医院等级保护建设网络安全建设-解决方案
2023年医院信息系统安全等级保护工作实施方案
2023年医院信息系统安全等级保护工作实施方案一、背景介绍医院信息系统的安全等级保护工作是为了保护医院的信息系统和数据,防止信息泄露、篡改和丢失。
随着信息化建设的不断发展,医院信息系统的安全保护工作变得尤为重要。
为了提高医院信息系统的安全性,我们制定了以下2023年医院信息系统安全等级保护工作实施方案。
二、工作目标1. 提高医院信息系统的安全性,确保患者信息和医疗数据的保密性、完整性和可用性。
2. 建立健全医院信息系统安全管理体系,提升信息系统安全管理水平。
3. 加强医院信息系统安全防护能力,有效防范各类网络攻击和安全威胁。
4. 完善灾备恢复机制,提高信息系统的可靠性和可恢复性。
三、工作内容1. 完善信息安全管理制度制定医院信息安全管理制度,包括信息安全政策、安全管理规范、风险管理制度等,对医院信息系统的安全管理进行全面规范。
2. 提升人员安全意识开展信息安全培训,加强医院员工对信息安全的知识和认识,提升他们的信息安全意识,防范人为疏忽和错误导致的信息安全风险。
3. 加强设备安全管理实施网络设备安全配置,包括防火墙、入侵检测系统等,加强对网络设备的安全管理和监控。
4. 加强访问控制建立健全的权限管理制度,对员工和患者的访问进行严格控制,确保只有合法授权的人员能够访问相关系统和数据。
5. 强化数据保护建立完善的数据备份和恢复机制,定期进行数据备份,并进行备份数据的安全存储和加密,以便在数据丢失或受损时能够快速恢复。
6. 加强网络安全监测和处置能力建立网络安全监测和事件响应机制,及时发现和处置网络安全事件,防范各类网络攻击和恶意行为。
7. 完善灾备恢复机制建立医院信息系统的灾备恢复机制,包括备份数据的存储和恢复方案、灾难恢复演练等,确保医院信息系统在灾难发生时能够快速恢复正常运行。
四、工作计划1. 制定医院信息安全管理制度,确保2023年底前全部实施和落地。
2. 每年对全体员工进行信息安全培训,提高其信息安全意识。
甲级医院信息系统等级保护建设方案
甲级医院信息系统等级保护建设方案甲级医院是指在国家卫生和计划生育委员会和国家住房和城乡建设部确定的特殊区域的级别最高医院。
医院信息系统是指医院用于管理、存储和处理患者、医生和药物等相关信息的计算机系统。
由于医院信息系统涉及大量的患者隐私和医疗机密,保护医院信息安全成为重要的任务。
甲级医院信息系统等级保护建设方案需要考虑到以下几个方面。
首先,完善信息系统安全管理体系。
建设甲级医院信息系统等级保护需要建立科学合理的信息系统安全管理体系。
该体系应包括信息安全组织机构、责任分工、安全制度和规范等内容。
医院应成立信息安全管理部门或指定信息安全负责人,负责协调和管理信息系统安全工作。
同时,将信息安全纳入医院各项管理制度中,制定信息系统安全管理规范和程序,明确应急预案和处理流程。
其次,加强网络安全建设。
医院信息系统一般包括局域网和互联网两部分,因此需要对网络进行全面保护。
建设防火墙和入侵检测系统,限制非授权访问和恶意攻击,保障信息系统的安全性。
此外,对医院网络进行定期漏洞扫描和安全评估,及时修补漏洞,确保网络安全的稳固性。
再次,加强数据安全管理。
甲级医院信息系统中存储的数据多为敏感数据,因此对数据的保护尤为重要。
建设数据备份和恢复系统,定期备份数据,并建立有效的恢复机制,以防数据丢失。
同时,加强对数据的加密和访问控制管理,设立权限管理机制,确保只有授权人员才能进行数据访问和操作。
此外,加强终端设备安全管理。
终端设备包括计算机、移动设备等,也是信息泄漏的重要通道。
加强终端设备的安全管理,包括设立设备安全管理制度,实施设备安全防护措施,限制非法设备接入和使用,定期检查终端设备安全状态等。
最后,加强人员安全意识培训。
甲级医院信息系统保护工作不仅仅依靠技术手段,也需要依靠医护人员的安全意识和行为习惯。
