医院等级保护建设网络安全建设-解决方案
市中医医院网络信息安全等级保护三级等保方案
市中医院信息系统网络安全等级保护三级建设方案北京XX科技有限公司2022年3月目录第1章方案概述 (5)1.1 背景 (5)1.2 方案设计目标 (8)1.3 方案设计原则 (8)1.4 方案设计依据 (9)第2章信息系统定级情况 (12)第3章安全需求分析 (13)3.1 安全指标与需求分析 (13)第4章信息安全体系框架设计 (16)第5章管理体系整改方案 (17)5.1 安全制度制定解决方案 (17)5.1.1 策略结构描述 (17)5.1.2 安全制度制定 (20)5.1.3 满足指标 (21)5.2 安全制度管理解决方案 (21)5.2.1 安全制度发布 (21)5.2.2 安全制度修改与废止 (22)5.2.3 安全制度监督和检查 (22)5.2.4 安全制度管理流程 (23)5.2.5 满足指标 (26)5.3 安全教育与培训解决方案 (27)5.3.1 信息安全培训的对象 (27)5.3.2 信息安全培训的内容 (28)5.3.3 信息安全培训的管理 (29)5.3.4 满足指标 (30)5.4 人员安全管理解决方案 (30)5.4.1 普通员工安全管理 (30)5.4.2 安全岗位人员管理 (32)5.4.3 满足指标 (37)5.5 第三方人员安全管理解决方案 (37)5.5.1 第三方人员短期访问安全管理 (38)5.5.2 第三方人员长期访问安全管理 (39)5.5.3 第三方人员访问申请审批流程信息表 (41)5.5.4 第三方人员访问申请审批流程图 (42)5.5.5 满足指标 (42)5.6 系统建设安全管理解决方案 (43)5.6.1 系统安全建设审批流程 (43)5.6.2 项目立项安全管理 (45)5.6.3 信息安全项目建设管理 (47)5.6.4 满足指标 (53)5.7 等级保护实施管理解决方案 (57)5.7.1 信息系统描述 (59)5.7.2 等级指标选择 (68)5.7.3 安全评估与自测评 (71)5.7.4 方案与规划 (77)5.7.5 建设整改 (79)5.7.6 运维 (84)5.7.7 满足指标 (87)5.8 软件开发安全管理解决方案 (88)5.8.1 软件安全需求管理 (89)5.8.2 软件设计安全管理 (91)5.8.3 软件开发过程安全管理 (96)5.8.4 软件维护安全管理 (99)5.8.5 软件管理的安全管理 (101)5.8.6 软件系统安全审计管理 (102)5.8.7 满足指标 (103)5.9 安全事件处置与应急解决方案 (103)5.9.1 安全事件预警与分级 (104)5.9.2 安全事件处理 (110)5.9.3 安全事件通报 (116)5.9.4 应急响应流程 (118)5.9.5 应急预案的制定 (119)5.9.6 满足指标 (133)5.10 日常安全运维管理解决方案 (135)5.10.1 运维管理 (135)5.10.2 介质管理 (137)5.10.3 恶意代码管理 (139)5.10.4 变更管理管理 (141)5.10.5 备份与恢复管理 (143)5.10.6 设备管理管理 (147)5.10.7 网络安全管理 (152)5.10.8 系统安全管理 (156)5.10.9 满足指标 (160)5.11 安全组织机构设置解决方案 (168)5.11.1 安全组织总体架构 (168)5.11.2 满足指标 (174)5.12 安全沟通与合作解决方案 (176)5.12.1 沟通与合作的分类 (176)5.12.2 风险管理不同阶段中的沟通与合作 (178)5.12.3 满足指标 (179)5.13 定期风险评估解决方案 (180)5.13.1 评估方式 (181)5.13.2 评估内容 (182)5.13.3 评估流程 (184)5.13.4 满足指标 (186)第6章技术整改方案设计 (188)6.1 设计原则 (188)6.2 安全保障体系构成 (191)6.2.1 安全技术体系 (192)6.2.2 安全管理体系 (197)6.2.3 安全运维体系 (197)6.3 安全技术方案详细设计 (198)6.3.1 信息安全拓扑设计 (199)6.3.2 安全计算环境设计 (213)6.3.3 安全区域边界设计 (225)6.3.4 安全通信网络设计 (230)6.3.5 安全管理中心设计 (234)6.4 安全管理体系详细设计 (239)6.4.1 安全管理建设设计指导思想 (239)6.4.2 建立安全管理制度及策略体系的目的 (240)6.4.3 设计原则 (240)6.4.4 安全方针 (241)6.4.5 信息安全策略框架 (242)6.4.6 总体策略 (242)6.4.7 安全管理组织机构 (244)6.4.8 服务交付物 (247)6.5 安全运维体系详细设计 (251)6.5.1 门户网站安全监控 (251)6.5.2 应急响应服务 (256)6.5.3 安全通告服务 (259)6.5.4 网络及安全设备维护 (260)6.5.5 系统安全维护 (262)6.5.6 网络防护 (263)6.5.7 系统加固 (263)第7章技术体系符合性分析 (270)7.1 物理安全 (270)7.2 网络安全 (275)7.3 主机安全 (283)7.4 应用安全 (290)7.5 数据安全与备份恢复 (297)第8章工程建设 (300)8.1 工程一期建设 (300)8.1.1 区域划分 (300)8.1.2 网络环境改造 (301)8.1.3 网络边界安全加固 (301)8.1.4 网络及安全设备部署 (302)8.1.5 安全管理体系建设服务 (339)8.1.6 安全加固服务 (357)8.1.7 应急预案和应急演练 (364)8.1.8 安全等保认证协助服务 (364)8.2 工程二期建设 (365)8.2.1 安全运维管理平台(soc) (365)8.2.2 APT高级威胁分析平台 (369)第9章本期采购安全产品清单 (372)第1章方案概述1.1背景为了保障基于“健康云”、“智慧云”的XX中医院,我公司依据公安部《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1389号)的要求,贯彻“通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全防范能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益”的方针,为市中医院需要在规划、建设和使用相关信息系统的同时对信息安全也要同步建设,全面开展信息安全等级保护建设整改工作。
医院网络安全及解决方案
是分 析前 质 量控 制 , 一 阶段 是 检验 科 工 作 人 员 所 不 能 控 制 的 。一 般 的 洁 、 燥 , 这 干 密封 性 能 好 , 有 较 大 口径 , 于 留取 尿 液 。 ③ 留 取 尿 液 标 本 具 便 医 院是 由临 床 医生 开据 检 验 申请单 , 由护 士 执 行 医 嘱 告知 患 者 或 患 者 家 时应 先 清 洁 尿道 口再 留取 中段 尿 , 要 时可 采 用 导 尿术 或 膀 脱 穿 刺术 采 必 属 留取尿 液 标本 , 后将 尿 液 标 本送 到检 验 科 。这 一 阶段 是 在 检 验 科 以 集 尿 液 标 本 。应 避 免月 经 、 道 分 泌 物 、 便 等 对 标 本 的 污 染 。④ 尿 液 然 阴 粪
