医院信息系统安全等级保护建设方案

1、目录第一章项目概述4项目背景4设计依据5政策标准5设计原则61.11.21.31.4第二章建设目标与任务8建设目标8建设任务8建设范围102.12.22.3第三章安全需求分析10安全现状描述113.13.23.33.43.4.13.4.23.4.3政策要求11等保合规性需求14安全风险防范需求15安全风险识别15现存安全风险17安全风险防范18第四章总体方案设计20设计原则20等级保护建设过程22总体建设内容23差距分析评估234.14.24.34.3.14.3.24.3.34.3.44.3.5总体设计24安全实施24等级保护测评24系统安全运维24安全保障体系4.44.4.1.25安全技术体

2、系264.4.24.4.3安全管理体系28安全运维体系28第五章等级保护差距分析29确定差距分析评估指标29形成评估指标29制定差距分析评估方案29等级指标对比评估30安全技术评估305.15.1.15.1.25.25.2.15.2.2安全管理评估31差距分析评估风险规避315.3第六章安全技术体系方案设计33设计思路33总体框架35方案编写结构36安全技术体系设计37确定保护对象376.16.26.36.46.4.16.4.26.4.36.4.46.4.56.4.66.4.76.4.8方案设计架构38安全域划分38计算环境防护41区域边界防护65通信网络防护71安全管理中心设计74系统安全加

3、固80第七章 安全管理和安全运维847.1 安全管理的重要意义847.2 安全管理体系建设857.2.1 安全管理体系的建设目标857.2.2 安全管理体系的建设内容867.3 安全运维897.3.1 安全风险评估897.3.2 网络管理与安全管理907.3.3 备份与容灾管理907.3.4 应急响应计划917.4 安全7.4.1管理93. 937.4.2 岗位人选93培训947.4.37.4.4. 947.4.5 签定合同947.4.6调离947.5 技术安全管理957.5.1 软件管理957.5.2 设备管理967.5.3 备份管理977.5.4 技术文档管理97第一章项目概述1.1 项目

4、背景为贯彻落实等级保护制度，规范和指导卫生行业等级保护工作，按照部关于开展等级保护安全建设工作的指导意见（公信安20091429 号）要求，结合卫生行业实际，也研究制定了卫生行业等级保护工作的指导意见（卫办发201185 号）。同时，为了落实 85 号文，全面提高卫生行业保障能力和水平，保障和促进卫生信息化健康发展，决定全面开展等级保护工作。其中规定：1）2011 年 12 月 30 日前将本地区已定级备案的卫生信息系统情况报送卫生部；2）卫生行业各要于 2012 年 5 月 30 日前完成本信息系统的定级备案工作。3）于 2015 年 12 月 30 日前完成等级保护建设工作，并通过等级测评

5、。在这样的大背景下，对于新建医院，在信息系统建设同时需要考虑信息安全的同步建设。在系统建设完成同时，的防护能力也达到一定级别，以避免重复建设或建设所带来的巨大资金投入和人力投入。是信息系统建设中非常重要的一环，信息阶段是考虑体系建设的最佳时机。根据 技术信息系统安全等级保护实施指南（GB/T222402008）（下文简称“定级指南”）、技术信息系统安全等级保护基本要求（GB/T-22239-2008）（下文简称“基本要求”）、信息安全技术 信息系统等级保护安全设计技术要求（GB/T 25070-2010）（下文简称“安全设计技术要求”）等文件要求，按照统筹，重点保护，适度安全的原则，依据等级保

6、护定级结果，结合各安全域实际情况，按照“层层递进，纵深防御”的思想进行安全防护等级保护设计。1.2 设计依据本方案依据技术 信息系统等级保护安全设计技术要求GB/T25070-2010 中系统建设需求，重点关注应用系统进行体系规划。1.3 政策标准本方案重点参考以下的政策和标准如下所述：指导思想中办200327（关于转发信息化小组关于加强保障工作的意见）公通字200466（等级保护工作的实施意见的通知）公通字200743（等级保护管理办法）卫办发201185（卫生行业等级保护工作的指导意见）卫办综函20111126 号文（关于全面开展卫生行业等级保护工作）京公网安字（2012）739 号文北京

7、市卫生局、北京市局关于开展北京市医疗机构卫生行业专项检查工作等级保护GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 25058-2010技术 信息系统安全等级保护实施指南GB/T 25070-2010技术 信息系统等级保护安全设计技术要求系统定级GB/T22240-2008技术 信息系统安全保护等级定级指南技术方面GB/T 20270-2006技术 网络基础安全技术要求GB/T 20271-2006技术 信息系统通用安全技术要求GB/T 20272-2006技术 操作系统安全技术要求GB/T 20273-2006技术 数据库管理系统通用安全技术要求GA/T671-200

