1、 ICS 35.020 CCS L 70 33 浙江省地方标准 DB33/T 13712024 基于云计算的医院信息系统安全规范 Security specification for hospital information system based on cloud computing 2024-03-23 发布 2024-04-23 实施 浙江省市场监督管理局 发 布 DB33/T 13712024 I 前 言 本标准按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。请注意本标准中的某些内容可能涉及专利。本标准的发布机构不承担识别专利的责任。本标准
2、由浙江省卫生健康委员会提出、归口并组织实施。本标准起草单位:浙江省卫生健康信息中心、阿里巴巴(中国)有限公司、浙江大学医学院附属第一医院、来未来科技(浙江)有限公司、煕牛医疗科技(浙江)有限公司、国家计算机网络应急技术处理协调中心。本标准主要起草人:白晓媛、郭一、朱红儒、周敏、沈杰、墙辉、朱顺炎、叶林、金震、于小博、王文磊。DB33/T 13712024 1 基于云计算的医院信息系统安全规范 1 范围 本标准规定了基于云计算的医院信息系统的系统接入安全、系统应用安全、云计算安全、外联接口安全和数据安全等。本标准适用于基于云计算的医院信息系统的安全建设,也适用于对基于云计算的医院信息系统安全架构
3、进行评估。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本标准必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本标准;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本标准。GB/T 222392019 信息安全技术 网络安全等级保护基本要求 GB/T 352732020 信息安全技术 个人信息安全规范 GB/T 397252020 信息安全技术 健康医疗数据安全指南 3 术语和定义 下列术语和定义适用于本标准。3.1 医院信息系统 hospital information system 医院医疗管理相关活动中进行信息管理和联机操作的计算机应用系统。3.
4、2 云计算 cloud computing 通过网络访问可扩展的、灵活的物理或虚拟共享资源池,并按需自助获取和管理资源的模式。3.3 容器 container 提供资源隔离、资源控制和程序可移植运行的环境。3.4 微服务 micro service 将应用程序构建为松散耦合服务集合的小型可组合逻辑单元。4 缩略语 下列缩略语适用于本标准。DB33/T 13712024 2 API:应用程序编程接口(application programming interface)APP:应用程序(application)CPU:中央处理器(central processing unit)HIS:医院信息系统
5、(hospital information system)HTTPS:超文本传输安全协议(hypertext transfer protocol over secure socket layer)IP:互联网协议(internet protocol)SQL:结构化查询语言(structured query language)5 总体架构 基于云计算的HIS架构参见附录A,主要包括系统接入、系统应用、云计算平台、外联接口和系统运营审计,其中系统运营审计功能参见附录B。6 系统接入安全 APP、网页、小程序等系统接入客户端应按照如下方式确保接入安全:a)与服务器端进行通信时:1)采用 HTTPS
6、等安全通信协议;2)不应故意留有或设置后门。b)采用技术措施,防范攻击者对客户端进行调试、分析和篡改。c)认证模块:1)应采用防暴力破解机制,如在多次连续尝试登录失败后锁定账号、IP 地址等;2)应进行签名,识别客户端的来源;3)使用密码登录时,不应使用空口令或弱口令,口令输入框不支持拷贝粘贴功能等。d)上传服务器时:1)应对上传的文件大小和类型进行限定;2)不应包含危害国家安全、个人隐私等内容的各类违法信息。7 系统应用安全 7.1 基本要求 系统应用安全应符合GB/T 222392019中8.1的安全要求。7.2 身份鉴别 7.2.1 应对本地与远程会诊等各种医疗场景下的医务工作者进行身份
