医院安全项目设计方案（等保2.0标准二级要求）.docx

1、XX医院等保二级安全建设方案2020年5月目录一、概述41.1、背景简介41.2、设计依据5121、河南省数字化医院评审标准51.2.2、网络安全等级保护基本要求（安全通用要求）7二、现状分析与需求分析112.1、业务现状112.2、需求分析12221、通信网络安全风险与需求分析12222、区域边界安全风险与需求分析132.2.3、计算环境安全风险与需求分析14224、安全管理需求分析16三、整体架构设计173.1方案概况173.1.1、设计目标173.1.2、设计原则173.2、建设拓扑183.2.1、整体框架图183.2.2、整体拓扑图19四、网络安全建设方案204.1、等保2.0安全通用

2、要求（二级）解读204.2、安全技术体系建设方案224.2.1、互联网接入区224.2.2、对外发布区234.2.3、内外网物理隔离244.2.4、外联单位接入区24425、运维管理区25426、内网核心区284.2.7、内网服务器区294.3、安全管理体系建设方案304.3.1、安全管理制度304.3.2、安全管理机构324.3.3、安全管理人员334.3.4、安全建设管理344.3.5、安全运维管理36五、安全建设设备清单13一、概述1.1、背景简介卫生医疗是一个信息和技术密集型的行业，其计算机网络是一个完善的办公网络系统，作为一个现代化的医疗机构网络，除了要满足高效的内部自动化办公需求以

3、外，还应对外界的通讯保证畅通。结合卫生医疗复杂的HIS、LIS、PACS等应用系统，要求网络必须能够满足数据、语音、图像等综合业务的传输要求，所以在这样的网络上应运用多种高性能设备和先进技术来保证系统的正常运作和稳定的效率。同时卫生医疗的网络系统连接着Internet、医保网和银行等，访问人员比较复杂，所以如何保证卫生医疗网络系统中的数据安全问题尤为重要。在日新月异的现代化社会进程中，计算机网络几乎延伸到了世界每一个角落，它不停的改变着我们的工作生活方式和思维方式，但是，计算机信息网络安全的脆弱性和易受攻击性是不容忽视的。由于网络设备、计算机操作系统、网络协议等安全技术上的漏洞和管理体制上的不

4、严密，都会使计算机网络受到威胁。我们可以想象一下，对于一个需要高速信息传达的现代化卫生医疗，如果遭到致命攻击,会给社会造成多大的影响。在卫生医疗行业的信息化建设过程中，信息安全的建设虽然只是一个很小的部分,但其重要性不容忽视。便捷、开放的网络环境，是卫生医疗信息化建设的基础，在数据传递和共享的过程当中，数据的安全性要切实地得到保障，才能保障卫生医疗信息化业务的正常运行。然而，我们的数据却面临着越来越多的安全风险，时刻对业务的正常运行带来威胁。为此，国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布了861号文件关于开展全国重要信息系统安全等级保护定级工作的通知和

5、信息安全等级保护管理办法，要求涉及国计民生的信息系统应达到一定的安全等级，根据文件精神和等级划分的原则，卫生医疗信息系统构筑至少应达到二级或以上防护要求。所以，在XX医院的信息化建设过程中，我们应当正视可能面临的各种安全风险,对网络威胁给予充分的重视。为了卫生医疗信息网络的安全稳定运行，确保卫生医疗信息系统建设项目的顺利实施，结合具体的网络和应用系统情况，作为有着丰富医疗行业大型安全项目实施经验的北京神州绿盟科技有限公司，将以极大的信心和饱满的热情,序号评审要点评审方法一、网络安全1网络结构安全提供现用最新的全院网络拓扑图，与在用网络相符，网络设计合理现场查看网络主干、核心设备冗余情况：网络主

6、干为双链路，核心交换设备有冗余划分不同的安全域、网段或VLAN实现内、外网隔离2网络安全审计医院核心交换机部署网络行为监控与审计系统3网络设备防护登录网络设备的用户进行身份鉴别，用户名必须唯一，口令设置需3种以上字符、长度不少于8位，并定期更换对网络设备的管理员登录地址进行限制具有登录失败后采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施5序号评审要点评审方法4网络可信接入网络准入控制及终端安全管理5资料管理提供医院近几年新建建筑的弱电设计及弱电工程验收文件资料查看网络设备的配置、管理及维护资料的备份归档情况（纸质或电子版均可），备份归档资料完整二、主机/应用环境安全1身份鉴别

