医院等级保护建设网络安全建设-解决方案

[键入文档题医院等保护设网络全建解决方2018年6月目

概1.4

背分等保建目和围方设参标

信系现

医网安现医网安风分医网安需

物理全网络全主机全应用全数据全安全划分及边界防

网安建必性3.1

等保要

3.2

医系面安威

网安建目4.14.2

满合性求等保技要

安技体方设5.15.2

物层全网层全

安全划分边界问控制网络计网络侵防范边界意代码防范网络备保护主机安全身份别强制问控制主机侵防范主机计恶意码防范剩余息保护资源制5.3

应层全

身份别访问制安全计剩余息保护通信整性通信密性抗抵性软件错资源制5.4

数层全

数据整性

数据密性备份恢复

安建方小1.1全务总1.2全品总

1

概述

背景分析《中华人民共和计算机信系统安全保护条例院令第147号）明规定我国“计算机信息系实行安全级保护国务院令要求制订发布强制性家标准《计算机信系统安全护等级划分准则GB17859-1999）计算机信息系统安全护等级的划分奠了技术基国家信息领导小组于加强信安全保障工作的意见》（中办[2003]27号）明确出实行信安全等级护点保护基础息网络和系国家安全经命脉会稳定等面的重信息系统紧立信息安等级保护度《关于信息安全级保护工的实施意见通[号和《信息安全等级保护管理办法通字2007]43号）确定了施信息安等级保护制度的原则、工作责划分、实施要求和实施划确了开展息安全等保护工作基本内容工流程作方法等信息安全等保护相关法规策文件国家标准和公共安行业标准出台为信息安全等级保护工的开展提了法律、政策、标准保障2007年公安部组织制了《信息安全技术信系等级保护全设计技要求定信系统的设整提供标准依据至年11月已批为国标与此时2007年月国开展重信息系统级保护定级工作，志着信息全等级保护工作在我国全面开。依据《计算机信系统安全护等级划分准则息系统安保护能划分为五等级；分别为：第一级：用户自保护级由户来决定何对资源行保护以及采用种方式进保护。第二级：系统审保护级本的安全保机制支持户具有强的自主护能力。别是具有访问审能力它能创维护受护对象的访问审跟踪记录录系统安全相关事件发生日期间用和事件型等信息有安全相关操作都能被记录下来，以便当统发生安问题时，可以根据审记记录分析追查故责任。第三级：安全标保护级具第二级系审计保护的所有能，并对问者及其问对象实施强制问控制对访问者和问对象定不同安标记问者的权。第四级：结构化护级;将前级的安全护能力扩到所有问者和访对象，持

形式化的安全保策略本身构也是结构的使之具有当的抗渗能力级的安全保护机制能使信息系实施一种系统化的安全保护第五级：访问验保护级具第四级的有功能，具有仲访问者能访问某些象的能力。为此本级的安保护机制不能被攻击、被篡的，具有强的抗透能力。目前，全国范围的定级工已经基本完成2009年将据标准要求对已定级信息系统进行整改，达到规范全管理、提高信息安全保障力到应有平的目

等级保护建设目和范围为了落实和贯彻治区政府公安、保密局生自区卫生厅等家有关部信息安全等级保工作要求完善医院信息安全防护体系“分区分防护、多层防御的全防护策略，确等级保护作在本位的顺利施，提整体信息全防护水平，开展等保护建设作。我们前期对医院络进行了查分析解等级保护求之间的距出安全设方案本方案要遵循GB/T22239-2008信息安全术信息安等级保基本要求息安全等级保护理办法》

公通字[2007]43号《息全风险评估规范》（GB/T行信息安全级保护作的指导见》标准。实施的范围包括医院网站全防护、医院各个信息系统安全防护

方案设计根据等级保护要以及前期析了解的结果院信系统存在的漏洞点提出相的整改意见，结等级保护设标准，并最终形成安全解方案。

参照标准《息全技术信息安全等级保护基要求》《信息安全等级护管理办通[号《信息安全技术息安全风评估规范GB/T20984-2007）《卫生行业信息全等级保工作的指导意见》2

信息统现状随着网络与信息术的发展尤其是互联网的广泛普及和用，网络深刻影并改变着人类的生活工作方式医院已经逐步建立起依赖于络的医院务办公息系统，

比如门户WEB应用、系统、LIS系、子病历系、系等，在给们带来便利的同时，全也面临大的挑战。对于医疗机构而，数字化网络化、信息化是医院实现断发展的要形式发展方向而网络息功能和容是通WEB应形式表现出来的界医院信息的了解也是从WEB应用开的，从网预约挂、网上查检查结等等一系工作都是过WEB来现的，医门户WEB应是医院现代化科技服务的窗也医院对外传的窗口。而近年来，院WEB应用的公众质使其成攻击和胁的主要标，医院WEB应用所面临的Web应安全问题来越复杂威胁正在飞速增长合威胁的险，如黑客攻击、蠕病毒攻、SQL注入、站脚本Web应用安全漏洞利用等，极大地困扰着医和公众用院的服形象息网和核心业造成严重破坏。因此优秀的WEB应安全建设医院信息是否能得成效发职能的基础，而合规、有效、面的信息全体系建设对保障其正常运至关重要