7、鉴别,包括但不限于数字证书、生物特征识别等方式。7.2.2 应对患者进行身份鉴别,包括但不限于身份证、社保卡、医保电子凭证等为介质的身份鉴别技术。7.2.3 应为首次注册的用户账号关联实名制手机号,后通过实名制手机号登录,发送手机验证码。7.2.4 应在便民服务场景下,提供安全可靠的子女代替年老父母、监护人代替未成年人查询信息功能,包括但不限于账号绑定子女/监护人手机号、限制子女/监护人手机号可绑定账号数量、上传身份证或户DB33/T 13712024 3 口本扫描件/系统后台认证完成身份鉴别等。7.2.5 应提供账号的解绑与重认证功能。7.3 访问控制 应设置以下功能:a)系统无操作一定时间
8、后,自动锁定;b)设置多点登录安全管理规则:如果判定存在多点登录且发生冲突的前一登录未失效,应向前一登录设备推送异地登录通知,并强制下线;c)设置同时登录不同医院子系统的能力,如同时登录中心药房和静配药房;d)具备权限授予和收回功能,如医院教学时涉及医疗数据访问权限,在进行流程审批后向受教学员开放,并在教学完成后回收;e)应对系统资源进行分级管理,防止未授权用户接入医院计算机网络及访问网络中的资源,如医保字典、医疗综合收费标准字典等,除规定人员外,其他用户仅有查询功能。7.4 安全审计 7.4.1 应对用户行为进行日志记录,日志记录内容宜包括操作时间、操作账号、客户端 IP、服务器 IP、操作
9、类型、操作名称、操作内容等信息。7.4.2 应对重要医疗场景进行日志记录,如双向转诊的患者记录、远程会诊的过程以及诊断结果等。7.4.3 宜对后勤、人力、教学、科研等功能使用情况进行日志记录。示例:对教学中所使用医疗数据的权限开放以及回收情况等的日志记录。8 云计算安全 8.1 基本要求 云计算平台应具备访问控制、入侵防范、数据加密、数据备份恢复等功能,应符合GB/T 222392019中8.1、8.2中规定的安全要求。8.2 云数据库安全要求 8.2.1 应支持对数据库的读写操作进行独立授权。8.2.2 访问控制应达到数据库表、视图、字段级别。8.2.3 网络隔离和网络安全访问控制应支持 I
10、P 白名单。8.2.4 应具备透明数据加密功能。8.2.5 应提供密钥管理功能,包括密钥的生命周期管理。8.2.6 应提供数据库日志审计功能。8.3 云存储安全要求 8.3.1 应支持数据完整性校验。8.3.2 应支持存储数据的加密检索功能。8.3.3 应支持对象级别的数据加密,并且在访问这些数据时自动解密。8.3.4 应支持对读写操作进行独立授权。DB33/T 13712024 4 8.4 容器安全要求 8.4.1 容器软件仓库应公开可信。8.4.2 容器镜像中的软件模块应没有已知和公开的漏洞。8.4.3 应设置单一容器对共享硬件资源的使用量。8.5 微服务安全要求 8.5.1 应对重要微服
11、务的接口调用进行权限控制,包括但不限于门诊预约、挂号收费、检查检验、住院管理、入出单据、病案管理等。8.5.2 应提供基于用户身份的授权。8.5.3 应对微服务通信进行加密。8.5.4 当设置边界网关时:a)应在边界网关内为需要进行声明的微服务获取对应的 API;b)边界网关应对用户身份进行验证。9 外联接口安全 9.1 HIS 网络与专有网络之间 9.1.1 HIS 网络与专有网络之间应通过专线连接,包括 HIS 系统与医保系统、各类卫生健康业务系统之间的连接。9.1.2 当 HIS 网络与专有网络连接时设置有服务器或前置机,服务器或前置机不应与互联网互通。9.2 HIS 网络与公有网络之间
12、 9.2.1 HIS网络与公有网络之间的连接包括HIS系统与在线支付系统、“互联网+医疗健康”应用、商保系统等,之间的连接应部署网络防火墙。9.2.2 对互联网开放的应用接口,应做身份验证和访问权限控制。9.2.3 应对访问HIS的外部请求的IP和端口进行限制。10 数据安全 10.1 基本要求 10.1.1 基于云计算的HIS的个人信息处理活动应符合GB/T 352732020中第5章至第11章中规定的内容。10.1.2 应对医疗健康数据进行分类分级,对不同级别和类型的数据设置权限控制。数据分类分级及安全措施应按照 GB/T 397252020 中第 6 章和第 8 章的要求。10.2 数据
13、传输 应对涉及医院就诊、健康传感、移动应用、患者信息査询、跨安全域数据传输同步等内部应用,远程医疗、商保对接、临床研究等外部应用的数据传输通道进行安全加密:a)应使用安全的加密算法,如 3.0 以上版本的 SSL 协议等;b)不应使用已被公开破解的算法。DB33/T 13712024 5 10.3 数据使用 10.3.1 在对患者健康医疗数据进行展示时,应在不影响相关业务开展的情况下,采取脱敏、去标识化处理等措施。在数据发布和共享场景下,应对数据进行脱敏以及去标识化处理。示例 1:患者的姓名在叫号屏进行去标识化显示,将姓名中的一个字用*替代。示例 2:患者的诊断信息,医生医嘱界面可以看到,在病