8、6技术 终端计算机系统安全等级技术要求1.4 设计原则等级保护是建设的重要政策，其是对信息系统分等级、按标准进行建设、管理和监督。对于医院系统建设，应当以适度风险为核心，以重点保护为原则，从业务的角度出发，重点保护重要的业务信息系统，在方案设计中应当遵循以下的原则：1) 适度安全原则任何信息系统都不能做到绝对的安全，在进行等级保护中，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。适度安全也是等级保护建设的初衷，因此在进行等级保护设计的过程中，一方面要严格遵循基本要求，从网络、主机、应用、数据等层面加强防护措施，保障信息系统的性、完整

9、性和可用性，另外也要综本的角度，医院系统信息系统的实际风险，提出对应的保护强度，并按照保护强度进行安全防护系统的设计和建设，从而有效成本。2) 重点保护原则根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中优先保护涉及业务或关键信息资产的信息系统；GA/T 709-2007技术 信息系统安全等级保护基本模型GB/T22239-2008技术 信息系统安全等级保护基本要求管理方面GB/T 22239-2008技术 信息系统安全等级保护基本要求ISO/IEC 27001 信息系统安全管理体系标准方案设计GB/T 25070-2010技术 信息系统等级保

10、护安全设计技术要求方案架构IATF 信息保障技术框架3) 技术管理并重原则问题从来就不是单纯的技术问题，把防范和理解为问题的全部是片面的，仅仅通过部署安全很难完所有的信息安全问题，因此必须要把技术措施和管理措施结合起来，更有效的院系统信息系统的整体安全性，形成技术和管理两个部分的建设方案。4) 分区分域建设原则对信息系统进行安全保护的有效方法就是分区分域，由于信息系统中各个信息资产的重要性是不同的，并且特点也不尽相同，因此需要把具有相似特点的信息资产集合起来，进行总体防护，从而可更好地保障安全策略的有效性和一致性，比如把业务服务器集中起来单独，然后根据各业务部门的需求进行和；另外分区分域还有助

11、于对网络系统进行集中管理，一旦其中某些安全区域内发生安全，可通过严格的边界安全防护限制在整网蔓延；5) 标准性原则医院系统保护体系应当同时考虑与其他标准的符合性，在方案中的技术部分将参考 IATF 安全体系框架进行设计，在管理方面同时参考 ISO27001安全管理指南，使建成后的等级保护体系更具有广泛的实用性；6) 动态调整原则问题不是静态的，它总是随着医院系统管理相关的组织策略、组织架构、信息系统和操作流程的改变而改变，因此必须要跟踪信息系统的变化情况，调整安全保护措施；7) 标准性原则建设是非常复杂的过程，在设计系统，进行安全体系中单纯依赖经验，是无法对抗未知的威胁和，因此需要遵循相应的国

12、内及国际安全标准，从更全面的角度进行差异性分析，是本方案重点强调的设计原则；8) 成熟性原则本方案设计所采取的安全措施和，在技术上是成，是被检验确实能够解决安全问题并在很多项目中有应用的；9) 科学性原则本方案的设计是建立在对医院系统进行安全评估基础上的，在威胁分析、弱点分析和风险分析方面，是建立在客观评价的基础上而展开分析的结果，因此方案设计的措施和策略一方面能够符合等级保护的相关要求，另一方面也能够很好地解决医院系统信息网络中存在的安全问题，满足特性需求。第二章建设目标与任务2.1建设目标本着同步建设的原则，在信息系统新建、改建、扩建时应当同步和设计安全方案，投入一定比例的资金建设设施，保

13、障与信息化建设相适应。根据信息系统的重要程度、业务重要性，通过划分不同安全等级的信息系统，实现不同强度的安全保护，集中优先保护涉及业务或关键信息资产的信息系统。在全面分析和评估应用系统各要素的价值、风险、脆弱性及所面对的威胁基础之上，遵照等级保护的要求，并应以策略为指导，以管理为核心，以技术为，通过构建技术体系、管理体系、服务体系，实现集防护、检测、响应、恢复于一体的整体安全保障机制。并且要跟踪信息系统的变化情况，调整安全保护措施。2.2建设任务以信息系统安全等级保护基本要求为工作，根据技术信息系统等级保护安全设计技术要求（下文简称“技术规范”）建立完整的信息安全体系框架：l技术建设安全技术是

