国家标准和技术研究所)牵头制定。FISMA 把责任分配到各种 各样的机构上来确保联邦政府的信息系统和数据安全。FISMA 提出了一个包含八个步骤的信 息安全生命周期模型，这个模型的执行过程涉及面非常广泛且全面，但实施、落地的难度也 非常大。如图1所示，FISMA 规范落地的过程好像从高空到地面，真正实施起来非常复杂。 图1 FISMA 法案的落地过程 为实现FISMA 法案的落地，由NIST 牵头针对其中的技术安全问题提出了一套安全自动 化的框架SCAP （security content automation protocol，安全内容自动化协议框架），基 本上是一种用开放性标准实现自动化脆弱性管理、衡量和策略符合性评估的方法。SCAP 由6 个支撑标准构成：CVE®(Common Vulnerabilities and Exposures ,通用漏洞披露）、CCE™ (Common Configuration Enumeration, 通用配置枚举)、CPE™(Common Platform Enumeration, 通用平台枚举)、CVSS (Common Vulnerability Scoring System, 通用漏洞评价体系、XCCDF (Extensible Configuration Checklist Description Format, 可扩展的配置检查单描述格 式)、OVAL™ (Open Vulnerability and Assessment Language, 开放漏洞和评估语言) 。 这 6 个支撑标准需要检查的内容、检查的方式由 NVD (NVD （National Vulnerability Database，国家漏洞数据库）)和 NCP （National Checklist Program，国家核查项目清单 计划）来提供，由此SCAP 框架就实现了标准化和自动化安全检查，及形成了一套针对系统 的安全检查基线。 SCAP 安全基线应用的最重要成功案例是FDCC （Federal Desktop Core Configuration， 联邦桌面的核心配置）项目，FDCC 是在美国政府支持下建立的桌面系统（Windows XP、Windows vista 等）相关安全基线要求规范，并通过自动化的工具进行检查。FDCC 基于NVD、NCP 等 内容进行基线安全核查。NVD 为自动化漏洞管理、安全评估和合规性检查提供数据支撑，包 含安全核查名单、与安全相关的软件漏洞、配置错误以及量化影响等。NVD 数据库针对数据 库中的漏洞等提出了一整套核查名单（Checklist），划归到NCP 计划中。SCAP 框架体现了 安全基线技术三个方面的特性： 可操作性：通过SCAP 明确地提出了应该贯穿风险管理的要求和方法，通过技术与管理 两方面的手段，将体系化的指导思想进行落地。