xx医院等保建设方案实战
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IDP智能检测与SMP(认证系统)联动, 对突发安全事件依然能够及时发现并快 速阻断事故源,杜绝安全事件的发生。
应用服务器
网络容灾逃生机制
自动切换至
逃生模式一:
Baypass模式
在接入交换机配置开启BYPASS
功能,当未检测到认证服务器时,
自动切换至BYPASS模式,放行所
有报文。
认证系统
用户
当认证服务器恢复时,交换机
自动生成事件单
大屏幕
知识库
分派
查询知识
事件工程师 受理并快速恢复
升级
解决 方案 入知 识库
问题管理
根源分析,找出根本原因, 避免故障再次发生
IT基础设施监控
数据中心机房监 控
问题小组 分析并根源解决 申请变更
SLM 服务级别管理
跟踪事件处理时效,达成与客户的服务约定
变更管理
控制变更可能产生的风险
IT主管 决策、优化改进
全
安全域划分
统一身份准入
融合安全策略
安全审计
实名日志跟踪与记录,审计到人 分级分权管理,规范操作
业务可拓展的架构部署
✓ 移动医护 ✓ 增新系统 ✓ 远程医疗
支撑业务安全与延伸!
贴合医院业务,安全与应用融合
• 业务高可用的安全架构部署
IDP
策略下发
认证系统
正常业务流
用户
安全防御旁边部署,有效减少数据包多 次转化与过滤而带来的网络性能消耗。 同时避免正常业务的异常阻断,及单点 故障的发生。
最终形成一个整体的工作体系
用户-电话 服务或故障报告
用户-客户端 服务或故障报告
呼叫中心
电话受理,自 动识别来电用 户身份
服务台座席 创建事件单
自助服务台
用户WEB登录, 提报服务或故 障请求
客户与IT主管
事件管理
快速响应、 解决突发故 障及请求, 在最短时间 内恢复业务
达成服务 级别协议
短信邮件通知
隐患多 防护效果差 引发新增风险
易管
设备多 安全孤岛
解决之道
体系化等保构架设计与服务 贴合医院业务,安全与应用融合 融合安全,运维简单高效
1 合规 2 实用 3 易管
整体内网架构高可靠性
医保
卫生局 医保前置机
S2924G
干保
干保前置机
卫生局前置机
S2924G
S6506
出口
路由器 出口 防火墙
RG-S8610
自动切回802.1X认证模式,用户在
下次登入时生效。
应用服务器
逃生模式二: 旁路部署逃生服务器,当认证
服务器异常时,自动切换到逃生 服务器来完成用户认证回应。
在采用AD域(或第三方Radius) 做认证对接时,当AD域异常时, 认证服务器对已同步信息依然可 完成认证校验
逃生服务器
认证系统
用户
应用服务器
1 网络安全见解 2 管理解决之道 3 易管
安全管理体系建设框架
作为一个管理者我这么看
作为管理者自身出发解决问题,建立一个系统性的安全体 系是非常重要的。
预防
持续 意识 系统
管理
构建管理体系的理论模型:PPT
技术
Tech.
流程
Process
人员
People
• 业务是核心 • 流程是关键 • 技术是重要因素 • 人员接受体系管理
2#、0#楼
高冗余性网络保障业务连续性
合维管理平台 S2924G
万兆光纤 千兆光纤 千兆双绞线
重点区域重点布防
出口区
医保
卫生局
干保
出口 路由器
出口 防火墙
医保前置机 干保前置机 卫生局前置机 RG-WS5708
IDP
办公接入区
门诊楼
重点区域重点防护 住院楼 针对网络区域划分做足域间控制
健康档案、远程会诊 网上预约挂号、外出办公
用户、操作和数据库审计,边界域的防护保障
外网 业务
终端设备U口随意使用 上网行为缺乏管理 网络物理端口暴露 第三方人员涉入 远程医疗融合 网上预约应用
医院业务与信息安全的平衡
单点故障
网络瓶颈
业务报文异常阻断
医疗等保解决方案
目标
合规
实用
现状
专业性强 实施复杂
安全等级
风险
5级
信
4级 息
系
统
3级
定 级
2级
5级
安
全
4级 措
施
等
3级
级 指
标
2级
成本
调 整 定 制
确定等级一般流程 1级
1级
信息系统等级保护安全技术设设备计、框安架安全全要事求 件监控
等级保护的实现原理
5级
4级
安 全
保
护
3级
措
施
2级
1级
应急流程
运维流程
现业务与安全融合
内网 业务
远程接入、终端接入的防何控制
S6506 十万兆双核心平台
S6506
6#楼
8#、9#、10#、 11#、12#、15#楼
S2924G
江苏路分部
S2924G
S7804 门诊双汇聚、S7804
双链路
万兆骨干链路 RG-S8610
S6506
S6200
S6200
1#楼
