医疗行业等级保护测评解读

医院网络信息系统三级等保测评方案北京XX科技有限公司2023年6月目录第1章方案概述 (5)1.1 背景 (5)1.2 方案设计目标 (7)1.3 方案设计原则 (8)1.4 方案设计依据 (9)第2章信息系统定级情况 (12)第3章安全需求分析 (13)3.1 安全指标与需求分析 (13)第4章信息安全体系框架设计 (16)第5章管理体系整改方案 (17)5.1 安全制度制定解决方案 (17)5.1.1 策略结构描述 (17)5.1.2 安全制度制定 (20)5.1.3 满足指标 (21)5.2 安全制度管理解决方案 (21)5.2.1 安全制度发布 (21)5.2.2 安全制度修改与废止 (22)5.2.3 安全制度监督和检查 (22)5.2.4 安全制度管理流程 (23)5.2.5 满足指标 (26)5.3 安全教育与培训解决方案 (27)5.3.1 信息安全培训的对象 (27)5.3.2 信息安全培训的内容 (28)5.3.3 信息安全培训的管理 (29)5.3.4 满足指标 (30)5.4 人员安全管理解决方案 (30)5.4.1 普通员工安全管理 (30)5.4.2 安全岗位人员管理 (32)5.4.3 满足指标 (37)5.5 第三方人员安全管理解决方案 (37)5.5.1 第三方人员短期访问安全管理 (38)5.5.2 第三方人员长期访问安全管理 (39)5.5.3 第三方人员访问申请审批流程信息表 (41)5.5.4 第三方人员访问申请审批流程图 (42)5.5.5 满足指标 (42)5.6 系统建设安全管理解决方案 (43)5.6.1 系统安全建设审批流程 (43)5.6.2 项目立项安全管理 (44)5.6.3 信息安全项目建设管理 (46)5.6.4 满足指标 (50)5.7 等级保护实施管理解决方案 (52)5.7.1 信息系统描述 (54)5.7.2 等级指标选择 (62)5.7.3 安全评估与自测评 (65)5.7.4 方案与规划 (70)5.7.5 建设整改 (72)5.7.6 运维 (77)5.7.7 满足指标 (80)5.8 软件开发安全管理解决方案 (80)5.8.1 软件安全需求管理 (81)5.8.2 软件设计安全管理 (82)5.8.3 软件开发过程安全管理 (87)5.8.4 软件维护安全管理 (89)5.8.5 软件管理的安全管理 (91)5.8.6 软件系统安全审计管理 (91)5.8.7 满足指标 (92)5.9 安全事件处置与应急解决方案 (93)5.9.1 安全事件预警与分级 (93)5.9.2 安全事件处理 (98)5.9.3 安全事件通报 (103)5.9.4 应急响应流程 (104)5.9.5 应急预案的制定 (105)5.9.6 满足指标 (115)5.10 日常安全运维管理解决方案 (116)5.10.1 运维管理 (116)5.10.2 介质管理 (118)5.10.3 恶意代码管理 (119)5.10.4 变更管理管理 (121)5.10.5 备份与恢复管理 (122)5.10.6 设备管理管理 (125)5.10.7 网络安全管理 (129)5.10.8 系统安全管理 (132)5.10.9 满足指标 (135)5.11 安全组织机构设置解决方案 (140)5.11.1 安全组织总体架构 (140)5.11.2 满足指标 (144)5.12 安全沟通与合作解决方案 (145)5.12.1 沟通与合作的分类 (145)5.12.2 风险管理不同阶段中的沟通与合作 (147)5.12.3 满足指标 (148)5.13 定期风险评估解决方案 (148)5.13.1 评估方式 (149)5.13.2 评估内容 (150)5.13.3 评估流程 (151)5.13.4 满足指标 (152)第6章技术体系整改方案 (154)6.1.1 内网网络部署方案 (154)6.1.2 外网网络部署方案 (155)6.1.3 DMZ数据交换区域部署方案 (157)6.2 边界访问控制解决方案 (158)6.2.1 需求分析 (158)6.2.2 方案设计 (159)6.2.3 方案效果 (160)6.2.4 满足指标 (162)6.3 边界入侵防御解决方案 (163)6.3.1 需求分析 (163)6.3.2 方案设计 (164)6.3.3 方案效果 (167)6.3.4 满足指标 (168)6.4 网关防病毒解决方案 (169)6.4.1 需求分析 (169)6.4.2 方案设计 (170)6.4.3 方案效果 (171)6.4.4 满足指标 (172)6.5 网络安全审计解决方案 (173)6.5.1 需求分析 (173)6.5.2 方案设计 (174)6.5.3 方案效果 (181)6.5.4 满足指标 (185)6.6 漏洞扫描解决方案 (187)6.6.1 需求分析 (187)6.6.2 方案设计 (189)6.6.3 方案效果 (193)6.6.4 满足指标 (196)6.7 应用监控解决方案 (198)6.7.1 需求分析 (198)6.7.2 方案设计 (198)6.7.3 方案效果 (200)6.7.4 满足指标 (202)6.8 安全管理中心解决方案 (204)6.8.1 需求分析 (204)6.8.2 方案设计 (205)6.8.3 方案效果 (221)6.8.4 满足指标 (223)6.9 运维平台解决方案 (224)6.9.1 需求分析 (224)6.9.2 方案设计 (225)第7章技术体系符合性分析 (458)7.1 物理安全 (458)7.2 网络安全 (463)7.4 应用安全 (476)7.5 数据安全与备份恢复 (483)第8章方案整体部图和初步预算 (485)8.1 项目预算 (486)第1章方案概述1.1背景医院是一个信息和技术密集型的行业，其计算机网络是一个完善的办公网络系统，作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。