网络 , 必须 尽 量减 少 网 络 出 口数 据 流 通环 节 的瓶 颈 。减少 防火 墙 对 网 络 理必 须 设 立专 门的管 理 机 构 , 配备 相应 的 安 全 管 理人 员 , 实 行 “ 一 把 并 第 效率 的 消耗 , 是保 障 网 络效 率 的重要 组 成 部 分 防 火 墙往 往 用 在 网络 出 手 ” 任 制 , 织 落实 安 全 技术 措 施 , 障计 算 机 信 息 系统 的 运行 安 全 。 责 组 保 口, 造成 网 络堵 塞 , 安 全 的 防 火 墙 也 无 法 应 用 。高 速 防火 墙 是 解 决 4 2 安全 管理 制度建 设 。安 全 管理 制度 包 括 : 如 再 . 人员 安 全 管理 制 度 、 备安 设 此 问 题 的唯一 办 法 。 可 以 选 择 的 防 火 墙 包 括 华 为 、 融 信 以及 C S O、 全 管理 制度 、 天 IC 运行 安全管 理制度 、 安全 操作管 理制度 、 安全 等级保 护 制度等 H3 C等产 品 。 2 入 侵检 测 的选 择 4 3 安 全教 育 和 培训 。为 了将 安 全 隐 患 减 少 到 最 低 , 仅 需 要 对 安 全 . 不
某医院信息系统等级保护安全建设整改方案
某医院信息系统等级保护安全建设整改方案一、背景说明某医院信息系统是医院重要的管理与运营工具,涉及患者的个人隐私和医疗信息的保护,对医院的运行及服务质量有着重要的影响。
然而,随着信息化进程的加快和网络攻击的日益增多,医院信息系统安全面临较大挑战。
在此背景下,为了提高医院信息系统安全等级保护,制定整改方案势在必行。
二、存在问题1. 信息系统管理不到位:缺乏系统的信息系统管理规范和流程,导致信息系统运作混乱。
2. 安全意识薄弱:大部分员工对信息系统安全认识不足,存在一定的安全风险。
3. 安全措施落后:医院信息系统的安全措施滞后,存在重大安全隐患。
4. 安全漏洞频出:由于系统升级不及时和漏洞修复不完善,导致安全漏洞频繁出现。
三、整改方案1. 建立信息系统管理规范: 制定医院信息系统管理规范,明确信息系统使用、管理、运维等流程,确保信息系统安全稳定运行。
2. 提升安全意识:开展定期的信息安全培训,提高员工对信息安全的认识和重视程度。
3. 加强安全技术措施:更新信息系统安全设备和软件,强化系统防火墙、入侵检测系统、加密技术等安全措施,提高信息系统的安全性。
4. 完善安全管理机制:建立健全的信息安全管理机制,明确安全管理责任,加强对信息系统的监控和审计,及时发现并处理安全事件。
5. 加强漏洞管理:建立漏洞管理制度,及时对系统进行漏洞扫描和修复,提高信息系统的稳定性和安全性。
四、落实措施1.成立信息安全部门,负责信息系统安全管理工作。
2.制定并落实信息系统管理规范,加强对信息系统的日常监管和管理。
3.定期开展信息安全培训,提高员工的安全意识和应对能力。
4.更新信息安全设备和软件,加强对信息系统的安全防护。
5.建立安全事件应急预案,提高对安全事件的响应效率。
五、预期效果1. 提升医院信息系统安全等级保护,确保患者信息的安全和隐私。
2. 减少安全事件的发生,降低信息系统遭受攻击的风险。
3. 提高医院信息系统运行效率和服务质量,为患者提供更安全、便捷的医疗服务。
医院网络安全等级保护建设实施方案
医院网络安全等级保护建设实施方案目录第一章项目概述 (1)1.1建设背景 (1)1.2建设目标 (1)1.3建设范围 (2)1.4建设内容 (3)第二章建设方案编制依据 (4)2.1国家相关政策文件 (4)2.2国家相关标准文件 (5)2.3方案设计原则 (5)2.4方案设计标准 (6)第三章项目需求分析与建设必要性 (9)3.1新安全威胁分析 (9)3.1.1未知威胁防御现状分析 (9)3.1.2安全服务能力现状分析 (11)3.2 项目建设必要性 (11)3.2.1 医院信息化系统建设的基本手段 (11)3.2.2 医院信息化系统安全建设的重要性 (12)第四章安全需求分析 (13)4.1安全技术需求 (13)4.2安全管理需求 (14)第五章总体安全规划 (14)5.1总体设计目标 (15)5.2总体安全设计思路 (16)5.2.1合规性设计 (16)5.2.2前瞻性设计 (16)5.2.3安全管理体系设计 (17)5.2.4等级保护方案效果目标设计 (17)5.4安全域划分 (18)第六章项目方案设计 (20)6.1专线出口域设计 (20)6.2运维管理域设计 (20)6.3互联网出口区域设计 (21)第七章项目方案设计 (22)7.1安全管理策略和制度 (22)7.2安全管理机构和人员 (22)7.3安全建设管理 (22)7.4安全运维管理 (23)第一章项目概述1.1建设背景网络的飞速发展促进了的信息化建设,近几年来医院走过了不断发展、完善的信息化历程,先后经过了几次网络升级和改造,构成了一个配置多样的综合性网络平台。
