等保最终方案2016

1、xx县人民医院关于信息安全等级保护需求申请一、背景根据xx市卫计委宏头文件为提高信息系统的安全运行能力，根据卫生部关于印发卫生行业信息安全等级保护工作的指导意见的通知（卫办发201185号）和关于全面开展卫生行业信息安全等级保护工作的通知（卫办综函20111126号）的相关要求，我院开展信息安全等级保护测评工作，发现信息系统中存在的安全隐患，据此提出信息系统安全等级保护整改和解决方案，避免安全事件对业务工作带来损失，并完善信息系统安全管理制度，提升信息系统安全管理水平。等级保护是国家关于信息安全的基本政策，国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）明确要求我国信息

2、安全保障工作实行等级保护制度，提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。本次测评的主要是根据GB 17859-1999计算机信息系统安全保护等级划分准则信息安全的相关标准，对医院的内网信息系统和外网信息系统，在技术和管理两个方面的10个大项、78个小项的内容进行逐一的检查和测试，其内容涉及信息系统的物理安全、网络安全、主机安全、应用安全、数据安全和管理安全等，以核查医院信息系统已有的信息安全防护措施是否达到国家关于信息安全等级保护相应等级的防护要求，找出系统在信息安全方面存在的脆弱点，并提出安全整改建议。通过测评来发现问题、解决问题，从而帮助系统的使用者规

3、避信息安全风险。二、等保测评 测评描述：根据卫生部文件要求标准结合山东电信评审公司对医院进行全面的测评得出整改方案.如下：1、网络边界缺乏准入准出控制，应对内部用户非法接入外部网络和外部用户非法接入内部网络的行为进行严格的检查和阻断，以防止重要信息外泄和从内部发起的恶意攻击。【不符合网络安全测评中的边界完整性检查要求】2、未对网络入侵行为进行有效监控和阻断，应在网络边界处添加部署入侵防御系统，对网络边界处的入侵行为进行检测和防御，及时发现各种攻击企图、攻击行为或者攻击结果，有效阻断攻击行为，以保证网站的完整性和可用性。【不符合网络安全测评的入侵防范要求】3、未对整个网络运行进行有效的审计，应在

4、核心交换机处旁路部署网络安全审计系统，定期生成报表，检查和备份审计记录。【不符合网络安全测评的安全审计要求】4、未对主机和数据库进行有效的审计，应在服务器交换机旁路部署主机/数据库安全审计系统，定期生成报表，检查和备份审计记录。【不符合主机安全测评的安全审计要求】5、未对办公无线网络接入进行安全防护，应在无线网络接入核心交换机的线路上部署防火墙和入侵防御系统。【不符合网络安全测评的访问控制要求】【不符合网络安全测评的入侵防范要求】6、主机未安装杀毒软件，无法对恶意代码进行检测和防御。【不符合主机安全测评的恶意代码防范要求】7、机房缺少防盗报警设施，应安装防盗报警系统，保障机房设备安全。【不符合

5、物理安全测评的防盗和防破坏要求】8、缺少运维监控系统，对网络、机房、数据库、中间件和业务系统运行情况进行监控和报警。【不符合应用安全测评的资源控制要求】【不符合主机安全测评的资源控制要求】9、缺少网络流量控制设备，对网络流量进行管理和优化，保障重要业务系统带宽。【不符合网络安全测评的结构安全要求】10、Web应用系统缺少对入侵的有效防御手段，建议部署Web应用防火墙，对SQL注入、XSS脚本攻击等窃取数据、篡改数据的入侵攻击进行有效防御。【不符合网络安全测评的入侵检测要求】11、对Web页面篡改缺少有效防护手段，建议部署防篡改系统，对Web系统的页面篡改攻击进行防护。【不符合网络安全测评的入侵

6、检测要求】12、业务应用系统缺少有效的审计，建议部署应用安全审计设备，对业务数据日志进行专有保护。【不符合应用安全测评的安全审计要求】13、网络层面缺少对恶意代码的监控和防护手段，建议在网络边界部署防毒墙设备，重点解决蠕虫类病毒的威胁。三、等保解决方案描述3.1方案描述根据根据医院目前网络现状结合卫生部关于印发卫生行业信息安全等级保护工作的指导意见的通知（卫办发201185号）和关于全面开展卫生行业信息安全等级保护工作的通知（卫办综函20111126号）的相关要求,需先部署一下产品：序号设备名称数量功能模块价格备注1内网安全管理系统一套（台）网络防护管理移动存储介质管理资产管理网络监控桌面管理系统运维管理日志与审计上网管控机制上网管理流量控制下载管理拨号管理外设管理内部文档防护终端及系统补丁更新网络准入控制2入侵防御系统1台3网络