文档介绍:
51
医院网络安全等级保护
解决方案
深信服科技股份有限公司
2018年4月
1
目 录
1. 项目概述背景 2
. 项目背景 2
. 项目建设目标 3
. 方案设计原则 4
. 项目依据 5
2. 医院信息化特点 6
3. 安全挑战 6
4. 应对思路 7
5. 详细方案设计安全技术体系 9
. 整体安全体系设计 9
. 安全计算环境设计 11
. 安全区域边界设计 13
. 安全通信网络设计 14
. 安全管理中心设计 15
6. 详细方案设计安全管理体系 16
. 安全策略和安全制度 17
. 安全管理机构和人员 17
. 安全建设管理 18
. 系统运维管理 18
. 安全管理措施实现 19
7. 详细方案设计安全服务体系 27
. 等保运维服务 27
. 应急响应 27
. 应急演练服务 28
. ***服务 28
. 渗透测试服务 29
. 信息安全培训服务 29
8. 方案合规性分析 30
9. 方案价值优势 32
. 安全可视辅助决策简化运维 32
. 动态感知持续检测 33
. 协同防御,多级联动 35
10. 残余风险控制 37
. 缺少电磁屏蔽措施 37
. 缺少XXXXXX措施 37
11. 项目预算与配置清单 37
3
项目概述背景
项目背景
医院是一个信息和技术密集型的行业,其计算机网络是一个完善的办公网络系统,作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。结合医院复杂的HIS、RIS、PACS等应用系统,要求网络必须能够满足数据、语音、图像等综合业务的传输要求,所以在这样的网络上应运用多种高性能设备和先进技术来保证系统的正常运作和稳定的效率。同时医院的网络系统连接着Internet、医保网和卫生局等,访问人员比较复杂,所以如何保证医院网络系统中的数据安全问题尤为重要。
在医院行业的信息化建设过程中,信息安全的建设虽然只是一个很小的部分,但其重要性不容忽视。便捷、开放的网络环境,是医院信息化建设的基础,在数据传递和共享的过程当中,数据的安全性要切实地得到保障,才能保障医院信息化业务的正常运行。然而,我们的数据却面临着越来越多的安全风险,时刻对业务的正常运行带来威胁。
为此, 2011年12月,卫生部发布《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》, 要求卫生行业“全面开展信息安全等级保护工作”, 《中华人民共和国网络安全法》(以下简称《网络安全法》)自2017年6月1日开始施行。其中,《网络安全法》第21条明确规定了“国家实行网络安全等级保护制度”。《网络安全法》是从国家层面对等级保护工作的法律认可,简单点就是单位不做等级保护工作就是违法。医院信息系统的安全性直接关系到医院医疗工作的正常运行,一旦网络瘫痪或数据丢失,将会给医院和病人带来巨大的灾难和难以弥补的损失。同时,医院信息系统涉及大量医院经营和患者医疗等私密信息,信息的泄露和传播将会给医院、社会和患者带来安全风险。
所以在XXX医院的信息化建设过程中,我们应当正视可能面临的各种安全风险,对网络威胁给予充分的重视。为了XXX医院信息网络的安全稳定运行,确保医院信息系统安全,根据
3
XXX医院目前的计算机信息网网络特点及安全需求,本着切合实际、保护投资、着眼未来的原则,提出本技术方案。
项目建设目标
依照《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》、《中华人民共和国网络安全法》《网络安全等级保护基本要求》等标准,以及医院对信息系统等级保护工作的有关规定和要求,对医院的网络和信息系统进行等级保护定级,通过实现基于安全策略模型和标记的强制访问控