资源描述
医院信息化安全等保处理方案
一、行业背景和需求
为落实落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,卫生部办公厅于12月下发卫生部《卫生行业信息安全等级保护工作指导意见》(卫办发〔〕85号)(以下简称《指导意见》)。为落实《指导意见》,办公厅同时下发《卫生部办公厅相关全方面开展卫生行业信息安全等级保护工作通知》(卫办综函〔〕1126号)(以下简称《通知》),对卫生行业各单位提出以下要求:
■ 5月30日前完成本单位信息系统定级立案工作;
■ 依据信息系统定级立案情况开展等级测评工作,查找安全差距和风险隐患,并结合本身安全需求,制订安全建设整改方案;
■ 12月30日前完成信息安全等级保护建设整改工作,并经过等级测评。
《指导意见》依据《信息安全技术信息系统安全等级保护定级指南》(以下简称《定级指南》)、《信息安全技术信息系统安全等级保护基础要求》(以下简称《基础要求》),提议县区级医院关键业务信息系统安全保护等级标准上不低于二级。各省卫生厅依据《指导意见》、《定级指南》、《基础要求》等相关要求,并结合本区域现实状况提出本区域内县区级医院定级要求,大部分省(市)定级要求以下:
序号
信息系统
可能侵害客体
定级提议
1
HIS、LIS、PACS、门诊系统等
公民、法人和其它组织正当权益
二级
2
OA、网站、邮寄等
公民、法人和其它组织正当权益
二级
二、迪普处理之道
为帮助县区医院落实国家信息安全等级保护制度和卫生部信息安全等级保护工作要求,迪普科技从主机安全、应用安全、数据安全和备份恢复四个层面为县区医院提供全方位等级保护处理方案。
■ 整体思绪
县级医院网络通常分为两张物理网络:内网(业务网)和外网(办公网)。内网关键承载着HIS、LIS、PACS等医院信息系统,外网关键承载医院OA、网站、mail等信息系统。《基础要求》中要求不一样安全保护等级信息系统应该含有对应基础安全保护能力,应满足对应基础安全要求,依据实现方法不一样,基础安全要求分为基础技术要求和基础管理要求两大类。基础技术要求包含物理安全、网络安全、主机安全、应用安全和数据安全多个层面。本方案针对医院内外两张物理网络及其承载信息系统,分别从网络安全、主机安全、应用安全、数据安全四个层面进行设计。
网络安全、主机安全、应用安全、数据安全均包含多个控制点,而每个控制点又包含多个具体技术要求项,本方案针对其中具体项要求提出以下安全方法,以下表所表示: ■ 方案描述
医院内网信息安全等级保护方案设计,以下图所表示:
图1
首先,将医院内网分为多个安全区域,数据中心区、终端接入区、安全管理区和外联区域。依据不一样业务系统和安全区域划分VLAN,在数据中心和外联区域边界布署DPtech FW1000防火墙,依据访问需求配置安全访问控制策略。对于关键区域边界布署(数据中心前端)IPS入侵防御系统,对应用层攻击进行检测和在线防御,并在线过滤网络病毒、恶意代码在安全管理区布署DPtech UMC统一管理中心和DPtech Scanner1000漏洞扫描系统,为安全管理提供必需技术手段,并集中搜集、防火墙和IPS业务日志等。
医院外网信息安全等级保护方案计设,以下图所表示:
图2
医院外网分为对外服务器区、互联网区、终端接入区、安全管理区多个安全区域。
对外服务器区前端布署DPtech WAF3000 Web应用防火墙,对医院门户网站进行关键防护,针对WEB攻击漏洞进行全方面检测和加固,预防网站被攻击和篡改;互联网边界布署DPtech FW1000防火墙,依据访问需求配置安全访问控制策略;布署DPtech UAG3000审计及流控网关,对外网用户上网行为进行控制,合理分配带宽,并对上网行为进行审计;在安全管理区布署DPtech UMC统一管理中心,对安全设备进行集中管理。
方案设计参考标准
GB/T 22239-信息安全技术信息系统安全等级保护基础要求
GB/T 22240-信息安全技术信息系统安全等级保护实施指南
GB/T 20271- 信息安全技术信息系统安全通用技术要求
GA/T 708- 信息安全技术信息系统安全等级保护体系框架
GA/T 709- 信息安全技术信息系统安全等级保护基础模型
GA/T 709-信息安全技术信息系统安全等级保护基础配置
信息安全技术信息系统等级保护安全建设技术方案设计规范
信息安全技术信息系统等级保护安全设计技术要求
信息安全技术信息系统安全等级保护测评要求
……
三、为何选择迪普
