信息系统安全等级保护机房基本要求-重庆市医院管理学会信息管理专.pptVIP

信息系统安全等级保护 机房基本要求 李卫中 重庆市医院管理学会信息管理委员会常务委员 1、等级保护发展历程 1、参考《信息安全技术 信息安全事件分类分级指南 》GB/Z 20986—2007 GB/T 22239—2008 《信息系统安全等级保护基本要求》 保护侧重点的不同，技术类安全要求进一步细分为：保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求（简记为S）； 保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求（简记为A）； 通用安全保护类要求（简记为G）。 信息机房基础条件 (注：2011年启动能力建设） 房屋建筑有相应的设备运行面积和散力承重； 配电系统有足够的容量和双供电保障，负载扩展； 制冷系统充足，温度冗余40%； 楼层也最好是2到3层； 信息机房从17个方面来建设 (注：2011年启动能力建设） 1、机房环境选址 2、棚顶墙体装修 3、隔断装修 4、UPS电源 5、恒温恒湿 6、抗静电地板铺设 7、动力设备监控 系统 8、防雷保护 不同等级的信息系统应具备的基本安全保护能力 第一级安全保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。 第二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。 第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。 第四级安全保护能力：应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。 第五级安全保护能力：S1 A5 G5； S2 A5 G5； S3 A5 G5； S4 A5 G5； S5 A4 G5； S5 A3 G5； S5 A2 G5； S5 A1 G5； 2、机房重点横看网络隔离 2、机房纵看主机布防核心 * 1 等级保护？ 2 建设内容？ 3 数据安全！ 4 建设目标。 起步阶段： 实施国家等级保护登记 公安部要求：2013年前完成第三级安全建设要求 推行阶段：卫生部要求2015年前完成等保建设并通过等保评测 9、 新风系统 10、信号屏蔽 11、地线匹配 12、综合布线 13、漏水检测 14、门禁系统 15、监控系统 16、消防系统 17、报警系统 安全管理中心 安全边界 通信网络 计算环境 核心 信息资产 通信网络安全 关键设备与链路冗余 传输信息加密 计算环境安全 系统加固 补丁管理 病毒，木马防护 安全管理中心 全网设备统一管理 海量日志分析，风险预警 安全事件快速响应 All phrases can be replaced with your own text. 安全边界 互联网边界安全 内网安全域边界安全 2、参考 GB/Z20986—2007 GB/T22239—2008 物理环境 物理安全 1、等级保护在医院的关注点 G S A 医患权益 S 一般事件（2级） b) 产生一般的社会影响 医疗次序 A、G 5.2.4 较大事件（3级） b) 产生较大的社会影响。 国家安全 5.2.2 特别重大事件（4、5级） b) 产生特别重大的社会影响 即使相同安全保护等级的信息系统，其对业务信息的安全性要求和系统服务的连续性要求也有差异。 医疗信息服务系统，承载业务是以医嘱为中心，对其的安全关注点会有所不同，有的更关注业务的连续可靠。 1、等保建设过程 1、等级保护安全建设思路 选择测评机构 系统等级测评 第四步：等级测评 安全管理建设 安全技术建设 第三步：安全实施 建设方案设计 建设方案评审 第二步：方案设计 差距分析 风险分析 第一步：需求分析 物理安全 技术要求 管理要求 基本要求 网络安全 主机安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 1、等级保护基本框架 G S A 考虑《国家信息安全等级保护制度第三级要求 》与基本分类 整改 医疗机构办公系统: 2级 医疗机构： 电子病历、HIS、LIS、PACS，...