14、指能够院系统信息系统安全的安全技术功能要求和安全技术保障要求，包括网络与通讯安全、主机与平台安全、数据库安全、应用安全、数据安全、物理环境安全等方面。l管理建设管理体系是保障体系的重要组成部分，与安全技术体系、信息系统安全等级保护基本要求安全管理建设安全技术建设l 岗位设置l录用l机房位置选择l鉴别l 配备l离岗l防火防雷ll 和审批ll防水防潮l安全审计l 和合作l教育和培训l防静电l防范l 审核和检查l管理l物理l防护l 防防破坏ll 环境管理l温湿度l安全标记l 资产管理l电力供应l剩余信息保护l 介质管理l电磁防护l 设备管理l 管理l区域划分l鉴别l 安全管理中心l边界防护ll 定级

15、备案l管理ll安全审计l 安全方案设计l系统安全管理l安全审计l通信完整性l 采购使用l变更管理l防范l通信性l 自行软件开发l备份恢复管理l防护l软件容错l 外包软件开发l处置l通信保护ll 工程实施l应急响应l安全标记l 测试验收l数据性l剩余信息保护l 系统交付l数据完整性l抗抵赖l 安全服务选择l备份与恢复l 等级测评数据安全与备份恢复系统建设管理应用安全网络安全系统运维管理安全管理制度l 管理制度l 制定和发布l 评审和修订主机安全物理安全人员安全管理安全管理机构安全服务体系相互支撑、相互协同、相互补充，共同保障电子政务的整体安全。安全管理体系由组织机构、规章制度、技术和队伍等。2.

16、3建设范围本次项目涉及医院系统内网、。根据运行的业务系统定级情况，按照基本要求进行体系建设。重点保护医院系统内网的信息系统安全，以业务系统安全为重点，保证业务系统安全运行，同时满足等级保护相应级别的技术要求。本方案主要包括技术体系方案设计。技术体系涉及除物理安全之外的、主机安全、应用安全、数据安全及备份恢复；管理体系包括安全管理制度、安全管理机构、安全管理、系统建设管理、系统运维管理；服务体系包括信息系统安全运维、风险评估和加固、应急响应、等级保护、安全培训、安全通告等内容。第三章安全需求分析安全需求的主要依据是合规性要求分析和安全风险评估通过分析国家等级保护标准要求确定基本安全需求，结合医院

17、信息系统自身安全风险防范需求，形成最终的安全建设需求。3.1安全现状描述由于医院为新建医院，网络基础环境已经搭建完毕，逻辑上将医院信息系统划分为内网与，其中：内网包含医院信息系统（HIS 等系统）、内网终端系统；包含医护需连接互联网的终端及楼控系统；系统终端，分为有线和无线终端两种，均分布在内网与。同时，内网无线终端信息系统内网无任何认证及，无法抵御来系统自内部的威胁。出口处仅有 1台作为医院信息系统与互联网的。总的来说医院信息系统无任何技术措施，来抵御来自外部及内部的威胁机制。所以，医院应建立一整套医院信息系统正常运行，保障业务稳定的信息系统安全保障体系。应在医院建立初始，应将信息系统安全纳

18、入工作考虑范围。避免重复建设、浪费。3.2政策要求2011 年 11 月 29 日发布了卫生行业等级保护工作的指导意见）（卫办发201185 号）在行业内部推行信息系统安全等级保护制度，要求卫生医疗行业相关部门（尤其医院）要按照部关于开展信息安全等级保护安全建设工作的指导意见（公信安20091429 号）要求，并结合卫生行业实际情况和安全现状进行等级保护的建设工作。85 号文要求依据等级保护制度，遵循相关标准规范，在卫生行业全面开展等级保护定级备案、建设和等级测评等工作，明确信息安全保障重点，落实责任，建立等级保护工作长效机制，切实提高卫生行业防护能力、隐患发现能力、应急处置能力，为卫生信息化

19、健康发展提供可靠保障，全面维护公共利益、秩序和安全。各卫生医疗机构（尤指医院）有如下的工作任务：(一)定级备案1卫生行业各应当对本建设与运营的卫生信息系统进行自查，对未定级、定级的信息系统,应当按照技术信息系统安全等级保护定级指南开展定级工作。等级保护制度将保护等级分为五级：第一级为保护级，第为指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级。以下重要卫生信息系统安全保护等级原则上不低于第三级：（1）卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生应急指挥信息系统等跨省联网运行的信息系统；（2）、省、地市三级卫生，新农合、卫生监督、妇幼等级数据

