文档介绍：2013/5/31
1
KINGSTAR WINNING
专业成就梦想,技术引领未来
医院信息系统三级等保与系统集成
网络集成事业部
邓荣华
2013-05-31
内容提要
内容提要
三级等保—医院信息系统安全的基石
系统集成新实施规范
云技术在医院信息系统的实际应用
等级保护对医院信息系统建设的指导意义
政府强制政策,必须要满足
等级保护是国家信息方面的基本制度,属于法律符合性要求,属于国家重要信息系统的,必须需要满足此制度;
政策要求,可以促进开展信息安全工作,提起领导和各部门的重视,统一思想
做为国家或上级主管部门给出信息安全工作的政策方向和技术指导,可以指导我们规避策略和技术方向的风险
等级保护还是一套比较先进的方法,做好了对实际工作及系统安全有较大帮助
正确定级并遵照标准执行,可以规避部分信息安全责任
依据国家要求,申请项目和经费较为容易
等保保护—医院信息系统安全现实需要
信息系统
内部、外部泄密
拒绝服务攻击
逻辑炸弹
特洛伊木马
黑客攻击
计算机病毒
信息丢失、篡改、销毁
后门、隐蔽通道
蠕虫
等级保护具体分级说明
第一级
信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益
第二级
信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全
第三级
信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害
第四级
信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害
第五级
信息系统受到破坏后,会对国家安全造成特别严重损害
三级等保系统的控制类及控制项
指标类
技术/管理
层面
类数量
项数量
S类
(3级)
A类
(3级)
G类
(3级)
小计
小计
安全技术
物理安全
1
1
8
10
32
网络安全
1
0
6
7
33
主机安全
3
1
3
7
32
应用安全
5
2
2
9
31
数据安全
2
1
0
3
8
安全管理
安全管理制度
N/A
3
11
安全管理机构
5
20
人员安全管理
5
16
系统建设管理
11
45
系统运维管理
13
60
合计
73(类)
290(项)
实施系统等保项目我们的优势
1、对用户医院信息化实际运行状况的非常清楚(包括医院机房、硬件设施、应用软件使用情况等),能针对三级等保要求提供各性化解决方案,上海市卫生局已要求上海地区三级医院及区县中心医院的HIS\LIS\RIS等核心业务系统都要通过三级等保;
2、医院要通过三级等保,涉及到医院的应用软件(应用软件的较大改动)、硬件设备的增减和系统集成方案等三大层面的调整和完善;
3、新技术及安全设备的应用和医院核心的业务紧密的结合,将真正对医院信息系统安全有较大的帮助;
4、三级等保是一项长期的工作,上海市卫生局要求每2年评审一次,涉及到医院日常的信息系统后期维护,我们可以做到一体化服务;
5、我公司和上海市信息安全测评中心合作(上海市三级等保评测机构),有较强的专业和实施技术保障。
实现医院三级等保所涉及的各个业务层面
8
主机安全
物理安全
网络安全
数据安全
应用安全
信息
系统
等级保护——网络安全的集成要点
结构安全
关键设备冗余空间
主要设备冗余空间
访问控制
访问控制设备(用户、网段)
应用层协议过滤
拨号访问限制
会话终止
安全审计
日志记录
审计报表
边界完整性检查
内部的非法联出
非授权设备私自外联
子网/网段控制
核心网络带宽
整体网络带宽
重要网段部署
路由控制
带宽分配优先级
端口控制
最大流量数及最大连接数
防止地址欺骗
审计记录的保护
定位及阻断
入侵防范
检测常见攻击
记录、报警
恶意代码防范
网络边界处防范
网络设备防护
基本的登录鉴别
组合鉴别技术
特权用户的权限分离
等级保护——主机安全的集成要点
身份鉴别
基本的身份鉴别
访问控制
安全策略
管理用户的权限分离
特权用户的权限分离
安全审计
服务器基本运行情况审计
审计报表
剩余信息保护
空间释放及信息清除
组合鉴别技术
敏感标记的设置及操作
审计记录的保护
入侵防范
最小安装原则
重要服务器:检测、记录、报警
恶意代码防范
主机与网络的防范产品不同
资源控制
监视重要服务器
最小服务水平的检测及报警
重要客户端的审计
升级服务器
重要程序完