人民医院网络安全建设方案
医院网络安全运营中心建设方案
• 同步运营:IT基础设施部署完成后转入运
营阶段,采取监控、维护的手段进行一体
安全
化运营。
运营
安全运营中心-安全体系研究
一把手重视 重在规划 持续投入
随着信息时代的高速发展,物联网、 5G推向市场,新技术不断应用到医疗 行业中的时候,安全将如何应对,这将 是一个新的研究方向。
合作研究安全新技术,并在未来的 医疗行业期刊、杂志发表安全新技术研 究文章。
医联 体
移动医 疗
云计算
物联 网
人工 智能
互联网 医院
4 安全运营中心建设体会
安全运营中心建设体会
1、网络安全与每个人息息相关
提升全员的网络安全意识水平, 知晓病 毒、恶意软件就在身边,通 过不断的培训、 学习,让每个人都 做信息安全的“便衣警察 ”。
安全运营中心建设体会
2、单打独斗不如合作共赢
• 《电子病历系统应用水平分级评价标准(试行)》
• 其中7级对网络安全部分要求主要体现在终端安全、服务 器安全以及边界安全防护工具的配备和部署。
• 《全国医院信息化建设标准与规范(试行) 》
• 第四章明确规定了安全防护的内容,包括四大类19个子 类内容。其中明确要求三级医院的信息化建设应参照等 级保护三级标准进行网络安全建设。
网络与信息安全培训
• 为了进一步加强全院信息安全管理能力, 提高全院员工的网络安全防范意识,以 及提 高安全运营团队的安全技能,在2019年开展3场网络安全培训,并对受 训人员进行安 全能力考核。
安全运营中心-终端安全建设
建设绿色、安全、统一管理的医院办公平台
• 东院区已使用云终端替代传统PC,实 现操 作系统统一管理,软件系统统一进 行更新 ,管理方便,绿色节能。
医院网络安全及解决方案
是分 析前 质 量控 制 , 一 阶段 是 检验 科 工 作 人 员 所 不 能 控 制 的 。一 般 的 洁 、 燥 , 这 干 密封 性 能 好 , 有 较 大 口径 , 于 留取 尿 液 。 ③ 留 取 尿 液 标 本 具 便 医 院是 由临 床 医生 开据 检 验 申请单 , 由护 士 执 行 医 嘱 告知 患 者 或 患 者 家 时应 先 清 洁 尿道 口再 留取 中段 尿 , 要 时可 采 用 导 尿术 或 膀 脱 穿 刺术 采 必 属 留取尿 液 标本 , 后将 尿 液 标 本送 到检 验 科 。这 一 阶段 是 在 检 验 科 以 集 尿 液 标 本 。应 避 免月 经 、 道 分 泌 物 、 便 等 对 标 本 的 污 染 。④ 尿 液 然 阴 粪
网络 , 必须 尽 量减 少 网 络 出 口数 据 流 通环 节 的瓶 颈 。减少 防火 墙 对 网 络 理必 须 设 立专 门的管 理 机 构 , 配备 相应 的 安 全 管 理人 员 , 实 行 “ 一 把 并 第 效率 的 消耗 , 是保 障 网 络效 率 的重要 组 成 部 分 防 火 墙往 往 用 在 网络 出 手 ” 任 制 , 织 落实 安 全 技术 措 施 , 障计 算 机 信 息 系统 的 运行 安 全 。 责 组 保 口, 造成 网 络堵 塞 , 安 全 的 防 火 墙 也 无 法 应 用 。高 速 防火 墙 是 解 决 4 2 安全 管理 制度建 设 。安 全 管理 制度 包 括 : 如 再 . 人员 安 全 管理 制 度 、 备安 设 此 问 题 的唯一 办 法 。 可 以 选 择 的 防 火 墙 包 括 华 为 、 融 信 以及 C S O、 全 管理 制度 、 天 IC 运行 安全管 理制度 、 安全 操作管 理制度 、 安全 等级保 护 制度等 H3 C等产 品 。 2 入 侵检 测 的选 择 4 3 安 全教 育 和 培训 。为 了将 安 全 隐 患 减 少 到 最 低 , 仅 需 要 对 安 全 . 不
吉林省人民医院网络安全的实施
DOI 1 . 9 9 jis . 6 29 5 . 0 0 2 . 7 : 0 3 6 /.sn 1 7 — 4 5 2 1 . 4 0 0
中 图 分 类 号 : 9 . 2 R1 7 3 4
文 献 标 志码 : C
[ 3 T o sA. a l 网 络 安 全 实 施 方 法 [ . 京 : 民 1 h ma W do w M] 北 人 邮 电 出版 社 , 0 0 4 — 1 2 0 : 76 .
