某县医院信息安全解决方案.docxVIP

某县医院信息安全解决方案 县级人民医院信息安全解决方案 信息安全等级保护（二级）相关内容 参看卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知，我方医院应该达到二级等保要求。 《信息系统安全等级保护基本要求》网络安全二级等保要求： 1、 网络安全主要关注的方面包括：网络结构、网络边界以及网络设备自身安全等，具体的控制点包括：结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等七个控制点。 2、 不同等级的基本要求在网络安全方面所体现的不同如3.1节和3.2节所描述的一样，在三个方面都有所体现。 3、 一级网络安全要求：主要提供网络安全运行的基本保障，包括网络结构能够基本满足业务运行需要，网络边界处对进出的数据包头进行基本过滤等访问控制措施。 4、 二 级网络安全要求：不仅要满足网络安全运行的基本保障，同时还要考虑网络处理能力要满足业务极限时的需要。对网络边界的访问控制粒度进一步增强。同时，加强 了网络边界的防护，增加了安全审计、边界完整性检查、入侵防范等控制点。对网络设备的防护不仅局限于简单的身份鉴别，同时对标识和鉴别信息都有了相应的要 求。 5、 《信息系统安全等级保护基本要求》网络安全二级等保要求： 主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机，服务器则包括应用程序、网络、web、文件与通信等服务器。主机系统是构成信息系统的主要部分，其上承载着各种应用。因此，主机系统安全是保护信息系统安全的中坚力量。 6、 主机系统安全涉及的控制点包括：身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等九个控制点。 7、 二级主机系统安全要求：在控制点上增加了安全审计和资源控制等。同时，对身份鉴别和访问控制都进一步加强，鉴别的标识、信息等都提出了具体的要求；访问控制的粒度进行了细化等，恶意代码增加了统一管理等。 信息化安全层级 县级人民医院信息化现状分析 l 医院信息化基础网络部分建设基本到位，医院内部网络通讯畅通。 l 网络信息化建设分为内网、外网，内外网的PC设备全部独立运行。 l 根据等级保护二级建设要求，网络安全部分还需要部署防火墙、入侵防御系统。 l 根据等级保护二级建设要求，数据安全部分还需要部署数据库审计系统。 l 根据等级保护二级建设要求，主机安全部分建议部署终端接入控制系统。 医院信息化等级保护设计 医院信息安全建设解决方案 某县级人民医院网络拓扑图（现状） 某县级人民医院网络拓扑图 县级人民医院网络拓扑图 ——内网数据安全防护 县级人民医院网络拓扑图 —— 内网数据安全防护 县级人民医院网络拓扑图 —— 内、外网数据安全防护 n 医院内、外网数据安全防护的基础防护设备部署：在外网出口部署我公司的SRG1000-CA设备、医院内部服务器防护部署我司的千兆防火墙FW1000-GC、千兆入侵防御IPS2000-ME设备。 n 医院内网防火墙设备用来进行区域隔离和策略控制，内外和外网的隔离、内网和外网的策略控制，内网根据业务的隔离、内网跟进业务的策略控制等等。 n 网络通过部署入侵防御系统防止内部数据被窃取、攻击损毁等，通过近几年的所有攻击时间我们发现90%的攻击是通过应用层的攻击，通过软件的漏洞进行攻击，所以我们必须通过部署入侵防御系统做到一个攻击的事前防护。 n 医院外部网络部署一台安全路由网关设备SRG1000-CA设备，有效的防护外网出口，同时通过SSL VPN技术加强远程数据接入安全。 县级人民医院网络拓扑图 —— HIS数据库审计 某县级人民医院网络拓扑图 —— HIS数据库审计 ? 支持访问数据库的源主机名、源主机用户的审计，以满足追踪溯源的要求 ? 支持Select操作返回行数、数据库操作成功、失败的审计 ? 支持数据库对象的SQL操作审计。 ? 支持Telnet协议的审计，能够审计用户名、操作命令、命令响应时间、返回码等； ? 支持对FTP协议的审计，能够审计用户名、命令、文件、命令响应时间、返回码等 ? 支持审计Radius协议的认证用户MAC、认证用户名、认证IP、NAS服务器IP ? 支持IP-MAC绑定变化情况的审计 ? 支持数据库类型有： SQL/DB2/MYSQL/ORACEL/SYBASE/INFORMIX 县级人民医院网络拓扑图 —— 终端用户管理 某县级人民医院网络拓扑图 —— 终端用户管理 TAC解 决方案的实现思路，是通过将网络接入控制和用户终端安全策略控制相结合，以用户终端对企业安全策略的符合度为条件，控制用户访问网络的接入权限，从而降低 病毒、非法访问等安全威胁对企业网络带来的危害。为达到以上目的，迪普科