XX县人民医院银医自助系统(含微信就诊服务、安全等级保护等内容)建设方案

XX县人民医院“银医”自助就医系统方案银医自助系统行业领先品牌XX县人民医院“银医”自助就医系统方案银医自助系统行业领先品牌XX县人民医院“银医”自助就医系统方案建议书XXX信息技术有限公司2017年8月银医自助系统行业领先品牌第第页目录TOC\o"1-3"\h\u第1章 银医自助系统 1§1.1 项目背景 1§1.2 系统设计 2§1.3 多种卡应用 3§1.4 充值缴费模式 4§1.5 医疗费用结算 4§1.5.1 自费患者结算 4§1.5.2 参保患者结算 4§1.6 自助就医服务 5§1.6.1 门诊自助就医服务 5§1.6.2 住院自助就医服务 12§1.7 系统应用管理 12§1.7.1 自助终端管理 12§1.7.2 系统安全管理 13§1.7.3 退费管理 13§1.8 业务系统接口 13§1.8.1 接口通讯说明 13§1.8.2 接口对接方式 13§1.9 网络拓扑 14§1.10 系统安全控制 15§1.10.1 网络安全控制 15§1.10.2 系统安全监控 15第2章 产品配置推荐 17§2.1 自助终端配置 17§2.2 终端管理服务器配置 20§2.3 银行端前置服务器配置 20第3章 掌上医院微信就诊服务平台 20§3.1 建设目标 20§3.2 建设价值 20§3.3 建设内容 21§3.4 网络机构 23第4章 成功案例 24第5章 信息安全等级保护 27§5.1 背景 27§5.2 整改目的 28§5.3 等级安全体系设计目标 28§5.3.1 总体目标 28§5.3.2 安全技术体系目标 29第6章 需求分析 30§6.1 需求分析 30第7章 整改方案安全体系设计 30§7.1 设计原则 31§7.2 设计参考标准与规范 32§7.3 分域保护框架建立 32§7.3.1 设计思路和方法 32§7.3.2 安全域划分原则 33§7.3.3 保护对象分类 34§7.3.4 系统分域保护框架 35第8章 技术体系方案详细设计 36§8.1 安全技术体系设计 36§8.1.1 物理安全设计 36§8.1.2 计算环境安全设计 37§8.1.3 区域边界安全设计 41§8.1.4 通信网络安全设计 44§8.2 安全管理和运维体系设计 49§8.2.1 安全管理的重要意义 49§8.2.2 安全管理体系建设 49§8.2.3 安全管理体系的建设目标 50§8.2.4 安全管理体系的建设内容 50§8.2.5 安全运维 52§8.2.6 安全人员管理 55§8.2.7 技术安全管理 56第9章 整体配置方案 59§9.1 部署拓扑 59§9.2 部署说明 59§9.3 设备配置列表 60第10章 方案报价 60银医自助系统项目背景XX县人民医院创建于2010年，占地面积826000平方米，建筑面积827000平方米，1288张床位，在职职工8237人，其中医技人员，8356人，高级职称881人，返聘副主任医师以上专家38人。中级职称8199人，初级职称2008人。设立临床科室21个，医技科室20个，同时增设高压氧治疗中心及血液透析中心，肝病治疗法中心及临床基因检验中心装备有CT机，彩色B超，1600毫安X光机，电子胃镜，血液析机，高压氧舱，体外碎石机，全自动生化分析仪等医疗设备。系统设计本项目建设方案优化了医院就诊流程，引导分流业务处理，减轻业务窗口手工处理压力，减少排队，提高医院服务效率和质量。系统在非诊疗环节实现了门诊自助建档发卡、门诊预缴金现金充值、门诊预缴金银行储蓄卡充值、预交金明细查询、住院预缴金现金充值、住院预缴金银行储蓄卡充值、门诊自助预约、门诊自助现场排号、门诊预约挂号取号、自费患者门诊费用自助结算、门诊结算信息自助查询、院内个人账户查询、个人参保信息查询、参保患者门诊费用自助结算、住院清单自助查询、门诊取药号码打印、门诊清单打印、检验报告单自助打印、住院清单打印、检查报告单自助打印、自助终端自动开关机、自助业务现金对账、自助服务终端管理、媒体信息播放、医疗费用价格查询、满意度调查，预留居民健康档案查询、发票自助打印、医技检查预约、医院业务公开、医院排班资讯信息查询等自助式服务，所有功能始终贯穿整个非诊疗环节的就医服务。患者进入医院进行就诊前，首先在医院窗口或自助服务终端上用身份证办理就诊卡，其次可通过自助服务终端进行就诊信息查询、预约挂号等操作，再次根据预约挂号单的信息找到相关科室和医生进行诊疗，诊疗结束后到自助服务终端进行自助结算，打印发票等操作，最后，患者根据医生的嘱咐到相关医技科室进行化验检查或者到药房进行取药等操作。若患者需要住院，则可通过自助服务终端设备办理住院押金充值、费用清单打印、满意度评价等。多种卡应用本方案将在就诊环节可以使用多种类型的功能卡。1.就诊卡支持多种介质的就诊卡，如：磁条卡、条形码卡、IC卡等。就诊卡可作为患者在医院就诊的电子身份。通过就诊卡，在门诊“一卡通”应用系统的配合下，将就诊卡与医院HIS系统挂接，与患者姓名、缴费情况、治疗情况等就诊信息直接关联，实现患者电子身份的识别。就诊卡可在医院自助发卡机或人工窗口发放，可应用于整个就诊过程。2.银行储蓄卡此类型卡为银行发行的借记卡，将此类型卡与就诊卡、医保卡、社保卡等配合使用，通过自助就医服务终端设备可实现银行转账充值、银行卡缴费结算等功能。3.金融社保卡金融社保卡是集银行芯片卡和社保医保卡为一体的“二卡合一”IC卡，是参保患者的电子身份识别载体，其具有医保账户支付结算和借记卡账户支付结算功能。在相关业务系统的配合下，可直接作为就诊卡在医院内进行就医。4．二代身份证患者通过二代身份证可以在自助设备或人工窗口办理院内就诊卡。 充值缴费模式便捷的医疗费用支付是实现患者快速就医的重要方面，系统提供了自助现金充值缴费、银行卡充值缴费、支付宝、微信等多种支付方式。医疗费用结算门诊费用结算可分参保患者和非参保患者的结算，患者在取药或做医技检查前需要进行医疗费用结算。自费患者结算非参保患者结算。非参保患者结算无需与医保交互，所有费用直接从银行卡支付。参保患者结算该功能需要当地医保提供相关接口。参保患者只需插入社保卡并根据提示操作就快速完成医保门诊费用结算。系统在处理过程中自动识别对应的医保机构，然后读取医院HIS系统中的处方信息按医保的标准上传，并把医保处理结果反馈给医院业务系统，以进行医院业务系统的结算处理，整个过程确保所有业务及数据的完整性。如果结算过程中发现医保系统尚未挂号登记则自动进行医保挂号登记处理，结算过程中涉及到医保费用结算及银行卡充值金额的结算，系统将根据现有医保的接口要求自动把数据上传到医保进行结算，并从接口反馈回来再与医院内部进行结算处理，同时会根据需要与银行进行结算处理。整个缴费结算过程对患者来说是一次完成的，结算时间平均在3秒以内。而预结算可以实现患者的有关医保费用计算，并未实现真正的结算处理。结算完成后，终端系统将根据需要提醒患者是否需要打印发票。自助就医服务门诊自助就医服务自助建档发卡为了方便患者就诊，尽量减少患者卡片携带和管理的繁琐，本方案中金融社保卡或银行储蓄卡直接使用作为就诊卡，不需要另外办理就诊卡；对未参保或者外来患者，则需办理就诊卡进行诊疗。患者就诊建卡可采用自助终端建卡方式。具体流程图如下：1）患者可在自助设备选择“自助购卡”；2）将第二代身份证放置在终端的身份证感应区，自助系统将读取患者信息发送给HIS，由HIS建档；3）建档完成后，自助终端机具吐出新的诊疗卡。银行卡缴费银行卡具体流程图如下：门诊预约挂号系统实现普通门诊、专家门诊、急诊的预约登记功能，操作过程可以显示专家或科室预约情况、专家资料、就诊时间等；预约过程中需要进行电子身份识别处理，提示使用者输入预约必要信息，最终打印凭单把预约结果反馈给患者。