因此,医院应加大对医护人员的信息安全培训力度,增强他们的信息安全意识,提高他们的信息安全防范能力。
总之,甲级医院信息系统等级保护建设方案是一个系统工程,需要从全面、系统、综合的角度来考虑和实施。
某医院信息系统等级保护安全建设整改方案
某医院信息系统等级保护安全建设整改方案一、背景说明某医院信息系统是医院重要的管理与运营工具,涉及患者的个人隐私和医疗信息的保护,对医院的运行及服务质量有着重要的影响。
然而,随着信息化进程的加快和网络攻击的日益增多,医院信息系统安全面临较大挑战。
在此背景下,为了提高医院信息系统安全等级保护,制定整改方案势在必行。
二、存在问题1. 信息系统管理不到位:缺乏系统的信息系统管理规范和流程,导致信息系统运作混乱。
2. 安全意识薄弱:大部分员工对信息系统安全认识不足,存在一定的安全风险。
3. 安全措施落后:医院信息系统的安全措施滞后,存在重大安全隐患。
4. 安全漏洞频出:由于系统升级不及时和漏洞修复不完善,导致安全漏洞频繁出现。
三、整改方案1. 建立信息系统管理规范: 制定医院信息系统管理规范,明确信息系统使用、管理、运维等流程,确保信息系统安全稳定运行。
2. 提升安全意识:开展定期的信息安全培训,提高员工对信息安全的认识和重视程度。
3. 加强安全技术措施:更新信息系统安全设备和软件,强化系统防火墙、入侵检测系统、加密技术等安全措施,提高信息系统的安全性。
4. 完善安全管理机制:建立健全的信息安全管理机制,明确安全管理责任,加强对信息系统的监控和审计,及时发现并处理安全事件。
5. 加强漏洞管理:建立漏洞管理制度,及时对系统进行漏洞扫描和修复,提高信息系统的稳定性和安全性。
四、落实措施1.成立信息安全部门,负责信息系统安全管理工作。
2.制定并落实信息系统管理规范,加强对信息系统的日常监管和管理。
3.定期开展信息安全培训,提高员工的安全意识和应对能力。
4.更新信息安全设备和软件,加强对信息系统的安全防护。
5.建立安全事件应急预案,提高对安全事件的响应效率。
五、预期效果1. 提升医院信息系统安全等级保护,确保患者信息的安全和隐私。
2. 减少安全事件的发生,降低信息系统遭受攻击的风险。
3. 提高医院信息系统运行效率和服务质量,为患者提供更安全、便捷的医疗服务。
医院网络安全等级保护建设实施方案
医院网络安全等级保护建设实施方案目录第一章项目概述 (1)1.1建设背景 (1)1.2建设目标 (1)1.3建设范围 (2)1.4建设内容 (3)第二章建设方案编制依据 (4)2.1国家相关政策文件 (4)2.2国家相关标准文件 (5)2.3方案设计原则 (5)2.4方案设计标准 (6)第三章项目需求分析与建设必要性 (9)3.1新安全威胁分析 (9)3.1.1未知威胁防御现状分析 (9)3.1.2安全服务能力现状分析 (11)3.2 项目建设必要性 (11)3.2.1 医院信息化系统建设的基本手段 (11)3.2.2 医院信息化系统安全建设的重要性 (12)第四章安全需求分析 (13)4.1安全技术需求 (13)4.2安全管理需求 (14)第五章总体安全规划 (14)5.1总体设计目标 (15)5.2总体安全设计思路 (16)5.2.1合规性设计 (16)5.2.2前瞻性设计 (16)5.2.3安全管理体系设计 (17)5.2.4等级保护方案效果目标设计 (17)5.4安全域划分 (18)第六章项目方案设计 (20)6.1专线出口域设计 (20)6.2运维管理域设计 (20)6.3互联网出口区域设计 (21)第七章项目方案设计 (22)7.1安全管理策略和制度 (22)7.2安全管理机构和人员 (22)7.3安全建设管理 (22)7.4安全运维管理 (23)第一章项目概述1.1建设背景网络的飞速发展促进了的信息化建设,近几年来医院走过了不断发展、完善的信息化历程,先后经过了几次网络升级和改造,构成了一个配置多样的综合性网络平台。
