医院等级保护知识和方案
医院等级保护知识和方案医院等级保护知识和方案
作者Clotus来源青莲网络浏览10/04/251:政策和知识
《信息安全等级保护管理办法》43号文《计算机信息系统安全保护条例》147号文《国家信息化领导小组关于加强信息处理安全保障工作的意见》27号文
《关于信息安全等级保护工作的实施意见》66号文
2003年,中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文)中,已将信息安全等级保护作为国家信息安全保障工作的重中之重,要求各级党委、人民政府认真组织贯彻落实。《意见》中明确指出,信息化发展的不同阶段和不同的信息系统,有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。
之后,一系列的国家部委、行业组织下发了关于信息系统等级保护方面的政策和规范。2004年,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发了《关于信息安全等级保护工作的实施意见》(66号文)。2005年国信办下发了《电子政务信息安全等级保护实施指南》(25号文)。2005年底,公安部下发了《关于开展信息系统安全等级保护基础调查工作的通知》(公信安[2005]1431号),并从2006年1月由全国各级公安机关组织开展了全国范围内各行业、企业信息系统的基础信息调研工作,并先后出台了《信息系统安全保护等级定级指南(试用稿)》、《信息系统安全等级保护基本要求(试用稿)》、《信息系统安全等级保护测评准则(送审稿)》、《信息系统安全等级保护实施指南(送审稿)》等指导性文件。
2:等保知识/业界动态
深圳卫生部门与警方合作保护医院信息系统上海市已经全面启动数字化医
院话安全(出现过的安全问题)信息安全与医院业务连续性
安全问题关系到病人的利益,如何保障医院信息安全,确保业务连续性,
是各大医院面临的共同挑战。
现在,很多行业正在开展信息安全等级保护的评级和检查工作,医疗卫生
行业也是如此。在IT技术日益深入到医院运营管理各方面的今天,信息化建设已经成为医院发展的重要内容,其中,信息安全问题也日益突出。
如今,无论是医务工作者还是病患,每天都需要借助信息系统的辅助支持
完成日常工作和就诊。在门诊方面,挂号、收费、发药、护士分诊、大夫看病
都是借助门诊信息系统;病房方面,每天大夫查房,开医嘱、护士给患者发药
等都借助住院信息系统;患者在医院做化验、照片子等都要借助医院信息系统
完成。医院信息系统已经成为医院不可缺少的工具。
在这种情况下,医院信息系统一旦出现问题,整个医院将无法运行,所以说,医院信息系统的安全问题直接关系到病人的利益,医院信息系统出现故障,将造成病人无法就诊、无法及时得到有效的治疗。
确保医院业务连续性
通常,医院信息系统的组成,包括网络、服务器、存储设备、操作系统、
数据库、应用软件等。在这个系统中,只要有一个子系统或部件出现故障,都
将造成整个系统瘫痪。同时,医院的信息系统和其它行业相比,有其自身的特
点所在。
医院信息系统分类多。在医院内部,信息系统有医疗业务信息系统、办公
信息系统、科研信息系统、教学信息系统、图书管理信息系统等。在上述信息
系统中,对安全性要求最高的是医疗业务信息系统。它是直接为病人服务的,
它的可用性直接影响医院业务运行的连续性。
业务连续性要求高。医疗机构的特点是24小时营业,其它行业一般都有停止营业休息时间,而医院没有,医院一年365天每天24小时开门营业。这样对
信息系统连续性要求特别高,要求一年365天每天24小时信息系统保持正常运行状态。
系统缺少维护时间。由于医院没有休息时间,信息系统就没有停机检修时间。其它行业为了信息系统的升级改造,可以向社会发布公告,通知社会各界,在预定时间停止营业,这对于医院来说,是无法想像的事情。由于缺少维护时间,造成信息系统很多时间是带故障运行,容易造成信息系统出现灾难性故障。
排除故障时间要求短。由于医院业务连续性要求高,在信息系统出现故障
时必须在最短时间内排除故障,恢复正常的医院业务活动。这样就使得排除故
障时间越短越好。对于一些特大医院,由于门诊量非常大,在排除故障时间方
面要求十分苛刻。
医院独特的信息安全要求。医院在信息安全方面有其独到的要求。对于一
般医院,业务信息在抗篡改和一致性保障方面,抗抵赖的电子责任方面要求不
是很高。对于医院信息,主要保证患者信息的隐私性,保证信息的可用性,而
做到这些从技术角度和可操作性角度来看,难度相对不高。
目前威胁医院信息安全的主要因素是信息系统的故障率、不稳定性和不可
用性。要保证信息系统的可用性,需要在网络、服务器、存储设备、数据库、
系统病毒防范等各方面从规划、设计、实施、到日常维护等全过程进行控制,
以保障医院业务的连续性。
评估信息安全的要求
针对以上情况,医院在保障信息安全、确保业务连续性时,需要在信息系
统上做如下几方面工作。
正确认识医院信息安全。医院信息安全是一个系统,它不是一个独立的或
孤立的,而是一个系统问题。对于系统问题,特别要注意到各子系统之间的互
相依赖性和互相影响对信息安全的威胁。不能把信息安全仅仅看成设置口令,
保证硬件无故障、防范病毒等比较单纯的孤立问题。
正确评估医院信息安全。对于医院信息安全,应该根据医院业务的特点和
规模确定信息安全的要求。对于有些特定的医院,由于医院的性质决定,它的
信息安全要求要比别的医院高很多,对于这些医院,不但在抗篡改和一致性保
障方面,抗抵赖的电子责任方面有要求,甚至在防止非法获取信息方面都有要求。而对于一般医院,信息安全的重要性更多的是表现在医院业务的持续性上。所以,在开始解决医院信息安全之前,首先要弄清楚本医院对信息安全的要求,然后才能够搞好信息安全。
整体与细节并重。信息安全是一个系统问题,需要用系统工程方法解决。
所以,保证信息安全要从信息系
统的各个方面进行工作,从信息系统规划开始,从信息系统基础平台开始,全方位、全过程的保证信息安全。同时,具体的技术细节也不能忽略。日常工
作中,信息技术的细节地方要特别关注,千万不要忽略任何威胁信息安全的技
术细节。
3:等级保护方案
3.1前言
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号,以下简称"27号文件")明确要求我国信息安全保障工作实行等级
保护制度,提出"抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南"。
2004年9月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号,以下简称"66号文件")进一步强调了开展信息安全等级保护工作
的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基
本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。
27号文件和66号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高
的要求。医疗机构作为涉及国计民生的重要组成部分,其安全保障事关社会稳定,必须按照27号文件要求,全面实施信息安全等级保护。
3.2范围和目标
医疗机构信息系统的基本保护要求包括基本技术要求和基本管理要求。适
用于指导医疗机构分等级的信息系统的安全建设、正常维护、监督管理,保证
医疗结构信息系统的安全运作,保障国家的稳定。
3.3定级指导
作为定级对象,《信息系统安全等级保护管理办法》中将信息系统划分为
五级,前3级分别为:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造
成损害,但不损害国家安全、社会秩序和共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和
