收藏
下载资源

哈医大二院等级保护_陈伟

上传人:第*** 文档编号:55462671 上传时间:2018-09-30 格式:PDF 页数:33 大小:14.63MB
返回 下载 相关 举报
哈医大二院等级保护_陈伟_第1页
第1页 / 共33页
哈医大二院等级保护_陈伟_第2页
第2页 / 共33页
哈医大二院等级保护_陈伟_第3页
第3页 / 共33页
哈医大二院等级保护_陈伟_第4页
第4页 / 共33页
哈医大二院等级保护_陈伟_第5页
第5页 / 共33页
点击查看更多>>
资源描述

《哈医大二院等级保护_陈伟》由会员分享,可在线阅读,更多相关《哈医大二院等级保护_陈伟(33页珍藏版)》请在金锄头文库上搜索。

1、医大二院等级保护医大二院等级保护 实施实施等级保护建设背景等级保护建设背景根据卫生部对等级保护相关工 作提出的要求和省卫生厅关于印 发三甲医院开展信息安全等级保护 工作实施方案的通知(黑卫办发 【2013】84号)文件,结合医 院信息系统安全建设实际情况,形 成医院等级保护建设方案,实施哈 医大二院信息系统安全建设。等保概念等保概念国家规定安全防护共分五级,国家规定安全防护共分五级, 而要求医院信息系统应达到三级标而要求医院信息系统应达到三级标 准。准。 第一级:用户自主保护级 第二级:系统审计保护级 第三级:安全标记保护级 第四级:结构化保护级 第五级:访问验证保护级等保实施方向等保实施方向

2、完善七个方面:完善七个方面: 1、管理安全、管理安全 2、数据安全及备份恢复 3、数据库 4、网络安全 5、物理安全 6、应用系统 7、主机设备完成三级等保要素完成三级等保要素物理方面:物理方面: 1、电磁防护:电源线和通信线缆隔、电磁防护:电源线和通信线缆隔 离铺设,避免相互干扰。离铺设,避免相互干扰。 2、边界完整性检查和身份鉴别:应、边界完整性检查和身份鉴别:应 能够对内部网络中出现的内部用户未能够对内部网络中出现的内部用户未 经允许私自联网的行为进行检查。经允许私自联网的行为进行检查。 (内网、用户名密码、电子签名、(内网、用户名密码、电子签名、IP 和和mac和交换机端口绑定等)和交

3、换机端口绑定等)完成三级等保要素完成三级等保要素主机方面:主机方面: 1、当对服务器进行远程管理时,防止鉴别信、当对服务器进行远程管理时,防止鉴别信 息在传输过程中被监听。(管理制度完善、息在传输过程中被监听。(管理制度完善、 防止非法接入内网等、尽量少用远程管理、防止非法接入内网等、尽量少用远程管理、 日志审计能对其操作进行详细的记录日志审计能对其操作进行详细的记录 ) 2、采用校验码技术保证通信过程中数据的完、采用校验码技术保证通信过程中数据的完 整性。整性。 3、采用密码技术进行会话初始化验证,应对、采用密码技术进行会话初始化验证,应对 敏感数据进行加密。敏感数据进行加密。完成三级等保要

4、素完成三级等保要素机房方面:机房方面: 1、应鉴别和记录出入人员。(指纹、应鉴别和记录出入人员。(指纹 门禁、监控、机房管理制度)门禁、监控、机房管理制度) 2、机房划分区域进行管理,并有隔、机房划分区域进行管理,并有隔 离装置,有防雷、自动灭火、空调、离装置,有防雷、自动灭火、空调、 UPS、备用电源系统、防盗报警、备用电源系统、防盗报警、 防水检测和报警。(环境监测)防水检测和报警。(环境监测)完成三级等保要素完成三级等保要素网络方面:网络方面: 1、应避免将重要网络部署在网络边界、应避免将重要网络部署在网络边界 处,重要网段之间采用可靠的技术隔处,重要网段之间采用可靠的技术隔 离手段;能

5、够对数据流提供允许和拒离手段;能够对数据流提供允许和拒 绝访问能力;能实现对绝访问能力;能实现对http、ftp、 telnet、smtp等协议命令级控制等协议命令级控制 (防火墙、网闸、访问控制列表)(防火墙、网闸、访问控制列表)完成三级等保要素完成三级等保要素网络方面:网络方面: 2、应在网络边界处监视以下攻击行、应在网络边界处监视以下攻击行 为:端口扫描、强力攻击、木马后为:端口扫描、强力攻击、木马后 门攻击、拒绝服务攻击、网络蠕虫门攻击、拒绝服务攻击、网络蠕虫 攻击等,应在网络边界处对恶意代攻击等,应在网络边界处对恶意代 码进行检测和清除。(入侵检测、码进行检测和清除。(入侵检测、 入