系统实现普通门诊、专家门诊、急诊的预约登记功能，操作过程可以显示专家或科室预约情况、专家资料、就诊时间等；预约过程中需要进行电子身份识别处理，提示使用者输入预约必要信息，最终打印凭单把预约结果反馈给患者。普通门诊预约挂号流程图如下：专家门诊预约挂号流程图如下：急诊预约挂号流程图如下：门诊费用结算门诊费用结算可分参保患者和自费患者的结算，患者在取药或做医技检查前需要进行医疗费用结算，使用者获取时操作应尽量的简便，自费患者无需与医保交互，所有费用直接从银行卡或者支付宝、微信支付。参保患者门诊自助结算功能，患者只需插入医保卡或社保卡并根据提示操作就快速完成医保门诊费用结算。系统在处理过程中自动识别对应的医保机构，然后读取医院HIS系统中的处方信息按医保的标准上传，并把医保处理结果反馈给医院业务系统，以进行医院业务系统的结算处理。整个过程确保所有业务及数据的完整性。此功能将减轻医院和病人在就诊缴费和结算上的压力和负担，提高效率，简化流程。自助终端提供了结算、预结算、诊疗信息查询等功能，患者在终端上插入就诊卡并选择需要办理的服务项目即可。结算过程中涉及到医保费用结算及银行卡充值金额的结算，系统将根据现有医保的接口要求自动把数据上传到医保进行结算，并从接口反馈回来再与医院内部进行结算处理，同时会根据需要与银行进行结算处理。整个缴费结算过程对患者来说是一次完成的。结算完成后，终端系统将根据需要提醒患者是否需要打印发票。信息查询1、就诊信息查询系统根据实际业务应用需要开发对应的业务接口，实现自助终端系统与医院信息管理系统之间的数据交换和共享，提供医院就诊信息查询服务，如：个人在本院就诊情况查询、门诊交易明细查询等。（1）就诊明细查询就诊明细查询流程图:（2）交易明细查询医保信息查询该功能需要当地医保提供相关接口。结合医保机构的接口规范实现自助服务查询，查询过程中进行必要的身份识别处理及数据查看权限控制，确保参保人员个人隐私得到保障。银行卡交易查询终端应用软件与银行接口对接，可以进行查询银行卡在医院的消费刷卡记录，增加消费的透明度。自助打印终端应用软件结合终端实现门诊、医保、住院清单等相关单据报告的查询与打印，系统通过接口方式实现医院业务系统进行数据交换，患者可以根据需打印内容的类型打印不同格式单据。中文输入法应用终端应用软件结合终端金属键盘实现T9中文输入法功能，以方便使用者快速输入中文信息。满意度评价自助终端提供服务满意度评价功能，患者在医院完成就诊及缴费后，可对医院的医生、护士、各医技科室等的服务情况做出评价。系统提供“非常满意、满意、不满意”三个等级的评价功能，患者对医院做出评价后，评价结果将直接通过终端传输到控制中心的数据库中，方便医院领导、卫生局等监管人员的检查、监督。住院自助就医服务住院押金充值住院患者在住院期间通常需要多次缴纳住院押金，通过自助终端缴纳押金不仅可以节约患者的排队等候时间，还可以减轻人工窗口的压力。目前，住院押金充值只开放银行卡充值服务。自助缴费设备的开设实际上是增加了缴费窗口，通过使用自助设备，使用银行卡缴费的患者基本不再需要排队。据统计，一位患者使用自助设备完成一次缴费耗时仅需要20秒左右，极大地缓解了缴费窗口压力。住院清单查询打印自助就医系统根据实际业务应用需要开发对应的业务接口，实现自助就医系统与医院住院管理系统之间的数据交换和共享，提供住院清单查询及打印服务；患者可根据实际情况查询或者打印个人住院记录、住院预交金账户金额、住院消费明、住院日清单等。满意度评价自助终端提供服务满意度评价功能，患者在医院完成就诊及缴费后，可对医院的医生、护士、各医技科室等的服务情况做出评价。系统提供“非常满意、满意、不满意”三个等级的评价功能，患者对医院做出评价后，评价结果将直接通过终端传输到控制中心的数据库中，方便医院领导、卫生局等监管人员的检查、监督。系统应用管理自助终端管理实现所有自助终端管理，包括终端序号、硬件配件情况、场景配置、系统运行监控、系统日志管理等信息；系统根据终端的场景类型实现不同的功能授权，并提供对应的智能升级信息；实现系统的运行参数、业务和服务功能参数配置管理。系统安全管理系统安全管理包括终端接入安全认证，终端功能使用认证，管理人员管理权限授权等功能。系统提供图形界面管理系统角色、操作员、终端及权限等，为系统提供统一的认证与授权功能。退费管理如果患者已缴费，但不想执行，可到人工窗口办理退费手续。退费时需经相关负责人员签字认可（按照医院规定执行），签字确认流程完成后，收费窗口进行退费处理。业务系统接口接口通讯说明业务系统接口软件是连接医院HIS系统、第三方（医保/银行/新农合等）业务系统、自助终端的信息枢纽。XX县人民医院自助就医系统接口涉及银行业务系统、医保系统、医院信息管理系统等个方面的接口对接。一体化平台与医保系统之间的服务接口遵循“金保工程”的技术规范，系统接入及数据通信安全机制结合原系统的安全认证机制，实现个人医保账户余额、医保诊疗项目、个人参保情况、医疗费用情况等信息查询及医保自助结算。接口对接方式医院业务系统接口对接软件医院业务系统接口对接软件采用无缝连接方式实现医院业务系统与自助就医系统的互联。实现形式主要采用数据库直连或者webservices服务调用方式。银行业务系统接口对接软件银行业务系统接口对接软件遵循银行业务系统通讯协议要求，通过银行与医院的业务专线实现自助就医系统与银行业务系统的互联互通。提供银行卡刷卡消费等功能。医保业务系统接口对接软件系统按照当地医保系统接口规范实现与医保系统无缝对接，实现包括门诊挂号、门诊挂号取消、医嘱明细上传、诊收费、门诊收费撤销等业务接口服务。网络拓扑为保证“银医”自助系统的稳定运行，本项目需要在医院数据中心机房部署1台自助终端管理控制服务器、1台银行业务前置服务器、服务器的UPS不间断电源、空调环境等均利用医院机房现有的设备，提供服务。由于本项目的自助终端和服务均在医院局域网内交互，因此可利用医院原有的安全设备提供防护。为了保证金融业务的数据传输安全，自助系统与银行之间采用银联专线接入方式，该专线由银行负责建设并维护。银行端前置服务器实现的是与银行业务专网的互联，由于金融应用的特殊性，其签到、交易等金融业务数据均采用银行内部专用的软硬件加解密方式，其网络安全依托医院原有的安全设备也已经满足要求。自助系统的综合布线部署将以设备部署平面图及网络拓扑图情况为基础，充分利用现有资源，依靠医院现有电路及网络布局，进行必要的升级改造。本项目综合布线系统建设将由对医院网络系统十分了解、且符合医院要求的网络集成公司负责，整个项目的综合布线方案及设备采购等均由该公司提供，并提交医院、银行审核、确认后方可实施。综合布线的总体费用严格控制在项目的预算费用内。系统安全控制网络安全控制自助就医系统服务器部署在医院内网中，通过数据中心局域网实现与自助终端设备、医院业务系统服务器等的互联互通。因此在网络安全控制方面，如无特别要求，则可以医院现有的网络安全设备为基础，通过数据中心核心交换机为自助就医系统服务器制定一个“访问控制策略（ACL）”，实现对网络资源进行访问输入和输出控制，确保网络设备不被非法访问或被用作攻击跳板。通过数据中心主机设备上的防火墙软件制定相关自助就医系统服务器访问医院HIS数据库的安全策略，进一步控制自助就医系统的安全访问。自助终端设备通过自助终端设备的终端编号（ID身份），实现设备的安全接入控制；只有在终端设备的终端编号在控制管理服务器中找到相应的匹配ID，自助终端设备才可以与服务器进行通讯。此外，还可通过自助终端设备的MAC地址进行绑定，确保非法的设备无法接入网络。系统安全监控本期安全监控系统建设依托医院现有在自助就医区域的监控网络及设备，并结合自助终端自带的前端摄像监控。在医院的监控配合下，本项目终端设备可呈现出立体化的监控效果。（1）自助区域的上层监控（天花板监控）通过在自助就医区域的上方部署视频监控源，实现从上到下的监控效果。即在自助区域的天花板吊顶布设监控摄像头，从上对自助就医区域进行环境、患者操作、设备安全的监控。