公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对
社会秩序和公共利益造成严重损害,或者对国家安全造成损害。,/br从医疗机
构信息系统遭到破坏后的影响程度来看,基本只损害到部分公民的就医权利,
造成对社会秩序和公共利益的损害不至"严重程度",属于"第二级"范畴。
3.4威胁分析
不同等级系统所应对抗的威胁主要从威胁源(自然、环境、系统、人为)动
机(不可抗外力、无意、有意)范围(局部、全局)能力(工具、技术、资源等)四
个要素来考虑。
威胁源--是指任何能够导致非预期的不利事件发生的因素,通常分为自然(如自然灾害)环境(如电力故障)IT系统(如系统故障)和人员(如心怀不满的员工)四类。
动机--与威胁源和目标有着密切的联系,不同的威胁源对应不同的目标有
着不同的动机,通常可分为不可抗外力(如自然灾害)无意的(如员工的疏忽大意)和故意的(如情报机构的信息收集活动)。
范围--是指威胁潜在的危害范畴,分为局部和整体两种情况;如病毒威胁,有些计算机病毒的传染性较弱,危害范围是有限的;但是蠕虫类病毒则相反,
它们可以在网络中以惊人的速度迅速扩散并导致整个网络瘫痪。
能力--主要是针对威胁源为人的情况,它是衡量攻击成功可能性的主要因素。能力主要体现在威胁源占有的计算资源的多少、工具的先进程度、人力资源(包括经验)等方面。
通过对威胁主要因素的分析,我们组合以上因素得到第二级的威胁:1)危害范围为局部的环境或者设备故障;2)无意的员工失误;3)危害局部的较严重的自然事件;4)具备中等能力、有预设目标的威胁情景。
3.5实施方案
医疗机构信息系统模型的构造是对信息系统进行威胁分析,从而确定安全保障目标的基础。对医疗机构信息系进行等级保护测评可以分别从技术、管理和业务应用三个层面提出各自的参考模型,具体如下。
技术模型、管理模型和应用模型既是三个相对独立的体系,又是两两相互作用,存在密切关系的有机耦合体。技术模型支持应用模型的实现,管理模型是技术模型正常工作的保障,应用模型又是技术模型和管理模型支持和管理的核心。
3.5.1技术模型
参考国际标准化组织(ISO)制定的开放系统互联标准(OSI)标准和TCP/IP标准对信息系统技术组成的构造方法,结合医疗机构信息系统业务应用分类,给出医疗机构信息系统的技术模型,如下图所示。
医疗机构信息系统的技术参考模型描述主要从物理环境、网络系统、主机系统、应用系统4个层面进行描述。
a.物理环境包括机房、场地、布线、设备、存储媒体等内容。
b.网络系统指医疗机构信息系统所基于的网络标准和网络结构;网络标准主要基于TCP/IP协议、IPX/SPX的网络标准,网络结构主要采用LAN、WAN的结构。
c.主机系统主机系统指服务器操作系统平台及公共应用平台。服务器操作
系统主要采用服务器版的操作系统,通常有Windows、Unix等类型;公共应用
平台主要有数据库平台和WEB、Mail、中间件等。数据库平台一般采用可提供
多个事务共享数据的网络数据库系统,常用的数据系统
SQLSERVER,ORACLE,DB2,SYBASE等,数据访问通常采用两层或三层中间件结构。
d.应用系统医院信息系统目前主要可分为综合业务、临床业务、行政管理
三种类型。
3.5.2管理模型
参考国家标准GB/T 19716《信息技术信息安全管理实用规则》和ISO/IEC 17799《Information technology:Code of practice for Information Security Management》管理模型的构造方式,结合医疗机构信息系统业务管理特点,将管理模型分为信息安全管理基础(管理机构、管理制度、人员安全)和
信息安全管理生命周期管理方法(建设管理、运维管理),具体如下图所示。
a.管理制度主要包括管理制度、制定和发布、评审和修订3个控制点。
b.管理机构主要包括岗位设置、人员配备、授权和审批、沟通和合作以及
审核和检查5个控制点。
c.人员安全主要包括人员录用、人员离岗、人员考核、安全意识教育培训、外部人员访问管理等5个控制点。
d.建设管理主要包括系统定级、方案设计、产品采购、自行开发、外包开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务11个控制点。
e.运维管理主要包括环境管理、资产管理、介质管理、设备管理、监控
管理、安全中心、网络安全管理、恶意代码防范管理、密码管理、变更管理、备份恢复管理、安全事件管理、应急预案管理等13个控制点。
3.5.3应用模型
根据国家卫生部发布的《医院信息系统基本功能规范》有关要求,结合医
疗机构应用业务系统建设实际,按如下框架构建应用模型:
相应的数据类型大体可分为四类:1.患者基本信息:患者姓名、住址、联
系方式等。2.诊疗相关的信息:包括电子病历、医嘱、检验结果等。这类数据
不仅要保证完整性,还要防篡改,修改后必须留有痕迹,而且还应做到隐私性
保护。3.经济相关的费用信息:包括药品材料管理、检验价目等,要求受限访问,设限修改。4.管理相关的业务信息:包括人事数据、资产管理等。
3.6安全要素
《医疗信息系统基本要求》的安全要求在整体框架结构上以三种分类为支
撑点,自上而下分别为:类、控制点和项。其中,类表示《医疗信息系统基本
要求》在整体上大的分类,其中技术部分分为:物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类,管理部分分为:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类,一共
分为10大类。控制点表示每个大类下的关键控制点,如物理安全大类中的"物
理访问控制"作为一个控制点。而项则是控制点下的具体要求项,如"机房出入
应安排专人负责,控制、鉴别和记录进入的人员。"
具体框架结构如图所示:
根据信息系统安全的整体结构来看,信息系统安全可从五个层面:物理、
网络、主机系统、应用系统和数据对系统进行保护,因此,技术类安全要求也
相应的分为五个层面上的安全要求:
--物理层面安全要求:主要是从外界环境、基础设施、运行硬件、介质等
方面为信息系统的安全运行提供基本的后台支持和保证;--网络层面安全要求:为信息系统能够在安全的网络环境中运行提供支持,确保网络系统安全运行,
提供有效的网络服务;--主机层面安全要求:在物理、网络层面安全的情况下,提供安全的操作系统和安全的数据库管理系统,以实现操作系统和数据库管理
系统的安全运行;--应用层面安全要求:在物理、网络、系统等层面安全的支
持下,实现用户安全需求所确定的安全目标;--数据及备份恢复层面安全要求:全面关注信息系统中存储、传输、处理等过程的数据的安全性。
信息系统的生命周期主要分为五个阶段:初始阶段、采购/开发阶段、实施阶段、运行维护阶段和废弃阶段。
管理类安全要求正是针对这五个阶段中的不同安全活动提出的,分为:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个方面。
--安全管理制度要求:主要是从管理制度、制度的制定和发布、评审和修订等方面为信息系统的安全运行提供基本的制度支持和保证;--安全管理机构要求:为信息系统的管理机构审查,确保人员管理的安全运作,提供合理有效的岗位设置情况;--人员安全管理要求:在制度和机构层面安全的情况下,提供人员安全管理的相关实施方式,如人员录用,人员离岗,人员考核等,保证人员配备的合理;--系统建设管理要求:在制度、岗位、人员等层面安全的支持下,实现系统建设管理的相关步骤,确保在新建系统或系统改扩建时需按照系统建设管理要求建设实施;--系统运维管理要求:关注信息系统中存储、传输、处理等过程的数据的安全性,维护环境,资产等的安全。记录激动时刻,赢取超级大奖!点击链接,和我一起参加"2010:我的世界杯Blog日志"活动!
