等级保护差距分析(G1G2)

信息系统安全等级保护评估差距分析报告(二级信息系统)目录1.概述 (5)1.1 背景介绍 (5)1.2 信息系统介绍 (5)2.系统范围 (6)2.1 网络及安全设备 (6)2.2 服务器设备 (6)3.差距分析方法 (7)4.差距分析结果 (7)5.差距分析表 (8)5.1.安全物理环境 (8)5.1.1.物理位置选择 (8)5.1.2.物理访问控制 (8)5.1.3.防盗窃和防破坏 (8)5.1.4.防雷击 (9)5.1.5.防火 (9)5.1.6.防水和防潮 (9)5.1.7.防静电 (9)5.1.8.温湿度控制 (9)5.1.9.电力供应 (10)5.1.10.电磁防护 (10)5.2.安全通信网络 (10)5.2.1.网络架构 (10)5.2.2.通信传输 (10)5.2.3.可信验证 (11)5.3.安全区域边界 (11)5.3.1.边界防护 (11)5.3.2.访问控制 (11)5.3.3.入侵防范 (12)5.3.4.恶意代码和垃圾邮件防范 (12)5.3.5.安全审计 (12)5.4.安全计算环境 (13)5.4.1.身份鉴别 (13)5.4.2.访问控制 (13)5.4.3.安全审计 (13)5.4.4.入侵防范 (14)5.4.5.恶意代码防范 (14)5.4.6.可信验证 (14)5.4.7.数据完整性 (14)5.4.8.数据备份恢复 (15)5.4.9.剩余信息保护 (15)5.4.10.个人信息保护 (15)5.5.安全管理中心 (15)5.5.1.系统管理 (15)5.5.2.审计管理 (16)6.管理要求 (16)6.1.安全管理制度 (16)6.1.1.安全策略 (16)6.1.2.管理制度 (16)6.1.3.制定和发布 (17)6.1.4.评审和修订 (17)6.2.安全管理机构 (17)6.2.1.岗位设置 (17)6.2.2.人员配备 (17)6.2.3.授权和审批 (18)6.2.4.沟通和合作 (18)6.2.5.审核和检查 (18)6.3.安全管理人员 (18)6.3.1.人员录用 (18)6.3.2.人员离岗 (19)6.3.3.安全意识教育和培训 (19)6.3.4.外部人员访问管理 (19)6.4.安全建设管理 (19)6.4.1.定级和备案 (19)6.4.2.安全方案设计 (20)6.4.3.产品采购和使用 (20)6.4.4.自行软件开发 (20)6.4.5.外包软件开发 (21)6.4.7.测试验收 (21)6.4.8.系统交付 (21)6.4.9.等级测评 (22)6.4.10.服务供应商选择 (22)6.5.安全运维管理 (22)6.5.1.环境管理 (22)6.5.2.资产管理 (23)6.5.3.介质管理 (23)6.5.4.设备维护管理 (23)6.5.5.漏洞和风险管理 (23)6.5.6.网络和系统安全管理 (24)6.5.7.恶意代码防范管理 (24)6.5.8.配置管理 (25)6.5.9.密码管理 (25)6.5.10.变更管理 (25)6.5.11.备份与恢复管理 (25)6.5.12.安全事件处置 (26)6.5.13.应急预案管理 (26)6.5.14.外包运维管理 (26)1.概述1.1 背景介绍随着信息化的不断发展，对信息系统的依赖程度也越来越高，大部分行业信息化都是以信息技术广泛应用为主导，信息资源为核心，信息网络为基础，信息人才为依托，有关信息法规、政策、标准、管理为保障的综合体系。

管理大概80，外网大概40，服务器数外网网络边界进行访问控制，基本的终端数量：内网大概80，外网大概40，服务器数量：11网络现况：电信宽带30MB（互联网），电信专网4MB（一门诊）、10MB（城北门诊）,医保电信ADSL，电子远程药品监空系统移动光缆（带宽不详）现有应用系统：HIS、LIS、PACS 、EMR、物资资产财务、CA认证、医保数据备份：没有现有网络安全产品：防火墙1台（网神）在互联网出口处；服务器及内网终端安装Mcafee杀毒软件终端安全管理产品：没有分支机构远程连接：有2个分门诊，使用Radmin 、飞秋、远程桌面等局域网内部远程工具终端使用操作系统：WinXP、win8、win sever 2003、win sever 2008操作系统补丁更新：服务器与内网终端没有更新过终端杀毒软件：服务器、内网终端安装华军软件及功能：1)外网防火墙(对外网网络边界进行访问控制，基本的入侵防护的，可考虑原有网神防火墙利旧，需确认原有网神防火墙是否满足需求)2)内网防火墙(对内部网络边界进行访问控制，基本的入侵防护等)3)终端企业版杀毒软件(服务器及终端主机的防病毒统一管理、可进行终端个体的漏洞扫描及补丁更新)4)终端安全产品(对终端的信息安全进行防护，后期可根据需求增加和调整功能模块) 5)上网行为管理设备(对外网终端的上网行为进行监测，必要时进行管控)后期三级等保可考虑增加设备：1)入侵防御设备(IPS)：网络边界处2)防病毒网关(多功能安全网关)：网络边界处3)入侵检测设备(IDS)：内网核心交换机处4)堡垒主机(运维网关、安全管理平台)：核心交换机处5)网闸(信息交换与隔离系统)：内外网边界处6)数据库审计(综合审计类产品)：新：服务器与内网终端没有更新处5)网闸(信息交换系统运维管理。

