医院网络安全等级保护建设方案.docxVIP

PAGE

***医院

网络安全等级保护解决方案

2020年03月

PAGE3

目录

TOC\o1-2\h\z\u一、 项目概述 2

1.1、 项目背景 2

1.2、 建设依据 4

1.3、 建设目标 5

二、 现状分析 6

2.1、 现状描述 6

2.2、 问题分析 9

2.3、 新形势下的安全挑战 10

三、 需求分析 12

3.1、 安全物理环境需求 12

3.2、 安全计算环境需求 13

3.3、 安全通信网络需求 13

3.4、 安全区域边界需求 13

3.5、 安全管理中心需求 13

3.6、 安全管理体系需求 14

四、 建设目标 14

五、 建设方案 15

5.1、 构建以全局安全可视为核心的安全治理能力 15

5.2、 详细方案设计安全技术体系 16

5.3、 详细方案设计安全管理体系 23

六、 方案价值 37

七、 项目清单 40

项目概述

项目背景

2016年4月19日，总书记在北京主持召开网络安全和信息化工作座谈会并发表重要讲话，并明确指出：“网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进。”

2017年6月1日，我国的网络安全法正式实施。《网络安全法》第二十一条规定，网络运营者的网络安全等级保护义务：网络运营者有义务制定内部安全管理制度和操作规程、确定网络安全负责人；并应当采取防范病毒、攻击、入侵等危害网络安全行为的技术措施；网络运营者的日志留存时间必须不少于6个月；并有义务采取数据分类、重要数据备份和加密等措施。《网络安全法》规定对于网络运营者拒不履行安全的责任，明确处罚措施，包括暂停业务活动、严重的违法行为将导致停业整顿或吊销执照、处罚金额最高可至100万元、对于直接负责人进行罚款等。构成犯罪的会依法追究刑事责任。

医院是一个信息和技术密集型的行业，其计算机网络是一个完善的办公网络系统，作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。结合医院复杂的HIS、RIS、PACS等应用系统，要求网络必须能够满足数据、语音、图像等综合业务的传输要求，所以在这样的网络上应运用多种高性能设备和先进技术来保证系统的正常运作和稳定的效率。同时医院的网络系统连接着Internet、医保网和卫生局等，访问人员比较复杂，所以如何保证医院网络系统中的数据安全问题尤为重要。

在医院行业的信息化建设过程中，信息安全的建设虽然只是一个很小的部分，但其重要性不容忽视。便捷、开放的网络环境，是医院信息化建设的基础，在数据传递和共享的过程当中，数据的安全性要切实地得到保障，才能保障医院信息化业务的正常运行。然而，我们的数据却面临着越来越多的安全风险，时刻对业务的正常运行带来威胁。

为此，2011年12月，卫生部发布《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》,要求卫生行业“全面开展信息安全等级保护工作”，《中华人民共和国网络安全法》（以下简称《网络安全法》）自2017年6月1日开始施行。其中，《网络安全法》第21条明确规定了“国家实行网络安全等级保护制度”。《网络安全法》是从国家层面对等级保护工作的法律认可，简单点就是单位不做等级保护工作就是违法。医院信息系统的安全性直接关系到医院医疗工作的正常运行，一旦网络瘫痪或数据丢失，将会给医院和病人带来巨大的灾难和难以弥补的损失。同时，医院信息系统涉及大量医院经营和患者医疗等私密信息，信息的泄露和传播将会给医院、社会和患者带来安全风险。

所以在***医院的信息化建设过程中，我们应当正视可能面临的各种安全风险，对网络威胁给予充分的重视。为了***医院信息网络的安全稳定运行，确保信息系统安全，根据***医院目前的计算机信息网网络特点及安全需求，本着切合实际、保护投资、着眼未来的原则，提出本技术方案。

建设依据

国家相关政策文件

1)《中华人民共和国网络安全法》

2)《中华人民共和国计算机信息系统安全保护条例》（国务院令147号）

3)《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）

4)《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）

5)《信息安全等级保护管理办法》（公通字[2007]43号）

6)《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）

7)《信息安全等级保护备案实施细则》（公信安[2007]1360号）

8)《公安机关信息安全等级保护检查工作规范》（公信安[2008]736号）

9)《关于加强国家电子政务工程建设项目信息安全风险评