信息安全等級保護制度-十堰太和醫(yī)院課件

1、醫(yī)療衛(wèi)生行業(yè)信息安全等級保護實施體系化方法東風總醫(yī)院馮淑凱醫(yī)療衛(wèi)生行業(yè)信息安全等級保護實施體系化方法東風總醫(yī)院馮淑主要內容 信息安全等級保護制度 信息安全等級保護的體系化實施主要內容 信息安全等級保護制度 信息安全等級保護的體信息安全等級保護制度 信息安全等級保護制度的提出 信息安全等級保護發(fā)展現(xiàn)狀 信息安全等級保護體系信息安全等級保護制度 信息安全等級保護制度的提出 信信息安全等級保護制度的提出 計算機病毒、黑客攻擊、軟硬件故障等信息安全問題給各類組織造成了極大的風險 信息安全問題不僅僅是組織自身的事情，也涉及到國家和社會安全 基礎信息網絡和關系國家安全、經濟命脈、社會穩(wěn)定等方面的重要信息系

2、統(tǒng)的安全尤為重要信息安全等級保護制度的提出 計算機病毒、黑客攻擊、軟硬件信息安全等級保護制度的提出 1994年，國務院發(fā)布了中華人民共和國計算機信息系統(tǒng)安全保護條例（147號令） 條例第九條明確規(guī)定“計算機信息系統(tǒng)實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定”。 1999年9月13日，計算機信息系統(tǒng)安全保護等級劃分準則（GB17859-1999）發(fā)布，是我國計算機信息系統(tǒng)安全保護等級工作的基礎2003年，國家信息化領導小組關于加強信息安全保障工作的意見（27號）明確指出“實行信息安全等級保護”信息安全等級保護制度的提出2003年，國家信息信息安全等級保

3、護制度的提出 2004年，公安部、保密局、密碼管理局、國信辦聯(lián)合印發(fā)了關于信息安全等級保護工作的實施意見（66號文件），明確了等級保護的原則、內容、要求以及部門分工和實施計劃 2007年，公安部、保密局、密碼管理局、國信辦聯(lián)合制定了信息安全等級保護管理辦法，標志著我國等級保護制度的初步形成信息安全等級保護制度的提出 2004年，公安部、保密局、信息安全等級保護制度 信息安全等級保護制度的提出 信息安全等級保護發(fā)展現(xiàn)狀 信息安全等級保護體系信息安全等級保護制度 信息安全等級保護制度的提出 信信息安全等級保護發(fā)展現(xiàn)狀 測評工作 公信安2010303號關于推動信息安全等級保護測評體系建設和開展等級測

4、評工作的通知，要求2010年底前完成測評體系建設，并完成30%第三級（含）以上信息系統(tǒng)的測評工作，2011年底前完成第三級（含）以上信息系統(tǒng)的測評工作，2012年底之前完成第三級（含）以上信息系統(tǒng)的安全建設整改工作。信息安全等級保護發(fā)展現(xiàn)狀 測評工作 公信安20103信息安全等級保護制度 信息安全等級保護制度的提出 信息安全等級保護發(fā)展現(xiàn)狀 信息安全等級保護體系信息安全等級保護制度 信息安全等級保護制度的提出 信信息安全等級保護標準體系 安全等級保護劃分準則 GB17859-1999 我國等級保護制度的基礎性標準，規(guī)定了計算機信息系統(tǒng)安全保護能力的五個級別第一級：用戶自主保護級第二級：系統(tǒng)審計

5、保護級第三級：安全標記保護級第四級：結構化保護級第五級：訪問驗證保護級 針對每個級別，詳細列出了等級劃分準則信息安全等級保護標準體系第一級：用戶自主保護級 信息安全等級保護標準體系 信息系統(tǒng)安全保護等級定級指南GB/T 22240-2008 用于指導信息系統(tǒng)的建設單位和運營、使用單位如何對確定的信息系統(tǒng)進行定級，為信息系統(tǒng)等級保護的實施提供基礎和依據 定級要素 受侵害的客體：a）公民、法人和其他組織的合法權益；b）社會秩序、公共利益；c）國家安全 對客體的侵害程度：a）造成一般損害；b）造成嚴重損害；c）造成特別嚴重損害。信息安全等級保護標準體系 信息系統(tǒng)安全保護等級定級指南信息安全等級保護標

