医院信息安全建设方案设计.doc

***医院 信息安全建设方案 ■ 文档编号 ■ 密级 ■ 版本编号 V1.0 ■ 日期 ? 2018  目录 一. 概述 2 1.1 项目背景 2 1.2 建设目标 3 1.3 建设内容 3 1.4 建设必要性 4 二. 安全建设思路 5 2.1 等级保护建设流程 5 2.2 参考标准 6 三. 安全现状分析 7 3.1 网络架构分析 7 3.2 系统定级情况 7 四. 安全需求分析 8 4.1 等级保护技术要求分析 8 4.1.1 物理层安全需求 8 4.1.2 网络层安全需求 9 4.1.3 系统层安全需求 10 4.1.4 应用层安全需求 10 4.1.5 数据层安全需求 11 4.2 等级保护管理要求分析 11 4.2.1 安全管理制度 11 4.2.2 安全管理机构 12 4.2.3 人员安全管理 12 4.2.4 系统建设管理 13 4.2.5 系统运维管理 13 五. 总体设计思路 14 5.1 设计目标 14 5.2 设计原则 15 5.2.1 合规性原则 15 5.2.2 先进性原则 15 5.2.3 可靠性原则 15 5.2.4 可扩展性原则 15 5.2.5 开放兼容性原则 16 5.2.6 最小授权原则 16 5.2.7 经济性原则 16 六. 整改建议 16 6.1 物理安全 16 6.2 网络安全 17 6.3 主机安全 19 6.3.1 业务系统主机 19 6.3.2 数据库主机 21 6.4 应用安全 22 6.4.1 HIS系统（三级） 22 6.4.2 LIS系统（三级） 24 6.4.3 PACS系统（三级） 26 6.4.4 EMR系统（三级） 27 6.4.5 集中平台（三级） 29 6.4.6 门户网站系统（二级） 31 6.5 数据安全与备份恢复 32 6.6 安全管理制度 33 6.7 安全管理机构 33 6.8 人员安全管理 34 6.9 系统建设管理 34 6.10 系统运维管理 35 七. 总体设计网络拓扑 38 7.1 设计拓扑图 38 7.2 推荐安全产品目录 39 八. 技术体系建设方案 41 8.1 外网安全建设 41 8.1.1 抗DDos攻击：ADS抗DDos系统 41 8.1.2 边界访问控制：下一代防火墙NF 43 8.1.3 网络入侵防范：网络入侵防御系统NIPS 46 8.1.4 上网行为管理：SAS 48 8.1.5 APT攻击防护：威胁分析系统TAC 50 8.1.6 Web应用防护：web应用防火墙 54 8.2 内外网隔离建设 58 8.2.1 解决方案 59 8.3 内网安全建设 61 8.3.1 边界防御：下一代防火墙NF 61 8.3.2 入侵防御 62 8.3.3 防病毒网关 63 8.3.4 APT攻击防护 67 8.4 运维管理建设 68 8.4.1 运维安全审计：堡垒机 68 8.4.2 流量审计：网络安全审计-SAS 70 8.4.3 漏洞扫描：安全评估系统RSAS 75 8.4.4 基线核查：配置核查系统BVS 77 8.4.5 威胁态势感知 80 8.4.6 终端安全 83 8.4.7 数据库审计及统方监管 86 8.4.8 终端准入 89 8.4.9 日志审计建设 97 8.5 安全服务 100 8.5.1 安全漏洞扫描服务 100 8.5.2 安全加固服务 105 8.5.3 渗透测试服务 113 8.5.4 应急演练服务 117 8.5.5 重要时期安全保障服务 124 8.5.6 安全巡检服务 132 8.5.7 网络架构分析服务 135 8.5.8 日志分析服务 142 8.5.9 应急响应服务 144 8.5.10 恶意代码排查服务 149 九. 管理体系建设方案 151 9.1 安全制度建设 151 9.1.1 总体方针、策略 152 9.1.2 制定和发布 154 9.1.3 评审和修订 154 9.2 安全管理机构 155 9.2.1 岗位设置 155 9.2.2 人员配备 156 9.2.3 授权和审批 156 9.2.4 沟通和合作 156 9.2.5 审核和检查 157 9.3 人员安全管理 157 9.4 系统建设管理 158 9.5 系统运维管理 158 9.5.1 环境管理 158 9.5.2 资产管理 158 9.5.3 介质管理 159 9.5.4 设备管理 159 9.5.5 监控管理和安全管理中心 160 9.5.6 网络安全管理 160 9.5.7 系统安全管理 160 9.5.8 恶意代码防范管理 161 9.5.9 密码管理 161 9.5.10 变更管理 161 9.5.11 备份与恢复管理 161 9.5.12 安全事件处置 162 9.5.13 应急预案管