医院信息化安全等保解决专项方案二级.docVIP

医院信息化安全等保处理方案 一、行业背景和需求 为落实落实国家信息安全等级保护制度，规范和指导全国卫生行业信息安全等级保护工作，卫生部办公厅于20XX年12月下发卫生部《卫生行业信息安全等级保护工作指导意见》（卫办发〔20XX〕85号）（以下简称《指导意见》）。为落实《指导意见》，办公厅同时下发《卫生部办公厅相关全方面开展卫生行业信息安全等级保护工作通知》（卫办综函〔20XX〕1126号）（以下简称《通知》），对卫生行业各单位提出以下要求： ■?20XX年5月30日前完成本单位信息系统定级立案工作； ■?依据信息系统定级立案情况开展等级测评工作，查找安全差距和风险隐患，并结合本身安全需求，制订安全建设整改方案； ■?20XX年12月30日前完成信息安全等级保护建设整改工作，并经过等级测评。 《指导意见》依据《信息安全技术信息系统安全等级保护定级指南》（以下简称《定级指南》）、《信息安全技术信息系统安全等级保护基础要求》（以下简称《基础要求》），提议县区级医院关键业务信息系统安全保护等级标准上不低于二级。各省卫生厅依据《指导意见》、《定级指南》、《基础要求》等相关要求，并结合本区域现实状况提出本区域内县区级医院定级要求，大部分省（市）定级要求以下： 序号 信息系统 可能侵害客体 定级提议 1 HIS、LIS、PACS、门诊系统等 公民、法人和其它组织正当权益 二级 2 OA、网站、邮寄等 公民、法人和其它组织正当权益 二级 二、迪普处理之道 为帮助县区医院落实国家信息安全等级保护制度和卫生部信息安全等级保护工作要求，迪普科技从主机安全、应用安全、数据安全和备份恢复四个层面为县区医院提供全方位等级保护处理方案。 ■?整体思绪 县级医院网络通常分为两张物理网络：内网（业务网）和外网（办公网）。内网关键承载着HIS、LIS、PACS等医院信息系统，外网关键承载医院OA、网站、mail等信息系统。《基础要求》中要求不一样安全保护等级信息系统应该含有对应基础安全保护能力，应满足对应基础安全要求，依据实现方法不一样，基础安全要求分为基础技术要求和基础管理要求两大类。基础技术要求包含物理安全、网络安全、主机安全、应用安全和数据安全多个层面。本方案针对医院内外两张物理网络及其承载信息系统，分别从网络安全、主机安全、应用安全、数据安全四个层面进行设计。 网络安全、主机安全、应用安全、数据安全均包含多个控制点，而每个控制点又包含多个具体技术要求项，本方案针对其中具体项要求提出以下安全方法，以下表所表示： ■?方案描述 医院内网信息安全等级保护方案设计，以下图所表示： 图1 首先，将医院内网分为多个安全区域，数据中心区、终端接入区、安全管理区和外联区域。依据不一样业务系统和安全区域划分VLAN，在数据中心和外联区域边界布署DPtech FW1000防火墙，依据访问需求配置安全访问控制策略。对于关键区域边界布署（数据中心前端）IPS20XX入侵防御系统，对应用层攻击进行检测和在线防御，并在线过滤网络病毒、恶意代码在安全管理区布署DPtech UMC统一管理中心和DPtech Scanner1000漏洞扫描系统，为安全管理提供必需技术手段，并集中搜集、防火墙和IPS业务日志等。 医院外网信息安全等级保护方案计设，以下图所表示： 图2 医院外网分为对外服务器区、互联网区、终端接入区、安全管理区多个安全区域。 对外服务器区前端布署DPtech WAF3000 Web应用防火墙，对医院门户网站进行关键防护，针对WEB攻击漏洞进行全方面检测和加固，预防网站被攻击和篡改；互联网边界布署DPtech FW1000防火墙，依据访问需求配置安全访问控制策略；布署DPtech UAG3000审计及流控网关，对外网用户上网行为进行控制，合理分配带宽，并对上网行为进行审计；在安全管理区布署DPtech UMC统一管理中心，对安全设备进行集中管理。 方案设计参考标准 ?GB/T 22239-20XX信息安全技术信息系统安全等级保护基础要求 ?GB/T 22240-20XX信息安全技术信息系统安全等级保护实施指南 ?GB/T 20271-20XX 信息安全技术信息系统安全通用技术要求 ?GA/T 708-20XX 信息安全技术信息系统安全等级保护体系框架 ?GA/T 709-20XX 信息安全技术信息系统安全等级保护基础模型 ?GA/T 709-20XX信息安全技术信息系统安全等级保护基础配置 ?信息安全技术信息系统等级保护安全建设技术方案设计规范 ?信息安全技术信息系统等级保护安全设计技术要求 ?信息安全技术信息系统安全等级保护测评要求 ?…… 三、为何选择迪普 迪普科技“医院信息系统等级保护处理方案”依据国家信息安全等级保护相关政策标准和卫