为促进信息化建设、应用、管理和服务水平的持续提高,保障医院内部网络、信息系统的安全、稳定运行,需要对目前的网络进行安全加固,并严格参照《信息系统安全基本要求》、《信息系统安全实施指南》《网络安全法》等标准开展信息系统安全加固,但是安全建设是需要动态防御的,要不断更新防御手段和新增更多的防御措施。
医院等保解决方案(3篇)
第1篇一、引言随着信息技术的飞速发展,医院信息系统在医疗领域的应用越来越广泛,已成为医院管理、医疗救治、医疗服务的重要手段。
然而,信息系统在提高工作效率的同时,也面临着安全风险和挑战。
为确保医院信息系统安全稳定运行,保障患者和医院的信息安全,我国政府要求医院开展等级保护工作。
本文针对医院等保工作,提出了一套完整的解决方案。
二、医院等保工作背景及意义1. 背景根据《中华人民共和国网络安全法》和《信息安全技术信息系统安全等级保护基本要求》等法律法规,医院信息系统需要按照等级保护要求进行安全建设。
等级保护是指对信息系统进行安全等级划分,并采取相应的安全保护措施,确保信息系统安全稳定运行。
2. 意义(1)保障患者隐私:通过等保工作,加强医院信息系统安全管理,防止患者个人信息泄露,保护患者隐私。
(2)确保医疗救治:医院信息系统安全稳定运行,有利于提高医疗救治效率,降低医疗风险。
(3)提高医疗服务质量:通过等保工作,提升医院信息系统安全防护能力,为患者提供更加优质的医疗服务。
(4)降低医院运营成本:等保工作有助于提高医院信息系统安全防护水平,减少因安全事件导致的损失。
三、医院等保解决方案1. 等级保护体系(1)安全管理制度:建立健全医院信息系统安全管理制度,明确各级人员的安全责任,制定安全操作规范。
(2)安全组织机构:成立医院信息系统安全工作领导小组,负责统筹协调医院等保工作。
(3)安全技术人员:培养一支具备信息系统安全防护能力的专业团队,负责等保工作的实施和日常运维。
2. 安全技术措施(1)物理安全:加强医院信息系统的物理安全防护,如安装门禁系统、视频监控系统等,防止非法入侵。
(2)网络安全:采取防火墙、入侵检测系统、安全审计等措施,防止网络攻击和非法访问。
(3)主机安全:对服务器、工作站等主机进行安全加固,安装防病毒软件,定期进行安全漏洞扫描。
(4)数据安全:采用数据加密、访问控制等技术,保障数据安全,防止数据泄露和篡改。
医院信息安全等级保护建设方案
医院信息安全等级保护建设方案一、背景介绍医院信息安全在当前信息化时代已经成为一个重要的课题。
医院作为一个重要的医疗机构,其中包含着大量的患者、医生、药品、医疗设备等重要信息,这些信息的安全泄露可能会给患者的生命和财产造成严重威胁。
因此,加强医院信息安全等级保护建设是非常重要的。
二、目标1.确保医院信息的完整性、机密性和可用性;2.合理利用信息技术手段,强化医院信息系统的安全风险管理;3.提高医院工作人员信息安全意识,增强信息安全保护能力;4.构建医院信息安全等级保护体系,保障医院长期可持续发展。
三、方案1.信息安全政策和规范制定医院应制定一套完整的信息安全政策和规范,明确信息安全的保护原则和要求,包括信息分类、存储、传输、使用等方面,制订相应的技术和管理控制措施。
2.信息系统安全评估对医院的信息系统进行全面安全评估,包括网络安全、数据库安全、系统安全等多个方面,发现潜在的安全风险,并制定相应的修复和改进措施。
3.业务数据加密保护对医院的重要业务数据进行加密保护,确保数据在传输和存储过程中的安全,防止数据泄露或恶意篡改。
4.网络安全建设医院应加强网络安全建设,包括网络边界安全管理、入侵检测和防御、安全审计等方面,确保医院内外网络的安全连接和通信。
5.权限管理和访问控制建立起严格的权限管理和访问控制机制,对不同角色和身份的人员进行合理的访问权限控制,防止未授权的人员访问敏感信息。
6.信息安全培训和意识提升定期组织医院工作人员进行信息安全培训,加强医务人员信息安全意识的培养,提高员工对信息安全的重视程度和保护能力。
