洛阳第一人民医院网络安全建设方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
洛阳第一人民医院网络安全建设方案■文档编号■密级限制分发
■版本编号■日期
? 2020 绿盟科技■版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
■版本变更记录
时间版本说明修改人
■适用性声明
本文档适用于医院安全建设项目使用。
目录
一. 背景概述
洛阳市第一人民医院是洛阳市建院最早、具有百年发展历史的市级现代化综合性三级医院,洛阳市唯一一家“红十字医院”;1995年被国家卫生部授予“爱婴医院”称号;1999年被国家卫生部授予“国际紧急救援网络中心”医院;2006年被授予“洛阳市康复医院”。
洛阳市第一人民医院位于洛阳市中州大道,六层门诊、十三层病房大楼巍然屹立、雄伟壮观,内设中心供氧、中央空调、中心吸引;开放高、中、低档病床610张,各病房均装备有现代医院所具备的先进设备。医院现有中、高级职称专业技术426人,临床、医技科室43个,拥有价值上亿元的大型先进医疗设备。
近年来,医院秉承“内抓管理、外树形象,质量强院、服务兴院”的办院宗旨,实施科技兴院战略,积极开展和引进新业务新技术,加强医德医风建设,全面提高医疗服务质量。洛阳市第一人民医院治院严谨,理念超前,医院经营方式灵活,全体员工爱岗敬业、勤奋工作。面对竞争激烈的医疗市场,以实力求生存、凭技术谋发展、靠服务赢市场,各项工作进展顺利。
对于医院来讲,由于患者众多,业务繁忙,网络系统业务连续性十分重要。为了保证医院的业务持续性发展,就必须分析信息系统的信息安全需求。需求分析的主要目的是更加清晰、全面的了解网络的基本安全现状,了解如何解决系统的安全问题,为后期安全体系建设中的安全防护技术实施提供严谨的安全理论依据,为决策者制定网络安全策略、构架安全体系以及确定有效的安全措施、选择可靠的安全产品、建立全面的安全防护层次提供了一套完整、规范的指导模型。
医院网络安全解决方案从两个方面进行阐述,一方面是重新对外网区域进行网络规划,并加强网络安全建设;另一个方面就是解决内网和外网融合的问题,将内外网融合同时构建边界防护方案。
如何保证医院的网络正常运行和网络安全已成为迫切需要关注的问题。
随着医疗行业信息化发展的要求,《全国卫生信息化2003-2010年发展规划纲要》中对信息安全提出了明确的要求:
加强与卫生信息化相关的法律、法规、政策体系的建设;
提高信息安全意识,加强计算机和网络安全培训,防范、打击计算机与网络犯罪;
在卫生信息系统建设的同时,要进行信息安全的总体设计和信息系统安全工程建设,在系统验收时必须对信息系统安全进行测评认证;
对于已建的卫生信息系统,要采取信息安全加固措施,进行系统安全测评认证;
卫生信息系统建设中信息安全投资应占系统投资的一定比例。
《发展规划纲要》从宏观的角度对卫生系统信息化建设,而与此同时,由于医疗行业发展的需要,2006年发布的《卫生系统内部审计工作规定(卫生部令51号)》中,明确了“为加强卫生系统内部审计工作,建立健全各单位内部审计制度,完善内部监督制约机制”,并要求“设置内部审计机构,配备审计人员,开展审计工作”;内部审计机构在履行审计职责时,明确具有“检查计算机系统有关电子数据和资料”的权限;由此可以看到针对卫生系统的相关审计具有明确要求。
此外,公安部国家电子政务等级保护、国家保密局BMB17-2006号文件中要求政府、涉密单位必须对与涉密敏感信息、业务系统相关的网络行为进行安全审计。以防员工随意通过网络共享文件夹、文件上传下载、EMAIL等方式,发送重要敏感信息、业务数据,导致信息外泄事件发生。
同时,针对医疗行业的门户网站WEB业务这类给Internet可用性带来极大损害的攻击,必须在国家等级保护政策的指导下,采用专门的机制,综合采用各种技术手段对攻击进行有效检测,应按照《中华人民共和国计算机信息系统安全保护条例》、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《等文件要求,参考《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》( GB/T 22239-2008 )等等级保护相关标准,开展等级保护整改、测评工作,为医院内部和社会公众提供“一站式”的医疗公共服务目标提供有力保障。
在与医院多次安全沟通与交流的基础上,我们进一步明确了医院的准确需求,简单来说就是“安全访问,内外隔离,分期建设”三点,安全访问包含两方面,即从内网可以安全访问互联网,从互联网也能够安全访问内网;而在内外隔离上则是要保证内网数据与互联网之间保持逻辑或物理隔离;分期建设则是建设的思路,是根据医院的实际情况,分步骤从基础到深入,从满足最迫切的安全需求慢慢上升到管理安全上来!以下此方案将针对这三点进行详细的需求描述与解决思路陈述。
1.1 方案设计要求
根据实际调研与专家论证,本网络需要具有如下的安全特性:
高可靠性:在受到攻击的情况下,能够保证各类业务系统正常运行,能够保证数据的正常访问。
高保密性:网络数据/网络信息不被窃取。
管理安全性:完善的网络访问控制列表,包括不允许同级网络的非授权访问等。
可审计性:能够审计对数据中心服务器、网络设备等的各种操作信息。
可扩充性:依据现有网络流量设计的网络要留有一定扩充能力,随之的安全方案也必须具备可扩充性。
1.2 方案设计原则
信息系统的建设是国家信息化的一个组成部分,在促进国民经济发展和社会稳定方面具有越来越重要的作用。卫生行业作为涉及国计民生的重要行业,随着计算机应用的进一步普及和发展,计算机信息系统安全问题日益社会化、严重化,国家和行业监管机构有必要运用行政法律手段来进行有效的管理,维护社会的稳定和发展。这些政策法规主要有:
《全国卫生信息化2003-2010年发展规划纲要》
《卫生系统内部审计工作规定(卫生部令51号)》
《基于健康档案的区域卫生信息平台建设指南(试行)》
《中华人民共和国保守国家秘密法》(1988年9月5日中华人民共和国主席令第6号公布)《中华人民共和国保守国家秘密法实施办法》(国家保密局文件国保发 [1990] 1 号)《中华人民共和国国家安全法》(主席令68号,1993年2月22日第七届全国人民代表大会常务委员会第三十次会议通过)
《中华人民共和国计算机信息系统安全保护条例》(国务院令147号)
《计算机信息系统安全等级保护划分准则》(GB/T17859-1999)
《计算机信息系统安全等级保护网络技术要求》(GA/T387-2002)
《计算机信息系统安全等级保护操作系统技术要求》(GA/T388-2002)
《计算机信息系统安全等级保护数据库管理系统技术要求》(GA/T389-2002)
《计算机信息系统安全等级保护通用技术要求》(GA/T390-2002)
《计算机信息系统安全等级保护管理要求》(GA/T391-2002)
此次医院安全解决方案即在严格遵循上述国家法律法规以及行业的规范指南的基础之上编写而成的。