等级保护在医疗行业的应用(北京市卫生局郑攀)_图文(精)
医院信息等级保护解决方案
医院信息等级保护解决方案 一、安全等保的测评对象 医院的信息系统有几十种,除了明确定级为三级的核心业务信息系统,其它业务系统如何处理?拿上海为例,HIS、LIS和RIS定级为三级信息系统,那么这3个系统之外的如EMR、临床路径系统等如何考虑?实际上等保的第一项工作即是给本单位信息系统分类定级,根据系统重要性的不同,进行不同级别的定级。如果某个系统与核心业务系统同样重要,可另外定为三级;其它系统可以定为二级。定为二级的系统按照二级安全等保标准进行建设和测评。 对于二级或三级的业务信息系统,其安全运行所需要的机房、链路、网络、服务器、存储、操作系统、应用软件等都是测评对象。 二、三级安全等保解决方案 1.网络访问控制管理 一般规模的医院网络都采用二层结构,即全院网关终结在核心交换机;同时医院的数据流量绝大部分都是纵向流量(即终端访问服务器的流量),横向流量(终端之间的访问流量)基本没有。在这样的流量模型下,尽管内网与公网隔离,但还有如下内容要进行安全保护。 ●服务器区域:要防范的是“家贼”,即内部数据泄露或病毒DDoS攻击。 ●与无线网络的连接链路:无线网络的开放性使其通常被认为是不安全的。 ●与外联单位的连接链路:外联单位属于网络边界。 安全插卡的优势体现在两点: ?传统医院服务器大都直接连在核心交换机上,在进行服务器的防范时,如果采用外接安全设备,不得不把安全设备串接在服务器和核心交换机之间或者进行流量重定 向,即需要对原来的网络结构进行改造; ?(如图2所示)所有的硬件安全产品(FW、IPS和流量探针)都采用插卡形式,通过其虚拟化功能,即1块插在交换机中的安全插卡可以虚拟化成多个同功能的安全 产品,可以进行上述不同线路上的安全防范。 安全插卡解决方案可以满足三级等保网络安全技术条款中的11条(网络访问控制、入侵防范和恶意代码防范)。 2.审计报表规范 医院业务关系到民生,而且是7*24小时提供服务,因此医院的网络建设首先要考虑可靠性,因此选择的网络产品通常会高于业务流量的实际需求,引发的问题是大部分医院并不知道自己实际的流量模型,即各个服务器、各种业务的访问高峰、整个网络流量分布图等。 3.网络边界完整性检查 目前医院的网络分布,在很多地方是既有内网口又有外网口。医务人员对工作地点的网络结构熟悉后,会出现自行把医用终端从内网移到外网,违规访问外网后再接回内网的情况。目前针对此问题,医院想到的方法通常是MAC地址和端口绑定,但引发的问题是维护工作量巨大,使得很多医院对此解决方案望而却步。同时,随着各种医务自助机应用的普及,内网
医院等级保护
医院信息化安全是现在所有医院面临的重要课题。为了更好的保证医院信息安全,2011年底,卫生部先后下达85号通知和1126号通知,要求全国卫生行业各单 位全面开展信息安全等级保护工作,于2015年12月30日前完成等保建设整改并通过等级测评。 2007 年由公安部下发的43号令拉开了各行业信息安全等保建设的序幕,2008 年颁布的国标《GB/T 22239-2008 信息安全技术-信息系统安全等级保护基本要求》是信息系统安全等保的建设标准。卫生部下发的“85号通知”中的等保工 作指导意见明确要求全国所有三甲医院核心业务信息系统的安全保护等级原则上不低于第三级,哪些系统是核心业务信息系统则由各地区自己定义,比如上海最终规定的核心业务信息系统是HIS、 LIS和RIS。 图1医院网络现状 (如图1所示)医院的网络根据承载业务的不同可划分为内网、外网和设备网,其中: 内网即医院的医务生产网,承载所有业务应用系统,包括大家熟知的HIS、PACS、LIS等系统; 外网即与Internet相联的网络,承载的业务包括邮件、OA等; 设备网是一张新兴的网,承载IP化的智能化弱电系统,包括:公共广播、门禁、楼控、安防视频监控等。 各医院实际网络建设模式会有不同。传统的是内外网物理隔离,但仍有相当一部分是内外网物理合一、逻辑隔离。内网实际上也有外部连接,如医保、公共卫生、新农合、银行等;但这些连接都是内网与内网通过专线连接,且通过前置机进行数据访问。
医院的网络根据承载介质的不同可分为有线网络和无线网络。根据传统习惯,如果不特别说明,上述的内网、外网和设备网均特指有线网络。但实际上无线网络承载的业务也有内外网之分。有的医院无线网只承载内网业务,如无线查房、无线护理、无线补液等;有的医院无线网不仅承载内网业务,还会提供与外网相关的业务,如员工外网业务、病房VIP Internet业务等。无线网络中的内网业务都要访问HIS、RIS等核心业务信息系统,所以作为有线网络的有效补充,无线网络也应是三级安全等保检查中的一部分。 如前所述,大部分地区规定的核心业务信息系统都是内网业务,即三级安全等保只与医院的内网业务系统相关,而对于内外网物理隔离的工作场景,与传统的以防范Internet业务为主的安全解决方案明显不同。 一、安全等保的测评对象 GB/T 22239-2008中的三级安全等保标准共290项内容,由技术(136项)和管理(154项)2部分组成;技术要求中分为物理、网络、主机、应用和数据安全5部分。根据各地的自有特点,以提高系统的安全性为目的,各地的等保测评机构会进行标准的补充。 医院的信息系统有几十种,除了明确定级为三级的核心业务信息系统,其它业务系统如何处理?拿上海为例,HIS、LIS和RIS定级为三级信息系统,那么这3 个系统之外的如EMR、临床路径系统等如何考虑?实际上等保的第一项工作即是给本单位信息系统分类定级,根据系统重要性的不同,进行不同级别的定级。