医院信息安全建设方案.docxVIP

医院信息安全建设方案 1 2020 年 4 月 19 日 XXXX医院 信息安全建设方案 二 〇 一 六 年 一 月 文档仅供参考 目 录 一. 概述 . 0 ( 一 ) 项目背景 0 ( 二 ) 建设目标 1 ( 三 ) 依据标准规范 2 ( 四 ) 建设原则 2 1. 全方位提升网络和系统实体的安全性、抗攻击性 . 3 2. 信息系统的可用可靠性、安全性和保密性 . 3 3. 强调系统运行状态的可控性 . 3 4. 安全系统的可管理性 3 5. 需求、风险、代价平衡的原则 . 4 6. 先进性原则 4 7. 可扩展性原则 4 8. 多重保护原则 4 9. 标准性原则 5 10. 易操作性原则 5 二. 医院网络现状及需求分析 6 ( 一 ) 网络结构描述 6 ( 二 ) 应用系统描述 6 ( 三 ) 医院网络安全现状 7 ( 四 ) 医院网络的安全需求 7 三. IT 流程规范化改进咨询服务 . 9 零 2020 年 4 月 19 日 文档仅供参考 ( 一 ) 关于 IT 流程改进咨询 9 ( 二 ) 提供 IT 流程知识管理及任务管理系统及服务 9 ( 三 ) IT 流程改进目标 10 ( 四 ) IT 流程改进原则 10 ( 五 ) IT 流程改进服务需求说明 10 1. 建立 IT 流程体系规划和持续改进机制 . 10 2. 建立信息中心部门基本制度 . 11 3. 建立医院信息化管理制度 12 4. 建立完善系统维护流程 12 5. 建立信息安全管理制度 13 6. 建立应急预案与演练机制 13 7. 建立项目管理制度 13 8. 建立统计工作制度 14 9. 编制详细作业指导书 SOP 14 四. 安全建设方案 15 ( 一 ) MPDRR安全模型 15 ( 二 ) 信息安全拓扑图 16 ( 三 ) 网络防火墙系统 17 1. 产品概述 17 2. 产品特点 17 ( 四 ) WEB 安全防护系统 22 1. 产品概述 22 2. 产品特点 24 壹 2020 年 4 月 19 日 文档仅供参考 ( 五 ) 运维审计系统 30 1. 产品功能 30 ( 六 ) 上网行为管理系统 37 1. 产品功能 37 2. 产品的技术优势 44 ( 七 ) 数据库审计系统 ( 防统方系统 ) 48 1. 产品概述 49 2. 特色与优势 49 ( 八 ) 终端安全管理系统 54 1. 主要功能特点 错误 ! 未定义书签。 2. 详细功能描述 55 五. 信息安全专业服务 58 ( 一 ) 安全规划服务 58 1. 总体架构 58 2. 安全建设规划 63 ( 二 ) 安全评估服务 65 1. 服务描述 65 2. 安全扫描工具 65 ( 三 ) 安全加固服务 66 1. 服务描述 66 2. 服务内容 68 ( 四 ) 安全巡检服务 69 ( 五 ) 应急响应服务 69 贰 2020 年 4 月 19 日 文档仅供参考 1. 服务承诺 69 2. 安全事件预警 70 3. 应急响应规范 73 4. 应急响应流程 73 ( 六 ) 安全信息服务 75 ( 七 ) 安全培训服务 75 ( 八 ) 信息化安全服务清单 75 六. 信息安全建设方案清单 77 叁 2020 年 4 月 19 日 文档仅供参考 概述 ( 一 ) 项目背景 医院是一个信息和技术密集型的行业 , 一般其计算机网络划分为业 务网络和办公网络 , 作为一个现代化的医疗机构的计算机网络 , 除了要满 足高效的内部自动化办公需求以外 , 还需要对外界的通讯保证畅通。结 合医院复杂的 HIS、RIS、 PACS等应用系统 , 需要网络必须能够满足数 据、语音、图像等综合业务的传输要求 , 因此需要在网络上应运用多种 高性能设备和先进技术来保证系统的正常运作和稳定的效率。同时医院 的网络系统连接着 Internet 、医保专网等网络 , 访问人员和物理上的网 路边界比较复杂 , 因此如何保证医院网络系统中的数据及应用的安全显 得尤为重要。 在日新月异的现代化社会进程中 , 计算机网络几乎延伸到了世界每 一个角落 , 它不停的改变着我们的工作生活方式和思维方式 , 可是 , 计算 机信息网络安全的脆弱性和易受攻击性是不容忽视的。由于网络设备、 计算机操作系统、网络协议等安全技术上的漏洞和管理体制上的不严密 都会使计算机网络受到威胁。我们能够想象一下 , 对于一个需要高速信 息传达的现代化医院 , 如果遭到致命攻击 , 会给社会造成多大的影响。 在医院行业的信息化建设过程中 , 信息安全的建设虽然只是一个很 小的部分 , 但其重要性不容忽视。便捷、开放的网络环境 , 是医院信息化 建设的基础 , 在数据传递和共享的过程当中 , 业务数据的安全性要切实地 得到保障 , 才