医疗行业等级保护、防统方解决方案杭州安恒信息技术有限公司，简称“安恒信息”，是业界领先的应用安全及数据库安全整体解决方案提供商，专注于应用安全前沿趋势的研究和分析。

在医疗卫生行业数据库审计、数据库扫描、运维审计产品也得到广泛的应用，先后获得中国医药卫生信息化“首选品牌”和“金鼎奖”。

其中明鉴系列应用扫描器被公安部三所测评中心等国内权威等级保护测评机构广泛使用，其数据库审计、web应用防火墙、运维审计、综合日志审计等更是在运营商、金融、政府、能源等数千家客户信息系统中稳定运行，并帮助数百家客户成功通过国家等级保护测评机构的测评。

安恒信息推出的医疗卫生行业等级保护、防统方解决方案，旨在帮助医疗卫生机构解决困扰已久的“非法统方”难题，并帮助医疗机构顺利通过等级保护测评，提升信息化管理水平。

1行业需求说明随着医院信息化的迅猛发展，信息的高度集中使得核心数据泄密的隐患也越来越突出，其中非法“统方”尤为突出。

“统方”是建立医药回扣黑链的重要枢纽环节，已经成为国家和媒体关注的重要社会焦点问题。

鉴于此，我国卫生部曾反复强调，对于违反规定，未经批准擅自“统方”或者为商业目的“统方”的，不仅要对当事人从严处理，还要严肃追究医院有关领导和科室负责人的责任。

但尽管相关主管部门和医药都把非法统方当作打击重点，但打击效果始终不太理想。

这与非法统方的隐秘性和变化多样性有关，但更重要的是因为缺少相关完善的工具和解决方案。

目前市面上主流的防统方解决方案都是基于对HIS系统数据库服务器进行旁路监听审计实施打击，但这样的解决方案有几个非常明显的弱点：1)事后审计，无法阻断统方：通过数据库审计的方式确实能够发现统方，但是这已经是在统方行为已经完成的情况下发现的。

而医院领导更关注的是如何防止统方，对非法统方行为进行实时的阻断。

2)通过SSH、RDP等加密方式统方而无能为力：非法统方很多时候是由内部专业技术人员或者第三方开发外包等专业人员进行，其为了躲避监控，常常采用加密的方式进行统方，而旁路数据库审计对此是无能为力的。

目录目录 (1)一、等级保护流程 (2)1.1 基本流程 (2)1.2 详细流程说明 (2)1.2.1 定级和备案 (2)1.2.1.1 定级标准 (3)1.2.1.2 定级方法 (4)1.2.1.3 医院定级参考 (5)1.2.2 信息安全等级保护整改 (6)1.2.2.1 信息系统安全建设整改总体框架 (7)1.2.2.2 信息系统安全建设整改工作基本流程 (8)1.2.2.3 安全管理制度建设 (9)1.2.2.4 安全技术措施建设 (12)1.2.3 信息安全等级保护测评 (14)1.2.4 公安机关检查 (15)1.2.4.1 检查内容 (16)二、医院信息安全等级保护工作建议 (17)一、等级保护流程1.1基本流程定级备案信息安全等级保护整改信息安全等级保护测评（测评机构每年）公安机关检查（网监）1.2详细流程说明1.2.1定级和备案相关国家政策文件——关于开展全国重要信息系统安全等级保护定级工作的通知（公安部）相关部门指导文件——卫生行业信息安全等级保护工作的指导意见（卫生部）定级及等保指南文件——卫办发〔2011〕85号（卫生部）摘要：1、各信息系统主管部门和运营使用单位要按照《管理办法》和《信息系统安全等级保护定级指南》，初步确定定级对象的安全保护等级，起草定级报告。