特别声明:
1:资料来源于互联网,版权归属原作者
2:资料内容属于网络意见,与本账号立场无关
3:如有侵权,请告知,立即删除。
医院信息化系统等级保护设计方案
医院信息化系统等级保护设计方案1医院信息化系统等级保护设计方案 2013年4 月 目录 1 项目背景(3) 2 方案设计原则(3) 3 安全等级划分(3) 4 技术方案设计(4) 4.1 总体设计(4) ■/ A、、£/■「? > ? A 人L. i亠_L_ (4) 4.1.1 总体安全技术框 架 4.1.2 安全域划分(6) 4.1.3 总体部署(7) 4.2 详细设计(7) 4.2.1 物理安全设计 (7) 4.2.2安全计算环境设 计(9) 4.2.3安全区域边界设 计(12) 4.2.4安全通信网络设 (14) 计
4.2.5安全管理中心设计(16) 5 安全管理体系设计(16) 5.1管理机构建设(17) 5.2完善安全管理制度(17) 5.3加强人才队伍建设(18) 5.4遵循安全法规标准(19) 5.5重视安全管理手段(19) 5.6建立应急响应机制(19) 6 需要增加的设备(21) 1项目背景 2 方案设计原则 根据国家信息安全保障政策法规和技术标准要求,同时参照相关行业规定,确定信息安全体系规划和设计时遵循以下原则:3安全等级划分 信息化系统包括应用服务系统等。信息包括公文信息、通讯录、文件、日程安排、执法数据等,这些信息由于涉及到医疗机构敏感信息,对数据的完整性和机密性要求具有较高需求,一旦遭到破坏或窃取,就会给用户查询提供错误数据或泄漏敏感信息,影响社会秩序和公共利益。 1.业务系统安全受到破坏时所侵害的客体
信息化系统系统一旦遭到破坏或被窃取,所侵害的客体是公民、法人和其它组织的合法权益以及社会秩序、公共利益。 2.对客体的侵害程度 业务系统安全受到破坏时对社会秩序、公共利益的侵害程度表现为严重损害,具体表现为业务系统受到破坏或窃取后,会影响医疗机构行使社会管理和公共服务的职能,并对医疗机构形象造成社会不良影响,并对公民、法人和其他组织的合法权益造成损失。 3.业务系统安全等级 根据上述分析结果,结合等级保护定级指南,XX系统安全等级为: 4 技术方案设计 根据差距分析,确定整改技术方案的设计原则,建立总体技 术框架结构,从业务安全、物理环境、通信网络、计算环境、区域边界、安全管理中心等方面设计落实基本技术要求的物理、网络、系统、应用和数据的安全要求的技术路线。 4.1 总体设计 4.1.1 总体安全技术框架 根据国家相关信息安全保护政策,在安全设计框架上,形成“一个中心”保障下的“三重纵深防御防护体系”架构(一个中 心是指安全管理中心,三层纵深防御体系则由安全计算环境、安全区域边界以及安全通信网络组成)。在安全物理基础环境上,进一步强调了管理中心、计算环境、区域边界及网络传输的可信性,使
医院信息等级保护解决方案
医院信息等级保护解决方案 一、安全等保的测评对象 医院的信息系统有几十种,除了明确定级为三级的核心业务信息系统,其它业务系统如何处理?拿上海为例,HIS、LIS和RIS定级为三级信息系统,那么这3个系统之外的如EMR、临床路径系统等如何考虑?实际上等保的第一项工作即是给本单位信息系统分类定级,根据系统重要性的不同,进行不同级别的定级。如果某个系统与核心业务系统同样重要,可另外定为三级;其它系统可以定为二级。定为二级的系统按照二级安全等保标准进行建设和测评。 对于二级或三级的业务信息系统,其安全运行所需要的机房、链路、网络、服务器、存储、操作系统、应用软件等都是测评对象。 二、三级安全等保解决方案 1.网络访问控制管理 一般规模的医院网络都采用二层结构,即全院网关终结在核心交换机;同时医院的数据流量绝大部分都是纵向流量(即终端访问服务器的流量),横向流量(终端之间的访问流量)基本没有。在这样的流量模型下,尽管内网与公网隔离,但还有如下内容要进行安全保护。 ●服务器区域:要防范的是“家贼”,即内部数据泄露或病毒DDoS攻击。 ●与无线网络的连接链路:无线网络的开放性使其通常被认为是不安全的。 ●与外联单位的连接链路:外联单位属于网络边界。 安全插卡的优势体现在两点: ?传统医院服务器大都直接连在核心交换机上,在进行服务器的防范时,如果采用外接安全设备,不得不把安全设备串接在服务器和核心交换机之间或者进行流量重定 向,即需要对原来的网络结构进行改造; ?(如图2所示)所有的硬件安全产品(FW、IPS和流量探针)都采用插卡形式,通过其虚拟化功能,即1块插在交换机中的安全插卡可以虚拟化成多个同功能的安全 产品,可以进行上述不同线路上的安全防范。 安全插卡解决方案可以满足三级等保网络安全技术条款中的11条(网络访问控制、入侵防范和恶意代码防范)。 2.审计报表规范 医院业务关系到民生,而且是7*24小时提供服务,因此医院的网络建设首先要考虑可靠性,因此选择的网络产品通常会高于业务流量的实际需求,引发的问题是大部分医院并不知道自己实际的流量模型,即各个服务器、各种业务的访问高峰、整个网络流量分布图等。 3.网络边界完整性检查 目前医院的网络分布,在很多地方是既有内网口又有外网口。医务人员对工作地点的网络结构熟悉后,会出现自行把医用终端从内网移到外网,违规访问外网后再接回内网的情况。目前针对此问题,医院想到的方法通常是MAC地址和端口绑定,但引发的问题是维护工作量巨大,使得很多医院对此解决方案望而却步。同时,随着各种医务自助机应用的普及,内网
医院等级保护
医院信息化安全是现在所有医院面临的重要课题。为了更好的保证医院信息安全,2011年底,卫生部先后下达85号通知和1126号通知,要求全国卫生行业各单 位全面开展信息安全等级保护工作,于2015年12月30日前完成等保建设整改并通过等级测评。 2007 年由公安部下发的43号令拉开了各行业信息安全等保建设的序幕,2008 年颁布的国标《GB/T 22239-2008 信息安全技术-信息系统安全等级保护基本要求》是信息系统安全等保的建设标准。卫生部下发的“85号通知”中的等保工 作指导意见明确要求全国所有三甲医院核心业务信息系统的安全保护等级原则上不低于第三级,哪些系统是核心业务信息系统则由各地区自己定义,比如上海最终规定的核心业务信息系统是HIS、 LIS和RIS。 图1医院网络现状 (如图1所示)医院的网络根据承载业务的不同可划分为内网、外网和设备网,其中: 内网即医院的医务生产网,承载所有业务应用系统,包括大家熟知的HIS、PACS、LIS等系统; 外网即与Internet相联的网络,承载的业务包括邮件、OA等; 设备网是一张新兴的网,承载IP化的智能化弱电系统,包括:公共广播、门禁、楼控、安防视频监控等。 各医院实际网络建设模式会有不同。传统的是内外网物理隔离,但仍有相当一部分是内外网物理合一、逻辑隔离。内网实际上也有外部连接,如医保、公共卫生、新农合、银行等;但这些连接都是内网与内网通过专线连接,且通过前置机进行数据访问。
