某市医院三级等保建设方案
市中医医院网络信息安全等级保护三级等保方案
市中医院信息系统网络安全等级保护三级建设方案北京XX科技有限公司2022年3月目录第1章方案概述 (5)1.1 背景 (5)1.2 方案设计目标 (8)1.3 方案设计原则 (8)1.4 方案设计依据 (9)第2章信息系统定级情况 (12)第3章安全需求分析 (13)3.1 安全指标与需求分析 (13)第4章信息安全体系框架设计 (16)第5章管理体系整改方案 (17)5.1 安全制度制定解决方案 (17)5.1.1 策略结构描述 (17)5.1.2 安全制度制定 (20)5.1.3 满足指标 (21)5.2 安全制度管理解决方案 (21)5.2.1 安全制度发布 (21)5.2.2 安全制度修改与废止 (22)5.2.3 安全制度监督和检查 (22)5.2.4 安全制度管理流程 (23)5.2.5 满足指标 (26)5.3 安全教育与培训解决方案 (27)5.3.1 信息安全培训的对象 (27)5.3.2 信息安全培训的内容 (28)5.3.3 信息安全培训的管理 (29)5.3.4 满足指标 (30)5.4 人员安全管理解决方案 (30)5.4.1 普通员工安全管理 (30)5.4.2 安全岗位人员管理 (32)5.4.3 满足指标 (37)5.5 第三方人员安全管理解决方案 (37)5.5.1 第三方人员短期访问安全管理 (38)5.5.2 第三方人员长期访问安全管理 (39)5.5.3 第三方人员访问申请审批流程信息表 (41)5.5.4 第三方人员访问申请审批流程图 (42)5.5.5 满足指标 (42)5.6 系统建设安全管理解决方案 (43)5.6.1 系统安全建设审批流程 (43)5.6.2 项目立项安全管理 (45)5.6.3 信息安全项目建设管理 (47)5.6.4 满足指标 (53)5.7 等级保护实施管理解决方案 (57)5.7.1 信息系统描述 (59)5.7.2 等级指标选择 (68)5.7.3 安全评估与自测评 (71)5.7.4 方案与规划 (77)5.7.5 建设整改 (79)5.7.6 运维 (84)5.7.7 满足指标 (87)5.8 软件开发安全管理解决方案 (88)5.8.1 软件安全需求管理 (89)5.8.2 软件设计安全管理 (91)5.8.3 软件开发过程安全管理 (96)5.8.4 软件维护安全管理 (99)5.8.5 软件管理的安全管理 (101)5.8.6 软件系统安全审计管理 (102)5.8.7 满足指标 (103)5.9 安全事件处置与应急解决方案 (103)5.9.1 安全事件预警与分级 (104)5.9.2 安全事件处理 (110)5.9.3 安全事件通报 (116)5.9.4 应急响应流程 (118)5.9.5 应急预案的制定 (119)5.9.6 满足指标 (133)5.10 日常安全运维管理解决方案 (135)5.10.1 运维管理 (135)5.10.2 介质管理 (137)5.10.3 恶意代码管理 (139)5.10.4 变更管理管理 (141)5.10.5 备份与恢复管理 (143)5.10.6 设备管理管理 (147)5.10.7 网络安全管理 (152)5.10.8 系统安全管理 (156)5.10.9 满足指标 (160)5.11 安全组织机构设置解决方案 (168)5.11.1 安全组织总体架构 (168)5.11.2 满足指标 (174)5.12 安全沟通与合作解决方案 (176)5.12.1 沟通与合作的分类 (176)5.12.2 风险管理不同阶段中的沟通与合作 (178)5.12.3 满足指标 (179)5.13 定期风险评估解决方案 (180)5.13.1 评估方式 (181)5.13.2 评估内容 (182)5.13.3 评估流程 (184)5.13.4 满足指标 (186)第6章技术整改方案设计 (188)6.1 设计原则 (188)6.2 安全保障体系构成 (191)6.2.1 安全技术体系 (192)6.2.2 安全管理体系 (197)6.2.3 安全运维体系 (197)6.3 安全技术方案详细设计 (198)6.3.1 信息安全拓扑设计 (199)6.3.2 安全计算环境设计 (213)6.3.3 安全区域边界设计 (225)6.3.4 安全通信网络设计 (230)6.3.5 安全管理中心设计 (234)6.4 安全管理体系详细设计 (239)6.4.1 安全管理建设设计指导思想 (239)6.4.2 建立安全管理制度及策略体系的目的 (240)6.4.3 设计原则 (240)6.4.4 安全方针 (241)6.4.5 信息安全策略框架 (242)6.4.6 总体策略 (242)6.4.7 安全管理组织机构 (244)6.4.8 服务交付物 (247)6.5 安全运维体系详细设计 (251)6.5.1 门户网站安全监控 (251)6.5.2 应急响应服务 (256)6.5.3 安全通告服务 (259)6.5.4 网络及安全设备维护 (260)6.5.5 系统安全维护 (262)6.5.6 网络防护 (263)6.5.7 系统加固 (263)第7章技术体系符合性分析 (270)7.1 物理安全 (270)7.2 网络安全 (275)7.3 主机安全 (283)7.4 应用安全 (290)7.5 数据安全与备份恢复 (297)第8章工程建设 (300)8.1 工程一期建设 (300)8.1.1 区域划分 (300)8.1.2 网络环境改造 (301)8.1.3 网络边界安全加固 (301)8.1.4 网络及安全设备部署 (302)8.1.5 安全管理体系建设服务 (339)8.1.6 安全加固服务 (357)8.1.7 应急预案和应急演练 (364)8.1.8 安全等保认证协助服务 (364)8.2 工程二期建设 (365)8.2.1 安全运维管理平台(soc) (365)8.2.2 APT高级威胁分析平台 (369)第9章本期采购安全产品清单 (372)第1章方案概述1.1背景为了保障基于“健康云”、“智慧云”的XX中医院,我公司依据公安部《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1389号)的要求,贯彻“通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全防范能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益”的方针,为市中医院需要在规划、建设和使用相关信息系统的同时对信息安全也要同步建设,全面开展信息安全等级保护建设整改工作。
三级等保安全建设实施方案
三级等保安全建设方案————————————————————————————————作者:————————————————————————————————日期:目录三级等保安全设计思路 (4)1、保护对象框架 (4)2、整体保障框架 (4)3 、安全措施框架 (5)4、安全区域划分 (6)5、安全措施选择 (7)6、需求分析 (8)6.1、系统现状 (8)6.2、现有措施 (8)6.3 具体需求 (8)6.3.1 等级保护技术需求 (8)6.3.2 等级保护管理需求 (9)7、安全策略 (9)7.1 总体安全策略 (9)7.2 具体安全策略 (9)8、安全解决方案 (10)8.1 安全技术体系 (10)8.1.1 安全防护系统 (10)8.2 安全管理体系 (10)9、安全服务 (10)9.1 风险评估服务 (10)9.2 管理监控服务 (10)9.3 管理咨询服务 (11)9.4 安全培训服务 (11)9.5 安全集成服务 (11)10、方案总结 (12)11、产品选型 (12)三级等保安全设计思路1、保护对象框架保护对象是对信息系统从安全角度抽象后的描述方法,是信息系统内具有相似安全保护需求的一组信息资产的组合。