20、中心；（3）三级甲等医院的业务信息系统；（4）系统；（5）其他经过技术委员会评定为第三级以上（含第三级）的信息系统。2.拟定为第三级以上（含第三级）的卫生信息系统，应当经技术专家委员会论证、评审。3.卫生行业各在确定信息系统安全保护等级后，对第以上（含第二级）信息系统，应当报属地机关及卫生行政部门备案。跨省联网运行并由定级的信息系统，由报部备案；在各地运行、应用的分支系统，应当报属地机关备案。(二)建设与1.对已确定安全保护等级的第以上（含第）卫生信息系统，应当按照等级保护工作规范和技术信息系统安全等级保护基本要求等标准，开展安全保护现状分析，查找安全隐患及与等级保护标准之间的差距，确定安全需

21、求。2.根据信息系统安全保护现状分析结果，按照技术信息系统安全等级保护基本要求、技术信息系统等级保护安全设计技术要求等国家标准，制订信息系统安全等级保护建设方案。第三级以上（含第三级）卫生信息系统安全建设方案应当经技术委员会论证。3.卫生行业各应当按照信息系统安全建设方案，完善安全保护设施，建立安全管理制度，落实安全管理措施，形成技术防护体系和管理体系，有效保障卫生信息系统安全。(三)等级测评1.系统建设工作完成后，应当按照等级保护管理办法要求，从等级保护测评机构推荐目录中选择等级测评机构，对第三级以上（含第三级）卫生信息系统进行等级测评。2.测评后，应当将测评报告报属地机关及卫生行政部门备案

22、。3.应当每年对第三级以上（含第三级）卫生信息系统进行等级测评。对于重要部门的第信息系统，可参照上述要求进行等级测评。在卫生行业等级保护工作的指导意见）颁布一个后，随之又再次发布通知，即关于全面开展卫生行业等级保护工作（卫办综函20111126 号）将等级保护的执行工作提到日程，要求：（立健全工作机制。级卫生行政部门要尽快确定等级保护工作联络员，建立健全技术委员会，并分别于 2011 年 12 月 30日前和 2012 年 4 月 30 日前将联络员和委员会成员报送。（二）限送备案情况。级卫生行政部门要于 2011 年 12 月 30 日前将本地区已定级备案的卫生信息系统情况报送。（三）完成定

23、级备案工作。卫生行业各要于 2012 年 5 月 30 日前完成本信息系统的定级备案工作。（四）开展安全建设工作。卫生行业各要根据信息系统定级备案情况开展等级测评工作，查找安全差距和风险隐患，并结合自身安全需求，制订安全建设方案。要于 2015 年 12 月 30 日前完成等级保护建设工作，并通过等级测评。2012 年 5 月 15 日，北京市局北京市卫生局联名发布了北京市卫生局、北京市局关于开展北京市医疗机构卫生行业专项检查工作的通知（京公网安字（2012）739 号文），对卫生医疗行业等级保护在北京的工作开展指明道路，并定义了各区县范围及网监大队卫生医疗行业的等保建设接口人，并提供了北京市

24、关于等级保护工作开展中的备案机构和范围及、网监部门对于各医院等级保护工作开展的检查要点。3.3等保合规性需求等保合规性需求分析的目标是根据信息系统的安全保护等级，信息系统现有的安全保护水平与等级保护管理规范和技术标准之间的差距，提出信息系统的基本安全保护需求。GB/T22239-2008信息系统安全等级保护基本要求（以下简称基本要求）不同等级的信息系统提出了相应的基本安全保护要求，分为基本技术要求和基本管理要求两大类。其中技术要求又分为物理安全、主机安全、应用安全、数据安全及其备份恢复五个方面，管理要求又分为安全管理制度、安全管理机构、安全管理、系统建设管理和系统运行维护管理五个方面。本方案将

25、取基本要求中的第三级要求作为医院信息系统安全建设的基本需求。对于部分拟定为三级的信息系统，如果不存在与三级系统共享网络或系统的，可适当降低保护要求。3.4安全风险防范需求3.4.1安全风险识别风险就是威胁利用弱点对资产或资产组产生影响的潜在可能性和潜在影响的结合。瞄准计算机网络系统可能存在的安全弱点，各类新型的风险将会不断产生，这些风险由多种因素引起，与网络系统结构和网络应用服务等因素密切相关。为了明确医院信息系统的各类安全风险，以及造成风险的各个要间的关系，根据标准风险评估规范（GB/T 20984-2007），可建立一个信息系统安全风险关系模型。如下图所示：图中方框部分的内容为风险评估的基

