发布时间 : 星期四 文章××医院等级保护(等保三级)建设方案(医院等保)更新完毕开始阅读151ba489a66e58fafab069dc5022aaea988f412b
1 项目概述
医院是一个信息和技术密集型的行业,其计算机网络是一个完善的办公网络系统,作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。结合医院复杂的HIS、RIS、PACS等应用系统,要求网络必须能够满足数据、语音、图像等综合业务的传输要求,所以在这样的网络上应运用多种高性能设备和先进技术来保证系统的正常运作和稳定的效率。同时医院的网络系统连接着Internet、医保网和高校等,访问人员比较复杂,所以如何保证医院网络系统中的数据安全问题尤为重要。在日新月异的现代化社会进程中,计算机网络几乎延伸到了世界每一个角落,它不停的改变着我们的工作生活方式和思维方式,但是,计算机信息网络安全的脆弱性和易受攻击性是不容忽视的。由于网络设备、计算机操作系统、网络协议等安全技术上的漏洞和管理体制上的不严密,都会使计算机网络受到威胁。我们可以想象一下,对于一个需要高速信息传达的现代化医院,如果遭到致命攻击,会给社会造成多大的影响。
在医院行业的信息化建设过程中,信息安全的建设虽然只是一个很小的部分,但其重要性不容忽视。便捷、开放的网络环境,是医院信息化建设的基础,在数据传递和共享的过程当中,数据的安全性要切实地得到保障,才能保障医院信息化业务的正常运行。然而,我们的数据却面临着越来越多的安全风险,时刻对业务的正常运行带来威胁。
为此,国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》。国家卫生部也在2011年11月发布85号文《卫生行业信息安全等级保护工作的指导意见》,要求涉及国计民生的信息系统应达到一定的安全等级。根据文件精神和等级划分的原则,三甲医院的核心业务系统应该定级为三级,三甲医院的内部行政管理系统和门户网
5
站等应该定级为二级。
所以,在XXX医院的信息化建设过程中,我们应当正视可能面临的各种安全风险,对网络威胁给予充分的重视。为了XXX医院信息网络的安全稳定运行,确保医院信息系统建设项目的顺利实施,结合具体的网络和应用系统情况,作为有着丰富医疗行业大型安全项目实施经验的XXX有限公司,将以极大的信心和饱满的热情,根据XXX医院目前的计算机信息网网络特点及安全需求,本着切合实际、保护投资、着眼未来的原则,提出本技术方案。
2 等级保护建设流程
整体的安全保障体系包括技术和管理两大部分,其中技术部分根据《信息系统安全等级保护基本要求》分为物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行建设;而管理部分根据《信息系统安全等级保护基本要求》则分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面。
整个安全保障体系各部分既有机结合,又相互支撑。之间的关系可以理解为“构建安全管理机构,制定完善的安全管理制度及安全策略,由相关人员,利用技术工手段及相关工具,进行系统建设和运行维护。”
根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行:
1. 系统识别与定级:确定保护对象,通过分析系统所属类型、所属信息类
别、服务范围以及业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况,包括系统业务流程和功能模块,以及确定系统的等级,为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。
2. 安全域设计:根据第一步的结果,通过分析系统业务流程、功能模块,
根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次,为下一步安全保障体系框架设计提供基础框架。
6
3. 确定安全域安全要求:参照国家相关等级保护安全要求,设计不同安全
域的安全要求。通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。
4. 评估现状:根据各等级的安全要求确定各等级的评估内容,根据国家相
关风险评估方法,对系统各层次安全域进行有针对性的等级风险评估。并找出系统安全现状与等级要求的差距,形成完整准确的按需防御的安全需求。通过等级风险评估,可以明确各层次安全域相应等级的安全差距,为下一步安全技术解决方案设计和安全管理建设提供依据。 5. 安全保障体系方案设计:根据安全域框架,设计系统各个层次的安全保
障体系框架以及具体方案。包括:各层次的安全保障体系框架形成系统整体的安全保障体系框架;详细安全技术设计、安全管理设计。 6. 安全建设:根据方案设计内容逐步进行安全建设,满足方案设计做要符
合的安全需求,满足等级保护相应等级的基本要求,实现按需防御。 7. 持续安全运维:通过安全预警、安全监控、安全加固、安全审计、应急
响应等,从事前、事中、事后三个方面进行安全运行维护,确保系统的持续安全,满足持续性按需防御的安全需求。
通过如上步骤,系统可以形成整体的等级化的安全保障体系,同时根据安全术建设和安全管理建设,保障系统整体的安全。而应该特别注意的是:等级保护不是一个项目,它应该是一个不断循环的过程,所以通过整个安全项目、安全服务的实施,来保证用户等级保护的建设能够持续的运行,能够使整个系统随着环境的变化达到持续的安全。
7
3 方案参照标准
? GB/T 21052-2007 信息安全等级保护 信息系统物理安全技术要求 ? 信息安全技术 信息系统安全等级保护基本要求
? 信息安全技术 信息系统安全保护等级定级指南(报批中) ? 信息安全技术信息安全等级保护实施指南(报批中) ? 信息安全技术 信息系统安全等级保护测评指南
? GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 ? GB/T 20270-2006 信息安全技术 网络基础安全技术要求 ? GB/T 20984-2007信息安全技术 信息安全风险评估规范 ? GB/T 20269-2006 信息安全技术 信息系统安全管理要求 ? GB/T 20281-2006 信息安全技术 防火墙技术要求与测试评价方法 ? GB/T 20275-2006 信息安全技术 入侵检测系统技术要求和测试评价方法 ? GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求 ? GB/T 20277-2006 信息安全技术 网络脆弱性扫描产品测试评价方法 ? GB/T 20279-2006 信息安全技术 网络端设备隔离部件技术要求 ? GB/T 20280-2006 信息安全技术 网络端设备隔离部件测试评价方法 等。
8