医院信息化安全等保解决方案设计

1、医院信息化安全等保解决方案一、行业背景与需求为贯彻落实国家信息安全等级保护制度，规X和指导全国卫生行业信息安全等级保护工作，卫生部办公厅于 2011年12月下发卫生部卫生行业信息安全等级保护工作的指导 意见卫办发201185号以下简称指导意见。为贯彻指导意见，办公厅同 时下发卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知卫办综函20111126号以下简称通知，对卫生行业各单位提出如下要求：2012年5月30日前完本钱单位信息系统的定级备案工作；根据信息系统定级备案情况开展等级测评工作，查找安全差距和风险隐患， 并结合自身安全需求，制订安全建设整改方案；2015年12月30日前完成信

2、息安全等级保护建设整改工作，并通过等级测评。指导意见根据信息安全技术信息系统安全等级保护定级指南以下简称定级指南、信息安全技术信息系统安全等级保护根本要求以下简称根本要求丨，建议县区级医院的核心业务信息系统安全保护等级原如此上不低于二级。各省卫生厅根据指导意见、定级指南、根本要求等相关规定，并结合本区域现状提出本区域内县区级医院定级要求，大局部省市定级要求如下：序号信息系统可能侵害的客体定级建议1HIS、LIS、PACS、门诊系统等公民、法人与其他组织合法权益二级2OA、邮寄等公民、法人与其他组织合法权益二级二、迪普解决之道为帮助县区医院落实国家信息安全等级保护制度与卫生部信息安全等级保护工作

3、要求，迪普科技从主机安全、应用安全、数据安全与备份恢复四个层面为县区医 院提供全方位的等级保护解决方案。整体思路县级医院网络一般分为两 X物理网络：内网业务网和外网办公网。内网主要承载着 HIS、LIS、PACS等医院信息系统，外网主要承载医院OA、mail等信息系统。根本要求中规定不同安全保护等级的信息系统应该具备相应的根本安全保护能力， 应满足相应的根本安全要求，根据实现方式的不同， 根本安全要求分为根本技术要求和根本管理要求两大类。根本技术要求包含物理安全、网络安全、主机安全、应用安全和数据安全几个层面。本方案针对医院内外两X物理网络与其承载的信息系统，分别从网络安全、主机安全、应用安全

4、、数据安全四个层面进展设计。噩 H(S巴豆a严【皺叭iijI*1I1:i：!II申ji»I4II*应用安全1J J i JJ 'I»:-'t-Ji fl* H丄 f 守.-囁.千-丄 主机安全iJJ【 J； JII 1 II«. _ 1 i . _ _ 归 8 ；网络安全IJJJJ1>” J 彳十i.1j*a1r1网络安全、主机安全、应用安全、数据安全均包含多个控制点，而每个控制点又包含多个具 体的技术要求项，本方案针对其中具体项要求提出以下的安全措施，如下表所示:左全捱刮主理蚩全拾竟二艇搭摘网事曼全K辽丈歩茹至七宝三奁主疋司金士阿裁4重長闻

5、疑王翊应耒可張火境进疗孫膜F*淫逼界耳靈曜丸韶河网逹目网塔运豪謹3?全卄7霞西£忙竝丸寡童.気班施人空赳-祚逹尹机栓査#疋三谁、些弐裁狂.审龙准.丘寺一旣非W-F色犷入0埜期系眾"、0阳肖凉盏7豹京歪呵共主n£壬恥刍科禿金怔宽7夭叵虫确営廉统工琰殳鱼之计W环亘理骂匪廷沽玄巧驻屮7妄仃茶刮天后奄于Z壬婷車4耒全苗才苗挎吉糞全言t4冢统W就.低程愛备白和徳复立堆方屣占计与眇址W理佯咒査笑厦网尊设£-坟輦叱圧鉛4#覆件兀塞W臺圮弍搭目士方案描述医院内网信息安全等级保护方案设计，如如下图所示:耳堆斤PPfcrfhWJXNIAWfcTSWEj曲中右FM>:层

6、金 :鬲卷冬0 0, _ _ *5«f&A:t?sa*A理嫌皓入首先，将医院内网分为多个安全区域，数据中心区、终端接入区、安全管理区与外联区域。根据不同的业务系统与安全区域划分VLAN，在数据中心与外联区域边界部署DPtechFW1000防火墙，根据访问需求配置安全访问控制策略。对于重要区域边界部署数据中心前端IPS2000入侵防御系统，对应用层攻击进展检测与在线防御，并在线过滤网络病毒、恶意代码在安全管理区部署DPtech UMC 统一管理中心与 DPtech Scann er1000 漏洞扫描系统，为安全管理提供必要的技术手段，并集中收集、防火墙与IPS业务日志等。医院外

