信息系统访问控制策略

信息系统访问控制策略

一、账户管理

身份授予与鉴别是对访问医院资源的用户富裕身份并在用户访问资源时进行身份鉴别，目的是保证访问网络系统资源的用户是合法的。关于身份授予与鉴别政策定义如下：

1.应基于不同业务的需求对访问医院内部用户分别建立账

户的授予与撤销管理措施和执行过程。

2.授予用户的身份应是唯一的，即一个用户账户唯一地对应

一个用户，不允许多人共享一个账户。

3.对任何用户的登录应进行身份鉴别。身份鉴别的方法应根

据用户所处的环境的风险确定。

4.对重要数据的访问保证有足够的口令强度和防攻击能力，

用户必须使用符合安全要求的口令，并妥善保护口令。

5.信息系统的所有者应维护特权账户的清单和对应使用人

员，并至少每三个月对特权账号进行回顾。

6.信息安全的访问控制，应基于分级的原则。在不同级别之

间，应设置访问控制措施；

7.访问控制角色应进行分离，包括如下角色：

➢访问请求

➢访问授权

➢访问管理

8.访问控制应包括如下管理过程：

➢访问控制措施的部署；

➢访问控制权限的申请、审批及授予

➢访问控制权限的撤销

二、网络访问控制

网络区域划分与隔离室进行访问控制的挤出，目的是确认并管理医院网络内部边界与外部边界使各个区域之间相互独立，保证各个区域间的影响最小化。

医院所有网络区域应根据其支撑的业务和业务的安全需求进行划分，对于安全需求比较高的敏感区域应进行识别，明确每个区域与其他区域的边界以及企业内部与外部区域的边界。医院网络区域包括但不限于：

➢医院互联网办公网络

➢医院内部信息网络