将乐县医院信息系统信息安全等级保护二级建设项目安全方案

将乐县医院信息系统

信息安全等级保护二级建设项目安全方案

2015年4s月

i

目录

一、 项目概述 .................................................................... 3

1.1 项目建设背景 ............................................................ 3 1.2 项目设计原则 ............................................................ 3 1.3 其他说明 ................................................................ 5 二、 医院信息化现状分析 .......................................................... 6

2.1 业务系统现状 ............................................................... 6 2.4 安全现状 ................................................................ 6 2.5 现医院信息系统网络拓扑示意图 ............................................ 7 三、 系统安全建设总体设计 ........................................................ 8

3.1 总体设计目标 ............................................................ 8 3.2 安全保障体系框架概述 .................................................... 8 3.3 网络拓扑图总体设计 ..................................................... 11 3.4 安全域划分 ............................................................. 12 四、 系统安全建设深化设计方案 ................................................... 13

4.5 安全区域边界整改设计 ................................................... 13

4.5.1 外网接入区整改设计 ................................................ 13 4.5.2 安全域边界隔离 .................................................... 13 4.6 安全管理中心整改设计 ................................................... 14

4.6.1 部署安全管理系统 .................................................. 14 4.6.2 部署运维堡垒主机系统 .............................................. 15 4.6.3 部署数据库审计系统 ................................................ 15 4.6.4 部署日志审计系统 .................................................. 15 4.6.5 部署安全准入系统 .................................................. 16 4.7 安全管理制度设计 ....................................................... 16

4.7.1 总体安全方针与安全策略 ............................................ 19 4.7.2 安全管理制度 ...................................................... 19 4.7.3 安全管理机构 ...................................................... 20 4.7.4 人员安全管理 ...................................................... 20 4.7.5 系统建设管理 ...................................................... 21 4.7.6 系统运维管理 ...................................................... 21 4.7.7 安全管理制度汇总 .................................................. 23

五、 项目预算及配置清单 ......................................................... 23 六、 附录：网神公司介绍 ......................................................... 24

公司简介 ...................................................................... 24 网神等保介绍 .................................................................. 25 网神等保概况 .................................................................. 25 网神等保工作内容 .............................................................. 25 网神等保优势 .................................................................. 26 网神医疗行业部分典型用户 ...................................................... 27 其他 28

ii

一、 项目概述

1.1 项目建设背景

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号，以下简称“27号文件”）明确要求我国信息安全保障工作实行等级保护制度，提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2004年9月发布的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号，以下简称“66号文件”）进一步强调了开展信息安全等级保护工作的重要意义，规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。

医疗机构作为涉及国计民生的重要组成部分，其安全保障事关社会稳定，必须按照27号文件要求，全面实施信息安全等级保护。

从外部环境来看，信息安全已经成为近几年信息化建设的热点话题，如何保障信息系统的安全已经成为国家关注的焦点，从27号文件开始，国家陆续出台了一系列的安全政策和标准，提出了以“适度安全、分级保护”为核心的等级保护建设思路，公安部、保密局、国密办以及国信办陆续出台政策，要求国内重要的信息系统应按照等级保护的办法和要求，进行相关安全防护系统的建设，并于2007年启动了等级保护的定级备案工作。等级保护针对信息安全系统建设的过程，提出了具体的管理办法和实施指南，并对信息安全系统提出了技术和管理方面的建设要求。

目前我省重要信息系统等级保护工作目前已全面开展，为贯彻落实福建省卫生厅、福建省公安厅关于印发根据《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函〔2011〕1126号）精神，参照卫生部印发的《卫生行业信息安全等级保护工作的指导意见》，并结合我省医院信息系统应用的特点，特制定《福建省医院信息系统安全等级保护工作实施方案》对省内各大医院信息系统建设，提出了等级保护的要求。开展了一系列等级保护培训和调研工作，提出针对医疗机构信息安全等级保护工作的基本思路和具体要求，指导福建省医疗机构的信息安全保障工作。

1.2 项目设计原则

等级保护是国家信息安全建设的重要政策，其核心是对信息系统分等级、按标准进行建设、

3

管理和监督。

27号文指出“信息化发展的不同阶段和不同的信息系统有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。”

对于福建省医疗机构信息安全建设，应当以适度风险为核心，以重点保护为原则，从业务的角度出发，重点保护重要的业务信息系统，在方案设计中应当遵循以下的原则：

? 适度安全原则

任何信息系统都不能做到绝对的安全，在进行福建省医疗机构信息安全等级保护规划中，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。

适度安全也是等级保护建设的初衷，因此在进行等级保护设计的过程中，一方面要严格遵循基本要求，从网络、主机、应用、数据等层面加强防护措施，保障信息系统的机密性、完整性和可用性，另外也要综合成本的角度，针对医院信息系统的实际风险，提出对应的保护强度，并按照保护强度进行安全防护系统的设计和建设，从而有效控制成本。

? 重点保护原则

根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统；本方案在设计中将重点保护医疗机构关键业务的信息系统，对其他信息系统则降低保护等级进行一般性设计和防护；

? 技术管理并重原则

信息安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的，仅仅通过部署安全产品很难完全覆盖医院所有的信息安全问题，因此必须要把技术措施和管理措施结合起来，更有效的保障医疗机构信息系统的整体安全性，形成技术和管理两个部分的建设方案；

? 分区分域建设原则

对信息系统进行安全保护的有效方法就是分区分域，由于信息系统中各个信息资产的重要性

4