医院络安全状目前医疗行业各医院的信化办公系统如HIS系统系子病历系统系统OA系统等各业务系统部上线运，给医的正常办业务带极大的便，给医生节省更多的间来治疗者给者带来便的就医环医院于发展需要，建立了自己独立门户网站对外供患者网预约挂号查果查询等能几大系统中医OA系统于内外网同时需要运业务此医院立了区DMZ区置医院OA系统务器外网站服器后随着医信息化的展疆医院要现电子病历共享为给病人提更好的服各医院将逐实现网预约挂号上询等业务就需要院内外网通现内外网据互通共因内外网互的安全建非常重要，如何在内网互联时证内网信息数据的安全性、整性是必考虑的题。

医院络安全险分析通过对医院网络状的了解分析，主要分为以下两大类全威胁：外部击由于内网与外网通，并且出内外网之间处没有有效的全防护设，内网息系统面临很大威胁，易遭到外中黑客攻击攻、木马、毒等恶意攻击，破坏各类

主机及服务器，致医院网性能下降、服务质量降低、息安全没保障WEB应用遭受大量具有针对的攻击，成网站瘫痪，信息泄露，甚网页被篡。内部胁局域网内部没有护设备及效隔离，一旦某个用户有意是无意将染了病、木马的移动存储设备入内网，造成整个网络木马病毒泛滥给整个网带来毁性打击。

医院络安全求按照《信息系统全等级保测评要求》和《信息系统安等级保护评过程南通过对医院网站数据中心安全状况评估络弱扫描本地安全审计文审查等方式，进行物理面、网络面、应用层面、主机层面、据安全及份、安管理层面行安全评估，最寻找到以差距：物理全目前现有的物理全机制不完善物安的设计和施工中要虑安全要素包括机房场地择安全房部安全防机防火房供电机空调降温、机房防水与防潮机房防静、机房接地与防雷击、机房磁防护。

需要优先考虑机和办公场应选择在具有防震、防风和雨等能力建筑内需要在机房出入应安排专值守，控制、鉴别和记录进的人员。需要将通信线缆设在隐蔽，例如：铺设在地下或管道。需要对介质分类识，存储介质库或档案室中。需要在主机房安必要的防报警设施。机房建筑需要设避雷装置设置交流电源地线。机房需要设置灭设备和火自动报警系统。在水管安装时，要考虑不穿过机房屋顶和活动地板下需要采取措施防雨水通过房窗户、屋顶和墙壁渗透。需要采取措施防机房内水气结露和地下积水的转移与透。需要在关键设备采用必要接地防静电措施。考虑机房需要设温度自动调设施机房温湿度的变化在设备行所允许的范围之内。需要提供短期的用电力供，至少满足关键设备在断电况下的正运行要。

需要考虑电源线通信线缆隔离铺设，避免互相干扰。机房场地避免设建筑物的层或地下室，以及用水设备下层或隔。需要对机房划分域进行管域和区域之间设置物隔离装置重区域前设置交付或安装过渡区域重要区域应配置子门禁系，控制、鉴别和记录进入的员。需要利用光、电技术设置房防盗报警系统，对机房设监控报警统。需要设置防雷保器，防止应雷。考虑机房设置火自动消防统，能够自动检测火情、自报警，并动灭火考虑机房及相关工作房间辅助房应采用具有耐火等级建筑材料采区域隔离防火措，将重要备与其他设备隔离开。需要安装对水敏的检测仪或元件，对机房进行防水检和报警。考虑机房采用防电地板。考虑机房设置温湿度动调节设使机温湿度的变化在设备运行允许的范围之内。需要设置冗余或行的电力缆线路为计算机系统供电，建立备用电系统需要采用接地方防止外界磁干扰和设备寄生耦合干扰键设备磁介质实施电磁屏蔽。

网络全目前现有的通信络安全机不够完善，需依据《信息安技术信系统安全等级保护基本要求第三级基要求加强现有网络安全机制

需要对用户数据网络传输的数据提供保密性及完整性护。需要对通信网络行安全审其络系统中网络设备行状况网络量用户行为等进行日记录对确认违规的用操作行需要提供警对审计信息进行存储备。需要考虑网络边访问控制会话状态信息为数据流提供确的允许/绝访问的能力，控制粒度端口级。需要对进出网络信息内容行过滤对应用层FTPSMTP等议命令级的控制

网络边界对入侵范措施不完善，考虑检测到攻击行为，记录攻源IP、攻击类型、攻击目、攻击时，在发生严重入侵事件时应供报警。考虑网络边界对意代码防能力应提供及时检测和清除毒库的级更新。主机全目前现有的主机全机制不完善，需依据《信息安全技信系统安全等级保1)

护基本要求》第级基本要加强现有主机安全机制。用户身份鉴别

需要对用户登录程采用两或两种以上组合的鉴别技术管理用户行身份别。2)

标记和强制访问制

系统资源访问控需要对重信息资源设置敏感标记据安全策略格控制用户对有敏感标重要信息源的操作。3)