7.灾备与容灾建设建立医院信息系统的灾备与容灾体系,确保信息系统在灾难事件发生时能够及时恢复正常运行,保障医院的正常运作。
8.应急响应机制建立医院的信息安全应急响应机制,明确各部门的应急响应职责,配备相应的人员和设备,能够迅速、高效地应对各种安全事件。
9.监测和审计建立信息系统的监测和审计机制,对医院信息系统的安全状况进行实时监测和定期审计,及时发现潜在的安全问题,并采取相应的纠正和改进措施。
医院等级保护建设网络安全建设-解决方案
医院等级保护建设网络安全建设解决方案2018年6月目录1概述 51.1 背景分析 51.2 等级保护建设目标和范围 61.3 方案设计 61.4 参照标准 6 2信息系统现状 62.1 医院网络安全现状72.2 医院网络安全风险分析72.3 医院网络安全需求82.3.1物理安全82.3.2网络安全92.3.3主机安全102.3.4应用安全112.3.5数据安全122.3.6安全域划分及边界防护12 3网络安全建设必要性143.1 等级保护要求143.2 医院系统面临安全威胁14 4网络安全建设目标154.1 满足合规性要求154.2 等级保护技术要求15 5安全技术体系方案设计185.1 物理层安全185.2 网络层安全195.2.1安全域划分195.2.2边界访问控制205.2.3网络审计215.2.4网络入侵防范215.2.5边界恶意代码防范225.2.6网络设备保护225.2.7主机层安全225.2.8身份鉴别225.2.9强制访问控制235.2.10主机入侵防范235.2.11主机审计245.2.12恶意代码防范245.2.13剩余信息保护245.2.14资源控制25 5.3 应用层安全255.3.1身份鉴别255.3.2访问控制255.3.3安全审计265.3.4剩余信息保护265.3.5通信完整性265.3.6通信保密性265.3.7抗抵赖性275.3.8软件容错275.3.9资源控制275.4 数据层安全275.4.1数据完整性275.4.2数据保密性285.4.3备份和恢复29 6安全建设方案小结291.1安全服务汇总301.2安全产品汇总301概述1.1背景分析《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)明确规定我国“计算机信息系统实行安全等级保护”。
依据国务院147号令要求而制订发布的强制性国家标准《计算机信息系统安全保护等级划分准则》(GB17859-1999)为计算机信息系统安全保护等级的划分奠定了技术基础。
医院等级保护技术方案
医院等级保护技术方案一、项目背景在这个信息爆炸的时代,医院作为信息密集型单位,面临着日益严峻的信息安全挑战。
等级保护作为我国信息安全的重要手段,对医院信息系统的保护提出了更高要求。
本项目旨在针对医院等级保护技术需求,制定一套完整的技术方案,确保医院信息系统安全稳定运行。
二、等级保护标准1.物理安全:确保医院信息系统硬件设备安全,防止物理损坏、盗窃等风险。
2.网络安全:建立安全防护体系,确保网络通信安全,防止数据泄露、篡改等风险。
3.主机安全:强化主机系统安全防护,防止恶意代码、病毒等攻击。
4.应用安全:确保应用系统安全,防止应用程序漏洞被利用。
5.数据安全:保护医院信息系统数据,防止数据泄露、篡改等风险。
6.安全管理:建立健全安全管理制度,提高员工安全意识。
三、技术方案1.物理安全方案(1)设立专门的机房,配置防火、防盗、防潮、防尘等设施。
(2)对关键设备进行冗余备份,确保系统高可用性。
(3)建立视频监控系统,对关键区域进行实时监控。
2.网络安全方案(1)采用防火墙、入侵检测系统等设备,建立安全防护体系。
(2)划分安全域,实现内部网络与外部网络的隔离。
(3)采用VPN技术,实现远程访问的安全接入。
(4)定期对网络设备进行安全检查和更新。
3.主机安全方案(1)安装防病毒软件,定期更新病毒库。
(2)对主机操作系统进行安全加固,关闭不必要的服务和端口。
(3)建立主机监控与审计系统,实时监控主机运行状态。