（2）自助就医区域的周围环境监控自助就医区域的周围环境监控采用该区域内原有的环境监控网络，根据实际情况在合适的位置相应增加监控的摄像头，实现对该区域的平面监控。（3）自助终端的前端摄像监控自助终端在设计时预留了前端监控模块，院方可根据医院的管理需求，启用设备自身的监控功能，将监控网络延伸到设备上，实现近距离的操作者形象和操作行为监控。（4）自助终端的入钞口摄像监控自助终端在设计时预留了入钞口摄像监控模块，院方可根据医院的管理需求，启用设备自身的监控功能，将监控网络延伸到设备上，实现操作者入钞操作行为监控。产品配置推荐自助终端配置多功能自助终端（发卡+充值+挂号+结算+打印）序号硬件模块参数指标描述1主控模块工控主板；CPU：主频不低于1.80GHz，主机内存不低于2G；集成显卡(支持1024*768以上分辨率)及声卡、10/100M网卡、标配4个Usb（可扩展到8个）、标配6个RS232（可扩展到10个）接口。2存储数据存储采用SSD固态硬盘8G。3机柜外观大堂式机柜，高度不低于1.6m,外形美观、尊贵，整机采用优质钢材制造，坚硬厚实，防水、防锈、防腐、耐磨，打印模块采用拖拉式道轨维护。4电源模块ATX电源，最大功率300W，符合GB/T14714-2008规范标准；5主显示模块17寸5:4TFT显示模块，分辨率1280*1024，亮度≥250cd/m2；对比度：1000：1；可视角度(L/R/U/D)：85/85/80/80，响应时间5ms。6触摸输入模块17寸防暴安全型红外触摸屏，防尘、防污、定位准确无漂移，触摸精度：<1.5毫米(中心区域)，<2.5毫米(边缘区域)，分辨率：32767×32767,单点触摸:<16ms。7多功能读卡输入键盘金属密码键盘，配置硬件加密模块；33个金属键，包含数字键、功能键、方向键等；防腐蚀、耐磨；配备3个PSAM插槽；具有T9中文输入功能。支持银行卡磁条数据阅读、社会保障卡读取。键盘集IC卡读卡模块、磁条卡读卡模块、金属输入键盘于同一输入模块上，增强设备的安全性、兼容性。具有社会保障卡及金融卡的读取功能；能够配合核心主板正确的进行接触式Memory卡和CPU卡的读取。磁条卡读取，可同时读取2、3磁道；刷卡速度范围为10毫米/秒-100毫米/秒。8电动读卡器IC卡/RF卡读写，磁卡只读，支持掉电弹卡，PSAM卡板选择；有效的防尘、防异物卡扣设计；兼容多种通讯协议；银联PBOC2.0&EMV认证。9身份证阅读模块兼容ISO14443（TypeB）标准。10收发卡器模块模块IC卡、RF卡和高抵抗磁卡读写，勾卡方式发卡，发凸字卡片可靠性高；带锁的移动式卡盒，移动卡盒的出卡扣具备安全锁功能，带锁的回收卡盒，卡箱移动自动检测功能；提供在线IAP方式下载。IC卡符合IS07816标准。11纸币接收模块接受RMB1,5,10,20,50,100元；钱箱容:约1000张,钞满可报警，配有钱箱；金属防暴力外壳，钥匙和锁为独立配置，互不通用；软件可用记忆棒升级。12热敏打印模块RS-232接口、热敏打印、自动切纸（半切）、纸将尽报警、卡纸报警、带黑标检测，打印宽度：79mm，纸卷直径：120mm。13报告单打印模块黑白激光打印模块，最大打印幅面：A4，打印速度：33ppm，最高分辨率：1200×1200dpi，标配纸盒：250页，多功能进纸器：50页。14条码阅读机对0.33mm(13mil)的标准条码。15前置摄像模块预留前置摄像头监控模块。16入钞摄像模块预留入钞摄像头监控模块。17POS预留pos模块18网络通讯模块通讯支持以太网接口LAN、WLAN，可以扩展包括SIM卡的网络应用（3G无线网络）、电话Modem等接口。19整机颜色可选根据用户实际要求进行定制。20操作系统linux操作系统，自助终端应用平台，固化到数据存储设备中。21应用软件人机交互应用软件可定制，应用响应时间在3秒以内；应用软件能固化在机器的ROM中，每次启动均清除垃圾碎片（或者日志），软件支持网络在线更新；具有实现“一键恢复”功能，结合终端“复位”按键可以让整个系统恢复到出厂配置状态；系统应用软件支持触摸屏及按键的操作。22系统性能开机速度在60秒以内，系统内核加载30秒以内；非授权时修改的操作系统配置，每次重启后自动恢复到原始配置；23使用环境环境温度：+5℃~+45℃，相对湿度：10%~80%，输入电压：AC220V±10%50Hz±1HZ以上为我们自助终端机的全功能模块,可以根据医院的需求进行模块的增加与减少.终端管理服务器配置序号项目名称主要配置及性能要求数量1医院自助终端控制中心服务器用途：用于信息传递和协作，及自助终端设备管理配置：2个6核英特尔处理器E5-26202.0GHz，16GBDDR3内存，3个3.5英寸易插拔SAS硬盘（300G），RAID5、双千兆以太网，冗余电源，风扇。2台银行端前置服务器配置银行机构根据金融要求自行配置，部署2台银行端前置服务器。掌上医院微信就诊服务平台建设目标“微信就诊平台”的建设是为患者提供一个便捷的、无插队的就诊服务环境，打造一个利国利民、缓解患者“看病难”和“看病烦”的“民生工程”。让患者在就诊过程对流程和细节可知晓，对就诊时间可掌控，对就诊体验可评价，减少患者在就诊过程中的排队等候时间，让没一部智能手机都能成为患者就诊过程的陪诊护士，让每一部智能手机都能成为患者的专属服务窗口。建设价值本方案部署后可以给医院带来良好的经济效益和社会效益，主要有以下几个方面：为患者提供便捷的就诊通道；通过门诊业务流程优化，结合微信实现远程预约、远程排队，将服务窗口延伸到患者手中，解决医院关键节点患者的疏导，立体化分层次地解决医院就诊排队问题。节约医院管理成本；随着医院规模扩充，就诊人数的不断提升，医院的管理成本是最大的成本，通过人工服务向自助服务的转变，极大的节省了医院的管理成本，提升医院的接待能力。给医院患者提供一个沟通得桥梁；医院可以通过信息发布以及互动请假等形式加强医患沟通，可以让患者了解医院的服务能力及医疗特色，并能让医院及时了解患者就诊过程中的感受，及时解决患者遇到的问题，避免医患矛盾的产生。依托互联网构建医院个性化医疗服务；把微信服务号作为服务终端，依托医院平台及专家资源，共同开发运营针对患者的个性化医疗服务，如孕妇俱乐部、母婴教室等。建设内容分类功能介绍就诊服务预约患者可在手机上进行预约。挂号患者可以在手机上挂当天的号，并支付挂号费。预约取号患者可在手机上支付后取预约号，并生成电子凭条，直接进入诊室就诊。候诊队列可以在手机上查看到目前的就诊号数并提醒做好就诊准备。获取报告单患者可以输入自己的就诊卡号和姓名来获取自己在医院的检验和检查报告单。就诊缴费自费缴费通过手机进行线上缴费。医保缴费信息查询医院信息医院综合信息板块，展示医院介绍（医院规模、医院历史、重点科室等）院内导航、资质荣誉、公告等。科室信息展示医院各科室的介绍、科室特色。医生信息包括职称、所属科室、擅长领域。排班信息医生的排班信息。医院导航提供医院的基本信息，患者可以通过手机导航的方式找到医院。个人就诊信息挂号、缴费清单、就诊详情。医患互动微信随访医生通过微信主动对患者进行随访，主要针对典型病例收集和研究。用药提醒提醒患者用药和进行复查。满意度调查患者就诊完成后，及时发送调查表到缓和微信端，可以进行全方位、多角度的调查，有助于医院加强门诊的管理。网络机构架构说明：

成功案例

设备部署应用情况部署地点:门诊大厅、东院、西院、住院部等设备数量：目前正式运行为：147台自助服务终端一体机

