县人民医院银医自助系统含微信就诊服务、安全等级保护等内容建设方案.doc

XX县人民医院“银医”自助就医系统方案XX县人民医院“银医”自助就医系统方案建议书XXX信息技术有限公司2017年8月银医自助系统行业领先品牌目 录第1章银医自助系统11.1项目背景11.2系统设计21.3多种卡应用31.4充值缴费模式41.5医疗费用结算41.5.1自费患者结算41.5.2参保患者结算41.6自助就医服务51.6.1门诊自助就医服务51.6.2住院自助就医服务121.7系统应用管理121.7.1自助终端管理121.7.2系统安全管理131.7.3退费管理131.8业务系统接口131.8.1接口通讯说明131.8.2接口对接方式131.9网络拓扑141.10系统安全控制151.10.1网络安全控制151.10.2系统安全监控15第2章产品配置推荐172.1自助终端配置172.2终端管理服务器配置202.3银行端前置服务器配置20第3章掌上医院-微信就诊服务平台203.1建设目标203.2建设价值203.3建设内容213.4网络机构23第4章成功案例24第5章信息安全等级保护275.1背景275.2整改目的285.3等级安全体系设计目标285.3.1总体目标285.3.2安全技术体系目标29第6章需求分析306.1需求分析30第7章整改方案安全体系设计307.1设计原则317.2设计参考标准与规范327.3分域保护框架建立327.3.1设计思路和方法327.3.2安全域划分原则337.3.3保护对象分类347.3.4系统分域保护框架35第8章技术体系方案详细设计368.1安全技术体系设计368.1.1物理安全设计368.1.2计算环境安全设计378.1.3区域边界安全设计418.1.4通信网络安全设计448.2安全管理和运维体系设计498.2.1安全管理的重要意义498.2.2安全管理体系建设498.2.3安全管理体系的建设目标508.2.4安全管理体系的建设内容508.2.5安全运维528.2.6安全人员管理558.2.7技术安全管理56第9章整体配置方案599.1部署拓扑599.2部署说明599.3设备配置列表60第10章方案报价60银医自助系统行业领先品牌第 63 页第1章 银医自助系统1.1 项目背景XX县人民医院创建于2010年，占地面积826000平方米，建筑面积827000平方米，1288张床位，在职职工8237人，其中医技人员，8356人，高级职称881人，返聘副主任医师以上专家38人。中级职称8199人，初级职称2008人。设立临床科室21个，医技科室20个，同时增设高压氧治疗中心及血液透析中心，肝病治疗法中心及临床基因检验中心装备有CT机，彩色B超，1600毫安X光机，电子胃镜，血液析机，高压氧舱，体外碎石机，全自动生化分析仪等医疗设备。1.2 系统设计 本项目建设方案优化了医院就诊流程，引导分流业务处理，减轻业务窗口手工处理压力，减少排队，提高医院服务效率和质量。系统在非诊疗环节实现了门诊自助建档发卡、门诊预缴金现金充值、门诊预缴金银行储蓄卡充值、预交金明细查询、住院预缴金现金充值、住院预缴金银行储蓄卡充值、门诊自助预约、门诊自助现场排号、门诊预约挂号取号、自费患者门诊费用自助结算、门诊结算信息自助查询、院内个人账户查询、个人参保信息查询、参保患者门诊费用自助结算、住院清单自助查询、门诊取药号码打印、门诊清单打印、检验报告单自助打印、住院清单打印、检查报告单自助打印、自助终端自动开关机、自助业务现金对账、自助服务终端管理、媒体信息播放、医疗费用价格查询、满意度调查，预留居民健康档案查询、发票自助打印、医技检查预约、医院业务公开、医院排班资讯信息查询等自助式服务，所有功能始终贯穿整个非诊疗环节的就医服务。患者进入医院进行就诊前，首先在医院窗口或自助服务终端上用身份证办理就诊卡，其次可通过自助服务终端进行就诊信息查询、预约挂号等操作，再次根据预约挂号单的信息找到相关科室和医生进行诊疗，诊疗结束后到自助服务终端进行自助结算，打印发票等操作，最后，患者根据医生的嘱咐到相关医技科室进行化验检查或者到药房进行取药等操作。若患者需要住院，则可通过自助服务终端设备办理住院押金充值、费用清单打印、满意度评价等。1.3 多种卡应用本方案将在就诊环节可以使用多种类型的功能卡。1. 就诊卡支持多种介质的就诊卡，如：磁条卡、条形码卡、IC卡等。就诊卡可作为患者在医院就诊的电子身份。通过就诊卡，在门诊“一卡通”应用系统的配合下，将就诊卡与医院HIS系统挂接，与患者姓名、缴费情况、治疗情况等就诊信息直接关联，实现患者电子身份的识别。就诊卡可在医院自助发卡机或人工窗口发放，可应用于整个就诊过程。2. 银行储蓄卡此类型卡为银行发行的借记卡，将此类型卡与就诊卡、医保卡、社保卡等配合使用，通过自助就医服务终端设备可实现银行转账充值、银行卡缴费结算等功能。3. 