等级保护工作开展参考资料文档说明1)目标对象：客户单位的信息主管/计算机信息系统运维管理人员2)文档功能：与客户一起探讨“信息平安等级保护工作开展〞工作方法一.等级保护整体效劳方案图 1 等级保护整体效劳方案工作流程图等级保护的建立是个长期的过程，需要花费大量的时间、精力和财力，本着为用户效劳的态度，“中国信息平安测评效劳方华中测评效劳中心〞推出了等级保护专业效劳，提供包括定级备案、差距分析、方案制订、实施、测评、检查等各个环节的效劳，通过自身的平安产品、平安效劳，可协助用户完成等级保护各个阶段的实施和建立，确保用户严格按照等级保护的过程规划并建立自己的平安保障体系，更好地支撑应用和业务的开展，为用户信息平安保障体系“保驾护航〞。

测评效劳方在等级保护各个阶段将协助用户完成上图的任务和工作。

具体包括：1)等级保护定级备案对信息系统进展划分，并根据信息系统的价值确定信息系统的保护等级，等级确定后测评效劳方将协助用户完成保护等级的备案工作。

2)等级保护差距分析通过风险评估可以发现信息系统的平安现状与需要到达的平安等级或目标的差异，使信息系统的管理和使用单位可以在技术和管理方面进展有针对性的加强和完善，使单位的信息系统平安工作有的放矢。

3)等级保护整改建议方案测评效劳方根据评估的结果和信息系统确认的保护等级，结合?信息系统平安等级保护根本要求?以及其它相关整改标准中对各级别信息系统的技术、管理和运维方面的要求，制定相应的平安保护措施，完成等级保护整改建议方案的设计。

依据公通字[2007]43号文的要求，信息系统定级工作完成后，运营、使用单位首先要按照相关的管理规和技术标准进展平安建立和整改，使用符合有关规定、满足信息系统平安保护等级需求的信息技术产品，进展信息系统平安建立或者改建工作。

等级保护整改的核心是根据用户的实际信息平安需求、业务特点及应用重点，在确定不同系统重要程度的根底上，进展重点保护。

整改工作要遵循等级保护相关要求，将等级保护要求表到达方案、产品和平安效劳中去，并切实结合用户信息平安建立的实际需求，建立一套全面保护、重点突出、持续运行的平安保障体系，将等级保护制度确实落实到企业的信息平安规划、建立、评估、运行和维护等各个环节，保障企业的信息平安。

医院信息安全等级保护三级建设流程与要点1 背景随着医院尤其是三级甲等大型医院信息化的迅猛发展，医院信息系统已经深入到医疗的各个环节当中，一旦发生故障将严重影响医疗活动的顺利开展，因此信息安全工作得到了越来越多医院的重视。

信息安全等级保护是国家层面出台的针对信息安全分级保护的制度，其目的是保护重要信息系统的安全，提高信息系统防护能力和应急水平。

为了信息安全等级保护能够更好的在各医院实施，卫生部针对医疗行业的实际现状印发了《卫生行业信息安全等级保护工作的指导意见》的通知卫办发〔2011〕85号，此文件在信息安全保护和医疗行业信息安全管理之间起到承接桥梁的作用。