截至目前在广西已服务三甲医院有12家：广西医科大学第一附属医院柳州市工人医院右江民族医学院附属医院玉林市第一人民医院南宁市妇幼保健院南宁市中医院防城港市第一人民医院南宁市第二人民医院钦州市妇幼保健院钦州市第二人民医院百色市人民医院广西壮族自助区南溪山医院防城港市中医医院信息安全等级保护背景随着医疗卫生体制改革的不断深化，卫生行业信息化应用不断普及。医院信息系统已成为医疗服务的重要支撑体系，支撑医院系统运作及各部门共同合作与营运的关键应用，承载着医院主要的业务数据。医院信息系统的安全性直接关系到医院医疗工作的正常运行，一旦网络瘫痪或数据丢失，将会给医院和病人带来巨大的灾难和难以弥补的损失。同时，医院信息系统涉及大量医院经营和患者医疗等私密信息，信息的泄露和传播将会给医院、社会和患者带来安全风险，同时，等级保护评测是否过关，关系到医院的三甲评审（见卫生部《三级综合医院评审标准及实施细则》评审标准中“加强信息系统的安全保障和患者隐私保护”中各项明确规定）。为贯彻落实国家信息安全等级保护制度，按照《卫生部关于印发〈卫生行业信息安全等级保护工作的指导意见〉的通知》要求，XX县人民院积极开展信息等级测评工作。通过信息系统等级保护定级和安全测评工作，提前发现信息系统中存在的安全风险和漏洞，我们据此提出信息系统安全等级保护整改和解决方案，避免安全事件对业务工作带来损失；完善信息系统安全管理制度，提升信息系统安全管理水平。评审通过后，将由自治区公安厅下辖的信息安全评测权威机构颁发等级保护证书。整改目的根据XX县人民医院网络系统的现状和将来的应用需求，并结合等级化保护的相关要求，而制定针对性的技术方案与管理方案，为XX县人民医院信息系统的等级化安全体系改造和加固提供参考和实施依据。本方案将主要阐述和针对XX县人民医院网络系统的改造和信息安全体系的规划设计。主要内容为XX县人民医院信息系统的总体信息安全体系安全改造，包括以下几个方面：建设XX县人民医院网络安全基础设施；XX县人民医院信息系统的边界安全保护；信息系统的计算环境安全保护；建立XX县人民医院信息系统的安全运维体系；建立XX县人民医院信息安全的管理制度；协助并配合XX县人民医院在评测中各项工作的技术支持并顺利获得通过；为医院各项医疗信息化业务保驾护航并为三甲复审加分。等级安全体系设计目标根据对XX县人民医院信息系统的全面了解，并结合国家的相关政策标准，XX县人民医院网络系统的信息安全建设目标如下。总体目标为了落实《卫生行业信息安全等级保护工作的指导意见》（卫办发〔2011〕85号）和《关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函[2011]1126号），实施符合国家标准的安全等级保护体系建设，通过对XX县人民医院网络系统的安全等级划分，确保XX县人民医院网络的核心信息资产的安全性，从而使重要信息系统的安全威胁最小化，达到网络信息安全投入的最优化。最终实现如下总体安全目标：依据信息系统所包括的信息资产的安全性、信息系统主要处理的业务信息类别、信息系统服务范围以及业务对信息系统的依赖性等指标，来划分信息系统的安全等级。通过信息安全需求分析，判断信息系统的安全保护现状与《信息安全技术信息系统安全等级保护基本要求》之间的差距，确定安全需求，然后根据信息系统的划分情况、信息系统定级情况、信息系统承载业务情况和安全需求等，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施规划，以指导后续的信息系统安全建设工程实施。达到公安部关于信息系统安全等级保护三级的相关要求。安全技术体系目标按照信息系统安全等级保护三级关于信息系统在物理、网络安全运行、信息保密和管理等方面的总体要求，科学合理评估信息系统当前存在的风险，协助其合理确定安全保护等级，在此基础上科学规划设计一整套完整的安全体系改造加固方案。该安全体系需要全面保卫网络和基础设施、边界和外部接入、计算环境、支持性基础设施、数据和系统等方面内容，实现信息资源的机密、完整、可用、不可抵赖和可审计性，基本做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、可追溯”。具体包括：内外网接入设备物理隔离并入机房总核心设备，保障数据的不间断性。保障基础设施安全，保障网络周边环境和物理特性引起的网络设备和线路的持续使用。保障网络连接安全，保障网络传输中的安全，尤其保障网络边界和外部接入中的安全。保障计算环境的安全，保障操作系统、数据库、服务器、用户终端及相关商用产品的安全。保障应用系统安全，保障应用程序层对网络信息的保密性、完整性和信源的真实的保护和鉴别，防止和抵御各种安全威胁和攻击手段，在一定程度上弥补和完善现有操作系统和网络信息系统的安全风险。安全管理体系保障，根据国家有关信息安全等级保护方面的标准和规范要求，结合XX县人民院实际情况，建立一套切实可行的安全管理体系。需求分析需求分析近年来，医院的信息化建设发展速度迅速，典型代表如HIS(医院信息系统)、LIS(实验室信息管理系统)、PACS(影像归档和通信系统)、电子病历、电子处方等在各大中医院普及面非常广，信息化的发展带来信息和网络安全问题日益凸显，主要原因和表现如下：医院对各类信息系统的依赖程度越来越高。以HIS系统为例，涉及到医院所属各部门，对人流、物流、财流全方位管理，患者从挂号、看诊、缴费、手术、住院、出院等等各个环节，都需与其直接挂钩，一旦HIS信息系统出现问题，影响面巨大。医疗信息系统采集、处理、存储大量患者隐私电子化数据。如电子病历、健康档案、电子处方等都涉及到病人的各类基本信息、身体健康信息。一旦泄漏，对患者的隐私造成危害。信息系统面对安全威胁的众多、入门门槛越来越低下。各类大规模的DDos侵入、黑客攻击、蠕虫、木马越来越普遍、手段越来越复杂、成组织化、专业化趋势，入门门槛低下，各类自动化攻击工具，DDOS工具网络上比比皆是，一个小工具就能有数百兆的攻击流。医院信息系统安全现状堪忧，与发达国家相比，我国卫生行业的信息安全领域的工作推进还处于刚刚起步阶段，信息安全意识相对落后，没有成立专门的信息安全管理组织、没有成套规范的管理体系。已经严重滞后信息化的发展速度。针对医疗行业普遍的的安全现状，XX县人民院同样也面临着安全威胁，我们结合信息系统等级保护三级的政策和规范要求，设计本方案。整改方案安全体系设计在信息安全等级保护体系设计时，我们遵循等保体系标准作为设计方法，根据等级保护安全三级的要求进行XX县人民院网络系统的安全体系化设计。通过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设；为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设，使得XX县人民医院网络系统的等级保护建设方案最终既可以满足等级保护三级的相关要求，又能够全方面为XX县人民医院的业务系统提供立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能力。设计原则在规划、建设、使用、维护整个XX县人民医院网络系统项目的过程中，本方案将主要遵循统一规划、分步实施、立足现状、节省投资、科学规范、严格管理的原则进行安全体系的整体设计和实施，并充分考虑到先进性、现实性、持续性和可扩展性。具体体现为：等级标准性原则坚持遵循相关的标准。本方案从设计到产品选型都遵循国家信息系统等级保护三级相关标准。需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际分析(包括任务、性能、结构、可靠性、可用性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定安全策略。综合性、整体性原则安全模块和设备的引入应该体现系统运行和管理的统一性。一个完整的系统的整体安全性取决于其中安全防范最薄弱的一个环节，必须提高整个系统的安全性以及系统中各个部分之间的严密的安全逻辑关联的强度，以保证组成系统的各个部分协调一致地运行。易操作性原则安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。