系统安全审计

系统安全审计需覆盖到服器上的每个操作系统用户和据库用户审进程，避免受到预期的中。审计记录包括安事件的主、客体、时间、类型和结果内容；考虑对各审计记，应提供计记录查询、分类和存储保。4)

用户数据完整性护

需要采用各种常校验机制统安全计算环境中储和传输用户数据完整性进行检验，能现完整性破坏的情况。5)

用户数据保密性护

需要采密码技术持的保密保护机制全算境中存储传输的户数据进行保密性保护6)

剩余信息保护

剩余信息保护应证操作系和数据库系统用户的鉴别信所在的存空间放或再分配给其用户前得完全清除这信是存放在盘上还在内存中。7)

入侵防范

需要能够检测到重要服务进行入侵的行为，能够记录侵的源IP、攻的类型攻击的目的攻击的时间，并在发生严重侵事件时供报警够对重要程序的完整性进检测，并检测到完整性受到破坏后具恢复的措。8)

可信执行程序保需要构建从操作统到上层用的信任链中可采可信计算技术实现系统运行过程中可执行程的完整性验，防范恶意代码等攻击，在检测到完整性到破坏时应采取有效的恢措施。

应用全目前现有的应用全机制不完善，需依据《信息安全技信系统安全等级保护基本要求》第级基本要的加强现有应用安全机制。

需要对用户登录程提供用身份标识唯一和鉴别信息复度检查功，考虑保证应用系统中存在重复户身份标识，身份鉴别信息易被冒用考虑对同一用户采用两或两种以组合的鉴别技术实现用户身鉴别。自主访问控制，要依据安策略控制用户对文件、数据表等客体访问，访问控制的覆盖围应包括资源访问相关的主体、客体它们之间操作。考虑应用系统安审计应提覆盖到每个用户的安全审计能，对应系统重要安全事件进行计。考虑对重要信息源设置敏标记的功能，并依据安全策严格控制户对有敏感标记重要信资源的操。考虑提供对审计录数据进统计、查询、分析及生成审报表的功。剩余信息保护：保证用户别信息所在的存储空间被释或再分配其他用户前得到完全清，无论这信息是存放在硬盘上还是在存中。通信完整性：应用密码技保证通信过程中数据的完整。通信保密性：应通信过程的整个报文或会话过程进行密。抗抵赖：应具有请求的情下为数据原发者或接收者提数据原发据的功能；应具有在请的情况下数据原发者或接收者提供数接收证据功能。软件容错：应提自动保护能，当故障发生时自动保护前所有状，保证系统能够进行恢。

资源控制：应能对一个时段内可能的并发会话连接数行限制，能够对一个访问帐户或个请求进占用的源分配最限额和小限额，能够对统服务水平降低到先规定的小值进检测和报，应提服务优先设定功，并在安装后根据全策略设访问帐或请求进的优先，根据优级分配统资源。数据全目前数据安全存的安全隐，业数在传输过中完整性受到破坏，数据存储没有经过加密理，导致据泄露数据没有供备份导致重要据丢失种现象。因此需要在有数据安上增加下几种保：

数据完整性：应够检测到统管理数据、鉴别信息和重业务数据传输过程中完整性受到坏，并在测到完整性错误时采取必要恢复措施能够检测到系统管理数、鉴别信和重要业务数据在存储过程完整性受破坏，并在检测到完整错误时采必要的恢复措施。数据保密性：应用加密或他有效措施实现系统管理数、鉴别信和重要业务数据传输保性；应采加密或其他保护措施实现系管理数据鉴别信息和重要业务数存储保密。备份和恢复提供本地据备份与复功能完全据备份至每天一次备份质场外存放；应提异地数据份功能，利用通信网络将关数据定时量传送备用场地应采用冗余技术计网络拓结构免关键节点存在点故障提供主要网络设通信线路和数据处系统的硬冗余，保证系统的高可用性安全划分边界防依据等级保护要，安全分、分级、分域及分层防护的则行安防护建设前，首先实现对息系统的全域划分。依据总体方案中二级系统一成域三级系统立分”的求主采用物理火墙隔离虚拟防火墙隔离Vlan隔离等式进行安域划分。主要分为以下安域：级别二级三级