[ ] 刘 占全 . 络 管 理 与 防 火 墙 技 术 [ . 京 : 民 邮 电 出 2 网 M] 北 人
的 医 院 与 外 界 交 流 需 要 互 联 网 (nen t接 入 ; 着 医 疗 体 制 Itre) 随
的 改 革 , 会 医 疗 保 险 网 络 要 与 医 院 内部 网 络 接 轨 , 个 网 络 社 多 互 相 渗 透 , 医 院 网 络 充 满 机 遇 与 挑 战 。 内 网 与外 网 的安 全 问 使 题 在 我 国 尚无 一 个 完 整 的解 决 方 案 。本 院 现 采 用 内 、 网 ( 外 互 联 网) 理 分 开 , 物 即通 过 光 缆 宽 带 访 问 Itr e nent的机 器 与 内 网
工 作 站 的外 部 输 入 设 备 ( 如 软 驱 、 驱 等 ) 除 , 且 所 有 内 例 光 撤 并
网 的 计 算 机 不 准 接 u 盘 , 服 务 器 及 每 个 工 作 站 点 安 装 网 络 在 版 防 病 毒 软 件 ; 现 从 服 务 器 到 工 作 站 的 全 方 位 病 毒 防 护 管 实 理 , 时及 定 期 查 杀 各 类 病 毒 、 马 , 病 毒 、 马无 法 侵 入 。 实 木 使 木
医院计算机网络安全管理规定
医院计算机网络安全管理规定为加强计算机网络的管理,确保医院计算机网络正常、安全使用,特制订本规定,供医院全体员工共同遵守。
1、医院网络的建设由信息科统一规划,信息中心对医院计算机IP地址统一分配、登记、管理,禁止擅自更改上网端口和IP地址,严禁任何部门和个人擅自改动和连接网线。
2、医院的局域网对全院开放,由信息科负责医院局域网的连通和权限设置。
3、为保证医院网络的安全,使用医院局域网的电脑设备一律禁止连接互联网,因工作需要,需查询或下载资料,可由信息中心给予协助办理。
其他职能部门因工作需要连接互联网的,需申请经审批同意方可开通互联网权限。
4、对现有互联网用户,信息中心将实施网上行为监控,不定期检查上网记录,如上网记录中上网行为和流量异常,将终止其使用互联网。
5、网络出现故障,及时报信息中心处理。
6、禁止外来人员操作使用医院的电脑、网络。
7、严禁连接局域网的电脑使用U盘、移动硬盘等一切USB 设备。
8、严禁私自设置和使用移动wifi、无线网卡等设备,信息中心应定期检查wifi热点,如有发现者将禁止其使用互联网。
9、因工作需要,下载完文件后应及时退出下载工具,避免下载工具软件进行文件自动上传,占用网络资源。
避免用邮箱发送过大的文件。
10、对于接入互联网的用户,禁止工作时间浏览与工作无关的网站,禁止在任何时间浏览不健康的网站,禁止下载、安装具有破坏性的程序或代码。
严禁使用网络搞迷信和邪教活动,禁止将有关医院保密信息上网传播。
11、严禁医院人员在上班时间下载电影、游戏、大文件(非重要文件),看视频,玩游戏。
12、严禁利用计算机系统发布、浏览、下载、传送反动、色情及暴力的信息等。
13、严格遵守《中和人民共和国计算机信息网络国际互联网管理暂行规定》,严禁利用计算机非法入侵他人或其他组织的信息系统。
二〇一四年六月十四日。
医院网络安全等级保护建设实施方案