金融社保卡金融社保卡是集银行芯片卡和社保医保卡为一体的“二卡合一”IC卡，是参保患者的电子身份识别载体，其具有医保账户支付结算和借记卡账户支付结算功能。在相关业务系统的配合下，可直接作为就诊卡在医院内进行就医。4二代身份证患者通过二代身份证可以在自助设备或人工窗口办理院内就诊卡。1.4 充值缴费模式便捷的医疗费用支付是实现患者快速就医的重要方面，系统提供了自助现金充值缴费、银行卡充值缴费、支付宝、微信等多种支付方式。1.5 医疗费用结算门诊费用结算可分参保患者和非参保患者的结算，患者在取药或做医技检查前需要进行医疗费用结算。1.5.1 自费患者结算非参保患者结算。非参保患者结算无需与医保交互，所有费用直接从银行卡支付。1.5.2 参保患者结算该功能需要当地医保提供相关接口。参保患者只需插入社保卡并根据提示操作就快速完成医保门诊费用结算。系统在处理过程中自动识别对应的医保机构，然后读取医院HIS系统中的处方信息按医保的标准上传，并把医保处理结果反馈给医院业务系统，以进行医院业务系统的结算处理，整个过程确保所有业务及数据的完整性。如果结算过程中发现医保系统尚未挂号登记则自动进行医保挂号登记处理，结算过程中涉及到医保费用结算及银行卡充值金额的结算，系统将根据现有医保的接口要求自动把数据上传到医保进行结算，并从接口反馈回来再与医院内部进行结算处理，同时会根据需要与银行进行结算处理。整个缴费结算过程对患者来说是一次完成的，结算时间平均在3秒以内。而预结算可以实现患者的有关医保费用计算，并未实现真正的结算处理。结算完成后，终端系统将根据需要提醒患者是否需要打印发票。1.6 自助就医服务1.6.1 门诊自助就医服务1.6.1.1 自助建档发卡为了方便患者就诊，尽量减少患者卡片携带和管理的繁琐，本方案中金融社保卡或银行储蓄卡直接使用作为就诊卡，不需要另外办理就诊卡；对未参保或者外来患者，则需办理就诊卡进行诊疗。患者就诊建卡可采用自助终端建卡方式。具体流程图如下：1）患者可在自助设备选择“自助购卡”；2）将第二代身份证放置在终端的身份证感应区，自助系统将读取患者信息发送给HIS，由HIS建档；3）建档完成后，自助终端机具吐出新的诊疗卡。1.6.1.2 银行卡缴费银行卡具体流程图如下：1.6.1.3 门诊预约挂号系统实现普通门诊、专家门诊、急诊的预约登记功能，操作过程可以显示专家或科室预约情况、专家资料、就诊时间等；预约过程中需要进行电子身份识别处理，提示使用者输入预约必要信息，最终打印凭单把预约结果反馈给患者。系统实现普通门诊、专家门诊、急诊的预约登记功能，操作过程可以显示专家或科室预约情况、专家资料、就诊时间等；预约过程中需要进行电子身份识别处理，提示使用者输入预约必要信息，最终打印凭单把预约结果反馈给患者。普通门诊预约挂号流程图如下：专家门诊预约挂号流程图如下：急诊预约挂号流程图如下：1.6.1.4 门诊费用结算门诊费用结算可分参保患者和自费患者的结算，患者在取药或做医技检查前需要进行医疗费用结算，使用者获取时操作应尽量的简便，自费患者无需与医保交互，所有费用直接从银行卡或者支付宝、微信支付。参保患者门诊自助结算功能，患者只需插入医保卡或社保卡并根据提示操作就快速完成医保门诊费用结算。系统在处理过程中自动识别对应的医保机构，然后读取医院HIS系统中的处方信息按医保的标准上传，并把医保处理结果反馈给医院业务系统，以进行医院业务系统的结算处理。整个过程确保所有业务及数据的完整性。此功能将减轻医院和病人在就诊缴费和结算上的压力和负担，提高效率，简化流程。自助终端提供了结算、预结算、诊疗信息查询等功能，患者在终端上插入就诊卡并选择需要办理的服务项目即可。结算过程中涉及到医保费用结算及银行卡充值金额的结算，系统将根据现有医保的接口要求自动把数据上传到医保进行结算，并从接口反馈回来再与医院内部进行结算处理，同时会根据需要与银行进行结算处理。整个缴费结算过程对患者来说是一次完成的。结算完成后，终端系统将根据需要提醒患者是否需要打印发票。1.6.1.5 信息查询1、就诊信息查询系统根据实际业务应用需要开发对应的业务接口，实现自助终端系统与医院信息管理系统之间的数据交换和共享，提供医院就诊信息查询服务，如：个人在本院就诊情况查询、门诊交易明细查询等。（1）就诊明细查询就诊明细查询流程图:（2）交易明细查询医保信息查询该功能需要当地医保提供相关接口。结合医保机构的接口规范实现自助服务查询，查询过程中进行必要的身份识别处理及数据查看权限控制，确保参保人员个人隐私得到保障。银行卡交易查询终端应用软件与银行接口对接，可以进行查询银行卡在医院的消费刷卡记录，增加消费的透明度。1.6.1.6 自助打印终端应用软件结合终端实现门诊、医保、住院清单等相关单据报告的查询与打印，系统通过接口方式实现医院业务系统进行数据交换，患者可以根据需打印内容的类型打印不同格式单据。1.6.1.7 中文输入法应用终端应用软件结合终端金属键盘实现T9中文输入法功能，以方便使用者快速输入中文信息。