跳至主要內容软件安全运维规范
- 对于每个管理员建立单独的用户账号,特别要区分普通用户账户号和管理员账号,账号不得共享。
- 操作系统中应限制登录和认证的次数,避免外界尝试登录和暴力破解的安全风险。
- 操作系统的安装须遵从最小化安装原则,仅仅安装并运行必须的系统服务和应用程序;
- 各应用系统在按规定安装各类软件时遵从最小化安装原则,关闭和卸载与办公和业务无关的功能和服务。
- 运行业务应用系统时,要使用保证应用系统正常运行的最小账户权限,原则上禁止使用最高权限账号。
- 为了能够发现和跟踪系统中发生的各种可疑事件,需要启用安全审计功能,以日志的形式记录用户登录系统、文件访问操作、账户修改等行为的过程和结果信息,做到发生可疑事件时有据可查。
- 服务器端口开放的管控符合医院信息中心管理要求,禁止将数据库端口,ssh端口等直接暴露在外网环境。对于必要的调试等特殊情况则在调试完成后确认关闭。
- 推进接入统一的服务器关键指标监控,医院服务器不允许使用Windows操作系统,推荐使用CentOS或龙蜥OS,逐步推进使用国产化操作系统,例如统信、麒麟等操作系统。
- 防火墙检查,服务器操作系统级防火墙必须为开启状态,建议医院配置Web应用防火墙WAF。
- 配置服务器系统访问控制规则(hosts.allow/hosts.deny),推荐优先使用白名单控制仅允许已知来源IP等访问系统。
- 系统访问安全,关闭常规的远程服务(如windows的mstsc,Linux的telnet等),如需访问服务器,上级批准后并得到客户同意后开通远程连接访问。
- 各系统应根据不同角色确定不同的用户账号,账号至少分为以下角色:
- 系统管理员:负责维护系统的管理员,一般具有超级用户权限;
- 普通用户:访问系统的普通用户,一般只具有相应访问内容和操作的最小权限;
- 第三方人员:临时或长期进行系统维护的非部门内部人员,根据第三方人员的维护范围确定其使用权限;
- 系统安全管理员:进行安全审计的人员,具有能够查看系统的日志和审计信息。
- 各系统应根据“最小授权”的原则设定账户访问权限,控制用户仅能够访问到工作需要的信息。
- 应根据部门要求和员工岗位来创建、变更和撤销用户的账号及权限,并定期对用户账号和权限进行监督、检查。
- 各系统的账号能标识系统访问的不同角色,并尽量避免使用系统默认账号。
- 应避免系统中存在多余、无用和测试账号,确保服务器中所有的操作系统账号能够唯一标识操作人员。
- 系统安全管理员应当对系统中存在的账号进行定期审计,系统中不能存在无用或匿名账号。
- 各系统应该设置审计用户的权限,审计用户应当具备比较完整的读权限,审计用户应当能够读取系统关键文件,检查系统设置、系统日志等信息。
- 各系统应限制第三方人员的访问权限,对第三方的访问进行定期的检查和审计。
- 系统口令的设定符合网络安全等级保护三级要求,如果与HOS基础平台产品有连接的第三方系统由我司负责购置和建设,则其相关口令的设定也要符合网络安全等级保护三级要求。设备及系统的密码的设置至少符合以下要求:
- 长度大于8位;
- 大小写字母、数字,以及特殊字符混合使用;
- 不是任何语言的单词;
- 不能使用缺省设置的密码。
- 账号密码应该定期更换,包括:UNIX/Linux系统root用户的密码、网络设备的enable密码、Windows系统Administrator用户的密码,以及应用系统的后台管理用户密码等。
- 系统须强制指定密码的策略,包括密码的最短有效期、最长有效期、最短长度、复杂性等。
- 密码不能以明文的方式通过电子邮件或者其它网络传输方式进行传输。
- 不得将密码告诉与该工作无关的人员,如果第三方系统维护人员需要登录系统,系统管理员为其设置临时密码,完成工作后必须立刻修改密码;
- 系统管理员不能共享超级用户的密码,应采用组策略控制超级用户的访问。
- 除了系统管理员外,一般用户不能改变其它用户的密码。
- 当密码使用期满时,被其他人知悉或认为密码不保密时,网络管理人员可按照密码更改程序变换密码。
- 所有用户严禁将密码贴在终端上,输入的密码不应显示在显示屏幕上,严禁随意丢弃记载有用户名密码的纸条等媒介物,不准用电话、电子邮件等告诉密码。
- 对于系统重要性高、资产价值高、威胁可能性大可以使用强度更高的认证机制,例如采用双因素认证等。
- 应及时跟进各产品的安全漏洞信息和产品厂商发布的安全补丁信息。
- 安全补丁根据其对应漏洞的严重程度分为三个级别:紧急补丁、重要补丁和一般补丁;紧急补丁必须在15天内完成加载,重要补丁必须在一个月内完成加载,一般补丁要求六个月内完成加载,对于不能加载补丁的情况,一定要采取其他的有效安全控制措施。
- 必须从各产品厂商官方渠道获取安全补丁,补丁加载应制定严格的计划。
