医院里信息化安全系统等保解决方案设计(二级).docx

实用标准 医院信息化安全等保解决方案 一、行业背景与需求 为贯彻落实国家信息安全等级保护制度， 规范和指导全国卫生行业信息安全等级保护工作，卫生部办公厅于 2011 年 12 月下发卫生部《卫生行业信息安全等级保护工作的指导意见》（卫办发〔 2011〕 85 号）（以下简称《指导意见》 ）。为贯彻《指导意见》 ，办公厅同时下发 《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》 （卫办综函〔 2011〕 1126 号）（以下简称《通知》 ），对卫生行业各单位提出如下要求： 2012 年 5 月 30 日前完成本单位信息系统的定级备案工作； 根据信息系统定级备案情况开展等级测评工作， 查找安全差距和风险隐患， 并结合自身安全需求，制订安全建设整改方案； 2015 年 12 月 30 日前完成信息安全等级保护建设整改工作，并通过等级测评。 《指导意见》 根据《信息安全技术信息系统安全等级保护定级指南》 （以下简称《定级指南》 ）、 《信息安全技术信息系统安全等级保护基本要求》 （以下简称《基本要求》 ），建议县区级医 院的核心业务信息系统安全保护等级原则上不低于二级。 各省卫生厅根据 《指导意见》、《定 级指南》、《基本要求》等相关规定，并结合本区域现状提出本区域内县区级医院定级要求， 大部分省（市）定级要求如下： 序号 信息系统 可能侵害的客体 定级建议 1 HIS、 LIS 、PACS、门诊系统等 公民、法人与其他组织合法权益 二级 2 OA、网站、邮寄等 公民、法人与其他组织合法权益 二级 二、迪普解决之道 为帮助县区医院落实国家信息安全等级保护制度与卫生部信息安全等级保护工作要求， 迪普科技从主机安全、 应用安全、 数据安全与备份恢复四个层面为县区医院提供全方位的等 级保护解决方案。 ■ 整体思路 县级医院网络一般分为两张物理网络：内网（业务网）和外网（办公网） 。内网主要承 载着 HIS、LIS 、PACS等医院信息系统， 外网主要承载医院 OA、网站、 mail 等信息系统。《基 本要求》 中规定不同安全保护等级的信息系统应该具备相应的基本安全保护能力， 应满足相 应的基本安全要求， 根据实现方式的不同， 基本安全要求分为基本技术要求和基本管理要求 文档 实用标准 两大类。 基本技术要求包含物理安全、 网络安全、 主机安全、 应用安全和数据安全几个层面。 本方案针对医院内外两张物理网络及其承载的信息系统， 分别从网络安全、 主机安全、 应用 安全、数据安全四个层面进行设计。 网络安全、 主机安全、应用安全、数据安全均包含多个控制点，而每个控制点又包含多个具体的技术要求项，本方案针对其中具体项要求提出以下的安全措施，如下表所示： 文档 实用标准 ■ 方案描述 医院内网信息安全等级保护方案设计，如下图所示： 图 1 文档 实用标准 首先， 将医院内网分为多个安全区域，数据中心区、终端接入区、 安全管理区与外联区 域。根据不同的业务系统与安全区域划分 VLAN，在数据中心与外联区域边界部署 DPtech FW1000防火墙，根据访问需求配置安全访问控制策略。对于重要区域边界部署（数据中心 前端） IPS2000 入侵防御系统，对应用层攻击进行检测与在线防御，并在线过滤网络病毒、 恶意代码在安全管理区部署 DPtech UMC统一管理中心与 DPtech Scanner1000 漏洞扫描系统， 为安全管理提供必要的技术手段，并集中收集、防火墙与 IPS 业务日志等。 医院外网信息安全等级保护方案计设，如下图所示： 图 2 医院外网分为对外服务器区、互联网区、终端接入区、安全管理区几个安全区域。 对外服务器区前端部署 DPtech WAF3000 Web 应用防火墙，对医院门户网站进行重点防护， 针对 WEB攻击漏洞进行全面检测和加固，防止网站被攻击与篡改；互联网边界部署 DPtech FW1000防火墙，根据访问需求配置安全访问控制策略；部署 DPtech UAG3000审计及流控网 关，对外网用户的上网行为进行控制，合理分配带宽，并对上网行为进行审计；在安全管理 区部署 DPtech UMC统一管理中心，对安全设备进行集中管理。 方案设计参考标准 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 GB/T 22240-2008 信息安全技术信息系统安全等级保护实施指南 GB/T 20271-2006 信息安全技术信息系统安全通用技术要求 文档 实用标准 GA/T 708-2007 信息安全技 信息系 安全等 保 体系框架 GA/T 709-2007 信息安全技 信息系 安全等 保 基本模型 GA/T 709-2007 信息安全技 信息系 安全等 保 基本配置 信息安全技 信息系 等 保