6、準體系 信息系統(tǒng)安全保護等級定級指南GB/T 22240-2008對客體的侵害程度受侵害的客體公民、法人和其他組織的合法權益社會秩序、公共利益國家安全一般損害第一級第二級第三級嚴重損害第二級第三級第四級特別嚴重損害第二級第四級第五級信息安全等級保護標準體系受侵害的客體一般損害嚴重損害特別嚴業(yè)務信息安全和系統(tǒng)服務安全信息系統(tǒng)與之相關的受侵害客體和對客體的侵害程度可能不同，因此，信息系統(tǒng)定級也應由業(yè)務信息安全和系統(tǒng)服務安全兩方面確定。從業(yè)務信息安全角度反映的信息系統(tǒng)安全保護等級稱業(yè)務信息安全等級。從系統(tǒng)服務安全角度反映的信息系統(tǒng)安全保護等級稱系統(tǒng)服務安全等級。業(yè)務信息安全和系統(tǒng)服務安全信息系統(tǒng)與之

7、相關的受侵害客體和對客兩種安全的定義對客體的侵害外在表現(xiàn)為對定級對象的破壞，其危害方式表現(xiàn)為對信息安全的破壞和對信息系統(tǒng)服務的破壞，其中：信息安全是指確保信息系統(tǒng)內信息的保密性、完整性和可用性等；系統(tǒng)服務安全是指確保信息系統(tǒng)可以及時、有效地提供服務，以完成預定的業(yè)務目標；由于業(yè)務信息安全和系統(tǒng)服務安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同，在定級過程中，需要分別處理這兩種危害方式。信息安全和系統(tǒng)服務安全受到破壞后，可能產生以下危害后果：影響行使工作職能；導致業(yè)務能力下降；引起法律糾紛；導致財產損失；造成社會不良影響；對其他組織和個人造成損失；其他影響。兩種安全的定義對客體的侵害外

8、在表現(xiàn)為對定級對象的破壞，其危害定級流程定級流程信息安全等級保護標準體系 信息系統(tǒng)安全等級保護基本要求GB/T 22239-2008 針對每個等級的信息系統(tǒng)提出相應安全保護要求，這些要求的實現(xiàn)能夠保證系統(tǒng)達到相應等級的基本保護能力 用途 為信息系統(tǒng)的建設單位和運營、使用單位如何對確定等級的信息系統(tǒng)進行保護提供技術指導 為信息系統(tǒng)主管部門、信息系統(tǒng)運營、使用單位或專門的等級測評機構對信息系統(tǒng)安全保護等級的檢測評估提供依據 為監(jiān)管部門的監(jiān)督檢查提供依據信息安全等級保護標準體系 信息系統(tǒng)安全等級保護基本要求信息安全等級保護標準體系 信息系統(tǒng)安全等級保護基本要求GB/T 22239-2008 基本技術

9、類要求 與信息系統(tǒng)提供的技術安全機制有關，主要通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實現(xiàn) 基本管理類要求 與信息系統(tǒng)中各種角色參與的活動有關，主要通過控制各種角色的活動，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)信息安全等級保護標準體系 信息系統(tǒng)安全等級保護基本要求信息安全等級保護標準體系 信息系統(tǒng)安全等級保護基本要求GB/T 22239-2008 基本技術類要求的三種類型 保護數(shù)據在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權的修改的信息安全類要求（簡記為S）； 保護系統(tǒng)連續(xù)正常的運行，免受對系統(tǒng)的未授權修改、破壞而導致系統(tǒng)不可用的服務保證類要求（簡記為A） 通用安

10、全保護類要求（簡記為G）信息安全等級保護標準體系 信息系統(tǒng)安全等級保護基本要求信息安全等級保護標準體系 信息系統(tǒng)安全等級保護基本要求GB/T 22239-2008 不同等級的信息系統(tǒng)應具備的基本安全保護能力 第一級安全保護能力：應能夠防護系統(tǒng)免受來自個人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的關鍵資源損害，在系統(tǒng)遭到損害后，能夠恢復部分功能。 第二級安全保護能力：應能夠防護系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損

