《洛阳第一人民医院网络安全建设方案》由会员分享,可在线阅读,更多相关《洛阳第一人民医院网络安全建设方案(70页珍藏版)》请在金锄头文库上搜索。
1、洛阳第一一人民医医院网络络安全建建设方案案文档编编号 密级级限制分发发版本编编号V1.00 日期期20222绿盟盟科技版权声声明本文中出出现的任任何文字字叙述、文文档格式式、插图图、照片片、方法法、过程程等内容容,除另另有特别别注明,版版权均属属绿盟科科技所有有,受到到有关产产权及版版权法保保护。任任何个人人、机构构未经绿绿盟科技技的书面面授权许许可,不不得以任任何方式式复制或或引用本本文的任任何片断断。 版本本变更记记录时间版本说明修改人 适用用性声明明本文档适适用于医医院安全全建设项项目使用用。目录一. 背背景概述述31.1 方案设设计要求求41.2 方案设设计原则则5二. “威胁分分析+
2、风险分分析”=需求分分析62.1 威胁分分析62.1.1 外外部威胁胁62.1.2 内内部威胁胁72.2 风险分分析82.2.1 外外部网络络带来的的安全风风险82.2.2 内内部网络络存在的的风险882.2.3 攻攻击快速速传播引引发的安安全风险险8三、需求求分析993.1医医院网络络安全建建设拓扑扑图1003.2网网络安全全设备投投入列表表10四、基础础安全建建设1114.1绿绿盟下一一代防火火墙(访访问控制制)1114.1.1部署署方式1114.1.2系统统特点1124.2绿绿盟网络络入侵防防护系统统134.2.1绿盟盟网络入入侵防护护系统的的特点1134.2.3功能能与效益益174.3
3、绿绿盟安全全审计系系统1774.3.1需求求分析1174.3.2 解解决方案案184.3.3 安安全审计计产品选选型1994.3.4 绿绿盟绿盟盟安全审审计系统统的特点点214.4 远程安安全评估估系统(安安全基线线管理系系列)2264.4.1 需需求分析析264.4.2 绿绿盟远程程安全评评估系统统特点3314.4.3 功功能与收收益3664.5 绿盟WWeb应应用防火火墙3774.5.1 需需求分析析374.5.2 绿绿盟Weeb应用用防火墙墙的特点点404.6 安全审审计堡垒垒机SAAS-HH424.6.1 系系统功能能424.6.2 产产品特性性43附录A绿绿盟科技技公司简简介455A
4、.1领领先的专专业安全全厂商445A.2安安全技术术基础研研究455A.3安安全产品品研发446A.4专专业安全全服务446一. 背景概述述洛阳市第第一人民民医院是是洛阳市市建院最最早、具具有百年年发展历历史的市市级现代代化综合合性三级级医院,洛阳市市唯一一一家“红十字字医院”;19995年被被国家卫卫生部授授予“爱婴医医院”称号;119999年被国国家卫生生部授予予“国际紧紧急救援援网络中中心”医院;20006年被被授予“洛阳市市康复医医院”。洛阳市第第一人民民医院位位于洛阳阳市中州州大道,六六层门诊诊、十三三层病房房大楼巍巍然屹立立、雄伟伟壮观,内内设中心心供氧、中中央空调调、中心心吸引;
5、开放高高、中、低低档病床床6100张,各各病房均均装备有有现代医医院所具具备的先先进设备备。医院院现有中中、高级级职称专专业技术术4266人,临临床、医医技科室室43个个,拥有有价值上上亿元的的大型先先进医疗疗设备。近年来,医医院秉承承“内抓管管理、外外树形象象,质量量强院、服服务兴院院”的办院院宗旨,实实施科技技兴院战战略,积积极开展展和引进进新业务务新技术术,加强强医德医医风建设设,全面面提高医医疗服务务质量。洛洛阳市第第一人民民医院治治院严谨谨,理念念超前,医医院经营营方式灵灵活,全全体员工工爱岗敬敬业、勤勤奋工作作。面对对竞争激激烈的医医疗市场场,以实实力求生生存、凭凭技术谋谋发展、靠
