医院信息化系统等级保护设计方案.docVIP

医院信息化系统等级保护设计方案 2013年4月 目 录 1 项目背景 3 2 方案设计原则 3 3 安全等级划分 3 4 技术方案设计 4 4.1 总体设计 4 4.1.1 总体安全技术框架 4 4.1.2 安全域划分 6 4.1.3 总体部署 7 4.2 详细设计 7 4.2.1 物理安全设计 7 4.2.2 安全计算环境设计 9 4.2.3 安全区域边界设计 12 4.2.4 安全通信网络设计 14 4.2.5 安全管理中心设计 16 5 安全管理体系设计 16 5.1 管理机构建设 17 5.2 完善安全管理制度 17 5.3 加强人才队伍建设 18 5.4 遵循安全法规标准 19 5.5 重视安全管理手段 19 5.6 建立应急响应机制 19 6 需要增加的设备 21 项目背景 方案设计原则 根据国家信息安全保障政策法规和技术标准要求，同时参照相关行业规定，确定信息安全体系规划和设计时遵循以下原则： 安全等级划分 信息化系统包括应用服务系统等。信息包括公文信息、通讯录、文件、日程安排、执法数据等，这些信息由于涉及到医疗机构敏感信息，对数据的完整性和机密性要求具有较高需求，一旦遭到破坏或窃取，就会给用户查询提供错误数据或泄漏敏感信息，影响社会秩序和公共利益。 业务系统安全受到破坏时所侵害的客体 信息化系统系统一旦遭到破坏或被窃取，所侵害的客体是公民、法人和其它组织的合法权益以及社会秩序、公共利益。 对客体的侵害程度 业务系统安全受到破坏时对社会秩序、公共利益的侵害程度表现为严重损害，具体表现为业务系统受到破坏或窃取后，会影响医疗机构行使社会管理和公共服务的职能，并对医疗机构形象造成社会不良影响，并对公民、法人和其他组织的合法权益造成损失。 业务系统安全等级 根据上述分析结果，结合等级保护定级指南，××系统安全等级为： 业务信息安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 技术方案设计 根据差距分析，确定整改技术方案的设计原则，建立总体技术框架结构，从业务安全、物理环境、通信网络、计算环境、区域边界、安全管理中心等方面设计落实基本技术要求的物理、网络、系统、应用和数据的安全要求的技术路线。 总体设计 总体安全技术根据，在安全设计框架上， “一个中心”保障下的“三重纵深防御防护体系”架构（一个中心是指安全管理中心，三层纵深防御体系则由计算环境、区域边界以及通信网络组成）。在基础上，进一步强调了管理中心、计算环境、区域边界及网络传输的可信性，使得其在整个生命周期中都建立有完整的信任链，确保它们始终都在安全管理中心的统一管控下有序地运行，从而确保了平台的安全性不会遭受破坏1 等级保护安全技计算环境是对平台的信息存储与处理进行安全保护的部件。计算环境由平台中完成信息存储与处理的计算机系统硬件和系统软件以及外部设备及其联接部件组成，也可以是单一的计算机系统。区域边界是对平台的安全计算环境的边界，以及计算环境与通信网络之间实现连接功能进行安全保护的部件。保护主要是指对计算环境以及进出计算环境的信息进行保护通信网络是对平台安全计算环境之间进行信息传输实施安全保护的部件。安全管理中心对平台的安全策略及计算环境、区域边界和通信网络上的安全机制实施统一管理的平台安全技术设计包括各级系统安全保护环境的设计及其安全互联的设计，各级系统安全保护环境由相应级别的安全计算环境、安全区域边界、安全通信网络和安全管理中心组成。平台安全互联由安全互联部件和跨系统安全管理中心组成。 将设备或主要部件进行固定，并设置明显的不易除去的标记； 将通信线缆铺设在隐蔽处，可铺设在地下或管道中； 对介质分类标识，存储在介质库或档案室中； 利用光、电等技术设置机房防盗报警系统； 对机房设置监控报警系统。 防雷击 中心机房防雷按以下措施建设： 机房所在的建筑安装避雷装置。 机房内设置防雷保安器，防止感应雷； 机房设置交流电源地线。 防火 中心机房防火按以下措施建设： 机房安装火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火； 机房及相关的工作房间和辅助房采用具有耐火等级的建筑材料； 机房采取区域隔离防火措施，将重要设备与其他设备隔离开。 防水和防潮 中心机房防火和防潮按以下措施建设： 水管安装，不得穿过机房屋顶和活动地板下； 采取措施防止雨水通过机房窗户、屋顶和墙壁渗透； 采取措施防止机房内水蒸气结露和地下积水的转移与渗透； 安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。 防静电 中心机房防静电按以下