1.6.1.8 满意度评价自助终端提供服务满意度评价功能，患者在医院完成就诊及缴费后，可对医院的医生、护士、各医技科室等的服务情况做出评价。系统提供“非常满意、满意、不满意”三个等级的评价功能，患者对医院做出评价后，评价结果将直接通过终端传输到控制中心的数据库中，方便医院领导、卫生局等监管人员的检查、监督。1.6.2 住院自助就医服务1.6.2.1 住院押金充值住院患者在住院期间通常需要多次缴纳住院押金，通过自助终端缴纳押金不仅可以节约患者的排队等候时间，还可以减轻人工窗口的压力。目前，住院押金充值只开放银行卡充值服务。自助缴费设备的开设实际上是增加了缴费窗口，通过使用自助设备，使用银行卡缴费的患者基本不再需要排队。据统计，一位患者使用自助设备完成一次缴费耗时仅需要20秒左右，极大地缓解了缴费窗口压力。1.6.2.2 住院清单查询打印自助就医系统根据实际业务应用需要开发对应的业务接口，实现自助就医系统与医院住院管理系统之间的数据交换和共享，提供住院清单查询及打印服务；患者可根据实际情况查询或者打印个人住院记录、住院预交金账户金额、住院消费明、住院日清单等。1.6.2.3 满意度评价自助终端提供服务满意度评价功能，患者在医院完成就诊及缴费后，可对医院的医生、护士、各医技科室等的服务情况做出评价。系统提供“非常满意、满意、不满意”三个等级的评价功能，患者对医院做出评价后，评价结果将直接通过终端传输到控制中心的数据库中，方便医院领导、卫生局等监管人员的检查、监督。1.7 系统应用管理1.7.1 自助终端管理实现所有自助终端管理，包括终端序号、硬件配件情况、场景配置、系统运行监控、系统日志管理等信息；系统根据终端的场景类型实现不同的功能授权，并提供对应的智能升级信息；实现系统的运行参数、业务和服务功能参数配置管理。1.7.2 系统安全管理系统安全管理包括终端接入安全认证，终端功能使用认证，管理人员管理权限授权等功能。系统提供图形界面管理系统角色、操作员、终端及权限等，为系统提供统一的认证与授权功能。1.7.3 退费管理如果患者已缴费，但不想执行，可到人工窗口办理退费手续。退费时需经相关负责人员签字认可（按照医院规定执行），签字确认流程完成后，收费窗口进行退费处理。1.8 业务系统接口1.8.1 接口通讯说明业务系统接口软件是连接医院HIS系统、第三方（医保/银行/新农合等）业务系统、自助终端的信息枢纽。XX县人民医院自助就医系统接口涉及银行业务系统、医保系统、医院信息管理系统等个方面的接口对接。一体化平台与医保系统之间的服务接口遵循“金保工程”的技术规范，系统接入及数据通信安全机制结合原系统的安全认证机制，实现个人医保账户余额、医保诊疗项目、个人参保情况、医疗费用情况等信息查询及医保自助结算。1.8.2 接口对接方式1.8.2.1 医院业务系统接口对接软件医院业务系统接口对接软件采用无缝连接方式实现医院业务系统与自助就医系统的互联。实现形式主要采用数据库直连或者webservices服务调用方式。1.8.2.2 银行业务系统接口对接软件银行业务系统接口对接软件遵循银行业务系统通讯协议要求，通过银行与医院的业务专线实现自助就医系统与银行业务系统的互联互通。提供银行卡刷卡消费等功能。1.8.2.3 医保业务系统接口对接软件系统按照当地医保系统接口规范实现与医保系统无缝对接，实现包括门诊挂号、门诊挂号取消、医嘱明细上传、诊收费、门诊收费撤销等业务接口服务。1.9 网络拓扑 1、 为保证“银医”自助系统的稳定运行，本项目需要在医院数据中心机房部署1台自助终端管理控制服务器、1台银行业务前置服务器、服务器的UPS不间断电源、空调环境等均利用医院机房现有的设备，提供服务。2、 由于本项目的自助终端和服务均在医院局域网内交互，因此可利用医院原有的安全设备提供防护。3、 为了保证金融业务的数据传输安全，自助系统与银行之间采用银联专线接入方式，该专线由银行负责建设并维护。4、 银行端前置服务器实现的是与银行业务专网的互联，由于金融应用的特殊性，其签到、交易等金融业务数据均采用银行内部专用的软硬件加解密方式，其网络安全依托医院原有的安全设备也已经满足要求。5、 自助系统的综合布线部署将以设备部署平面图及网络拓扑图情况为基础，充分利用现有资源，依靠医院现有电路及网络布局，进行必要的升级改造。本项目综合布线系统建设将由对医院网络系统十分了解、且符合医院要求的网络集成公司负责，整个项目的综合布线方案及设备采购等均由该公司提供，并提交医院、银行审核、确认后方可实施。综合布线的总体费用严格控制在项目的预算费用内。1.10 系统安全控制1.10.1 网络安全控制自助就医系统服务器部署在医院内网中，通过数据中心局域网实现与自助终端设备、医院业务系统服务器等的互联互通。因此在网络安全控制方面，如无特别要求，则可以医院现有的网络安全设备为基础，通过数据中心核心交换机为自助就医系统服务器制定一个“访问控制策略（ACL）”，实现对网络资源进行访问输入和输出控制，确保网络设备不被非法访问或被用作攻击跳板。