医院的网络根据承载介质的不同可分为有线网络和无线网络。根据传统习惯,如果不特别说明,上述的内网、外网和设备网均特指有线网络。但实际上无线网络承载的业务也有内外网之分。有的医院无线网只承载内网业务,如无线查房、无线护理、无线补液等;有的医院无线网不仅承载内网业务,还会提供与外网相关的业务,如员工外网业务、病房VIP Internet业务等。无线网络中的内网业务都要访问HIS、RIS等核心业务信息系统,所以作为有线网络的有效补充,无线网络也应是三级安全等保检查中的一部分。 如前所述,大部分地区规定的核心业务信息系统都是内网业务,即三级安全等保只与医院的内网业务系统相关,而对于内外网物理隔离的工作场景,与传统的以防范Internet业务为主的安全解决方案明显不同。 一、安全等保的测评对象 GB/T 22239-2008中的三级安全等保标准共290项内容,由技术(136项)和管理(154项)2部分组成;技术要求中分为物理、网络、主机、应用和数据安全5部分。根据各地的自有特点,以提高系统的安全性为目的,各地的等保测评机构会进行标准的补充。 医院的信息系统有几十种,除了明确定级为三级的核心业务信息系统,其它业务系统如何处理?拿上海为例,HIS、LIS和RIS定级为三级信息系统,那么这3 个系统之外的如EMR、临床路径系统等如何考虑?实际上等保的第一项工作即是给本单位信息系统分类定级,根据系统重要性的不同,进行不同级别的定级。如果某个系统与核心业务系统同样重要,可另外定为三级;其它系统可以定为二级。定为二级的系统按照二级安全等保标准进行建设和测评。 对于二级或三级的业务信息系统,其安全运行所需要的机房、链路、网络、服务器、存储、操作系统、应用软件等都是测评对象。 二、安全等保网络安全解读 作为安全等保的重要组成部分,网络安全因其分散、覆盖面广的特点,是等保评测的重点,也是医院信息安全的难点。在等保三级标准内容中,网络安全共分为7部分,共33条: l 结构安全——7条要求,对整体网络架构、带宽和设备性能提出了管理要求; l 网络访问控制——8条要求,对网络边界控制防范、边界连接的控制提出了管理要求; l 安全审计—— 4条要求,对包括设备、事件和用户等目标的日志系统提出管理要求; l 边界完整性检查——2条要求,对接入规范和防内网外联提出了管理要求;
H3C医院信息等级保护解决方案
H3C医院信息等级保护解决方案 医院信息化安全是现在所有医院面临的重要课题。为了更好的保证医院信息安全,2011年底,卫生部先后下达85号通知和1126号通知,要求全国卫生行业各单位全面开展信息安全等级保护工作,于2015年12月30日前完成等保建设整改并通过等级测评。 2007年由公安部下发的43号令拉开了各行业信息安全等保建设的序幕,2008年颁布的国标《GB/T 22239-2008 信息安全技术-信息系统安全等级保护基本要求》是信息系统安全等保的建设标准。卫生部下发的“85号通知”中的等保工作指导意见明确要求全国所有三甲医院核心业务信息系统的安全保护等级原则上不低于第三级,哪些系统是核心业务信息系统则由各地区自己定义,比如上海最终规定的核心业务信息系统是HIS、LIS和RIS。 图1医院网络现状 (如图1所示)医院的网络根据承载业务的不同可划分为内网、外网和设备网,其中:
内网即医院的医务生产网,承载所有业务应用系统,包括大家熟知的HIS、PACS、LIS等系统; 外网即与Internet相联的网络,承载的业务包括邮件、OA等; 设备网是一张新兴的网,承载IP化的智能化弱电系统,包括:公共广播、门禁、楼控、安防视频监控等。 各医院实际网络建设模式会有不同。传统的是内外网物理隔离,但仍有相当一部分是内外网物理合一、逻辑隔离。内网实际上也有外部连接,如医保、公共卫生、新农合、银行等;但这些连接都是内网与内网通过专线连接,且通过前置机进行数据访问。 医院的网络根据承载介质的不同可分为有线网络和无线网络。根据传统习惯,如果不特别说明,上述的内网、外网和设备网均特指有线网络。但实际上无线网络承载的业务也有内外网之分。有的医院无线网只承载内网业务,如无线查房、无线护理、无线补液等;有的医院无线网不仅承载内网业务,还会提供与外网相关的业务,如员工外网业务、病房VIP Internet业务等。无线网络中的内网业务都要访问HIS、RIS等核心业务信息系统,所以作为有线网络的有效补充,无线网络也应是三级安全等保检查中的一部分。 如前所述,大部分地区规定的核心业务信息系统都是内网业务,即三级安全等保只与医院的内网业务系统相关,而对于内外网物理隔离的工作场景,与传统的以防范Internet业务为主的安全解决方案明显不同。
医院信息系统安全等级保护工作实施方案
关于做好信息安全等级保护工作的通知 各科室: 医院信息系统是医疗服务的重要支撑体系。为贯彻落实国家信息安全等级保护制度,确保我院信息系统安全可靠运行,根据《湖北省卫生厅湖北省公安厅关于开展全省卫生行业信息安全等级保护工作通知》(鄂卫发〔2012〕14号)精神,并结合我院信息系统应用的特点,就相关事项通知如下。 一、组织领导 组长: 副组长: 组员: 领导小组办公室设在XX科,由XX同志兼任主任,XXX等同志负责具体工作。 二、工作任务 1、做好系统定级工作。定级系统包括基础支撑系统,面向患者服务信息系统,内部行政管理信息系统、网络直报系统及门户网站,定级方法由市卫生局统一与市公安局等信息安全相关部门协商。 2、做好系统备案工作。按照市卫生系统信息安全等级保护划分定级要求,对信息系统进行定级后,将本单位《信息系统安全等级保护备案表》《信息系统定级报告》和备案电子数据报卫生局,由卫生局报属地公安机关办理备案手续。 3、做好系统等级测评工作。完成定级备案后,选择市卫生局推荐的等级测评机构,对已确定安全保护等级信息系统,按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准开展等级测评,信息系统测评后,及时将测评机构出具的《信息系统等级测评报告》向属地公安机关报备。 4、完善等级保护体系建设做好整改工作。按照测评报告评测结果,对照《信息系统安全等级保护基本要求》等有关标准,组织开展等级保护安全建设整改工作,具体要求如下:?安全类别 控制项 主要安全措施 二级保护措施 三级保护措施 物理安全 物理访问控制 机房安排专人负责,来访人员须审批和陪同 √
医院等级保护知识和方案
医院等级保护知识和方案 医院等级保护知识和方案作者Clotus来源青莲网络浏览10/04/251 :政策和知识 《信息安全等级保护管理办法》43号文《计算机信息系统安全保护条例》147号文 《国家信息化领导小组关于加强信息处理安全保障工作的意见》27号文 《关于信息安全等级保护工作的实施意见》66号文2003年,中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文)中,已将信息安全等级保护作为国家信息安全保障工作的重中之重,要求各级党委、人民政府认真组织贯彻落实。《意见》中明确指出,信息化发展的不同阶段和不同的信息系统,有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。 之后,一系列的国家部委、行业组织下发了关于信息系统等级保护方面的政策和规范。2004年,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发了《关于信息安全等级保护工作的实施意见》(66号文)。2005年国信办下发了《电子政务信息安全等级保护实施指南》(25号文)。2005年底,公安部下发了《关于开展信息系统安全等级保护基础调查工作的通知》(公信安[2005]1431号),并从2006年1月由全国各级公安机关组织开展了全国范围内各行业、企业信息系统的基础信息调研工作,并先后出台了《信息系统安全保护等级定级指南(试用稿)》、《信息系统安全等级保护基本要求(试用稿)》、《信息系统安全等级保护测评准则(送审稿)》、《信息系统安全等级保护实施指南(送审稿)》等指导性文件。 2:等保知识/业界动态 深圳卫生部门与警方合作保护医院信息系统上海市已经全面启动数字化医院话安全(出现过的安全问题)信息安全与医院业务连续性 安全问题关系到病人的利益,如何保障医院信息安全,确保业务连续性,是各大医院面临的共同挑战。
