医院等级保护建设网络安全建设解决专项方案.docxVIP

医院等级保护建设网络安全建设 处理方案 6月 目录 TOC \o 1-3 \h \z \u 1 概述 5 1.1 背景分析 5 1.2 等级保护建设目标和范围 6 1.3 方案设计 7 1.4 参照标准 7 2 信息系统现状 7 2.1 医院网络安全现状 8 2.2 医院网络安全风险分析 8 2.3 医院网络安全需求 9 2.3.1 物理安全 9 2.3.2 网络安全 11 2.3.3 主机安全 11 2.3.4 应用安全 13 2.3.5 数据安全 14 2.3.6 安全域划分及边界防护 15 3 网络安全建设必要性 17 3.1 等级保护要求 17 3.2 医院系统面临安全威胁 18 4 网络安全建设目标 18 4.1 满足合规性要求 18 4.2 等级保护技术要求 19 5 安全技术体系方案设计 24 5.1 物理层安全 24 5.2 网络层安全 24 5.2.1 安全域划分 25 5.2.2 边界访问控制 27 5.2.3 网络审计 28 5.2.4 网络入侵防范 28 5.2.5 边界恶意代码防范 29 5.2.6 网络设备保护 29 5.2.7 主机层安全 30 5.2.8 身份鉴别 30 5.2.9 强制访问控制 30 5.2.10 主机入侵防范 31 5.2.11 主机审计 32 5.2.12 恶意代码防范 32 5.2.13 剩余信息保护 33 5.2.14 资源控制 33 5.3 应用层安全 34 5.3.1 身份鉴别 34 5.3.2 访问控制 34 5.3.3 安全审计 35 5.3.4 剩余信息保护 35 5.3.5 通信完整性 35 5.3.6 通信保密性 35 5.3.7 抗抵赖性 36 5.3.8 软件容错 36 5.3.9 资源控制 36 5.4 数据层安全 37 5.4.1 数据完整性 37 5.4.2 数据保密性 38 5.4.3 备份和恢复 39 6 安全建设方案小结 39 1.1 安全服务汇总 40 1.2 安全产品汇总 41 概述 背景分析 《中国计算机信息系统安全保护条例》（国务院令第147号）明确要求中国“计算机信息系统实施安全等级保护”。依据国务院147号令要求而制订公布强制性国家标准《计算机信息系统安全保护等级划分准则》（GB17859-1999）为计算机信息系统安全保护等级划分奠定了技术基础。《国家信息化领导小组相关加强信息安全保障工作意见》（中办发[]27号）明确指出实施信息安全等级保护，“要关键保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面关键信息系统，抓紧建立信息安全等级保护制度”。《相关信息安全等级保护工作实施意见》（公通字[]66号）和《信息安全等级保护管理措施》（公通字[]43号）确定了实施信息安全等级保护制度标准、工作职责划分、实施要求和实施计划，明确了开展信息安全等级保护工作基础内容、工作步骤、工作方法等。信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准出台，为信息安全等级保护工作开展提供了法律、政策、标准保障。起公安部组织编制了《信息安全技术 信息系统等级保护安全设计技术要求》，为已定级信息系统设计、整改提供标准依据，至11月已报批为国家标准。和此同时，7月全国开展关键信息系统等级保护定级工作，标志着信息安全等级保护工作在中国全方面展开。 依据《计算机信息系统安全保护等级划分准则》，将信息系统安全保护能力划分为五个等级；分别为： 　　第一级：用户自主保护级;由用户来决定怎样对资源进行保护，和采取何种方法进行保护。 　　第二级：系统审计保护级;本级安全保护机制支持用户含有更强自主保护能力。尤其是含有访问审记能力，即它能创建、维护受保护对象访问审计跟踪统计，统计和系统安全相关事件发生日期、时间、用户和事件类型等信息，全部和安全相关操作全部能够被统计下来，方便当系统发生安全问题时，能够依据审记统计，分析追查事故责任人。 　　第三级：安全标识保护级;含有第二级系统审计保护级全部功效，并对访问者及其访问对象实施强制访问控制。经过对访问者和访问对象指定不一样安全标识，限制访问者权限。 第四级：结构化保护级;将前三级安全保护能力扩展到全部访问者和访问对象，支持形式化安全保护策略。其本身结构也是结构化，以使之含有相当抗渗透能力。本级安