26、本要素，椭圆部分的内容是与这些要素相关的属性。风险评估着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全、残余风险等与这些基本要素相关的各类属性。我们在进行风险分析时主要考虑资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、等；脆弱性的属性是资产弱点的严重程度。通过综合分析资产价值、威胁出现频率、脆弱性严重程度，可以出威胁利用脆弱性安全的可能性以及一旦发生安全可能造成的损失，从而最终确定特定资产的风险值。在项目具体实施过程中，对医院信息系统进行整体安全风

27、险评估，不仅包括技术方面，还应包含管理方面，以充分了解医院信息系统安全状况，并提取出较高级别风险，有重点地进行防护措施设计。3.4.2现存安全风险3.4.2.1技术方面存在的安全风险一、单点故障：当前统计内网交换机设备为单点部署，缺乏冗余设备，应对其进行冗余部署，否则会造成“单点故障”，影响重要系统的可用性。二、漏洞利用和网络：由于缺乏对医院系统内网中各个重要资产的漏洞检查，无法对内网信息系统的安全弱点有清晰、完整的认识，可能因漏洞给者并为之所利用从而造成安全事故。者可能从内、对医院信息系统发起各种网络（拒绝服务、缓冲溢出、木马、蠕虫等），由于没有相应的检测和告警机制，也无法提供实时阻断和防御

28、，容易发生关键业务和管理数据被破坏、篡改、泄漏等恶性。三、内部操作不当：无论是普通用户还是系统管理员，在正常操作过程中难免会发生误操作，如错误使用外设设备和拷贝文件，造成蠕虫的传播；没有及时更新库，没有正确配置的策略；没有正确配置网络路由，造成路由堵塞；错误删除数据，造成一些重要数据丢失；这些行为都将对医院系统内网相关应用系统造成影响，可能导致系统故障或数据丢失。四、内部故意破坏：内部用户也可能因受利益驱使或心怀不满等，故意利用职权进行泄密和破坏，如内部利用的帐号网络，对业务系统服务器进行，盗取他人的权限，越权信息，造成一些敏感性文件的泄露；或者直接删除数据，影响业务系统运行等。五、缺乏审计和

29、事故追查：由于缺乏对用户的网络行为方面的审计，在安全以及安全恢复方面存在缺陷，无法实现“事后”，为故障排查和事后认定增加了难度。3.4.2.2管理方面存在的安全风险随着业务应用系统的不断增加，网络结构日益复杂，由于各业务系统建设、运维分散，缺乏总体逐渐不能适应越来越复杂的应用需求。主要表现在缺乏整体安全策略、没有统一规范的安全体系建设标准，安全职责划分不明确，各业务系统的安全防护程度不一、没有形成统一的安全意识、缺乏统一的安全管理平台、操作流程和指导手册等。l安全制度层威胁与风险具备安全管理员岗位，但安全岗位职能没有很好得到执行，没有对整个业务体系安全进行统一和管理。安全管理基本上靠运维管理的

30、自我管理，缺乏统一的安全管理体系。l系统建设层威胁与风险目前，在实际建设中安全防护建设主要依赖于各重要业务系统开展，希望在今后的安全防护建设上能从整体上进行系统，不局限于同步业务系统建设。l系统运维层威胁与风险在实际运维工作中，制定了网络及数据方面的应急预案，但应急预案的宣贯与演练不充分，导致一旦发生安全问题无法快速进行故障的排除和解决，安全隐患较大。3.4.3安全风险防范参考业界经典的 PDR 安全模型，通过采用安全防护、安全检测、安全响应等三类技术措施来建立一个的动态的、不断循环的风险防护体系，从“事前防护”、“事中检测”、“事后响应”等三个阶段为医院信息系统提供安全保障。PDR 指的防护

31、（Protection）、检测（Detection）、响应（Reaction），其目标是确保防护时间（Pt）大于检测时间（Dt）加响应时间（Rt），使得信息系统始终处在被保护的状态，而因为安全的发生对信息系统造成实质上的影响。如下图所示。图 3-2 PDR 安全模型下面我们分别从这三个方面分析医院信息系统目前已知可能的一些安全风险，如何进行有效应对。(一)防护机制安全防护机制属于事前，是通过技术和管理预先可能发生安全。为了避免单点故障，可以通过对统计内网交换机进行冗余备份的方式来提高网络服务的可用性。为了保证内网安全，需要防止来自外部网络以及内部工作区发起的非访问、蠕虫木马侵袭及其他各种。因此