14、床床边信息屏上不可显示。10.3.2 应保证电子病历的真实性和完整性。DB33/T 13712024 6 附 录 A(资料性)基于云计算的 HIS 架构 A.1 概述 本标准所述基于云计算的HIS架构见图A.1,主要包括系统接入、系统应用、云计算平台、外联接口和系统运营审计。A.2 主要功能 基于云计算的HIS架构主要功能包括但不限于下列部分。a)系统接入提供医生、患者或系统管理员使用HIS的渠道,包括APP、网页、小程序等方式。b)系统应用提供HIS的核心功能,包括医疗服务、医疗管理、医疗协同、运营管理、后勤管理、人力资源、科研管理、教学管理、便民服务等应用功能,具体参见全国医院信息化建设标
15、准与规范(试行)。c)云计算平台提供HIS应用的基础设施支撑,包括云主机、云数据库、云存储、容器、微服务等。主要功能包括但不限于:1)云主机:整合计算、存储与网络资源的信息技术基础设施能力租用服务,提供基于云计算模式的按需使用和按需付费能力的服务器租用服务;2)云数据库:部署和虚拟化在云计算环境中的数据库,具有高可扩展性、高可用性等特点;3)云存储:将网络中大量不同类型的存储设备通过应用软件集合起来协同工作,共同提供数据存储和业务访问功能;4)容器:一个软件的轻量级独立可执行软件包,包含完整的运行时环境,可以消除系统运行环境的差异,并且高效利用 CPU 和内存等资源;5)微服务:每个微服务完成
16、一个特定的业务功能,各个微服务独立部署,可提高云计算平台资源利用率。d)外联接口主要包括与外部在线支付系统、医保系统、各类卫健采集系统等的互联互通。e)系统运营审计为可选系统模块,主要用于监控HIS系统运行状况、网络流量、用户行为等,并对异常事件进行处置,具体功能见附录B。图A.1 基于云计算的HIS架构 DB33/T 13712024 7 附 录 B(资料性)系统运营审计 B.1 概述 系统运营审计主要实现对HIS系统各类运行活动、安全事件的有效的证据收集、监控分析和检查验证。主要功能包括:业务系统运营审计、云计算平台运营审计和安全事件运营审计。B.2 通用功能 系统运营审计通用功能如下:a
17、)支持对系统应用日志记录、云计算平台日志记录的导入和识别;b)追踪异常行为,包括异常的源头和访问轨迹;c)异常行为达到一定级别以后能够启动权限锁定功能,并能够触发告警;d)告警方式包括手机短信和邮件等,告警内容包括异常行为的用户账号、时间、IP地址等。B.3 业务系统运营审计 针对业务系统的运营审计功能如下:a)对特权账户、待离职账户等特定账户的系统日常操作记录、对个人信息等敏感数据访问和操作进行监控,实现对敏感数据异常访问和操作进行告警,通过自动平台和人工审计相结合的方法或手段对敏感数据的高风险操作进行监控,高风险操作包含流量异常的数据访问、批量查询、拷贝、导入导出、外发、删除等;注:系统日
18、常操作记录包括登陆账号、IP 地址、时间等。b)审计记录包括事件的日期和时间、用户、事件类型及其他与审计相关的信息;c)对审计记录进行安全存储,相关操作日志保存周期至少为6个月 d)对审计记录进行访问控制,支持只允许授权人员查看相关记录,防止非授权访问、篡改或删除审计记录;e)建立涵盖云计算平台及HIS系统服务端、客户端的敏感数据全链路安全监控审计平台,对组织内涉及敏感数据的网络、系统、应用等进行监控和审计,通过定义监控规则实现风险识别与预警,实现数据全生命周期各阶段的安全风险防控。B.4 云计算平台运营审计 针对云计算平台的运营审计功能如下:a)对云计算平台的用户登录和操作行为进行日志记录,并生成审计报表;b)数据库审计基于数据库操作语句进行,如分析项包括SQL语句、捕获时间、数据库用户、客户端IP、执行结果、影响行数等信息。在语句详情页面查看该SQL语句的相关信息,包括访问来源、应用身份、SQL语句、受影响对象等;c)数据库审计实施配置审计策略,如对时间、发起者、对象、命令、结果等参数设置审计规则。DB33/T 13712024 8 B.5 安全事件运营审计 针对安全事件的运营审计功能如下:a)对医院信息系统发生的安全事件进行记录;b)对安全事件的修复、修复方案等进行记录。
浙ICP备2021020529号-1 | 浙B2-20240490 