11、害后，能夠在一段時間內恢復部分功能。信息安全等級保護標準體系 信息系統(tǒng)安全等級保護基本要求信息安全等級保護標準體系 信息系統(tǒng)安全等級保護基本要求GB/T 22239-2008 不同等級的信息系統(tǒng)應具備的基本安全保護能力 第三級安全保護能力：應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自外部有組織的團體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴重的自然災難、以及其他相當危害程度的威脅所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快恢復絕大部分功能。 第四級安全保護能力：應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴重

12、的自然災難、以及其他相當危害程度的威脅所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠迅速恢復所有功能。信息安全等級保護標準體系 信息系統(tǒng)安全等級保護基本要求信息安全等級保護標準體系 其他已發(fā)布的重要信息安全等級保護國家標準 信息安全技術 信息系統(tǒng)安全管理要求GB/T 20269-2006 信息安全技術 信息系統(tǒng)安全通用技術要求GB/T 20271-2006 信息安全技術 信息系統(tǒng)安全工程管理要求GB/T 20282-2006信息安全等級保護標準體系 其他已發(fā)布的重要信息安全等級保主要內容 信息安全等級保護制度 信息安全等級保護的體系化實施主要內容 信息安全等級保護制度 信

13、息安全等級保護的體信息安全等級保護的體系化實施 體系化管理方法 信息安全等級保護工作的體系化需求 信息安全等級保護工作的體系化總體實施流程信息安全等級保護的體系化實施 體系化管理方法 信息安-從管理的定義說起體系化管理方法 什么是管理？-從管理的定義說起體系化管理方法administeradministrationadministratormanagemanagementmanager18世紀工業(yè)革命（1700S）體系化管理方法“管”中國古代春秋戰(zhàn)國康熙19年（1680）-從管理的定義說起“理”管理administermanage18世紀體系化管理方體系化管理方法-從管理的定義說起 管理的定義

14、 ISO9000:2000 質量管理體系 基礎和術語 管理management：指揮和控制組織的協(xié)調的活動 管理學 管理是指通過計劃、組織、領導、控制等環(huán)節(jié)來協(xié)調人力、物力、財力等資源，以期有效達成組織目標的過程。 管理是一種理論，也可以說是一種方法或工具，與具體業(yè)務相結合的時候，便形成不同領域、不同門類的管理科學，例如經濟管理、質量管理、信息安全管理等體系化管理方法-從管理的定義說起 管理的定義體系化管理方法-管理的體系化 質量管理領域率先提出體系化方法 質量管理的體系化方法衍生于軍品的質量保證要求 1979年，ISO成立了質量管理和質量保證技術委員會負責制定質量管理和質量保證標準，1987

15、年發(fā)布了ISO9000質量管理和質量保證標準選擇和使用指南、ISO9001質量體系 設計開發(fā)、生產、安裝和服務的質量保證模式以及ISO9002、ISO9003、ISO9004等標準 質量管理的體系化模式取得廣泛應用之后，體系化方法也逐漸在其他領域運用，例如環(huán)境管理領域、職業(yè)健康安全管理領域等，這種管理的體系化方法也逐漸發(fā)展為一個特殊的領域，即管理體系體系化管理方法-管理的體系化 質量管理領域率先提出體系化體系化管理方法-管理的體系化圖釋增值活動信息流體系化管理方法-管理的體系化圖釋增值活動體系化管理方法-管理的體系化要素 在管理體系方法中，應用了下列要素： 過程方法 PDCA模型 管理職責 資

16、源管理 持續(xù)改進等體系化管理方法-管理的體系化要素 在管理體系方法中，應用體系化管理方法-過程方法 過程 process 一組將輸入轉化為輸出的相互關聯(lián)或相互作用的活動 過程方法 process approach 系統(tǒng)地識別和管理組織所應用的過程，特別是這些過程之間的相互作用，稱為過程方法。體系化管理方法-過程方法 過程 process-過程方法記 錄體系化管理方法責任人輸入資 源測量、改進輸出-過程方法記 錄體系化管理方法測量、改進體系化管理方法-PDCA模型 PDCA模型：持續(xù)改進的優(yōu)秀方法A PC D體系化管理方法-PDCA模型 PDCA模型：持續(xù)改進的優(yōu)體系化管理方法-PDCA模型 P