7、对登录操作系统和数据库系统的用户进行身份标识和鉴别，且保证用户名的唯一性服务器操作系统和数据库系统的登录名、密码实现受控和分段管理，口令必须具备采用3种以上字符、长度不少于8位并定期更换；应用系统的用户登录名和密码受控管理，密码加密存储启用登陆失败处理功能，登陆失败后采取结束会话、限制非法登录次数和自动退出等措施2访问控制具有用户账号申请、审批、变更及撤销工作流程具有用户授权管理功能，权限控制采用最小化授权原则严格限制默认账户的访问权限，避免共享账户的存在3安全审计数据库审计系统4入侵防范入侵检测系统5恶意代码防范网络版防病毒系统6资源控制HIS、EMR等系统的敏感业务窗口具有操作超时自动结束

8、或锁定会话功能。单站点登录功能电子病历具备历次修改痕迹保存且标记准确的修改时间和修改人员信息7患者隐私保护非正常医疗服务（如归档电子病历的调阅、复制和打印）中患者信息的提取实行匿名化服务。8数据备份重要业务系统数据级备份9应用容灾重要业务系统应用级容灾三、区域边界安全1边界访问控制在各安全域边界部署防火墙产品2边界完整性检查终端安全管理系统3边界入侵防御保障部署入侵防护系统（IPS）四、系统安全审计1主机审计部署终端安全管理系统，启用主机审计功能，或部署主机审计系统，实现对主机监控、审计和系统管理等功能序号评审要点评审方法2应用审计应用系统审计功能记录系统重要安全事件的日期、时间、发起者信息、

9、类型、描述和结果等，并保护好审计结果，阻止非法删除、修改或覆盖审计记录。同时能够对记录数据进行统计、查询、分析及生成审计报表。3电子签名医疗文书业务系统实现数字证书管理五、信息安全等级评估1信息安全等级评估现场查看医院在管辖其的公安部门进行相关信息系统（必须包括HIS、LIS、PACS、EMRS）等级保护备案的证明材料，医院级别与对应的等保级别应相符1.2,2. 网络安全等级保护基本要求（安全通用要求）共分为两大部分共10个分类，分别为：技术部分：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心；管理部分：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理

10、。本次方案主要参考的等保控制点（二级）如下：安全通信网络网络架构应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。安全区域边界边界防护应保证跨越边界的访间和数据流通过边界设备提供的受控接口进行通信。访问控制1）应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信。根据XX医院目前的计算机信息网网络特点及安全需求，结合等保2.0二级建设要求，本着切合实际、保护投资、着眼未来的原则，提出本技术方案。1.2、设计依据本方案主要依据以下法律、法规，方案进行设计：1) 全国医院信息化建设标准与规范2) 河南省数字化医院

11、评审标准(2018)3) 河南省数字化医院建设指南2018版4) 信息安全技术网络安全等级保护基本要求(GB/T22239-2019)5) 信息安全技术网络安全等级保护安全设计技术要求(GB/T25070-2019)6) 信息安全技术网络安全等级保护测评要求(GB/T28448-2019)7) 信息安全技术网络安全等级保护测评过程指南(GB/T28449-2018)8) 信息安全技术网络安全等级保护实施指南(GB/T25058-2019)1.2. K河南省数字化医院评审标准涉及信息安全的有七大内容，分别是：物理安全、网络安全、主机/应用环境安全、区域边界安全、系统安全审计、信息安全等级评估、应

12、急管理，本次方案不涉及物理安全和应急管理，主要参考条目如下：9102）应删除多余或无效的访间控制规则，优化访问控制列表，并保证访问控制规则数量最小化。3）应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出。4）应能根据会话状态信息为进出数据流提供明确的允许/拒绝访间的能力。入侵防范应在关键网络节点处监视网络攻击行为。恶意代码规范应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新。安全审计1）应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。2）审计记录应包括事件的日期和时间、用户、事件是否

13、成功及其他与审计相关信息。3）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。安全计算环境身份鉴别1）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。2）应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。3）当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。访问控制1）应对登录的用户分配账户和权限。2）应重命名或删除默认账户，修改默认账户的默认口令。3）应及时删除或停用多余的、过期的账户，避免共享账户的存在。4）应授予管理用户所需的最小权限，实现管理用户的权限分离。

14、安全审计1）应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。2）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。3）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。入侵防范1）应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。2）应能发现可能存在的巳知漏洞，并在经过充分测试评估后，及时修补漏洞。恶意代码防范应安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库。个人信息保护1）应仅采集和保存业务必需的用户个人信息2）应禁止未授权访问和非法使用用户个人信息安全管

15、理中心系统管理1）应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计2）应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等审计管理1）应对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对这些操作进行审计2）应通过审计管理员对审计记录应进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等安全运维管理漏洞和风险管理应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后