32、需要在内网与的边界处及内网重要服务器区域边界处采取多种边界安全防护措施，包括、防御、过滤等，实现对网络边界实施全方位的安全保护。同时，通过利用原有客户端安全管理系统，对接入内网的终端设备进行严格的接入认证，并实现对接入未移动设备的，防止者在内网办公区内部发起。此外，应编制相应的安全管理规章制度，对、环境、设备、介质、运行、数据等各个方面提出要求，并辅以可行的操作规范和流程，确保信息系统按照规范的方式进行安全运行、使用和维护，提高信息系统的安全管理水平。(二)检测机制安全检测机制属于事中的安全，是保障体系中的十分重要的环节，通过技术和管理对信息系统进行实时或定期的安全检测监测。为了达到实时检测的

33、目标，需要在网络对外边界处部署检测/防御设备，第一时间发现网络行为并向管理发出通知，使管理能够迅速采取相应措施。通过利用原有客户端安全管理系统可以对内网终端系统的安全状态实时监测，进而可对存在安全隐患的终端采取、打补丁、升级库等措施，有效防范来自终端的安全风险。(三)响应机制安全响应机制是事后安全，当信息系统中发生安全时，能够根据预先制定的安全策略响应和应急处理流程对安全做出快速准确的响应、及时有效的处理。通过部署安全审计系统可以实现事后审计时对安全事故的重现及安全漏洞的，尽快采取补救措施，防止同类的再次发生。此外，应在制度层面建立恢复预案和安全应急预案并定期进行演练和更新，提高对性和安全的响

34、应和恢复能力。第四章总体方案设计4.1设计原则医院系统信息系统安全保障体系的建设需要充分考虑长远发展需求，统一规划、统一布局、统一设计、规范标准，并根据实际需要及投资金额，突出重点、分步实施，保证系统建设的完整性和投资的有效性。在方案设计和项目建设中应当遵循以下的原则：在保障技术体系的建设过程中，将首先从一个完整的网络系统体系结构出发，全方位、多层次的综合考虑信息网络的各种实体和各个环节，运用信息系统工程的观点和方法论进行统一的、整体性的设计，将有限的集中解决最紧迫问题，为后继的安全实施提供基础保障，通过逐步实施，来达到信息网络系统的安全强化。从解决主要的问题入手，伴随信息系统应用的开展，逐步

35、提高和完善信息系统的建设，充分利用现有进行合理整合的原则。保护体系建设应当严格遵循和行业有关和技术规范的要求，从业务、技术、运行管理等方面对项目的整体建设和实施进行设计，充分体现标准化和规范化。根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中优先保护涉及业务或关键信息资产的信息系统。任何信息系统都不能做到绝对的安全，在安全过程中，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。适度安全也是等级保护建设的初衷，因此在进行等级保护设计的过程中，一方面要严格遵循基本要求，从网络、主机、应用、

36、数据等层面加强防护措施，保障信息系统的性、完整性和可用性，另外也要综合考虑业务和成本的因素，信息系统的实际风险，提出对应的保护强度，并按照保护强度进行安全防护适度安全原则重点保护原则标准性和规范化原则统一、分步实施原则系统的设计和建设，从而有效成本。问题从来就不是单纯的技术问题，把防范和理解为问题的全部是片面的，仅仅通过部署安全很难完所有的信息安全问题，因此必须要把技术措施和管理措施结合起来，更有效的保障信息系统的整体安全性。所建设的安全体系应当在设计理念、技术体系、选型等方面实现先进性和成熟性的统一。本方案设计采用国际先进实用的安全技术和国产优秀安全，选择目前和未来一定时期内有代表性和先进性

37、的成安全技术，既保证当前系统的高安全可靠，又满足系统在很长生命周期内有持续的可维护和可扩展性。问题不是静态的。信息系统安全保障体系的设计和建设，必须遵循动态性原则。必须适应不断发展的和不断改变的脆弱性，必须能够及时地、不断地改进和完善系统的安全保障措施。项目设计和建设过程中，将充分利用现有，在可用性的前提条件下充分保证系统建设的性，提高投资效率，避免重复建设。4.2等级保护建设过程医院系统等级保护建设的生命周期包括：系统定级确认、差距分析评估、总体设计、安全实施、等级测评和风险评估、系统安全运维等方面，如下图所示。本方案设计重点在于方案设计以及项目建设。性原则动态调整原则先进性和成熟性原则技术

38、管理并重原则4.3总体建设内容4.3.1差距分析评估差距分析是已定级的业务系统，是否满足不同安全保护等级信息系统的基本保护标准，结合实际业务系统情况详细对比安全技术措施、安全管理措施等方面距离信息系统安全等级保护基本要求的差距，得出信息系统等级保护基本需求。在差距分析的基础上，还可采用通用的风险评估方法，对信息系统可能的安全风险进行分析，确定超出相应等级保护基本要求的部分或具有特殊安全保护要求的部分，并对其实施特殊安全措施的必要性，提出信息系统的特殊安全保护需求。4.3.2总体设计根据差距性分析报告中体现的与等级保护基本要求之间的差距分析安全建设基本需求，结合风险评估报告中体现的超出等级保护基