17、DCA模型：持續(xù)改進的優(yōu)秀方法 又稱戴明環(huán)， PDCA循環(huán)是能使任何一項活動有效進行的工作程序：策劃實施檢查處置體系化管理方法-PDCA模型 PDCA模型：持續(xù)改進的優(yōu)體系化管理方法-PDCA模型 PDCA的特點一 按順序進行，它靠組織的力量來推動，像車輪一樣向前進，周而復始，不斷循環(huán)PDAC體系化管理方法-PDCA模型 PDCA的特點一PA體系化管理方法-PDCA模型 PDCA的特點二 組織中的每個部分，甚至個人，均可以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問題PDACA PC DA PC D體系化管理方法-PDCA模型 PDCA的特點二PAA 體系化管理方法-PDCA模型 PDCA的特點

18、三 每通過一次PDCA 循環(huán)，都要進行總結，提出新目標，再進行第二次PDCA 循環(huán)PAC DPAC D體系化管理方法-PDCA模型 PDCA的特點三PAC 體系化管理方法-管理職責 管理職責是指管理活動中，管理者應該具備的職責要求 有人認為這應該是一個很簡單的活動 質量管理中，當質量與進度產生沖突時，往往是質量讓進度！ 信息安全管理中，安全與方便性、安全與日常習慣發(fā)生矛盾時，安全管理如何保證？ 管理職責的重要性就在于此，作為管理者，在任何時刻都應毫無疑義的堅持管理的要求體系化管理方法-管理職責 管理職責是指管理活動中，管理者體系化管理方法-資源管理 在整個管理活動中，如何分配人員、能否保證資金

19、、如何配備物品，是影響實現(xiàn)管理目標的關鍵要素 人員無疑是資源管理中最難控制的部分 人員的評價：是否滿足崗位的要求 人員的培訓：確定需求、實施培訓、培訓效果評價 人員的持續(xù)發(fā)展：確保人員能夠一直滿足崗位要求體系化管理方法-資源管理 在整個管理活動中，如何分配人員體系化管理方法-持續(xù)改進 不斷對管理活動進行檢查，發(fā)現(xiàn)問題及時采取改進措施，從而實現(xiàn)持續(xù)的改進 檢查方式 內部審核 管理評審等 改進措施 糾正措施：為消除已發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施 預防措施：為消除潛在不符合或其他潛在不期望情況的原因所采取的措施體系化管理方法-持續(xù)改進 不斷對管理活動進行檢查，發(fā)現(xiàn)問信息安全等級保護

20、的體系化實施 體系化管理方法 信息安全等級保護工作的體系化需求 信息安全等級保護工作的體系化總體實施流程信息安全等級保護的體系化實施 體系化管理方法 信息安信息安全等級保護工作的體系化需求 信息安全等級保護工作的特點 過程多：包括定級備案、建設改建、等級測評、自查、檢查等諸多過程 內容繁雜：涉及到系統(tǒng)的物理安全、網絡安全、主機安全、系統(tǒng)安全、應用安全、數(shù)據安全以及安全管理制度、管理機構、人員管理、系統(tǒng)建設管理、系統(tǒng)運維管理等各個層面 涉及面廣：等級保護工作將覆蓋組織的多個部門，包括系統(tǒng)建設部門、運維部門、使用部門以及行政、人力、財務等部門 應該采用體系化方法來實施等級保護工作信息安全等級保護工

21、作的體系化需求 信息安全等級保護工作的信息安全等級保護工作的體系化需求 等級保護工作的出發(fā)點在于對信息系統(tǒng)進行定級和分級保護，圍繞著信息系統(tǒng)而實施一系列的保護活動 但一般情況下，信息系統(tǒng)運營、使用單位都會存在多個信息系統(tǒng)，這些信息系統(tǒng)可能處于不同級別 因此，更應該采用體系化方法來統(tǒng)一規(guī)劃整個單位的信息安全工作信息安全等級保護工作的體系化需求 等級保護工作的出發(fā)點在信息安全等級保護工作的體系化需求 信息安全等級保護工作的定級備案、建設改建、等級測評、自查、檢查等過程，體現(xiàn)了部分體系化要素，最明顯的就是采用了過程方法和PDCA的一些思想 定級備案、建設改建、等級測評等過程均基于過程的概念，通過使用