说明：由运营使用单位（即医院）起草报告提交网监。

2、当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时，由运营使用单位或主管部门自主决定信息系统安全保护等级。

信息系统运营使用单位有上级行业主管部门的，所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。

说明：定级由医院自主决定，但是有主管单位的需要由主管部门同意，医院需按照卫生主管部门意见。

《信息系统安全等级保护定级报告》模版在《关于开展全国重要信息系统安全等级保护定级工作的通知》内。

3、信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安部网站下载《信息系统安全等级保护备案表》和辅助备案工具，持填写的备案表和利用辅助备案工具生成的备案电子数据，到公安机关办理备案手续，提交有关备案材料及电子数据文件。

浅析某医院信息系统安全等级保护测评方案作者：龙智勇来源：《企业科技与发展》2018年第03期【摘要】随着医院信息化建设的不断深入，信息系统的正常稳定运行已经成为医院医疗业务正常开展的基础条件，卫计委及有关部门以指导意见、管理办法、保护措施等方式下文明确要求三级医院核心业务系统安全等级不低于第三级。

文章从医院实际情况出发，对应用系统摸底调查、初步定级、整改方案、回归性测试、备案等实施步骤进行阐述。

【关键词】医院信息化；等级保护；等级测评【中图分类号】R197.324 【文献标识码】A 【文章编号】1674-0688（2018）03-0221-021 项目背景针对医院信息安全现状及安全形势，根据《关于加强信息安全保障工作的意见》（中办发〔2003〕27号）、《信息安全等级保护管理办法》（公通字〔2007〕43号）、《湖南省卫生行业信息系统信息安全等级保护实施方案》（湘卫办发〔2012〕28号）等文件与法规的要求，并结合当前网络安全形势的需要，对医院重要业务系统进行等级保护测评与风险评估很有必要性。

通过深入评价重要业务系统的信息安全等级保护情况，了解目前业务系统的安全状况和存在的安全风险程度，提出全面的整改建议方案，实施安全加固与安全整改建设，加强医院信息系统防攻击、防篡改、防病毒、防窃密、防瘫痪“五防”能力的建设，将切实提高医院信息系统安全保障能力，促进医院信息化工作的健康发展。

2 现状分析某医院是湖南省首家三级甲等中医医院，“七五”期间全国七所重点建设的中医院之一，2008年12月入选国家中医临床研究基地，2013年7月入选全国中医医院信息化示范单位。

其医院信息化建设涵盖HIS系统、LIS系统、PACS系统、EMR系统、成本核算系统、省市医保系统、OA系统、湖南省中医药数据中心等60多个业务子系统。

医院有3套物理隔离的网络：医院内部办公网络（外网）、医院内部业务网络（内网）、湖南省中医药数据中心专网（专网）。

医疗卫生行业信息安全等级保护浅议作者：李素奇来源：《中国信息化》2021年第02期随着我国全面进入互联网时代、信息化时代，互联网技术、计算机技术以及信息技术在人们生活的多个方面均有涉及。

