医院信息化安全等保解决实施方案(二级).docxVIP

完美WORD 完美WORD格式 专业知识分享 专业知识分享 医院信息化安全等保解决方案 一、行业背景与需求 为贯彻落实国家信息安全等级保护制度， 规范和指导全国卫生行业信息安全等级保护工 作，卫生部办公厅于 2011年12月下发卫生部《卫生行业信息安全等级保护工作的指导意 见》（卫办发〔2011〕85号）（以下简称《指导意见》）。为贯彻《指导意见》，办公厅同时 下发《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》 （卫办综函 〔2011〕1126号）（以下简称《通知》），对卫生行业各单位提出如下要求： 2012年5月30日前完成本单位信息系统的定级备案工作； ■根据信息系统定级备案情况开展等级测评工作，查找安全差距和风险隐患，并结合自身 安全需求，制订安全建设整改方案； 2015年12月30日前完成信息安全等级保护建设整改工作，并通过等级测评。 《指导意见》根据《信息安全技术信息系统安全等级保护定级指南》 （以下简称《定级指南》）、 《信息安全技术信息系统安全等级保护基本要求》 （以下简称《基本要求》），建议县区级医 院的核心业务信息系统安全保护等级原则上不低于二级。 各省卫生厅根据《指导意见》、《定 级指南》、《基本要求》等相关规定，并结合本区域现状提出本区域内县区级医院定级要求， 大部分省（市）定级要求如下： 序号 信息系统 可能侵害的客体 定级建议 1 HIS、LIS PACS、门诊系统等 公民、法人与其他组织合法权益 二级 2 OA、网站、邮寄等 公民、法人与其他组织合法权益 二级 二、迪普解决之道 为帮助县区医院落实国家信息安全等级保护制度与卫生部信息安全等级保护工作要求， 迪普科技从主机安全、应用安全、数据安全与备份恢复四个层面为县区医院提供全方位的等 级保护解决方案。 ■整体思路 县级医院网络一般分为两张物理网络：内网（业务网）和外网（办公网） 。内网主要承 载着HIS、LIS PACS等医院信息系统，外网主要承载医院 OA、网站、mail等信息系统。 《基本要求》中规定不同安全保护等级的信息系统应该具备相应的基本安全保护能力， 应满 足相应的基本安全要求，根据实现方式的不同，基本安全要求分为基本技术要求和基本管理 应用安全和数据安全几个分别从网络安全、主机安全、内网（业务网）HIS US PACS外网 （办公网）要求两大类。基本技术要求包含物理安全、网络安全、主机安全、 层面。本方案针对医院内外两张物理网络及其承载的信息系统, 应用安全、数据安全四个层面进行设计。 应用安全和数据安全几个 分别从网络安全、主机安全、 内网（业务网） HIS US PACS 外网 （办公网） 数据安全 应用安全 J 7 J J 主机安全 ； 网绍安全 J J \ J J J 网络安全、主机安全、应用安全、数据安全均包含多个控制点，而每个控制点又包含多个具 体的技术要求项，本方案针对其中具体项要求提出以下的安全措施，如下表所示： KM4 主鉴童垒蜡S — 圭全 两卒二拒寻蛇円蚩三电圭K司圮士区兴 J 血两戦之阿血耒關饰 烧迟軒碣离 眄卑吧具瓮聘河汽毎 ■*4 壬全古十 丁芭三三mri■一区更悲謀安殳吉计 V 边界三3E性性査 尖弓缁人控制象艺.丈莊准上主丸、丰壬亠吝吃空 d 務两專人扭配系诜? H琬片人挥劇敦”去并导巨严 人谨磽袒 人煙七测茱近；入号婪超系总 扌 w去再网关 主机 入空嘉希 玮可垂务弟耒全卵匡 J 量金■计 兴耳族事蚩理黑金事班矍全国计 / 記岂芜蜀件 竟去荃目 夭=疋三匸左世选 4 生摒专案全审计系逆 扌 4**：^ A 車适去拴岳臼三亍更 4 艾笔阴逹送注-浅託乂去矣崟运件三会 ■/ 薛龙吿钳 辰遊埜捋各臼 ■方案描述 医院内网信息安全等级保护方案设计，如下图所示: 门驯 住踪櫻 医於愷 科研楼 首先，将医院内网分为多个安全区域，数据中心区、终端接入区、 安全管理区与外联区 域。根据不同的业务系统与安全区域划分 VLAN，在数据中心与外联区域边界部署 DPtech FW1000防火墙，根据访问需求配置安全访问控制策略。对于重要区域边界部署 （数据中心 前端）IPS2000入侵防御系统，对应用层攻击进行检测与在线防御，并在线过滤网络病毒、 恶意代码在安全管理区部署 DPtech UMC 统一管理中心与 DPtech Scann erlOOO 漏洞扫 IPS业务日志等。描系统，为安全管理提供必要的技术手段，并集中收集、防火墙与 IPS业务日志等。 对外确棊区 WEB04MAIL 门禱攒 图2 医院外网分为对外服务器区、互联网区、终端接入区、安全管理区几个安全区域。 对外服务器区前端部署 DPtech WAF3000 Web 应用防火墙，对医院门户网站进行重点防 扒针对 WEB攻击漏洞进行