设备的先进性与成熟性安全设备的选择，既要考虑其先进性，还要考虑其成熟性。先进意味着技术、性能方面的优越，而成熟性表示可靠与可用。无缝接入安全设备的安装、运行，应不改变网络原有的拓扑结构，对网络内的用户应是透明的，不可见的。同时，安全设备的运行应该不会对网络传输造成通信“瓶颈”。可管理性与扩展性安全设备应易于管理，而且支持通过现有网络对网上的安全设备进行安全的统一管理、控制，能够在网上监控设备的运行状况，进行实时的安全审计。保护原有投资的原则在进行XX县人民医院网络系统信息安全体系建设时，应充分考虑原有投资，要充分利用医院已有的建设基础，规划其医院网络系统的整体安全体系和灾难恢复系统。综合治理信息网络的安全同样也绝不仅仅是一个技术问题，各种安全技术应该与运行管理机制、人员的思想教育与技术培训、安全法律法规建设相结合，从社会系统工程的角度综合考虑。设计参考标准与规范设计参考了以下标准与规范：卫生部办公厅《关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函[2011]1126号）;《北京市卫生局关于进一步加强北京市卫生行业信息安全等级保护工作的通知》(京卫办字〔2012〕26号);《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）;《信息安全技术信息系统安全等级保护定级指南》（GB/T22240-2008）;《信息安全技术信息系统安全等级保护实施指南》;《信息安全技术信息系统安全等级保护测评要求》;《信息安全技术信息系统安全等级保护测评过程指南》;《计算机信息系统安全保护等级划分准则》（GB17859-1999）;《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）;《信息安全技术网络基础安全技术要求》（GB/T20270-2006）;《信息安全技术操作系统安全技术要求》（GB/T20272-2006）;《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）;《信息安全技术服务器技术要求》（GB/T21028-2007）;《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）;《信息安全技术信息系统安全管理要求》（GB/T20269-2006）;《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）;GB/T18336-2001信息技术安全技术信息技术安全性评估准则;分域保护框架建立设计思路和方法用安全域方法论为主线来进行设计，从安全的角度来分析业务可能存在的安全风险。所谓安全域，就是具有相同业务要求和安全要求的IT系统要素的集合。这些IT系统要素包括：网络区域主机和系统人和组织策略和流程业务和使命因此，如果按照广义安全域来理解，不能将安全域的工作仅仅理解为在网络拓扑结构上的工作。通过划分安全域的方法，将网络系统按照业务流程的不同层面划分为不同的安全域，各个安全域内部又可以根据业务元素对象划分为不同的安全子域。针对每个安全域或安全子域来标识其中的关键资产，分析所存在的安全隐患和面临的安全风险，然后给出相应的保护措施；不同的安全子域之间和不同的安全域之间存在着数据流，这时候就需要考虑安全域边界的访问控制、身份验证和审计等安全策略的实施。安全域划分以及基于安全域的整体安全工作，对XX县人民医院网络具有很大的意义和实际作用：安全域划分基于网络和系统进行，是下一步安全建设的部署依据，可以指导系统的安全规划、设计、入网和验收工作；可以更好的利用系统安全措施，发挥安全设备的利用率；基于网络和系统进行安全检查和评估的基础，可以在运行维护阶段降低系统风险，提供检查审核依据；安全域可以更好的控制网络安全风险，降低系统风险；安全域的分割是出现问题时的预防，能够防止有害行为的渗透；安全域边界是灾难发生时的抑制点，能够防止影响的扩散。“同构性简化”的安全域划分方法，其基本思路是认为一个复杂的网络应当是由一些相通的网络结构元所组成，这些进行拼接、递归等方式构造出一个大的网络。具体来说XX县人民医院网络的承载网络和支撑系统按照其维护数据的分类可以分为安全服务域、安全接入域、安全互联域以及安全支撑域四类。在此基础上确定不同区域的信息系统安全保护等级。同一区域内的资产实施统一的保护，如进出信息保护机制，访问控制，物理安全特性等。安全域划分原则XX县人民医院网络系统安全区域的划分主要依据XX县人民医院网络系统的应用功能、资产价值、资产所面临的风险，划分原则如下：系统功能和应用相似性原则安全区域的划分要以服务XX县人民医院网络应用为基本原则，根据医院应用的功能和应用内容划分不同的安全区域。资产价值相似性原则同一安全区域内的信息资产应具有相近的资产价值，重要医院业务应用与一般的行政办公应用分成不同区域。安全要求相似性原则在信息安全的基本属性方面，同一安全区域内的信息资产应具有相似的机密性要求、完整性要求和可用性要求。威胁相似性原则同一安全区域内的信息资产应处在相似的风险环境中，面临相似的威胁。保护对象分类保护对象是信息系统内具有相似安全保护需求的一组信息资产的组合，是从安全角度对信息系统的描述。依据XX县人民医院网络系统的功能特性、安全价值以及面临威胁的相似性，XX县人民医院网络保护对象可分为计算区域、区域边界、网络基础设施三类。计算区域计算区域是指由相同功能集合在一起，安全价值相近，且面临相似威胁的一组信息系统组成。计算区域的信息资产包括：主机资产、平台资产、应用软件资产和医护数据资产等。涉及区域内的物理层、网络层、系统层、应用软件层、数据层和业务流程层面。包含的安全属性包括所属信息资产的物理安全、网络安全、边界安全、系统安全、应用系统安全、数据安全和业务流程安全等。区域边界区域边界是指两个区域或两组区域之间的隔离功能集。边界是虚拟对象，不与具体资产对应，边界是一组功能集合，包括边界访问控制，边界入侵检测和审计等。设计系统分域保护框架时区域边界可以作为计算区域的一个属性进行处理。网络基础设施网络基础设施是指由相同功能集合在一起，安全价值相近，且面临相似威胁来源的一组网络系统组成，包括由交换机和防火墙等构成的局域网，一般指区域边界之间的连接网络。某一个安全区域或多个安全区域网络支撑平台构成了该区域的网络基础实施。各类信息资产描述如下：物理环境：是指支撑XX县人民医院网络系统的场所、所处的周边环境以及场所内保障计算机系统正常运行的设备，包括机房、门禁、监控、电源、空调等。人员资产：指与XX县人民医院网络系统直接相关的人员，包括各级安全组织、安全人员、各级管理人员、网管员、系统管理员、业务操作人员和第三方人员等。是指XX县人民医院网络系统网络传输环境的设备，软件和通信介质。网络资产包括路由器、交换机、防火墙、网管、网络设备控制台等。主机资产：是指XX县人民医院网络系统中承载业务系统和软件的计算机系统、外围系统（不含网络设备）及其操作系统。这里的主机资产包括磁盘阵列、Unix服务器、Windows服务器、工作站和移动终端等。平台资产：主要是指XX县人民医院业务系统的软件平台系统，包括数据库、中间件、群件、邮件、Web服务器、集成开发环境和工具软件等。应用软件资产：是指为XX县人民医院网络医疗业务和管理应用而开发的各类应用软件及其提供的服务。数据资产：是XX县人民医院网络系统所存储、传输、处理的数据对象，是XX县人民医院网络系统的核心资产。系统分域保护框架系统分域保护框架是从安全角度出发，通过对XX县人民医院网络系统各保护对象进行组合，来对信息系统进行结构化处理的方法。结构化是指通过特定的结构将问题拆分成子问题的迭代过程，其目标是更好地体现XX县人民医院网络系统信息系统的安全特性和安全要求。以安全域划分和保护对象分类为基础，经过结构化的分解，可以将XX县人民医院内网网络系统分解为不同类别的保护对象，形成系统分域保护框架。