等级保护技术方案-XX大学附属XX医院-三级
密级:秘密 XX大学附属XX医院 (信息安全建设整体规划方案) XX有限公司 201X年X月X日
目录 1工程项目背景 (7) 2安全建设路线 (8) 2.1设计原则 (8) 2.1.1等级保护建设原则 (8) 2.1.2体系化的设计原则 (8) 2.1.3产品的先进性原则 (8) 2.1.4按步骤有序建设原则 (8) 2.1.5安全服务细致化原则 (9) 2.2等级化建设思路 (9) 3系统分析 (10) 3.1网络结构分析 (10) 3.1.1业务内网 (10) 3.1.2办公外网 (11) 3.2业务系统分析 (12) 3.2.1业务内网 (12) 3.2.2办公外网 (12) 4等级保护建设流程 (14) 5方案参照标准 (16) 6安全风险与需求分析 (17) 6.1安全技术需求分析 (17) 6.1.1物理安全风险与需求分析 (17) 6.1.2计算环境安全风险与需求分析 (18) 6.1.3区域边界安全风险与需求分析 (20) 6.1.4通信网络安全风险与需求分析 (21)
6.2安全管理需求分析 (23) 7技术体系方案设计 (23) 7.1方案设计目标 (23) 7.2方案设计框架 (24) 7.3安全技术体系设计 (25) 7.3.1物理安全设计 (25) 7.3.2计算环境安全设计 (27) 7.3.2.1.................................................... 身份鉴别 27 7.3.2.2.................................................... 访问控制 28 7.3.2.3................................................. 系统安全审计 29 7.3.2.4.................................................... 入侵防范 30 7.3.2.5.............................................. 主机恶意代码防范 31 7.3.2.6.................................................... 软件容错 31 7.3.2.7............................................ 数据完整性与保密性 31 7.3.2.8................................................... 备份与恢复 32 7.3.2.9.................................................... 资源控制 33 7.3.2.10客体安全重用 (34) 7.3.2.11抗抵赖 (34) 7.3.3区域边界安全设计 (35)
医院等级保护知识和方案
医院等级保护知识和方案医院等级保护知识和方案 作者Clotus来源青莲网络浏览10/04/251:政策和知识 《信息安全等级保护管理办法》43号文《计算机信息系统安全保护条例》147号文《国家信息化领导小组关于加强信息处理安全保障工作的意见》27号文 《关于信息安全等级保护工作的实施意见》66号文 2003年,中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文)中,已将信息安全等级保护作为国家信息安全保障工作的重中之重,要求各级党委、人民政府认真组织贯彻落实。《意见》中明确指出,信息化发展的不同阶段和不同的信息系统,有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。 之后,一系列的国家部委、行业组织下发了关于信息系统等级保护方面的政策和规范。2004年,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发了《关于信息安全等级保护工作的实施意见》(66号文)。2005年国信办下发了《电子政务信息安全等级保护实施指南》(25号文)。2005年底,公安部下发了《关于开展信息系统安全等级保护基础调查工作的通知》(公信安[2005]1431号),并从2006年1月由全国各级公安机关组织开展了全国范围内各行业、企业信息系统的基础信息调研工作,并先后出台了《信息系统安全保护等级定级指南(试用稿)》、《信息系统安全等级保护基本要求(试用稿)》、《信息系统安全等级保护测评准则(送审稿)》、《信息系统安全等级保护实施指南(送审稿)》等指导性文件。 2:等保知识/业界动态
深圳卫生部门与警方合作保护医院信息系统上海市已经全面启动数字化医 院话安全(出现过的安全问题)信息安全与医院业务连续性 安全问题关系到病人的利益,如何保障医院信息安全,确保业务连续性, 是各大医院面临的共同挑战。 现在,很多行业正在开展信息安全等级保护的评级和检查工作,医疗卫生 行业也是如此。在IT技术日益深入到医院运营管理各方面的今天,信息化建设已经成为医院发展的重要内容,其中,信息安全问题也日益突出。 如今,无论是医务工作者还是病患,每天都需要借助信息系统的辅助支持 完成日常工作和就诊。在门诊方面,挂号、收费、发药、护士分诊、大夫看病 都是借助门诊信息系统;病房方面,每天大夫查房,开医嘱、护士给患者发药 等都借助住院信息系统;患者在医院做化验、照片子等都要借助医院信息系统 完成。医院信息系统已经成为医院不可缺少的工具。 在这种情况下,医院信息系统一旦出现问题,整个医院将无法运行,所以说,医院信息系统的安全问题直接关系到病人的利益,医院信息系统出现故障,将造成病人无法就诊、无法及时得到有效的治疗。 确保医院业务连续性 通常,医院信息系统的组成,包括网络、服务器、存储设备、操作系统、 数据库、应用软件等。在这个系统中,只要有一个子系统或部件出现故障,都 将造成整个系统瘫痪。同时,医院的信息系统和其它行业相比,有其自身的特 点所在。 医院信息系统分类多。在医院内部,信息系统有医疗业务信息系统、办公 信息系统、科研信息系统、教学信息系统、图书管理信息系统等。在上述信息 系统中,对安全性要求最高的是医疗业务信息系统。它是直接为病人服务的, 它的可用性直接影响医院业务运行的连续性。 业务连续性要求高。医疗机构的特点是24小时营业,其它行业一般都有停止营业休息时间,而医院没有,医院一年365天每天24小时开门营业。这样对
医院信息安全等级保护建设方案讲解
医院信息系统等级保护 建设方案
