佛罗伦萨ppt 首页 > 安全等保方案
安全等保方案

一、项目背景

       卫生医疗行业信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级?;すぷ?,对于促进卫生医疗信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序和国家安全具有重要意义。
       为贯彻落实国家信息安全等级?;ぶ贫?,规范和指导全国卫生行业信息安全等级?;すぷ?,按照公安部《关于开展信息安全等级?;ぐ踩ㄉ枵墓ぷ鞯闹傅家饧罚ü虐病?009〕 1429号)要求,卫生部结合卫生行业实际,特研究制定了《卫生行业信息安全等级?;すぷ鞯闹傅家饧罚ㄎ腊旆ⅰ?011〕85号)和《卫生部办公厅关于全面开展卫生行业信息安全等级?;すぷ鞯耐ㄖ罚ㄎ腊熳酆?011〕1126号)来指导卫生医疗行业的信息安全建设工作。
       什么是等保?
       信息安全等级?;な侵付怨颐孛苄畔?、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全?;?,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

二、项目目标



本方案主要围绕三大目标进行设计:
1 、建立适度化的等级?;そㄉ璩晒?,并达成政策与标准的合规性保障
构建基于安全保障标准的等级?;ぬ逑?,确立A医院各级、各类业务资产的等保建设要求,确保各类信息系统在不同时期、不同条件下的安全水平可控,藉此形成XXX医院信息系统的自主评测、自主巩固与持续改进的能力;
2、符合公安部《信息安全技术信息系统等级?;ぐ踩杓萍际跻蟆泛汀缎畔⑾低嘲踩燃侗;せ疽蟆返认喙乇曜家?,通过安全测评;
3、基于安全保障标准的等级?;ぬ逑到ㄉ韫碳捌涑晒耆裱艺弑曜嫉闹匾傅?,以及行业发展趋势;确保符合测评单位的检查要求,同时符合A医院的实际需求与适用性。

三、总体设计思路



       基于适度?;さ男畔踩U咸逑?/strong>
       信息安全体系框架是实施安全建设的灵魂和核心,它提供了构建和管理信息系统安全性的理论指南、流程、工具和指标。定义了全面风险管理和安全措施部署的设计路线和方针。使信息系统安全建设在标准化和完备的设计依据中进行,使建设过程具体而可控。从而维护信息价值从输入端至输出端的可信性和可控性;形成完备的事前监控预警、事中防御控制、事后审查追溯的防护机制。呈现持续改进的安全运行管理闭环。
       A医院的信息安全建设会同时依据国家/行业政策标准的指导,因而需要结合现实的业务特点与管理情况,构建各类别各层面信息系统的差异化、本地化?;つ芰?,并通过制订运行管理策略,形成面向当前安全措施及关键系统的运行配置、未知风险的预警与控制情况。
       适度化的安全建设思想能够将上述的方法论贯穿于信息资产的运行周期中,使各阶段、各层面的安全机制相互补足而形成体系,避免了安全建设的重复实施和过度投资。

四、参考文件



国家等级?;ふ?/strong>
《计算机信息系统安全?;さ燃痘肿荚颉罚℅B17859-1999)(基础标准)
《信息安全技术 信息系统安全等级?;せ疽蟆稧B/T 22239-2008 (基线标准)
《信息安全等级?;な凳┲改稀?nbsp;         (辅助标准)
《信息系统等级?;ぐ踩杓萍际跻蟆?br />
行业文件
《中共中央国务院关于深化医药卫生体制改革的意见》
《卫生部印发行业信息安全等级?;すぷ鞯闹傅家饧?br /> 《卫生部办公厅关于全面开展卫生行业信息安全等级?;すぷ鞯耐ㄖ?br /> 《卫生行业信息安全等级?;すぷ髦傅家饧?br /> 《福建省医院信息系统安全等级?;すぷ魇凳┓桨浮?/span>


五、等级?;そㄉ柘钅啃枨蠓治?/strong>

等级?;そㄉ枰?/strong>
安全
类别
控制项
主要安全措施
二级
防护
三级
防护
物理
安全
物理访问控制
机房安排专人负责,来访人员须审批和陪同
重要区域配置门禁系统
 