医院网络安全等级保护建设实施方案目录第一章项目概述 (1)1.1建设背景 (1)1.2建设目标 (1)1.3建设范围 (2)1.4建设内容 (3)第二章建设方案编制依据 (4)2.1国家相关政策文件 (4)2.2国家相关标准文件 (5)2.3方案设计原则 (5)2.4方案设计标准 (6)第三章项目需求分析与建设必要性 (9)3.1新安全威胁分析 (9)3.1.1未知威胁防御现状分析 (9)3.1.2安全服务能力现状分析 (11)3.2 项目建设必要性 (11)3.2.1 医院信息化系统建设的基本手段 (11)3.2.2 医院信息化系统安全建设的重要性 (12)第四章安全需求分析 (13)4.1安全技术需求 (13)4.2安全管理需求 (14)第五章总体安全规划 (14)5.1总体设计目标 (15)5.2总体安全设计思路 (16)5.2.1合规性设计 (16)5.2.2前瞻性设计 (16)5.2.3安全管理体系设计 (17)5.2.4等级保护方案效果目标设计 (17)5.4安全域划分 (18)第六章项目方案设计 (20)6.1专线出口域设计 (20)6.2运维管理域设计 (20)6.3互联网出口区域设计 (21)第七章项目方案设计 (22)7.1安全管理策略和制度 (22)7.2安全管理机构和人员 (22)7.3安全建设管理 (22)7.4安全运维管理 (23)第一章项目概述1.1建设背景网络的飞速发展促进了的信息化建设,近几年来医院走过了不断发展、完善的信息化历程,先后经过了几次网络升级和改造,构成了一个配置多样的综合性网络平台。
为促进信息化建设、应用、管理和服务水平的持续提高,保障医院内部网络、信息系统的安全、稳定运行,需要对目前的网络进行安全加固,并严格参照《信息系统安全基本要求》、《信息系统安全实施指南》《网络安全法》等标准开展信息系统安全加固,但是安全建设是需要动态防御的,要不断更新防御手段和新增更多的防御措施。
市人民医院信息化建设方案总体设计方案
市人民医院信息化建设方案总体设计方案清晨的阳光透过窗户洒在键盘上,手指轻轻敲击,随着思绪的流淌,一份关于市人民医院信息化建设的总体设计方案在我脑海中逐渐浮现。
一、建设目标1.提高医疗服务质量。
通过信息化手段,实现医疗资源的优化配置,提高医疗服务效率和质量。
2.提升患者就诊体验。
通过信息化平台,让患者享受到便捷的预约挂号、在线咨询、电子病历等服务。
3.加强医疗管理。
利用信息化技术,实现医疗信息的实时监控和分析,提高医疗管理水平。
4.促进医疗科研。
通过信息化平台,实现医疗数据的共享和挖掘,为科研工作提供有力支持。
二、建设内容1.信息基础设施:包括服务器、存储、网络设备等硬件设施,以及操作系统、数据库、中间件等软件设施。
2.业务应用系统:包括电子病历、医院信息管理系统、医学影像存储与传输系统、远程医疗系统等。
3.信息安全保障:包括网络安全、数据安全、系统安全等。
4.数据分析与挖掘:通过大数据技术,对医疗数据进行挖掘和分析,为医疗决策提供支持。
1.信息基础设施(1)硬件设施:采购高性能服务器、存储设备,构建稳定、高效的数据中心。
(2)网络设备:采用万兆以太网技术,提高网络带宽,确保数据传输的实时性。
(3)软件设施:选择成熟稳定的操作系统、数据库和中间件,确保系统的稳定运行。
2.业务应用系统(1)电子病历:实现患者就诊信息的电子化,提高病历的准确性和完整性。
(2)医院信息管理系统:实现医院各部门的信息共享和业务协同,提高工作效率。
(3)医学影像存储与传输系统:实现医学影像的实时传输和存储,方便医生诊断和治疗。
(4)远程医疗系统:利用信息化手段,实现远程会诊、远程诊断等功能。
3.信息安全保障(1)网络安全:采用防火墙、入侵检测系统等设备,确保网络的安全。
(2)数据安全:采用加密技术,确保数据在传输和存储过程中的安全。
(3)系统安全:定期对系统进行安全检查和漏洞修复,确保系统的稳定运行。
4.数据分析与挖掘(1)构建大数据平台:收集和整合医疗数据,构建大数据平台。
人民医院外科病房楼网络方案技术建议书
