某县医院信息安全解决方案

某县医院信息安全解决方案县级人民医院信息安全解决方案信息安全等级保护（二级）相关内容参看卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知，我方医院应该达到二级等保要求。《信息系统安全等级保护基本要求》网络安全二级等保要求：1、网络安全主要关注的方面包括：网络结构、网络边界以及网络设备自身安全等，具体的控制点包括：结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等七个控制点。2、不同等级的基本要求在网络安全方面所体现的不同如3.1节和3.2节所描述的一样，在三个方面都有所体现。3、一级网络安全要求：主要提供网络安全运行的基本保障，包括网络结构能够基本满足业务运行需要，网络边界处对进出的数据包头进行基本过滤等访问控制措施。4、二级网络安全要求：不仅要满足网络安全运行的基本保障，同时还要考虑网络处理能力要满足业务极限时的需要。对网络边界的访问控制粒度进一步增强。同时，加强了网络边界的防护，增加了安全审计、边界完整性检查、入侵防范等控制点。对网络设备的防护不仅局限于简单的身份鉴别，同时对标识和鉴别信息都有了相应的要求。5、《信息系统安全等级保护基本要求》网络安全二级等保要求：主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机，服务器则包括应用程序、网络、web、文件与通信等服务器。主机系统是构成信息系统的主要部分，其上承载着各种应用。因此，主机系统安全是保护信息系统安全的中坚力量。6、主机系统安全涉及的控制点包括：身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等九个控制点。7、二级主机系统安全要求：在控制点上增加了安全审计和资源控制等。同时，对身份鉴别和访问控制都进一步加强，鉴别的标识、信息等都提出了具体的要求；访问控制的粒度进行了细化等，恶意代码增加了统一管理等。信息化安全层级县级人民医院信息化现状分析l医院信息化基础网络部分建设基本到位，医院内部网络通讯畅通。l网络信息化建设分为内网、外网，内外网的PC设备全部独立运行。l根据等级保护二级建设要求，网络安全部分还需要部署防火墙、入侵防御系统。l根据等级保护二级建设要求，数据安全部分还需要部署数据库审计系统。l根据等级保护二级建设要求，主机安全部分建议部署终端接入控制系统。医院信息化等级保护设计医院信息安全建设解决方案某县级人民医院网络拓扑图（现状）某县级人民医院网络拓扑图县级人民医院网络拓扑图——内网数据安全防护县级人民医院网络拓扑图——内网数据安全防护县级人民医院网络拓扑图——内、外网数据安全防护n医院内、外网数据安全防护的基础防护设备部署：在外网出口部署我公司的SRG1000-CA设备、医院内部服务器防护部署我司的千兆防火墙FW1000-GC、千兆入侵防御IPS2000-ME设备。n医院内网防火墙设备用来进行区域隔离和策略控制，内外和外网的隔离、内网和外网的策略控制，内网根据业务的隔离、内网跟进业务的策略控制等等。n网络通过部署入侵防御系统防止内部数据被窃取、攻击损毁等，通过近几年的所有攻击时间我们发现90%的攻击是通过应用层的攻击，通过软件的漏洞进行攻击，所以我们必须通过部署入侵防御系统做到一个攻击的事前防护。n医院外部网络部署一台安全路由网关设备SRG1000-CA设备，有效的防护外网出口，同时通过SSLVPN技术加强远程数据接入安全。县级人民医院网络拓扑图——HIS数据库审计某县级人民医院网络拓扑图——HIS数据库审计Ø支持访问数据库的源主机名、源主机用户的审计，以满足追踪溯源的要求Ø支持Select操作返回行数、数据库操作成功、失败的审计Ø支持数据库对象的SQL操作审计。Ø支持Telnet协议的审计，能够审计用户名、操作命令、命令响应时间、返回码等；Ø支持对FTP协议的审计，能够审计用户名、命令、文件、命令响应时间、返回码等Ø支持审计Radius协议的认证用户MAC、认证用户名、认证IP、NAS服务器IPØ支持IP-MAC绑定变化情况的审计Ø支持数据库类型有：SQL/DB2/MYSQL/ORACEL/SYBASE/INFORMIX县级人民医院网络拓扑图——终端用户管理某县级人民医院网络拓扑图——终端用户管理TAC解决方案的实现思路，是通过将网络接入控制和用户终端安全策略控制相结合，以用户终端对企