为促进信息化建设、应用、管理和服务水平的持续提高,保障医院内部网络、信息系统的安全、稳定运行,需要对目前的网络进行安全加固,并严格参照《信息系统安全基本要求》、《信息系统安全实施指南》《网络安全法》等标准开展信息系统安全加固,但是安全建设是需要动态防御的,要不断更新防御手段和新增更多的防御措施。
医院信息安全等级保护建设方案
医院信息安全等级保护建设方案一、背景介绍医院信息安全在当前信息化时代已经成为一个重要的课题。
医院作为一个重要的医疗机构,其中包含着大量的患者、医生、药品、医疗设备等重要信息,这些信息的安全泄露可能会给患者的生命和财产造成严重威胁。
因此,加强医院信息安全等级保护建设是非常重要的。
二、目标1.确保医院信息的完整性、机密性和可用性;2.合理利用信息技术手段,强化医院信息系统的安全风险管理;3.提高医院工作人员信息安全意识,增强信息安全保护能力;4.构建医院信息安全等级保护体系,保障医院长期可持续发展。
三、方案1.信息安全政策和规范制定医院应制定一套完整的信息安全政策和规范,明确信息安全的保护原则和要求,包括信息分类、存储、传输、使用等方面,制订相应的技术和管理控制措施。
2.信息系统安全评估对医院的信息系统进行全面安全评估,包括网络安全、数据库安全、系统安全等多个方面,发现潜在的安全风险,并制定相应的修复和改进措施。
3.业务数据加密保护对医院的重要业务数据进行加密保护,确保数据在传输和存储过程中的安全,防止数据泄露或恶意篡改。
4.网络安全建设医院应加强网络安全建设,包括网络边界安全管理、入侵检测和防御、安全审计等方面,确保医院内外网络的安全连接和通信。
5.权限管理和访问控制建立起严格的权限管理和访问控制机制,对不同角色和身份的人员进行合理的访问权限控制,防止未授权的人员访问敏感信息。
6.信息安全培训和意识提升定期组织医院工作人员进行信息安全培训,加强医务人员信息安全意识的培养,提高员工对信息安全的重视程度和保护能力。
7.灾备与容灾建设建立医院信息系统的灾备与容灾体系,确保信息系统在灾难事件发生时能够及时恢复正常运行,保障医院的正常运作。
8.应急响应机制建立医院的信息安全应急响应机制,明确各部门的应急响应职责,配备相应的人员和设备,能够迅速、高效地应对各种安全事件。
9.监测和审计建立信息系统的监测和审计机制,对医院信息系统的安全状况进行实时监测和定期审计,及时发现潜在的安全问题,并采取相应的纠正和改进措施。
医院网络安全建设方案
▲基线检查服务
需要过等保的信息系统,目前是HIS\LIS\EMR\PACS\HIP\门户网站\公共大屏播放系统、微信公众号里的应用功能系统
使用安全配置核查产品(工具或系统)或人工方式,对约定服务范围内系统中网络设备、主机操作系统、中间件系统、数据库系统和业务应用系统进行安全配置基线(依据《信息安全技术 网络安全等级保护基本要求》/或相关行业标准)检查。(需提供基线检查报告和安全配置改进建议)
安全检查支持
上级部门网络安全检查事件
在安全主管部门或上级部门开展网络安全检查、电子病历评级、智慧医院评级、互联互通评级时,配合客户单位应对网络安全检查。主要工作包括:检查前准备工作协助、检查时技术支撑、检查后整改工作协助。
1
年
《自查报告》
安全意识培训
医院网络安全意识
为医院指定人员开展安全意识培训讲演,培养员工网络安全意识。
(4)数据加密防护:支持对敏感资源文件做加密处理;支持本地存储的所有数据被加密存储;支持直接在底层实现函数监听的加密操作,避免通过加密SDK调用集成的繁琐方式。
(5)防劫持防护:加固平台支持应用防界面劫持功能,提供自动化集成方式。
(6)▲根据移动APP安全加固内容所提供的安全加固工具进行评价,所使用工具的原厂商应具备CCRC(中国网络安全审查技术与认证中心)颁发的EAL3认证证书的得1分,否则不得分。(需提供证书复印件并加盖投标人公章)
