FST科医疗行业信息系统解决方案V.doc

编号： 内部资料，注意必威体育官网网址 医疗行业内网安全管理 解决方案 北京峰盛博远科技有限公司（C）2012 2012.1.13 目录 第1章 方案背景 1 第2章 需求分析 2 2.1 确保使用计算机的人身份真实 2 2.2 防止医患数据泄露护 3 2.3 计算机使用者行为需要规范管理 3 2.4 杜绝外来终端非法接入 3 2.5 防止内部终端非法外联 4 2.6 防“统方”需求 4 2.7 加强IP资产管理需求 4 第3章 典型案例分析 5 3.1 北京市某医院ARP病毒防护案例 5 3.2 湖南省某医院内网终端统一管理案例 5 3.3 邵阳市某医院防“统方”建设案例 6 第4章 解决方案 7 4.1 强制身份认证 7 4.2 外部设备控制 8 4.3 上网行为管理 8 4.4 防止非法接入 9 4.5 防止非法外联 9 4.6 防“统方”方案 10 4.7 IP和MAC地址管理 11 第五5章 实现效果 12 5.1 安全事件可追溯 12 5.2 杜绝一机两用 12 5.3 保障计算机使用行为规范 12 5.4 防“统方” 可追溯 12 5.5 防ARP病毒或攻击 13 5.6 资产统一管理 13 第6章 典型部署 14 第7章 典型案例 16 第1章 方案背景 随着信息技术的发展与医疗卫生事业的深化改革，国家金卫工程的实施使医院管理信息化的进程大大加快，医院的信息化建设取得了很大进展。医疗企业面对激烈竞争的市场，需要为病患者提供更人性化、更合理的服务，医疗资源的共享和信息流程的简化，医疗部门办公网络化、自动化，实现全面信息共享已是大势所趋，越来越多的医院认识到，只有通过信息化建设，逐步建立信息化医院和医疗企业，才能支持医院的可持续发展，从而大力提高医院综合效益和运行效率。 由于医院工作的特殊性，必须保证医院网络365天×24小时安全可靠运行。医院信息系统的安全性直接关系到医院工作的正常运行，如果系统的安全性被破坏，造成重要信息的丢失，势必产生巨大的损失。 第2章 需求分析 2009年11月16日，南京“医生玩游戏致婴儿死亡”事件双方达成赔偿协议，医院将赔偿51万。而当事医生经第三方调查后确认存在值班期间玩游戏的事实，并存在失职。南京卫生局决定吊销其医生执照，并给予行政开除的处理。此外，包括南京儿童医院院长、党委书记在内的11位医院人员也受到严厉处分。 2009年12月18日，唐某在中南大学湘雅医院总ICU治病，唐某儿子探病时发现唐某的呼吸机已停止多时，而负责医生正忙于看当时的热片《功夫熊猫》，随后唐某陷入深度昏迷，并最后死亡。 2008-2010年1月杭州某医院计算机网络中心副主任金某与职员林某，向药品销售商李某等人出售“统方”信息，共获得13万元。业务都是通过来实现，比如等，这些为提供了方便，提高了办公效率。网上肆虐的病毒、木马、蠕虫等危险对应用系统造成威胁，内部机密账号存在被黑客窃取造成信息泄漏的风险原有简单的认证手段成为内网信息安全的短板，因此各单位需进一步加固原有的身份认证体系的内部网络外部网络实施物理隔离物理隔离确保了之间不存在任何可能的物理链路，切断了信息外泄的通道。但由于管理制度的不健全或缺乏有效的终端监控技术，内部网络中个别用户利用电话拨号、，外连互联网进行操作，物理隔离环境被破坏。第3章 典型案例分析 3.1 北京市某医院ARP病毒防护案例 以北京市某医院为例，该医院为二级甲等中医医院、全国百家示范中医医院，北京市基本医疗保险定点医院。医院业务系统已基本实现信息化，但安全建设处于滞后状态，于2011年4月16日晚因ARP病毒爆发导致系统瘫痪。 通过部署科盾内网安全管理产品，该院提高了整体安全水平。为避免类似问题再次发生，提高医院内网安全性，为通过等保测评打下坚实基础，并遵循卫生部要求对服务器进行加固防止“统方”发生，于后期做了如下安全加固： 服务器保护：通过服务器保护功能解决医院内部人员通过系统数据库模糊查询形成“统方”。能够对内网中终端访问服务器的行为进行细粒度管控，禁止非授权终端访问服务器。对用户访问数据库行为进行详细审计。 桌面安全：对终端进行全面加固（如进程、服务、用户权限、共享等），保证终端干净的工作桌面环境。 准入控制：对内网终端实行终端准入控制，防止外来计算机随意接入网络，保护数据安全。 存储介质管理：对内网的USB移动存储设备进行统一管理，进行统一注册和授权使用。 终端补丁管理：对内网终端进行补丁统一管理，及时更新。 3.2 湖南省某医院内网终端统一管理案例 以湖南省某医院为例，该院创建于1947年，至今已有50余年的历史，是我国建院时间最早的省级妇幼保健机构之一为国家级“三甲妇幼保健院”、“爱婴医院”