根据文件精神，三级甲等医院的核心业务信息系统安全保护等级原则上不低于第三级。

2 医院信息安全等级保护建设流程2.1 信息系统定级[1]信息系统定级主要考虑两方面，一是业务信息受到破坏时客体的是谁，二是对于客体的侵害程度如何。

两方面结合根据表1来制定本单位的具体哪个信息系统应该定位第几级。

表1针对三级甲等医院，因门诊量普遍较大，当在早间挂号、就诊等高峰时期会有大量患者排队挂号与就诊，当发生信息系统瘫痪后会造成大面积患者排队，极易引发群体事件。

因此，定义为对“社会秩序、公共利益”造成“严重损害”，即信息安全等级保护定级为第三级。

涉及的信息系统即与挂号、就诊等与门诊患者密切相关的系统。

2.2. 信息系统评审与备案按照等级保护管理办法和定级指南要求，在完成对本单位信息系统的自主定级后需要将业务系统自主定级结果提交卫生部审批。

在定级审批过程中，卫生部组织专家进行评审，并出具《审批意见》。

完成评审后，医院需要填写《信息系统安全等级保护备案表》和《信息系统安全等级保护定级报告》，备案表与报告范例可在“中国信息安全等级保护网”进行下载。

最后医院持评审意见、备案表、定级报告到所在地管辖区的市级以上公安机关办理备案手续，在拿到备案回执和审核结果通知后完成定级备案。

网络安全等级保护测评项目需求一、范围包括本次项目服务范围包括：协助等级保护定级备案服务、等级保护差距分析服务（预测评）、通过测评结果提出整改建议服务、等级保护测评服务、安全培训、应急支持、漏洞检测服务、渗透测试服务、及时通知服务、最新等级保护资料发放、安全管理体系建设服务。

具体报价范围、采购范围及所应达到的具体要求，以本招标文件中商务、技术和服务的相应规定为准。

二、项目概述根据国家《网络安全法》要求，为了保障采购人信息系统的平稳正常运行，维护采购人整体业务的安全性，启动本次安全服务项目。

通过本次安全服务项目实现采购人信息系统的全面测评工作、涵盖技术与管理两大部分，对照国家《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），找出信息系统存在的各类安全风险和隐患。

通过对信息系统的测评，发现安全风险，在被非法意图的攻击者利用前修补漏洞消除风险。

提交完整的测评报告，以备存档。

同时可在监管部门检查时，提供详实的文档供查验。

三、主要技术要求1、信息安全政策依据（一）信息系统实行安全等级保护；（二）实行信息安全等级保护，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南；2、项目实施遵循的技术标准《网络安全法》《信息安全等级保护管理办法》《计算机信息系统安全保护条例》《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）《信息安全技术网络安全等级保护定级指南》（GB/T 22240-2020）《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-2018）《信息安全技术网络安全等级保护实施指南》（GB/T 25058-2019）《网络安全等级保护测评报告模版》（2021年版）等3、等级保护测评服务1）信息系统测评对象本项目测评对象为医院管理系统系统、影像管理系统、电子病历管理系统、检验系统、家庭医生签约、基层医疗管理系统、公共卫生系统（三级），包括管理、使用、运维管理制度制定及落实情况，网络设备、服务器、安全设备、应用软件、数据库、用户终端等安全技术保护情况。

等保2.0 VS 等保1.0（三级）对比网络安全等级保护基本要求通用要求技术部分与信息安全等级保护基本要求技术部分结构由原来的五个层面：物理安全、网络安全、主机安全、应用安全、数据安全，调整为四个部分：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全；技术要求“从面到点”提出安全要求，“物理和环境安全”主要对机房设施提出要求，“网络和通信安全”主要对网络整体提出要求，“设备和计算安全”主要对构成节点（包括网络设备、安全设备、操作系统、数据库、中间件等）提出要求，“应用和数据安全”主要对业务应用和数据提出要求。

（标粗内容为三级和二级的变化，标红部门为新标准主要变化）1.1、物理和环境安全VS原来物理安全控制点未发生变化，要求项数由原来的32项调整为22项。

控制点要求项数修改情况如下图：要求项的变化如下：1.2、网络和通信安全VS原来网络安全新标准减少了结构安全、边界完整性检查、网络设备防护三个控制点，增加了网络架构、通信传输、边界防护、集中管控四个控制点。

原结构安全中部分要求项纳入了网络架构控制点中，原应用安全中通信完整性和保密性的要求项纳入了通信传输控制点中，原边界完整性检查和访问控制中部分要求项内容纳入了边界防护控制点中，原网络设备防护控制点要求并到设备和计算安全要求中。

要求项总数原来为33项，调整为还是33项，但要求项内容有变化。

控制点和控制点要求项数修改情况如下图：具体要求项的变化如下表：1.3、设备和计算安全VS原来主机安全新标准减少了剩余信息保护一个控制点，在测评对象上，把网络设备、安全设备也纳入了此层面的测评范围。

要求项由原来的32项调整为26项。

控制点和各控制点要求项数修改情况如下图：具体要求项的变化如下表：1.4、应用和数据安全VS原来应用安全+数据安全及备份恢复新标准将应用安全、数据安全及备份恢复两个层面合并成了应用和数据安全一个层面，减少了通信完整性、通信保密性和抗抵赖三个控制点，增加了个人信息保护控制点。