迪普科技“医院信息系统等级保护处理方案”依据国家信息安全等级保护相关政策标准和卫生行业相关标准和要求,结合医院信息化安全实际需求进行设计,可全方面提升医院信息安全防护能力和安全管理能力。关键含有以下特点:
■ 合规性
本方案全方面依据《定级指南》、《基础要求》等相关标准,结合迪普科技丰富等级保护建设经验,充足了解《信息系统安全等级保护测评要求》,对其中每一项要求全部有相关产品功效、安全策略和之对应(除非网络产品包含要求外),采取本方案医院信息化系统可充足满足国家和医疗行业等保建设要求。
■ 全方位
医院信息化安全防护需求多样化,关键关注边界安全防护、网站系统防护、互联网上网行为管理、关键业务系统备份多个方面。迪普科技专注于网络安全和应用交付领域,针对多样化需求可提供全方位产品和处理方案,全方面提升医院信息化系统安全性、可用性、可靠性。
■ 高可靠
医院信息化系统和医疗业务息息相关,业务系统可靠性、连续性要求占首位,安全建设不能增加额外故障点。迪普科技安全和优化类产品广泛利用于电信运行商行业,含有电信级可靠性,同时支持业内领先双机备份技术,对于关键HIS系统、数据库等可提供硬件负载均衡产品实现智能备份,从而全方面提升医院信息化系统可靠性。
■ 易管理
医院信息化管理工作繁重,传统安全处理方案往往大幅增加安全管理工作难度,迪普科技以UMC统一管理中心为关键安全管了处理方案,实现安全设备统一管理,设备状态集中监控,安全策略集中下发,对海量安全日志进行集中采集、分析、关联、汇聚和统一处理,实时输出分析汇报,帮助管理员立即对网络安全情况进行分析,其可视化展现方法极大降低了网络管理复杂度。
四、迪普案例
南昌大学第二隶属医院数据中心安全加固;
南昌大学第一隶属医院出口改造;
江西中医大学校园网出口改造;
浙江省人民医院内网数据中心安全加固;
上海市第六人民医院医院等保建设;
梅州市人民医院提供整网等保建设;
武汉亚心医院数据中心安全加固;
新疆医科大学第一隶属医院;
郑州大学第一隶属医院网络安全加固;
………
五、方案清单
医院内网:
型号
描述
数量
UMC管理中心
SW-UMC-PLAT
DPtech UMC 统一管理中心 管理软件
1
LIS-UMC-FWM
DPtech UMC Firewall Manager 授权函
1
LIS-UMC-IPSM
DPtech UMC IPS Manager 授权函
1
LIS-UMC-Scanner
DPtech UMC ScannerManager 授权函
1
Scanner1000漏洞扫描系统
Scanner1000-MS+1Y
DPtech SCANNER1000-MS 交流主机,特征库升级-1年
1
LIS-SC-WEB
DPtech SCANNER1000 Web扫描服务函
1
LIS-Scanner1000-MS-SA-1Y
DPtech SCANNER1000-MS,特征库升级-1年
2
LIS-Scanner1000-MS-IP1
DPtech Scanner1000-MS,授权可扫描总数量为64个无限制范围IP地址或域名
1
IPS入侵防御系统
IPS-ME-N+1Y
DPtech IPS-ME-N 双电源交流主机,特征库升级-1年,病毒库升级-1年
1
LIS-IPS-ME-N-SA-1Y
DPtech IPS-ME-N,特征库升级-1年,病毒库升级-1年
2
FW1000防火墙
FW1000-ME-N
DPtech FW1000-ME-N 交流主机
2
医院外网:
型号
描述
数量
UMC管理中心
SW-UMC-PLAT
DPtech UMC 统一管理中心 管理软件
1
LIS-UMC-WAFM
DPtech UMC WAF Manager 授权函
1
LIS-UMC-FWM
DPtech UMC Firewall Manager 授权函
1
LIS-UMC-UAGM
DPtech UMC UAG Manager 授权函
1
WAF3000 Web应用防火墙
WAF3000-ME+1Y
DPtech WAF3000-ME 双电源交流主机,病毒库升级-1年,WAF库升级-1年
1
LIS-WAF3000-ME-SA-1Y
DPtech WAF3000-ME,病毒库升级-1年,WAF库升级-1年
2
UAG3000审计及流控网关
UAG3000-ME+3Y
DPtech UAG3000-ME 双电源交流主机,协议库升级-3年,
1
FW1000防火墙
1
FW1000-ME-N
DPtech FW1000-ME-N 交流主机
1
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
