365文库
首页
文档
格式转换
充值
文学
登录
注册
2

医院信息系统三级等保建设思路.docx

236阅读 | 8收藏 | 7页 | 打印 | 举报 | 认领 | 下载提示 | 分享:
2
医院信息系统三级等保建设思路.docx第1页
医院信息系统三级等保建设思路.docx第2页
医院信息系统三级等保建设思路.docx第3页
医院信息系统三级等保建设思路.docx第4页
医院信息系统三级等保建设思路.docx第5页
医院信息系统三级等保建设思路.docx第6页
医院信息系统三级等保建设思路.docx第7页
福利来袭,限时免费在线编辑
转Pdf
right
1/7
right
下载我编辑的
下载原始文档
收藏 收藏
热门文档
缴销证书回执材料
缴销证书回执材料
142阅读 | 4收藏 英语专业必考证书
英语专业必考证书
161阅读 | 8收藏 教研荣誉证书
教研荣誉证书
66阅读 | 2收藏 职业规划书
职业规划书
150阅读 | 5收藏 机关党支部党建工作总结
机关党支部党建工作总结
270阅读 | 9收藏
搜索
下载二维码
App功能展示
海量免费资源 海量免费资源
文档在线修改 文档在线修改
图片转文字 图片转文字
限时免广告 限时免广告
多端同步存储 多端同步存储
格式轻松转换 格式轻松转换
用户头像
茶香过半余音绕梁 上传于:2024-07-02
文档简介
医院信息系统三级等保建设思路 摘要:以国内某三甲医院信息安全现状为切入点,结合国内严峻的信息安全局势,全面分析该医院在主机、网络、应用、数据完整性和保密性方面存在的信息安全隐患,并针对上述问题建立安全体系。方法:以构建“一个中心下的三重防护体系”在技术层面建立信息系统的信息安全架构。结果:依照该架构建立的安全体系确保了医院信息系统中重要信息的安全性。结论:从而按照卫生部所要求三级甲等医院的核心业务信息系统安全等级不低于三级的要求,符合《信息系统安全等级保护基本要求》中三级在主机、网络、应用、数据完整性和保密性方面的要求。 关键词:医院信息系统;三级等保;信息安全 1 引言 随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,网络正深刻影响并改变着人类的生活和工作方式。越来越多的医院建立了依赖于网络的业务信息系统,比如HIS、OA、财务系统等等,它们提供了日常办公所需的业务,便利了工作。互联网对社会各行各业产生了巨大深远的影响,与此同时,信息安全的重要性也在不断提升。 医院信息系统是医院实现办公电子化、网络化、无纸化的重要平台,同时也是开展日常工作的重要平台。然而,近年来,随着网络信息安全的快速发展,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客恶意攻击、蠕虫病毒、木马等,有可能会给医院的信息网络和核心系统造成严重的破坏。所以,建设一个全面、安全的信息系统已刻不容缓。 2 系统现状安全分析 医院信息系统现状拓扑图如上图1所示,从整个网络拓扑图可以看出,现阶段医院主要有两个网络出口,包括连接医保专网及连接互联网,互联网区域主要提供给外端用户通过VPN连接接入到内部服务器。在安全防护方面,除了在医保专网的出口边界区域部署有防火墙外,其他地方都没有部署有相应的安全防护措施,主要表现在以下几点: 1)网络出口边界区域缺少相应的入侵防护系统,无法对来自外部的蠕虫、木马、病毒、恶意软件及僵尸网络进行安全防护; 2)在互联网边界区域缺乏相应的防病毒系统,无法对来自互联网的恶意代码攻击、病毒等进行检测和拦截; 3)在内部网络中缺乏相应的安全审计系统,无法对内部的网络行为、服务器访问操作行为等进行审计和日志记录; 4)在Web类服务器前端缺少相应的Web安全防护设备,无法对针对Web服务器的SQL注入、跨站脚本(XSS)、跨站伪造攻击等进行安全防护,同时缺乏相应的网页防篡改系统; 网络内部缺乏漏洞扫描设备,无法对内部服务器系统进行漏洞扫描及漏洞管理; 5)在内部网络缺乏相应的运维审计系统,无法针对内部服务器、数据库、网络设备及安全设备进行统一的安全运维;内部重要服务器上没有安装防病毒系统,无法对服务器进行安全防护,容易遭受病毒的攻击。 3 建设思路 3.1 建设方法 信息安全体系框架是实施安全建设的灵魂和核心,它提供了构建和管理信息系统安全性的理论指南、流程、工具和指标。定义了全面风险管理和安全措施部署的设计路线和方针。使信息系统安全建设在标准化和完备的设计依据中进行,使建设过程具体而可控。从而维护信息价值从输入端至输出端的可信性和可控性;形成完备的事前监控预警、事中防御控制、事后审查追溯的防护机制。呈现持续改进的安全运行管理闭环。 医院信息系统的信息安全建设会同时依据国家/行业政策标准的指导,因而需要结合现实的业务特点与管理情况,构建各类别各层面信息系统的差异化、本地化保护能力,并通过制订运行管理策略,形成面向当前安全措施及关键系统的运行配置、未知风险的预警与控制情况。 适度化的安全建设思想能够将上述的方法论贯穿于信息资产的运行周期中,使各阶段、各层面的安全机制相互补足而形成体系,避免了安全建设的重复实施和过度投资。 3.2 方案效果 在等级保护要求中,医院信息系统安全提出网络访问控制、网络入侵防护、恶意代码防范(防病毒)、安全审计、漏洞管理、运维审计、安全集中管理等需求。本次信息系统安全建设需要完成以下目标: 1)边界安全防护 在医院专网互联区边界处部署防火墙,对内部服务器进行基础安全防护,实现边界的网络安全访问控制,保证服务器的安全。(利旧) 2)恶意代码防护 在医院互联网边界处部署绿盟NF防病毒系统(NF),对来自外网的病毒文件进行安全拦截,保证内部服务器的安全,实现内部网络的恶意代码防护。 3)网络入侵防护 在医院服务器前端部署绿盟入侵防护系统(NIPS),对来自外网、专网及内部用户的木马、病毒、蠕虫以及各类网络攻击行为等进行拦截,保证内部服务器的安全。 4)Web安全防护 在服务器区如果部署有Web类服务器系统(OA办公系统等),需要在服务器前段部署Web应用防护系统(WAF),对来自互联网的针对Web应用的攻击进行安全防护,如SQL注入、跨站脚本、恶意扫描等攻击进行阻断防护,同时,在服务器上部署防篡改软件系统,对文件进行 安全保护。 5)安全审计系统 在医院核心交换机处旁路部署安全审计系统(SAS),通过网络数据的采集、分析、识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规网络行为,实时报警响应,全面记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件
tj