XX县人民医院内网网络系统计算区域可细分为4个计算区域。等保三级系统重要业务服务器区－综合/临床业务区、一般业务服务器区－行政/后勤业务区、运维管理区、非安全区－测试环境区。XX县人民院内网网络系统的网络基础设施为支撑医院业务的网络平台，包括交换设备、互联链路等。XX县人民医院内网网络的区域边界主要为各计算区域之间的边界。其中重要的区域边界有等保三级系统重要业务服务器区、一般业务服务器区等。技术体系方案详细设计安全技术体系设计物理安全设计物理环境安全策略的目的是保护网络中计算机网络通信有一个良好的电磁兼容工作环境，并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。机房选址机房和办公场地选择在具有防震、防风和防雨等能力的建筑内。机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。机房管理机房出入口安排专人值守，控制、鉴别和记录进入的人员；需进入机房的来访人员须经过申请和审批流程，并限制和监控其活动范围。对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。机房环境合理规划设备安装位置，应预留足够的空间作安装、维护及操作之用。房间装修必需使用阻燃材料，耐火等级符合国家相关标准规定。机房门大小应满足系统设备安装时运输需要。机房墙壁及天花板应进行表面处理，防止尘埃脱落，机房应安装防静电活动地板。机房安装防雷和接地线，设置防雷保安器，防止感应雷，要求防雷接地和机房接地分别安装，且相隔一定的距离；机房设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。配备空调系统及环境测温报警系统，以保持房间恒湿、恒温的工作环境；在机房供电线路上配置稳压器和过电压防护设备；提供短期的备用电力供应，满足关键设备在断电情况下的正常运行要求。设置冗余或并行的电力电缆线路为计算机系统供电；建立备用供电系统。铺设线缆要求电源线和通信线缆隔离铺设，避免互相干扰。对关键设备和磁介质实施电磁屏蔽。设备与介质管理为了防止无关人员和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性，必须采用有效的区域监控、防盗报警系统，阻止非法用户的各种临近攻击。此外，必须制定严格的出入管理制度和环境监控制度，以保障区域监控系统和环境监控系统的有效运行。对介质进行分类标识，存储在介质库或档案室中。利用光、电等技术设置机房防盗报警系统；对机房设置监控报警系统。计算环境安全设计身份鉴别身份鉴别可分为主机身份鉴别和应用身份鉴别两个方面：主机身份鉴别为提高主机系统安全性，保障各种应用的正常运行，对主机系统需要进行一系列的加固措施，包括：对登录操作系统和数据库系统的用户进行身份标识和鉴别，且保证用户名的唯一性。根据基本要求配置用户名/口令；口令必须具备采用3种以上字符、长度不少于8位并定期更换；启用登陆失败处理功能，登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。远程管理时应启用SSH等管理方式，加密管理数据，防止被网络窃听。对主机管理员登录进行双因素认证方式，采用USBkey+密码进行身份鉴别应用身份鉴别：为提高应用系统系统安全性应用系统需要进行一系列的加固措施，包括：对登录用户进行身份标识和鉴别，且保证用户名的唯一性。根据基本要求配置用户名/口令，必须具备一定的复杂度；口令必须具备采用3种以上字符、长度不少于8位并定期更换。启用登陆失败处理功能，登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。应用系统如具备上述功能则需要开启使用，若不具备则需进行相应的功能开发，且使用效果要达到以上要求。访问控制三级系统一个重的要求是实现自主访问控制和强制访问控制。自主访问控制实现：在安全策略控制范围内，使用户对自己创建的客体具有各种访问操作权限，并能将这些权限的部分或全部授予其他用户；自主访问控制主体的粒度应为用户级，客体的粒度应为文件或数据库表级；自主访问操作应包括对客体的创建、读、写、修改和删除等。强制访问控制实现：在对安全管理员进行严格的身份鉴别和权限控制基础上，由安全管理员通过特定操作界面对主、客体进行安全标记；应按安全标记和强制访问控制规则，对确定主体访问客体的操作进行控制；强制访问控制主体的粒度应为用户级，客体的粒度应为文件或数据库表级。由此主要控制的是对应用系统的文件、数据库等资源的访问，避免越权非法使用。采用的措施主要包括：启用访问控制功能：制定严格的访问控制安全策略，根据策略控制用户对应用系统的访问，特别是文件操作、数据库访问等，控制粒度主体为用户级、客体为文件或数据库表级。权限控制：对于制定的访问控制规则要能清楚的覆盖资源访问相关的主体、客体及它们之间的操作。对于不同的用户授权原则是进行能够完成工作的最小化授权，避免授权范围过大，并在它们之间形成相互制约的关系。账号管理：严格限制默认账户的访问权限，重命名默认账户，修改默认口令；及时删除多余的、过期的账户，避免共享账户的存在。访问控制的实现主要采取两种方式：采用安全操作系统，或对操作系统进行安全增强改造，且使用效果要达到以上要求。系统安全审计系统审计包含主机审计和应用审计两个层面：主机审计：部署终端安全管理系统，启用主机审计功能，或部署主机审计系统，实现对主机监控、审计和系统管理等功能。监控功能包括服务监控、进程监控、硬件操作监控、文件系统监控、打印机监控、非法外联监控、计算机用户账号监控等。审计功能包括文件操作审计、外挂设备操作审计、非法外联审计、IP地址更改审计、服务与进程审计等。审计范围覆盖到服务器上的每个操作系统用户和数据库用户；内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等；保护审计记录，避免受到未预期的删除、修改或覆盖等。同时，根据记录的数据进行统计分析，生成详细的审计报表，系统管理功能包括系统用户管理、主机监控代理状态监控、安全策略管理、主机监控代理升级管理、计算机注册管理、实时报警、历史信息查询、统计与报表等。应用审计：应用层安全审计是对业务应用系统行为的审计，需要与应用系统紧密结合，此审计功能应与应用系统统一开发。应用系统审计功能记录系统重要安全事件的日期、时间、发起者信息、类型、描述和结果等，并保护好审计结果，阻止非法删除、修改或覆盖审计记录。同时能够对记录数据进行统计、查询、分析及生成审计报表。部署数据库审计系统对用户行为、用户事件及系统状态加以审计，范围覆盖到每个用户，从而把握数据库系统的整体安全。应用系统如具备上述功能则需要开启使用，若不具备则需进行相应的功能开发，且使用效果要达到以上要求。入侵防范针对入侵防范主要体现在主机及网络两个层面。针对主机的入侵防范，可以从多个角度进行处理：（1）防火墙系统可以对进出网络边界的数据进行端口级的访问控制；（2）入侵检测系统可以起到防范针对主机的入侵行为；部署漏洞扫描进行系统安全性检测；防病毒网关用来保护网络内进出数据的安全，杀除病毒、过滤关键字、阻止垃圾邮件等；部署企业版防病毒系统保证服务端及客户端安全，扫描及清除病毒；部署终端安全管理系统，开启补丁分发功能模块及时进行系统补丁升级；操作系统的安装遵循最小安装的原则，仅安装需要的组件和应用程序，关闭多余服务等；另外根据系统类型进行其它安全配置的加固处理。针对网络入侵防范，可通过部署网络入侵检测系统来实现。将网络入侵检测系统位于有敏感数据需要保护的网络上，通过实时侦听网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时，网络监控系统能够根据系统安全策略做出反应，包括实时报警、事件登录，或执行用户自定义的安全策略等。