防盗窃和防破坏
暴露在公共场所的网络设备须具备安全?;ご胧?/span>
主机房安装监控报警系统
 
防雷击
机房计算机系统接地符合GB 50057-1994《建筑物防雷设计规范》中的计算机机房防雷要求
机房电源、网络信号线、重要设备安装有资质的防雷装置。
 
防火
机房设置灭火设备和火灾自动报警系统
机房配置自动灭火装置
 
电力供应
机房及关键设备应配置UPS备用电力供应
医院重要科室应采用双回路电源供电
环境监控
机房设置温、湿度自动调节设施
机房设置防水检测和报警设施
 
对机房关键设备和磁介质实施电磁屏蔽
 
网络
安全
结构安全
网络应按职能和重要程度不同划分网段
重要网段之间应采用防火墙进行隔离
 
访问控制
网络边界部署防火墙或网闸
安全审计
网络日志审计、网络运维管理安全审计
边界完整性检查
采用准入控制系统,实现准入控制、非法外联检查
采用准入控制系统,准入控制及非法外联可阻断
 
入侵防范
入侵检测系统/入侵防御系统
恶意代码防范
防病毒网关
 
主机
安全
入侵防范
采用服务器安全加固
安全审计
采用终端管理系统实现安全审计
恶意代码防范
防病毒软件
应用
安全
身份鉴别
采用电子认证措施
安全审计
数据库安全审计系统
数据安全与备份恢复
备份和恢复
本地数据备份与恢复
硬件冗余
关键网络设备、线路和服务器硬件冗余
异地备份
异地数据备份
 
 





































六、医疗卫生等保实施流程规划


       第一步:“评估定级,定义安全需求”。
       通过风险评估、系统定级、等级评估等服务组件识别系统的安全风险,确定系统的安全等级,并找出系统安全现状与等级要求的差距,形成完整准确的按需防御的安全需求。
       第二步:“体系建设,实现按需防御”。
       通过体系设计制定等级方案,进行安全策略体系、安全组织体系、安全技术体系和安全运维体系建设,满足评估定级阶段形成的安全需求,实现按需防御。
       第三步:“安全运维,确保持续安全”。
通过安全预警、安全监控、安全加固、安全审计、应急响应等服务组件,从事前、事中、事后三个方面进行安全运行维护,确保系统的持续安全,满足持续性按需防御的安全需求。

七、医疗卫生等保体系设计





 
八、等级?;ぐ踩费⌒?/strong>


       根据国家有关法律法规,并结合A医院通信网络的实际要求。我们需要使用具有国内自主知识产权的产品,并且要完全符合相关产品资质要求,并获得安全产品销售许可证,是在国内政府机关、银行、部队、医疗卫生等系统采用较多,运行稳定的防火墙、入侵防御系统、内网安全管系统等安全产品,在功能、性能与管理性等方面能够满足中医院等级?;さ男枨?。
       1)选型要求
       1、在产品选型时,需要厂家能有针对的为用户的应用和业务提供安全保证。
       2、采用可提供本地化服务的厂家的产品??梢蕴峁┍镜鼗癫范杂没У陌踩凉刂匾?,可以及时提供应急安全响应服务,最大程度的?;の以豪?。
       3、在选择产品时需要保证符合相应的国际、国内标准,尤其是国内相关的安全标准。如国内的安全等级标准、漏洞标准,安全标准以及相关国际标准。
       4、产品在使用上应具有友好的用户界面,并且可以进行相应的客户化工作,使用户在管理、使用、维护上尽量简单、直观。

2)信息安全建设配置清单
物理安全
网络安全
防火墙
千兆硬件
入侵防护系统
千兆硬件
防毒墙
千兆硬件
网络审计
千兆硬件
系统安全
漏扫
千兆硬件
终端管理系统
千兆硬件
应用安全
CA
软件产品
Web应用安全
千兆硬件
数据安全
数据库审计
其他设备???/span>
异地存储
软硬件结合
管理安全
堡垒机
千兆硬件
等级?;そㄉ璺?/span>
服务体系
网络设备
网管软件
软件
运维PC
硬件
路由交换设备
路由交换设备