依据信息系统的功能特性、安全价值以及面临威胁的相似性,信息系统保护对象可分为计算区域、区域边界、网络基础设施、安全措施四类。
具体内容略。
建立了各层的保护对象之后,应按照保护对象所属信息系统或子系统的安全等级,对每一个保护对象明确保护要求、部署适用的保护措施。
保护对象框架的示意图如下:图1. 保护对象框架的示意图2、整体保障框架就安全保障技术而言,在体系框架层次进行有效的组织,理清保护范围、保护等级和安全措施的关系,建立合理的整体框架结构,是对制定具体等级保护方案的重要指导。
根据中办发[2003]27号文件,“坚持积极防御、综合防范的方针,全面提高提高信息安全防护能力”是国家信息保障工作的总体要求之一。
xx医院等保建设方案实战
xx医院等保建设方案实战一、引言信息的安全对于医院来说至关重要。
医院涉及到大量的医疗和患者的个人信息,一旦泄露将会造成巨大的社会和经济损失,甚至危及患者的生命安全。
因此,必须加强xx医院的等保建设,确保患者信息和医疗设备的安全。
二、目标和范围1. 目标:确保xx医院的信息系统和网络安全,保护患者个人信息和医疗设备的安全,提高信息系统的可靠性和可用性。
2. 范围:涉及到xx医院的各类信息系统、网络设备、服务器以及与之相关的所有软硬件设备。
三、等级保护要求1. 根据国家相关法律法规和标准,将xx医院的信息系统划分为不同的安全等级,确定相应的等级保护要求。
2.根据等级保护要求,制定相应的技术措施和管理措施,确保各个等级的信息系统和设备的安全。
四、技术措施1.策略和规划- 制定xx医院的信息安全政策,确保所有员工遵守相关规定。
-设立信息安全管理部门,负责制定和执行信息安全管理制度。
-定期进行风险评估和安全事件响应演练,提前发现安全隐患和漏洞,并及时做出处理。
-建立安全事件报告制度,对于发生的安全事件及时上报和处理,以及总结经验教训,不断改进安全防护措施。
2.网络安全-建立网络安全管理系统,包括防火墙、入侵检测系统等,确保网络设备和系统的安全。
-对于医院内部的网络进行划分,设置网络隔离和访问控制,限制员工的访问权限,保证敏感数据的安全。
-加强对外部网络的监控和防护,防止未经授权的访问和攻击。
-建立网络安全策略和策略执行机制,确保信息的保密性、完整性和可用性。
3.信息系统安全-建立信息系统安全管理制度,确保系统的正常运行和安全实施。
-强化对于操作系统和应用系统的安全检测和漏洞修补,确保系统的稳定性和安全性。
-对于敏感数据进行加密存储和传输,确保数据的保密性。
-建立系统日志和审计机制,追踪系统的使用情况,发现异常行为和安全事件。
4.设备安全-建立设备管理制度,包括设备的购置、使用和报废等管理流程,确保设备的安全和合规性。
宿州市立医院信息安全三级等保2.0建设经验分享
第二级 第三极
第四级
国家安全
第三极 第四级
第五级
2.1 定级对象的变化 等保 1.0 定级对象院 信息系统遥 等保 2.0 定级对象院 基础信息网络尧 工业控制系
统尧 云计算平台尧 物联网尧 使用移动互联技术的网络尧 其他网络以及大数据等多个系统平台遥 2.2 定级的变化
公民尧 法人和其他组织的合法权益产生特别严重损 害时袁 相应系统应当定为第三级保护对象遥
等保 2.0 最新版
安全物理环境
安全通信网络
安全区域边界
技术要求
安全计算环境 安全管理中心 安全管理制度 安全管理机构 安全管理人员 安全建设管理 安全运维管理
管理要求
图1 由图 1 能的出来袁 等级保护 2.0 最大的变化是在技 术要求中心新增了安全管理中心的要求袁 也更加强调建 立主动安全保障体系 渊等保 1.0 是被动防护的思路冤袁 要求建立感知预警尧 安全分析尧 动态防护尧 全面检测尧 应急处置并重袁 增强未知威胁防范和攻击溯源能力遥 3 三级等保 2.0 实施的具体做法 3.1 构建设计思路 在等保 1.0 推进过程中袁 以单个信息系统的等保建 设进行规划袁 缺乏整体安全管理理念袁 在实际的建设过 程中袁 存在重复建设袁 部分关键技术缺失袁 安全运维能 力滞后等问题遥 在以三级等保 2.0 标准建设测评过程
作者简介:赵先福 渊1970-冤袁 男袁 本科袁 高级工程师袁 研究方向院 计算机信息安全尧 计算机系统运维与管理遥 收稿日期:2019-07-24
154 2019.11
2.3 测评的变化 等保 1.0 评测院 每年一次袁 60 分以上基本符合遥 等保 2.0 评测院 每年一次袁 75 分以上基本符合遥 等保测评的结论发生变化院 优院 被测对象中存在安全问题袁 但不会导致被测对
三级等保系统建设方案
三级等保系统建设方案一、为啥要搞三级等保。
咱先唠唠为啥要整这个三级等保系统。
现在这网络世界啊,就像个超级大的江湖,啥人都有,啥危险都藏着。
咱的系统里可能存着好多重要的东西呢,像公司机密啦、用户的隐私信息啦,就跟宝藏似的。
要是没有个厉害的保护措施,那些个黑客啊、不法分子啊,就跟闻到肉味的狼一样,分分钟想扑上来把咱的宝藏抢走或者搞破坏。
所以呢,三级等保就像是给咱们的系统穿上一套超级坚固又智能的盔甲,让那些坏蛋没办法轻易得逞。
二、三级等保都有啥要求。
1. 安全物理环境。
咱先说这机房的事儿。
机房就像是系统的家,得找个安全的地儿。
不能在那种容易发洪水、地震或者老是有雷劈的地方。
机房的建筑得结实,门啊得是那种防火防盗的,还得有门禁系统,不是谁想进就能进的,就像家里不能随便让陌生人串门一样。
供电也得稳稳当当的。
要是突然断电,系统可能就歇菜了,数据也可能丢了。
所以得有备用电源,像UPS(不间断电源)这种,就像给系统备了个充电宝,断电了也能撑一会儿。
温度和湿度也得合适。
太热了机器会中暑,太冷了可能会冻感冒,湿度太大还容易生锈发霉。
所以得有空调、除湿设备啥的,让机房里的环境舒舒服服的,就像人住在适宜温度和湿度的房子里一样。
2. 安全通信网络。
网络得安全可靠。
就像咱们走在路上得有个安全的通道一样。
网络要有防火墙,这防火墙就像个门卫,把那些坏流量都挡在外面。
而且网络得加密,就像咱写信的时候用密码写一样,别人截获了也看不懂。
网络设备得有备份。
要是一个路由器突然坏了,不能让整个网络就瘫痪了呀。
所以得有备用的网络设备,随时能顶上,就像球队里有替补队员一样。
3. 安全区域边界。
要划分不同的安全区域。
就像把房子分成客厅、卧室、厨房一样,不同的区域有不同的功能和安全级别。
在不同区域之间要有访问控制,不能让不该进来的人或者流量乱窜。
入侵检测和防范也不能少。
得能发现那些偷偷摸摸想越界的坏家伙,就像在边界上装了个报警器,一有动静就响。
4. 安全计算环境。
医院等保解决方案(3篇)
第1篇一、引言随着信息技术的飞速发展,医院信息系统在医疗领域的应用越来越广泛,已成为医院管理、医疗救治、医疗服务的重要手段。
然而,信息系统在提高工作效率的同时,也面临着安全风险和挑战。
为确保医院信息系统安全稳定运行,保障患者和医院的信息安全,我国政府要求医院开展等级保护工作。
本文针对医院等保工作,提出了一套完整的解决方案。
二、医院等保工作背景及意义1. 背景根据《中华人民共和国网络安全法》和《信息安全技术信息系统安全等级保护基本要求》等法律法规,医院信息系统需要按照等级保护要求进行安全建设。
等级保护是指对信息系统进行安全等级划分,并采取相应的安全保护措施,确保信息系统安全稳定运行。
2. 意义(1)保障患者隐私:通过等保工作,加强医院信息系统安全管理,防止患者个人信息泄露,保护患者隐私。
(2)确保医疗救治:医院信息系统安全稳定运行,有利于提高医疗救治效率,降低医疗风险。
(3)提高医疗服务质量:通过等保工作,提升医院信息系统安全防护能力,为患者提供更加优质的医疗服务。
(4)降低医院运营成本:等保工作有助于提高医院信息系统安全防护水平,减少因安全事件导致的损失。
三、医院等保解决方案1. 等级保护体系(1)安全管理制度:建立健全医院信息系统安全管理制度,明确各级人员的安全责任,制定安全操作规范。
(2)安全组织机构:成立医院信息系统安全工作领导小组,负责统筹协调医院等保工作。