4.应用安全方案(1)采用安全编码规范,提高应用程序安全性。
(2)对应用程序进行安全测试,发现并修复漏洞。
(3)建立应用程序安全防护机制,防止恶意代码攻击。
5.数据安全方案(1)对重要数据进行加密存储和传输。
(2)建立数据备份和恢复机制,防止数据丢失。
(3)定期对数据安全进行检查,确保数据完整性。
6.安全管理方案(1)建立健全安全管理制度,明确各级人员安全职责。
(2)定期开展安全培训,提高员工安全意识。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
医院等级保护建设网络安全建设解决案2018年6月目录1 概述 41.1 背景分析 41.2 等级保护建设目标和围 51.3 案设计 51.4 参照标准 52 信息系统现状 52.1 医院网络安全现状 62.2 医院网络安全风险分析 62.3 医院网络安全需求72.3.1 物理安全72.3.2 网络安全82.3.3 主机安全92.3.4 应用安全102.3.5 数据安全112.3.6 安全域划分及边界防护113 网络安全建设必要性133.1 等级保护要求133.2 医院系统面临安全威胁134 网络安全建设目标144.1 满足合规性要求144.2 等级保护技术要求145 安全技术体系案设计175.1 物理层安全175.2 网络层安全185.2.1 安全域划分185.2.2 边界访问控制195.2.3 网络审计205.2.4 网络入侵防205.2.5 边界恶意代码防215.2.6 网络设备保护215.2.7 主机层安全215.2.8 身份鉴别215.2.9 强制访问控制225.2.10 主机入侵防225.2.11 主机审计235.2.12 恶意代码防235.2.13 剩余信息保护235.2.14 资源控制245.3 应用层安全245.3.1 身份鉴别245.3.2 访问控制245.3.3 安全审计255.3.4 剩余信息保护255.3.5 通信完整性255.3.6 通信保密性255.3.7 抗抵赖性265.3.8 软件容错265.3.9 资源控制265.4 数据层安全265.4.1 数据完整性265.4.2 数据保密性275.4.3 备份和恢复286 安全建设案小结281.1安全服务汇总291.2安全产品汇总291概述1.1背景分析《中华人民国计算机信息系统安全保护条例》(国务院令第147号)明确规定我国“计算机信息系统实行安全等级保护”。
依据国务院147号令要求而制订发布的强制性标准《计算机信息系统安全保护等级划分准则》(GB17859-1999)为计算机信息系统安全保护等级的划分奠定了技术基础。
《信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出实行信息安全等级保护,“要重点保护基础信息网络和关系安全、经济命脉、社会稳定等面的重要信息系统,抓紧建立信息安全等级保护制度”。
《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)确定了实施信息安全等级保护制度的原则、工作职责划分、实施要求和实施计划,明确了开展信息安全等级保护工作的基本容、工作流程、工作法等。
信息安全等级保护相关法规、政策文件、标准和公共安全行业标准的出台,为信息安全等级保护工作的开展提供了法律、政策、标准保障。
2007年起公安部组织编制了《信息安全技术信息系统等级保护安全设计技术要求》,为已定级信息系统的设计、整改提供标准依据,至2008年11月已报批为国标。
与此同时,2007年7月全国开展重要信息系统等级保护定级工作,标志着信息安全等级保护工作在我国全面展开。
依据《计算机信息系统安全保护等级划分准则》,将信息系统安全保护能力划分为五个等级;分别为:第一级:用户自主保护级;由用户来决定如对资源进行保护,以及采用种式进行保护。
第二级:系统审计保护级;本级的安全保护机制支持用户具有更强的自主保护能力。