安全区域集中运维管理区内部服务器区

备注如：网络管理、洞扫描等用如：对内提供服的应用系

三级

外部服务器区安全的实现式

如：通过互联网外提供服的应用系统安全域实现方式划分逻辑域为主在现各安全域的逻辑分确边界以对各安全域分别防且行域间边界控制全的体展现为一个或个物理网或逻辑网段的集合。新疆一附信息系统安全域的划分手段用如下方：防火墙安全隔离用接口或多口防火墙行边界离每个安全采用多接防火墙的每个接分别与不的安全域连接以进行访问控。划分全域，确保护界采用将三级系统分为独立全域。二级系统安全域、桌安全域、共应用务安全域二级统安全域包含除三级统外的所应用系服务器中维管理安全包含各业务日志管理、集中运、日志管理、备份管理VPN管等。部署访问控制设或设置访控制规则在各安全域边界设访问控制则，其安全域边界按“全域边界节列举的边进行防护访问制规则可采用交换访问控制策略或模块逻辑防火的形式实现。二级系统安全域界访问控规则可以通过交换机的访问制规则实，访问制规则满足如下条件根据会话态信息为数据流提供明确的许/拒访问的能力，控制粒为网段级。按用户和系统之的允许访规则，控制粒度为单个用户三级统安全边界的全防护满足如要求：根据会话状态信为数据流供明确的允/拒绝问的能力控制度为端口级对进出网络的信息容进行过，实现对应用层协议命令级控制。入侵检测系统部：二级系统、三级统安全域应部署入侵防御系统，并根业务系统况制定侵防御策略检范应包含二级系统服务器三级系统服务器、其他应用服务侵防御应满足如下要求：?定制入检测策略如根据所测的源目的地址端口号所需监测服务类型定制入侵检测规则定制入侵测重要件即时报策略检至少可监以下攻行为：

端口扫描、强力击、木马门攻击、拒绝服务攻击、缓区溢出攻、IP碎片攻击和网络蠕虫攻击等；检测到攻行为时，入侵检测系统应当录攻击源、攻击类型攻击目的IP攻击时间在发生重入侵事时应能提及时的报警信息。3

网络全建设要性

等级护要求根据等级保护相要求满足等保护二级导保护级关要求并根信息系统安全等级保护基要求其相技术规范行整改能防护系统受来自计机病毒等恶意代码的害和外部型组织的（如自发的三两人成的黑客织少量资源（如个别人员能公可获或特开发的工等威胁源发的恶意攻一的自然灾灾发生的强度一般续时间短盖围小等及他相当危害度的威无意失误技故等造成的重资源损并能够检到此类威在威胁发生造成损害后，能够在一时间内恢部分功能求》中设备自身靠性、灾害能力网络可靠性网安防护能力等多个角度对网络统安全做详细具的要求《息安全等级保护管理法》规定信息系统使用单位应依据《息系统安等级保测评要求等技术标准期对信系统安全级状况开等级测且安机关责信息安等级保护工作的监督检查指导因此必须通网络安建设保障息系统符等级保护具体要求，切实保护络系统安稳定运行。从网络安全现状析来看，院目前网络不具备网络、设冗余抗灾力，在故发生后难以快速恢复保障政务行安防设备缺乏有效防网络攻击为，网络安全没有保。现有网不能满足等级保护相关要求

医院统面临全威胁医院网络通过VPN或DMZ区间接入外网，在对外提供量服务、行信息流给我们带来极大利、提高务处理能力的同时，不得不受着巨大安全威。对医院网络而言一旦遭到坏，将严重影医院工作的正开展；网如果被改，将造成恶劣的社会响低政府信度时医院信系统如果到病毒马的攻击对医院内网造成不可量的损失因此展医院网安全建设高医院网络攻击能事故恢复能力刻不缓。

4

网络全建设标

满足规性要信息系统的安全护等级由个定级要素决定：等级保护象受到破时所侵的客体和对客体造成侵的程度。三级甲等医院的心业务信系统安保护等级则上不于第三级二级甲等医院、级乙等医参考定第二级。序号1234