(3)安全技术人员:培养一支具备信息系统安全防护能力的专业团队,负责等保工作的实施和日常运维。
2. 安全技术措施(1)物理安全:加强医院信息系统的物理安全防护,如安装门禁系统、视频监控系统等,防止非法入侵。
(2)网络安全:采取防火墙、入侵检测系统、安全审计等措施,防止网络攻击和非法访问。
(3)主机安全:对服务器、工作站等主机进行安全加固,安装防病毒软件,定期进行安全漏洞扫描。
(4)数据安全:采用数据加密、访问控制等技术,保障数据安全,防止数据泄露和篡改。
XXX医院信息系统等保三级集成方案
XXX医院信息系统等级保护安全建设方案目录1方案概述 (6)1.1背景 (6)1.2方案设计目标 (9)1.3方案设计原则 (9)1.4方案设计依据 (10)2信息系统定级情况 (13)3安全需求分析 (14)3.1安全指标与需求分析 (14)4信息安全体系框架设计 (18)5管理体系整改方案 (19)5.1安全制度制定解决方案 (19)5.1.1策略结构描述 (19)5.1.2安全制度制定 (23)5.1.3满足指标 (23)5.2安全制度管理解决方案 (24)5.2.1安全制度发布 (24)5.2.2安全制度修改与废止 (25)5.2.3安全制度监督和检查 (25)5.2.4安全制度管理流程 (26)5.2.5满足指标 (30)5.3安全教育与培训解决方案 (31)5.3.1信息安全培训的对象 (32)5.3.2信息安全培训的内容 (33)5.3.3信息安全培训的管理 (34)5.3.4满足指标 (35)5.4人员安全管理解决方案 (36)5.4.1普通员工安全管理 (36)5.4.2安全岗位人员管理 (38)5.4.3满足指标 (44)5.5第三方人员安全管理解决方案 (46)5.5.1第三方人员短期访问安全管理 (47)5.5.2第三方人员长期访问安全管理 (48)5.5.3第三方人员访问申请审批流程信息表 (50)5.5.4第三方人员访问申请审批流程图 (52)5.5.5满足指标 (53)5.6系统建设安全管理解决方案 (54)5.6.1系统安全建设审批流程 (54)5.6.2项目立项安全管理 (55)5.6.3信息安全项目建设管理 (57)5.6.4满足指标 (63)5.7等级保护实施管理解决方案 (70)5.7.1信息系统描述 (72)5.7.2等级指标选择 (79)5.7.3安全评估与自测评 (82)5.7.4方案与规划 (87)5.7.5建设整改 (89)5.7.6运维 (94)5.7.7满足指标 (97)5.8软件开发安全管理解决方案 (100)5.8.1软件安全需求管理 (101)5.8.2软件设计安全管理 (102)5.8.3软件开发过程安全管理 (107)5.8.4软件维护安全管理 (110)5.8.5软件管理的安全管理 (111)5.8.6软件系统安全审计管理 (112)5.8.7满足指标 (113)5.9安全事件处置与应急解决方案 (114)5.9.1安全事件预警与分级 (115)5.9.2安全事件处理 (120)5.9.3安全事件通报 (126)5.9.4应急响应流程 (127)5.9.5应急预案的制定 (128)5.9.6满足指标 (142)5.10日常安全运维管理解决方案 (146)5.10.1运维管理 (146)5.10.2介质管理 (148)5.10.3恶意代码管理 (150)5.10.4变更管理管理 (151)5.10.5备份与恢复管理 (152)5.10.6设备管理管理 (156)5.10.7网络安全管理 (160)5.10.8系统安全管理 (164)5.10.9满足指标 (167)5.11安全组织机构设置解决方案 (184)5.11.1安全组织总体架构 (184)5.11.2满足指标 (189)5.12安全沟通与合作解决方案 (193)5.12.1沟通与合作的分类 (193)5.12.2风险管理不同阶段中的沟通与合作 (195)5.12.3满足指标 (197)5.13定期风险评估解决方案 (198)5.13.1评估方式 (199)5.13.2评估内容 (200)5.13.3评估流程 (202)5.13.4满足指标 (203)6技术体系整改方案 (204)6.1总体部署说明 (204)6.1.1内网网络部署方案 (204)6.1.2外网网络部署方案 (206)6.1.3DMZ数据交换区域部署方案 (207)6.2边界访问控制解决方案 (208)6.2.1需求分析 (208)6.2.2方案设计 (209)6.2.3方案效果 (211)6.2.4满足指标 (214)6.3边界入侵防御解决方案 (215)6.3.1需求分析 (215)6.3.2方案设计 (216)6.3.3方案效果 (220)6.3.4满足指标 (222)6.4网关防病毒解决方案 (223)6.4.1需求分析 (223)6.4.2方案设计 (224)6.4.3方案效果 (225)6.4.4满足指标 (226)6.5网络安全审计解决方案 (228)6.5.1需求分析 (228)6.5.2方案设计 (229)6.5.3方案效果 (238)6.5.4满足指标 (243)6.6漏洞扫描解决方案 (245)6.6.1需求分析 (245)6.6.2方案设计 (248)6.6.3方案效果 (253)6.6.4满足指标 (256)6.7应用监控解决方案 (258)6.7.1需求分析 (258)6.7.2方案设计 (258)6.7.3方案效果 (261)6.7.4满足指标 (263)6.8安全管理中心解决方案 (265)6.8.1需求分析 (265)6.8.2方案设计 (266)6.8.3方案效果 (285)6.8.4满足指标 (288)7技术体系符合性分析 (290)7.1物理安全 (290)7.2网络安全 (294)7.3主机安全 (301)7.4应用安全 (307)7.5数据安全与备份恢复 (313)8方案整体部图和初步预算 (315)8.1项目预算 (317)1方案概述1.1背景医院是一个信息和技术密集型的行业,其计算机网络是一个完善的办公网络系统,作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。
医院信息安全等级保护三级建设流程与要点
医院信息安全等级保护三级建设流程与要点1 背景随着医院尤其是三级甲等大型医院信息化的迅猛发展,医院信息系统已经深入到医疗的各个环节当中,一旦发生故障将严重影响医疗活动的顺利开展,因此信息安全工作得到了越来越多医院的重视。
信息安全等级保护是国家层面出台的针对信息安全分级保护的制度,其目的是保护重要信息系统的安全,提高信息系统防护能力和应急水平。
为了信息安全等级保护能够更好的在各医院实施,卫生部针对医疗行业的实际现状印发了《卫生行业信息安全等级保护工作的指导意见》的通知卫办发〔2011〕85号,此文件在信息安全保护和医疗行业信息安全管理之间起到承接桥梁的作用。
根据文件精神,三级甲等医院的核心业务信息系统安全保护等级原则上不低于第三级。
2 医院信息安全等级保护建设流程2.1 信息系统定级[1]信息系统定级主要考虑两方面,一是业务信息受到破坏时客体的是谁,二是对于客体的侵害程度如何。
两方面结合根据表1来制定本单位的具体哪个信息系统应该定位第几级。
表1针对三级甲等医院,因门诊量普遍较大,当在早间挂号、就诊等高峰时期会有大量患者排队挂号与就诊,当发生信息系统瘫痪后会造成大面积患者排队,极易引发群体事件。
因此,定义为对“社会秩序、公共利益”造成“严重损害”,即信息安全等级保护定级为第三级。
涉及的信息系统即与挂号、就诊等与门诊患者密切相关的系统。
2.2. 信息系统评审与备案按照等级保护管理办法和定级指南要求,在完成对本单位信息系统的自主定级后需要将业务系统自主定级结果提交卫生部审批。
在定级审批过程中,卫生部组织专家进行评审,并出具《审批意见》。
完成评审后,医院需要填写《信息系统安全等级保护备案表》和《信息系统安全等级保护定级报告》,备案表与报告范例可在“中国信息安全等级保护网”进行下载。
