2023医院网络安全规划体系方案(等保、密码).docxVIP

PAGE49

智慧医院

网络安全建设规划方案

目录

TOC\o1-3\h\z\u一、 概述 2

1.1项目背景 2

1.2编制依据 3

二、 安全现状 4

三、 安全保障目标 4

四、 安全风险分析 5

五、 网络安全建设方案 7

5.1总体建设目标 7

5.2项目建设思路 7

5.3项目建设内容 7

5.4安全建设方案 11

5.4.1网络安全建设方案 11

5.4.2网络安全建设规划拓扑 15

5.4.3密码应用建设方案 16

5.4.4密码应用用建设规划拓扑 18

5.5安全建设产品及预算 19

六、 合规性分析 26

6.1网络安全等级保护合规性分析（技术部分） 26

6.2密码应用基本要求合规性分析（技术部分） 31

6.3智慧医院建设（网络安全部分） 35

概述

1.1项目背景

xxx

随着“智慧医院”建设和医院信息化的不断发展，医院各项工作的开展都不同程度的采用了信息化系统（电子病历、预约诊疗、智能导诊、电子支付等），信息系统在医院中的角色也越来越重要，现代医院的发展建设已经和信息化建设结合为一体；而医疗作为关乎民生的重要行业，在巨大商业利益的驱使下，医疗行业的数据、个人信息等面临来自内部威胁和外部威胁的双重包夹。一旦数据泄露，不仅影响医院公众形象，甚至损害患者的个人利益，更是为本就紧张的医患关系又增加了不和谐的色彩。而《网络安全法》的出台，也让网络安全的责任界定有了更为明确的责任主体。因此如何保证医院信息系统安全成为医院信息化建设中需重视的问题。

国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》、智慧医院建设相关标准，要求涉及国计民生的信息系统应达到一定的安全等级，根据各类文件精神和等级划分的原则，三级医院信息系统构筑至少应达到三级等保防护要求。

根据中共中央办公厅国务院办公厅关于印发《金融和重要领域密码应用与创新发展工作规划（2018-2022年）》的通知中明确说明，金融和基础信息网络、重要信息系统、重要工业控制系统及面向社会服务的政务信息系统等重要领域的网络安全，事关国家政治安全、经济安全、文化安全、社会安全和生态安全。密码是保障网络安全的核心技术和基础支撑，在维护国家安全、促进经济社会发展、保护人民群众利益中发挥着不可替代的重要作用。《中华人民共和国密码法》的颁布实施，从法律层面为开展商用密码应用提供了根本遵循。同时公安部2020年9月发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》中也要求等保第三级及以上网络应正确、有效采用密码技术进行保护，并使用符合相关要求的密码产品和服务。要在网络安全等级测评中同步开展密码应用安全性评估。依据《商用密码应用安全性评估FAQ（第二版）》指导文件，三级等保系统的密码应用建设要求应达到第三级密码应用基本防护要求。

因此在整个医院信息化进程中需参照《网络安全法》、《数据安全法》、《密码法》、《网络安全等级保护基本要求》、《全国医院信息化建设标准与规范》和智慧医院建设的相关政策文件标准；在信息化建设规划中补充适当的网络安全防护措施，确保信息化建设和网络安全建设达到“同步规划”、“同步建设”、“同步使用”；以此保障核心业务系统稳定、持续、安全可靠的运行。

1.2编制依据

《中华人民共和国网络安全法》

《中华人民共和国密码法》

《中华人民共和国数据安全法》

GB/T22239-2019《信息安全技术网络安全等级保护基本要求》

GB/T39786-2021《信息安全技术信息系统密码应用基本要求》

GB/T25058-2019《信息安全技术网络安全等级保护实施指南》

GBT25070-2019《信息安全技术网络安全等级保护安全设计技术要求》

GB/T28448-2019《信息系统安全等级保护测评要求》

GB/T18336《信息技术-安全技术-信息技术安全性评估准则》

GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》

GB/T35281-2017《信息安全技术移动互联网应用服务器安全技术要求》

GB/T35273-2017《信息安全技术个人信息安全规范》

《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》

《关于大力推进智慧医院建设的通知》（川卫发〔2019〕51号）

《国家卫生健康委办公厅关于印发医院智慧管理分级评估标准体系（试行）的通知》

安全现状

XX医院目前整体网络区分为互联网（以下简称外网）和工作内网（以下简称