资源预览内容
第1页 / 共147页
第2页 / 共147页
第3页 / 共147页
第4页 / 共147页
第5页 / 共147页
第6页 / 共147页
第7页 / 共147页
第8页 / 共147页
第9页 / 共147页
第10页 / 共147页
亲,该文档总共147页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
XXYY 医院 等级保护分析与安全建设方案 xxx 有限公司 2017 年 11 月I 目 录 1 前言前言 1 1.1 设计目的 2 1.2 设计原则 3 1.3 参考标准 4 1.3.1 信息系统安全等级保护标准和规范 . 4 1.3.2 其他信息安全标准和规范 . 5 1.4 参考资料 6 1.5 其他说明 6 2 系统现状描述系统现状描述 . 6 2.1 网络结构现状 6 2.1.1 业务内网 . 7 2.1.2 办公外网 . 8 2.2 服务系统现状 8 2.3 资产统计分析 9 2.3.1 网络设备情况 . 9 2.3.2 服务器设备情况 . 11 2.3.3 安全设备情况 . 12 2.3.3.1 网络防火墙系统 . 12 2.3.3.2 网闸隔离系统 . 12 2.3.3.3 终端安全管理系统 . 12 2.3.3.4 终端防病毒系统 . 12 2.4 应用系统现状 13 2.4.1 内网应用系统框架 . 13 2.4.1.1 HIS 系统 . 14 2.4.1.2 Pacs 系统 . 14 2.4.2 外网应用系统框架 . 15 信息系统安全建设整改方案 II 2.4.2.1 门户网站 . 15 2.4.2.2 对外发布系统 . 15 2.5 方案设计思路 15 3 安全需求分析安全需求分析 . 17 3.1 系统定级建议 17 3.1.1 确定定级对象 . 17 3.1.2 确定系统定级 . 18 3.1.2.1 HIS 系统 . 20 3.1.2.2 PACS 系统 21 3.1.2.3 终端系统 . 21 3.1.3 系统定级汇总 . 21 3.2 安全风险分析 22 3.2.1 物理安全风险 . 22 3.2.2 网络安全风险 . 23 3.2.2.1 网络通信链路的安全风险 23 3.2.2.2 网络边界的安全风险 . 23 3.2.2.3 网络访问的安全风险 . 24 3.2.3 计算环境安全风险 . 24 3.2.3.1 服务器安全风险 . 24 3.2.3.2 客户终端安全风险 . 25 3.2.4 应用安全风险 . 26 3.2.4.1 业务应用安全风险 . 26 3.2.4.2 Internet 应用安全风险 . 27 3.2.5 数据安全风险 . 27 3.2.5.1 数据可用性风险 . 28 3.2.5.2 数据保密性风险 . 28 3.2.5.3 数据完整性风险 . 28 3.2.6 管理风险 . 29 信息系统安全建设整改方案 III 3.2.6.1 安全管理风险 . 29 3.2.6.2 安全组织建设风险 . 29 3.2.6.3 安全制度风险 . 29 3.2.6.4 人员风险 . 30 3.3 安全技术需求分析 31 3.3.1 物理安全需求分析 . 31 3.3.2 网络安全需求分析 . 31 3.3.2.1 内网安全需求分析 . 32 3.3.2.2 外网安全需求分析 . 33 3.3.2.3 区域边界安全需求分析 . 33 3.3.3 计算环境安全需求分析 . 35 3.3.3.1 服务器主机安全需求分析 37 3.3.3.2 终端主机安全需求分析 . 38 3.3.4 应用安全需求分析 . 38 3.4 安全管理需求分析 40 3.4.1 运行管理需求分析 . 41 3.4.1.1 机房环境管理 . 41 3.4.1.2 资产、设备和介质管理 . 41 3.4.1.3 网络安全管理 . 42 3.4.1.4 系统安全管理 . 42 3.4.1.5 恶意代码防范 . 42 3.4.1.6 备份与恢复 . 43 3.4.2 安全监控需求分析 . 43 3.4.2.1 安全事件监控 . 43 3.4.2.2 安全事件处置 . 44 3.4.2.3 安全状态监控 . 44 3.4.2.4 风险监控管理 . 44 3.4.3 应急响应需求分析 . 44 信息系统安全建设整改方案 IV 3.4.3.1 安全事件处置管理 . 45 3.4.3.2 应急预案管理 . 45 3.4.3.3 设备管理 . 45 3.4.4 风险评估需求分析 . 46 4 安全设计方案安全设计方案 . 46 4.1 安全方案总体设计 46 4.1.1 分级分域防御 . 47 4.1.2 立体纵深防御 . 47 4.1.3 统一安全管理 . 48 5 总体安全策略设计总体安全策略设计 48 5.1 物理安全策略 48 5.1.1 环境保护策略 . 48 5.1.2 边界保护策略 . 48 5.1.3 规章制度策略 . 48 5.2 网络安全策略 49 5.2.1 安全的网络结构策略 . 49 5.2.2 访问控制策略 . 49 5.2.3 网络入侵检测策略 . 49 5.2.4 网络安全审计策略 . 49 5.2.5 运行安全策略 . 49 5.3 系统安全策略 50 5.3.1 病毒防范策略 . 50 5.3.2 终端安全管理 . 50 5.3.3 软件安全性检查 . 50 5.3.4 运行安全策略 . 50 5.4 应用安全策略 50 5.4.1 备份与恢复策略 . 50 信息系统安全建设整改方案 V 5.4.2 应用系统加强 . 51 5.5 安全管理策略 51 6 安全技术方案详细设计安全技术方案详细设计 51 6.1 内网安全技术方案详细设计 51 6.1.1 确定内网保护对象 . 52 6.1.1.1 内网计算环境 . 