最后医院持评审意见、备案表、定级报告到所在地管辖区的市级以上公安机关办理备案手续,在拿到备案回执和审核结果通知后完成定级备案。
日照市中医医院信息安全三级等保项目[001]
![日照市中医医院信息安全三级等保项目[001]](https://img.taocdn.com/s3/m/944654fd162ded630b1c59eef8c75fbfc77d94c9.png)
日照市中医医院信息安全三级等保项目编号名称技术参数要求数量1病毒过滤网关(防毒墙)1、硬件配置:1U机架式机箱最大可支持26个接口,包括≥2个可插拨的扩展槽,≥4个SFP插槽≥6个10/100/1000BASE-T接口,电口具有至少两组BYPASS接口含3年病毒库升级服务许可(快速+深度)性能:整机吞吐率:≥3Gbps最大并发连接数≥220W病毒检测吞吐率≥900Mbps2、系统要求:设备必须为专业的防病毒网关产品,非防火墙/下一代防火墙、UTM、IPS等具有防病毒功能模块的产品,并出具网关防病毒类产品销售许可证书及公安部计算机病毒防治产品检验中心的检测报告;提供公安部颁发的计算机信息系统安全专用产品(网关防病毒类产品)销售许可证(增强级);3、要求基于多核多平台并行安全操作系统(提供证明);支持多核系统,提高硬件资源的利用率;4、病毒检测过滤功能具有双库双引擎病毒检测扫描技术,可选择使用不同的病毒库,而且能够根据不同的被检测协议选择采用不同的扫描引擎(快速扫描引擎或深度扫描引擎)(提供截图);5、能够防御病毒、木马、蠕虫、间谍软件等恶意软件,且支持对压缩数据、加壳病毒的检测与处理;支持对HTTP、FTP、POP3、SMTP、IMAP等常用协议进行病毒检测与过滤;可实时检测到日益泛滥的蠕虫攻击,并对其进行实时阻断,从而有效防止内部网络因遭受蠕虫攻击而陷于瘫痪支持IPv4和IPv6双栈协议的病毒扫描与过滤(提供截图),支持智能检测应用协议的病毒行为,采用自动智能方式准确识别并扫描检测常用应用协议任意端口的病毒传输行为,而非通过传统手动配置协议端口绑定形式进行病毒扫描(提供截图);6、★要求病毒检测率不低于98%,并提供国家专业病毒检测机构的证明;病毒库采用国际国内知名主流品牌病毒库,并提供两家及以上专业病毒厂商的授权证明文件;要求具有独立的蠕虫防护规则库,并可通过手动或自动方式进行升级(提供截图);病毒库提供商应通过VB100认证、病毒库提供商应通过ICSA认证(提供证明);7、要求病毒网关默认加载的流行病毒库总数大于600万,可本地化完成病毒地检测过滤与处理,无需发送到云端检测(提供截图);8、支持多接口旁路的病毒传输监听检测方式,可并行监听并检测多个网段内的病毒传输行为;支持多通道防护,可利用同一台病毒过滤网关的多条扫描通道对多个区域的网络实现病毒防护,在增强了安全性的同时还节省了企业的防护成本(提供截图);9、支持即时报表和定时报表,报表可在线查看也可导出word文档;支持病毒隔离功能,管理员可方便的管理隔离区,可选择把隔离区的内容删除,可选择将隔离内容发送到指定的多个邮箱进行后期的分析处理;当出现病毒突然爆发状况时,可向网络管理员发送报警信息,需支持邮件报警、声音报警、SNMP等报警方式;支持至少3个Syslog服务器,可将不同类型的日志发送到不同服务器(提供截图);10、资质要求:产品提供公安部颁发的计算机信息系统安全专用产品(网关防病毒类产品)销售许可证(增强级),病毒过滤网关IPv6Ready2资质认证;为保障产品和服务质量要求厂商具有:涉密信息系统集成甲级资质、电信级品质管理体系TL9000认证、中国国家信息安全漏洞库(CNNVD)一级技术支撑单位、国家互联网应急响应中心颁发的国家级网络安全应急服务支撑单位、ISCCC一级风险评估服务资质、ISCCC一级应急能力资质,以上资质要求提供证明文件复印件并加盖原厂公章。
三级等保安全建设实施方案
三级等保安全建设实施方案一、背景介绍1.项目概述:介绍安全建设项目的背景和目标。
2.业务描述:描述项目所涉及的业务和信息系统。
3.安全风险:分析当前信息系统存在的安全风险。
二、安全建设目标1.安全需求分析:根据三级等保要求,确定安全建设的目标和需求。
2.安全目标:明确安全建设的具体目标。
三、安全建设方案1.系统安全管理-设立安全管理机构和人员:明确安全管理的职责和人员分工。
-制定安全管理制度:制定信息安全管理制度和安全操作规范。
-建立安全保密制度:确保信息系统安全和保密。
2.安全技术措施-访问控制:建立严格的身份验证和访问控制机制。
-加密技术:对重要数据和通信进行加密处理。
-安全审计:建立安全审计机制,对系统进行实时监控和审计。
-漏洞管理:定期进行漏洞扫描和修复。
-应急响应:建立完善的应急响应机制。
3.安全运维措施-安全设备管理:规划和管理防火墙、入侵检测系统等安全设备。
-安全事件响应:建立安全事件的处理流程和响应机制。
-安全备份和恢复:制定完备的数据备份和灾难恢复计划。
-安全培训和教育:进行定期的安全培训和教育活动,提高员工的安全意识。
-安全评估:定期进行安全评估,发现和修复系统的安全问题。
4.安全监控措施-系统日志管理:建立系统日志的收集、存储和分析机制。
-安全事件监控:建立安全事件的实时监控机制。
-安全预警和响应:建立安全事件的预警和响应机制。
-安全漏洞监控:根据外部威胁动态,及时发现并修复系统的安全漏洞。
四、安全建设实施计划1.安全建设阶段划分:将整个安全建设过程分为几个阶段,并明确每个阶段的目标和任务。
2.安全建设时间计划:制定详细的安全建设时间计划。
3.安全建设资源计划:确定安全建设所需的人力、物力和财力资源。
4.安全建设风险管理计划:制定风险管理计划,针对安全建设过程中的风险进行评估、控制和应对。
五、安全建设实施步骤和方法1.安全需求分析:对当前系统的安全需求进行详细分析和确认。
2.安全建设规划:制定详细的安全建设规划,明确安全建设的目标、任务和时间计划。
妇幼保健院信息系统等级保护三级等保信息化建设方案
妇幼保健院信息系统等级保护三级等保信息化建设方案妇幼保健院信息系统网络安全等级保护三级建设方案北京XX科技有限公司2020年2月目录第1章方案概述 (5)1.1 背景 (5)1.2 方案设计目标 (7)1.3 方案设计原则 (8)1.4 方案设计依据 (9)第2章信息系统定级情况 (12)第3章安全需求分析 (13)3.1 安全指标与需求分析 (13)第4章信息安全体系框架设计 (16)第5章管理体系整改方案 (17)5.1 安全制度制定解决方案 (17)5.1.1 策略结构描述 (17)5.1.2 安全制度制定 (20)5.1.3 满足指标 (21)5.2 安全制度管理解决方案 (21)5.2.1 安全制度发布 (21)5.2.2 安全制度修改与废止 (22)5.2.3 安全制度监督和检查 (22)5.2.4 安全制度管理流程 (23)5.2.5 满足指标 (26)5.3 安全教育与培训解决方案 (27)5.3.1 信息安全培训的对象 (27)5.3.2 信息安全培训的内容 (28)5.3.3 信息安全培训的管理 (29)5.3.4 满足指标 (30)5.4 人员安全管理解决方案 (30)5.4.1 普通员工安全管理 (30)5.4.2 安全岗位人员管理 (32)5.4.3 满足指标 (37)5.5 第三方人员安全管理解决方案 (37)5.5.1 第三方人员短期访问安全管理 (38)5.5.2 第三方人员长期访问安全管理 (39)5.5.3 第三方人员访问申请审批流程信息表 (41) 5.5.4 第三方人员访问申请审批流程图 (42) 5.5.5 满足指标 (42)5.6 系统建设安全管理解决方案 (43)5.6.1 系统安全建设审批流程 (43)5.6.2 项目立项安全管理 (45)5.6.3 信息安全项目建设管理 (47)5.6.4 满足指标 (53)5.7 等级保护实施管理解决方案 (57)5.7.1 信息系统描述 (59)5.7.2 等级指标选择 (68)5.7.3 安全评估与自测评 (71)5.7.4 方案与规划 (77)5.7.5 建设整改 (79)5.7.6 运维 (84)5.7.7 满足指标 (87)5.8 软件开发安全管理解决方案 (88)5.8.1 软件安全需求管理 (89)5.8.2 软件设计安全管理 (91)5.8.3 软件开发过程安全管理 (96)5.8.4 软件维护安全管理 (99)5.8.5 软件管理的安全管理 (101)5.8.6 软件系统安全审计管理 (102)5.8.7 满足指标 (103)5.9 安全事件处置与应急解决方案 (103)5.9.1 安全事件预警与分级 (104)5.9.2 安全事件处理 (110)5.9.3 安全事件通报 (116)5.9.4 应急响应流程 (118)5.9.5 应急预案的制定 (119)5.9.6 满足指标 (133)5.10 日常安全运维管理解决方案 (135)5.10.1 运维管理 (135)5.10.2 介质管理 (137)5.10.3 恶意代码管理 (139)5.10.4 变更管理管理 (141)5.10.5 备份与恢复管理 (143)5.10.6 设备管理管理 (147)5.10.7 网络安全管理 (152)5.10.8 系统安全管理 (156)5.10.9 满足指标 (160)5.11 安全组织机构设置解决方案 (168)5.11.1 安全组织总体架构 (168)5.11.2 满足指标 (174)5.12 安全沟通与合作解决方案 (176)5.12.1 沟通与合作的分类 (176)5.12.2 风险管理不同阶段中的沟通与合作 (178) 5.12.3 满足指标 (179)5.13 定期风险评估解决方案 (180)5.13.1 评估方式 (181)5.13.2 评估内容 (182)5.13.3 评估流程 (184)5.13.4 满足指标 (186)第6章技术体系整改方案 (188)6.1.1 内网网络部署方案 (188)6.1.2 外网网络部署方案 (190)6.1.3 DMZ数据交换区域部署方案 (191) 6.2 边界访问控制解决方案 (193)6.2.1 需求分析 (193)6.2.2 方案设计 (194)6.2.3 方案效果 (196)6.2.4 满足指标 (199)6.3 边界入侵防御解决方案 (200)6.3.1 需求分析 (200)6.3.2 方案设计 (201)6.3.3 方案效果 (205)6.3.4 满足指标 (207)6.4 网关防病毒解决方案 (208)6.4.1 需求分析 (208)6.4.2 方案设计 (209)6.4.3 方案效果 (211)6.4.4 满足指标 (211)6.5 网络安全审计解决方案 (213)6.5.1 需求分析 (213)6.5.2 方案设计 (214)6.5.3 方案效果 (224)6.5.4 满足指标 (229)6.6 漏洞扫描解决方案 (232)6.6.1 需求分析 (232)6.6.2 方案设计 (235)6.6.3 方案效果 (241)6.6.4 满足指标 (245)6.7 应用监控解决方案 (246)6.7.1 需求分析 (246)6.7.2 方案设计 (246)6.7.3 方案效果 (249)6.7.4 满足指标 (252)6.8 安全管理中心解决方案 (253) 6.8.1 需求分析 (253)6.8.2 方案设计 (254)6.8.3 方案效果 (276)6.8.4 满足指标 (279)第7章技术体系符合性分析 (282) 7.1 物理安全 (282)7.2 网络安全 (287)7.3 主机安全 (295)7.4 应用安全 (302)7.5 数据安全与备份恢复 (309)8.1 工程一期建设 (312)8.1.1 区域划分 (312)8.1.2 网络环境改造 (313)8.1.3 网络边界安全加固 (313) 8.1.4 网络及安全设备部署 (314) 8.1.5 安全管理体系建设服务 (351) 8.1.6 安全加固服务 (369)8.1.7 应急预案和应急演练 (376) 8.1.8 安全等保认证协助服务 (376) 8.2 工程二期建设 (377)8.2.1 安全运维管理平台(soc) (377)8.2.2 APT高级威胁分析平台 (381)8.3 产品清单 (383)第9章方案整体部图和初步预算 (384)9.1 项目预算 (385)第1章方案概述1.1背景医院是一个信息和技术密集型的行业,其计算机网络是一个完善的办公网络系统,作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。
等级保护技术方案大学附属医院三级
等级保护技术方案大学附属医院三级一、背景与意义信息化发展加速了医院信息化建设的步伐,同时也带来了安全风险的增加。
医院大量的电子病历、医疗影像、医疗设备等重要信息资产,成为了黑客攻击、病毒入侵等信息泄露、篡改、破坏的目标。
因此,加强医院信息安全管理,提高信息安全意识,强化信息安全技术保障,成为了当前医院信息化建设的紧迫需求。
等级保护是信息安全保护的一种常见手段,其本质就是通过在信息系统中设置不同的安全级别和安全控制措施,对信息系统和信息资源实现层次化、分类保护,以达到充分保障医院信息安全的目的。
本文就大学附属医院等级保护技术方案进行探讨。
二、等级保护技术方案的基本要素1. 信息系统安全等级的划分为了实现信息安全保护,需要根据医院信息系统的安全需求和实际情况,对各个信息系统进行分类划分,确定适当的信息安全等级,不同的安全等级需要采取相应的安全措施。
2. 安全技术措施等级保护方案中的技术措施包括访问控制、加密技术、防火墙、入侵检测等等。
比如可采用网络隔离技术和密钥加密技术实现机密级信息的保护;采用访问控制技术和防火墙技术实现重要级信息的保护;采用漏洞扫描技术、安全审计技术和入侵检测技术等实现医院信息系统的实时监控。
3. 安全管理制度建立科学完备的信息安全管理制度是实施等级保护技术方案的前提,包括安全操作规程、紧急事件应急预案、安全监控与维护等制度。
4. 安全管理人员安全管理人员是医院信息安全的担当者,需要具备相关的技能和知识,负责实施各项安全技术措施。
同时需要进行有效的安全培训,提高员工和用户的信息安全意识。
三、技术方案的设计与实现在大学附属医院信息系统中,需要对不同等级的信息实施不同的安全保护级别。
1. 机密级信息保护对机密级信息需要采用严格的安全措施,包括密码、数字证书、数据加密等技术,实现信息传输、存储的高度安全保障。
同时,需要采用网络隔离技术,将机密级信息隔离在独立的网络中,避免机密信息泄漏。
××医院等级保护(等保三级)建设方案(医院等保)
××医院等级保护(三级)建设方案目录1项目概述 (5)2等级保护建设流程 (6)3方案参照标准 (8)4信息系统定级 (9)4.1.1定级流程 (9)4.1.2定级结果 (10)5系统现状分析 (12)5.1机房及配套设备现状分析 (12)5.2计算环境现状分析 (12)5.3区域边界现状分析 (14)5.4通信网络现状分析 ........................................................................ 错误!未定义书签。
5.5安全管理中心现状分析 ................................................................ 错误!未定义书签。
