WS_T 447_2014 基于电子病历的医院信息平台技术规范(安全规范部分).pdfVIP

. . . 9 安全规范 9.1 安全设计原 9.1.1 规范性原 医院信息平台需按照信息系统等级保护三级 （或以上的要求进行安全建设 ，安全设 计应遵循已颁布的相关国家标准。 9.1.2先进性和适用性原 安全设计应采用先进的设计思想和方法 ，尽量采用国内外先进的安全技术。所采用的 先进技术应符合实际情况 ；应合理设置系统功能、恰当进行系统配置和设备选型 ，保障其 具有较高的性价比，满足业务管理的需要。 9.1.3可扩展性原 安全设计应考虑通用性、灵活性 ，以便利用现有资源及应用升级。 9.1.4 开放性和兼容性原 对安全子系统的升级、扩充、更新以及功能变化应有较强的适应能力。即当这些因素 发生变化时，安全子系统可以不做修改或少量修改就能在新环境下运行。 9.1.5 可靠性原 安全设计应确保系统的正常运行和数据传输的正确性 ，防止由内在因素和硬件环境造 成的错误和灾难性故障 ，确保系统可靠性。在保证关键技术实现的前提下 ，尽可能采用成 熟安全产品和技术，保证系统的可用性、工程实施的简便快捷。 9.1.6 系统性原 应综合考虑安全子系统的整体性、相关性、目的性、实用性和适应性。另外 ，与业务 系统的结合相对简单且独立。 9.1.7 技术和管理相结合原 word可编辑 . . . 安全体系应遵循技术和管理相结合的原则进行设计和实施 ，各种安全技术应该与运行 管理机制、人员思想教育与技术培训、安全规章制度建设相结合。从社会系统工程的角度 综合考虑 ，最大限度发挥人防、物防、技防相结合的作用。 9.2 总体框架 总体框架的设计要求包括 ： ——医院信息平台安全体系从安全技术、安全管理为要素进行框架设计； ——应从网络安全 （基础网络安全和边界安全 ）、主机安全 （终端系统安全、服务端 系统安全）、应用安全、数据安全几个层面实现安全技术类要求； ——应从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管 理几个层面实现安全管理类要求。 9.3 技术要求 9.3.1 物理安全 物理安全主要是指医院信息平台所在机房和办公场地的安全性 ，主要应考虑以下几个 方面内容。 ——物理位置的选择 ：应满足GB/T 22239-2008 申 的要求； ——物理访问控制 ：应满足GB/T 22239-2008 中 的要求； ——防盗窃和防破坏：应满足GB/T 22239-2008 中 的要求； ——防雷击 ：应满足GB/T 22239-2008 中 的要求； ——防火 ：应满足GB/T 22239-2008 中 的要求； ——防水和防潮：应满足GB/T 22239-2008 中 的要求； ——防静电 ：应满足GB/T 22239-2008 中 的要求； ——温湿度控制 ：应满足GB/T 22239-2008 中 的要求； word可编辑 . . . ——电力供应：应满足GB/T 22239-2008 中 的要求； ——电磁防护：应满足GB/T 22239-2008 中0 的要求。 9.3.2 网络安全 基础网络安全 .1 结构安全 结构安全要求包括 ： ——应保证主要网络设备的业务处理能力具备冗余空间 ，满足业务高峰期需要 ；关键 网络设备的业务处理能力至少为历史峰值的3 倍 ； ——应保证网络各个部分的带宽满足业务高峰期需要； ——应绘制与当前运行情况相符完整的网络拓扑结构图 ，有相应的网络配置表 ，包含 设备IP 地址等主要信息，与当前运行情况相符，并及时更新； ——网络系统建设应符合8.5 的要求。 .2 网络设备防护 网络设备防护要求包括： ——应对登录网络设备的用户进行身份鉴别； ——应删除默认用户或修改默认用户的口令