6、侵防御、防病毒网关)入侵防御、防病毒网关)完成三级等保要素完成三级等保要素数据服务器方面:数据服务器方面: 1、能够根据数据进行分析并生成统计、能够根据数据进行分析并生成统计 报表。应能对重要服务器进行监视,报表。应能对重要服务器进行监视, 包括包括CPU、硬盘、内存、网络等资源、硬盘、内存、网络等资源 的使用情况。(数据库审计、日志审的使用情况。(数据库审计、日志审 计、环境监测)计、环境监测) 2、应定期扫描系统等主要设备漏洞。、应定期扫描系统等主要设备漏洞。 (漏洞扫描)(漏洞扫描)完成三级等保要素完成三级等保要素备份方面:备份方面: 1、应提供本地数据备份和恢复功能,、应提供本地数据备

7、份和恢复功能, 完全备份至少每天一次,备份介质完全备份至少每天一次,备份介质 场外存储。场外存储。 2、应提供异地备份功能,采用冗余、应提供异地备份功能,采用冗余 技术设计网络拓扑结构,应提供核技术设计网络拓扑结构,应提供核 心网络设备、服务器等硬件冗余。心网络设备、服务器等硬件冗余。完成三级等保要素完成三级等保要素管理方面:管理方面: 1、应委托第三方进行测试,并出具安、应委托第三方进行测试,并出具安 全性测试报告;至少每年对系统进行全性测试报告;至少每年对系统进行 一次等级测评,不合格及时整改。一次等级测评,不合格及时整改。 2、应确保介质存放在安全的环境中,、应确保介质存放在安全的环境中

8、, 对各类介质进行控制和保护,并需专对各类介质进行控制和保护,并需专 人管理。人管理。完成三级等保要素完成三级等保要素管理方面:管理方面: 3、应对通信线路、主机、网络和应、应对通信线路、主机、网络和应 用软件的运行状况、网络流量、用用软件的运行状况、网络流量、用 户行为等进行检测和报警,形成记户行为等进行检测和报警,形成记 录并妥善保存。(网管、数据库审录并妥善保存。(网管、数据库审 计、日志审计、内网、入侵检测、计、日志审计、内网、入侵检测、 漏洞扫描、环境监测、制度文档等)漏洞扫描、环境监测、制度文档等)完成三级等保要素完成三级等保要素管理方面:管理方面: 4、应组织相关人员对监测和报警

9、记、应组织相关人员对监测和报警记 录进行分析、评审,发现可疑行为,录进行分析、评审,发现可疑行为, 形成分析报告,并采取相应措施。形成分析报告,并采取相应措施。 (数据库审计、日志审计、漏洞扫(数据库审计、日志审计、漏洞扫 描、制度文档、入侵防御)描、制度文档、入侵防御)完成三级等保要素完成三级等保要素管理方面:管理方面: 5、应建立安全管理中心,对设备状态、恶意、应建立安全管理中心,对设备状态、恶意 代码、补丁升级、安全审计、漏洞等进行代码、补丁升级、安全审计、漏洞等进行 集中管理,应定期检查违法安全策略行为,集中管理,应定期检查违法安全策略行为, 应根据安全策略允许或拒绝便携式或移动应根据

10、安全策略允许或拒绝便携式或移动 设备的网络接入。(防毒、补丁服务器、设备的网络接入。(防毒、补丁服务器、 入侵检测、防病毒网关、内网管理、无线入侵检测、防病毒网关、内网管理、无线 安全设备、主要设备安全设备、主要设备IP地址和地址和MAC地址绑地址绑 定、管理规定等)定、管理规定等)主要设备主要设备1、防火墙、防毒墙、入侵检测、防火墙、防毒墙、入侵检测、 入侵防御、数据库审计、日志审计、入侵防御、数据库审计、日志审计、 漏洞扫描。漏洞扫描。 2、综合楼灾备服务器、时间同步、综合楼灾备服务器、时间同步 服务器、电池环境监测、瑞星和内服务器、电池环境监测、瑞星和内 网升级等。网升级等。医院网络外联

11、现状分析医院网络外联现状分析医院网络是完全封闭的网络吗?医院网络是完全封闭的网络吗? 不是,目前有银联、交行、建行等在不是,目前有银联、交行、建行等在 办公楼出口;办公楼出口;114预约挂号、预约挂号、 首页实首页实 时上传在门诊通过网闸连接。以后还时上传在门诊通过网闸连接。以后还 会有省、市、铁等专线接入医院信息会有省、市、铁等专线接入医院信息 系统。外联接入安全不容忽视。系统。外联接入安全不容忽视。医院网络外联接入具体设计方案医院网络外联接入具体设计方案S12508S12508S12508S12508银行、医保银行、医保 等专线等专线病案直报、病案直报、 114等等防火墙防火墙防毒网关防毒