医疗机构是个比较特殊的服务机构，承担着治病救人的职责，为了更好的管理医疗机构，提高医疗机构的医疗服务质量，积极应用计算机技术与信息化技术是非常有必要的。

当然，在计算机技术进入医疗卫生行业后，也出现了一些问题，如何保障医疗卫生行业信息的安全性，成为医疗卫生行业信息化管理中必须解決的问题。

若医疗机构的某些重要信息泄露，则会造成严重的不良影响，甚至会对社会正常发展造成严重的不利影响。

因此，明确医疗卫生行业信息的安全等级保护制度，制定有效保护对策进一步提高医疗卫生行业信息安全等级是非常有必要的。

2011年版的《卫生行业信息安全等级保护工作的指导意见》，文中明确指出必须提高卫生行业的信息安全等级保护工作水平，促使信息安全保护工作有据可循、有文可依。

随着我国医疗改革的逐步深入，越来越多的医疗机构认识到保护医疗卫生行业信息安全的必要性与紧迫性。

信息安全事件一共有四个等级，分别是一般、较大、重大以及特别重大事件，从低到高，不同等级的信息安全事件会造成不同后果，继而产生不同影响。

比如，特别重大事件这种类别的医疗信息安全事件发生后，会导致大量医疗信息被泄露或破坏，不仅会对患者的个人隐私造成影响，而且会诱发严重的医疗矛盾。

而现今，很多患者都有强烈的维权意识以及自我保护意识，一旦发生特别重大类级的医疗信息安全事件，将直接影响医院正常运行，甚至会导致医院遭受不可挽回的损伤，甚至会对国家医疗政策造成剧烈冲击。

因此，落实医疗卫生行业信息安全等级保护是非常有必要的。

笔者简单从以下几点阐述医疗卫生行业信息安全等级保护对策。

随着我国医保政策的问世，医疗机构的人流量不断增加，但是医护人员的实际数量与患者的数量存在过大差异，医护人员的工作压力逐步增大。

医疗器械五级评审摘要：一、医疗器械五级评审概述二、五级评审的分类及定义三、五级评审的具体流程1.一级评审2.二级评审3.三级评审4.四级评审5.五级评审四、五级评审的意义和作用五、五级评审的挑战与改进正文：医疗器械五级评审是我国对医疗器械产品进行安全性和有效性评估的重要环节。