通过数据中心主机设备上的防火墙软件制定相关自助就医系统服务器访问医院HIS数据库的安全策略，进一步控制自助就医系统的安全访问。自助终端设备通过自助终端设备的终端编号（ID身份），实现设备的安全接入控制；只有在终端设备的终端编号在控制管理服务器中找到相应的匹配ID，自助终端设备才可以与服务器进行通讯。此外，还可通过自助终端设备的MAC地址进行绑定，确保非法的设备无法接入网络。1.10.2 系统安全监控本期安全监控系统建设依托医院现有在自助就医区域的监控网络及设备，并结合自助终端自带的前端摄像监控。在医院的监控配合下，本项目终端设备可呈现出立体化的监控效果。（1）自助区域的上层监控（天花板监控）通过在自助就医区域的上方部署视频监控源，实现从上到下的监控效果。即在自助区域的天花板吊顶布设监控摄像头，从上对自助就医区域进行环境、患者操作、设备安全的监控。（2）自助就医区域的周围环境监控 自助就医区域的周围环境监控采用该区域内原有的环境监控网络，根据实际情况在合适的位置相应增加监控的摄像头，实现对该区域的平面监控。（3）自助终端的前端摄像监控自助终端在设计时预留了前端监控模块，院方可根据医院的管理需求，启用设备自身的监控功能，将监控网络延伸到设备上，实现近距离的操作者形象和操作行为监控。（4）自助终端的入钞口摄像监控自助终端在设计时预留了入钞口摄像监控模块，院方可根据医院的管理需求，启用设备自身的监控功能，将监控网络延伸到设备上，实现操作者入钞操作行为监控。第2章 产品配置推荐2.1 自助终端配置多功能自助终端（发卡+充值+挂号+结算+打印）序号硬件模块参数指标描述1主控模块工控主板；CPU：主频不低于1.80GHz，主机内存不低于2G；集成显卡(支持1024*768以上分辨率)及声卡、10/100M网卡、标配4个Usb（可扩展到8个）、标配6个RS232（可扩展到10个）接口。2存储数据存储采用SSD固态硬盘8G。3机柜外观大堂式机柜，高度不低于1.6m,外形美观、尊贵，整机采用优质钢材制造，坚硬厚实，防水、防锈、防腐、耐磨，打印模块采用拖拉式道轨维护。4电源模块ATX电源，最大功率300W，符合GB/T 14714-2008规范标准；5主显示模块17寸5:4 TFT显示模块，分辨率1280*1024，亮度250 cd/m2；对比度：1000：1；可视角度(L/R/U/D)：85/85/80/80，响应时间5ms。6触摸输入模块17寸防暴安全型红外触摸屏，防尘、防污、定位准确无漂移，触摸精度：1.5毫米(中心区域)，2.5毫米(边缘区域)，分辨率：3276732767, 单点触摸: 16ms。7多功能读卡输入键盘金属密码键盘，配置硬件加密模块；33个金属键，包含数字键、功能键、方向键等；防腐蚀、耐磨；配备3个PSAM插槽；具有T9中文输入功能。支持银行卡磁条数据阅读、社会保障卡读取。键盘集IC卡读卡模块、磁条卡读卡模块、金属输入键盘于同一输入模块上，增强设备的安全性、兼容性。具有社会保障卡及金融卡的读取功能；能够配合核心主板正确的进行接触式Memory卡和CPU卡的读取。磁条卡读取，可同时读取2、3磁道；刷卡速度范围为10毫米/秒-100毫米/秒。8电动读卡器IC卡/RF卡读写，磁卡只读，支持掉电弹卡，PSAM卡板选择；有效的防尘、防异物卡扣设计；兼容多种通讯协议；银联PBOC2.0&EMV认证。9身份证阅读模块兼容ISO14443（TypeB）标准。10收发卡器模块模块IC卡、RF卡和高抵抗磁卡读写，勾卡方式发卡，发凸字卡片可靠性高；带锁的移动式卡盒，移动卡盒的出卡扣具备安全锁功能，带锁的回收卡盒，卡箱移动自动检测功能；提供在线IAP方式下载。IC卡符合IS07816标准。11纸币接收模块接受RMB 1,5,10,20,50,100元；钱箱容:约1000张,钞满可报警，配有钱箱；金属防暴力外壳，钥匙和锁为独立配置，互不通用；软件可用记忆棒升级。12热敏打印模块RS-232接口、热敏打印、自动切纸（半切）、纸将尽报警、卡纸报警、带黑标检测，打印宽度：79mm，纸卷直径：120mm。13报告单打印模块黑白激光打印模块，最大打印幅面：A4，打印速度：33ppm，最高分辨率：12001200dpi，标配纸盒：250页，多功能进纸器：50页。14条码阅读机对0.33 mm (13 mil)的标准条码。15前置摄像模块预留前置摄像头监控模块。 16入钞摄像模块预留入钞摄像头监控模块。17POS预留pos模块18网络通讯模块通讯支持以太网接口LAN、WLAN，可以扩展包括SIM 卡的网络应用（3G无线网络）、电话Modem等接口。19整机颜色可选根据用户实际要求进行定制。20操作系统linux操作系统，自助终端应用平台，固化到数据存储设备中。21应用软件人机交互应用软件可定制，应用响应时间在3秒以内；应用软件能固化在机器的ROM中，每次启动均清除垃圾碎片（或者日志），软件支持网络在线更新；具有实现“一键恢复”功能，结合终端“复位”按键可以让整个系统恢复到出厂配置状态；系统应用软件支持触摸屏及按键的操作。