某县医院信息安全解决方案.docxVIP

  1. 1、本文档共8页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
某县医院信息安全解决方案 县级人民医院信息安全解决方案 信息安全等级保护(二级)相关内容 参看卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知,我方医院应该达到二级等保要求。 《信息系统安全等级保护基本要求》网络安全二级等保要求: 1、 网络安全主要关注的方面包括:网络结构、网络边界以及网络设备自身安全等,具体的控制点包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等七个控制点。 2、 不同等级的基本要求在网络安全方面所体现的不同如3.1节和3.2节所描述的一样,在三个方面都有所体现。 3、 一级网络安全要求:主要提供网络安全运行的基本保障,包括网络结构能够基本满足业务运行需要,网络边界处对进出的数据包头进行基本过滤等访问控制措施。 4、 二 级网络安全要求:不仅要满足网络安全运行的基本保障,同时还要考虑网络处理能力要满足业务极限时的需要。对网络边界的访问控制粒度进一步增强。同时,加强 了网络边界的防护,增加了安全审计、边界完整性检查、入侵防范等控制点。对网络设备的防护不仅局限于简单的身份鉴别,同时对标识和鉴别信息都有了相应的要 求。 5、 《信息系统安全等级保护基本要求》网络安全二级等保要求: 主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机,服务器则包括应用程序、网络、web、文件与通信等服务器。主机系统是构成信息系统的主要部分,其上承载着各种应用。因此,主机系统安全是保护信息系统安全的中坚力量。 6、 主机系统安全涉及的控制点包括:身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等九个控制点。 7、 二级主机系统安全要求:在控制点上增加了安全审计和资源控制等。同时,对身份鉴别和访问控制都进一步加强,鉴别的标识、信息等都提出了具体的要求;访问控制的粒度进行了细化等,恶意代码增加了统一管理等。 信息化安全层级 县级人民医院信息化现状分析 l 医院信息化基础网络部分建设基本到位,医院内部网络通讯畅通。 l 网络信息化建设分为内网、外网,内外网的PC设备全部独立运行。 l 根据等级保护二级建设要求,网络安全部分还需要部署防火墙、入侵防御系统。 l 根据等级保护二级建设要求,数据安全部分还需要部署数据库审计系统。 l 根据等级保护二级建设要求,主机安全部分建议部署终端接入控制系统。 医院信息化等级保护设计 医院信息安全建设解决方案 某县级人民医院网络拓扑图(现状) 某县级人民医院网络拓扑图 县级人民医院网络拓扑图 ——内网数据安全防护 县级人民医院网络拓扑图 —— 内网数据安全防护 县级人民医院网络拓扑图 —— 内、外网数据安全防护 n 医院内、外网数据安全防护的基础防护设备部署:在外网出口部署我公司的SRG1000-CA设备、医院内部服务器防护部署我司的千兆防火墙FW1000-GC、千兆入侵防御IPS2000-ME设备。 n 医院内网防火墙设备用来进行区域隔离和策略控制,内外和外网的隔离、内网和外网的策略控制,内网根据业务的隔离、内网跟进业务的策略控制等等。 n 网络通过部署入侵防御系统防止内部数据被窃取、攻击损毁等,通过近几年的所有攻击时间我们发现90%的攻击是通过应用层的攻击,通过软件的漏洞进行攻击,所以我们必须通过部署入侵防御系统做到一个攻击的事前防护。 n 医院外部网络部署一台安全路由网关设备SRG1000-CA设备,有效的防护外网出口,同时通过SSL VPN技术加强远程数据接入安全。 县级人民医院网络拓扑图 —— HIS数据库审计 某县级人民医院网络拓扑图 —— HIS数据库审计 ? 支持访问数据库的源主机名、源主机用户的审计,以满足追踪溯源的要求 ? 支持Select操作返回行数、数据库操作成功、失败的审计 ? 支持数据库对象的SQL操作审计。 ? 支持Telnet协议的审计,能够审计用户名、操作命令、命令响应时间、返回码等; ? 支持对FTP协议的审计,能够审计用户名、命令、文件、命令响应时间、返回码等 ? 支持审计Radius协议的认证用户MAC、认证用户名、认证IP、NAS服务器IP ? 支持IP-MAC绑定变化情况的审计 ? 支持数据库类型有: SQL/DB2/MYSQL/ORACEL/SYBASE/INFORMIX 县级人民医院网络拓扑图 —— 终端用户管理 某县级人民医院网络拓扑图 —— 终端用户管理 TAC解 决方案的实现思路,是通过将网络接入控制和用户终端安全策略控制相结合,以用户终端对企业安全策略的符合度为条件,控制用户访问网络的接入权限,从而降低 病毒、非法访问等安全威胁对企业网络带来的危害。为达到以上目的,迪普科

文档评论(0)

137****1470 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档