五级评审制度根据医疗器械的风险等级，将其分为五类，并对应不同的评审要求和流程，以确保医疗器械能够满足临床使用需求，保障患者的安全和健康。

一、医疗器械五级评审概述医疗器械五级评审，即根据医疗器械的风险等级，将其分为五个级别，并对应不同的审批流程和评审要求。

五级评审制度旨在确保医疗器械产品的安全性和有效性，以满足临床使用需求。

二、五级评审的分类及定义五级评审制度根据医疗器械的风险等级，将其分为五类：1.一级评审：低风险医疗器械，如一次性手套、口罩等。

2.二级评审：中低风险医疗器械，如血压计、血糖仪等。

3.三级评审：中高风险医疗器械，如心脏支架、人工关节等。

4.四级评审：高风险医疗器械，如心脏起搏器、人工心脏等。

5.五级评审：植入类高风险医疗器械，如人工器官、基因治疗产品等。

三、五级评审的具体流程1.一级评审：企业提交产品注册申请，省级药品监督管理局进行审批。

2.二级评审：企业提交产品注册申请，国家药品监督管理局进行审批。

3.三级评审：企业提交产品注册申请，国家药品监督管理局组织专家进行评审。

4.四级评审：企业提交产品注册申请，国家药品监督管理局组织专家进行评审，并进行临床试验审批。

5.五级评审：企业提交产品注册申请，国家药品监督管理局组织专家进行评审，并进行临床试验审批，最后报国务院审批。

四、五级评审的意义和作用五级评审制度对于保障医疗器械产品的安全性和有效性具有重要意义。

通过对医疗器械进行风险评估，五级评审制度能够确保高风险医疗器械在上市前经过严格的审查，降低患者使用过程中的风险。

同时，五级评审制度也有利于推动医疗器械企业提高产品质量，促进产业健康发展。

医院网络信息系统三级等保测评方案北京XX科技有限公司2023年6月目录第1章方案概述 (5)1.1 背景 (5)1.2 方案设计目标 (7)1.3 方案设计原则 (8)1.4 方案设计依据 (9)第2章信息系统定级情况 (12)第3章安全需求分析 (13)3.1 安全指标与需求分析 (13)第4章信息安全体系框架设计 (16)第5章管理体系整改方案 (17)5.1 安全制度制定解决方案 (17)5.1.1 策略结构描述 (17)5.1.2 安全制度制定 (20)5.1.3 满足指标 (21)5.2 安全制度管理解决方案 (21)5.2.1 安全制度发布 (21)5.2.2 安全制度修改与废止 (22)5.2.3 安全制度监督和检查 (22)5.2.4 安全制度管理流程 (23)5.2.5 满足指标 (26)5.3 安全教育与培训解决方案 (27)5.3.1 信息安全培训的对象 (27)5.3.2 信息安全培训的内容 (28)5.3.3 信息安全培训的管理 (29)5.3.4 满足指标 (30)5.4 人员安全管理解决方案 (30)5.4.1 普通员工安全管理 (30)5.4.2 安全岗位人员管理 (32)5.4.3 满足指标 (37)5.5 第三方人员安全管理解决方案 (37)5.5.1 第三方人员短期访问安全管理 (38)5.5.2 第三方人员长期访问安全管理 (39)5.5.3 第三方人员访问申请审批流程信息表 (41)5.5.4 第三方人员访问申请审批流程图 (42)5.5.5 满足指标 (42)5.6 系统建设安全管理解决方案 (43)5.6.1 系统安全建设审批流程 (43)5.6.2 项目立项安全管理 (44)5.6.3 信息安全项目建设管理 (46)5.6.4 满足指标 (50)5.7 等级保护实施管理解决方案 (52)5.7.1 信息系统描述 (54)5.7.2 等级指标选择 (62)5.7.3 安全评估与自测评 (65)5.7.4 方案与规划 (70)5.7.5 建设整改 (72)5.7.6 运维 (77)5.7.7 满足指标 (80)5.8 软件开发安全管理解决方案 (80)5.8.1 软件安全需求管理 (81)5.8.2 软件设计安全管理 (82)5.8.3 软件开发过程安全管理 (87)5.8.4 软件维护安全管理 (89)5.8.5 软件管理的安全管理 (91)5.8.6 软件系统安全审计管理 (91)5.8.7 满足指标 (92)5.9 安全事件处置与应急解决方案 (93)5.9.1 安全事件预警与分级 (93)5.9.2 安全事件处理 (98)5.9.3 安全事件通报 (103)5.9.4 应急响应流程 (104)5.9.5 应急预案的制定 (105)5.9.6 满足指标 (115)5.10 日常安全运维管理解决方案 (116)5.10.1 运维管理 (116)5.10.2 介质管理 (118)5.10.3 恶意代码管理 (119)5.10.4 变更管理管理 (121)5.10.5 备份与恢复管理 (122)5.10.6 设备管理管理 (125)5.10.7 网络安全管理 (129)5.10.8 系统安全管理 (132)5.10.9 满足指标 (135)5.11 安全组织机构设置解决方案 (140)5.11.1 安全组织总体架构 (140)5.11.2 满足指标 (144)5.12 安全沟通与合作解决方案 (145)5.12.1 沟通与合作的分类 (145)5.12.2 风险管理不同阶段中的沟通与合作 (147)5.12.3 满足指标 (148)5.13 定期风险评估解决方案 (148)5.13.1 评估方式 (149)5.13.2 评估内容 (150)5.13.3 评估流程 (151)5.13.4 满足指标 (152)第6章技术体系整改方案 (154)6.1.1 内网网络部署方案 (154)6.1.2 外网网络部署方案 (155)6.1.3 DMZ数据交换区域部署方案 (157)6.2 边界访问控制解决方案 (158)6.2.1 需求分析 (158)6.2.2 方案设计 (159)6.2.3 方案效果 (160)6.2.4 满足指标 (162)6.3 边界入侵防御解决方案 (163)6.3.1 需求分析 (163)6.3.2 方案设计 (164)6.3.3 方案效果 (167)6.3.4 满足指标 (168)6.4 网关防病毒解决方案 (169)6.4.1 需求分析 (169)6.4.2 方案设计 (170)6.4.3 方案效果 (171)6.4.4 满足指标 (172)6.5 网络安全审计解决方案 (173)6.5.1 需求分析 (173)6.5.2 方案设计 (174)6.5.3 方案效果 (181)6.5.4 满足指标 (185)6.6 漏洞扫描解决方案 (187)6.6.1 需求分析 (187)6.6.2 方案设计 (189)6.6.3 方案效果 (193)6.6.4 满足指标 (196)6.7 应用监控解决方案 (198)6.7.1 需求分析 (198)6.7.2 方案设计 (198)6.7.3 方案效果 (200)6.7.4 满足指标 (202)6.8 安全管理中心解决方案 (204)6.8.1 需求分析 (204)6.8.2 方案设计 (205)6.8.3 方案效果 (221)6.8.4 满足指标 (223)6.9 运维平台解决方案 (224)6.9.1 需求分析 (224)6.9.2 方案设计 (225)第7章技术体系符合性分析 (458)7.1 物理安全 (458)7.2 网络安全 (463)7.4 应用安全 (476)7.5 数据安全与备份恢复 (483)第8章方案整体部图和初步预算 (485)8.1 项目预算 (486)第1章方案概述1.1背景医院是一个信息和技术密集型的行业，其计算机网络是一个完善的办公网络系统，作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。