1
次/年
安全意识培训PPT
LED屏幕安全巡检服务
户外公共电子屏显示系统
对医院公共显示屏和管理机进行安全巡检提供安全巡检报告。
2
次/年
LED屏幕安全巡检报告
安全监测云服务
医院安全等保解决方案
医院安全等保解决方案1背景介绍随着医疗卫生体制改革的不断深化,卫生行业信息化应用不断普及,医院信息系统已成为医疗服务的重要支撑体系。
其应用的安全与稳定,直接关系到医院医疗工作的正常运行,一旦网络瘫痪或数据丢失,将会给医院和病人带来巨大的灾难和难以弥补的损失。
同时,医院信息系统涉及大量医院经营和患者医疗等私密信息,信息的泄露和传播将会给医院、社会和患者带来安全风险。
在面对医疗信息泄密事件频发的同时,国家对医疗信息化安全也越来越重视。
2011年,信息安全等级保护已列入《三级综合医院评审标准》中信息化规范建设的重要考核依据与指标。
同年12月份,卫生部发布《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》,要求卫生行业“全面开展信息安全等级保护工作”。
信息安全等级保护制度是国家信息安全保障工作的基本制度,医疗信息安全等级化建设已成为事关国家安全、社会稳定的政治任务。
通过建立信息安全等级保护工作长效机制,提升卫生行业信息安全防护能力、隐患发现能力、应急处置能力,为卫生信息化健康发展提供可靠保障。
2需求分析医院信息系统的稳定运行作为支撑医院系统运作及各部门共同合作与营运的关键保障,在面对安全性与易用性的冲突时,如何实现信息安全合规与医护高效,提出如下挑战:2.1政策合规·医院信息安全建设需要符合信息安全等级保护规范的要求·医院信息安全体系化完善需要减少人员或精力的投入2.2符合医院的实际应用环境·等级化安全建设能满足医院业务应用稳定与高效的要求。
·安全网络架构需要保证业务发展的可拓展性和延伸性。
2.3有效的运维管理·安全运营需要降低管理难度·安全设备及控制策略维护不要增加工作量2.4解决方案概述解决方案拓扑架构一:物理隔离物理隔离网络架构解决方案拓扑架构二:整合网络融合安全网络拓扑:根据上述需求,并结合信息安全等级化保护的相关要求,制定针对于医疗网络环境的等保解决方案:体系化等保架构设计与服务:提供等级保护建设全程指导与协助,及智能化工具应用,来满足医院信息化安全防护合规;贴合医院业务,安全与应用融合:基于医院业务应用的安全防护体系设计与可延伸架构部署,构建稳定、高效、可延伸的安全网络架构;融合安全,运维简单高效:采用统一的授权与策略管理、全网联动防御的体系设计及智能化监测与分析机制,降低管理难度与运营压力,让安全运维变的更为简单高效。
医院信息系统安全等级保护工作实施方案
医院信息系统安全等级保护工作实施方案一、介绍医院信息系统是医院管理的重要组成部分,涉及到患者的隐私和医院的运营信息。
确保医院信息系统的安全是保护患者信息和医院利益的关键。
本文将提出一个医院信息系统安全等级保护工作的实施方案,以确保医院信息系统的安全性。
二、背景医院信息系统的安全受到许多威胁,如病毒和恶意软件的攻击、未经授权的访问、数据泄露等。
因此,医院需要采取一系列的安全措施来保护信息系统的安全等级。
三、目标1. 提高医院信息系统的安全等级,保护患者的隐私和医院的利益。
2. 预防信息系统遭受病毒和恶意软件的攻击。
3. 防止未经授权的访问,保护信息系统的机密数据。
4. 防止数据泄露,保护患者的个人信息。
四、方案建议1. 制定信息安全管理制度制定一套完善的信息安全管理制度,包括制定信息安全政策、建立信息安全组织架构、明确信息安全职责和权限等。
并将制度与医院的其他相关制度相衔接,以形成一个完整的信息安全管理体系。
2. 加强系统访问控制采用有效的访问控制措施,确保只有经过授权的人员才能访问信息系统。
建立用户身份认证机制,如强制使用复杂密码和定期更换密码等。
同时,加强访问审计功能,记录用户的操作行为,以便追溯异常或非法的访问行为。