入侵检测系统部署在XX县人民医院的核心处以及主要服务器区，这里我们建议在这些区域的交换机上部署入侵检测系统，监视并记录网络中的所有访问行为和操作，有效防止非法操作和恶意攻击。同时，入侵检测系统还可以形象地重现操作的过程，可帮助安全管理员发现网络安全的隐患。需要说明的是，IDP是对防火墙的非常有必要的附加而不仅仅是简单的补充。入侵检测系统作为网络安全体系的第二道防线，对在防火墙系统阻断攻击失败时，可以最大限度地减少相应的损失。因此，IDP应具备更多的检测能力，能够和其他安全产品（边界防火墙、内网安全管理软件等）进行联动。主机恶意代码防范各类恶意代码尤其是病毒、木马等是对XX县人民医院的重大危害，病毒在爆发时将使路由器、三层交换机、防火墙等网关设备性能急速下降，并且占用整个网络带宽。针对病毒的风险，我们建议重点是将病毒消灭或封堵在终端这个源头上。比如，在所有终端主机和服务器上部署网络防病毒系统，加强终端主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。在XX县人民医院安全管理安全域中，可以部署防病毒服务器，负责制定和终端主机防病毒策略，在XX县人民医院内网建立全网统一的一级升级服务器，在下级节点建立三级升级服务器，由管理中心升级服务器通过互联网或手工方式获得最新的病毒特征库，分发到数据中心节点的各个终端，并下发到各三级服务器。在网络边界通过防火墙进行基于通信端口、带宽、连接数量的过滤控制，可以在一定程度上避免蠕虫病毒爆发时的大流量冲击。同时，防毒系统可以为安全管理平台提供关于病毒威胁和事件的监控、审计日志，为全网的病毒防护管理提供必要的信息。软件容错软件容错的主要目的是提供足够的冗余信息和算法程序，使系统在实际运行时能够及时发现程序设计错误,采取补救措施，以提高软件可靠性，保证整个计算机系统的正常运行。因此在应用系统软件设计时要充分考虑软件容错设计，包括：提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；具备自保护功能，在故障发生时，应用系统应能够自动保存当前所有状态，确保系统能够进行恢复。备份与恢复备份与恢复主要包含两方面内容，首先是指数据备份与恢复，另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。数据是最重要的系统资源。数据丢失将会使系统无法连续正常工作。数据错误则将意味着不准确的事务处理。可靠的系统要求能立即访问准确信息。将综合存储战略作为计算机信息系统基础设施的一部分实施不再是一种选择，而已成为必然的趋势。数据备份系统应该遵循稳定性、全面性、自动化、高性能、操作简单、实时性等原则。备份系统先进的特性可提供增强的性能，易于管理，广泛的设备兼容性和较高的可靠性，以保证数据完整性。广泛的选件和代理能将数据保护扩展到整个系统,并提供增强的功能，其中包括联机备份应用系统和数据文件，先进的设备和介质管理，快速、顺利的灾难恢复以及对光纤通道存储区域网（SAN）的支持等。本地完全数据备份至少每天一次，且备份介质需要场外存放。提供能异地数据备份功能，利用通信网络将关键数据定时批量传送至异地备用场地。对于核心交换设备、外部接入链路以及系统服务器进行双机、双线的冗余设计，保障从网络结构、硬件配置上满足不间断系统运行的需要。资源控制为保证XX县人民医院的应用系统正常的为用户提供服务，必须进行资源控制，否则会出现资源耗尽、服务质量下降甚至服务中断等后果。通过对应用系统进行开发或配置来达到控制的目标，包括：会话自动结束：当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够及时检测并自动结束会话，释放资源；会话限制：对应用系统的最大并发会话连接数进行限制，对一个时间段内可能的并发会话连接数进行限制，同时对单个帐户的多重并发会话进行限制，设定相关阈值，保证系统可用性。登陆条件限制：通过设定终端接入方式、网络地址范围等条件限制终端登录。超时锁定：根据安全策略设置登录终端的操作超时锁定。用户可用资源阈值：限制单个用户对系统资源的最大或最小使用限度，保障正常合理的资源占用。对重要服务器的资源进行监视，包括CPU、硬盘、内存等。对系统的服务水平降低到预先规定的最小值进行检测和报警。提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源。应用系统如具备上述功能则需要开启使用，若不具备则需进行相应的功能开发，且使用效果要达到以上要求。客体安全重用为实现客体的安全重用，及时清除剩余信息存储空间，应通过对操作系统及数据库系统进行安全加固配置，使得操作系统和数据库系统具备及时清除剩余信息的功能，从而保证用户的鉴别信息、文件、目录、数据库记录等敏感信息所在的存储空间（内存、硬盘）被及时释放或再分配给其他用户前得到完全清除。区域边界安全设计边界访问控制通过对XX县人民医院的边界风险与需求分析，在网络层进行访问控制需部署防火墙产品，可以对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为。同时可以和内网安全管理系统、网络入侵检测系统等进行安全联动，为网络创造全面纵深的安全防御体系。在各安全域边界部署防火墙产品，部署效果如下：网络安全的基础屏障：防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。防止内部信息的外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而曝露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。精确流量管理通过部署防火墙设备，不仅可以实现精准访问控制与边界隔离防护，还能实现阻止由于病毒或者P2P软件引起的异常流量、进行精确的流量控制等。对各级节点安全域实现全面的边界防护，严格控制节点之间的网络数据流。边界完整性检查边界完整性检查核心是要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查，维护网络边界完整性。通过部署终端安全管理系统可以实现这一目标。终端安全管理系统其中一个重要功能模块就是非法外联控制，探测内部网中非法上互联网的计算机。非法外联监控主要解决发现和管理用户非法自行建立通路连接非授权网络的行为。通过非法外联监控的管理，可以防止用户访问非信任网络资源，并防止由于访问非信任网络资源而引入安全风险或者导致信息泄密。终端非法外联行为监控可以发现终端试图访问非授信网络资源的行为，如试图与没有通过系统授权许可的终端进行通信，自行试图通过拨号连接互联网等行为。对于发现的非法外联行为，可以记录日志并产生报警信息。终端非法外联行为管理可以禁止终端与没有通过系统授权许可的终端进行通信，禁止拨号上网行为。边界安全审计（上网行为管理）各安全区域边界已经部署了相应的安全设备负责进行区域边界的安全。对于流经各主要边界（重要服务器区域、外部连接边界）需要设置必要的审计机制，进行数据监视并记录各类操作，通过审计分析能够发现跨区域的安全威胁，实时地综合分析出网络中发生的安全事件。一般可采取开启边界安全设备的审计功能模块，根据审计策略进行数据的日志记录与审计。同时审计信息要通过安全管理中心进行统一集中管理，为安全管理中心提供必要的边界安全审计数据，利于管理中心进行全局管控。边界安全审计和主机审计、应用审计、网络审计等一起构成完整的、多层次的审计系统。边界恶意代码防范（防病毒）一个完善的安全体系应该包含了从桌面到服务器、从内部用户到网络边界的全面地解决方案，以抵御来自黑客和病毒的威胁。