人民医院外科病房楼网络方案技术建议书目录1. 网络厂商的选择 (4)1.1. 设备应用规模及稳定性、兼容性 (4)1.2. 完善的研发体系和全系列的网络产品 (5)1.3. 健全的服务支持和培训认证体系 (5)2. 前言 (7)2.1. 概述 (7)2.2. 设计要求 (8)2.3. 整体建网原则 (9)3. 局域网总体技术方案 (11)3.1. 总体方案设计 (11)3.1.2. 有线无线混合组网下的认证方案 (12)3.1.3. 用户管理 (13)3.2. 网管方案 (14)3.2.1. 基础网络资源管理 (15)3.2.2. 基础网络拓扑管理 (15)3.2.3. 故障与告警管理 (15)3.2.4. 性能监控 (16)3.2.5. 系统管理 (16)4. 网络业务设计 (16)4.1. IP地址规划 (16)4.1.1. IP地址分配原则 (17)4.1.2. IP地址规划方案 (17)4.2. 路由设计 (18)4.2.1. 路由协议选择及设计建议 (18)4.2.2. 路由协议选择原则 (18)4.2.3. 本网络路由协议的选择 (19)4.3. VLAN的划分 (19)4.3.1. 划分VLAN的必要性 (19)4.3.2. 划分VLAN的方法 (21)4.3.3. VLAN规划 (22)4.4. 组播业务 (23)4.5. QoS设计 (24)4.5.1. QoS体系结构的选择 (25)4.5.2. QoS的实现机制 (26)4.5.3. QoS部署 (31)4.5.4. 关键业务服务质量保证设计 (42)5. 某公司售后保障体系以及用户认证培训体系 (43)5.1. 两小时厂家上门服务 (43)5.2. 服务组织结构 (43)5.3. 服务及时性保障 (44)5.4. 服务有效性保障 (46)5.4.1. 7×24小时热线技术支持 (46)5.4.2. 区域技术支持平台 (46)5.4.3. 网上问题处理系统 (46)5.4.4. 完善的实验平台 (47)5.4.5. 高效快捷的备件系统 (47)5.4.6. 技术支持与技术支持论坛 (47)5.4.7. 完备的技术支持资料开发系统 (48)6. 某城人民医院解决方案特点 (49)6.1. 全分布的处理方式 (49)6.2. 核心交换机先进的体系架构设计 (49)6.3. 基于流攻击的防止。
医院网络安全制度模板范文
医院网络安全制度模板范文一、总则第一条为了加强医院网络安全管理,保障医院信息系统的正常运行,根据《中华人民共和国网络安全法》、《医疗机构管理条例》等法律法规,制定本制度。
第二条本制度适用于医院内部网络信息系统的建设、运行、维护和管理。
第三条医院网络安全工作应当坚持以人为本、预防为主、综合防范、技术与管理相结合的原则。
第四条医院应当明确网络安全责任,建立健全网络安全管理制度,提高网络安全防护能力,确保患者信息、医疗数据和医院运营信息的安全。
二、组织管理第五条医院应当设立网络安全管理组织,负责医院网络安全的统筹协调、监督指导和应急处置工作。
第六条医院网络安全管理组织应当明确各部门的网络安全职责,建立健全网络安全管理制度,督促各部门落实网络安全措施。
第七条医院应当配备专业的网络安全技术人员,负责网络安全防护、监测、分析和处置工作。
三、网络安全防护第八条医院应当建立健全网络安全防护体系,对医院内部网络进行安全评估,制定网络安全策略,确保网络和数据安全。
第九条医院应当对网络设备、服务器、数据库等进行安全加固,定期更新安全补丁,防止网络设备和服务器存在安全漏洞。
第十条医院应当采取防火墙、入侵检测、安全审计等安全措施,对网络访问进行控制,防止未经授权的访问和攻击。
第十一条医院应当建立健全数据备份和恢复机制,对重要数据进行定期备份,确保数据在发生丢失、损坏等情况时能够及时恢复。
第十二条医院应当加强网络信息安全意识教育,提高员工网络安全意识和防护能力。
四、权限管理第十三条医院应当建立健全用户权限管理制度,对用户账号和权限进行严格管理,防止未授权访问和操作。