3. 加固网络安全防护安装和配置有效的防火墙,限制对信息系统的非法访问。
建立安全的网络架构,划分网络区域,隔离不同的网络环境,防止恶意软件的传播。
定期更新和升级系统和应用程序,修补已知的漏洞。
同时,加强网络监控,实时检测和阻止恶意网络流量。
4. 加强数据保护与备份采用加密技术对敏感数据进行加密存储和传输,确保数据的机密性和完整性。
定期对数据进行备份,并将备份数据存储在安全的地点,以防止数据丢失或损坏。
同时,制定数据恢复的应急计划,以应对数据意外丢失的情况。
5. 员工安全意识培训开展定期的员工安全意识培训,教育员工有关信息安全的基本知识和操作规程。
加强员工对于信息安全的认识和意识,提高员工对于信息保护的重视程度。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
医院等级保护建设网络安全建设解决方案2018年6月目录1概述 51.1 背景分析 51.2 等级保护建设目标和范围 61.3 方案设计71.4 参照标准7 2信息系统现状72.1 医院网络安全现状82.2 医院网络安全风险分析82.3 医院网络安全需求92.3.1物理安全92.3.2网络安全112.3.3主机安全122.3.4应用安全132.3.5数据安全142.3.6安全域划分及边界防护15 3网络安全建设必要性173.1 等级保护要求173.2 医院系统面临安全威胁18 4网络安全建设目标184.1 满足合规性要求184.2 等级保护技术要求19 5安全技术体系方案设计245.1 物理层安全245.2 网络层安全255.2.1安全域划分255.2.2边界访问控制275.2.3网络审计285.2.4网络入侵防范285.2.5边界恶意代码防范295.2.6网络设备保护295.2.7主机层安全295.2.8身份鉴别305.2.9强制访问控制305.2.10主机入侵防范315.2.11主机审计325.2.12恶意代码防范325.2.13剩余信息保护325.2.14资源控制335.3 应用层安全335.3.1身份鉴别335.3.2访问控制345.3.3安全审计345.3.4剩余信息保护355.3.5通信完整性355.3.6通信保密性355.3.7抗抵赖性365.3.8软件容错365.3.9资源控制365.4 数据层安全375.4.1数据完整性375.4.2数据保密性385.4.3备份和恢复39 6安全建设方案小结391.1安全服务汇总401.2安全产品汇总411概述1.1背景分析《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)明确规定我国“计算机信息系统实行安全等级保护”。
依据国务院147号令要求而制订发布的强制性国家标准《计算机信息系统安全保护等级划分准则》(GB17859-1999)为计算机信息系统安全保护等级的划分奠定了技术基础。
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出实行信息安全等级保护,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度”。
《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)确定了实施信息安全等级保护制度的原则、工作职责划分、实施要求和实施计划,明确了开展信息安全等级保护工作的基本内容、工作流程、工作方法等。
信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准的出台,为信息安全等级保护工作的开展提供了法律、政策、标准保障。
2007年起公安部组织编制了《信息安全技术信息系统等级保护安全设计技术要求》,为已定级信息系统的设计、整改提供标准依据,至2008年11月已报批为国标。
与此同时,2007年7月全国开展重要信息系统等级保护定级工作,标志着信息安全等级保护工作在我国全面展开。