12、网关入侵防御入侵防御网闸网闸防火墙防火墙1、在银行、医保等出口安装防火墙、在银行、医保等出口安装防火墙、 防毒墙、入侵防御保护内网安全防毒墙、入侵防御保护内网安全 2、病案直报、病案直报、114等网闸下端安装防火等网闸下端安装防火 墙、保护内网安全,进行安全限制。墙、保护内网安全,进行安全限制。旁路接入防毒网关和入侵检测旁路接入防毒网关和入侵检测S12508S12508S12508S12508银行、医保银行、医保 等专线等专线病案直报、病案直报、 114等等防火墙防火墙防毒网关防毒网关入侵防御入侵防御网闸网闸防火墙防火墙入侵检测入侵检测防毒网关防毒网关通过防毒网关对攻击服务器病通过防毒网关对攻

13、击服务器病 毒进行检测,能快速发现和定毒进行检测,能快速发现和定 位病毒,保证内网安全。通过位病毒,保证内网安全。通过 入侵检测及时发现内网中存在入侵检测及时发现内网中存在 的攻击和隐患,及时采取相应的攻击和隐患,及时采取相应 措施。措施。旁路接入数据库审计日志审计旁路接入数据库审计日志审计S12508S12508S12508S12508银行、医保银行、医保 等专线等专线病案直报、病案直报、 114等等防火墙防火墙防毒网关防毒网关入侵防御入侵防御网闸网闸防火墙防火墙入侵检测入侵检测防毒网关防毒网关数据库审计数据库审计日志审计日志审计通过数据库审计:可对操作权限进行控制、可以追踪到操作通过数据库

14、审计:可对操作权限进行控制、可以追踪到操作 语句等,并有详细的日志,出现问题有据可查,日志审计可语句等,并有详细的日志,出现问题有据可查,日志审计可 对服务器、核心交换机、安全设备等日志进行记录和汇总。对服务器、核心交换机、安全设备等日志进行记录和汇总。接入漏洞扫描核心交换机安装接入漏洞扫描核心交换机安装 防火墙插卡防火墙插卡S12508S12508S12508S12508银行、医保银行、医保 等专线等专线病案直报、病案直报、 114等等防火墙防火墙防毒网关防毒网关入侵防御入侵防御网闸网闸防火墙防火墙入侵检测入侵检测防火墙插卡防火墙插卡防毒网关防毒网关数据库审计数据库审计日志审计日志审计漏洞扫

15、描漏洞扫描通过防火墙插卡:可以实现安全区域隔离,把银行接入通过防火墙插卡:可以实现安全区域隔离,把银行接入VLAN, 无线护理基站无线护理基站PDA等等vlan划分到划分到DMZ区,访问核心服务器需区,访问核心服务器需 通过防火墙,其他网段不动。漏洞扫描功能都知道通过防火墙,其他网段不动。漏洞扫描功能都知道S12508S12508哈尔滨医科大学附属第二医院内网拓扑图哈尔滨医科大学附属第二医院内网拓扑图综合楼综合楼外科楼外科楼千兆光纤千兆电口HISHIS、PACSPACS系统服务器群系统服务器群S5120S7506E万兆光纤S7506ES5120S7506ES7506E设备科 S5120一部二楼

16、 S5120四 部 S5120内科楼 S5120门诊、三部、五部、门诊、三部、五部、 五官、等其他楼五官、等其他楼 S5120一部一部S7506S5120S5120办公楼、药剂科办公楼、药剂科 设备科、科研楼设备科、科研楼S12508S12508干部楼干部楼哈尔滨医科大学附属第二医院内网安全设备拓扑图哈尔滨医科大学附属第二医院内网安全设备拓扑图千兆光纤千兆电口万兆光纤S12508S12508S12508S12508114预约挂号网闸外网外网外网外网病案直报网闸防病毒网关入侵防御防火墙交行路由器建行路由器银联路由器防火墙入侵检测专线专线专线专线专线专线防病毒网关漏洞扫描日志审计数据库审计终端安全管理杀毒软件服务器环境监测异地灾备服务器建设异地灾备服务器建设采用云计算技术在综合楼机房搭建一采用云计算技术在综合楼机房搭建一 个灾备中心个灾备中心,通过存储虚拟化技术实现主通过存储虚拟化技术实现主 备中心之间数据的实时同步备中心之间数据的实时同步。当主中心业当主中心业 务服务器出现故障务服务器出现故障,在灾备中心通过手动在灾备中心通过手动 方式完成存储数据的挂载保证业

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 职业教育

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号