特别是具有访问审记能力,即它能创建、维护受保护对象的访问审计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,所有和安全相关的操作都能够被记录下来,以便当系统发生安全问题时,可以根据审记记录,分析追查事故责任人。
第三级:安全标记保护级;具有第二级系统审计保护级的所有功能,并对访问者及其访问对象实施强制访问控制。
通过对访问者和访问对象指定不同安全标记,限制访问者的权限。
第四级:结构化保护级;将前三级的安全保护能力扩展到所有访问者和访问对象,支持形式化的安全保护策略。
其本身构造也是结构化的,以使之具有相当的抗渗透能力。
本级的安全保护机制能够使信息系统实施一种系统化的安全保护。
第五级:访问验证保护级;具备第四级的所有功能,还具有仲裁访问者能否访问某些对象的能力。
为此,本级的安全保护机制不能被攻击、被篡改的,具有极强的抗渗透能力。
目前,全国围的定级工作已经基本完成,2009年起将依据标准要求对已定级信息系统进行整改,以达到规安全管理、提高信息安全保障能力到应有水平的目标1.2等级保护建设目标和围为了落实和贯彻自治区政府、公安部、保密局、卫生部、自治区卫生厅等有关部门信息安全等级保护工作要求,全面完善医院信息安全防护体系,落实“分区分域、等级防护、多层防御”的安全防护策略,确保等级保护工作在本单位的顺利实施,提高整体信息安全防护水平,开展等级保护建设工作。
我们前期对医院网络进行了勘查分析,了解与等级保护要求之间的差距,提出安全建设案。
本案主要遵循 GB/T22239-2008《信息安全技术信息安全等级保护基本要求》、《信息安全等级保护管理办法》公通字[2007]43 号)、《信息安全风险评估规》(GB/T 20984-2007)、《卫生行业信息安全等级保护工作的指导意见》标准等。
实施的围包括:医院安全防护、医院各个信息系统的安全防护。
1.3案设计根据等级保护要求以及前期分析了解的结果,医院信息系统存在的漏洞、弱点提出相关的整改意见,结合等级保护建设标准,并最终形成安全解决案。
1.4参照标准GB/T22239-2008《信息安全技术信息安全等级保护基本要求》《信息安全等级保护管理办法》(公通字[2007]43 号)《信息安全技术信息安全风险评估规》(GB/T 20984-2007)《卫生行业信息安全等级保护工作的指导意见》2信息系统现状随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,网络正深刻影响并改变着人类的生活和工作式。
医院已经逐步建立起依赖于网络的医院业务办公信息系统,比如门户WEB应用、HIS系统、LIS系统、电子病历系统、PACS系统等等,在给我们带来便利的同时,安全也面临更大的挑战。
对于医疗机构而言,数字化、网络化、信息化是医院实现不断发展的重要形式和发展向,而网络信息功能和容是通过WEB应用形式表现出来的。
外界对医院信息化的了解也是从WEB应用开始的,从网上预约挂号、网上查询检查结果等等一系列工作都是通过WEB来实现的,医院门户WEB应用是医院现代化科技服务的窗口,也是医院对外宣传的窗口。
而近年来,医院WEB应用的公众性质使其成为攻击和威胁的主要目标,医院WEB应用所面临的Web应用安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用等,极大地困扰着医院和公众用户,给医院的服务形象、信息网络和核心业务造成重的破坏。
因此,一个优秀的WEB应用安全建设是医院信息化是否能取得成效、充分发挥职能的基础,而合规、有效、全面的信息安全体系建设对保障其正常运行至关重要。