系统类别门户网站内部办公系统面向患者服务系以电子病历为核的医院信系统

三级医院2级2级3级3级

二级医院2级2级2级3级

一级医院1级1级1级1级

等级护技术求类别网络

要求结构安全

二级保要求网络设备处理能和

三级保要求网络设备处理能理和网络宽冗

解决案根据高峰业务安全

网络带宽冗余络拓

余；网络拓扑图制；子网分和地流选高端扑图绘制网划分和址分配端和服器之建立安

设备，核心交地址分配；

访问径；边和重要段之间离；络拥堵对重要机优先护；

换接入设备采用双机冗余；合理划分子网、VLAN安全域，网络设备带宽优先级规划。访问控制

部署访问控制设启用访问控制功能据会话状态提供允/拒

部署访问控制设启访问控制网边部署能会状态提供允/拒访问防火墙，制能力制粒度端口；按访问控相应ACL策绝访问能力访问控制规则进资源访问制度到单制规则进行资源问

个用户；限制拨访问用户量

控制，粒度到单用

络信内容过，应用层协命令级户制号问用户制会话止网络量数和接安全审计

数量网络设备状况络流

数控；重要段防地欺骗网络设备状况、络流量、户行为部网安全量户为志记录日志记录数分析和表生成审审计系统计记保护边界完整性检查入侵防范

安全准入控制和法外联监控攻击行为检测

安全准入控制和法外联监并进行有效断攻击行为检测击日志录和告

部署终端安全管理系统部署入侵检测系统恶意代码

无要求

网络界病毒杀；病库升级

部署入侵保护防范网络设备防护

系统身份鉴别理员登陆身份鉴别管理员登地址限；用部等级保护地址限制户标识唯户标识唯；登陆失处理；别信安配置核查主机

身份鉴别

一；登陆失败处鉴别信息加密；操作系统和数据用

息加密身份别采种以上别技；特权限分离操作系统和数据用户身份别

系统部署等级保护安全

户身份鉴别录失败录失败处；鉴别信传输加；用安配置核查处理鉴别信传输加户唯一性身鉴别采2或以上

系统访问控制

密；用户唯一性启用访问控制功操作系统和数据库权用户权限分离认账

鉴别术启用访问控制功操系统和数部堡机库特权用户权限离认账户配修改；多余过期户删除角色限户配置修改余过期配权限离和最权限原重安全审计

用户删除记录服务器的系用户和数据库用户重要安全相关行为事

要信敏感标；强制问控制记录服务器重要户端的系用户和数据库用户重要安全关行为、事件；审计录保护审计表

部署堡垒机

剩余信息

件；审计记录保无

生成审计进保护鉴别信息再分配清除，系文件、操系及数保护

目录、数据库记再分配前除

据库加固入侵防范

操作系统最小安原

操作系统最小安原则，定升级；部网入侵则，定期升级

检测对重要服务的入侵行重程序完整性检测破坏后的复。

检测系统、终端管理软件，漏洞扫描恶意代码防范

安装防恶意代码件，安装防恶意代码软件，定期升；恶部终端杀毒定期升级意代码软意代码软统一管理机网络防软资源控制

件统一管理终端登录控制端超

恶意代码软件品异构终端登录控制；端超时锁；单个安加时锁定单用户资源用户资源制限制应用

身份鉴别

启用身份鉴别机登

启用身份鉴别机；登录失处理；部CA认安全

录失败处理

身份别采用种或以鉴别技

系统访问控制

启用访问控制机控

启用访问控制机，控制用对文

部署CA认制用户对文件据库

件、数据库表等访问；启访问控系表等的访问用访问制策略账户最小限原则和限制控制策略户最小权约重要息敏感记；重要信强安全审计

限原则和权限制启用安全审计机审

制访控制启用安全审计机，审计每用户、部应防护计每个用户统重要系统重要全事件；计报表成安全事件

系统剩余信息

无

鉴别信息再分配清除，系文件、操系及数保护通信完整

应采用技术保障息

目录、数据库记再分配前除应采用密码技术障信息过中数

据库加固部署PKI体系性通信保密

过程中数据完整会话初始化验证信

据完整性会话初始化验证信程整个报部署PKI体

性抗抵赖

过程加密提供数据原发或收

或会话过程加密提供数据原发或收证据

部署PKI体系数据

软件容错资源控制数据完整

证据数据校验功能障时能继续提供一部功能会话超时自动结限制最大并发连接单个账户多重会话制能检测到鉴别信和

数据校验功能障时能继续提供代码审部分功能会话超时自动结限最大并发安加接数，单个账户重会话限能检测系管理据别信息和VPN加，数安全与备份恢

性

业务数据在传输程中受到的破坏

业务数据在传输存储过中受到的破坏并取恢措施

据库访问控制复数据保密性

采用加密或其他施实现鉴别信息的储保密

采用加密或其他施实系统管数据鉴别信、重要业数据传存储过程保密

信息加密备份与恢

重要信息备份恢关

重要信息备份恢，关键网设备、重信定期5

复键网络设备、线数据硬件冗余安全术体系案设计物理安全

线路、数据硬件余

备份，设备冗余物理安全主要包理置的选择理问控制盗和防破坏雷火、防水和防潮、防电、温湿控制、电力供应、电磁防护该部分内容参考信息系统全等级保护基本要求》的三标准的要进行建。建设过程中可以考的标准要包括：－《电子计算机房设规范》50057－《建筑物防雷设计规范》《计算站场安全要求》

《计算站场技术条件》《电磁干扰技术要和测试方》

网络安全网络层安全主要及的方面括结构安全问控制全审计入侵防范恶意代码防范、网络设备护几大类全控制。安全划分安全域划分原则

业务保障原则安全域方法的根目标是能更好的保障网络上承载的业保证安全的同时要保障业务的正常行和运行率。

适度安全原则在安全域划分时面临有些务紧密相连但根据安要（息密级要访应用要求等又将其划分不同安全的矛盾是将务按安全的要求强划分是并安全域以满足务要求？须综合考虑业务隔离的难度合并安全的风现有些资产保护级别不而出适的安全划分。

结构简化原则安全域方法的直目的和效是要将整个网络变得更加简的网络构便于设防护体系比安域划分并不粒度越细好全域数量多过杂能导致安域的管理过于复杂和难。

等级保护原则安全域的划分要到每个安域的信息资产价值相近相或相近的全等级安环境安全策略等

立体协防原则安全域的主要对是网络是绕安全域的防护需要虑在各个次上立防守括在物理链路网主机系统用等层次时在署安全域防体系的时要综运用身份鉴别访问控检测审计路冗余内容检测等各种安全能实现协。