依据《计算机信息系统安全保护等级划分准则》,将信息系统安全保护能力划分为五个等级;分别为:第一级:用户自主保护级;由用户来决定如何对资源进行保护,以及采用何种方式进行保护。
第二级:系统审计保护级;本级的安全保护机制支持用户具有更强的自主保护能力。
特别是具有访问审记能力,即它能创建、维护受保护对象的访问审计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,所有和安全相关的操作都能够被记录下来,以便当系统发生安全问题时,可以根据审记记录,分析追查事故责任人。
第三级:安全标记保护级;具有第二级系统审计保护级的所有功能,并对访问者及其访问对象实施强制访问控制。
通过对访问者和访问对象指定不同安全标记,限制访问者的权限。
第四级:结构化保护级;将前三级的安全保护能力扩展到所有访问者和访问对象,支持形式化的安全保护策略。
其本身构造也是结构化的,以使之具有相当的抗渗透能力。
本级的安全保护机制能够使信息系统实施一种系统化的安全保护。
第五级:访问验证保护级;具备第四级的所有功能,还具有仲裁访问者能否访问某些对象的能力。
为此,本级的安全保护机制不能被攻击、被篡改的,具有极强的抗渗透能力。
目前,全国范围内的定级工作已经基本完成,2009年起将依据标准要求对已定级信息系统进行整改,以达到规范安全管理、提高信息安全保障能力到应有水平的目标1.2等级保护建设目标和范围为了落实和贯彻自治区政府、公安部、保密局、卫生部、自治区卫生厅等国家有关部门信息安全等级保护工作要求,全面完善医院信息安全防护体系,落实“分区分域、等级防护、多层防御”的安全防护策略,确保等级保护工作在本单位的顺利实施,提高整体信息安全防护水平,开展等级保护建设工作。
我们前期对医院网络进行了勘查分析,了解与等级保护要求之间的差距,提出安全建设方案。
本方案主要遵循GB/T22239-2008《信息安全技术信息安全等级保护基本要求》、《信息安全等级保护管理办法》公通字[2007]43 号)、《信息安全风险评估规范》(GB/T 20984-2007)、《卫生行业信息安全等级保护工作的指导意见》标准等。
实施的范围包括:医院网站安全防护、医院各个信息系统的安全防护。
1.3方案设计根据等级保护要求以及前期分析了解的结果,医院信息系统存在的漏洞、弱点提出相关的整改意见,结合等级保护建设标准,并最终形成安全解决方案。
1.4参照标准GB/T22239-2008《信息安全技术信息安全等级保护基本要求》《信息安全等级保护管理办法》(公通字[2007]43 号)《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)《卫生行业信息安全等级保护工作的指导意见》2信息系统现状随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,网络正深刻影响并改变着人类的生活和工作方式。
医院已经逐步建立起依赖于网络的医院业务办公信息系统,比如门户WEB应用、HIS系统、LIS系统、电子病历系统、PACS系统等等,在给我们带来便利的同时,安全也面临更大的挑战。
对于医疗机构而言,数字化、网络化、信息化是医院实现不断发展的重要形式和发展方向,而网络信息功能和内容是通过WEB应用形式表现出来的。
外界对医院信息化的了解也是从WEB应用开始的,从网上预约挂号、网上查询检查结果等等一系列工作都是通过WEB 来实现的,医院门户WEB应用是医院现代化科技服务的窗口,也是医院对外宣传的窗口。
而近年来,医院WEB应用的公众性质使其成为攻击和威胁的主要目标,医院WEB应用所面临的Web应用安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用等,极大地困扰着医院和公众用户,给医院的服务形象、信息网络和核心业务造成严重的破坏。
因此,一个优秀的WEB应用安全建设是医院信息化是否能取得成效、充分发挥职能的基础,而合规、有效、全面的信息安全体系建设对保障其正常运行至关重要。