7、网信息安全等级保护方案计设，如如下图所示:負全XhE苣u申心0叶卅住讎摆bPtMrh:-g整制6人fjimiiI!i«iIIdiI医院外网分为对外服务器区、互联网区、终端接入区、安全管理区几个安全区域。对外服务器区前端部署 DPtech WAF3000 Web 应用防火墙，对医院门户进展重点防护，针对WEB攻击漏洞进展全面检测和加固，防止被攻击与篡改；互联网边界部署DPtechFW1000防火墙，根据访问需求配置安全访问控制策略；部署DPtech UAG3000 审计与流控网关，对外网用户的上网行为进展控制，合理分配带宽，并对上网行为进展审计；在安全管理区部署DPtech UMC 统

8、一管理中心，对安全设备进展集中管理。方案设计参考标准GB/T 22239-2008信息安全技术信息系统安全等级保护根本要求GB/T 22240-2008信息安全技术信息系统安全等级保护实施指南GB/T 20271-2006信息安全技术信息系统安全通用技术要求GA/T 708-2007信息安全技术信息系统安全等级保护体系框架GA/T 709-2007信息安全技术信息系统安全等级保护根本模型GA/T 709-2007信息安全技术信息系统安全等级保护根本配置信息安全技术信息系统等级保护安全建设技术方案设计规X信息安全技术信息系统等级保护安全设计技术要求信息安全技术信息系统安全等级保护测评要求三、为什

9、么选择迪普迪普科技“医院信息系统等级保护解决方案依据国家信息安全等级保护相关政策标准与卫生行业的相关标准与要求，结合医院信息化安全实际需求进展设计，可全面提升医院信息安全防护能力与安全管理能力。主要具备以下特点：合规性本方案全面依据 定级指南、根本要求等相关标准， 结合迪普科技丰富的等级保护建设 经验，充分理解信息系统安全等级保护测评要求 ，对其中的每一项要求均有相关的产品 功能、安全策略与之对应除非网络产品涉与的要求外，采用本方案的医院信息化系统可充分满足国家与医疗行业等保建设要求。全方位医院信息化安全防护需求多样化，主要关注边界安全防护、系统防护、互联网上网行为管理、重要业务系统备份几个方

10、面。 迪普科技专注于网络安全与应用交付领域，针对多样化的需求可提供全方位的产品与解决方案，全面提升医院信息化系统的安全性、可用性、可靠性。高可靠医院信息化系统与医疗业务息息相关，业务系统的可靠性、 连续性要求占首位， 安全建设不能增加额外的故障点。迪普科技安全与优化类产品广泛运用于电信运营商行业，具备电信级可靠性，同时支持业内领先的双机备份技术，对于重要的HIS系统、数据库等可提供硬件负载均衡产品实现智能备份，从而全面提升医院信息化系统的可靠性。易管理医院信息化管理工作繁重， 传统的安全解决方案往往大幅增加安全管理工作的难度，迪普科技以UMC统一管理中心为核心的安全管理解决方案，实现安全设备的

11、统一管理，设备状态集中监控，安全策略集中下发，对海量安全日志进展集中采集、分析、关联、会聚和统一处 理，实时输出分析报告，帮助管理员与时对网络安全状况进展分析，其可视化展现的方式极大的降低了网络管理复杂度。四、迪普案例某某大学第二附属医院数据中心安全加固；某某大学第一附属医院出口改造；某某中医大学校园网出口改造；某某省人民医院内网数据中心安全加固；某某市第六人民医院医院等保建设；某某市人民医院提供整网等保建设；某某亚心医院数据中心安全加固；某某医科大学第一附属医院；某某大学第一附属医院网络安全加固;五、方案清单医院内网:型号描述数量UMC管理中心SW-UMC-PLATDPtech UMC 统一

12、管理中心管理软件1LIS-UMC-FWMDPtech UMC Firewall Man ager授权函1LIS-UMC-IPSMDPtech UMC IPS Ma nager授权函1LIS-UMC-Sca nn erDPtech UMC Sca nn erMa nager授权函1Scann er1000 漏洞扫描系统Sca nn er1000-MS+1YDPtech SCANNER1000-MS交流主机，特征库升级-1年1LIS-SC-WEBDPtech SCANNER1000 Web扫描服务函1LIS-Sca nn er1000-MS-SA-1YDPtech SCANNER1000-MS,特

13、征库升级-1年2DPtech Sca nn er1000-MS,授权可扫描总数量为64个无ALIS-Sca nn er1000-MS-IP1限制X围的IP地址或域名1IPS2000入侵防御系统DPtech IPS2000-ME-N双电源交流主机，特征库升级-1AIPS2000-ME-N+1Y年，病毒库升级-1年1LIS-IPS2000-ME-N-SA-1YDPtech IPS2000-ME-N,特征库升级-1年,病毒库升级-12年FW1000 防火墙FW1000-ME-NDPtech FW1000-ME-N交流主机2医院外网:型号描述数量UMC管理中心SW-UMC-PLATDPtech UMC统一管理中心 管理软件1LIS-UMC-WAFMDPtech UMC WAF Ma nager授权函1LIS-UMC-FWMDPtech UMC Firewall Man ager授权函1LIS-UMC-UAGMDPtech UMC UAG Man ager授权函1WAF3000 Web 应用防火墙WAF3000-M