22、相關的資源以及管理活動，將輸入轉化為輸出，例如定級工作的輸入是系統(tǒng)的相關建設管理文檔，而輸出是系統(tǒng)級別 不同過程之間相互關聯(lián)，例如定級備案過程的輸出：系統(tǒng)級別，是后續(xù)建設改建、測評、檢查等過程的輸入 每個過程都包含不同的子過程，例如定級過程包括系統(tǒng)分析、等級確定兩個子過程信息安全等級保護工作的體系化需求 信息安全等級保護工作信息安全等級保護工作的體系化需求 從整體來看等級保護的工作，也體現(xiàn)出了PDCA模型的一些特點 建設和整改包含系統(tǒng)的規(guī)劃和設計，即P（規(guī)劃）階段的內容 規(guī)劃工作的具體實施，以及系統(tǒng)的運行屬于D（實施）階段的內容 測評、自查和檢查等活動都可作為C（檢查）階段的工作內容 對于發(fā)現(xiàn)

23、的問題，需要及時整改，即A（處置）階段的工作內容 此外，管理職責和資源管理也是非常重要的工作內容，貫穿于各項活動之中，是其他工作順利開展的基礎信息安全等級保護工作的體系化需求 從整體來看等級保護的工信息安全等級保護工作的體系化需求 因此，信息安全等級保護工作應該，也適合采用體系化方法來加以實施 構建等級保護的體系化實施模型 在原有等級保護工作的基礎上，使過程方法和PDCA模型更加完善和清晰化 補充其他體系化要素，形成完整的信息安全等級保護體系化實施方法信息安全等級保護工作的體系化需求 因此，信息安全等級保護信息安全等級保護的體系化實施 體系化管理方法 信息安全等級保護工作的體系化需求 信息安全

24、等級保護工作的體系化總體實施流程信息安全等級保護的體系化實施 體系化管理方法 信息安4、等級保護持續(xù)改進3、等保自查與測評1、實施指南建設思路2、等保二、三級系統(tǒng)建設4、等級保護持續(xù)改進1、實施指南建設思路局部調整實施指南-基本實施過程系統(tǒng)定級安全規(guī)劃設計重大變更安全實施/實現(xiàn)安全運行管理系統(tǒng)終止局部調整實施指南-基本實施過程安全運行管理定級建議定級建議“信息化發(fā)展的不同階段和不同的信息系統(tǒng)有著不同的安全需求，必須從實際出發(fā)，綜合平衡安全成本和風險，優(yōu)化信息安全資源的配置，確保重點。”“27號文”“等級保護不是要做成一個框框，而是要在有限資源的條件下，用適當?shù)某杀精@得適度的安全?！钡燃壉Ｗo的基

25、本含義“信息化發(fā)展的不同階段和不同的信息系統(tǒng)有著不同的安全需求，必醫(yī)療衛(wèi)生等保實施流程規(guī)劃 第一步：“評估定級，定義安全需求”。通過風險評估、系統(tǒng)定級、等級評估等服務組件識別系統(tǒng)的安全風險，確定系統(tǒng)的安全等級，并找出系統(tǒng)安全現(xiàn)狀與等級要求的差距，形成完整準確的按需防御的安全需求。 第二步：“體系建設，實現(xiàn)按需防御”。通過體系設計制定等級方案，進行安全策略體系、安全組織體系、安全技術體系和安全運維體系建設，滿足評估定級階段形成的安全需求，實現(xiàn)按需防御。 第三步：“安全運維，確保持續(xù)安全”。通過安全預警、安全監(jiān)控、安全加固、安全審計、應急響應等服務組件，從事前、事中、事后三個方面進行安全運行維護，

26、確保系統(tǒng)的持續(xù)安全，滿足持續(xù)性按需防御的安全需求。醫(yī)療衛(wèi)生等保實施流程規(guī)劃 第一步：“評估定級，定義安全需求體系涵蓋內容醫(yī)療衛(wèi)生行業(yè)等級保護體系方案詳細設計二級系統(tǒng)等級保護不同等級系統(tǒng)互聯(lián)互通三級系統(tǒng)等級保護體系涵蓋內容二級系統(tǒng)等級保護不同等級系統(tǒng)互聯(lián)互通三級系統(tǒng)等醫(yī)療衛(wèi)生行業(yè)等級保護解決方案技術措施管理措施不同等級互聯(lián)二級(以醫(yī)院系統(tǒng)為例)技術措施管理措施不同等級互聯(lián)三級(以公衛(wèi)系統(tǒng)為例)醫(yī)療衛(wèi)生行業(yè)等級保護解決方案技術措施技術措施體系設計(二級)結合安全方案詳細設計思路，在醫(yī)療衛(wèi)生行業(yè)，以醫(yī)療機構信息系統(tǒng)為例，二級等級保護體系我們采用的模型如圖所示54體系設計(二級)結合安全設計思路體系設