第十四条医院应当对用户进行身份验证和权限控制,确保只有经过授权的用户才能访问和操作网络系统。
第十五条医院应当定期审查用户权限,及时撤销离职、调离等不再从事相关工作人员的权限。
五、信息安全第十六条医院应当加强信息安全防护,防止信息泄露、篡改和丢失。
第十七条医院应当对敏感信息进行加密处理,确保信息在传输和存储过程中的安全性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
人民医院网络安全建设方案目录一. 背景概述 (3)1.1方案设计要求 (4)1.2方案设计原则 (5)二. “威胁分析+风险分析”=需求分析 (6)2.1威胁分析 (6)2.1.1 外部威胁 (6)2.1.2 内部威胁 (7)2.2风险分析 (8)2.2.1 外部网络带来的安全风险 (8)2.2.2 内部网络存在的风险 (8)2.2.3 攻击快速传播引发的安全风险 (8)三、需求分析 (9)3.1医院网络安全建设拓扑图 (10)3.2网络安全设备投入列表 (10)四、基础安全建设 (11)4.1某下一代防火墙(访问控制) (11)4.1.1部署方式 (11)4.1.2系统特点 (12)4.2某网络入侵防护系统 (13)4.2.1某网络入侵防护系统的特点 (13)4.2.3功能与效益 (17)4.3某安全审计系统 (17)4.3.1需求分析 (17)4.3.2 解决方案 (18)4.3.3 安全审计产品选型 (19)4.3.4 某某安全审计系统的特点 (21)4.4远程安全评估系统(安全基线管理系列) (26)4.4.1 需求分析 (26)4.4.2 某远程安全评估系统特点 (31)4.4.3 功能与收益 (36)4.5某W EB应用防火墙 (37)4.5.1 需求分析 (37)4.5.2 某Web应用防火墙的特点 (40)4.6安全审计堡垒机SAS-H (42)4.6.1 系统功能 (42)4.6.2 产品特性 (43)附录A某科技公司简介 (45)A.1领先的专业安全厂商 (45)A.2安全技术基础研究 (45)A.3安全产品研发 (46)A.4专业安全服务 (46)一. 背景概述某市第一人民医院是某市建院最早、具有百年发展历史的市级现代化综合性三级医院,某市唯一一家“红十字医院”;1995年被国家卫生部授予“爱婴医院”称号;1999年被国家卫生部授予“国际紧急救援网络中心”医院;2006年被授予“某市康复医院”。
某市第一人民医院位于某市中州大道,六层门诊、十三层病房大楼巍然屹立、雄伟壮观,内设中心供氧、中央空调、中心吸引;开放高、中、低档病床610张,各病房均装备有现代医院所具备的先进设备。
医院现有中、高级职称专业技术426人,临床、医技科室43个,拥有价值上亿元的大型先进医疗设备。
近年来,医院秉承“内抓管理、外树形象,质量强院、服务兴院”的办院宗旨,实施科技兴院战略,积极开展和引进新业务新技术,加强医德医风建设,全面提高医疗服务质量。
某市第一人民医院治院严谨,理念超前,医院经营方式灵活,全体员工爱岗敬业、勤奋工作。
面对竞争激烈的医疗市场,以实力求生存、凭技术谋发展、靠服务赢市场,各项工作进展顺利。
对于医院来讲,由于患者众多,业务繁忙,网络系统业务连续性十分重要。
为了保证医院的业务持续性发展,就必须分析信息系统的信息安全需求。
需求分析的主要目的是更加清晰、全面的了解网络的基本安全现状,了解如何解决系统的安全问题,为后期安全体系建设中的安全防护技术实施提供严谨的安全理论依据,为决策者制定网络安全策略、构架安全体系以及确定有效的安全措施、选择可靠的安全产品、建立全面的安全防护层次提供了一套完整、规范的指导模型。