如果某个系统与核心业务系统同样重要,可另外定为三级;其它系统可以定为二级。定为二级的系统按照二级安全等保标准进行建设和测评。 对于二级或三级的业务信息系统,其安全运行所需要的机房、链路、网络、服务器、存储、操作系统、应用软件等都是测评对象。 二、安全等保网络安全解读 作为安全等保的重要组成部分,网络安全因其分散、覆盖面广的特点,是等保评测的重点,也是医院信息安全的难点。在等保三级标准内容中,网络安全共分为7部分,共33条: l 结构安全——7条要求,对整体网络架构、带宽和设备性能提出了管理要求; l 网络访问控制——8条要求,对网络边界控制防范、边界连接的控制提出了管理要求; l 安全审计—— 4条要求,对包括设备、事件和用户等目标的日志系统提出管理要求; l 边界完整性检查——2条要求,对接入规范和防内网外联提出了管理要求;
医疗信息化等级保护2.0体系解决方案
医疗信息化等级保护2.0体系解决方案
安全形势越来越严峻,安全责任越来越大 ?攻击类型越来越多,攻击方法传播更快?院内院外互联互通,攻击面不断扩大化?医疗业务云化,网络边界消失,传统安全 理念不再适用 ?数据是生产资料,数据窃取事件频繁发生?监管要求更高,稍有不慎导致合规风险 中华人民共和国网络安全法 个人信息安全规范 CII 等级保护2.0 …… AI 物联网 Big Data
网络安全等级保护制度进入2.0时代 2003年9月中办国办颁发 《关于加强信息安全保障工作的意见》(中办发[2003]27号) 1994年 国务院颁布《中华人民共和国计算机信息系统安全保护条例》(147号令) 2011年1月8日修正版 明确做等级保护,等级保护工作的重点是基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统 首次提出计算机信息系统必须实行安全等级保护。 2007年四部委会签 公通字[2007]43号文件《信息安全等级保护管理办法》 明确了等级保护的具体操作办法和各部委的职责,以及推进等级保护的具体事宜 1999年 《计算机信息系统安全等级保护划分准则》(GB17859)发布 计算机信息系统安全保护等级划分准则强制行标准发布 2008年 发布《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)、《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)2010年 发布《信息安全技术信息系统等级保护安全设计技术要求》(GB/T 25070-2010)2012年 发布《信息安全技术信息系统等级保护测评要求》( GB_T 28448-2012) 2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,第二十一条明确国家要实行网络安全等级保护制度 2018年 《信息安全技术网络安全等级保护安全管理中心技术要求》(GB/T 36958-2018)等等保2.0标准发布 《网络安全等级保护条例(征求意见稿) 2019年 发布《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、 《信息安全技术网络安全等级保护安全设计技术要求》(GB/T 25070-2019)、 《信息安全技术网络安全等级保护测评要求》( GB/T 28448-2019) 等保1.0相关标准发布 等级保护制度上升到了法律高度,并在法律层面确立了其在网络安全领域的基础和核心地位。落实等级保护工作刚性明确。 等保2.0标准开始发布 启动网络安全等级保护条例立法程序 等保2.0标准继续发布
医院等级保护知识和方案
医院等级保护知识和方案医院等级保护知识和方案 作者Clotus来源青莲网络浏览10/04/251:政策和知识 《信息安全等级保护管理办法》43号文《计算机信息系统安全保护条例》147号文《国家信息化领导小组关于加强信息处理安全保障工作的意见》27号文 《关于信息安全等级保护工作的实施意见》66号文 2003年,中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文)中,已将信息安全等级保护作为国家信息安全保障工作的重中之重,要求各级党委、人民政府认真组织贯彻落实。《意见》中明确指出,信息化发展的不同阶段和不同的信息系统,有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。 之后,一系列的国家部委、行业组织下发了关于信息系统等级保护方面的政策和规范。2004年,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发了《关于信息安全等级保护工作的实施意见》(66号文)。2005年国信办下发了《电子政务信息安全等级保护实施指南》(25号文)。2005年底,公安部下发了《关于开展信息系统安全等级保护基础调查工作的通知》(公信安[2005]1431号),并从2006年1月由全国各级公安机关组织开展了全国范围内各行业、企业信息系统的基础信息调研工作,并先后出台了《信息系统安全保护等级定级指南(试用稿)》、《信息系统安全等级保护基本要求(试用稿)》、《信息系统安全等级保护测评准则(送审稿)》、《信息系统安全等级保护实施指南(送审稿)》等指导性文件。 2:等保知识/业界动态
