完美WORD格式
医院信息化安全等保解决方案
一、行业背景与需求
为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工 作,卫生部办公厅于2011年12月下发卫生部《卫生行业信息安全等级保护工作的指导意 见》(卫办发〔2011〕85web应用防护系统号)(以下简称《指导意见》)。为贯彻《指导意见》,办公厅同时 下发《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函
〔2011〕1126号)(以下简称《通知》),对卫生行业各单位提出如下要求:
■2012年5月30日前完成本单位信息系统的定级备案工作;
■根据信息系统定级备案情况开展等级测评工作,查安全差距和风险隐患,并结合自身 安全需求,制订安全建设整改方案;
■2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。
《指导意见》根据《信息安全技术信息系统安全等级保护定级指南》(以下简称《定级指南》)、 《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》),建议县区级医 院的核心业务信息系统安全保护等级原则上不低于二级。各省卫生厅根据《指导意见》、《定 级指南》、《基本要求》等相关规定,并结合本区域现状提出本区域内县区级医院定级要求, 大部分省(市)定级要求如下:
序号 | 信息系统 | 可能侵害的客体 | 定级建议 |
1 | HIS、LIS、PACS、门诊系统等 | 公民、法人与其他组织合法权益 | 二级 |
2 | OA、网站、邮寄等 | 公民、法人与其他组织合法权益 | 二级 |
二、迪普解决之道
为帮助县区医院落实国家信息安全等级保护制度与卫生部信息安全等级保护工作要求, 迪普科技从主机安全、应用安全、数据安全与备份恢复四个层面为县区医院提供全方位的等 级保护解决方案。
■整体思路
县级医院网络一般分为两张物理网络:内网(业务网)和外网(办公网)。内网主要承 载着HIS、LIS、PACS等医院信息系统,外网主要承载医院OA、网站、mail等信息系统。 《基本要求》中规定不同安全保护等级的信息系统应该具备相应的基本安全保护能力,应满 足相应的基本安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理
专业知识分享
完美WORD格式
要求两大类。基本技术要求包含物理安全、网络安全、主机安全、应用安全和数据安全几个 层面。本方案针对医院内外两张物理网络及其承载的信息系统,分别从网络安全、主机安全、
应用安全、数据安全四个层面进行设计。
数据安全
I
*
应用安全
I
主机安全
网堵安全
网络安全、主机安全、应用安全、数据安全均包含多个控制点,而每个控制点又包含多个具 体的技术要求项,本方案针对其中具体项要求提出以下的安全措施,如下表所示:
专业知识分享
完美WORD格式
宾全莞则 | 控制里 | 主要妥全措麓 | 二统婚携 |
网姿 | 绪和丧金 | 网笠■.应虻卷郎和里厘程支不同先主因毂 | / |
克三区除之闫良亲习史火港近泞后各 | |||
黄向拄耨 | 网泞金;昆三客灰心a | W | |
支会事计 | 网笠日志审计-网空运羞碧壬叁吉计 | V | |
应葬之婺性整有 | 圣月雁入控划系沅.占非濯入拄耨、非法外旺过百 | d | |
圣月灌入拄利源沅.M死嚏八天制展非法升 联运蜉 | |||
小屋的苞 | 人与检慝奈注,入土历档净选 | V | |
怒告隹科希范 | 甑专与同共 | ||
二机 美 | 人早访危 | 采用忠弟塾安名胃口局 | |
安全事计 | 天目”矣若3a赛疣M塞去全去计 | 4 | |
至巨代旁史范 | 跖钱毒就件 | 4 | |
应用 美 | 妄分堇副 | 费用电子认证错通 | W |
会会否计 | Q指点安全三计系抗 | 7 | |
金指安生 与第玲饮/ | 崂费和恢W | 本提玷相告它与生发 | |
国件月会 | G宏网里设罟-望第和瓶与钓萦中丸会 | 4 | |
异地密存 | 导送或指生身 | ||
■方案描述
医院内网信息安全等级保护方案设计,如下图所示:
专业知识分享
完美WORD格式
首先,将医院内网分为多个安全区域,数据中心区、终端接入区、安全管理区与外联区 域。根据不同的业务系统与安全区域划分VLAN,在数据中心与外联区域边界部署DPtech FW1000防火墙,根据访问需求配置安全访问控制策略。对于重要区域边界部署(数据中心 前端)f52000入侵防御系统,对应用层攻击进行检测与在线防御,并在线过滤网络病毒、 恶意代码在安全管理区部署DPtech UMC统一管理中心与DPtech Scanner1000漏洞扫 描系统,为安全管理提供必要的技术手段,并集中收集、防火墙与IPS业务日志等。
医院外网信息安全等级保护方案计设,如下图所示:
口谩^ 住院樱 国辘 科瞄
图2
医院外网分为对外服务器区、互联网区、终端接入区、安全管理区几个安全区域。
对外服务器区前端部署DPtech WAF3000 Web应用防火墙,对医院门户网站进行重点防 护,针对WEB攻击漏洞进行全面检测和加固,防止网站被攻击与篡改;互联网边界部署 DPtech FW1000防火墙,根据访问需求配置安全访问控制策略;部署DPtech UAG3000 审计及流控网关,对外网用户的上网行为进行控制,合理分配带宽,并对上网行为进行审计; 在安全管理区部署DPtech UMC统一管理中心,对安全设备进行集中管理。
方案设计参考标准
GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求
GB/T 22240-2008信息安全技术信息系统安全等级保护实施指南
GB/T 20271-2006信息安全技术信息系统安全通用技术要求
专业知识分享
完美WORD格式
GA/T 708-2007信息安全技术信息系统安全等级保护体系框架
GA/T 709-2007信息安全技术信息系统安全等级保护基本模型
GA/T 709-2007信息安全技术信息系统安全等级保护基本配置
信息安全技术信息系统等级保护安全建设技术方案设计规范
信息安全技术信息系统等级保护安全设计技术要求
信息安全技术信息系统安全等级保护测评要求
三、为什么选择迪普
迪普科技“医院信息系统等级保护解决方案”依据国家信息安全等级保护相关政策标准 与卫生行业的相关标准与要求,结合医院信息化安全实际需求进行设计,可全面提升医院信 息安全防护能力与安全管理能力。主要具备以下特点:
■合规性
本方案全面依据《定级指南》、《基本要求》等相关标准,结合迪普科技丰富的等级保护建设 经验,充分理解《信息系统安全等级保护测评要求》,对其中的每一项要求均有相关的产品 功能、安全策略与之对应(除非网络产品涉及的要求外),采用本方案的医院信息化系统可 充分满足国家与医疗行业等保建设要求。
发表评论