39、本要求部分的特殊安全防护需求，进行安全建设方案设计。并按照和部门对等级保护工作的相关要求，结合医院系统信息化建设、预算等实际情况，完成等级化信息安全保障体系的建设和管理，逐步实现等级保护建设总体、分步实施、重点落实的建设方法，为信息系统现在和将来的安全建立一个安全体系框架和目标。4.3.3安全实施根据安全设计方案和总体建设中制定的建设方法和实施步骤，对信息系统等级保护建设分期分步落实措施。实施包括但不限于：技术和管理整改，主要包括安全采购、技术措施实施、安全集成建设、管理体系建设、管理措施落地等。4.3.4等级保护测评等级测评是初步建设实施后的信息系统环境再次进行合规性的评测，保证系统基本满家

40、等级保护相关政策和标准的要求。等级测评主要包括聘请认可的专业等级保护测评机构对信息系统进行安全技术与安全管理测评，完成安全等级测评报告并报机关，完善备案材料。4.3.5系统安全运维等级保护建设工作完成后，就进入了信息系统运维阶段，建立科学的安全运维服务体系做到信息网络故障早发现、早解决，确保计算机系统、网络和应用的连续性、可靠性和安全运行，降低发生故障的可能性，提高整体的系统运行维护管理水平和服务保障能力。4.4安全保障体系医院系统等级保护安全方案的设计思想是以等级保护的“一个中心、三重防护”为指导思想，构建集防护、检测、响应、恢复于一体的全面的安全保障体系。具体体现为：以全面贯彻落实等级保护

41、制度为，打造科学实用的信息安全防护能力、安全风险监测能力、应急响应能力和恢复能力，从安全技术、安全管理、安全运维三个角度构建安全防护体系，切实保障。保障体系模型如下图所示：一个指导思想： 等级保护思想等级保护是系统设计的指导思想，整个方案的技术及管理设计都是符合等级保护的设计思想和要求展开实现的。三个防御维度：技术、管理、运维全方位的纵深防御（1）安全技术维度：安全技术是基础防御的具体实现（2）安全管理维度：安全管理是总体的策略方针指导（3）安全运行维度：安全运行体系是支撑和保障4.4.1安全技术体系参考 GB/T25070-2010技术 信息系统等级保护安全设计技术要求（以下简称设计技术要求

42、），安全技术体系设计内容主要涵盖到 “一个中心、三重防护”。即安全管理中算环境安全、区域边界安全、通信网络安全。图 四-3安全技术体系（1）安全管理中心：构建先进高效的安全管理中心，实现系统、设备、操作流程等的统一管理；（2）计算环境安全：为医院系统信息系统打造一个、可靠、安全的计算环境。从系统应用级的鉴别、安全审计、数据性及完整性保护、客体安全重用、系统可执行程序保护等方面，全面提升医院系统在系统及应用层面的安全；（3）区域边界安全：从加强网络边界的粒度、网络边界行为审计以及保护网络边界完整等方面，提升网络边界的可控性和可审计性；（4）通信： 从保护网络间的数据传输安全、网络行为的安全审计等

43、方面保障网络通信安全。医院系统安全技术体系建设的基本思路是：以保护信息系统为，严格参考等级保护的思路和标准，从多个层面进行建设，满足医院系统信息系统在物理层面、网络层面、系统层面、应用层面和管理层面的安全需求，建成后的保障体系将充分符合标准，能够为医院系统业务的开展提供保障。安全技术体系建设的要点包括：1、构建分域的体系医院系统保障体系，在总体架构上将按照分域保护思路进行，本方案参考 IATF技术框架，将医院系统信息系统从结构上划分为不同的安全区域，各个安全区域内部的网络设备、服务器、终端、应用系统形成单独的计算环境、各个安全区域之间的关系形成边界、各个安全区域之间的连接链路和网络设备了网络基

44、础设施；因此方案将从保护计算环境、保护边界、保护网络基础设施三个层面进行设计，并通过统一的基础支撑平台（这里采用安全信息管理平台）来实现对基础安全设施的集中管理，构建分域的体系。2、构建纵深的防御体系医院系统保障体系包括技术和管理两个部分，本方案医院系统信息系统的通信网络、区域边界、计算环境，综合采用认证、入侵检测、代码防范、安全审计、防、数据加密等多种技术和措施，实现医院系统业务应用的可用性、完整性和性保护，并在此基础上实现综合集中的安全管理，并充分考虑各种技术的组合和功能的互补性，合理利用措施，从外到内形成一个纵深的安全防御体系，保障信息系统整体的安全保护能力。3、保证一致的安全强度医院系