27、計(三級)結合安全方案詳細設計思路，在醫(yī)療衛(wèi)生行業(yè)，以公共衛(wèi)生信息系統(tǒng)為例，三級等級保護體系我們采用的模型如圖所示（其中灰色北京的是三級比二級增加的項目）：55體系設計(三級)結合安全方思路，在醫(yī)4321醫(yī)療衛(wèi)生行業(yè)等級保護實施落地實施規(guī)劃與設計技術設計管理設計實施與運行技術措施實現(xiàn)管理措施實現(xiàn)安全運行與維護持續(xù)改進安全檢查二級檢查三級檢查持續(xù)改進持續(xù)改進4321醫(yī)療衛(wèi)生行業(yè)等級保護實施規(guī)劃與設計實施與運行持4、等級保護持續(xù)改進3、等保自查與測評1、實施指南建設思路2、等保二、三級系統(tǒng)建設4、等級保護持續(xù)改進1、實施指南建設思路信息安全等級保護制度-十堰太和醫(yī)院課件信息安全等級保護制度-十堰太

28、和醫(yī)院課件信息安全等級保護制度-十堰太和醫(yī)院課件、，、，信息安全等級保護制度-十堰太和醫(yī)院課件信息安全等級保護制度-十堰太和醫(yī)院課件信息安全等級保護制度-十堰太和醫(yī)院課件信息安全等級保護制度-十堰太和醫(yī)院課件信息安全等級保護制度-十堰太和醫(yī)院課件信息安全等級保護制度-十堰太和醫(yī)院課件安全運行與維護醫(yī)療衛(wèi)生行業(yè)提出的等級保護體系化建設流程中，在進行安全保障體系設計以及安全建設之后將會按照PDCA模型進入到周期性的安全運維階段，來保證和鞏固等級保護建設的成果。根據建立的信息安全管理運維體系對信息安全系統(tǒng)進行實時的維護管理，針對醫(yī)療衛(wèi)生行業(yè)信息系統(tǒng)安全軟、硬件實施全面的安全運維。具有條件的單位可以采

29、用自行運維的方式，如在運維階段面臨技術水平、人員規(guī)模、運維經驗的限制，可以采用安全運維服務外包的形式，針對于整個系統(tǒng)相關范圍的不同安全等級及實際應用，所需要的安全運維服務模塊如下：安全掃描 人工檢查安全加固 日志分析補丁管理 安全監(jiān)控安全動態(tài) 應急響應安全運行與維護醫(yī)療衛(wèi)生行業(yè)提出的等級保護體系化建設流程中4、等級保護持續(xù)改進3、等保自查與測評1、實施指南建設思路2、等保二、三級系統(tǒng)建設4、等級保護持續(xù)改進1、實施指南建設思路 等級保護測評檢查表 十堰衛(wèi)生行業(yè)信息安全檢查用表 等級保護測評檢查表 十堰衛(wèi)生行業(yè)信息安全檢查用表7171 等級保護測評檢查表 十堰市衛(wèi)生行業(yè)信息安全檢查用表 等級保護

30、測評檢查表 十堰市衛(wèi)生行業(yè)信息安全檢查用表1、訪問控制1.具有以下哪些控制人員進出機房的措施：系統(tǒng)部署電子門禁機房 出入口專人職守、控制鑒別并記錄出入機房人員1.具有以下哪些控制外部人員訪問機房的措施：外 來人員訪問機房經過申請和審批由內 部人員監(jiān)控外來人員在機房內的活動由內 部人員限制外來人員在機房內的活動范圍2、防盜和防破壞1.主要設備是否放置在機房 內：是否設備或主要部件是否進行了固定和標記 ：是否1.機房是否安裝了防盜報警系統(tǒng)和監(jiān)控報警系統(tǒng)：是否否報警設備是否與視頻監(jiān)控系統(tǒng)及出入口控制設備聯(lián)動 ：是3、防火1.是否制定消防管理制 度：是否2.是否制定消防預案：是否3.是否對機房管理、維