S2924G
S6506
HIS/CIS/LIS/PACS/RIS 应用服务器
通过满足等级保护基本安全要求,来具备安全保护能力
严格按照三级等保政策合乎规则
信息系统等级保护实施过程
系统 定级
安全规划 安全实施
设计
建设
安全运行 维护
系统 终止
资产信息收集
安全现状构分建析纵深的防御体系
系统定级保赋证值一致的 安对全现强有度安全保障能力与等级保护基本要求进
定级报告优整化理结构、降行低符投合资性评估 确保整体性 、技针术对防性护、体实 系效防构性护建体系具备持续改进 管理架构、 制发度生流安程全、事应件急能措够施快建速设定位、及时响应、迅速处理 安全运行维护的可操作性、灵活性、可延伸性
智慧医疗 安全为先
XX医院等保建设方案实战
XX医院医疗信息化合规建设的基本思路
物理 安全管
安全 理制度
网络
安全管
安全
技
理机构
管
主机
术理
人员安
安全
要 要 全管理
应用
求 求 系统建
安全
设管理
数据安 系统运
全及备 维管理
份恢复
安全保护能 力
实现
基本安全 要求
具备
信息系统
包含
包含
技术措施 满足
管理措施 满足
DMZ区
DBS
HIS/CIS/LIS/PACS/RIS
网管中心
应用服务器
SMP 堡垒机
万兆光纤 千兆光纤 千兆双绞线
1 合规 2 实用 3 易管
贴合医院业务,安全与应用融合
人机安全
身份识别,杜绝非法接入 终端管控,保障体验安全
访问安全
基于业务的策略控制,确保关键业务稳
定
基于角色的策略控制,确保数据访问安
KPI与报表 管理
报表输出,关键 绩效指标分析
项目管理
开发及重大实施项目周期管理
计划任务管理
周期性任务提醒、执行、监督
项目经理
变更评审委员会 评估、制定变更计划
指派
变更工程师 变更实施及发布
更新
任务工程师
管理
配置工程师 配置项管理
配置管理
资产配置全生命周期管理
CMDB
认同需求的演进、尊重用户的选择、开放的迎接变化
应用服务器
网络容灾逃生机制
自动切换至
逃生模式一:
Baypass模式
在接入交换机配置开启BYPASS
功能,当未检测到认证服务器时,
自动切换至BYPASS模式,放行所
有报文。
认证系统
用户
当认证服务器恢复时,交换机
自动生成事件单
大屏幕
知识库
分派
查询知识
事件工程师 受理并快速恢复
升级
解决 方案 入知 识库
问题管理
根源分析,找出根本原因, 避免故障再次发生
IT基础设施监控
数据中心机房监 控
问题小组 分析并根源解决 申请变更
SLM 服务级别管理
跟踪事件处理时效,达成与客户的服务约定
变更管理
控制变更可能产生的风险
IT主管 决策、优化改进
全
安全域划分
统一身份准入
融合安全策略
安全审计
实名日志跟踪与记录,审计到人 分级分权管理,规范操作
业务可拓展的架构部署
✓ 移动医护 ✓ 增新系统 ✓ 远程医疗
支撑业务安全与延伸!
贴合医院业务,安全与应用融合
• 业务高可用的安全架构部署
IDP
策略下发
认证系统
正常业务流
用户
安全防御旁边部署,有效减少数据包多 次转化与过滤而带来的网络性能消耗。 同时避免正常业务的异常阻断,及单点 故障的发生。
最终形成一个整体的工作体系
用户-电话 服务或故障报告
用户-客户端 服务或故障报告
呼叫中心
电话受理,自 动识别来电用 户身份
服务台座席 创建事件单
自助服务台
用户WEB登录, 提报服务或故 障请求
客户与IT主管
事件管理
快速响应、 解决突发故 障及请求, 在最短时间 内恢复业务
达成服务 级别协议
短信邮件通知
隐患多 防护效果差 引发新增风险
易管
设备多 安全孤岛
解决之道
体系化等保构架设计与服务 贴合医院业务,安全与应用融合 融合安全,运维简单高效
1 合规 2 实用 3 易管
整体内网架构高可靠性
医保
卫生局 医保前置机
S2924G
干保
干保前置机
卫生局前置机
S2924G
S6506
出口
路由器 出口 防火墙
RG-S8610
自动切回802.1X认证模式,用户在
下次登入时生效。
应用服务器
逃生模式二: 旁路部署逃生服务器,当认证
服务器异常时,自动切换到逃生 服务器来完成用户认证回应。
在采用AD域(或第三方Radius) 做认证对接时,当AD域异常时, 认证服务器对已同步信息依然可 完成认证校验
逃生服务器
认证系统
用户
应用服务器
1 网络安全见解 2 管理解决之道 3 易管
安全管理体系建设框架
作为一个管理者我这么看
作为管理者自身出发解决问题,建立一个系统性的安全体 系是非常重要的。
预防
持续 意识 系统
管理
构建管理体系的理论模型:PPT
技术
Tech.
