《医院信息化安全系统等保解决方案设计(二级)》由会员分享,可在线阅读,更多相关《医院信息化安全系统等保解决方案设计(二级)(9页珍藏版)》请在金锄头文库上搜索。
1、医院信息化安全等保解决方案医院信息化安全等保解决方案一、行业背景与需求一、行业背景与需求为贯彻落实国家信息安全等级保护制度,规和指导全国卫生行业信息安全等级保护工作,卫生部办公厅于 2011 年 12 月下发卫生部卫生行业信息安全等级保护工作的指导意见 (卫办发201185 号) (以下简称指导意见 ) 。为贯彻指导意见 ,办公厅同时下发卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知 (卫办综函20111126 号) (以下简称通知 ) ,对卫生行业各单位提出如下要求: 2012 年 5 月 30 日前完成本单位信息系统的定级备案工作; 根据信息系统定级备案情况开展等级测评工作,
2、查找安全差距和风险隐患, 并结合自身安全需求,制订安全建设整改方案; 2015 年 12 月 30 日前完成信息安全等级保护建设整改工作,并通过等级测评。指导意见 根据 信息安全技术信息系统安全等级保护定级指南(以下简称 定级指南 ) 、信息安全技术信息系统安全等级保护基本要求 (以下简称基本要求 ) ,建议县区级医院的核心业务信息系统安全保护等级原则上不低于二级。 各省卫生厅根据指导意见 、 定级指南 、 基本要求等相关规定, 并结合本区域现状提出本区域县区级医院定级要求,大部分省(市)定级要求如下:序号12信息系统可能侵害的客体定级建议HIS、LIS、PACS、门诊系统等公民、 法人与其他
3、组织合法权益二级OA、 、邮寄等公民、 法人与其他组织合法权益二级二、迪普解决之道二、迪普解决之道为帮助县区医院落实国家信息安全等级保护制度与卫生部信息安全等级保护工作要求,迪普科技从主机安全、 应用安全、 数据安全与备份恢复四个层面为县区医院提供全方位的等级保护解决方案。 整体思路整体思路县级医院网络一般分为两物理网络: 网 (业务网) 和外网 (办公网) 。 网主要承载着 HIS、LIS、PACS等医院信息系统,外网主要承载医院OA、 、mail 等信息系统。 基本要求中规定不同安全保护等级的信息系统应该具备相应的基本安全保护能力, 应满足相应的基本安全要求,根据实现方式的不同,基本安全要
4、求分为基本技术要求和基本管理要求两大类。 基本技术要求包含物理安全、网络安全、主机安全、应用安全和数据安全几个层面。本方案针对医院外两物理网络及其承载的信息系统,分别从网络安全、 主机安全、应用安全、数据安全四个层面进行设计。网络安全、主机安全、应用安全、数据安全均包含多个控制点,而每个控制点又包含多个具体的技术要求项,本方案针对其中具体项要求提出以下的安全措施,如下表所示: 方案描述医院网信息安全等级保护方案设计,如下图所示:图1首先, 将医院网分为多个安全区域, 数据中心区、 终端接入区、 安全管理区与外联区域。根据不同的业务系统与安全区域划分VLAN,在数据中心与外联区域边界部署DPte
5、chFW1000 防火墙,根据访问需求配置安全访问控制策略。对于重要区域边界部署(数据中心前端)IPS2000 入侵防御系统,对应用层攻击进行检测与在线防御,并在线过滤网络病毒、 恶意代码在安全管理区部署DPtech UMC统一管理中心与 DPtech Scanner1000漏洞扫描系统,为安全管理提供必要的技术手段,并集中收集、防火墙与IPS 业务日志等。医院外网信息安全等级保护方案计设,如下图所示:图2医院外网分为对外服务器区、互联网区、终端接入区、安全管理区几个安全区域。对外服务器区前端部署 DPtech WAF3000 Web应用防火墙,对医院门户进行重点防护,针对 WEB 攻击漏洞进
6、行全面检测和加固,防止被攻击与篡改;互联网边界部署DPtechFW1000 防火墙,根据访问需求配置安全访问控制策略; 部署 DPtech UAG3000审计及流控网关,对外网用户的上网行为进行控制,合理分配带宽,并对上网行为进行审计;在安全管理区部署 DPtech UMC 统一管理中心,对安全设备进行集中管理。方案设计参考标准 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 GB/T 22240-2008 信息安全技术信息系统安全等级保护实施指南 GB/T 20271-2006 信息安全技术信息系统安全通用技术要求 GA/T 708-2007 信息安全技术信息系统安