6安全风险与差距分析 . (15)6.1物理安全风险与差距分析 (15)6.2计算环境安全风险与差距分析 (16)6.3区域边界安全风险与差距分析 (18)6.4通信网络安全风险与差距分析 (20)6.5安全管理中心差距分析 (21)7技术体系方案设计 (22)7.1方案设计目标 (22)7.2方案设计框架 (22)7.3安全域的划分 (24)7.3.1安全域划分的依据 (24)7.3.2安全域划分与说明 (25)7.4安全技术体系设计 (26)7.4.1机房与配套设备安全设计 (26)7.4.2计算环境安全设计 (27)7.4.2.1身份鉴别 (27)7.4.2.2访问控制 (28)7.4.2.3系统安全审计 (29)7.4.2.4入侵防范 (30)7.4.2.5主机恶意代码防范 (31)7.4.2.6软件容错 (32)7.4.2.7数据完整性与保密性 (32)7.4.2.8备份与恢复 (34)7.4.2.9资源控制 (35)7.4.2.10客体安全重用 (36)7.4.2.11抗抵赖 (37)7.4.2.12不同等级业务系统的隔离与互通 (37)7.4.3区域边界安全设计 (38)7.4.3.1边界访问控制入侵防范恶意代码防范与应用层防攻击 (38)7.4.3.2流量控制 (40)7.4.3.3边界完整性检查 (42)7.4.3.4边界安全审计 (42)7.4.4通信网络安全设计 (44)7.4.4.1网络结构安全 (44)7.4.4.2网络安全审计 (46)7.4.4.3网络设备防护 (47)7.4.4.4通信完整性与保密性 (47)7.4.4.5网络可信接入 (48)7.4.5安全管理中心设计 (49)7.4.5.1系统管理 (50)7.4.5.2审计管理 (51)7.4.5.3监控管理 (52)8安全管理体系设计 (53)9系统集成设计 (55)9.1软硬件产品部署图 (55)9.2应用系统改造 (55)9.3采购设备清单 ................................................................................ 错误!未定义书签。
等级保护技术方案-XX大学附属XX医院-三级
等级保护技术方案-XX大学附属XX医院-三级随着医疗技术的发展和人们对医疗水平的要求越来越高,医院的安全问题日益凸显。
尤其是在传染病和医源性感染的控制上,医疗机构存在较大的风险和挑战。
因此,医院等级保护技术方案的制定至关重要,可以有效提升医院的安全性和服务质量。
一、XX大学附属XX医院概况XX大学附属XX医院位于XX市,是一所集医疗、教学、科研为一体的大型综合医院。
医院现有三级综合医院、心血管中心、肿瘤中心、神经中心、泌尿外科中心、心胸外科中心、骨科中心、眼科中心、康复医学中心等临床科室,设备先进、技术力量雄厚、医疗技术处于先进水平。
二、存在的问题及风险分析作为一家三级综合医院,XX大学附属XX医院的医疗标准和服务质量一直处于较高水平,得到了广大患者的信任和支持。
但是,随着医疗机构的不断发展和升级,医院面临着一些风险和问题:1. 科室隔离不够严格,行政区域和医疗区域存在交叉污染的嫌疑。
2. 员工防护意识不足,容易在医疗过程中出现污染和感染,给患者和自己都带来安全隐患。
3. 医疗设备管理不规范,存在一定的漏洞和风险。
4. 对于传染病和医源性感染的防控措施不充分,存在一定的安全隐患和管理漏洞。
针对以上问题,医院需要制定针对性的防控措施和方案,保障患者和医护人员的安全。
三、等级保护技术方案1. 医院科室隔离管理方案(1)行政区域和医疗区域隔离明确,科室之间相互独立,禁止交叉进出。
(2)为每个科室设立专门的进出口,严禁非科室人员进入。
(3)在进入医疗区域时,所有人员都需要进行身份验证和体温检测,并佩戴口罩、手套等防护用具。
(4)每个科室需要有专门的消毒区和净化区,保证患者和医护人员的安全和健康。
2. 员工防护管理方案(1)由医院制定防护培训方案,对新员工和老员工进行定期培训。
(2)所有医务人员都需要在接触患者前进行手卫生,佩戴口罩等防护用品。
(3)严格监督医护人员在操作过程中是否遵守操作规程,减少医源性感染。
三级等保安全建设方案
三级等保安全建设方案一、安全评估与风险识别为了确保信息系统建设的安全性,首先需要进行安全评估与风险识别。
该评估包括对整个信息系统的漏洞、威胁以及可能存在的风险进行全面的识别和评估,以便及时采取相应的安全措施进行防范和修复。
二、网络设备安全1.仅允许授权人员进入后台管理系统,设置严格的权限控制和访问控制机制,确保只有授权的人员可以进行管理和操作。
2.定期对网络设备进行漏洞扫描和安全评估,及时修补漏洞,防止黑客利用系统漏洞进行攻击。
3.配置防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)等安全设备,及时监测和阻止未授权的网络访问。
三、操作系统安全1.及时更新操作系统的安全补丁,确保系统不会受到已知的漏洞的攻击。
2.禁用不必要的系统服务和端口,减少系统暴露的攻击面。
3.配置安全策略,限制用户权限和访问控制,防止未授权的操作和数据泄漏。
四、数据库安全1.确保数据库系统安装在专用的服务器上,与其他系统隔离,防止攻击者通过数据库漏洞入侵系统。
2.配置强密码策略,限制用户的访问权限和操作权限。
3.定期备份数据库,并将备份文件存储在安全可靠的地方,以应对系统故障和数据丢失。
五、应用安全1.对所有应用进行安全测试,发现并修复潜在的安全漏洞。
2.配置安全策略,限制用户权限和访问控制,防止恶意用户的非法操作。
3.定期更新应用程序的版本和补丁,确保应用程序不会受到已知的漏洞的攻击。
六、物理安全1.建立严格的访问控制机制,限制只有授权人员才能进入机房和服务器房间。
2.安装监控摄像头和门禁系统,监控机房和服务器房间的安全状况。
3.定期检查并维护机房和服务器房间的设备,确保设备的稳定运行。
七、员工安全意识培训1.定期开展关于信息安全的培训,提高员工的安全意识和技能。
2.强调密码的重要性,鼓励员工使用复杂、安全的密码,并定期更换密码。
3.加强员工对威胁和风险的认识,教育员工警惕各种网络诈骗和社交工程攻击。
八、应急响应与恢复1.建立应急响应机制,及时发现和应对安全事件和漏洞。
2023-医院等保建设基本思路方案-1
医院等保建设基本思路方案
医院等保建设基本思路方案的制定是保障医疗安全和提高医疗质量的
重要保障措施之一。
下面将分步骤阐述医院等保建设基本思路方案。
第一步,建立医院等保制度体系。
这是医院等保建设的重要基础,制
定医院等保制度要注意的是要考虑医院的特殊性,采取可实施化的方案,确保医生和护士能够操作自如,彻底保证了医患安全。
第二步,提高团队素质。
医疗技术的不断更新和升级,需要医院团队
的专业素质不断提升,使医疗团队能够有效预判医疗安全隐患,避免
患者发生医疗各种意外情况,提高医疗质量。
第三步,优化设备和环境。
改善医院内部和外部的建筑布局,优化医
院的环境,在设备的配置方面,按照国家对医疗设备的要求进行规划
选配。
优化环境会极大的提高患者的就诊体验,增加医院的信誉度,
以达到提高医疗质量的目的。
第四步,建立医疗药品保障机制。
在医院等保建设中,医疗药品保障
机制非常重要。
医院要细化药品管理制度,确保药品的进货来源与质
量保证;严格执行药品管理制度,防止药品污染和缺货现象,减少药
品缺陷发生的概率。
第五步,加强医疗安全培训。
对医务工作者加强医疗安全教育和培训,提高医务工作者察觉异样的能力,让医务人员能够提高医疗安全警惕性,减少医疗事故的发生率。
总之,医院等保建设是一个系统工程,需要系统思维,全面考虑医疗
保障的各个方面,方案的制定需要时加强实施的调整修正。
以上是该
方案的几个核心思路,只有医院积极采取措施,在各个方面加强管理,才能有效地提高医疗质量,并为患者提供优质可靠的医疗服务。
三级等保全方案设计
三级等保全方案设计一、背景介绍随着信息化时代的到来,网络安全问题日益突出,各类黑客攻击、数据泄漏等事件频繁发生,给社会带来了巨大的损失。
为了保护关键信息基础设施的安全,国家提出了等级保护制度,其中三级等保是最高等级的保护要求。
本文将针对三级等保制度,设计一套全面的安全方案。
二、三级等保要求三级等保要求包括了安全管理、安全技术、安全设备、安全运维四个方面的内容。
具体要求如下:1. 安全管理:建立健全的安全组织架构,明确安全责任,制定安全管理制度和规范。
