医院网络及IT系统评估报告_第1页
医院网络及IT系统评估报告_第2页
医院网络及IT系统评估报告_第3页
医院网络及IT系统评估报告_第4页
医院网络及IT系统评估报告_第5页
已阅读5页,还剩1页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、精选优质文档-倾情为你奉上XXXX医院信息化系统安全评估报告1 现状网络安全现状用户当前网络拓扑如图所示:1.1 网络安全部分,内网采用一台盒式交换机作为核心,各楼层采用盒式交换机汇聚接入,实现医护人员的办公内网接入。另有一台盒式交换机作为核心交换机的冷备设备,平时不开机。无安全防护设备。外网与内网结构基本相同,采用一台盒式交换机作为核心,各楼层采用盒式交换机汇聚接入,实现医护人员的Internet接入。无冗余交换设备。外网出口部署一台防火墙设备。1.2 IDC数据中心部分医院目前部署了his,lis等信息系统。均采用物理服务器直接部署方式,his系统采用两台物理服务器,通过ROSE软件实现H

2、A功能,但是由于某些原因(初步判断是rose软件配置原因),当rose软件发生主备切换时,外置存储阵列不能自动挂载到备用服务器上,需要进行手动操作,使rose的HA功能不能完全发挥。Lis系统采用单机部署方式。医院当前部署了两台存储希望实现数据层的容灾功能,但是没能通过自动的远程复制功能实现数据备份,存储层的容灾只能采用手动定时备份的方式,备份周期间隔较长,故障时需要手动挂载lun进行恢复,RTO和RPO都比较高。2 存在的主要问题2.1 性能低医院当前网络采用盒式设备,交换和转发能力存在瓶颈,部分链路采用5类双绞线链路,限制了网络带宽的提升。虽然在当前业务模式下,网络还没有显示出负载大等问题

3、,但是如果医院建立pacs等需要高带宽的业务或无线覆盖的移动医疗方案,当前的网络链路将不能满足需求。2.2 可靠性低医院目前业务连续性面临严重危险,任何突发的故障,都可能造成业务系统长时间的中断和患者医疗、财务数据的丢失。医院内外网都采用单节点的盒式交换机作为核心交换机,所有链路都是单链路互联,存在严重的单点故障隐患,任意交换机或者任意链路故障都会造成大面积甚至全网的网络瘫痪。内网核心交换机虽然有一台同品牌同型号的交换机做冷备,但是备份交换机长期不加电运行,很难判断备用交换机的状态,在突发情况下,备用交换机可能不能开机使用。服务器仅his有rose的HA功能,而且由于软件配置或其他原因,无法实

4、现业务的双机热备,需要手动切换,增加了RTO时间。LIS系统单机部署,系统没有保护,如果服务器出现故障,将造成系统不能提供服务。2.3 安全性低医院仅外网出口有一台防火墙,对网络保护能力严重不足。内网全网处于无保护状态。HIS和LIS服务器很容易受到病毒和黑客攻击。终端PC采用免费版的防病毒软件,对大规模、突发性病毒缺少抵抗力。缺少边界防护和接入管理,PC通过内网交换机就可以接入办公内网,带来病毒和信息安全风险;医护人员的办公电脑也可以很轻易的在内网和外网间切换,成为病毒的中转平台。没有终端管理方案,终端设备可以不受限制的使用USB能外接设备,也为网络带来了安全隐患。2.4 扩展性差网络部分,

5、盒式交换机端口数量和交换性能固定,无法实现性能和接入点的批量扩展。IDC机房内,目前HIS和LIS都采用物理机部署的方式,当新的业务需要上线时,需要采购新的服务器或存储设备。不同系统之间资源不能共享分配。2.5 易维护性差目前医院信息化涉及的软硬件设备,种类多、品牌多、数量多。但是缺少远程的、智能的、统一的运维手段和工具。日常运维中不能及时了解各个设备的工作状态,资源占用比例等运维信息,不能输出运维统计报表,智能采用手机拍照,截图等方式记录运行情况。当发生异常的时候,不便及时定位故障点所在。2.6 规划实施运维能力不足信息化实施初期,可能由于实施人员的工作经验和能力的不足。整体网络中存在很多设

6、计上的不合理之处。例如,所有服务器和终端pc处于同一个广播域(网段)内,大大降低了网络传输的性能,同时带来arp攻击等安全隐患。Rose软件HA功能可以实现主备切换时,存储阵列自动挂载。医院当前的情况,应该是Rose软件或存储阵列配置存在问题,3 改造建议依据中华人民共和国网络安全法、国家信息系统安全保护等级基本要求、卫生部发布关于卫生行业信息安全等级保护工作的指导意见、鄂等保【2017】4号 关于开展2017湖北省公安机关网络安全执法检查工作的通知.医疗行业涉及众多患者个人信息,受到攻击会对个人信息安全造成重大损害,要求“二级医院的核心业务信息系统安全保护等级原则上不能低于二级,相关单位必须

7、在完成信息安全等级保护建设工作,并通过等级评测”。医院信息化系统的建设应该满足安全技术、安全管理和安全运维三个重要条件。信息系统完整的安全体系包括以下四个层次:最底层的是物理级安全,其包括计算机安全,硬件安全等;其次是网络级安全,主要包括链路冗余,防火墙等等;再次是系统级安全包括数据灾备,病毒防范等;最后是应用级安全包括统一身份认证,统一权限管理等;而贯穿整个体系的是安全管理制度和安全标准,以实现非法用户进不来,无权用户看不到,重要内容改不了,数据操作赖不掉。整个平台的安全体系如下图:安全类别控制项主要安全措施2级3级物理安全物理访问控制机房安排专人负责,来访人员须审批和陪同重要区域配置门禁系

8、统(1套即可)防盗窃和破坏暴露在公共场所的网络设备必须具备安全保护措施主机房安装监控报警系统防雷击机房计算机系统接地符合GB 50057-1994建筑物防雷设计规范中的计算机机房防雷要求机房电源、网络信号线、重要设备安装有资质的防雷装置防火机房设置灭火设备和火灾自动报警系统机房配置自动灭火装置电力供应机房及管件设备应该配置US备用电力供应医院重要可是应采用双回路电源供应环境监控机房设置温、湿度自动调节设施机房设置防水检测和报警设施对机房管件设备和磁介质实施电磁屏蔽网络安全结构安全网络应按职能和重要程度不同划分网段重要网段之间应采用防火墙进行隔离访问控制网络边界部署防火墙或网闸安全审计网络日志审计、网络运维管理安全审计边界完整性检查采用准入控制系统、实现准入控制、非法外联检查采用准入控制系统,实现准入控制及非法外联阻断入侵防范入侵检测系统/入侵防御系统恶意代码防范防病毒网关主机安全入侵防范采用服务器安全加固安全审计采用中断管理系统实现安全审计恶意代码防范防病毒软件应用安全身份鉴别采用电子认证措施安全审计数据库安全审计系统数据安全与备份恢复备份和恢复本地数据备份与恢复硬件冗余关键网络设备、链路和服务器硬件冗余异地备份异地

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论