6、靠服务赢赢市场,各各项工作作进展顺顺利。对于医院院来讲,由由于患者者众多,业业务繁忙忙,网络络系统业业务连续续性十分分重要。为为了保证证医院的的业务持持续性发发展,就就必须分分析信息息系统的的信息安安全需求求。需求求分析的的主要目目的是更更加清晰晰、全面面的了解解网络的的基本安安全现状状,了解解如何解解决系统统的安全全问题,为为后期安安全体系系建设中中的安全全防护技技术实施施提供严严谨的安安全理论论依据,为为决策者者制定网网络安全全策略、构构架安全全体系以以及确定定有效的的安全措措施、选选择可靠靠的安全全产品、建建立全面面的安全全防护层层次提供供了一套套完整、规规范的指指导模型型。医院网络络安
7、全解解决方案案从两个个方面进进行阐述述,一方方面是重重新对外外网区域域进行网网络规划划,并加加强网络络安全建建设;另另一个方方面就是是解决内内网和外外网融合合的问题题,将内内外网融融合同时时构建边边界防护护方案。如何保证证医院的的网络正正常运行行和网络络安全已已成为迫迫切需要要关注的的问题。随着医疗疗行业信信息化发发展的要要求,全全国卫生生信息化化20003-220100年发展展规划纲纲要中中对信息息安全提提出了明明确的要要求:n 加强与卫卫生信息息化相关关的法律律、法规规、政策策体系的的建设;n 提高信息息安全意意识,加加强计算算机和网网络安全全培训,防防范、打打击计算算机与网网络犯罪罪;n
8、 在卫生信信息系统统建设的的同时,要要进行信信息安全全的总体体设计和和信息系系统安全全工程建建设,在在系统验验收时必必须对信信息系统统安全进进行测评评认证;n 对于已建建的卫生生信息系系统,要要采取信信息安全全加固措措施,进进行系统统安全测测评认证证;n 卫生信息息系统建建设中信信息安全全投资应应占系统统投资的的一定比比例。发展规规划纲要要从宏宏观的角角度对卫卫生系统统信息化化建设,而与此同时,由于医疗行业发展的需要,2006年发布的卫生系统内部审计工作规定(卫生部令51号)中,明确了“为加强卫生系统内部审计工作,建立健全各单位内部审计制度,完善内部监督制约机制”,并要求“设置内部审计机构,配
9、备审计人员,开展审计工作”;内部审计机构在履行审计职责时,明确具有“检查计算机系统有关电子数据和资料”的权限;由此可以看到针对卫生系统的相关审计具有明确要求。此外,公公安部国国家电子子政务等等级保护护、国家家保密局局BMBB17-20006号文文件中要要求政府府、涉密密单位必必须对与与涉密敏敏感信息息、业务务系统相相关的网网络行为为进行安安全审计计。以防防员工随随意通过过网络共共享文件件夹、文文件上传传下载、EEMAIIL等方方式,发发送重要要敏感信信息、业业务数据据,导致致信息外外泄事件件发生。同时,针针对医疗疗行业的的门户网网站WEEB业务务这类给IInteerneet可用用性带来来极大损
10、损害的攻攻击,必必须在国国家等级级保护政政策的指指导下,采用专门的机制,综合采用各种技术手段对攻击进行有效检测,应按照中华人民共和国计算机信息系统安全保护条例(国务院令第147号)、国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)、信息安全等级保护管理办法(公通字200743号)等文件要求,参考计算机信息系统安全保护等级划分准则(GB17859-1999)、信息系统安全等级保护基本要求( GB/T 22239-2008 )等等级保护相关标准,开展等级保护整改、测评工作,为医院内部和社会公众提供“一站式”的医疗公共服务目标提供有力保障。在与医院院多次安安全沟通通与交流流的