1.为什么需要等级保护? 1.1 什么是等级保护? 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。 1.2 等级保护的重要性 等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的是,等级保护是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。 在医疗行业的信息化建设过程中,信息安全的建设虽然只是一个很小的部分,但其重要性不容忽视。便捷、开放的网络环境,是医疗行业信息化建设的基础,在数据传递和共享的过程当中,数据的安全性要切实地得到保障,才能保障医疗信息化业务的正常运行。然而,我们的数据却面临着越来越多的安全风险,时刻对业务的正常运行带来威胁。 1.3 国家强制性等保要求 国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》,要求涉及国计民生的信息系统应达到一定的安全等级,根据文件精神和等级划分的原则,医疗信息系统构筑至少应达到二级或以上防护要求。 2. 等级保护实施过程 “等级化安全体系”是依据国家信息安全等级保护制度,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化与体系化相结合的安全体系设计方法,帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。 根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行: 1.系统识别与定级:通过分析系统所属类型、所属信息类别、服务范围以及业务对 系统的依赖程度确定系统的等级。 2.安全域设计:根据第一步的结果,通过分析系统业务流程、功能模块,根据安全
医院信息安全等级保护制度
医院信息安全等级保护制度 一、用户管理制度: 1、信息科不得向任何人透漏员工的账号和密码。 2、医院员工对本人账号和密码必须遵守以下规定: (1)新员工凭人事科报到单,到信息科配置账号和密码;员工离院时:到信息科注销账号和密码;人事科凭信息科“已注消账号和密码”的依据同意员工调出或离院;财务科凭信息科“已注消账号和密码”的依据结付相关费用。 (2)员工不得将本人的账号和密码告诉其他人或写在任何其他人可得到的书面资料上,并每隔60天定期修改密码,对有疑问的密码应及时修改。 (3)任何人员不得使用他人的账号和密码,也不得将工作范围内可接触到的数据告诉其他任何未经授权的人员,并在离开终端时及时退出计算机系统。 (4)密码可以是字母与数字的组合。 二、系统操作分级管理制度 1、本院系统管理首先确定为管理对象重要级别。从1-3级别区分,以一级为最高等级。不同的级别制定相应的密码权限安全管理方案。 2、一级设备为主数据库服务器和核心网络设备。这些设备的密码保存人为信息科主任与服务器管理员。所能操作
人员仅限于服务器最高权限的管理员。采取统一入口管理。对于一些重大操作,必须有文字记录。 3、二级设备主要是普通服务器、接入交换机和数据库密码。密码保存人为信息科主任与信息科工作人员。对于一些重大操作,必须有文字记录。 4、三级设备为安装在各使用部门的电脑,密码由相关科室设备负责人自行保管。 5、对于设备具体分级细则,在遵循以上原则的情况下,细节由信息科内部协商判断而制定。 6、对于密码,数据泄露,造成业务中断,或相关私密数据泄露。将临时通过技术手段保护与监控相应设备。待问题解决后。整理所有相关数据整理后上报医院存档。 三.网络运行监控、防病毒、防入侵、桌面管理措施 1、为了保护我院数据与网络的安全,保证网络的正常运行,促进网络更好的应用和发展,制定本制度。 2、利用防火墙将内部网络、Internet外部网络、DMZ 服务区、安全监控与备份中心进行有效隔离,避免与外部网络直接通信。 3、利用防火墙建立网络各终端和服务器的安全保护措施,保证系统安全。 4、利用防火墙对来自外网的服务请求进行控制,使非法访问在到达主机前被拒绝。
医院信息等级保护解决方案
医院信息等级保护解决方案 医院信息化安全是现在所有医院面临的重要课题。为了更好的保证医院信息安全,2011年底,卫生部先后下达85号通知和1126号通知,要求全国卫生行业各单位全面开展信息安全等级保护工作,于2015年12月30日前完成等保建设整改并通过等级测评。 2007年由公安部下发的43号令拉开了各行业信息安全等保建设的序幕,2008年颁布的国标《GB/T 22239-2008信息安全技术-信息系统安全等级保护基本要求》是信息系统安全等保的建设标准。卫生部下发的“85号通知”中的等保工作指导意见明确要求全国所有三甲医院核心业务信息系统的安全保护等级原则上不低于第三级,哪些系统是核心业务信息系统则由各地区自己定义,比如上海最终规定的核心业务信息系统是HIS、LIS和RIS。 图1医院网络现状 (如图1所示)医院的网络根据承载业务的不同可划分为内网、外网和设备网,其中:内网即医院的医务生产网,承载所有业务应用系统,包括大家熟知的HIS、PACS、LIS等系统; 外网即与Internet相联的网络,承载的业务包括邮件、OA等; 设备网是一张新兴的网,承载IP化的智能化弱电系统,包括:公共广播、门禁、楼控、安防视频监控等。 各医院实际网络建设模式会有不同。传统的是内外网物理隔离,但仍有相当一部分是内外网物理合一、逻辑隔离。内网实际上也有外部连接,如医保、公共卫生、新农合、银行等;但这些连接都是内网与内网通过专线连接,且通过前置机进行数据访问。 医院的网络根据承载介质的不同可分为有线网络和无线网络。根据传统习惯,如果不特别说明,上述的内
网、外网和设备网均特指有线网络。但实际上无线网络承载的业务也有内外网之分。有的医院无线网只承载内网业务,如无线查房、无线护理、无线补液等;有的医院无线网不仅承载内网业务,还会提供与外网相关的业务,如员工外网业务、病房VIP Internet业务等。无线网络中的内网业务都要访问HIS、RIS 等核心业务信息系统,所以作为有线网络的有效补充,无线网络也应是三级安全等保检查中的一部分。 如前所述,大部分地区规定的核心业务信息系统都是内网业务,即三级安全等保只与医院的内网业务系统相关,而对于内外网物理隔离的工作场景,与传统的以防范Internet业务为主的安全解决方案明显不同。 一、安全等保的测评对象 GB/T22239-2008中的三级安全等保标准共290项内容,由技术(136项)和管理(154项)2部分组成;技术要求中分为物理、网络、主机、应用和数据安全5部分。根据各地的自有特点,以提高系统的安全性为目的,各地的等保测评机构会进行标准的补充。 医院的信息系统有几十种,除了明确定级为三级的核心业务信息系统,其它业务系统如何处理?拿上海为例,HIS、LIS和RIS定级为三级信息系统,那么这3个系统之外的如EMR、临床路径系统等如何考虑?实际上等保的第一项工作即是给本单位信息系统分类定级,根据系统重要性的不同,进行不同级别的定级。如果某个系统与核心业务系统同样重要,可另外定为三级;其它系统可以定为二级。定为二级的系统按照二级安全等保标准进行建设和测评。 对于二级或三级的业务信息系统,其安全运行所需要的机房、链路、网络、服务器、存储、操作系统、应用软件等都是测评对象。 二、安全等保网络安全解读 作为安全等保的重要组成部分,网络安全因其分散、覆盖面广的特点,是等保评测的重点,也是医院信息安全的难点。在等保三级标准内容中,网络安全共分为7部分,共33条: l结构安全——7条要求,对整体网络架构、带宽和设备性能提出了管理要求; l网络访问控制——8条要求,对网络边界控制防范、边界连接的控制提出了管理要求; l安全审计——4条要求,对包括设备、事件和用户等目标的日志系统提出管理要求; l边界完整性检查——2条要求,对接入规范和防内网外联提出了管理要求; l入侵防范——2条要求,对网络边界应用级攻击的检测防范提出了管理要求; l恶意代码防范——2条要求,对网络边界恶意代码防范和代码库的升级提出的管理要求; l网络设备防护——8条要求,对设备管理的安全性提出了管理要求。 经过分析,等保网络安全部分的管理要求在很大程度上与边界设备和终端系统直接相关,边界设备的安全和管理功能,终端系统的功能和用户管理功能,可以直接覆盖绝大部分网络安全的管理要求条款。 三、H3C三级安全等保解决方案