2.1医院网络安全现状目前医疗行业各大医院的信息化办公系统如:HIS系统、LIS系统、电子病历系统、PACS 系统、OA系统等各大业务系统全部上线运行,给医院的正常办公业务带来极大的便利,给医生节省更多的时间来治疗患者,同时给患者带来便利的就医环节;有的医院由于发展需要,建立了自己独立的门户网站,对外提供患者网上预约挂号,检查结果查询等功能,在几大系统中,医院OA系统由于内外网同时需要运行业务,因此医院设立了DMZ区,DMZ区放置医院OA系统服务器、对外网站服务器,以后随着医疗信息化的发展,全疆医院要实现电子病历共享,为了给病人提供更好的服务,各大医院将逐步实现网上预约挂号、网上查询等业务,这就需要医院内外网连通,实现内外网数据互通共享,因此内外网互联的安全建设非常重要,如何在内外网互联时保证内网信息数据的安全性、完整性是必须考虑的问题。
2.2医院网络安全风险分析通过对医院网络现状的了解及分析,主要分为以下两大类安全威胁:外部攻击由于内网与外网互通,并且在出内外网之间处没有有效的安全防护设施,内网信息系统面临很大威胁,极易遭到外网中黑客攻击、DDoS攻击、木马、病毒等恶意攻击,破坏各类主机及服务器,导致医院网络性能下降、服务质量降低、信息安全没有保障。
WEB应用遭受大量具有针对性的攻击,造成网站瘫痪,信息泄露,甚至网页被篡改。
内部威胁局域网内部没有防护设备及有效隔离,一旦某个用户有意或是无意将感染了病毒、木马的移动存储设备接入内网,将造成整个网络木马病毒泛滥,给整个网络带来毁灭性打击。
2.3医院网络安全需求按照《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》,通过对医院网站和数据中心的安全状况评估、网络脆弱性扫描、本地安全审计、文档审查等方式,进行物理层面、网络层面、应用层面、主机层面、数据安全及备份、安全管理层面进行安全评估,最终寻找到以下差距:2.3.1物理安全目前现有的物理安全机制不够完善,在物理安全的设计和施工中,需要考虑的安全要素包括:机房场地选择安全、机房内部安全防护、机房防火、机房供、配电、机房空调、降温、机房防水与防潮、机房防静电、机房接地与防雷击、机房电磁防护。
●需要优先考虑机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
●需要在机房出入口应安排专人值守,控制、鉴别和记录进入的人员。
●需要将通信线缆铺设在隐蔽处,例如:铺设在地下或管道中。
●需要对介质分类标识,存储在介质库或档案室中。
●需要在主机房安装必要的防盗报警设施。
●机房建筑需要设置避雷装置及设置交流电源地线。
●机房需要设置灭火设备和火灾自动报警系统。
●在水管安装时,需要考虑不得穿过机房屋顶和活动地板下。
●需要采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
●需要采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
●需要在关键设备上采用必要的接地防静电措施。
●考虑机房需要设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
●需要提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
●需要考虑电源线和通信线缆应隔离铺设,避免互相干扰。
●机房场地避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
●需要对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;●重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
●需要利用光、电等技术设置机房防盗报警系统,对机房设置监控报警系统。
●需要设置防雷保安器,防止感应雷。
●考虑机房设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。