7、全等级保护体系框架 GA/T 709-2007 信息安全技术信息系统安全等级保护基本模型 GA/T 709-2007 信息安全技术信息系统安全等级保护基本配置信息安全技术信息系统等级保护安全建设技术方案设计规信息安全技术信息系统等级保护安全设计技术要求信息安全技术信息系统安全等级保护测评要求三、为什么选择迪普三、为什么选择迪普迪普科技 “医院信息系统等级保护解决方案” 依据国家信息安全等级保护相关政策标准与卫生行业的相关标准与要求, 结合医院信息化安全实际需求进行设计, 可全面提升医院信息安全防护能力与安全管理能力。主要具备以下特点: 合规性合规性本方案全面依据定级指南 、 基本要求等相关标准
8、, 结合迪普科技丰富的等级保护建设经验,充分理解信息系统安全等级保护测评要求 ,对其中的每一项要求均有相关的产品功能、安全策略与之对应(除非网络产品涉及的要求外) ,采用本方案的医院信息化系统可充分满足国家与医疗行业等保建设要求。 全方位全方位医院信息化安全防护需求多样化, 主要关注边界安全防护、 系统防护、 互联网上网行为管理、重要业务系统备份几个方面。 迪普科技专注于网络安全与应用交付领域, 针对多样化的需求可提供全方位的产品与解决方案,全面提升医院信息化系统的安全性、可用性、可靠性。 高可靠高可靠医院信息化系统与医疗业务息息相关, 业务系统的可靠性、连续性要求占首位,安全建设不能增加额外
9、的故障点。 迪普科技安全与优化类产品广泛运用于电信运营商行业, 具备电信级可靠性,同时支持业领先的双机备份技术,对于重要的HIS 系统、数据库等可提供硬件负载均衡产品实现智能备份,从而全面提升医院信息化系统的可靠性。 易管理易管理医院信息化管理工作繁重, 传统的安全解决方案往往大幅增加安全管理工作的难度, 迪普科技以 UMC 统一管理中心为核心的安全管理解决方案, 实现安全设备的统一管理, 设备状态集中监控,安全策略集中下发,对海量安全日志进行集中采集、分析、关联、汇聚和统一处理,实时输出分析报告, 帮助管理员及时对网络安全状况进行分析, 其可视化展现的方式极大的降低了网络管理复杂度。四、迪普
10、案例四、迪普案例大学第二附属医院数据中心安全加固;大学第一附属医院出口改造;中医大学校园网出口改造;省人民医院网数据中心安全加固;市第六人民医院医院等保建设;市人民医院提供整网等保建设;亚心医院数据中心安全加固;医科大学第一附属医院;大学第一附属医院网络安全加固;五、方案清单五、方案清单医院网:医院网:型号型号UMCUMC 管理中心管理中心SW-UMC-PLATLIS-UMC-FWMLIS-UMC-IPSMLIS-UMC-Scanner描述描述数量数量DPtech UMC 统一管理中心 管理软件DPtech UMC Firewall Manager 授权函DPtech UMC IPS Mana
11、ger 授权函DPtech UMC ScannerManager 授权函1111Scanner1000Scanner1000 漏洞扫描系统漏洞扫描系统Scanner1000-MS+1YLIS-SC-WEBDPtech SCANNER1000-MS 交流主机,特征库升级-1 年DPtech SCANNER1000 Web 扫描服务函112LIS-Scanner1000-MS-SA-1YDPtech SCANNER1000-MS,特征库升级-1 年DPtech Scanner1000-MS,授权可扫描总数量为 64 个无1LIS-Scanner1000-MS-IP1限制围的 IP 地址或域名DPt
12、ech IPS2000-ME-N 双电源交流主机,特征库升级-11IPS2000IPS2000 入侵防御系统入侵防御系统IPS2000-ME-N+1Y年,病毒库升级-1 年DPtech IPS2000-ME-N,特征库升级-1 年,病毒库升级-12LIS-IPS2000-ME-N-SA-1Y年DPtech FW1000-ME-N 交流主机2FW1000FW1000 防火墙防火墙FW1000-ME-N医院外网:医院外网:型号型号UMCUMC 管理中心管理中心SW-UMC-PLATLIS-UMC-WAFMLIS-UMC-FWMLIS-UMC-UAGM描述描述数量数量DPtech UMC 统一管理中
13、心 管理软件DPtech UMC WAF Manager 授权函DPtech UMC Firewall Manager 授权函DPtech UMC UAG Manager 授权函1111WAF3000 WebWAF3000 Web应用防火墙应用防火墙DPtech WAF3000-ME 双电源交流主机,病毒库升级-11WAF3000-ME+1Y年,WAF 库升级-1 年DPtech WAF3000-ME,病毒库升级-1 年,WAF 库升级-12LIS-WAF3000-ME-SA-1Y年DPtech UAG3000-ME 双电源交流主机,协议库升级-31UAG3000-ME+3Y年,1UAG3000UAG3000审计及流控网关审计及流控网关FW1000FW1000 防火墙防火墙FW1000-ME-NDPtech FW1000-ME-N 交流主机1