11、基础础上,我我们进一一步明确确了医院院的准确确需求,简简单来说说就是“安全访访问,内内外隔离离,分期期建设”三点,安安全访问问包含两两方面,即即从内网网可以安安全访问问互联网网,从互互联网也也能够安安全访问问内网;而在内内外隔离离上则是是要保证证内网数数据与互互联网之之间保持持逻辑或或物理隔隔离;分分期建设设则是建建设的思思路,是是根据医医院的实实际情况况,分步步骤从基基础到深深入,从从满足最最迫切的的安全需需求慢慢慢上升到到管理安安全上来来!以下下此方案案将针对对这三点点进行详详细的需需求描述述与解决决思路陈陈述。1.1 方案设计计要求根据实际际调研与与专家论论证,本网络络需要具具有如下下的
12、安全全特性:l 高可靠性性:在受受到攻击击的情况况下,能能够保证证各类业务务系统正正常运行行,能够够保证数数据的正正常访问问。l 高保密性性:网络络数据/网络信信息不被被窃取。l 管理安全全性:完完善的网网络访问问控制列列表,包包括不允允许同级级网络的的非授权权访问等等。l 可审计性性:能够够审计对对数据中中心服务务器、网网络设备备等的各各种操作作信息。l 可扩充性性:依据据现有网网络流量量设计的的网络要要留有一一定扩充充能力,随随之的安安全方案案也必须须具备可可扩充性性。1.2 方案设计计原则信息系统统的建设设是国家家信息化化的一个个组成部部分,在在促进国国民经济济发展和和社会稳稳定方面面具
13、有越越来越重重要的作作用。卫卫生行业业作为涉涉及国计计民生的的重要行行业,随随着计算算机应用用的进一一步普及及和发展展,计算算机信息息系统安安全问题题日益社社会化、严严重化,国国家和行行业监管管机构有有必要运运用行政政法律手手段来进进行有效效的管理理,维护护社会的的稳定和和发展。这这些政策策法规主主要有:全国卫卫生信息息化20003-20110年发发展规划划纲要卫生系系统内部部审计工工作规定定(卫生生部令551号)基于健健康档案案的区域域卫生信信息平台台建设指指南(试试行)中华人人民共和和国保守守国家秘秘密法 (19988年年9月55日中华华人民共共和国主主席令第第6号公公布)中华人人民共和和
14、国保守守国家秘秘密法实实施办法法(国国家保密密局文件件国保发发 119900 11 号)中华人人民共和和国国家家安全法法(主席席令688号,19993年年2月22日第第七届全全国人民民代表大大会常务务委员会会第三十十次会议议通过)中华人人民共和和国计算算机信息息系统安安全保护护条例(国国务院令令1477号)计算机机信息系系统安全全等级保保护划分分准则(GGB/TT178859-19999)计算机机信息系系统安全全等级保保护网络络技术要要求(GGA/TT3877-20002)计算机机信息系系统安全全等级保保护操作作系统技技术要求求(GGA/TT3888-20002)计算机机信息系系统安全全等级保
15、保护数据据库管理理系统技技术要求求(GGA/TT3899-20002)计算机机信息系系统安全全等级保保护通用用技术要要求(GGA/TT3900-20002)计算机机信息系系统安全全等级保保护管理理要求(GGA/TT3911-20002) 此次医医院安全全解决方方案即在在严格遵遵循上述述国家法法律法规规以及行行业的规规范指南南的基础础之上编编写而成成的。二. “威胁分分析+风风险分析析”=需求求分析2.1 威胁分析析当前医院院具有HHIS、PPACSS、LIIS、EEMR WINNDOSS等系统统平台,这这些平台台服务在在医院的的各个业业务流程程上,从从挂号,化化验,病病历管理理等医院院医务到到计费,转转账等财财务工作作,可以以说信息息系统的的安全稳稳定运行行对医院院的管理理具有极极重要的的作用,而而在医院院