生命周期原则对于安全域的划和布防不仅要考虑静态设计还要虑不断的化外在全

域的建设和调整程中要考工程化的管理。XX院数据中心规划以两核心交换作为数中心网络核心过二条专线接入XX医外网，网边界通过二台防火墙设备实内部网络XX医外网之间的全隔离与访问控制。业网内部根业务类型及安全需求划分为图所示的个安全域：外联：与数据中心核心换机互联XX医院外网入处部防火墙过防火墙进行访控制，实现安全离。数据换区：用于部署数据中的测试服器、交换服务器及总线服务等数据交服务器应用务器区用于部署数据中的核心业应用系统据相关要求通过部署防墙侵防御与其它网络进行安隔离，同部署应防火墙对于的用系统进行防护。核心据区：主要部署各业务统所需的心数据库及后台服务器依照等保要架设网络境。安全管理运区域及办服务器区域之间通过合理的VLAN划及换机的访控制列表来加以隔离并通过部审计系统对数据操作进行安审计。安全理区：用于部署信息系安全管理网络管理的相关服务器及软件系统保要求架网络环境。与业服务器区及互联网远程接入区域之间过合理的VLAN划及换机的访问控制列表加以隔离根据重点业务重保护的原核交换区应用务区和核数据区分为三级全区域依等保护三级标准进行相应的安建设据换划分为二安全区域据等级保护二级准进行相的安全建设。边界问控在网络结构中需要对区域的边界进行访问制对于XX医外网边界数据交换区边界用服务区域边界及核心据区边界采部署防火墙的方式现高级别访问控制，各区域访控制方式明如下：外联区：通过部高性能防墙，实数据中心络与XX医院外之间的访

控制；数据交换区：通核心交换的VLAN划、访问控制表以及出口处部防火墙实现对数据换区的访控制。应用服务区：通核心交换的VLAN划、访问控制表以及出口处部防火墙实现对应用务区的访控制。核心数据区：通核心交换的VLAN划、访问控制表以及出口处部防火墙实现对核心据区的访控制。网络计网络安全审计系主要用于视并记录网络中的各类操作统中存的现有和在的威胁实地综合分出网络中生的安全事件括各种部事件和部事件在数据中心核心交换处旁路部网络行为监控与审计系统全网网络据的流量测并进行相应安全审和他络安全设共同为中安全管提供监控据用于分析及检测。网络行为监控和计系统将立的网络传感器硬件组件连到网络中数据汇点设备上网中的数据包进行分析配计过定协议算法而现入侵检测、信息还原等网络计功能据录生成详细的审计报络行为监控审计系统取旁路技术用在目标主机中安装任组件时了审计系统以与其网络安全备进行联动将自监控记录送往安全管理安全中的安全理服务中对网络异攻击和病毒进行分和检测。网络侵防根据数据中心的务安全需和等级保护三级对入侵防范要求网络中部署入侵检测产品。入侵检测和产品过对计算网络或计算机系统中的若干键点收集息并对进行分析从中现网络或系统中是否违反安全略的行和被攻击迹象侵检产品应支持深度内容检、技术。合实时更新的入侵攻击特征，可检测络攻击为毒虫马谍软件疑码测扫描等各网络威胁检到攻击行时，记录攻击源、攻击型、攻目的、攻时间，发生严重侵事件时提供报警。同时基于数据中对网络攻行为的可控性测产品有限响应方以及和防

墙联动的延迟和容性问题里荐部署入保护产现在入侵检的基础上攻击行为进行阻断，现对入侵为实时有效的防范。入侵检保护产品部署于外联区防火墙之后，是数据中继防火墙界访问控制后的第二道防线边界意代防范根据数据中心业风险分析等级保护三级对边界恶意代防范的要在互网边界部署防病毒品病毒产品具备针对HTTPIMAP以MSN协议的内容检查除毒的能力持杀引导区病毒件型病毒病虫病毒、特洛伊木马、后程序、恶脚本等各种恶意代码。并定提供对病库版本升级。网络备保对于网络中关键交换机由设备需要采用定的安全置及安保障手段实现网络层的控是据级保护基要求配网络设备身的身份别与权限控制，包括：登录地址标识符、令复杂度、失败处理、传输密、特权户权限配等方面网络设备进行安加固。由于不同网络设安全配置不同置维护工作繁杂且信息全是动态化的此这里推荐通过动化的配核查设备络面主机层的全配置行定期扫核查，及时发现不满足线要求的关配置据等级保的安全配要求提相对应的全配置加固指导。主机安全主机层安全主要身份鉴别访问控制、安全审计、剩余息保护、侵防范恶意代码防范、资源控等方面来行防护。身份别为提高主机系统全性障各种用的正常行主机系统需要进行系列的加措施，包括：

对登录操作系统数据库系的用户行身份标和鉴别且保障用名的唯性。卫生信息平所有用户当具备一无二的识符以跟踪后续为，从可以将责任对应人。用户ID不表示用户权限级别比如经理主管等等。根据基本要求配用户/口令口令必须备采用以上字符、长度不少于位并定期更换。

启用登录失败处功能，登失败后取结束会、限制法登录次和自动出等措施，重要主机系统对与之连的服务或终端备进行身标识和别。远程管理时应启SSH等管理式，加密理数据防止被网窃听。对主机管理员登采取双因认证方，采用USBkey+码进行身鉴别。强制问控应在主机层启用制访问控功能据安全略控制用户对资源的访问重信息资源设置敏感标，安全策严格控制用户对有敏感标记要信息资的操作强制访问控制主是对核心据区的文件据库等源的访问进行控制免越权法使用。采用的施主要包以下几个方面。