开展安全培训,提高员工的安全意识和技能。
建立安全事件响应机制,及时处理和处置安全事件。
2. 安全技术:采用先进的安全技术手段,包括入侵检测系统、防火墙、安全加密技术等,保护系统和数据的安全。
对系统进行漏洞扫描和安全评估,及时修补漏洞和强化系统安全性。
3. 安全设备:建立安全设备台账,对重要的安全设备进行统一管理。
确保安全设备的正常运行和及时升级。
对安全设备进行监控和日志审计,发现异常情况及时报警并进行处置。
4. 安全运维:建立安全运维流程,制定安全运维规范和操作手册。
对系统和设备进行定期维护和巡检,确保其正常运行。
对安全事件进行跟踪和分析,总结经验教训,不断完善安全运维体系。
三、具体方案设计基于三级等保要求,设计如下三级等保全方案:1. 安全管理方案(1)建立安全组织架构,明确责任分工,设立安全管理部门,配备专职安全人员。
(2)制定安全管理制度和规范,包括密码管理、权限管理、网络访问控制等,确保安全政策的执行。
(3)定期开展安全培训,提高员工的安全意识和技能,加强安全文化建设。
(4)建立安全事件响应机制,设立安全应急小组,及时处置安全事件,减少损失。
2. 安全技术方案(1)采用入侵检测系统(IDS)和入侵防御系统(IPS),实时监控网络流量,发现并阻止潜在的攻击行为。
(2)配置防火墙,对网络流量进行过滤和控制,保护系统免受未经授权的访问。
(3)采用安全加密技术,对重要数据进行加密存储和传输,防止数据泄漏和篡改。
医院信息安全等级保护三级建设流程与要点
医院信息安全等级保护三级建设流程与要点1 背景随着医院尤其是三级甲等大型医院信息化的迅猛发展,医院信息系统已经深入到医疗的各个环节当中,一旦发生故障将严重影响医疗活动的顺利开展,因此信息安全工作得到了越来越多医院的重视。
信息安全等级保护是国家层面出台的针对信息安全分级保护的制度,其目的是保护重要信息系统的安全,提高信息系统防护能力和应急水平。
为了信息安全等级保护能够更好的在各医院实施,卫生部针对医疗行业的实际现状印发了《卫生行业信息安全等级保护工作的指导意见》的通知卫办发〔2011〕85号,此文件在信息安全保护和医疗行业信息安全管理之间起到承接桥梁的作用。
根据文件精神,三级甲等医院的核心业务信息系统安全保护等级原则上不低于第三级。
2 医院信息安全等级保护建设流程2.1 信息系统定级[1]信息系统定级主要考虑两方面,一是业务信息受到破坏时客体的是谁,二是对于客体的侵害程度如何。
两方面结合根据表1来制定本单位的具体哪个信息系统应该定位第几级。
表1针对三级甲等医院,因门诊量普遍较大,当在早间挂号、就诊等高峰时期会有大量患者排队挂号与就诊,当发生信息系统瘫痪后会造成大面积患者排队,极易引发群体事件。
因此,定义为对“社会秩序、公共利益”造成“严重损害”,即信息安全等级保护定级为第三级。
涉及的信息系统即与挂号、就诊等与门诊患者密切相关的系统。
2.2. 信息系统评审与备案按照等级保护管理办法和定级指南要求,在完成对本单位信息系统的自主定级后需要将业务系统自主定级结果提交卫生部审批。
在定级审批过程中,卫生部组织专家进行评审,并出具《审批意见》。
完成评审后,医院需要填写《信息系统安全等级保护备案表》和《信息系统安全等级保护定级报告》,备案表与报告范例可在“中国信息安全等级保护网”进行下载。
最后医院持评审意见、备案表、定级报告到所在地管辖区的市级以上公安机关办理备案手续,在拿到备案回执和审核结果通知后完成定级备案。
某市医院三级等保建设方案
某市三院医疗信息系统安全三级等保建设方案2012-09-25目录1 、某市三院医疗信息系统现状分析 (4)1.1系统现状 (4)2 、某市三院医疗信息系统潜在风险 (4)2.1黑客入侵造成的破坏和数据泄露 (4)2.2医疗信息系统漏洞问题 (5)2.3数据库安全审计问题 (5)2.4平台系统安全配置问题 (6)3、某市三院医疗信息系统安全需求分析 (6)3.1医疗信息系统建设安全要求 (6)3.2医疗等级保护要求分析 (7)3.3系统安全分层需求分析 (11)3.4虚拟化、云计算带来的安全问题分析 (18)4、医疗信息系统安全保障体系设计 (21)4.1安全策略设计 (21)4.2安全设计原则 (22)4.3等级保护模型 (23)4.4系统建设依据 (24)4.5遵循的标准和规范 (25)5、安全管理体系方案设计 (25)5.1组织体系建设建议 (25)5.2管理体系建设建议 (26)6、安全服务体系方案设计 (28)6.1预警通告 (28)6.2技术风险评估 (29)6.3新上线系统评估 (29)6.4渗透测试 (29)6.5安全加固 (30)6.6虚拟化安全加固服务 (30)6.7应急响应 (31)7、安全技术体系方案设计 (32)7.1物理层安全 (32)7.2网络层安全 (32)7.3主机层安全 (36)7.4应用层安全 (40)7.5数据层安全 (43)7.6虚拟化、云计算安全解决方案 (46)8、平台安全建设方案小结 (47)8.1安全产品汇总 (48)8.2产品及服务选型 (51)1、某市三院医疗信息系统现状分析1.1系统现状某市第三人民医院(以下简称某三院)作为三级甲等医院,已经建成全院网络覆盖,医院内网已覆盖行政楼、老病房1/2F、门诊一期、门诊二期以及门诊一期中心机房,医院外网与新农合、市社保机构互联。
医院内网采用“核心-接入”二层交换架构,行政楼、病房、门诊通过接入交换机连接至中心机房核心交换机。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
某市三院医疗信息系统安全三级等保建设方案2012-09-25目录1 、某市三院医疗信息系统现状分析 (4)1.1拓扑图 (4)1.2网站/BS应用现状........................... 错误!未定义书签。
1.3漏洞扫描.................................. 错误!未定义书签。
1.4边界入侵保护 .............................. 错误!未定义书签。
1.5安全配置加固 .............................. 错误!未定义书签。
1.6密码账号统一管理........................... 错误!未定义书签。
1.7数据库审计、行为审计........................ 错误!未定义书签。
1.8上网行为管理 .............................. 错误!未定义书签。
2 、某市三院医疗信息系统潜在风险 (4)2.1黑客入侵造成的破坏和数据泄露 (4)2.2医疗信息系统漏洞问题 (5)2.3数据库安全审计问题 (6)2.4平台系统安全配置问题 (6)2.5平台虚拟化、云化带来的新威胁................. 错误!未定义书签。
3、某市三院医疗信息系统安全需求分析 (7)3.1医疗信息系统建设安全要求 (7)3.2医疗等级保护要求分析 (8)3.3系统安全分层需求分析 (11)3.4虚拟化、云计算带来的安全问题分析 (18)4、医疗信息系统安全保障体系设计 (22)4.1安全策略设计 (22)4.2安全设计原则 (23)4.3等级保护模型 (24)4.4系统建设依据 (25)4.5遵循的标准和规范 (26)5、安全管理体系方案设计 (26)5.1组织体系建设建议 (26)5.2管理体系建设建议 (27)6、安全服务体系方案设计 (29)6.1预警通告 (29)6.2技术风险评估 (29)6.3新上线系统评估 (30)6.4渗透测试 (30)6.5安全加固 (30)6.6虚拟化安全加固服务 (31)6.7应急响应 (32)7、安全技术体系方案设计 (33)7.1物理层安全 (33)7.2网络层安全 (33)7.3主机层安全 (37)7.4应用层安全 (41)7.5数据层安全 (44)7.6虚拟化、云计算安全解决方案 (47)8、平台安全建设方案小结 (48)8.1安全产品汇总 (49)8.2产品及服务选型 (52)1、某市三院医疗信息系统现状分析1.1系统现状某市第三人民医院(以下简称某三院)作为三级甲等医院,已经建成全院网络覆盖,医院内网已覆盖行政楼、老病房1/2F、门诊一期、门诊二期以及门诊一期中心机房,医院外网与新农合、市社保机构互联。