2.1医院网络安全现状目前医疗行业各大医院的信息化办公系统如:HIS系统、LIS系统、电子病历系统、PACS 系统、OA系统等各大业务系统全部上线运行,给医院的正常办公业务带来极大的便利,给医生节省更多的时间来治疗患者,同时给患者带来便利的就医环节;有的医院由于发展需要,建立了自己独立的门户,对外提供患者网上预约挂号,检查结果查询等功能,在几大系统中,医院OA系统由于外网同时需要运行业务,因此医院设立了DMZ区,DMZ区放置医院OA系统服务器、对外服务器,以后随着医疗信息化的发展,全疆医院要实现电子病历共享,为了给病人提供更好的服务,各大医院将逐步实现网上预约挂号、网上查询等业务,这就需要医院外网连通,实现外网数据互通共享,因此外网互联的安全建设非常重要,如在外网互联时保证网信息数据的安全性、完整性是必须考虑的问题。
2.2医院网络安全风险分析通过对医院网络现状的了解及分析,主要分为以下两大类安全威胁:外部攻击由于网与外网互通,并且在出外网之间处没有有效的安全防护设施,网信息系统面临很大威胁,极易遭到外网中黑客攻击、DDoS攻击、木马、病毒等恶意攻击,破坏各类主机及服务器,导致医院网络性能下降、服务质量降低、信息安全没有保障。
WEB应用遭受大量具有针对性的攻击,造成瘫痪,信息泄露,甚至网页被篡改。
部威胁局域网部没有防护设备及有效隔离,一旦某个用户有意或是无意将感染了病毒、木马的移动存储设备接入网,将造成整个网络木马病毒泛滥,给整个网络带来毁灭性打击。
2.3医院网络安全需求按照《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》,通过对医院和数据中心的安全状况评估、网络脆弱性扫描、本地安全审计、文档审查等式,进行物理层面、网络层面、应用层面、主机层面、数据安全及备份、安全管理层面进行安全评估,最终寻找到以下差距:2.3.1物理安全目前现有的物理安全机制不够完善,在物理安全的设计和施工中,需要考虑的安全要素包括:机房场地选择安全、机房部安全防护、机房防火、机房供、配电、机房空调、降温、机房防水与防潮、机房防静电、机房接地与防雷击、机房电磁防护。
●需要优先考虑机房和办公场地应选择在具有防震、防风和防雨等能力的建筑。
●需要在机房出入口应安排专人值守,控制、鉴别和记录进入的人员。
●需要将通信线缆铺设在隐蔽处,例如:铺设在地下或管道中。
●需要对介质分类标识,存储在介质库或档案室中。
●需要在主机房安装必要的防盗报警设施。
●机房建筑需要设置避雷装置及设置交流电源地线。
●机房需要设置灭火设备和火灾自动报警系统。
●在水管安装时,需要考虑不得穿过机房屋顶和活动地板下。
●需要采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
●需要采取措施防止机房水蒸气结露和地下积水的转移与渗透。
●需要在关键设备上采用必要的接地防静电措施。
●考虑机房需要设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允的围之。
●需要提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
●需要考虑电源线和通信线缆应隔离铺设,避免互相干扰。
●机房场地避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
●需要对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;●重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
●需要利用光、电等技术设置机房防盗报警系统,对机房设置监控报警系统。
●需要设置防雷保安器,防止感应雷。
●考虑机房设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。
●考虑机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料,机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。