流程
Process
人员
People
• 业务是核心 • 流程是关键 • 技术是重要因素 • 人员接受体系管理
2#、0#楼
高冗余性网络保障业务连续性
合维管理平台 S2924G
万兆光纤 千兆光纤 千兆双绞线
重点区域重点布防
出口区
医保
卫生局
干保
出口 路由器
出口 防火墙
医保前置机 干保前置机 卫生局前置机 RG-WS5708
IDP
办公接入区
门诊楼
重点区域重点防护 住院楼 针对网络区域划分做足域间控制
健康档案、远程会诊 网上预约挂号、外出办公
用户、操作和数据库审计,边界域的防护保障
外网 业务
终端设备U口随意使用 上网行为缺乏管理 网络物理端口暴露 第三方人员涉入 远程医疗融合 网上预约应用
医院业务与信息安全的平衡
单点故障
网络瓶颈
业务报文异常阻断
医疗等保解决方案
目标
合规
实用
现状
专业性强 实施复杂
安全等级
风险
5级
信
4级 息
系
统
3级
定 级
2级
5级
安
全
4级 措
施
等
3级
级 指
标
2级
成本
调 整 定 制
确定等级一般流程 1级
1级
信息系统等级保护安全技术设设备计、框安架安全全要事求 件监控
等级保护的实现原理
5级
4级
安 全
保
护
3级
措
施
2级
1级
应急流程
运维流程
现业务与安全融合
内网 业务
远程接入、终端接入的防何控制
S6506 十万兆双核心平台
S6506
6#楼
8#、9#、10#、 11#、12#、15#楼
S2924G
江苏路分部
S2924G
S7804 门诊双汇聚、S7804
双链路
万兆骨干链路 RG-S8610
S6506
S6200
S6200
1#楼
S2924G
S6506
HIS/CIS/LIS/PACS/RIS 应用服务器
通过满足等级保护基本安全要求,来具备安全保护能力
严格按照三级等保政策合乎规则
信息系统等级保护实施过程
系统 定级
安全规划 安全实施
设计
建设
安全运行 维护
系统 终止
资产信息收集
安全现状构分建析纵深的防御体系
系统定级保赋证值一致的 安对全现强有度安全保障能力与等级保护基本要求进
定级报告优整化理结构、降行低符投合资性评估 确保整体性 、技针术对防性护、体实 系效防构性护建体系具备持续改进 管理架构、 制发度生流安程全、事应件急能措够施快建速设定位、及时响应、迅速处理 安全运行维护的可操作性、灵活性、可延伸性
智慧医疗 安全为先
XX医院等保建设方案实战
XX医院医疗信息化合规建设的基本思路
物理 安全管
安全 理制度
网络
安全管
安全
技
理机构
管
主机
术理
人员安
安全
要 要 全管理
应用
求 求 系统建
安全
设管理
数据安 系统运
全及备 维管理
份恢复
安全保护能 力
实现
基本安全 要求
具备
信息系统
包含
包含
技术措施 满足
管理措施 满足
DMZ区
DBS
HIS/CIS/LIS/PACS/RIS
网管中心
应用服务器
SMP 堡垒机
万兆光纤 千兆光纤 千兆双绞线
1 合规 2 实用 3 易管
贴合医院业务,安全与应用融合
人机安全
身份识别,杜绝非法接入 终端管控,保障体验安全
访问安全
基于业务的策略控制,确保关键业务稳
定
基于角色的策略控制,确保数据访问安
KPI与报表 管理
报表输出,关键 绩效指标分析
项目管理
开发及重大实施项目周期管理
计划任务管理
周期性任务提醒、执行、监督
项目经理
变更评审委员会 评估、制定变更计划
指派
变更工程师 变更实施及发布
更新
任务工程师
管理
配置工程师 配置项管理
配置管理
资产配置全生命周期管理
CMDB
认同需求的演进、尊重用户的选择、开放的迎接变化