22系统性能开机速度在60秒以内，系统内核加载30秒以内；非授权时修改的操作系统配置，每次重启后自动恢复到原始配置；23使用环境环境温度：+5+45，相对湿度：10%80%，输入电压：AC220V10%50Hz1HZ以上为我们自助终端机的全功能模块,可以根据医院的需求进行模块的增加与减少.2.2 终端管理服务器配置序号项目名称主要配置及性能要求数量1医院自助终端控制中心服务器用途：用于信息传递和协作，及自助终端设备管理配置：2个6核英特尔处理器E5-2620 2.0GHz，16GB DDR3内存，3个3.5英寸易插拔SAS硬盘（300G），RAID5、双千兆以太网，冗余电源，风扇。2台2.3 银行端前置服务器配置银行机构根据金融要求自行配置，部署2台银行端前置服务器。第3章 掌上医院-微信就诊服务平台3.1 建设目标“微信就诊平台”的建设是为患者提供一个便捷的、无插队的就诊服务环境，打造一个利国利民、缓解患者“看病难”和“看病烦”的“民生工程”。让患者在就诊过程对流程和细节可知晓，对就诊时间可掌控，对就诊体验可评价，减少患者在就诊过程中的排队等候时间，让没一部智能手机都能成为患者就诊过程的陪诊护士，让每一部智能手机都能成为患者的专属服务窗口。3.2 建设价值本方案部署后可以给医院带来良好的经济效益和社会效益，主要有以下几个方面： 为患者提供便捷的就诊通道；通过门诊业务流程优化，结合微信实现远程预约、远程排队，将服务窗口延伸到患者手中，解决医院关键节点患者的疏导，立体化分层次地解决医院就诊排队问题。 节约医院管理成本；随着医院规模扩充，就诊人数的不断提升，医院的管理成本是最大的成本，通过人工服务向自助服务的转变，极大的节省了医院的管理成本，提升医院的接待能力。 给医院患者提供一个沟通得桥梁；医院可以通过信息发布以及互动请假等形式加强医患沟通，可以让患者了解医院的服务能力及医疗特色，并能让医院及时了解患者就诊过程中的感受，及时解决患者遇到的问题，避免医患矛盾的产生。 依托互联网构建医院个性化医疗服务；把微信服务号作为服务终端，依托医院平台及专家资源，共同开发运营针对患者的个性化医疗服务，如孕妇俱乐部、母婴教室等。3.3 建设内容分类功能介绍就诊服务预约患者可在手机上进行预约。挂号患者可以在手机上挂当天的号，并支付挂号费。预约取号患者可在手机上支付后取预约号，并生成电子凭条，直接进入诊室就诊。候诊队列可以在手机上查看到目前的就诊号数并提醒做好就诊准备。获取报告单患者可以输入自己的就诊卡号和姓名来获取自己在医院的检验和检查报告单。就诊缴费自费缴费通过手机进行线上缴费。医保缴费信息查询医院信息医院综合信息板块，展示医院介绍（医院规模、医院历史、重点科室等）院内导航、资质荣誉、公告等。科室信息展示医院各科室的介绍、科室特色。医生信息包括职称、所属科室、擅长领域。排班信息医生的排班信息。医院导航提供医院的基本信息，患者可以通过手机导航的方式找到医院。个人就诊信息挂号、缴费清单、就诊详情。医患互动微信随访医生通过微信主动对患者进行随访，主要针对典型病例收集和研究。用药提醒提醒患者用药和进行复查。满意度调查患者就诊完成后，及时发送调查表到缓和微信端，可以进行全方位、多角度的调查，有助于医院加强门诊的管理。3.4 网络机构架构说明：第4章 成功案例 设备部署应用情况部署地点: 门诊大厅、东院、西院、住院部等设备数量：目前正式运行为：147台自助服务终端一体机截至目前在广西已服务三甲医院有12家：广西医科大学第一附属医院柳州市工人医院右江民族医学院附属医院玉林市第一人民医院南宁市妇幼保健院南宁市中医院防城港市第一人民医院南宁市第二人民医院钦州市妇幼保健院钦州市第二人民医院百色市人民医院广西壮族自助区南溪山医院防城港市中医医院第5章 信息安全等级保护5.1 背景随着医疗卫生体制改革的不断深化，卫生行业信息化应用不断普及。医院信息系统已成为医疗服务的重要支撑体系，支撑医院系统运作及各部门共同合作与营运的关键应用，承载着医院主要的业务数据。医院信息系统的安全性直接关系到医院医疗工作的正常运行，一旦网络瘫痪或数据丢失，将会给医院和病人带来巨大的灾难和难以弥补的损失。同时，医院信息系统涉及大量医院经营和患者医疗等私密信息，信息的泄露和传播将会给医院、社会和患者带来安全风险，同时，等级保护评测是否过关，关系到医院的三甲评审（见 卫生部三级综合医院评审标准及实施细则评审标准中6.5.4.1“加强信息系统的安全保障和患者隐私保护”中各项明确规定）。为贯彻落实国家信息安全等级保护制度，按照卫生部关于印发卫生行业信息安全等级保护工作的指导意见的通知要求，XX县人民院积极开展信息等级测评工作。通过信息系统等级保护定级和安全测评工作，提前发现信息系统中存在的安全风险和漏洞，我们据此提出信息系统安全等级保护整改和解决方案，避免安全事件对业务工作带来损失；完善信息系统安全管理制度，提升信息系统安全管理水平。