医院网络安全解决方案从两个方面进行阐述,一方面是重新对外网区域进行网络规划,并加强网络安全建设;另一个方面就是解决内网和外网融合的问题,将内外网融合同时构建边界防护方案。
如何保证医院的网络正常运行和网络安全已成为迫切需要关注的问题。
随着医疗行业信息化发展的要求,《全国卫生信息化2003-2010年发展规划纲要》中对信息安全提出了明确的要求:⏹加强与卫生信息化相关的法律、法规、政策体系的建设;⏹提高信息安全意识,加强计算机和网络安全培训,防范、打击计算机与网络犯罪;⏹在卫生信息系统建设的同时,要进行信息安全的总体设计和信息系统安全工程建设,在系统验收时必须对信息系统安全进行测评认证;⏹对于已建的卫生信息系统,要采取信息安全加固措施,进行系统安全测评认证;⏹卫生信息系统建设中信息安全投资应占系统投资的一定比例。
《发展规划纲要》从宏观的角度对卫生系统信息化建设,而与此同时,由于医疗行业发展的需要,2006年发布的《卫生系统内部审计工作规定(卫生部令51号)》中,明确了“为加强卫生系统内部审计工作,建立健全各单位内部审计制度,完善内部监督制约机制”,并要求“设置内部审计机构,配备审计人员,开展审计工作”;内部审计机构在履行审计职责时,明确具有“检查计算机系统有关电子数据和资料”的权限;由此可以看到针对卫生系统的相关审计具有明确要求。
此外,公安部国家电子政务等级保护、国家保密局BMB17-2006号文件中要求政府、涉密单位必须对与涉密敏感信息、业务系统相关的网络行为进行安全审计。
以防员工随意通过网络共享文件夹、文件上传下载、EMAIL等方式,发送重要敏感信息、业务数据,导致信息外泄事件发生。
同时,针对医疗行业的门户网站WEB业务这类给Internet可用性带来极大损害的攻击,必须在国家等级保护政策的指导下,采用专门的机制,综合采用各种技术手段对攻击进行有效检测,应按照《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《信息安全等级保护管理办法》(公通字[2007]43号)等文件要求,参考《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》(GB/T 22239-2008 )等等级保护相关标准,开展等级保护整改、测评工作,为医院内部和社会公众提供“一站式”的医疗公共服务目标提供有力保障。
在与医院多次安全沟通与交流的基础上,我们进一步明确了医院的准确需求,简单来说就是“安全访问,内外隔离,分期建设”三点,安全访问包含两方面,即从内网可以安全访问互联网,从互联网也能够安全访问内网;而在内外隔离上则是要保证内网数据与互联网之间保持逻辑或物理隔离;分期建设则是建设的思路,是根据医院的实际情况,分步骤从基础到深入,从满足最迫切的安全需求慢慢上升到管理安全上来!以下此方案将针对这三点进行详细的需求描述与解决思路陈述。
1.1 方案设计要求根据实际调研与专家论证,本网络需要具有如下的安全特性:●高可靠性:在受到攻击的情况下,能够保证各类业务系统正常运行,能够保证数据的正常访问。
●高保密性:网络数据/网络信息不被窃取。
●管理安全性:完善的网络访问控制列表,包括不允许同级网络的非授权访问等。
●可审计性:能够审计对数据中心服务器、网络设备等的各种操作信息。
●可扩充性:依据现有网络流量设计的网络要留有一定扩充能力,随之的安全方案也必须具备可扩充性。
1.2 方案设计原则信息系统的建设是国家信息化的一个组成部分,在促进国民经济发展和社会稳定方面具有越来越重要的作用。
卫生行业作为涉及国计民生的重要行业,随着计算机应用的进一步普及和发展,计算机信息系统安全问题日益社会化、严重化,国家和行业监管机构有必要运用行政法律手段来进行有效的管理,维护社会的稳定和发展。