深圳卫生部门与警方合作保护医院信息系统上海市已经全面启动数字化医 院话安全(出现过的安全问题)信息安全与医院业务连续性 安全问题关系到病人的利益,如何保障医院信息安全,确保业务连续性, 是各大医院面临的共同挑战。 现在,很多行业正在开展信息安全等级保护的评级和检查工作,医疗卫生 行业也是如此。在IT技术日益深入到医院运营管理各方面的今天,信息化建设已经成为医院发展的重要内容,其中,信息安全问题也日益突出。 如今,无论是医务工作者还是病患,每天都需要借助信息系统的辅助支持 完成日常工作和就诊。在门诊方面,挂号、收费、发药、护士分诊、大夫看病 都是借助门诊信息系统;病房方面,每天大夫查房,开医嘱、护士给患者发药 等都借助住院信息系统;患者在医院做化验、照片子等都要借助医院信息系统 完成。医院信息系统已经成为医院不可缺少的工具。 在这种情况下,医院信息系统一旦出现问题,整个医院将无法运行,所以说,医院信息系统的安全问题直接关系到病人的利益,医院信息系统出现故障,将造成病人无法就诊、无法及时得到有效的治疗。 确保医院业务连续性 通常,医院信息系统的组成,包括网络、服务器、存储设备、操作系统、 数据库、应用软件等。在这个系统中,只要有一个子系统或部件出现故障,都 将造成整个系统瘫痪。同时,医院的信息系统和其它行业相比,有其自身的特 点所在。 医院信息系统分类多。在医院内部,信息系统有医疗业务信息系统、办公 信息系统、科研信息系统、教学信息系统、图书管理信息系统等。在上述信息 系统中,对安全性要求最高的是医疗业务信息系统。它是直接为病人服务的, 它的可用性直接影响医院业务运行的连续性。 业务连续性要求高。医疗机构的特点是24小时营业,其它行业一般都有停止营业休息时间,而医院没有,医院一年365天每天24小时开门营业。这样对
等级保护分级保护
等级保护/分级保护
目录 1等级保护FAQ ................................................................... 错误!未指定书签。 1.1什么是等级保护、有什么用?.................................................. 错误!未指定书签。 1.2信息安全等级保护制度的意义与作用? .......................................... 错误!未指定书签。 1.3等级保护与分级保护各分为几个等级,对应关系是什么? .......................... 错误!未指定书签。 1.4等级保护的重要信息系统(8+2)有哪些? ....................................... 错误!未指定书签。 1.5等级保护的主管部门是谁?.................................................... 错误!未指定书签。 1.6国家密码管理部门在等级保护/分级保护工作中的职责是什么? ..................... 错误!未指定书签。 1.7等级保护的政策依据是哪个文件? .............................................. 错误!未指定书签。 1.8公安机关对等级保护的管理模式是什么,等级保护定级到哪里备案?................. 错误!未指定书签。 1.9等级保护是否是强制性的,可以不做吗? ........................................ 错误!未指定书签。 1.10等级保护的主要标准有哪些,是否已发布为正式的国家标准? .................... 错误!未指定书签。 1.11哪些单位可以做等级保护的测评?............................................ 错误!未指定书签。 1.12做了等级测评之后,是否会给发合格证书? (6) 1.13是否只是在政府行业实行?企业是否也在等级保护和分级保护范畴之内? .......... 错误!未指定书签。 1.14等级保护检查的责任单位是谁?.............................................. 错误!未指定书签。2分级保护FAQ ................................................................... 错误!未指定书签。 2.1分级保护是什么?............................................................ 错误!未指定书签。 2.2分级保护的主管部门是谁? (7) 2.3分级保护定级到哪里备案?.................................................... 错误!未指定书签。 2.4分级保护的政策依据是哪个文件? .............................................. 错误!未指定书签。 2.5分级保护与等级保护的适用对象分别是什么? .................................... 错误!未指定书签。 2.6分级保护有关信息安全的标准相互关系是什么? .................................. 错误!未指定书签。 2.7分级保护与等级保护的定级依据有何区别? ...................................... 错误!未指定书签。 