评审通过后，将由自治区公安厅下辖的信息安全评测权威机构颁发等级保护证书。5.2 整改目的 根据XX县人民医院网络系统的现状和将来的应用需求，并结合等级化保护的相关要求，而制定针对性的技术方案与管理方案，为XX县人民医院信息系统的等级化安全体系改造和加固提供参考和实施依据。本方案将主要阐述和针对XX县人民医院网络系统的改造和信息安全体系的规划设计。 主要内容为XX县人民医院信息系统的总体信息安全体系安全改造，包括以下几个方面：l 建设XX县人民医院网络安全基础设施；l XX县人民医院信息系统的边界安全保护；l 信息系统的计算环境安全保护；l 建立XX县人民医院信息系统的安全运维体系；l 建立XX县人民医院信息安全的管理制度；l 协助并配合XX县人民医院在评测中各项工作的技术支持并顺利获得通过；l 为医院各项医疗信息化业务保驾护航并为三甲复审加分。5.3 等级安全体系设计目标根据对XX县人民医院信息系统的全面了解，并结合国家的相关政策标准，XX县人民医院网络系统的信息安全建设目标如下。5.3.1 总体目标为了落实卫生行业信息安全等级保护工作的指导意见（卫办发201185号）和关于全面开展卫生行业信息安全等级保护工作的通知（卫办综函20111126号），实施符合国家标准的安全等级保护体系建设，通过对XX县人民医院网络系统的安全等级划分，确保XX县人民医院网络的核心信息资产的安全性，从而使重要信息系统的安全威胁最小化，达到网络信息安全投入的最优化。最终实现如下总体安全目标：1、 依据信息系统所包括的信息资产的安全性、信息系统主要处理的业务信息类别、信息系统 服务范围以及业务对信息系统的依赖性等指标，来划分信息系统的安全等级。2、 通过信息安全需求分析，判断信息系统的安全保护现状与信息安全技术信息系统安全等级保护基本要求之间的差距，确定安全需求，然后根据信息系统的划分情况、信息系统定级情况、信息系统承载业务情况和安全需求等，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施规划，以指导后续的信息系统安全建设工程实施。3、 达到公安部关于信息系统安全等级保护三级的相关要求。5.3.2 安全技术体系目标按照信息系统安全等级保护三级关于信息系统在物理、网络安全运行、信息保密和管理等方面的总体要求，科学合理评估信息系统当前存在的风险，协助其合理确定安全保护等级，在此基础上科学规划设计一整套完整的安全体系改造加固方案。该安全体系需要全面保卫网络和基础设施、边界和外部接入、计算环境、支持性基础设施、数据和系统等方面内容，实现信息资源的机密、完整、可用、不可抵赖和可审计性，基本做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、可追溯”。具体包括：1、 内外网接入设备物理隔离并入机房总核心设备，保障数据的不间断性。2、 保障基础设施安全，保障网络周边环境和物理特性引起的网络设备和线路的持续使用。3、 保障网络连接安全，保障网络传输中的安全，尤其保障网络边界和外部接入中的安全。4、 保障计算环境的安全，保障操作系统、数据库、服务器、用户终端及相关商用产品的安全。5、 保障应用系统安全，保障应用程序层对网络信息的保密性、完整性和信源的真实的保护和鉴别，防止和抵御各种安全威胁和攻击手段，在一定程度上弥补和完善现有操作系统和网络信息系统的安全风险。6、 安全管理体系保障，根据国家有关信息安全等级保护方面的标准和规范要求，结合XX县人民院实际情况，建立一套切实可行的安全管理体系。第6章 需求分析6.1 需求分析近年来，医院的信息化建设发展速度迅速，典型代表如HIS(医院信息系统)、LIS(实验室信息管理系统)、PACS(影像归档和通信系统)、电子病历、电子处方等在各大中医院普及面非常广，信息化的发展带来信息和网络安全问题日益凸显，主要原因和表现如下：医院对各类信息系统的依赖程度越来越高。以HIS系统为例，涉及到医院所属各部门，对人流、物流、财流全方位管理，患者从挂号、看诊、缴费、手术、住院、出院等等各个环节，都需与其直接挂钩，一旦HIS信息系统出现问题，影响面巨大。医疗信息系统采集、处理、存储大量患者隐私电子化数据。如电子病历、健康档案、电子处方等都涉及到病人的各类基本信息、身体健康信息。一旦泄漏，对患者的隐私造成危害。信息系统面对安全威胁的众多、入门门槛越来越低下。各类大规模的DDos侵入、黑客攻击、蠕虫、木马越来越普遍、手段越来越复杂、成组织化、专业化趋势，入门门槛低下，各类自动化攻击工具，DDOS工具网络上比比皆是，一个小工具就能有数百兆的攻击流。医院信息系统安全现状堪忧，与发达国家相比，我国卫生行业的信息安全领域的工作推进还处于刚刚起步阶段，信息安全意识相对落后，没有成立专门的信息安全管理组织、没有成套规范的管理体系。已经严重滞后信息化的发展速度。 