某縣醫(yī)院信息安全解決方案

某縣醫(yī)院信息安全解決方案縣級人民醫(yī)院信息安全解決方案信息安全等級保護(hù)（二級）相關(guān)內(nèi)容參看衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》的通知，我方醫(yī)院應(yīng)該達(dá)到二級等保要求。《信息系統(tǒng)安全等級保護(hù)基本要求》網(wǎng)絡(luò)安全二級等保要求：1、網(wǎng)絡(luò)安全主要關(guān)注的方面包括：網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全等，具體的控制點(diǎn)包括：結(jié)構(gòu)安全、訪問控制、安全審計(jì)、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等七個控制點(diǎn)。2、不同等級的基本要求在網(wǎng)絡(luò)安全方面所體現(xiàn)的不同如3.1節(jié)和3.2節(jié)所描述的一樣，在三個方面都有所體現(xiàn)。3、一級網(wǎng)絡(luò)安全要求：主要提供網(wǎng)絡(luò)安全運(yùn)行的基本保障，包括網(wǎng)絡(luò)結(jié)構(gòu)能夠基本滿足業(yè)務(wù)運(yùn)行需要，網(wǎng)絡(luò)邊界處對進(jìn)出的數(shù)據(jù)包頭進(jìn)行基本過濾等訪問控制措施。4、二級網(wǎng)絡(luò)安全要求：不僅要滿足網(wǎng)絡(luò)安全運(yùn)行的基本保障，同時還要考慮網(wǎng)絡(luò)處理能力要滿足業(yè)務(wù)極限時的需要。對網(wǎng)絡(luò)邊界的訪問控制粒度進(jìn)一步增強(qiáng)。同時，加強(qiáng)了網(wǎng)絡(luò)邊界的防護(hù)，增加了安全審計(jì)、邊界完整性檢查、入侵防范等控制點(diǎn)。對網(wǎng)絡(luò)設(shè)備的防護(hù)不僅局限于簡單的身份鑒別，同時對標(biāo)識和鑒別信息都有了相應(yīng)的要求。5、《信息系統(tǒng)安全等級保護(hù)基本要求》網(wǎng)絡(luò)安全二級等保要求：主機(jī)系統(tǒng)安全是包括服務(wù)器、終端/工作站等在內(nèi)的計(jì)算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全。終端/工作站是帶外設(shè)的臺式機(jī)與筆記本計(jì)算機(jī)，服務(wù)器則包括應(yīng)用程序、網(wǎng)絡(luò)、web、文件與通信等服務(wù)器。主機(jī)系統(tǒng)是構(gòu)成信息系統(tǒng)的主要部分，其上承載著各種應(yīng)用。因此，主機(jī)系統(tǒng)安全是保護(hù)信息系統(tǒng)安全的中堅(jiān)力量。6、主機(jī)系統(tǒng)安全涉及的控制點(diǎn)包括：身份鑒別、安全標(biāo)記、訪問控制、可信路徑、安全審計(jì)、剩余信息保護(hù)、入侵防范、惡意代碼防范和資源控制等九個控制點(diǎn)。7、二級主機(jī)系統(tǒng)安全要求：在控制點(diǎn)上增加了安全審計(jì)和資源控制等。同時，對身份鑒別和訪問控制都進(jìn)一步加強(qiáng)，鑒別的標(biāo)識、信息等都提出了具體的要求；訪問控制的粒度進(jìn)行了細(xì)化等，惡意代碼增加了統(tǒng)一管理等。信息化安全層級縣級人民醫(yī)院信息化現(xiàn)狀分析l醫(yī)院信息化基礎(chǔ)網(wǎng)絡(luò)部分建設(shè)基本到位，醫(yī)院內(nèi)部網(wǎng)絡(luò)通訊暢通。l網(wǎng)絡(luò)信息化建設(shè)分為內(nèi)網(wǎng)、外網(wǎng)，內(nèi)外網(wǎng)的PC設(shè)備全部獨(dú)立運(yùn)行。