縣級人民醫院信息安全解決方案
信息安全等級保護(二級)相關內容
參看衛生部關於印發《衛生行業信息安全等級保護工作的指導意見》的通知,我方醫院應該達到二級等保要求。
《信息系統安全等級保護基本要求》網絡安全二級等保要求:
1、 網絡安全主要關注的方面包括:網絡結構、網絡邊界以及網絡設備自身安全等,具體的控制點包括:結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防範、惡意代碼防範、網絡設備防護等七個控制點。
2、 不同等級的基本要求在網絡安全方面所體現的不同如3.1節和3.2節所描述的一樣,在三個方面都有所體現。
3、 一級網絡安全要求:主要提供網絡安全運行的基本保障,包括網絡結構能夠基本滿足業務運行需要,網絡邊界處對進出的數據包頭進行基本過濾等訪問控制措施。
4、 二 級網絡安全要求:不僅要滿足網絡安全運行的基本保障,同時還要考慮網絡處理能力要滿足業務極限時的需要。對網絡邊界的訪問控制粒度進一步增強。同時,加強 了網絡邊界的防護,增加了安全審計、邊界完整性檢查、入侵防範等控制點。對網絡設備的防護不僅侷限於簡單的身份鑑別,同時對標識和鑑別信息都有了相應的要 求。
5、 《信息系統安全等級保護基本要求》網絡安全二級等保要求:
主機系統安全是包括服務器、終端/工作站等在內的計算機設備在操作系統及數據庫系統層面的安全。終端/工作站是帶外設的臺式機與筆記本計算機,服務器則包括應用程序、網絡、web、文件與通信等服務器。主機系統是構成信息系統的主要部分,其上承載著各種應用。因此,主機系統安全是保護信息系統安全的中堅力量。
6、 主機系統安全涉及的控制點包括:身份鑑別、安全標記、訪問控制、可信路徑、安全審計、剩餘信息保護、入侵防範、惡意代碼防範和資源控制等九個控制點。
7、 二級主機系統安全要求:在控制點上增加了安全審計和資源控制等。同時,對身份鑑別和訪問控制都進一步加強,鑑別的標識、信息等都提出了具體的要求;訪問控制的粒度進行了細化等,惡意代碼增加了統一管理等。
信息化安全層級
縣級人民醫院信息化現狀分析
l 醫院信息化基礎網絡部分建設基本到位,醫院內部網絡通訊暢通。
l 網絡信息化建設分為內網、外網,內外網的PC設備全部獨立運行。
l 根據等級保護二級建設要求,網絡安全部分還需要部署防火牆、入侵防禦系統。
l 根據等級保護二級建設要求,數據安全部分還需要部署數據庫審計系統。
l 根據等級保護二級建設要求,主機安全部分建議部署終端接入控制系統。
醫院信息化等級保護設計
醫院信息安全建設解決方案
某縣級人民醫院網絡拓撲圖(現狀)
某縣級人民醫院網絡拓撲圖
縣級人民醫院網絡拓撲圖 ——內網數據安全防護
縣級人民醫院網絡拓撲圖 —— 內網數據安全防護
縣級人民醫院網絡拓撲圖 —— 內、外網數據安全防護
n 醫院內、外網數據安全防護的基礎防護設備部署:在外網出口部署我公司的SRG1000-CA設備、醫院內部服務器防護部署我司的千兆防火牆FW1000-GC、千兆入侵防禦IPS2000-ME設備。
n 醫院內網防火牆設備用來進行區域隔離和策略控制,內外和外網的隔離、內網和外網的策略控制,內網根據業務的隔離、內網跟進業務的策略控制等等。
n 網絡通過部署入侵防禦系統防止內部數據被竊取、攻擊損毀等,通過近幾年的所有攻擊時間我們發現90%的攻擊是通過應用層的攻擊,通過軟件的漏洞進行攻擊,所以我們必須通過部署入侵防禦系統做到一個攻擊的事前防護。
n 醫院外部網絡部署一臺安全路由網關設備SRG1000-CA設備,有效的防護外網出口,同時通過SSL VPN技術加強遠程數據接入安全。
縣級人民醫院網絡拓撲圖 —— HIS數據庫審計
某縣級人民醫院網絡拓撲圖 —— HIS數據庫審計
Ø 支持訪問數據庫的源主機名、源主機用戶的審計,以滿足追蹤溯源的要求
Ø 支持Select操作返回行數、數據庫操作成功、失敗的審計
Ø 支持數據庫對象的SQL操作審計。
Ø 支持Telnet協議的審計,能夠審計用戶名、操作命令、命令響應時間、返回碼等;
Ø 支持對FTP協議的審計,能夠審計用戶名、命令、文件、命令響應時間、返回碼等
Ø 支持審計Radius協議的認證用戶MAC、認證用戶名、認證IP、NAS服務器IP
Ø 支持IP-MAC綁定變化情況的審計
Ø 支持數據庫類型有:SQL/DB2/MYSQL/ORACEL/SYBASE/INFORMIX
縣級人民醫院網絡拓撲圖 —— 終端用戶管理
某縣級人民醫院網絡拓撲圖 —— 終端用戶管理
TAC解 決方案的實現思路,是通過將網絡接入控制和用戶終端安全策略控制相結合,以用戶終端對企業安全策略的符合度為條件,控制用戶訪問網絡的接入權限,從而降低 病毒、非法訪問等安全威脅對企業網絡帶來的危害。為達到以上目的,迪普科技提出了包括接入檢查、安全隔離、引導修復、全程監控的整體解決思路。