针对医疗行业普遍的的安全现状，XX县人民院同样也面临着安全威胁，我们结合信息系统等级保护三级的政策和规范要求，设计本方案。第7章 整改方案安全体系设计在信息安全等级保护体系设计时，我们遵循等保体系标准作为设计方法，根据等级保护安全三级的要求进行XX县人民院网络系统的安全体系化设计。通过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设；为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设，使得XX县人民医院网络系统的等级保护建设方案最终既可以满足等级保护三级的相关要求，又能够全方面为XX县人民医院的业务系统提供立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能力。7.1 设计原则在规划、建设、使用、维护整个XX县人民医院网络系统项目的过程中，本方案将主要遵循统一规划、分步实施、立足现状、节省投资、科学规范、严格管理的原则进行安全体系的整体设计和实施，并充分考虑到先进性、现实性、持续性和可扩展性。具体体现为：1、 等级标准性原则坚持遵循相关的标准。本方案从设计到产品选型都遵循国家信息系统等级保护三级相关标准。2、 需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际分析(包括任务、性能、结构、可靠性、可用性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定安全策略。3、 综合性、整体性原则安全模块和设备的引入应该体现系统运行和管理的统一性。一个完整的系统的整体安全性取决于其中安全防范最薄弱的一个环节，必须提高整个系统的安全性以及系统中各个部分之间的严密的安全逻辑关联的强度，以保证组成系统的各个部分协调一致地运行。4、 易操作性原则安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。5、 设备的先进性与成熟性安全设备的选择，既要考虑其先进性，还要考虑其成熟性。先进意味着技术、性能方面的优越，而成熟性表示可靠与可用。6、 无缝接入安全设备的安装、运行，应不改变网络原有的拓扑结构，对网络内的用户应是透明的，不可见的。同时，安全设备的运行应该不会对网络传输造成通信“瓶颈”。7、 可管理性与扩展性安全设备应易于管理，而且支持通过现有网络对网上的安全设备进行安全的统一管理、控制，能够在网上监控设备的运行状况，进行实时的安全审计。8、 保护原有投资的原则在进行XX县人民医院网络系统信息安全体系建设时，应充分考虑原有投资，要充分利用医院已有的建设基础，规划其医院网络系统的整体安全体系和灾难恢复系统。9、 综合治理信息网络的安全同样也绝不仅仅是一个技术问题，各种安全技术应该与运行管理机制、人员的思想教育与技术培训、安全法律法规建设相结合，从社会系统工程的角度综合考虑。7.2 设计参考标准与规范设计参考了以下标准与规范：l 卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知（卫办综函20111126号）;l 北京市卫生局关于进一步加强北京市卫生行业信息安全等级保护工作的通知(京卫办字201226号);l 信息安全技术信息系统安全等级保护基本要求（ GB/T22239-2008）;l 信息安全技术信息系统安全等级保护定级指南（GB/T 22240-2008）;l 信息安全技术信息系统安全等级保护实施指南;l 信息安全技术信息系统安全等级保护测评要求;l 信息安全技术信息系统安全等级保护测评过程指南;l 计算机信息系统安全保护等级划分准则（GB 17859-1999）;l 信息安全技术信息系统通用安全技术要求（GB/T20271-2006）;l 信息安全技术网络基础安全技术要求（GB/T 20270-2006）;l 信息安全技术操作系统安全技术要求（GB/T 20272-2006）;l 信息安全技术数据库管理系统安全技术要求（GB/T20273-2006）;l 信息安全技术服务器技术要求（GB/T 21028-2007）;l 信息安全技术终端计算机系统安全等级技术要求（GA/T 671-2006）;l 信息安全技术信息系统安全管理要求（GB/T20269-2006）;l 信息安全技术信息系统安全工程管理要求（GB/T20282-2006）;l GB/T 18336-2001信息技术安全技术信息技术安全性评估准则;7.3 分域保护框架建立7.3.1 设计思路和方法 用安全域方法论为主线来进行设计，从安全的角度来分析业务可能存在的安全风险。所谓安全域，就是具有相同业务要求和安全要求的IT系统要素的集合。这些IT系统要素包括：l 网络区域l 主机和系统l 人和组织l 策略和流程l 业务和使命 因此，如果按照广义安全域来理解，不能将安全域的工作仅仅理解为在网络拓扑结构上的工作。 