启用访问控制功：制定严的访问制安全策，根据略控制用对应用统的访问，特别文件操作数据访等，控制度主体用户级，体为文或者数据库表级。权限控制：对于定的访问制规则能清楚的盖资源问相关的题、客及它们之间的操于同的用户授权原则是进行能完成工作最小化权，避免授权范围过，并在它之间形互相支援关系。账号管理：严格制默认账的访问限，重命默认账，修改默口令，时删除多余的、期的账户避免共账户的存。访问控制的实现要是采取种方式采用安全作系统或对操作统进行全改造，且使用果要达到上要求对于强制访问控中的权限配和账号管理部分可以通过级保护配核查产进行定期扫描核查时发现与基线要不符的配并进行固时账号管和权限控部分还可以通过堡垒产品来进强制管控，满足强制访问控的要求。主机入防范根据等级保护三要求要对主入侵行为行防范针对主的入侵防可从以下多个角度进处理：

部署入侵检测/保系统，在防范网络入的同时对键主机操作系统供保护提供根据入侵事的风险程进行分报警。

部署漏洞扫描进安全性检，及时现主机漏并进行补，减少击者可用的对象。操作系统的安全循最小安的原则仅安装需的组件应用程序关闭多服务等，减少组、应用程和服务可能存在漏洞。根据系统类型进安全配置加固处。主机审主机层审计记录统用户和据库用户重要的安全相关事。系统用户审计主包括重要户行为、系统资源的异常使和重要程功能的行等；还包括数据文件打开关闭具体的行动，诸如读取、编和删除记，以及印报表等对于系统用户审建议可以过堡垒机来实现机集账号权限管控及用户行审计与一体的安全运产品够通过屏录命令行方式记录户对重服务器的问行为以及所做的各操作。数据库用户审计要包括用的各种数据库操作，如插入更新、删、修改行为。对于某些对数据用性密性和整性方面分敏感应用求能够捉到每个改变记录的事前和事的情况于据库用户审计建议可通过网络计产品实现络审计产品以旁路方接入网络会对网络造成影响够对所数据库操行为进行粒度的记录，以便事追查。恶意代防范针对病毒风险在数据中心所有务器和终主机上署防病毒统终端主机的病毒防护能力及时升级意代码软件版本以及恶意代库时部署病毒服务器责制定终端主机病毒策略行防病毒系统的统一管端防病毒系应与网络病毒系统为不同品牌以构成立防护体系。剩余信保护为实现剩余信息护到客体安重用及时清除余信息储空间议通过对操作系统及数据系统进行全加固配置操系和数据库系统具及时清除余信息的功能，从而证用户的别信息件目录数据库记录等敏感信所在的存空间（内存、硬盘）及时释放者再分配给其他用户前得到全清除。

资源控对主机层面的资控制可以过以下几个方面来实现：

登录条件限制：交换、路设定终接入控制或使用机防护软设定终接入限制，对网地址范围条件限用户终端录。用户可用资源阈：限制单用户对统资源的大最小用限度，障正常理的资源占用。设定安全策略对终端登录时的用进行锁定使用主监控产品重要的务器进行监视，括监视服器的、盘、内存网络等资的使用况，并对用户的资源用情况做大小使度限制。系统的务水平降到预先定的最小值进行测和报警通过内网终端管系统实现用户的入方式、陆超时定、主机源、网资源等进行告警控制。建议根据基本要通过安全固措施对主机资源进行限定通过部监控管理统进行资源监控

应用安全身份别为提高应用服务全性障各种务的正常行在应用系统开发过中进行相身份鉴别功能的发，包括

根据基本要求配用户/口令口令必须备采用以上字符、长度不少于位并定期更换。保证系统用户名有唯一性启用登录失败处功能，登失败后取结束会、限制法登录次和自动出等措施。对用户登录采取因素认证式，采密码进行身份鉴或者通CA系统进行身份鉴。访问制应用层访问控制以通过以几个方面实现：

根据等级保护基要求进行问控制配置，包：权限义、默认号的权

管理、控制粒度确定等。通过安全加固措制定严格用户权策略，保账号、令等符合全策略求。通过防火墙制定合基本要的策。通过部署WEB应防火墙保基于的应用服器安全计应用层安全审计对业务应系统行为的审计，需要与应系统紧密合，此计功能应与应用系统一开发。数据中心业务系审计应记系统重要安全时间的日期、间、发起信息、型、描述和结果等，保护好审结果，阻止非法删除、修改覆盖审计录够对记录数据进行统计、询、分析生产审计报表。同时可以部署数库审计系对用户行为、用户事件及系状态加以计、范覆盖到每个用户，从把握数据系统的整体安全性。剩余息保为实现剩余信息护，达到体安全重用，应及时清除剩信息存储间，建通过对操作系统及数库系统进安全加固配置作系统和数库系统备及时清剩余信息的功能而保证用的鉴别信、文件目录库录等敏感息所在的储空间（内存、硬盘被及时释或者再分配给其他用户前得完全清除通信整性对于信息传输和储的完整校验可采用消息摘要机制确完整性校应用统开发过程中进行据完整性验功能开发。对于信息传输的整性校验由传输加密系统完成，可以过部署系统保证远程数据传输的数完整性。于信息存储的完整性校验应应由系统数据库统完成。通信密性应用层的通信保性主要由用系统完成应用系统开发过中进行据加密的发通信双建立连接前用系统应用密码技进行绘画始化验证对信过程中的敏感信息段进行加于息传输的通信保性应由加系统完以过部署VPN系以保证远程据传输的据机密性。

