将乐县医院信息系统信息安全等级保护二级建设项目安全方案介绍.docx

将乐县医院信息系统 信息安全等级保护二级建设项目安全方案 2015年4s月 目录 一、 项目概述 3 1.1 项目建设背景 3 1.2 项目设计原则 3 1.3 其他说明 5 二、 医院信息化现状分析 6 2.1 业务系统现状 6 2.4 安全现状 6 2.5 现医院信息系统网络拓扑示意图 7 三、 系统安全建设总体设计 8 3.1 总体设计目标 8 3.2 安全保障体系框架概述 8 3.3 网络拓扑图总体设计 11 3.4 安全域划分 12 四、 系统安全建设深化设计方案 13 4.5 安全区域边界整改设计 13 4.5.1 外网接入区整改设计 13 4.5.2 安全域边界隔离 13 4.6 安全管理中心整改设计 14 4.6.1 部署安全管理系统 14 4.6.2 部署运维堡垒主机系统 15 4.6.3 部署数据库审计系统 15 4.6.4 部署日志审计系统 15 4.6.5 部署安全准入系统 16 4.7 安全管理制度设计 16 4.7.1 总体安全方针与安全策略 19 4.7.2 安全管理制度 19 4.7.3 安全管理机构 20 4.7.4 人员安全管理 20 4.7.5 系统建设管理 21 4.7.6 系统运维管理 21 4.7.7 安全管理制度汇总 23 五、 项目预算及配置清单 23 六、 附录：网神公司介绍 24 公司简介 24 网神等保介绍 25 网神等保概况 25 网神等保工作内容 25 网神等保优势 26 网神医疗行业部分典型用户 27 其他 28 一、 项目概述 1.1 项目建设背景 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号，以下简称“27号文件”）明确要求我国信息安全保障工作实行等级保护制度，提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2004年9月发布的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号，以下简称“66号文件”）进一步强调了开展信息安全等级保护工作的重要意义，规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。 医疗机构作为涉及国计民生的重要组成部分，其安全保障事关社会稳定，必须按照27号文件要求，全面实施信息安全等级保护。 从外部环境来看，信息安全已经成为近几年信息化建设的热点话题，如何保障信息系统的安全已经成为国家关注的焦点，从27号文件开始，国家陆续出台了一系列的安全政策和标准，提出了以“适度安全、分级保护”为核心的等级保护建设思路，公安部、保密局、国密办以及国信办陆续出台政策，要求国内重要的信息系统应按照等级保护的办法和要求，进行相关安全防护系统的建设，并于2007年启动了等级保护的定级备案工作。等级保护针对信息安全系统建设的过程，提出了具体的管理办法和实施指南，并对信息安全系统提出了技术和管理方面的建设要求。 目前我省重要信息系统等级保护工作目前已全面开展，为贯彻落实福建省卫生厅、福建省公安厅关于印发根据《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函〔2011〕1126号）精神，参照卫生部印发的《卫生行业信息安全等级保护工作的指导意见》，并结合我省医院信息系统应用的特点，特制定《福建省医院信息系统安全等级保护工作实施方案》对省内各大医院信息系统建设，提出了等级保护的要求。开展了一系列等级保护培训和调研工作，提出针对医疗机构信息安全等级保护工作的基本思路和具体要求，指导福建省医疗机构的信息安全保障工作。 1.2 项目设计原则 等级保护是国家信息安全建设的重要政策，其核心是对信息系统分等级、按标准进行建设、管理和监督。 27号文指出“信息化发展的不同阶段和不同的信息系统有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。” 对于福建省医疗机构信息安全建设，应当以适度风险为核心，以重点保护为原则，从业务的角度出发，重点保护重要的业务信息系统，在方案设计中应当遵循以下的原则： ? 适度安全原则 任何信息系统都不能做到绝对的安全，在进行福建省医疗机构信息安全等级保护规划中，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。 适度安全也是等级保护建设的初衷，因此在进行等级保护设计的过程中，一方面要严格遵循基本要求，从网络、主机、应用、数据等层面加强防护措施，保障信息系统的机密性、完整性和可用性，另外也要综合成本的角度，针对医院信息系统的实际风险，提出对应的保护强度，