l根據(jù)等級保護(hù)二級建設(shè)要求，網(wǎng)絡(luò)安全部分還需要部署防火墻、入侵防御系統(tǒng)。l根據(jù)等級保護(hù)二級建設(shè)要求，數(shù)據(jù)安全部分還需要部署數(shù)據(jù)庫審計(jì)系統(tǒng)。l根據(jù)等級保護(hù)二級建設(shè)要求，主機(jī)安全部分建議部署終端接入控制系統(tǒng)。醫(yī)院信息化等級保護(hù)設(shè)計(jì)醫(yī)院信息安全建設(shè)解決方案某縣級人民醫(yī)院網(wǎng)絡(luò)拓?fù)鋱D（現(xiàn)狀）某縣級人民醫(yī)院網(wǎng)絡(luò)拓?fù)鋱D縣級人民醫(yī)院網(wǎng)絡(luò)拓?fù)鋱D——內(nèi)網(wǎng)數(shù)據(jù)安全防護(hù)縣級人民醫(yī)院網(wǎng)絡(luò)拓?fù)鋱D——內(nèi)網(wǎng)數(shù)據(jù)安全防護(hù)縣級人民醫(yī)院網(wǎng)絡(luò)拓?fù)鋱D——內(nèi)、外網(wǎng)數(shù)據(jù)安全防護(hù)n醫(yī)院內(nèi)、外網(wǎng)數(shù)據(jù)安全防護(hù)的基礎(chǔ)防護(hù)設(shè)備部署：在外網(wǎng)出口部署我公司的SRG1000-CA設(shè)備、醫(yī)院內(nèi)部服務(wù)器防護(hù)部署我司的千兆防火墻FW1000-GC、千兆入侵防御IPS2000-ME設(shè)備。n醫(yī)院內(nèi)網(wǎng)防火墻設(shè)備用來進(jìn)行區(qū)域隔離和策略控制，內(nèi)外和外網(wǎng)的隔離、內(nèi)網(wǎng)和外網(wǎng)的策略控制，內(nèi)網(wǎng)根據(jù)業(yè)務(wù)的隔離、內(nèi)網(wǎng)跟進(jìn)業(yè)務(wù)的策略控制等等。n網(wǎng)絡(luò)通過部署入侵防御系統(tǒng)防止內(nèi)部數(shù)據(jù)被竊取、攻擊損毀等，通過近幾年的所有攻擊時間我們發(fā)現(xiàn)90%的攻擊是通過應(yīng)用層的攻擊，通過軟件的漏洞進(jìn)行攻擊，所以我們必須通過部署入侵防御系統(tǒng)做到一個攻擊的事前防護(hù)。n醫(yī)院外部網(wǎng)絡(luò)部署一臺安全路由網(wǎng)關(guān)設(shè)備SRG1000-CA設(shè)備，有效的防護(hù)外網(wǎng)出口，同時通過SSLVPN技術(shù)加強(qiáng)遠(yuǎn)程數(shù)據(jù)接入安全?？h級人民醫(yī)院網(wǎng)絡(luò)拓?fù)鋱D——HIS數(shù)據(jù)庫審計(jì)某縣級人民醫(yī)院網(wǎng)絡(luò)拓?fù)鋱D——HIS數(shù)據(jù)庫審計(jì)?支持訪問數(shù)據(jù)庫的源主機(jī)名、源主機(jī)用戶的審計(jì)，以滿足追蹤溯源的要求?支持Select操作返回行數(shù)、數(shù)據(jù)庫操作成功、失敗的審計(jì)?支持?jǐn)?shù)據(jù)庫對象的SQL操作審計(jì)。?支持Telnet協(xié)議的審計(jì)，能夠?qū)徲?jì)用戶名、操作命令、命令響應(yīng)時間、返回碼等；?支持對FTP協(xié)議的審計(jì)，能夠?qū)徲?jì)用戶名、命令、文件、命令響應(yīng)時間、返回碼等?支持審計(jì)Radius協(xié)議的認(rèn)證用戶MAC、認(rèn)證用戶名、認(rèn)證IP、NAS服務(wù)器IP?支持IP-MAC綁定變化情況的審計(jì)?支持?jǐn)?shù)據(jù)庫類型有：SQL/DB2/MYSQL/ORACEL/SYBASE/INFORMIX縣級人民醫(yī)院網(wǎng)絡(luò)拓?fù)鋱D——終端用戶管理某縣級人民醫(yī)院網(wǎng)絡(luò)拓?fù)鋱D——終端用戶管理TAC解決方案的實(shí)現(xiàn)思路，是通過將網(wǎng)絡(luò)接入控制和用戶終端安全策略控制相結(jié)合，以用戶終端對企