随着医疗卫生行业信息化建设程度不断推进,医疗卫生业务管理逻辑与价值体系对于信息系统依赖程度不断提升,信息安全隐患的不断显露,信息安全保障盲点也日渐凸现,保障信息安全已经从一个宏观论调转化为新医改工程建设工作中不可规避的基础内容。2003年《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)提出 “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2011年卫生部印发了《卫生部办公厅关于开展全国卫生行业信息安全等级保护工作的通知》(卫办综函【2011】1126号)其中强调:“依据国家信息安全等级保护制度,遵循相关标准规范,开展信息安全等级保护定级备案、建设整改和等级测评等工作”,因此开展信息安全等级保护工作已成为全国医疗卫生行业信息化建设的重点内容,也是医院实现自身核心业务安全稳定运行的关键。
基于项目的整体建设目标,项目基础环境建设的内容主要包括以下几个方面:
建设一套能对XX医院起到支撑作用的硬件基础环境,主要包括安全设备及各类运维设备;
面向安全要求,建设一个满足等级保护三级要求的网络安全域,能充分保证XX医院信息平台的数据安全;
通过差距分析和整改,需要完成XX医院的定级备案要求,完成多个系统等级保护三级测评工作。
产品名称 |
部署位置 |
产品作用 |
满足政策要求 |
涉及情况 |
防火墙 |
互联网出入口 |
隔离互联网和内部网络 |
网络安全-访问控制 |
本项目涉及2台 |
内网出入口 |
||||
入侵防御(IPS) |
互联网出口 |
防范网络入侵攻击 |
网络安全-入侵防范 |
本项目涉及2台 |
内网出入口 |
||||
防毒墙 |
互联网出口 |
网络层恶意代码过滤 |
网络安全-恶意代码过滤 |
本项目涉及2台 |
内网出入口 |
||||
上网行为管理 |
互联网出口 |
内部员工访问互联网的安全审计;流量管理与控制;内部非法无线热点发现; |
网络安全-结构安全 网络安全-安全审计 边界完整性 |
本项目涉及1台
|
入侵检测(IDS) |
对外信息发布区 |
防范网络入侵攻击 |
网络安全-入侵防范 |
本项目涉及2台 |
安全管理区 |
||||
Web防火墙(WAF) |
对外信息发布区 |
隔离业务服务器区和其他区域,并防范web层的网络攻击 |
网络安全-访问控制 网络安全-入侵防范 |
本项目涉及1台 |
网闸 |
内网出入口 |
办公外网和业务内网网络物理隔离; 业务内网和职能服务区网络物理隔离 |
网络安全-访问控制 |
本项目涉及2台 |
负载均衡 |
互联网出口 |
链路负载均衡;应用负载均衡; |
网络安全-结构安全 数据备份与恢复-避免单点故障 |
本项目涉及2台利旧设备 |
漏洞扫描系统 |
安全管理区域 |
漏洞扫描 |
主机安全-入侵防范 |
本项目涉及1套 |
网络审计系统 |
安全管理区域 |
网络访问的审计 |
主机安全-安全审计 |
本项目涉及1套 |
日志审计系统 |
安全管理区域 |
日志的审计 |
主机安全-安全审计 |
本项目涉及1套 |
数据库审计系统 |
安全管理区域 |
数据库访问的审计 |
主机安全-安全审计 |
本项目涉及1套 |
运维堡垒主机 |
安全管理区域 |
运维审计 |
网路安全-网络设备防护 |
本项目涉及1套 |
运维管理 |
安全管理区域 |
网络设备、服务器、应用系统监控; 资源阈值告警和预警; |
网络安全-资源控制 主机安全-资源控制 应用安全-资源控制 |
本项目涉及1套
|
终端安全管理系统 |
安全管理区域 |
终端安全审计、终端端口管理、终端防火墙入侵防御等; |
主机安全-安全审计 主机安全-访问控制 主机安全-入侵防范 网络安全-非法外联 |
本项目涉及点数若干 |
防病毒系统 |
安全管理区域 |
主机防病毒服务器,同时在终端安装病毒软件 |
主机安全-恶意代码过滤 |
本项目涉及,利旧 |
SSL VPN |
安全管理区域 |
远程用户接入的身份认证和加密 |
数据安全-通信保密性 |
利旧 |
安全策略是指导信息系统维护管理工作的基本依据,安全管理和维护管理人员必须认真执行本规程,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全维护管理工作。
安全策略的适用范围是信息系统拥有的、控制和管理的所有信息系统、数据和网络环境,适用医院信息系统范围内的所有部门。对人员的适用范围包括所有与信息系统的各方面相关联的人员,它适用于全部应用的员工,全部范围内容的维护人员,集成商,软件开发商,产品提供商,顾问,临时工,商务伙伴和使用信息系统的其他第三方。
完善的安全保障体系,需要完善的运维管理来支撑。安全服务专家团队凭借深厚的行业安全服务经验,并参照业界最佳实践为用户提供专业、可信、性价比高的信息安全运维服务,内容包含检测评估——>防护加固——>监控响应——>审计追查,为XX医院提供从安全加固,到日常运维和应急响应完整的服务流程。客户可以根据自身具体情况,选择相应服务组件或具体设计的个性化运维服务方案,并可选择一次性服务或每年两次等不同的服务频率。