在XX县人民医院办公外网边界部署防病毒网关，采用透明接入方式，在最接近病毒发生源安全边界处进行集中防护，对夹杂在网络交换数据中的各类网络病毒进行过滤，可以对网络病毒、蠕虫、混合攻击、端口扫描、间谍软件、P2P软件带宽滥用等各种广义病毒进行全面的拦截。阻止病毒通过网络的快速扩散，将经网络传播的病毒阻挡在外，可以有效防止病毒从其他区域传播到内部其他安全域中。通过部署防病毒网关，截断了病毒通过网络传播的途径，净化了网络流量。部署的防病毒网关应特别注意设备性能，产品必须具备良好的体系架构保证性能，能够灵活的进行网络部署。同时为使得达到最佳防毒效果，防病毒网关设备和桌面防病毒软件应为不同的厂家产品，两类病毒防护产品共同组成XX县人民医院医院的立体病毒防护体系。为能达到最好的防护效果，病毒库的及时升级至最新版本至关重要。对于能够与互联网实现连接的网络，应对自动升级进行准确配置；对与不能与互联网进行连接的网络环境，需采取手动下载升级包的方式进行手动升级。通信网络安全设计网络结构安全网络结构的安全是网络安全的前提和基础，对于XX县人民医院，选用主要网络设备时需要考虑业务处理能力的高峰数据流量，要考虑冗余空间满足业务高峰期需要；网络各个部分的带宽要保证接入网络和核心网络满足业务高峰期需要；按照业务系统服务的重要次序定义带宽分配的优先级，在网络拥堵时优先保障重要主机；合理规划路由，业务终端与业务服务器之间建立安全路径；绘制与当前运行情况相符的网络拓扑结构图；根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的网段或VLAN。保存有重要业务系统及数据的重要网段不能直接与外部系统连接，需要和其他网段隔离，单独划分区域。网络安全审计网络安全审计系统主要用于监视并记录网络中的各类操作，侦察系统中存在的现有和潜在的威胁，实时地综合分析出网络中发生的安全事件，包括各种外部事件和内部事件。在XX县人民医院交换机处并接部署网络行为监控与审计系统，形成对全网网络数据的流量监测并进行相应安全审计，同时和其它网络安全设备共同为集中安全管理提供监控数据用于分析及检测。网络行为监控和审计系统将独立的网络传感器硬件组件连接到网络中的数据会聚点设备上，对网络中的数据包进行分析、匹配、统计，通过特定的协议算法，从而实现入侵检测、信息还原等网络审计功能，根据记录生成详细的审计报表。网络行为监控和审计系统采用旁路技术，不用在目标主机中安装任何组件。同时网络审计系统可以与其它网络安全设备进行联动，将各自的监控记录送往安全管理安全域中的安全管理服务器，集中对网络异常、攻击和病毒进行分析和检测。网络设备防护为提高网络设备的自身安全性，保障各种网络应用的正常运行，对网络设备需要进行一系列的加固措施，包括：对登录网络设备的用户进行身份鉴别，用户名必须唯一；对网络设备的管理员登录地址进行限制；身份鉴别信息具有不易被冒用的特点，口令设置需3种以上字符、长度不少于8位，并定期更换；具有登录失败处理功能，失败后采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；启用SSH等管理方式，加密管理数据，防止被网络窃听。对于鉴别手段，三级要求采用两种或两种以上组合的鉴别技术，因此需采用USBkey+密码进行身份鉴别，保证对网络设备进行管理维护的合法性。网络可信接入为保证网络边界的完整性，不仅需要进行非法外联行为，同时对非法接入进行监控与阻断，形成网络可信接入，共同维护边界完整性。通过部署终端安全管理系统可以实现这一目标。终端安全管理系统其中一个重要功能模块就是网络准入控制，启用网络阻断方式包括ARP干扰、802.1x协议联动等。监测内部网中发生的外来主机非法接入、篡改IP地址、盗用IP地址等不法行为，由监测控制台进行告警。运用用户信息和主机信息匹配方式实时发现接入主机的合法性，及时阻止IP地址的篡改和盗用行为。共同保证XX县人民院的边界完整性。具体如下：在线主机监测可以通过监听和主动探测等方式检测系统中所有在线的主机，并判别在线主机是否是经过系统授权认证的信任主机。主机授权认证可以通过在线主机是否安装客户端代理程序，并结合客户端代理报告的主机补丁安装情况，防病毒程序安装和工作情况等信息，进行网络的授权认证，只允许通过授权认证的主机使用网络资源。非法主机网络阻断对于探测到的非法主机，系统可以主动阻止其访问任何网络资源，从而保证非法主机不对网络产生影响，无法有意或无意的对网络攻击或者试图窃密。网络白名单策略管理可生成默认的合法主机列表，根据是否安装安全管理客户端或者是否执行安全策略，来过滤合法主机列表，快速实现合法主机列表的生成。同时允许管理员设置白名单例外列表，允许例外列表的主机不安装客户端但是仍然授予网络使用权限，并根据需要授予可以和其他授权认证过的主机通信的权限或者允许和任意主机通信的权限。IP和MAC绑定管理可以将终端的IP和MAC地址绑定，禁止用户修改自身的IP和MAC地址，并在用户试图更改IP和MAC地址时，产生相应的报警信息。安全管理中心设计由于XX县人民院覆盖面广，用户众多，人员医技水平不一。为了能准确了解系统的运行状态、设备的运行情况，统一部署安全策略，应进行安全管理中心的设计，根据要求，应在系统管理、审计管理和安全管理几个大方面进行建设。在安全管理安全域中建立安全管理中心，是有效帮助管理人员实施好安全措施的重要保障，是实现业务稳定运行、长治久安的基础。通过安全管理中心的建设，真正实现安全技术层面和管理层面的结合，全面提升用户网络的信息安全保障能力。系统管理通过系统管理员对系统的资源和运行进行配置、控制和管理，包括：用户身份管理：统一管理系统用户身份，按照业务上分工的不同，合理地把相关人员划分为不同的类别或者组，以及不同的角色对模块的访问权限。权限设置可按角色划分，角色分为普通用户、系统管理员、安全管理员、审计管理员等。系统资源配置与监控：进行系统资源配置管理与监控，包括CPU负载、磁盘使用情况、服务器内存、数据库的空间、数据库日志空间、SWAP使用情况等，通过配置采样时间，定时检测。系统加载和启动：进行系统启动初始化管理，保障系统的正常加载和启动。系统运行的异常监控：系统资源和设备受到攻击，或运行异常时，会以告警等信息方式，通知管理员。安全管理平台可提供多种自动处理机制，协助用户监控最新告警，全方位掌控网络异常和攻击。数据备份与恢复：数据的定期备份与恢复管理，识别需要定期备份的重要业务信息、系统数据及软件系统，规定备份信息的备份方式、备份频度、存储介质、保存期等；根据数据的重要性及其对系统运行的影响，制定数据的备份策略和恢复策略，定期执行备份与恢复策略。恶意代码防范管理：建立恶意代码管理中心，进行防恶意代码软件的统一管理，并根据情况建立三级管理中心。恶意代码管理中心实现：杀毒策略统一集中配置；自动并强制进行恶意代码库升级；定制统一客户端策略并强制执行；进行集中病毒报警等。系统补丁管理：集中进行补丁管理，定期统一进行系统补丁安装。注意应首先在测试环境中测试通过，并对重要文件进行备份后，方可实施系统补丁程序的安装。系统管理员身份认证与审计：对系统管理员进行严格的身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计。审计管理通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理，包括：根据安全审计策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行存储、管理和查询等；对安全审计员进行严格的身份鉴别，并只允许其通过特定的命令或界面进行安全审计操作。具体集中审计内容包括：日志监视实时监视接收到的事件的状况，如最近日志列表、系统风险状况等；监控事件状况的同时也可以监控设备运行参数，以配合确定设备及网络的状态；日志监视支持以图形化方式实时监控日志流量、系统风险等变