等级评审-医院信息安全等级保护制度
信息安全等级保护制度 卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作,对于促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序和国家安全具有重要意义。为贯彻落实国家信息安全等级保护制度,我院按照卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知(卫办发[2011]85号)、卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知(卫办综函[2011]1126号)、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)、内蒙古卫生厅做好卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知(内卫信[2012]20号)、关于成立***卫生信息系统安全等级保护工作领导小组的通知(内卫信字[2012]665号)、转发卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知(内卫信字[2012]21号)、关于开展信息安全等级保护大检查工作的通知(内卫信字[2012]1号)等文件的精神,根据我院自身情况,制定了***人民医院信息安全等级保护制度。 一、工作目标 依据国家信息安全等级保护制度,遵循相关标准规范,在我院全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护工作长效机制,切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力,为我院卫生信息化健康发展提供可靠保障,全面维护公共利益、社会秩序和国家安全。 二、工作原则
(一)遵循标准,重点保护。遵循国家信息安全等级保护相关标准规范,结合卫生行业信息系统特点以及我院实际情况,优先保护重要卫生信息系统,优先满足重点信息安全需求。 (二)行业指导,明确责任。我院严格按照国家信息安全等级保护制度有关要求,贯彻落实本院卫生信息系统安全等级保护的指导和管理工作。按照上级要求,制定“谁主管、谁负责,谁运营、谁负责”的责任制度,落实信息安全责任。 (三)同步建设,动态完善。在信息系统规划设计与建设过程中,同步开展信息安全等级保护工作。因信息和信息系统的业务类型、应用范围等条件改变导致安全需求发生变化时,应当重新调整信息系统安全保护等级,及时完善安全保障措施。 三、工作机制 在分管院长、院办主任的领导下,由我院信息中心落实本院卫生信息安全等级保护工作,负责对我院卫生行业信息安全等级保护工作的组织协调、监督指导,积极开展信息安全等级保护工作。 按照上级相关要求,我院建立信息安全等级保护工作联络员机制,设置信息安全等级保护工作联络员。联络员职责是落实国家信息安全等级保护工作的有关政策和技术标准,掌握本院信息安全等级保护工作动态和总体情况,代表我院与卫生行政部门以及信息安全等级保护管理部门进行日常联系和交流,协调落实本院信息安全等级保护工作。 四、工作任务 (一)定级备案
医院信息化安全等保解决方案(二级)
医院信息化安全等保解决方案 一、行业背景与需求 为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,卫生部办公厅于2011年12月下发卫生部《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85号)(以下简称《指导意见》)。为贯彻《指导意见》,办公厅同时下发《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号)(以下简称《通知》),对卫生行业各单位提出如下要求: ■ 2012年5月30日前完成本单位信息系统的定级备案工作; ■根据信息系统定级备案情况开展等级测评工作,查找安全差距和风险隐患,并结合自身安全需求,制订安全建设整改方案; ■ 2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。 《指导意见》根据《信息安全技术信息系统安全等级保护定级指南》(以下简称《定级指南》)、《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》),建议县区级医院的核心业务信息系统安全保护等级原则上不低于二级。各省卫生厅根据《指导意见》、《定级指南》、《基本要求》等相关规定,并结合本区域现状提出本区域内县区级医院定级要求,大部分省(市)定级要求如下:
二、迪普解决之道 为帮助县区医院落实国家信息安全等级保护制度与卫生部信息安全等级保护工作要求,迪普科技从主机安全、应用安全、数据安全与备份恢复四个层面为县区医院提供全方位的等级保护解决方案。 ■整体思路 县级医院网络一般分为两张物理网络:内网(业务网)和外网(办公网)。内网主要承载着HIS、LIS、PACS等医院信息系统,外网主要承载医院OA、网站、mail等信息系统。《基本要求》中规定不同安全保护等级的信息系统应该具备相应的基本安全保护能力,应满足相应的基本安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。基本技术要求包含物理安全、网络安全、主机安全、应用安全和数据安全几个层面。本方案针对医院内外两张物理网络及其承载的信息系统,分别从网络安全、主机安全、应用安全、数据安全四个层面进行设计。 网络安全、主机安全、应用安全、数据安全均包含多个控制点,而每个控制点又包含多个具体的技术要求项,本方案针对其中具体项要求提出以下的安全措施,如下表所示:
医院等级保护技术方案
信息安全等级保护技术方 案
目录 1工程项目背景 (6) 2系统分析 (7) 3等级保护建设流程 (7) 4方案参照标准 (10) 5安全区域框架 (11) 6安全等级划分 (12) 6.1.1定级流程 (12) 6.1.2定级结果 (14) 7安全风险与需求分析 (15) 7.1安全技术需求分析 (15) 7.1.1物理安全风险与需求分析 (15) 7.1.2计算环境安全风险与需求分析 (15) 7.1.3区域边界安全风险与需求分析 (18) 7.1.4通信网络安全风险与需求分析 (19) 7.2安全管理需求分析 (21) 8技术体系方案设计 (22) 8.1方案设计目标 (22) 8.2方案设计框架 (22) 8.3安全技术体系设计 (25) 8.3.1物理安全设计 (25) 8.3.2计算环境安全设计 (26) 8.3.2.1身份鉴别 (26) 8.3.2.2访问控制 (27) 8.3.2.3系统安全审计 (28)