2.8分级保护的建设依据、方案设计、测评分别依据哪些标准? ........................ 错误!未指定书签。 2.9分级保护设计方案是否需要经过评审和审批,谁来评审和审批? .................... 错误!未指定书签。 2.10涉密信息系统投入使用前,是否需要经过审批,由谁来审批? .................... 错误!未指定书签。 2.11分级保护系统测评的作用是什么,是否必须做? ................................ 错误!未指定书签。 2.12哪些单位可以做分级保护的测评,有什么资质要求? ............................ 错误!未指定书签。 2.13分级保护对涉密系统中使用的安全保密产品有哪些要求? ........................ 错误!未指定书签。 2.14涉密系统分级保护多长时间需进行一次安全保密检查? .......................... 错误!未指定书签。 2.15各级保密局与各单位保密办的关系是什么? (9) 2.16分级保护的系统集成对厂商的资质有什么要求? ................................ 错误!未指定书签。 2.17分级保护的安全建设是否必须监理,对监理资质有什么要求? .................... 错误!未指定书签。 2.18分级保护的哪些具体工作对厂商有单项资质的要求? ............................ 错误!未指定书签。3综合问题....................................................................... 错误!未指定书签。 3.1等保与分保的本质区别是什么?................................................ 错误!未指定书签。 3.2等保与分保各有几种级别?.................................................... 错误!未指定书签。 3.3等级保护/分级保护什么区别哪些部门在管理,怎么做? ........................... 错误!未指定书签。 3.4企业出现泄密事件上报那些单位? .............................................. 错误!未指定书签。 3.5等保定级备案是依据单位还是系统? ............................................ 错误!未指定书签。 3.6风险评估和等级保护的关系?.................................................. 错误!未指定书签。 3.7方案设计阶段及实施前是否需要报批? .......................................... 错误!未指定书签。 3.8对于等保中产品使用及密码产品是否有要求? .................................... 错误!未指定书签。 等级保护/分级保护FAQ
医院信息安全等级保护建设方案讲解
医院信息系统等级保护 建设方案
1.为什么需要等级保护? 1.1 什么是等级保护? 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。 1.2 等级保护的重要性 等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的是,等级保护是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。 在医疗行业的信息化建设过程中,信息安全的建设虽然只是一个很小的部分,但其重要性不容忽视。便捷、开放的网络环境,是医疗行业信息化建设的基础,在数据传递和共享的过程当中,数据的安全性要切实地得到保障,才能保障医疗信息化业务的正常运行。然而,我们的数据却面临着越来越多的安全风险,时刻对业务的正常运行带来威胁。 1.3 国家强制性等保要求 国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》,要求涉及国计民生的信息系统应达到一定的安全等级,根据文件精神和等级划分的原则,医疗信息系统构筑至少应达到二级或以上防护要求。 2. 等级保护实施过程 “等级化安全体系”是依据国家信息安全等级保护制度,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化与体系化相结合的安全体系设计方法,帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。 根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行: 1.系统识别与定级:通过分析系统所属类型、所属信息类别、服务范围以及业务对 系统的依赖程度确定系统的等级。 2.安全域设计:根据第一步的结果,通过分析系统业务流程、功能模块,根据安全
卫生行业信息安全等级保护工作的指导意见
卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知 卫办发…2011?85号 各省、自治区、直辖市卫生厅局,新疆生产建设兵团及计划单列市卫生局,部直属各单位,部机关各司局: 为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,按照公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安…2009?1429号)要求,我部结合卫生行业实际,研究制定了《卫生行业信息安全等级保护工作的指导意见》。现印发给你们,请遵照执行。 二〇一一年十一月二十九日 卫生行业信息安全等级保护工作的指导意见 卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作,对于促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序和国家安全具有重要意义。为贯彻落实国家信息
安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,制定本指导意见。 一、工作目标 依据国家信息安全等级保护制度,遵循相关标准规范,在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护工作长效机制,切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力,为卫生信息化健康发展提供可靠保障,全面维护公共利益、社会秩序和国家安全。 二、工作原则 (一)遵循标准,重点保护。遵循国家信息安全等级保护相关标准规范,结合卫生行业信息系统特点,优先保护重要卫生信息系统,优先满足重点信息安全需求。 (二)行业指导,属地管理。卫生行业信息安全等级保护工作实行行业指导、属地管理。地方各级卫生行政部门要按照国家信息安全等级保护制度有关要求,做好本地区卫生信息系统安全等级保护的指导和管理工作。卫生行业各单位要按照“谁主管、谁负责,谁运营、谁负责”的要求,落实信息安全责任。 (三)同步建设,动态完善。在信息系统规划设计与建设过程中,同
医院信息等级保护解决方案
医院信息等级保护解决方案 医院信息化安全是现在所有医院面临的重要课题。为了更好的保证医院信息安全,2011年底,卫生部先后下达85号通知和1126号通知,要求全国卫生行业各单位全面开展信息安全等级保护工作,于2015年12月30日前完成等保建设整改并通过等级测评。 2007年由公安部下发的43号令拉开了各行业信息安全等保建设的序幕,2008年颁布的国标《GB/T 22239-2008信息安全技术-信息系统安全等级保护基本要求》是信息系统安全等保的建设标准。卫生部下发的“85号通知”中的等保工作指导意见明确要求全国所有三甲医院核心业务信息系统的安全保护等级原则上不低于第三级,哪些系统是核心业务信息系统则由各地区自己定义,比如上海最终规定的核心业务信息系统是HIS、LIS和RIS。 图1医院网络现状 (如图1所示)医院的网络根据承载业务的不同可划分为内网、外网和设备网,其中:内网即医院的医务生产网,承载所有业务应用系统,包括大家熟知的HIS、PACS、LIS等系统; 外网即与Internet相联的网络,承载的业务包括邮件、OA等; 设备网是一张新兴的网,承载IP化的智能化弱电系统,包括:公共广播、门禁、楼控、安防视频监控等。 各医院实际网络建设模式会有不同。传统的是内外网物理隔离,但仍有相当一部分是内外网物理合一、逻辑隔离。内网实际上也有外部连接,如医保、公共卫生、新农合、银行等;但这些连接都是内网与内网通过专线连接,且通过前置机进行数据访问。 医院的网络根据承载介质的不同可分为有线网络和无线网络。根据传统习惯,如果不特别说明,上述的内
网、外网和设备网均特指有线网络。但实际上无线网络承载的业务也有内外网之分。有的医院无线网只承载内网业务,如无线查房、无线护理、无线补液等;有的医院无线网不仅承载内网业务,还会提供与外网相关的业务,如员工外网业务、病房VIP Internet业务等。无线网络中的内网业务都要访问HIS、RIS 等核心业务信息系统,所以作为有线网络的有效补充,无线网络也应是三级安全等保检查中的一部分。 如前所述,大部分地区规定的核心业务信息系统都是内网业务,即三级安全等保只与医院的内网业务系统相关,而对于内外网物理隔离的工作场景,与传统的以防范Internet业务为主的安全解决方案明显不同。 一、安全等保的测评对象 GB/T22239-2008中的三级安全等保标准共290项内容,由技术(136项)和管理(154项)2部分组成;技术要求中分为物理、网络、主机、应用和数据安全5部分。根据各地的自有特点,以提高系统的安全性为目的,各地的等保测评机构会进行标准的补充。 医院的信息系统有几十种,除了明确定级为三级的核心业务信息系统,其它业务系统如何处理?拿上海为例,HIS、LIS和RIS定级为三级信息系统,那么这3个系统之外的如EMR、临床路径系统等如何考虑?实际上等保的第一项工作即是给本单位信息系统分类定级,根据系统重要性的不同,进行不同级别的定级。如果某个系统与核心业务系统同样重要,可另外定为三级;其它系统可以定为二级。定为二级的系统按照二级安全等保标准进行建设和测评。 对于二级或三级的业务信息系统,其安全运行所需要的机房、链路、网络、服务器、存储、操作系统、应用软件等都是测评对象。 二、安全等保网络安全解读 作为安全等保的重要组成部分,网络安全因其分散、覆盖面广的特点,是等保评测的重点,也是医院信息安全的难点。在等保三级标准内容中,网络安全共分为7部分,共33条: l结构安全——7条要求,对整体网络架构、带宽和设备性能提出了管理要求; l网络访问控制——8条要求,对网络边界控制防范、边界连接的控制提出了管理要求; l安全审计——4条要求,对包括设备、事件和用户等目标的日志系统提出管理要求; l边界完整性检查——2条要求,对接入规范和防内网外联提出了管理要求; l入侵防范——2条要求,对网络边界应用级攻击的检测防范提出了管理要求; l恶意代码防范——2条要求,对网络边界恶意代码防范和代码库的升级提出的管理要求; l网络设备防护——8条要求,对设备管理的安全性提出了管理要求。 经过分析,等保网络安全部分的管理要求在很大程度上与边界设备和终端系统直接相关,边界设备的安全和管理功能,终端系统的功能和用户管理功能,可以直接覆盖绝大部分网络安全的管理要求条款。 三、H3C三级安全等保解决方案
卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知
附件: 卫生部文件卫办发…2011?85号卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知各省、自治区、直辖市卫生厅局,新疆生产建设兵团及计划单列市卫生局,部直属各单位,部机关各司局: 为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,按照公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安…2009?1429号)要求,我部结合卫生行业实际,研究制定了《卫生行业信息安全等级保护工作的指导意见》。 现印发给你们,请遵照执行。 联系人: 卫生部统计信息中心杨慧清、矫涌本联系电话: 010- 、传真: 010-二〇一一年十二月二日卫生行业信息安全等级保护工作的指导意见卫生信息安全工作是我国卫生事业发展的重要组成部分。 做好信息安全等级保护工作,对于促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序和国家安全具有重要意义。 为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,制定本指导意见。 一、工作目标依据国家信息安全等级保护制度,遵循相关标准规范,在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护工作长效机制,切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力,为卫生信息化健康发展提供可靠保障,全面维护公共利益、社会秩序和国家安全。
二、工作原则(一)遵循标准,重点保护。 遵循国家信息安全等级保护相关标准规范,结合卫生行业信息系统特点,优先保护重要卫生信息系统,优先满足重点信息安全需求。 (二)行业指导,属地管理。 卫生行业信息安全等级保护工作实行行业指导、属地管理。 地方各级卫生行政部门要按照2国家信息安全等级保护制度有关要求,做好本地区卫生信息系统安全等级保护的指导和管理工作。 卫生行业各单位要按照“谁主管、谁负责,谁运营、谁负责”的要求,落实信息安全责任。 (三)同步建设,动态完善。 在信息系统规划设计与建设过程中,同步开展信息安全等级保护工作。 因信息和信息系统的业务类型、应用范围等条件改变导致安全需求发生变化时,应当重新调整信息系统安全保护等级,及时完善安全保障措施。 三、工作机制地方各级卫生行政部门承担本地卫生信息安全责任,信息化工作领导小组统筹组织本地卫生信息安全等级保护工作。 卫生部信息化工作领导小组负责对全国卫生行业信息安全等级保护工作的组织协调、监督指导,并组织开展部机关信息安全等级保护工作。 省级、地市级卫生行政部门信息化工作领导小组负责对本地区卫生行业信息安全等级保护工作的组织协调、监督指导,并组织开展本单位信息安全等级保护工作。 卫生部建立信息安全等级保护工作联络员机制,各省级卫生行政部门应当设置信息安全等级保护工作联络员。 联络员职责是落实国家信息安全等级保护工作的有关政策和技术标准,掌握本地区信息安全等级保护工作动态和总体情况,代表本地区与卫生部及同级
等级评审-医院信息安全等级保护制度
信息安全等级保护制度 卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作,对于促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序和国家安全具有重要意义。为贯彻落实国家信息安全等级保护制度,我院按照卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知(卫办发[2011]85号)、卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知(卫办综函[2011]1126号)、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)、内蒙古卫生厅做好卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知(内卫信[2012]20号)、关于成立***卫生信息系统安全等级保护工作领导小组的通知(内卫信字[2012]665号)、转发卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知(内卫信字[2012]21号)、关于开展信息安全等级保护大检查工作的通知(内卫信字[2012]1号)等文件的精神,根据我院自身情况,制定了***人民医院信息安全等级保护制度。 一、工作目标 依据国家信息安全等级保护制度,遵循相关标准规范,在我院全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护工作长效机制,切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力,为我院卫生信息化健康发展提供可靠保障,全面维护公共利益、社会秩序和国家安全。 二、工作原则