31、護人員進行消防專項培訓 ：是，培訓機構：_ 否4.機房是否部署火情自動檢測、報警、滅火系統(tǒng)：是否具體設備：性惰氣體自動滅火設備式便攜滅火設備其 他_檢查表物理安全1.具有以下哪些控制人員進出機房的措施：系統(tǒng)部署電子門禁機1.機房是否有以下防水防潮措施：密窗戶封、屋頂墻壁防水涂層 檢測漏水 及報警系統(tǒng)，系統(tǒng)名稱：機房 專用空調，空調品牌及名稱：其 他：主機房除濕裝置，濕裝置名稱：機房 溫濕度控制系統(tǒng)，品牌及名稱：5、防靜電、防雷1.機房主要設備是否采用以下防靜電措施：地防靜電接防靜電地板 其 他1.機房是否有交流電源接地:否是， 接地方式：_6、電力供應1.是否對計算機系統(tǒng)供電系統(tǒng)進行定期檢查和

32、維護：是否檢查維護的設備是否涵蓋以下設備：穩(wěn)壓器 過電壓防護設備 短期 備用電源設備 力電電纜線路 備 用供電系統(tǒng) 其 他_1.短期備用電源設備最長供電時間為：_備用供電系統(tǒng)（如備用發(fā)電機）是否能夠在規(guī)定時間內正常啟動和正常供電：是否規(guī)定時間為：4、防水和防潮1.機房是否有以下防水防潮措施：密窗戶封、屋頂墻壁防水涂層 一、網絡拓撲結構安全分析表1-1 拓撲了解分析 詢問其是否繪制與當前運行情況相符的網絡拓撲結構圖。 詢問其是否與互聯(lián)網聯(lián)通。 檢查其是否根據業(yè)務應用合理設計網絡結構。表1-2 設備性能分析接入網絡和核心網絡設備性能及帶寬是否滿足業(yè)務需要；且是否有冗余設備。表1-3 網段劃分及安全

33、隔離各部門終端設備是否按照部門和業(yè)務重要性劃分網段并用Vlan隔離；重要服務器區(qū)域是否與接入區(qū)域采用可靠隔離表1-4 日志及審計是否定期對日志進行統(tǒng)一審計分析，并對日志進行適當保護避免受到未預期的修改。檢查表網絡安全一、網絡拓撲結構安全分析 詢問其是否繪制與當前運行情況相符一、網絡拓撲結構安全分析表1-5 入侵防范 對重要核心服務器是否有入侵防范措施。 若部署入侵防范措施，問詢其部署位置、品牌型號、升級方式、事件定義及日志審計方式。 若沒有，是否對其進行加固和定期打補丁；是否有惡意代碼防范措施。表1-6 防病毒系統(tǒng) 系統(tǒng)內部是否部署網絡版防病毒軟件，或者部署防毒墻。 若部署殺毒軟件，記錄其軟件

34、品牌，部署范圍，及升級方式。 詢問病毒庫是否及時升級。 檢查殺毒日志。表1-7 網站服務器系統(tǒng)內是否部署Web服務器；若有，是否有動態(tài)頁面；是否部署網頁防篡改系統(tǒng)；網站是否托管；一、網絡拓撲結構安全分析表1-5 入侵防范 對重要核心服務 路由器CDP服務關閉檢查禁止Finger服務明文密碼是否加密設置特權密碼路由協(xié)議采用加密認證關閉代理ARP功能。（開啟容易造成泄密及網絡不穩(wěn)定）設置Vty超時參數(shù)（默認10分鐘，應小于5分鐘）關閉HTTP服務若多用戶應采用分權管理表2-5 交換機安全配置 路由器CDP服務關閉檢查禁止Finger服務 Router(config)# no service finger明文密碼是否加密設置特權密碼設置Vty超時參數(shù)（默認10分鐘，應小于5分鐘）關閉HTTP服務 若多用戶采用分權管理手動關閉不使用的端口二、網絡設備配置信息查看表2-1 限制管理員登陸地址是否對管理員登陸地址進行限制表2-2 口令策略設置口令是否有相應制度約束，并定期更換。一般8位以上，包括數(shù)字、字符、大小寫字母等。表2-3 遠程登錄管理內網遠程管理是否采用SSH或HTTPS。不使用Telnet、Http。表2-4路由器安全配置 路由器CDP服務關閉檢