8.3.2.4入侵防范 (29) 8.3.2.5主机恶意代码防范 (30) 8.3.2.6软件容错 (31) 8.3.2.7数据完整性与保密性 (31) 8.3.2.8备份与恢复 (33) 8.3.2.9资源控制 (33) 8.3.2.10客体安全重用 (34) 8.3.2.11抗抵赖 (35) 8.3.3区域边界安全设计 (35) 8.3.3.1边界访问控制 (35) 8.3.3.2边界完整性检查 (37) 8.3.3.3边界入侵防范 (37) 8.3.3.4边界安全审计 (38) 8.3.3.5边界恶意代码防范 (39) 8.3.4通信网络安全设计 (39) 8.3.4.1网络结构安全 (39) 8.3.4.2网络安全审计 (40) 8.3.4.3网络设备防护 (40) 8.3.4.4通信完整性 (41) 8.3.4.5通信保密性 (41) 8.3.4.6网络可信接入 (42) 8.3.5安全管理中心设计 (43) 8.3.5.1系统管理 (43) 8.3.5.2审计管理 (44) 8.3.5.3安全管理 (45) 8.3.6不同等级系统互联互通 (46) 9安全管理体系设计 (47) 10安全运维服务设计 (48)
XX医院信息系统等级保护建设方案V21_2014
山东省电力集团公司信息系统等级保护建设方案 二零零九年八月
目录 1.项目概述 (1) 1.1目标与范围 (1) 1.2方案设计 (2) 1.3参照标准 (2) 2.等保现状及建设总目标 (2) 2.1等级保护现状.......................................................... 错误!未定义书签。 2.1.1国家电网公司等保评测结果........................... 错误!未定义书签。 2.1.2公安部等保测评结果....................................... 错误!未定义书签。 2.2等级保护建设总体目标 (2) 3.安全域及网络边界防护 (3) 3.1信息网络现状 (3) 3.2安全域划分方法 (4) 3.3安全域边界 (5) 3.3.1二级系统边界 (5) 3.3.2三级系统边界 (6) 3.4安全域的实现形式 (7) 3.5安全域划分及边界防护 (8) 3.5.1安全域的划分 (8) 4.信息安全管理建设 (11) 4.1建设目标 (11) 4.2安全管理机构建设.................................................. 错误!未定义书签。 4.3安全管理制度完善.................................................. 错误!未定义书签。 5.二级系统域建设 (12) 5.1概述与建设目标 (12) 5.2网络安全 (13) 5.2.1网络安全建设目标 (13) 5.2.2地市公司建设方案 (13) 5.3主机安全 (19) 5.3.1主机安全建设目标 (19)
医院信息安全等级保护制度
精心整理医院信息安全等级保护制度 一、用户管理制度: 1、信息科不得向任何人透漏员工的账号和密码。 (4)密码可以是字母与数字的组合。 二、系统操作分级管理制度 1、本院系统管理首先确定为管理对象重要级别。从1-3级别区分,以一级为最高等级。不同的级别制定相应的密码权限安全管理方案。
2、一级设备为主数据库服务器和核心网络设备。这些设备的密码保存人为信息科主任与服务器管理员。所能操作人员仅限于服务器最高权限的管理员。采取统一入口管理。对于一些重大操作,必须有文字记录。 3、二级设备主要是普通服务器、接入交换机和数据库密码。密码保存人为信息科主任与信息科工作人员。对于一些重大操作,必须有文字记 三. 2、利用防火墙将内部网络、Internet外部网络、DMZ服务区、安全监控与备份中心进行有效隔离,避免与外部网络直接通信。 3、利用防火墙建立网络各终端和服务器的安全保护措施,保证系统
安全。 4、利用防火墙对来自外网的服务请求进行控制,使非法访问在到达主机前被拒绝。 5、利用防火墙使用IP与MAC地址绑定功能,加强终端用户的访问认 12、对用户的非正常活动进行统计分析,发现入侵行为的规律; 13、实时对检测到的入侵行为进行报警、阻断,能够与防火墙/系统联动; 14、对关键正常事件及异常行为记录日志,进行审计跟踪管理。
15、进行统一的安全策略管理和集中的防病毒监控。安装防病毒系统,支持在Windows7和MSExchange等各种主流系统上实现防病毒保护,实时监视系统病毒活动全面查杀病毒、蠕虫、木马、恶意Java/ActiveX程序等,提供灵活多样的病毒修复和处理方法,其病毒检测处理技术处于业界领先地位。 16 xxx
三甲医院实施国家信息安全等级保护制度
三甲医院实施国家信息安全等级保护制度 标准化管理处编码[BBX968T-XBB8968-NNJ668-MM9N]
国家信息安全等级保护制度 一、医疗卫生行业的信息化系统安全建设目标如下: 实施国家信息安全等级保护制度,实行信息系统操作权限分级管理,保障网络信息安全,保护患者隐私。推动系统运行维护的规范化管理,落实突发事件响应机制,保证业务的连续性。 二、医疗卫生行业的信息化系统安全建设需求如下:需要加强信息系统的安全保障和患者隐私保护,具体要求如下: 有信息系统安全措施和应急处理预案。信息系统运行稳定、安全,具有防灾备份系统,实行网络运行监控,有防病毒、防入侵措施。实行信息系统操作权限分级管理,信息安全采用身份认证、权限控制(包括数据库和运用系统)、病人数据使用控制、保障网络信息安全和保护病人隐私。有安全监管记录,定期分析,及时处理安全预警,持续改进安全保障系统。 三、有信息安全应急演练需要加强信息系统运行维护,具体要求如下: 1.有信息网络运行、设备管理和维护、技术文档管理记录。 2.有信息系统变更、发布、配置管理制度及相关记录。 3.有信息系统软件更新、增补记录。 4.有信息值班、交接班制度, 5.有完整的日常运维记录和值班记录,及时处置安全隐患。
6.有信息系统运行事件(如系统瘫痪)相关的应急预案并组织演练,各部门各科 室有相应的应急措施,保障全院运营,尤其是医疗工作在系统恢复之前不受影响。 7.有根据演练总结开展持续改进的方案和措施。 8.有完善的监控制度与监控记录,及时处理预警事件,定期进行信息系统运行维护评价和改进方案,并组织落实。
- 医院等级保护建设网络安全建设-解决方案
- H3C医院信息等级保护解决方案
- 人民医院信息系统网络安全等级保护整改报告.doc
- 医院等级保护知识和方案
- 医院信息安全等级保护建设方案
- 医院信息系统安全等级保护工作实施方案
- 医院信息安全等级保护建设方案讲解
- H3C医院等级保护解决方案V1
- 医院信息系统安全等级保护工作实施方案样本
- 医院等级保护技术方案
- 医院信息化系统等级保护设计方案
- 医院等级保护
- XXX医院防统方解决方案-医院等级保护解决方案_图文(精)
- 等级保护技术方案-XX大学附属XX医院-三级
- 等级评审-医院信息安全等级保护制度
- (完整版)医院信息安全等级保护建设方案
- 医院等级保护技术方案
- 医院信息安全等级保护建设方案
- 医院等级保护
- 医院信息化安全等保解决方案(二级)1