信息系统等级保护医疗行业01目录等级保护介绍02行业信息系统现状03整改方案设计01等级保护介绍等级保护制度进入2.0时代★深入推进国家网络安全等级保护制度一、根据2017年6月1日实行的《中华人民共和国网络安全法》第二十一条明确要求：国家实行网络安全等级保护制度。

二、中央关于加强社会治安防控体系建设的意见、公安改革若干重大问题的框架意见要求“健全完善信息安全等级保护制度”。

三、习近平总书记等中央领导批示要求：健全完善以保护国家关键信息基础设施安全为重点的网络安全等级保护制度。

信息安装等级保护法规政策体系信息安全遵循标准《信息安全技术信息系统安全等级保护基本要求》01GB/T 22239-2008《信息安全技术信息系统安全等级保护实施指南》02GB/T 25058-2010《卫生部办公厅关于全面开展卫生行业信息安全等03级保护工作的通知》（卫办综函[2011]1126号)《关于印发基层医疗卫生机构管理信息系统建设项目04指导意见的通知》卫生行业信息安全等级保护工作的指导意见★2011年11月，卫生部印发了《卫生行业信息安全等级保护工作的指导意见》通知，明确提出卫生行业信息安全等级保护工作的指导意见。

以下重要卫生信息系统安全保护等级原则上不低于第三级：（1）卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统；（2）国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心；（3）三级甲等医院的核心业务信息系统；（4）卫生部网站系统；（5）其他经过信息安全技术专家委员会评定为第三级以上（含第三级）的信息系统。

等级保护之五级划分等级对象侵害客体侵害程度监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查02行业信息系统现状医疗行业信息系统现状----主要业务系统医院信息系统主要应用HIS 系统医疗信息系统（流程）LIS 系统临床试验系统（临床、患者状况、用药、疗程）PACS 系统影像（B 超、彩超、X 光……）EMR 系统电子病历（接收并存放LIS 的信息）①高速的响应速度和联机事务处理能力；②医疗信息数据的复杂性；③信息的安全、保密度要求高；④数据量大；⑤稳定性要求高；⑥瞬时并发访问量大；⑦系统后期数据维护工作量大；信息系统特点：①不当的访问和准入控制②医院的统计信息、孕妇新生儿信息被打包出售等较为恶性的数据安全事件;③由于蠕虫、病毒的入侵导致的系统故障等信息安全事件；④医保卡的使用使得医疗机构与银行、社保等机构需要更多的数据交换及实时结算业务挑战：医疗行业信息系统现状----网络架构及安全风险分析业务挑战：安全建设方向：☐核心业务系统安全防护（网络，主机，数据）☐等级保护安全建设要求（等级保护测评及整改）☐省市区三级级安全平台及卫生专网安全建设（健康档案数据库及卫生专网安全建设）☐外网门户网站安全建设03整改要点行业等保整改规划1、根据医院的实际需求以及相关行业及等级保护要求，对信息系统进行安全建设，从边界安全，业务安全，内网终端安全，以及安全管理等角度完成对信息系统的安全建设.2、结合医疗行业及本院实际情况，以及国家十二五规划，针对，电子病历，健康档案等核心数据进行重点保护，加强卫生专网边界防护.3、从技术，管理两个角度完成对HIS,PACS等业务系统的安全建设.4、提供专业的安全服务，从门户网站监控，到等级保护的咨询与信息系统渗透测试，加固方案，保障用户信息系统健康，安全，稳定的运行.5、所提供安全产品具为行业内一流产品，出色的性能和功能，很好的满足用户的安全需求.整改要点基本防护能力基本出入控制存放位置、标记标识建筑防雷、机房接地灭火设备、自动报警关键设备稳定电压、短期供应线缆隔离关键设备冗余空间核心网络带宽子网/网段控制访问控制设备（用户，网段）拨号访问权限日志记录内部非法联出检测常见攻击基本登陆鉴别物理环境01网络安全02主机安全03应用安全01数据安全01基本身份鉴别安全策略用户权限分离服务器运行状况审计软件最小安装原则防恶意代码软件、代码库统一管理对用户会话数和终端登陆管理基本身份鉴别安全策略最小授权原则运行状况审计（用户级）审计记录保护校验码、初始化敏感信息加密数据有效性检验并发数量管理和限制数据传输完整性数据储存保密性重要数据备份硬件冗余互联网安全建设-拓扑图参考图边界安全防护网站安全防护安全监控移动办公接入谢谢观看。