医院信息系统三级等保与系统集成PPT课件( 38页)

访问控制
安全策略 特权用户的权限分离
安全审计
服务器基本运行情况审计
剩余信息保护
入侵防范 恶意代码防范
最小安装原则
升级服务器
防恶意代码软件、代码 库统一管理
资源控制
对用户会话数及终端登 录的限制
组合鉴别技术 管理用户的权限分离 敏感标记的设置及操作
重要客户端的审计 审计报表 审计记录的保护
空间释放及信息清除 重要服务器：检测、记录、报警 重要程序完整性
系统集成管理规范
阶段
启动
规划
实施
活动
输出的文档
活动
输出的文档
活动
输出的文档
1、实施立项审批。 《项目任务单》
2、确定项目经理和实施人 员。 《任务单》 《合同及协约》等 投标或前期方案
3、项目启动 《项目实施跟踪表》
1、项目调研
2、制定项目实施方案及 计划 更新《项目实施跟踪表》 施工初步《技术方案》 施工《进度计划》 设备《供货计划〉 项目《验收测试计划》
专业成就梦想，技术引领未来
KINGSTAR WINNING
医院信息系统三级等保与系统集成
网络集成事业部 邓荣华
2013-05-31
1
内容提要
三级等保—医院信息系统安全的基石 系统集成新实施规范 云技术在医院信息系统的实际应用
等级保护对医院信息系统建设的指导意义
• 政府强制政策，必须要满足 等级保护是国家信息方面的基本制度，属于法律符合性要
33
7
32
9
31
3
8
3
11
5
20
5
16
ቤተ መጻሕፍቲ ባይዱ
11
45
13
60
73（类） 290（项）
实施系统等保项目我们的优势
1、 对用户医院信息化实际运行状况的非常清楚（包括医院机房、硬件设施、 应用软件使用情况等），能针对三级等保要求提供各性化解决方案，上海市卫 生局已要求上海地区三级医院及区县中心医院的HIS\LIS\RIS等核心业务系统都 要通过三级等保； 2、医院要通过三级等保，涉及到医院的应用软件（应用软件的较大改动）、 硬件设备的增减和系统集成方案等三大层面的调整和完善； 3、新技术及安全设备的应用和医院核心的业务紧密的结合，将真正对医院信 息系统安全有较大的帮助； 4、三级等保是一项长期的工作，上海市卫生局要求每2年评审一次，涉及到医 院日常的信息系统后期维护，我们可以做到一体化服务； 5、我公司和上海市信息安全测评中心合作（上海市三级等保评测机构），有 较强的专业和实施技术保障。
对用户会话数及 系统最大并发会话数的限制
组合鉴别技术 敏感标记的设置及操作
审计报表
审计过程的保护
空间释放及信息清除
密码技术
整个报文及会话过程加密
自动保护功能 资源分配限制、资源分配优先级
最小服务水平的检测及报警
等级保护——数据安全及备份恢复的集成要点
数据完整性 数据保密性
备份和恢复
鉴别数据传输的完整性 鉴别数据存储的保密性
信息系统受到破坏后，会对公民、法人和其他组织的合法权 益产生严重损害，或者对社会秩序和公共利益造成损害，但 不损害国家安全
信息系统受到破坏后，会对社会秩序和公共利益造成严重损 害，或者对国家安全造成 损害
信息系统受到破坏后，会对社会秩序和公共利益造成特别严 重损害，或者对国家安全造成严重损害
信息系统受到破坏后，会对国家安全造成特别严重损害
拨号访问限制
最大流量数及最大连接数
安全审计
日志记录
审计报表
审计记录的保护
边界完整性检查
内部的非法联出
非授权设备私自外联 定位及阻断
入侵防范
检测常见攻击
记录、报警
恶意代码防范 网络设备防护
基本的登录鉴别
网络边界处防范 组合鉴别技术 特权用户的权限分离
等级保护——主机安全的集成要点
身份鉴别
基本的身份鉴别
实现医院三级等保所涉及的各个业务层面
物理安全
网络安全
主机安全 数据安全
应用安全
8
等级保护——网络安全的集成要点
结构安全
关键设备冗余空间 核心网络带宽 子网/网段控制
主要设备冗余空间 路由控制 整体网络带宽 带宽分配优先级 重要网段部署
访问控制
端口控制
防止地址欺骗
访问控制设备（用户、网段）
应用层协议过滤 会话终止
必选活动 可选活动
A BC 类 类类 项 项项
目 目目
3、评审项目实施方案 及计划
A BC 类 类类 项 项项
目 目目
1、合同内设备、软件采购 发货通知
求，属于国家重要信息系统的，必须需要满足此制度；
• 政策要求，可以促进开展信息安全工作，提起领导和各部 门的重视，统一思想
• 做为国家或上级主管部门给出信息安全工作的政策方向和 技术指导，可以指导我们规避策略和技术方向的风险
• 等级保护还是一套比较先进的方法，做好了对实际工作及 系统安全有较大帮助
• 正确定级并遵照标准执行，可以规避部分信息安全责任 • 依据国家要求，申请项目和经费较为容易
主机与网络的防范产品不同 监视重要服务器
最小服务水平的检测及报警
等级保护——应用安全的集成要点
身份鉴别 访问控制 抗抵赖 安全审计 剩余信息保护 通信完整性 通信保密性
基本的身份鉴别 安全策略
最小授权原则 运行情况审计（用户级）
审计记录的保护
校验码技术
初始化验证 敏感信息加密
软件容错 资源控制
数据有效性检验、部分 运行保护
三级等保系统的控制类及控制项
技术/管理 安全技术 安全管理
层面
物理安全 网络安全 主机安全 应用安全 数据安全 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理
合
指标类
类数量
S类 (3级)
A类 (3级)
G类 (3级)
1
1
8
1
0
6
3
1
3
5
2
2
2
1
0
N/A
计
项数量
小计
小计
10
32
7
等保保护—医院信息系统安全现实需要
特洛伊木马
黑客攻击 后门、隐蔽通道 计算机病毒
信息丢失、 篡改、销毁
信息系统
拒绝服务攻击
逻辑炸弹
蠕虫
内部、外部泄密
等级保护具体分级说明
第一级 第二级 第三级 第四级 第五级
信息系统受到破坏后，会对公民、法人和其他组织的合法权 益造成损害，但不损害国家安全、社会秩序和公共利益
各类数据传输及存储 检测和恢复 各类数据的传输及存储
重要数据的备份 硬件冗余
网络冗余、硬件冗余
本地完全备 份
异地备份
每天1次 备份介质场外存放
卫生局信息中心机房改造前拓扑
内容提要
三级等保—医院信息系统安全的基石 系统集成的新实施规范 云技术在医院信息系统的实际应用
系统集成新实施规范
•系统集成管理规范； •系统集成技术规范； •系统集成测试规范； •系统集成切换规范； •系统维护管理规范；