通过划分安全域的方法，将网络系统按照业务流程的不同层面划分为不同的安全域，各个安全域内部又可以根据业务元素对象划分为不同的安全子域。针对每个安全域或安全子域来标识其中的关键资产，分析所存在的安全隐患和面临的安全风险，然后给出相应的保护措施；不同的安全子域之间和不同的安全域之间存在着数据流，这时候就需要考虑安全域边界的访问控制、身份验证和审计等安全策略的实施。安全域划分以及基于安全域的整体安全工作，对XX县人民医院网络具有很大的意义和实际作用：l 安全域划分基于网络和系统进行，是下一步安全建设的部署依据，可以指导系统的安全规划、设计、入网和验收工作；l 可以更好的利用系统安全措施，发挥安全设备的利用率；l 基于网络和系统进行安全检查和评估的基础，可以在运行维护阶段降低系统风险，提供检查审核依据；l 安全域可以更好的控制网络安全风险，降低系统风险；l 安全域的分割是出现问题时的预防，能够防止有害行为的渗透；l 安全域边界是灾难发生时的抑制点，能够防止影响的扩散。 “同构性简化”的安全域划分方法，其基本思路是认为一个复杂的网络应当是由一些相通的网络结构元所组成，这些进行拼接、递归等方式构造出一个大的网络。具体来说XX县人民医院网络的承载网络和支撑系统按照其维护数据的分类可以分为安全服务域、安全接入域、安全互联域以及安全支撑域四类。在此基础上确定不同区域的信息系统安全保护等级。同一区域内的资产实施统一的保护，如进出信息保护机制，访问控制，物理安全特性等。7.3.2 安全域划分原则 XX县人民医院网络系统安全区域的划分主要依据XX县人民医院网络系统的应用功能、资产价值、资产所面临的风险，划分原则如下：1、 系统功能和应用相似性原则安全区域的划分要以服务XX县人民医院网络应用为基本原则，根据医院应用的功能和应用内容划分不同的安全区域。2、 资产价值相似性原则同一安全区域内的信息资产应具有相近的资产价值，重要医院业务应用与一般的行政办公应用分成不同区域。3、 安全要求相似性原则在信息安全的基本属性方面，同一安全区域内的信息资产应具有相似的机密性要求、完整性要求和可用性要求。4、 威胁相似性原则同一安全区域内的信息资产应处在相似的风险环境中，面临相似的威胁。7.3.3 保护对象分类 保护对象是信息系统内具有相似安全保护需求的一组信息资产的组合，是从安全角度对信息系统的描述。依据XX县人民医院网络系统的功能特性、安全价值以及面临威胁的相似性，XX县人民医院网络保护对象可分为计算区域、区域边界、网络基础设施三类。1、 计算区域计算区域是指由相同功能集合在一起，安全价值相近，且面临相似威胁的一组信息系统组成。计算区域的信息资产包括：主机资产、平台资产、应用软件资产和医护数据资产等。涉及区域内的物理层、网络层、系统层、应用软件层、数据层和业务流程层面。包含的安全属性包括所属信息资产的物理安全、网络安全、边界安全、系统安全、应用系统安全、数据安全和业务流程安全等。2、 区域边界区域边界是指两个区域或两组区域之间的隔离功能集。边界是虚拟对象，不与具体资产对应，边界是一组功能集合，包括边界访问控制，边界入侵检测和审计等。设计系统分域保护框架时区域边界可以作为计算区域的一个属性进行处理。3、 网络基础设施网络基础设施是指由相同功能集合在一起，安全价值相近，且面临相似威胁来源的一组网络系统组成，包括由交换机和防火墙等构成的局域网，一般指区域边界之间的连接网络。某一个安全区域或多个安全区域网络支撑平台构成了该区域的网络基础实施。各类信息资产描述如下：l 物理环境：是指支撑XX县人民医院网络系统的场所、所处的周边环境以及场所内保障计算机系统正常运行的设备，包括机房、门禁、监控、电源、空调等。l 人员资产：指与XX县人民医院网络系统直接相关的人员，包括各级安全组织、安全人员、各级管理人员、网管员、系统管理员、业务操作人员和第三方人员等。l 是指XX县人民医院网络系统网络传输环境的设备，软件和通信介质。网络资产包括路由器、交换机、防火墙、网管、网络设备控制台等。l 主机资产：是指XX县人民医院网络系统中承载业务系统和软件的计算机系统、外围系统（不含网络设备）及其操作系统。这里的主机资产包括磁盘阵列、Unix服务器、Windows服务器、工作站和移动终端等。l 平台资产：主要是指XX县人民医院业务系统的软件平台系统，包括数据库、中间件、群件、邮件、Web服务器、集成开发环境和工具软件等。l 应用软件资产：是指为XX县人民医院网络医疗业务和管理应用而开发的各类应用软件及其提供的服务。l 数据资产：是XX县人民医院网络系统所存储、传输、处理的数据对象，是XX县人民医院网络系统的核心资产。7.3.4 系统分域保护框架 系统分域保护框架是从安全角度出发，通过对XX县人民医院网络系统各保护对象进行组合，来对信息系统进行结构化处理的方法。结构化是指通过特定的结构将问题拆分成子问题的迭代过程，其目标是更好地体现XX县人民医院网络系统信息系统的安全特性和安全要求。