医院信息化安全等保解决方案(二级).doc

杭州迪普科技有限公司 医院信息化安全等保解决方案 一、行业背景与需求 为贯彻落实国家信息安全等级保护制度，规范和指导全国卫生行业信息安全等级保护工作，卫生部办公厅于2011年12月下发卫生部《卫生行业信息安全等级保护工作的指导意见》（卫办发〔2011〕85号）（以下简称《指导意见》）。为贯彻《指导意见》，办公厅同时下发《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函〔2011〕1126号）（以下简称《通知》），对卫生行业各单位提出如下要求： ■ 2012年5月30日前完成本单位信息系统的定级备案工作； ■ 根据信息系统定级备案情况开展等级测评工作，查找安全差距和风险隐患，并结合自身安全需求，制订安全建设整改方案； ■ 2015年12月30日前完成信息安全等级保护建设整改工作，并通过等级测评。 《指导意见》根据《信息安全技术信息系统安全等级保护定级指南》（以下简称《定级指南》）、《信息安全技术信息系统安全等级保护基本要求》（以下简称《基本要求》），建议县区级医院的核心业务信息系统安全保护等级原则上不低于二级。各省卫生厅根据《指导意见》、《定级指南》、《基本要求》等相关规定，并结合本区域现状提出本区域内县区级医院定级要求，大部分省（市）定级要求如下： 序号 信息系统 可能侵害的客体 定级建议 1 HIS、LIS、PACS、门诊系统等 公民、法人与其他组织合法权益 二级 2 OA、网站、邮寄等 公民、法人与其他组织合法权益 二级 二、迪普解决之道 为帮助县区医院落实国家信息安全等级保护制度与卫生部信息安全等级保护工作要求，迪普科技从主机安全、应用安全、数据安全与备份恢复四个层面为县区医院提供全方位的等级保护解决方案。 ■ 整体思路 县级医院网络一般分为两张物理网络：内网（业务网）和外网（办公网）。内网主要承载着HIS、LIS、PACS等医院信息系统，外网主要承载医院OA、网站、mail等信息系统。《基本要求》中规定不同安全保护等级的信息系统应该具备相应的基本安全保护能力，应满足相应的基本安全要求，根据实现方式的不同，基本安全要求分为基本技术要求和基本管理要求两大类。基本技术要求包含物理安全、网络安全、主机安全、应用安全和数据安全几个层面。本方案针对医院内外两张物理网络及其承载的信息系统，分别从网络安全、主机安全、应用安全、数据安全四个层面进行设计。 网络安全、主机安全、应用安全、数据安全均包含多个控制点，而每个控制点又包含多个具体的技术要求项，本方案针对其中具体项要求提出以下的安全措施，如下表所示： ■ 方案描述 医院内网信息安全等级保护方案设计，如下图所示： 图1 首先，将医院内网分为多个安全区域，数据中心区、终端接入区、安全管理区与外联区域。根据不同的业务系统与安全区域划分VLAN，在数据中心与外联区域边界部署DPtech FW1000防火墙，根据访问需求配置安全访问控制策略。对于重要区域边界部署（数据中心前端）IPS2000入侵防御系统，对应用层攻击进行检测与在线防御，并在线过滤网络病毒、恶意代码在安全管理区部署DPtech UMC统一管理中心与DPtech Scanner1000漏洞扫描系统，为安全管理提供必要的技术手段，并集中收集、防火墙与IPS业务日志等。 医院外网信息安全等级保护方案计设，如下图所示： 图2 医院外网分为对外服务器区、互联网区、终端接入区、安全管理区几个安全区域。 对外服务器区前端部署DPtech WAF3000 Web应用防火墙，对医院门户网站进行重点防护，针对WEB攻击漏洞进行全面检测和加固，防止网站被攻击与篡改；互联网边界部署DPtech FW1000防火墙，根据访问需求配置安全访问控制策略；部署DPtech UAG3000审计及流控网关，对外网用户的上网行为进行控制，合理分配带宽，并对上网行为进行审计；在安全管理区部署DPtech UMC统一管理中心，对安全设备进行集中管理。 方案设计参考标准  GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求  GB/T 22240-2008信息安全技术信息系统安全等级保护实施指南  GB/T 20271-2006 信息安全技术信息系统安全通用技术要求  GA/T 708-2007 信息安全技术信息系统安全等级保护体系框架  GA/T 709-2007 信息安全技术信息系统安全等级保护基本模型  GA/T 709-2007信息安全技术信息系统安全等级保护基本配置  信息安全技术信息系统等级保护安全建设技术方案设计规范  信息安全技术信息系统等级保护安全设计技术要求  信息安全技术信息系统安全等级保护测评要求  …… 三、为什么选择迪普 迪普科技“医院信息系统等级保护解决方案”依据国家信息安全等级保护相关政策标准与卫生行业的相关标准与要求，结合医院信息化安全实际需求进行设计，可全面提升医院信息安全防护能力与安全管理能力。主要具备以下特点： ■ 合规性 本方案全面依据《定级指南》、《基本要求》等相关标准，结合迪普科技丰富的等级保护建设经验，充分理解《信息系统安全等级保护测评要求》，对其中的每一项要求均有相关的产品功能、安全策略与之对应（除非网络产品涉及的要求外），采用本方案的医院信息化系统可充分满足国家与医疗行业等保建设要求。 ■ 全方位 医院信息化安全防护需求多样化，主要关注边界安全防护、网站系统防护、互联网上网行为管理、重要业务系统备份几个方面。迪普科技专注于网络安全与应用交付领域，针对多样化的需求可提供全方位的产品与解决方案，全面提升医院信息化系统的安全性、可用性、可靠性。 ■ 高可靠 医院信息化系统与医疗业务息息相关，业务系统的可靠性、连续性要求占首位，安全建设不能增加额外的故障点。迪普科技安全与优化类产品广泛运用于电信运营商行业，具备电信级可靠性，同时支持业内领先的双机备份技术，对于重要的HIS系统、数据库等可提供硬件负载均衡产品实现智能备份，从而全面提升医院信息化系统的可靠性。 ■ 易管理 医院信息化管理工作繁重，传统的安全解决方案往往大幅增加安全管理工作的难度，迪普科技以UMC统一管理中心为核心的安全管理解决方案，实现安全设备的统一管理，设备状态集中监控，安全策略集中下发，对海量安全日志进行集中采集、分析、关联、汇聚和统一处理，实时输出分析报告，帮助管理员及时对网络安全状况进行分析，其可视化展现的方式极大的降低了网络管理复杂度。 四、迪普案例 南昌大学第二附属医院数据中心安全加固； 南昌大学第一附属医院出口改造； 江西中医大学校园网出口改造； 浙江省人民医院内网数据中心安全加固； 上海市第六人民医院医院等保建设； 梅州市人民医院提供整网等保建设； 武汉亚心医院数据中心安全加固； 新疆医科大学第一附属医院； 郑州大学第一附属医院网络安全加固； ……… 五、方案清单 医院内网： 型号 描述 数量 UMC管理中心 SW-UMC-PLAT DPtech UMC 统一管理中心 管理软件 1 LIS-UMC-FWM DPtech UMC Firewall Manager 授权函 1 LIS-UMC-IPSM DPtech UMC IPS Manager 授权函 1 LIS-UMC-Scanner DPtech UMC ScannerManager 授权函 1 Scanner1000漏洞扫描系统 Scanner1000-MS+1Y DPtech SCANNER1000-MS 交流主机,特征库升级-1年 1 LIS-SC-WEB DPtech SCANNER1000 Web扫描服务函 1 LIS-Scanner1000-MS-SA-1Y DPtech SCANNER1000-MS,特征库升级-1年 2 LIS-Scanner1000-MS-IP1 DPtech Scanner1000-MS,授权可扫描总数量为64个无限制范围的IP地址或域名 1 IPS2000入侵防御系统 IPS2000-ME-N+1Y DPtech IPS2000-ME-N 双电源交流主机,特征库升级-1年,病毒库升级-1年 1 LIS-IPS2000-ME-N-SA-1Y DPtech IPS2000-ME-N,特征库升级-1年,病毒库升级-1年 2 FW1000防火墙 FW1000-ME-N DPtech FW1000-ME-N 交流主机 2 医院外网： 型号 描述 数量 UMC管理中心 SW-UMC-PLAT DPtech UMC 统一管理中心 管理软件 1 LIS-UMC-WAFM DPtech UMC WAF Manager 授权函 1 LIS-UMC-FWM DPtech UMC Firewall Manager 授权函 1 LIS-UMC-UAGM DPtech UMC UAG Manager 授权函 1 WAF3000 Web应用防火墙 WAF3000-ME+1Y DPtech WAF3000-ME 双电源交流主机,病毒库升级-1年,WAF库升级-1年 1 LIS-WAF3000-ME-SA-1Y DPtech WAF3000-ME,病毒库升级-1年,WAF库升级-1年 2 UAG3000审计及流控网关 UAG3000-ME+3Y DPtech UAG3000-ME 双电源交流主机,协议库升级-3年, 1 FW1000防火墙 1 FW1000-ME-N DPtech FW1000-ME-N 交流主机 1 物业安保培训方案 为规范保安工作，使保安工作系统化/规范化,最终使保安具备满足工作需要的知识和技能，特制定本教学教材大纲。 一、课程设置及内容全部课程分为专业理论知识和技能训练两大科目。 其中专业理论知识内容包括：保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括：岗位操作指引、勤务技能、消防技能、军事技能。 二．培训的及要求培训目的 1）保安人员培训应以保安理论知识、消防知识、法律常识教学为主，在教学过程中，应要求学员全面熟知保安理论知识及消防专业知识，在工作中的操作与运用，并基本掌握现场保护及处理知识2）职业道德课程的教学应根据不同的岗位元而予以不同的内容，使保安在各自不同的工作岗位上都能养成具有本职业特点的良好职业道德和行为规范）法律常识教学是理论课的主要内容之一，要求所有保安都应熟知国家有关法律、法规，成为懂法、知法、守法的公民，运用法律这一有力武器与违法犯罪分子作斗争。工作入口门卫守护，定点守卫及区域巡逻为主要内容，在日常管理和发生突发事件时能够运用所学的技能保护公司财产以及自身安全。 2、培训要求 1）保安理论培训 通过培训使保安熟知保安工作性质、地位、任务、及工作职责权限，同时全面掌握保安专业知识以及在具体工作中应注意的事项及一般情况处置的原则和方法。 2）消防知识及消防器材的使用 通过培训使保安熟知掌握消防工作的方针任务和意义，熟知各种防火的措施和消防器材设施的操作及使用方法，做到防患于未燃，保护公司财产和员工生命财产的安全。 3) 法律常识及职业道德教育 通过法律常识及职业道德教育，使保安树立法律意识和良好的职业道德观念，能够运用法律知识正确处理工作中发生的各种问题；增强保安人员爱岗敬业、无私奉献更好的为公司服务的精神。 4) 工作技能培训 第10页