医院内网采用“核心-接入”二层交换架构,行政楼、病房、门诊通过接入交换机连接至中心机房核心交换机。
HIS、LIS系统作为三院核心业务系统直接部署在中心机房,系统服务器直接挂载在中心机房核心交换机上。
近期三院将在中心机房区域部署一套电子病历系统已完善三院医疗信息系统。
在出口方向,医院有两条出口与外网互联,一条通过防火墙完成与新农合、市医保机构的互联,另一条通过ISA服务器接入互联网。
2、某市三院医疗信息系统潜在风险2.1黑客入侵造成的破坏和数据泄露随着医疗信息化的普及,个人信息逐渐以电子健康档案、电子病历和电子处方为载体,其中包括了个人在疾病控制、体检、诊断、治疗、医学研究过程中涉及到的肌体特征、健康状况、遗传基因、病史病历等个人信息。
其中个人医疗健康信息的秘密处于隐私权的核心部位,而保障病人的隐私安全是医院和医护人员的职责。
某市三院医疗信息系统某市三院中心机房汇集了大量的病人隐私信息,而这些数据在传输过程中极易被窃取或监听。
同时基于电子健康档案和电子病历大量集中存储的情况,一旦系统被黑客控制,可能导致病人隐私外泄,数据恶意删除和恶意修改等严重后果。
病人隐私信息外泄将会给公民的生活、工作以及精神方面带来很大的负面影响和损失,同时给平台所辖区域造成不良社会影响,严重损害机构的公共形象,甚至可能引发法律纠纷。
而数据的恶意删除和篡改会导致电子健康档案和电子病历的丢失以及病人信息的错误,给医护人员的工作造成影响,甚至可能引发医疗事故。
另一方面,随着便携式数据处理和存储设备的广泛应用,由于设备丢失而导致的数据泄漏威胁也越来越严重。
因此电子健康档案和电子病历数据作为卫生平台某市三院中心机房的重要资产,必须采取有效措施以防止物理上的丢失和黑客监听、入侵行为造成的破坏,保证数据的保密性,安全性和可用性。
2.2医疗信息系统漏洞问题自计算机技术的出现以来,由于技术发展局限、编码错误等种种原因,漏洞无处不在并且已成为直接或间接威胁系统和应用程序的脆弱点。
操作系统和应用程序漏洞能够直接威胁数据的完整性和机密性,流行蠕虫的传播通常也依赖与严重的安全漏洞,黑客的主动攻击也往往离不开对漏洞的利用。
事实证明,99%以上攻击都是利用已公布并有修补措施但用户未修补的漏洞。
某市三院医疗信息系统某市三院中心机房建设涉及到大量的网络设备,服务器,存储设备,主机等,其中不可避免地存在着可被攻击者利用的安全弱点和漏洞,主要表现在操作系统、网络服务、TCP/IP协议、应用程序(如数据库、浏览器等)、网络设备等几个方面。
正是这些弱点给蓄意或无意的攻击者以可乘之机,一旦系统的漏洞利用成功,势必影响到系统的稳定、可靠运行,更严重的导致系统瘫痪和数据丢失,从而影响平台的公众形象。
因此能够及时的发现和修补漏洞对于平台某市三院中心机房网络安全有着重要意义。
另一方面,基于某市三院中心机房设备、系统、应用量大的情况,通过人工进行漏洞发现和修补非常耗费人力和时间,因此有必要借助漏洞扫描设备和补丁服务器机制来实现自动化的漏洞扫描和补丁下发。
2.3数据库安全审计问题医疗行业信息化建设在带来各种便捷的同时也引入了新的隐患。
随着病人信息和药品信息的数据化,加之内部安全管理制度不够完善,医疗机构内部运维人员可以借助自身职权,利用数据库操作窃取药品统方信息,修改药品库存数据,修改医保报销项目等,来牟取个人私利。
其中药品统方行为是医疗行业高度重视的问题,其背后涉及的药品和医用耗材灰色交易严重扰乱医疗行业秩序,败坏医德医风,影响医院的公众形象,是医疗机构必须坚决制止和查处的行为。
其次修改药品库存信息和修改医保报销项目等行为也会给医疗机构和社会造成损失。
某市三院医疗信息系统某市三院中心机房汇集的两大应用系统(HIS、LIS)和即将建设的电子病历数据库涉及医疗行业的各方面信息,内部人员的违规操作可能造成严重的社会影响和给医疗机构造成重大损失。
因此有必要通过有效手段对数据库的各种操作进行审计,准确记录各种操作的源、目的、时间、结果等,及时发现各种业务上的违规操作并进行告警和记录,同时提供详细的审计记录以便事后进行追查。
2.4平台系统安全配置问题随着公共卫生,医疗服务,医疗监管,综合管理,新农合五大业务的应用系统不断发展,医疗信息系统应用不断增加,网络规模日益扩大,其管理、业务支撑系统的网络结构也变得越来越复杂,各项系统的使用和配置也变得十分复杂,维护和检查成为一项繁重的工作。
在医疗行业里,随着各类通信和IT设备采用通用操作系统、通用数据库,及各类设备间越来越多的使用IP协议进行通信,其配置安全问题更为凸出。
在黑客攻击行为中,利用系统缺省、未修改的安全配置攻入系统已屡见不鲜,因此,加强对网元配置的安全防护成为重点。
其中,重要应用和服务器的数量及种类日益增多,一旦发生维护人员误操作,或者采用一成不变的初始系统设置而忽略了对于安全控制的要求,就可能会极大的影响系统的正常运转。
另外,为了维持整个业务系统生命周期信息安全,必须从入网测试、工程验收和运行维护等阶段,设备全生命周期各个阶段加强和落实信息安全要求,也需要有一种方式进行风险的控制和管理。
3、某市三院医疗信息系统安全需求分析3.1医疗信息系统建设安全要求基于医疗信息系统信息平台的可靠安全的运行不仅关系到某市三院中心机房本身的运行,还关系其他业务部门相关系统的运行,因此它的网络,主机,存储备份设备,系统软件,应用软件等部分应该具有极高的可靠性;同时为保守企业和用户秘密,维护企业和用户的合法权益,某市三院中心机房应具备良好的安全策略,安全手段,安全环境及安全管理措施。
众所周知,信息系统完整的安全体系包括以下四个层次,最底层的是物理级安全,其包括计算机安全,硬件安全等,其次是网络级安全,主要包括链路冗余,防火墙等等,再次是系统级安全包括数据灾备,病毒防范等,最后是应用级安全包括统一身份认证,统一权限管理等,而贯穿整个体系的是安全管理制度和安全标准,以实现非法用户进不来,无权用户看不到,重要内容改不了,数据操作赖不掉。
整个平台的安全体系如下图:平台安全体系结构图3.2医疗等级保护要求分析医疗机构作为涉及国计民生的重要组成部分,其安全保障事关社会稳定,有必要按照国家信息安全等级保护要求,全面实施信息安全等级保护。
卫生信息平台的核心数据区、应用服务区及系统运维参照公安部、国家保密局、国家密码管理局、国务院信息化办公室联合印发的《信息安全等级保护管理办法》(公通字[2007]43号)的要求,数据交换服务区参照二级信息安全等级保护要求建设、核心部分参照三级信息安全等级保护要求建设。
3.2.2等级保护技术要求3.3系统安全分层需求分析根据《基于健康档案的区域卫生信息平台建设指南》中的安全要求部分,并参照等级保护三级的技术要求,通过风险分析及信息安全建设情况调研,确认以下安全需求:3.3.1物理层安全需求某市三院中心机房是整个三级医疗信息系统平台的关键节点,是系统运行的基础,因此必须保证物理环境的安全,主要包括以下几个方面:信息基础设备应安置在专用的机房,具有良好的电磁兼容工作环境,包括防磁、防尘、防水、防火、防静电、防雷保护,抑制和防止电磁泄漏;机房环境应达到国家相关标准;关键设备应有冗余后备系统;具有足够容量的UPS后备电源;电源要有良好的接地。
3.3.2网络层安全需求结构安全:应保证网络各个部分的带宽满足业务高峰期需要;应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
访问控制:应在网络边界部署访问控制设备,启用访问控制功能;重要网段应采取技术手段防止地址欺骗;应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;应限制具有拨号访问权限的用户数量。