53 6.1.1.2 内网区域边界 . 54 6.1.1.3 内网通信网络 . 54 6.1.1.4 内网数据安全 . 55 6.1.2 PKI/CA安全基础平台详细设计 . 55 6.1.2.1 设计目标 . 56 6.1.2.2 建设内容 . 56 6.1.2.3 PKI/CA 详细设计 . 56 6.1.2.4 应用安全建设详细设计 . 78 6.1.3 内网物理安全详细设计 . 86 6.1.3.1 等保对物理安全防护的技术要求 86 6.1.3.2 对物理安全防护的技术实现 88 6.1.4 内网网络安全详细设计 . 90 6.1.4.1 结构安全 . 90 6.1.4.2 访问控制 . 91 6.1.4.3 安全审计 . 94 6.1.4.4 入侵防范 . 96 6.1.4.5 边界完整性 . 99 6.1.4.6 无线安全防护 . 101 6.1.4.7 网络设备防护 . 103 6.1.4.8 部署效果 . 105 6.1.5 计算环境安全详细设计 . 105 6.1.5.1 身份鉴别 . 105 信息系统安全建设整改方案 VI 6.1.5.2 安全审计 . 108 6.1.5.3 剩余信息保护 . 109 6.1.5.4 恶意代码防范 . 110 6.1.5.5 资源控制 . 112 6.1.5.6 主机安全加固 . 114 6.1.5.7 部署效果 . 119 6.1.6 内网应用安全详细设计 . 120 6.1.6.1 身份鉴别 . 120 6.1.6.2 访问控制 . 120 6.1.6.3 安全审计 . 121 6.1.6.4 部署效果 . 121 6.1.7 内网数据安全详细设计 . 122 6.1.7.1 数据备份与恢复 . 122 6.2 安全管理方案详细设计 124 6.2.1 管理体系文件结构 . 124 6.2.2 管理体系文件类别 . 125 6.2.2.1 安全管理制度 . 125 6.2.2.2 安全管理机构设置 . 126 6.2.2.3 人员安全管理 . 128 6.2.2.4 系统建设管理 . 129 6.2.2.5 系统运维管理 . 131 7 实施计划实施计划 . 136 7.1 项目实施过程 136 7.2 项目管理原则 136 7.2.1 工程方面 . 136 7.2.2 技术方面 . 136 7.3 工程组织 137 7.4 任务分工 137 信息系统安全建设整改方案 VII 7.5 进度规划 137 7.5.1 阶段一 . 138 7.5.2 阶段二 . 138 8 项目经费概算项目经费概算 . 139 1 1 前言 如今,无论是医务工作者还是病患,每天都需要借助信息系统的辅助支持完成日常工作和就诊。在门诊方面,挂号、收费、发药、护士分诊、大夫看病都是借助门诊信息系统;病房方面,每天大夫查房,开医嘱、护士给患者发药等都借助住院信息系统;患者在医院做化验、照片子等都要借助医院信息系统完成。医院信息系统已经成为医院不可缺少的工具。在这种情况下,医院信息系统一旦出现问题,整个医院将无法运行。因此,医院信息系统的安全问题直接关系到病人的利益,医院信息系统出现故障,将造成病人无法就诊、无法及时得到有效的治疗。 安全问题关系到病人的利益,如何保障医院信息安全,确保业务连续性,是各大医院面临的共同挑战。现在,很多行业正在开展信息安全等级保护的评级和检查工作,医疗卫生行业也是如此。 为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室关于印发信息安全等级保护管理办法的通知 (公通字200743 号) 、 关于开展全国重要信息系统安全等级保护定级工作的通知 (公信安2007861 号)相关要求,2011 年 11 月,卫生部印发了卫生行业信息安全等级保护工作的指导意见和关于全面开展卫生行业信息安全等级保护工作的通知(卫办综函20111126 号)通知,通知明确提出卫生行业信息安全等级保护工作的指导明确提出卫生行业信息安全等级保护工作的指导意见意见,包括工作目标、工作原则、工作机制、工作任务、工作要求等,有力促进卫生行业信息安全等级保护工作的开展。 XXYY 医院(以下简称 YY 医院)是集医疗、预防、科研、教学以及保健、康复为一体的大型甲等综合性医疗单位。下辖分支机构。内部已全面实现信息化,然而在推进信息化系统规划与建设过程中,由于历史客观问题,普遍存在诸多的安全隐患问题,在设备冗余、链路冗余、数据灾备、安全域划分、边界入侵防御控制、终端安全等方面需要进行更新和完善,以应付层不出不穷各种黑客病毒的攻击以及潜在的各种安全风险。为切实履行卫生部下发的卫生行业信息安全等级保护工作的指导意见 ,YY 医院需要进一步强化院内信息安全保障信息体系框架信息系统安全建设整改方案 2 部署工作,从而促进医院整体医疗水平、质量、效率和效益的提升。 根据行业信息安全等级保护工作的指导意见和公安部门对等级保护相关工作提出的要求,为更好的完善 YY 医院信息系统的安全防范与控制,促进业务正常开展,同时落实国家要求实施的等级保护各项任务,提高信息系统安全防护能力,本着切合实际、保护投资、着眼未来的原则,提出符合单位内部信息化等级防护建设的安全技术方案。 1.1 设计目的设计目的 信息安全等级保护,是指对国家秘密信息、公民、法人和其他组织的专有信息、公开信息及存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理, 对信息系统中产生的信息安全事件分等级响应、处置。本方案侧重于实现对医院信息、信息系统的分等级安全保护的设计目标。 总体设计目标: 结合 YY 医院 HIS、 PACS 等信息系统的实际情况和现实问题为基础,遵照国家的法律法
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号