(一)遵循标准,重点保护。遵循国家信息安全等级保护相关标准规范,结合卫生行业信息系统特点以及我院实际情况,优先保护重要卫生信息系统,优先满足重点信息安全需求。 (二)行业指导,明确责任。我院严格按照国家信息安全等级保护制度有关要求,贯彻落实本院卫生信息系统安全等级保护的指导和管理工作。按照上级要求,制定“谁主管、谁负责,谁运营、谁负责”的责任制度,落实信息安全责任。 (三)同步建设,动态完善。在信息系统规划设计与建设过程中,同步开展信息安全等级保护工作。因信息和信息系统的业务类型、应用范围等条件改变导致安全需求发生变化时,应当重新调整信息系统安全保护等级,及时完善安全保障措施。 三、工作机制 在分管院长、院办主任的领导下,由我院信息中心落实本院卫生信息安全等级保护工作,负责对我院卫生行业信息安全等级保护工作的组织协调、监督指导,积极开展信息安全等级保护工作。 按照上级相关要求,我院建立信息安全等级保护工作联络员机制,设置信息安全等级保护工作联络员。联络员职责是落实国家信息安全等级保护工作的有关政策和技术标准,掌握本院信息安全等级保护工作动态和总体情况,代表我院与卫生行政部门以及信息安全等级保护管理部门进行日常联系和交流,协调落实本院信息安全等级保护工作。 四、工作任务 (一)定级备案
等级保护测评指导书
1物理安全测评指导书 1.1机房安全测评 序号测评指标测评项检查方法预期结果 1物理位置 的选择 a)通过访谈 物理安全负 责人,检查 机房,测评 机房物理场 所在位置上 是否具有防 震、防风和 防雨等多方 面的安全防 范能力。 访谈:询问物理安全 负责人,现有机房和 办公场地的环境条件 是否具有基本的防 震、防风和防雨能 力。检查:检查机 房和办公场地的设计/ 验收文档,查看机房 和办公场所的物理位 置选择是否符合要 求。 机房和办公场地的设 计/验收文档中有关于 机房和办公场所的物 理位置选择的内容,并 符合防震、防风和防 雨能力要求。 b)通过访谈 物理安全负 责人,检查 机房,测评 机房物理场 所在位置上 是否具有防 震、防风和 防雨等多方 面的安全防 范能力。 检查:检查机房场地 是否避免设在建筑物 的高层或地下室,以 及用水设备的下层或 隔壁;检查机房场地 是否避免设在强电 场、强磁场、强震动 源、强噪声源、重度 环境污染、易发生水 灾、火灾、易遭受雷 击的地区。 1)机房没有在建筑物 的高层或地下室,附 近无用水设备; 2) 机房附近无强电场、 强磁场、强震动源、 强噪声源、重度环境 污染,机房建筑地区 不发生水灾、火灾, 不易遭受雷击。 2物理访问 控制 a)检查机房 出入口等过 程,测评信 息系统在物 理访问控制 方面的安全 防范能力。 访谈: 1)询问物理 安全负责人,了解具 有哪些控制机房进出 的能力,是否安排专 人值守; 2)访谈机 房值守人员,询问是 否认真执行有关机房 出入的管理制度,是 否对进入机房的人员 记录在案。 1)有专人值守和电子 门禁系统; 2)出入 机房需要登记,有相 关记录。 b)检查机房 出入口等过 程,测评信 息系统在物 访谈:询问物理安全 负责人,了解是否有 关于机房来访人员的 申请和审批流程,是 1)来访人员进入机房 需经过申请、审批流 程并记录; 2)进入 机房有机房管理人员
医疗行业等级保护、防统方解决方案
医疗行业等级保护、防统方解决方案杭州安恒信息技术有限公司,简称“安恒信息”,是业界领先的应用安全及数据库安全整体解决方案提供商,专注于应用安全前沿趋势的研究和分析。在医疗卫生行业数据库审计、数据库扫描、运维审计产品也得到广泛的应用,先后获得中国医药卫生信息化“首选品牌”和“金鼎奖”。其中明鉴系列应用扫描器被公安部三所测评中心等国内权威等级保护测评机构广泛使用,其数据库审计、web应用防火墙、运维审计、综合日志审计等更是在运营商、金融、政府、能源等数千家客户信息系统中稳定运行,并帮助数百家客户成功通过国家等级保护测评机构的测评。 安恒信息推出的医疗卫生行业等级保护、防统方解决方案,旨在帮助医疗卫生机构解决困扰已久的“非法统方”难题,并帮助医疗机构顺利通过等级保护测评,提升信息化管理水平。 1行业需求说明 随着医院信息化的迅猛发展,信息的高度集中使得核心数据泄密的隐患也越来越突出,其中非法“统方”尤为突出。“统方”是建立医药回扣黑链的重要枢纽环节,已经成为国家和媒体关注的重要社会焦点问题。鉴于此,我国卫生部曾反复强调,对于违反规定,未经批准擅自“统方”或者为商业目的“统方”的,不仅要对当事人从严处理,还要严肃追究医院有关领导和科室负责人的责任。但尽管相关主管部门和医药都把非法统方当作打击重点,但打击效果始终不太理想。这与非法统方的隐秘性和变化多样性有关,但更重要的是因为缺少相关完善的工具和解决方案。目前市面上主流的防统方解决方案都是基于对HIS系统数据库服务器进行旁路监听审计实施打击,但这样的解决方案有几个非常明显的弱点:
1)事后审计,无法阻断统方:通过数据库审计的方式确实能够发现统方,但是这已经是 在统方行为已经完成的情况下发现的。而医院领导更关注的是如何防止统方,对非法统方行为进行实时的阻断。 2)通过SSH、RDP等加密方式统方而无能为力:非法统方很多时候是由内部专业技术 人员或者第三方开发外包等专业人员进行,其为了躲避监控,常常采用加密的方式进行统方,而旁路数据库审计对此是无能为力的。 3)规则配置复杂,误告警过多:因为统方的专业性和隐蔽性,需要对数据库审计配置 合理的规则才能识别出统方行为,但市面上常见的产品都缺乏对统方行为的了解,大多都是通用的数据库审计产品,存在很多的误告警,不能满足医疗行业的高要求。 4)告警和报表过于专业:负责非法统方行为监管的单位一般都是纪委或纠风办,而他们 并非专业的信息化部门。但现在常见产品的告警和报表都过于专业,都是一些SQL 语句等复杂难懂的专业名词,这在很大程度上增加了非法统方抓取难度。 在等级保护方面卫生部于2011年底发布了卫办发〔2011〕85号文(关于印发《卫生行业信息安全等级保护工作的指导意见》),拉开了医疗卫生行业等级保护的序幕。随后浙江、北京等卫生厅都相继发布了推进医疗卫生行业等级保护的指导文件。等级保护是公安部、国家保密局等多个权威部门联合制定的国家信息安全标准,也是目前我们推广最为广泛、对国家信息安全影响最大的安全标准。推动等级保护这对于促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序和国家安全具有重要意义。 但目前医疗卫生行业对国家等级保护了解甚少,迫切需要专业的指导机构帮助进行等级保护定级、测评、整改工作,也迫切需要相关安全厂家能够推出针对医疗卫生行业的等级保护解决方案。而本方案正是结合安恒信息在医疗卫生行业的深厚功底和在等级保护的丰富经验而成,旨在帮助医疗卫生单位解决等级保护测评数据库安全方面的难题。 2解决方案说明 结合国家《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》、《数据库管理系统安全技术要求》等相关标准,以及安恒信息在医疗防统方方面的经验。本方案包
王晖-医疗卫生行业信息安全等级保护实施
医疗卫生行业信息安全等级保护实施
——体系化方法
北京市公共卫生信息中心 王晖
主要内容
? 信息安全等级保护制度 ? 信息安全等级保护的体系化实施
信息安全等级保护制度
? 信息安全等级保护制度的提出 ? 信息安全等级保护发展现状 ? 信息安全等级保护体系
信息安全等级保护制度的提出
? 计算机病毒、黑客攻击、软硬件故障等信息安全问题给各 类组织造成了极大的风险 ? 信息安全问题不仅仅是组织自身的事情,也涉及到国家和 社会安全 ? 基础信息网络和关系国家安全、经济命脉、社会稳定等方 面的重要信息系统的安全尤为重要
信息安全等级保护制度的提出
? 1994年,国务院发布了《中华人民共和国计算机信息系统 安全保护条例》(147号令)
– 条例第九条明确规定“计算机信息系统实行安全等级保护。安全等 级的划分标准和安全等级保护的具体办法,由公安部会同有关部 门制定”。
? 1999年9月13日,《计算机信息系统安全保护等级划分准 则》(GB17859-1999)发布,是我国计算机信息系统安 全保护等级工作的基础 ? 2003年,《国家信息化领导小组关于加强信息安全保障 工作的意见》(27号)明确指出“实行信息安全等级保护”
信息安全等级保护制度的提出
? 2004年,公安部、保密局、密码管理局、国信办联合印发 了《关于信息安全等级保护工作的实施意见》(66号文 件),明确了等级保护的原则、内容、要求以及部门分工 和实施计划 ? 2007年,公安部、保密局、密码管理局、国信办联合制定 了《信息安全等级保护管理办法》,标志着我国等级保护 制度的初步形成
医院等级保护建设网络安全建设-解决方案
医院等级保护建设网络安全建设 解决方案 2018年6月 目录 1概述 5 1.1 背景分析 5 1.2 等级保护建设目标和范围 6 1.3 方案设计 6 1.4 参照标准 6 2信息系统现状 6
2.1 医院网络安全现状7 2.2 医院网络安全风险分析7 2.3 医院网络安全需求8 2.3.1物理安全8 2.3.2网络安全9 2.3.3主机安全10 2.3.4应用安全11 2.3.5数据安全12 2.3.6安全域划分及边界防护12 3网络安全建设必要性14 3.1 等级保护要求14 3.2 医院系统面临安全威胁14 4网络安全建设目标15 4.1 满足合规性要求15 4.2 等级保护技术要求15 5安全技术体系方案设计18 5.1 物理层安全18 5.2 网络层安全19 5.2.1安全域划分19
5.2.2边界访问控制20 5.2.3网络审计21 5.2.4网络入侵防范21 5.2.5边界恶意代码防范22 5.2.6网络设备保护22 5.2.7主机层安全22 5.2.8身份鉴别22 5.2.9强制访问控制23 5.2.10主机入侵防范23 5.2.11主机审计24 5.2.12恶意代码防范24 5.2.13剩余信息保护24 5.2.14资源控制25 5.3 应用层安全25 5.3.1身份鉴别25 5.3.2访问控制26 5.3.3安全审计26 5.3.4剩余信息保护26 5.3.5通信完整性26 5.3.6通信保密性26 5.3.7抗抵赖性27
5.3.8软件容错27 5.3.9资源控制27 5.4 数据层安全28 5.4.1数据完整性28 5.4.2数据保密性28 5.4.3备份和恢复29 6安全建设方案小结29 1.1安全服务汇总30 1.2安全产品汇总30