医院信息化安全等保解决方案二级

医院信息化安全等保解决方案 一、行业背景与需求一、行业背景与需求 为贯彻落实国家信息安全等级保护制度， 规范和指导全国卫生行业信息安全等级保护工 作，卫生部办公厅于 2011 年 12 月下发卫生部《卫生行业信息安全等级保护工作的指导意 见》 （卫办发〔2011〕85 号） （以下简称《指导意见》 ） 。为贯彻《指导意见》 ，办公厅同时 下发《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》 （卫办综函 〔2011〕1126 号） （以下简称《通知》 ） ，对卫生行业各单位提出如下要求： ■ 2012 年 5 月 30 日前完成本单位信息系统的定级备案工作； ■ 根据信息系统定级备案情况开展等级测评工作， 查找安全差距和风险隐患， 并结合自身安 全需求，制订安全建设整改方案； ■ 2015 年 12 月 30 日前完成信息安全等级保护建设整改工作，并通过等级测评。 《指导意见》 根据 《信息安全技术信息系统安全等级保护定级指南》（以下简称 《定级指南》 ） 、 《信息安全技术信息系统安全等级保护基本要求》 （以下简称《基本要求》 ） ，建议县区级医 院的核心业务信息系统安全保护等级原则上不低于二级。 各省卫生厅根据《指导意见》 、 《定 级指南》 、 《基本要求》等相关规定，并结合本区域现状提出本区域内县区级医院定级要求， 大部分省（市）定级要求如下： 序号 1 2 信息系统可能侵害的客体定级建议 HIS、LIS、PACS、门诊系统等公民、 法人与其他组织合法权益二级 OA、网站、邮寄等公民、 法人与其他组织合法权益二级 二、迪普解决之道二、迪普解决之道 为帮助县区医院落实国家信息安全等级保护制度与卫生部信息安全等级保护工作要求， 迪普科技从主机安全、 应用安全、 数据安全与备份恢复四个层面为县区医院提供全方位的等 级保护解决方案。 ■ 整体思路整体思路 县级医院网络一般分为两张物理网络：内网（业务网）和外网（办公网） 。内网主要承 载着 HIS、LIS、PACS等医院信息系统，外网主要承载医院OA、网站、mail 等信息系统。 《基本要求》 中规定不同安全保护等级的信息系统应该具备相应的基本安全保护能力， 应满 足相应的基本安全要求， 根据实现方式的不同， 基本安全要求分为基本技术要求和基本管理 要求两大类。基本技术要求包含物理安全、网络安全、主机安全、 应用安全和数据安全几个 层面。 本方案针对医院内外两张物理网络及其承载的信息系统， 分别从网络安全、 主机安全、 应用安全、数据安全四个层面进行设计。 网络安全、主机安全、应用安全、数据安全均包含多个控制点，而每个控制点又包含多个具 体的技术要求项，本方案针对其中具体项要求提出以下的安全措施，如下表所示： ■ 方案描述 医院内网信息安全等级保护方案设计，如下图所示： 图1 首先，将医院内网分为多个安全区域，数据中心区、终端接入区、 安全管理区与外联区 域。根据不同的业务系统与安全区域划分VLAN，在数据中心与外联区域边界部署DPtech FW1000 防火墙，根据访问需求配置安全访问控制策略。对于重要区域边界部署（数据中 心前端）IPS2000 入侵防御系统，对应用层攻击进行检测与在线防御，并在线过滤网络病 毒、 恶意代码在安全管理区部署DPtech UMC统一管理中心与 DPtech Scanner1000漏洞 扫描系统，为安全管理提供必要的技术手段，并集中收集、防火墙与IPS 业务日志等。 医院外网信息安全等级保护方案计设，如下图所示： 图2 医院外网分为对外服务器区、互联网区、终端接入区、安全管理区几个安全区域。 对外服务器区前端部署 DPtech WAF3000 Web应用防火墙，对医院门户网站进行重点防 护，针对 WEB 攻击漏洞进行全面检测和加固，防止网站被攻击与篡改；互联网边界部署 DPtech FW1000 防火墙，根据访问需求配置安全访问控制策略；部署DPtech UAG3000 审计及流控网关， 对外网用户的上网行为进行控制， 合理分配带宽， 并对上网行为进行审计； 在安全管理区部署 DPtech UMC 统一管理中心，对安全设备进行集中管理。 方案设计参考标准 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 GB/T 22240-2008 信息安全技术信息系统安全等级保护实施指南 GB/T 20271-2006 信息安全技术信息系统安全通用技术要求 GA/T 708-2007 信息安全技术信息系统安全等级保护体系框架 GA/T 709-2007 信息安全技术信息系统安全等级保护基本模型 GA/T 709-2007 信息安全技术信息系统安全等级保护基本配置 信息安全技术信息系统等级保护安全建设技术方案设计规范 信息安全技术信息系统等级保护安全设计技术要求 信息安全技术信息系统安全等级保护测评要求 …… 三、为什么选择迪普三、为什么选择迪普 迪普科技 “医院信息系统等级保护解决方案” 依据国家信息安全等级保护相关政策标准 与卫生行业的相关标准与要求， 结合医院信息化安全实际需求进行设计， 可全面提升医院信 息安全防护能力与安全管理能力。主要具备以下特点： ■ 合规性合规性 本方案全面依据《定级指南》 、 《基本要求》等相关标准， 结合迪普科技丰富的等级保护建设 经验，充分理解《信息系统安全等级保护测评要求》 ，对其中的每一项要求均有相关的产品 功能、安全策略与之对应（除非网络产品涉及的要求外） ，采用本方案的医院信息化系统可 充分满足国家与医疗行业等保建设要求。 ■ 全方位全方位 医院信息化安全防护需求多样化， 主要关注边界安全防护、 网站系统防护、互联网上网行为 管理、重要业务系统备份几个方面。 迪普科技专注于网络安全与应用交付领域， 针对多样化 的需求可提供全方位的产品与解决方案， 全面提升医院信息化系统的安全性、 可用性、可靠 性。 ■ 高可靠高可靠 医院信息化系统与医疗业务息息相关， 业务系统的可靠性、连续性要求占首位，安全建设不 能增加额外的故障点。 迪普科技安全与优化类产品广泛运用于电信运营商行业， 具备电信级 可靠性，同时支持业内领先的双机备份技术，对于重要的HIS 系统、数据库等可提供硬件 负载均衡产品实现智能备份，从而全面提升医院信息化系统的可靠性。 ■ 易管理易管理 医院信息化管理工作繁重， 传统的安全解决方案往往大幅增加安全管理工作的难度， 迪普科 技以 UMC 统一管理中心为核心的安全管理解决方案， 实现安全设备的统一管理， 设备状态 集中监控，安全策略集中下发，对海量安全日志进行集中采集、分析、关联、汇聚和统一处 理，实时输出分析报告， 帮助管理员及时对网络安全状况进行分析， 其可视化展现的方式极 大的降低了网络管理复杂度。 四、迪普案例四、迪普案例 南昌大学第二附属医院数据中心安全加固； 南昌大学第一附属医院出口改造； 江西中医大学校园网出口改造； 浙江省人民医院内网数据中心安全加固； 上海市第六人民医院医院等保建设； 梅州市人民医院提供整网等保建设； 武汉亚心医院数据中心安全加固； 新疆医科大学第一附属医院； 郑州大学第一附属医院网络安全加固； ……