这些政策法规主要有:《全国卫生信息化2003-2010年发展规划纲要》《卫生系统内部审计工作规定(卫生部令51号)》《基于健康档案的区域卫生信息平台建设指南(试行)》《中华人民共和国保守国家秘密法》(1988年9月5日中华人民共和国主席令第6号公布)《中华人民共和国保守国家秘密法实施办法》(国家保密局文件国保发[1990] 1 号)《中华人民共和国国家安全法》(主席令68号,1993年2月22日第七届全国人民代表大会常务委员会第三十次会议通过)《中华人民共和国计算机信息系统安全保护条例》(国务院令147号)《计算机信息系统安全等级保护划分准则》(GB/T17859-1999)《计算机信息系统安全等级保护网络技术要求》(GA/T387-2002)《计算机信息系统安全等级保护操作系统技术要求》(GA/T388-2002)《计算机信息系统安全等级保护数据库管理系统技术要求》(GA/T389-2002)《计算机信息系统安全等级保护通用技术要求》(GA/T390-2002)《计算机信息系统安全等级保护管理要求》(GA/T391-2002)此次医院安全解决方案即在严格遵循上述国家法律法规以及行业的规范指南的基础之上编写而成的。
二. “威胁分析+风险分析”=需求分析2.1 威胁分析当前医院具有HIS、PACS、LIS、EMR WINDOS等系统平台,这些平台服务在医院的各个业务流程上,从挂号,化验,病历管理等医院医务到计费,转账等财务工作,可以说信息系统的安全稳定运行对医院的管理具有极重要的作用,而在医院的数据管理上,医院具有Oracle,SQL Server等多种数据库,而随着当前卫生系统对“统方”的管理要求,数据库的访问、操作的安全性也需要加以关注。
医院网络结构较为复杂,具有多个互联出口,其中既有与电信、移动相连接的互联网出口,又有大量与银行,社保,新农保等单位的链接。
并且由于医院部署有面向internet的WEB 站点,内网中存有大量重要的信息,运行着非常重要的业务系统,所以既要考虑来自互联网的黑客攻击,又要考虑来自下属医疗机构的非法访问,数据篡改等攻击行为。
综上所述,可从外部/内部两方面对威胁进行分析:根据信息系统安全建设的思路,我们以医院的信息系统建模,这个模型即是包含医院的网络拓扑,业务系统,数据系统等多方面的信息的集合。
然后分析这个模型面临的威胁以及相关的风险,最后从这威胁与风险中,我们推断出真正的安全需求,然后将这个安全需求具体化,实体化,最后转变为相关的解决方案,即安全服务与安全产品的集合。
最后我们按照医院的实际情况,将这个方案按照需求进行分期描述,一期主要解决基础安全问题,二期集中在数据安全与安全服务工作,三期则上升至管理安全。
根据医院的信息系统模型,我们将从内外网两个角度寻找安全威胁:2.1.1 外部威胁◆非授权访问没有预先经过同意,就使用网络或计算机资源被看作非授权访问。
如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。
非授权访问主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
严格的访问权限控制会大大提升各区域的安全性。
◆黑客扫描和攻击Internet网络的恶意入侵者可能因为商业的目的或者是随机的目的对网络和WEB服务发起恶意扫描和渗透式入侵,通过渗透或绕过防火墙,进入网络和数据库,获取、篡改甚至破坏敏感的数据,乃至破坏医院的正常业务,造成恶劣的社会影响和政治事件。
◆数据窃取由于医院网络中存储有大量重要而敏感的信息,一旦发生数据泄密,将造成严重的社会影响,同时由于每天大量的诊疗信息通过信息网络流通,如果出现数据错误将会影响诊疗信息的准确性与及时性。