医院等保

XXX三级医院

等级保护建设整改规划方案

西安交大捷普网络科技有限公司

2013年5月

目录

第1章综述 (4)

1.1项目背景 (4)

1.2项目目标 (5)

1.3参考依据 (5)

第2章信息系统现状和安全需求 (7)

2.1信息系统现状 (7)

2.1.1医院业务内网现状 (7)

2.1.2医院办公外网现状 (9)

2.2安全需求分析 (9)

2.2.1医院业务内网安全分析 (9)

2.2.2医院办公外网安全分析 (10)

2.2.3医院业务内网和办公外网数据交换分析 (11)

第3章总体安全规划设计 (12)

3.1总体设计思路 (12)

3.2设计原则 (13)

3.3体系化设计框架 (13)

3.4体系规划 (14)

3.4.1技术体系规划 (15)

3.4.2管理体系规划 (15)

3.4.3运维体系规划 (16)

第4章信息安全体系详细设计 (17)

4.1安全技术体系建设 (18)

4.1.1总体安全规划设计拓扑示意图 (18)

4.1.2网闸技术实施 (20)

4.1.3VPN技术实施 (23)

4.1.4入侵检测技术/入侵防护实施 (25)

4.1.5WEB应用防火墙技术实施 (26)

4.1.6漏洞扫描实施 (27)

4.1.7网络及数据库安全审计技术实施 (28)

4.1.8堡垒主机实施 (30)

4.1.9防病毒技术实施 (31)

4.1.10终端安全管理技术实施 (32)

4.1.11统一身份管理建设 (33)

4.1.12安全管理平台 (37)

4.2安全管理体系建设 (39)

4.2.1安全管理体系建设必要性 (39)

4.2.2安全管理体系框架 (40)

4.2.3安全管理体系建设内容 (41)

4.2.4结合等保的安全管理体系文档 (44)

4.3安全运维体系建设 (47)

4.3.1周期性安全评估 (47)

4.3.2周期性安全加固 (48)

4.3.3定期安全巡检 (50)

4.3.4应急响应方案处置 (51)

4.3.5定期安全通告 (53)

4.3.6安全培训教育 (54)

4.3.7系统上线检测 (54)

第5章投资概算说明 (56)

5.1软硬件产品预算 (56)

5.2安全服务预算 (56)

第1章综述

1.1项目背景

随着医疗卫生行业信息化建设程度不断推进，医疗卫生业务管理逻辑与价值体系对于信息系统依赖程度不断提升，信息安全隐患的不断显露，信息安全保障盲点也日渐凸现，保障信息安全已经从一个宏观论调转化为新医改工程建设工作中不可规避的基础内容。2003年《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）提出“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。今年卫生部印发了《卫生部办公厅关于开展全国卫生行业信息安全等级保护工作的通知》（卫办综函【2011】1126号）其中强调：“依据国家信息安全等级保护制度，遵循相关标准规范，开展信息安全等级保护定级备案、建设整改和等级测评等工作”，因此开展信息安全等级保护工作已成为全国医疗卫生行业信息化建设的重点内容，也是医院实现自身核心业务安全稳定运行的关键。

XXX医院规模大，技术力量强，集医疗、教学、科研、急救、保健于一体的综合性三级甲等医院，为贯彻落实《卫生部办公厅关于开展全国卫生行业信息安全等级保护工作的通知》（卫办综函【2011】1126号）、《卫生行业信息安全等级保护工作的指导意见》（卫办发【2011】85号）文件、《北京市卫生局关于进一步加强北京市卫生行业信息安全等级保护工作的通知》（京卫办字【2012】26号），切实提高自身信息安全防护能力，拟按照国家信息安全等级保护制度要求，进行信息系统安全等级保护建设。

同时，新近颁布的“十二五”规划纲要中明确指出要“健全网络与信息安全法律法规，完善信息安全标准体系和认证认可体系，实施信息安全等级保护、风险评估等制度。”标志着信息安全等级保护工作已经上升到国家战略层面，成为关系国计民生的重要任务。

本方案通过对XXX的重要信息系统技术层面及管理层面的全面评估和了解，整理出高风险的安全需求，并结合用户的实际业务要求，对XXX整体信息系统的安全工作进行规划和设计，并逐步完成安全建设，以满足XXX的信息安

全目标及国家相关政策和标准的要求，同时为全面提高信息安全管理水平和控制能力打下坚实的基础。

1.2项目目标

通过本次项目，将充分了解XXX自身信息安全现状、信息安全风险和安全需求，构建和实施信息技术安全管理体系、安全技术体系和安全运维体系，为将来全面提高信息安全管理水平和控制能力，适应并符合不断发展变化的业务新需求。同时，遵循国家等级保护政策法规和标准建立一整套适合XXX的信息系统等级化安全保障体系，并为通过国家等级保护安全测评备案工作做好前期准备。

1.3参考依据

本文参考的国家信息安全政策法规、信息安全标准以及相关规范：

政策法规

●《中华人民共和国计算机信息系统安全保护条例》（国务院[1994] 147

号）

●《国家信息化领导小组关于加强信息安全保障工作的意见》（申发办

[2003] 127号）

●《信息安全等级保护管理办法》（公通字[2007] 43号）

●《北京市卫生局、北京市公安局关于开展北京市医疗机构卫生行业信息

安全专项检查工作的通知》（京公网安字[2012] 739号）

●《卫生行业信息安全等级保护的指导意见》（卫办发[2011]85号）

●《关于配合卫生行业开展信息安全等级保护工作的通知》（公信安

[2011]2501号）

标准规范

●《信息安全技术信息系统安全等级保护基本要求》GB/T 22239-2008

●《信息安全技术信息系统安全等级波爱护实施指南》GB/T 25058-2010

●《信息系统安全等级保护测评要求》（GB/T28448-2012）

●《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）