45、统信息系统应采用分级的办法，采取强度一致的安全措施，并采取统一的防护策略，使各安全措施在作用和功能上相互补充，形成动态的防护体系。因此在建设上，本方案采取“大平台”的方式进行建设，在平台上实现各个级别信息系统的基本保护，比如统一的防系统、统一的审计系统，然后在基本保护的基础上，再根据各个信息系统的重要程度，采取高强度的保护措施。4、实现集中的安全管理管理的目标就是通过采取适当的措施来保障信息的性、完整性、可用性，从而确保信息系统内不发生安全、少发生安全、即使发生安全也能有效造成的影响。通过建设集中的安全管理平台，实现对信息资产、安全、安全风险、行为等的统一分析与监管，通过关联分析技术，使系统管

46、理能够迅速发现问题，问题，有效应对安全的发生。4.4.2安全管理体系仅有安全技术防护，无严格的安全管理相配合，是难以保障整个系统的稳定安全运行。应该在安全建设、运行、维护、管理都要重视安全管理，严格按制度进行办事，明确责任权力，规范操作，加强、设备的管理以及的培训，提高安全管理水平，同时加强对紧急的应对能力，通过预防措施和恢复相结合的方式，使由意外事故所引起的破坏减小至可接受程度。4.4.3安全运维体系由于安全技术和管理的复杂性、专业性和动态性，医院系统业务信息系统安全的、设计、建设、运行维护均需要有较为专业的安全服务支持。安全运维服务包括系统日常维护、安全加固、应急响应、业务持续性管理、安全

47、审计、安全培训等工作。第五章等级保护差距分析依据等级保护基本要求，进行等级保护差距分析和工作。天融信具有等级保护的团队，深入了解等级保护相关政策，熟悉信息系统和工作的关键点和流程，将通过等级保护差距分析、文档审核、现场访谈、现场测试等方式，完成差距分析报告，发现目前信息系统中与等保技术和管理要求的不符合项。5.1确定差距分析评估指标天融信根据定级报告中被评估信息系统的安全等级（S,A），从等级保护基本要求的指标中选择和组合评估用的安全指标，形成一套信息系统的评估指标，作为差距分析评估的依据；将具体差距分析评估对象和评估指标进行结合，形成评估使用的评估方案。5.1.1形成评估指标天融信根据各个信

48、息系统的安全等级从基本要求中选择相应等级的通用指标，然后根据系统信息资产安全性等级选择信息资产安全性指标，根据系统连续性等级选择业务连续性指标，之后进行三类指标（S,A,G）的组合，形成评估指标。5.1.2制定差距分析评估方案天融信根据评估指标，结合确定的具体评估对象制定可以操作的评估方案，评估方案通常包括但不局限于以下内容：管理状况评估表格；1)2)网络状况评估表格；3)网络设备（含）评估表格；4)主机设备评估表格；5) 主要设备安全测试方案；6) 重要操作的作业指导书。5.2等级指标对比评估天融信根据所确定的安全评估指标和安全评估方案，通过询问、检查和测试等多种，将系统现状与安全评估指标进

49、行逐一对比，当前的现状情况，找到与评估指标之间的差距。a)安全管理方面与评估指标的符合程度通过观察现场、询问、资料、检查等方式进行安全管理方面的评估，准确评估结果，安全管理的各个方面与评估指标的符合程度，给出结论。评估工作原始表应由相关确认签字。b)安全技术方面与评估指标的符合程度通过观察现场、询问、资料、检查、检查配置、技术测试、渗透等方式进行安全技术方面的评估，准确评估结果，安全技术的各个方面与评估指标的符合程度，给出结论。评估工作原始表应由相关人员确认签字。天融信提供的等级保护差距分析评估服务，主要是信息系统安全等级保护基本要求中的相关内容和要求进行差距评估。评估主要包括技术和管理两个方面的内容。5.2.1安全技术评估主要通过从物理安全、主机系统安全、应用安全和数据安全与备份恢复等五个层面上评估等级保护要求的基本安全在信息系统中的实施配置情况。安全评估包括但不局限于以下方法：ØØØØØ人工配置检查渗透测试漏洞扫描技术访谈问卷5.2.2安全管理评估通过查阅文档、抽样等方法，被测在方面制定规章制度的