- 补丁加载之前必须经过严格的测试,测试环境与生产环境尽可能一致,严禁未经测试直接在生产系统上加载补丁。
- 补丁测试的内容包括补丁安装测试、补丁功能性测试、补丁兼容性测试和补丁回退测试:
- 安装测试主要测试补丁安装过程是否正确无误,补丁安装后系统是否正常启动。
- 补丁功能性测试主要测试补丁是否对安全漏洞进行了修补。
- 补丁兼容性测试主要测试补丁加载后是否对应用系统带来影响,业务是否可以正常运行。
- 补丁回退测试主要包括补丁卸载测试、系统还原测试。
- 补丁加载必须安排在业务比较空闲的时间进行,对补丁加载的操作过程必须按照计划严格操作,并详细记录。
- 系统管理员对加载补丁后的系统必须按照计划和验证方案进行的测试验证,确保补丁加载后不影响系统的性能,确保各项业务操作正常。
- 补丁加载后的一周内,系统管理员必须对系统性能和事件进行密切的监控。
- 完成补丁加载后系统管理员应将补丁安装情况通知系统安全管理员。
- 防止与外部单位间或者内部交换信息时信息受损、修改或者滥用,做到对信息交换的有效控制,确保信息交换的有效性和安全性;
- 信息交换方式包括传输介质、电子邮件、OA办公系统、电话、传真及其他信息交换形式;
- 通过信息系统进行自动信息交换或者数据传送时,必须选择安全的通讯协议,要在信息系统间进行认证确认发送方和接受方,并对传输的数据进行完整性验证,对于敏感数据的传输要采用加密措施。
- 在电子邮件中不得明文发送敏感信息,可通过对信息加密再传送的方法实现,明确要求不能在网络中明文传送密码信息。
- 不得在包括微信在内的社交平台上跟客户的任何人以文字、图片、语音形式发送违反安全规定的消息,包括敏感信息。需要传输敏感信息时以文件形式打包,设置不低于8位且符合计算机安全等保要求的密码后再传输文件。
- 在使用办公系统时,应控制业务信息的扩散范围,禁止非内部人员访问办公系统。
- 通过传真发送重要信息时,要确保收件人号码正确,并先通知收件人接收后再正式开始发送,发送后并立即与接受方确认。
- 传送物理介质(如纸质、光盘、移动介质)时,要使用可靠的传输工具或投递人,以保证传送过程的安全,并在提交时识别投递人身份,包装外观必须采取非透明材料,并且包装本身应能够保证介质本身的物理安全,需要的时候采取特殊的控制措施保护敏感数据免遭非法公开或修改。
- 各个网络设备、服务器及服务应根据实际情况调整时间的一致性。
- 应监控网络、主机、数据库及应用系统的运行状态,并定期对日志信息进行审计,如发现存在错误,或可疑日志信息,并将该信息详细记录并通知系统安全管理员进行详细调查。
- 应对网络系统中的网络设备运行状况、网络流量、网络基础服务等信息进行监控。
- 应对关键主机的重要用户行为、系统资源的异常使用和重要系统命令的使用等重要安全相关事件进行监控。
- 应对数据库的操作进行监控,监控内容包括:数据库系统重启及关闭信息、记录数据系统用户访问、数据库系统运行状态(提示、出错信息)、记录数据库文件修改/删除/更新等信息。
- 应对应用系统的运行状况进行监控,包括:应用系统的启动关闭、用户访问行为、异常出错提示、应用系统的其它信息。
- 应定期审计网络系统、主机系统、数据库系统和应用系统的日志信息,发现异常行为信息和可能的安全事件。
- 数据备份包括各信息系统配置备份、操作系统层备份、数据库层备份和应用系统层备份等。
- 操作系统层备份的范围包括操作系统和系统运行所产生的登录和操作日志文件。
- 数据库备份的范围包括数据库数据文件和数据库日志文件(包括归档日志文件、告警日志文件和跟踪文件);
- 应用系统备份的范围包括程序文件、并发日志和并发输出文件。
- 应用系统和数据库备份应备份至磁盘阵列设备中,并每日进行增量备份,每月进行完整备份,备份信息至少应保存三年。
- 在对网络及信息系统配置变更、数据转换前要进行数据备份。
- 应对备份结果进行检查,检查备份日志,确认备份有效性,进行相应记录并签字确认。
- 如果发现备份失败,系统管理员须检查失败原因,编写故障报告,并尽快安排重新备份。
- 备份完成后如需保存备份介质,系统管理员须取出备份介质,在标签上按要求记录备份信息,并移交备份介质管理员。
- 对于关键的备份数据,应建立异地数据备份,异地备份介质的存放环境和管理要求与本地相一致。
- 数据恢复测试每年至少进行一次,数据恢复测试不得影响业务系统、生产环境的正常运行。
- 管理员在进行数据恢复测试时,须确认备份数据的可读性和完整性,以及恢复方案的可执行性,并填写测试记录,编写恢复性测试报告,签字确认并存档;
- 如果数据恢复测试失败,管理员须检查失败原因,编写故障报告,并尽快安排重新测试。
- 完成数据恢复测试后,数据中心管理员须及时清除测试环境中的生产数据,并归还测试用备份介质。