抗抵性抗抵赖性可以通数字签名术实现过字签名及名验证技以断数据的发送方是否是真存在的用字名是不对称加密法的典型用字签名应用过程是源发送方是自己的月对数据验和对其与数据内容有关的便利进行密处理，完成对数据合法“签据收则利用方的公钥解读收的“数字名并将解读结果用对数据完性的检验，以确认签名的合性的同时通过对名的验证可以判断数据在输过程中否被更改而可以现数据的送方不对发送的据进行抵赖，发送的据是完整，实现系统的抗抵赖性和完性需求。软件错对于软件容错应应用系统发过程中进行相应容错功能开发线之前进行代码审核对入据进行校验，保证复核规定且应具备动保护能设计，障后可以复。资源制应用层面的资源制可以通系统安全加固措施进行系统源限定来现：

会话自动结束：应用系统通信双中的一方一段时内未作任响应，一方应能够自动束会话，放资源会话限制：对应系统的最并发会连接数进限制，一个时间内可能并发会话连接数行限制单帐户的多并发会话行限制相阈值，保证系统可用性超时锁定：根据全策略设应用会超时锁定应能够对一个访帐户或一请求进占用的资分配最限额和最限额；应能够对系统服水平降低预先规的最小值行检测报警；应提供服务优先设定功能并在安后根据安策略设访问帐户请求进的优先级，根据先级分配统资源数据安全数据整性数据中心中传输重要数据安全要求较高其血液系统的数据息和精神生管理系统中的私信息建议采消息摘要制来确保整性校验方法是送方使

用散列函数，如MD5等）对要发的信息行摘要计，得到信的鉴别码，联通信息一起发送接收方息也信息摘进行打后插入身鉴别标识给接收方接收方对接收到信息首确认发送方的身信息包后，重计算，将得到的鉴别码与收到的鉴别码行比较若二者同则以判定信息未被篡信完整性没有受到破坏。在传输过程可以通过VPN系来保证数据包是整性、保性和可性。数据存储过程中完整性可通过数据库的访问控制来实。读访控制必须制定相应的制措施确获准访问数据库或数库表的个够数据库数据的信息分类级的合适的别得到验证使用报表或者查工具提的读访问须由数据所有人控制批准，以保能够采取有效的控制措施制谁可以取哪些据。读取写入问控制对于那些提供读问的数据而言，每个访问该数据的自人以及或对象或进都必须确立相应的户。该ID可在据库内直建立，或者通过那些提供数访问功能应用予以建立。些账户必遵从本标准规定的计算机账标准。用户验证机制必基于防御验证技术（比如用户密种技术可以应用于一次登录尝试或新验证，且能够根据登录尝试的被拒情况指定护措施为了保证数据库操作不会过应用安全，定义角色的能不得成为认的用特权。访问数据库配置必须仅限数据库管理员，以防未经授的插入、新和删。数据密性关于数据保密性以过一些具的技术保手段数和档的生周期过程对其进行安全相防护，确内部数据和文档在整个生命期的过程的安全1)

加强于数据认证管操作系统须设置应的认证段据本身也设置相的认证手于重要的数据应对其本身设置应的认证制。2)

加强于数据授权管对文件系统的访权限进行定的限制网络共享文件夹进行必的认证授权非特别必要，可止在个人计算机上设置网络文件夹共。3)

数据文档加

保护数据和文档另一个重方法是进行数据和文档加密据密后使别人获得了相应的数据和档，也无获得其中的内容。网络设备操系统数库系统和应用程的鉴别信感的系统管数据和敏的用户数据应采加密或其有效措施实现传输保密性和储保密性当使用便携式和动式设备，应加密或者采用可移动磁存储敏感息。4)

加强数据和档日志计管理使用审计策略对件夹据和文进行审计计果记录在全日志中通过全日志就可查看哪组或用户文件夹件行了什么别的操作而现系统可能面临的非法访问，并过采取相的措施，将这种安全隐患减最低。5)

进行信保密用于特定业务通的通信信应符合相关的国家规定法和密钥的用应符合家密码管理规定备份恢复针对数据的备份恢复要求应用数据的备份和恢复应具以下功能

应提供本地数据份与恢复能，完数据备份少每天次，备份质场外放；应提供异地数据份功能，用通信络将关键据定时量传送至用场地应采用冗余技术计网络拓结构，免关键节存在单故障；应提供主要网络备、通信路和数处理系统硬件冗，保证系的高可性。6

安全设方案结在统一的等级