安全方案目标1安全等级需求2系统风险分析3安全方案框架和安全风险管理4目录安全技术建设方案5安全方案目标信息系统安信息系统安全稳定运行全稳定运行BBGGCCFFAA防止应用系统破坏防止信息网络瘫痪防止业务数据丢失防止终端病毒感染防止卫生信息泄密EEDD防止恶意渗透攻击防止有害信息传播安全方案目标1安全等级需求2系统风险分析3安全方案框架和安全风险管理4目录安全技术建设方案5基础类《计算机信息系统安全保护等级划分准则》GB17859-1999《信息系统安全等级保护实施指南》GB/T25058-2010应用类定级:《信息系统安全保护等级定级指南》GB/T22240-2008建设:《信息系统安全等级保护基本要求》GB/T22239-2008《信息系统通用安全技术要求》GB/T20271-2006《信息系统等级保护安全设计技术要求》GB/T25070-2010测评:《信息系统安全等级保护测评要求》GB/T28448-2012《信息系统安全等级保护测评过程指南》管理:《信息系统安全管理要求》GB/T20269-2006《信息系统安全工程管理要求》GB/T20282-2006医疗信息系统等级保护核心标准业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级根据GB/T22240-2008《信息系统安全等级保护定级指南》,吉林省医药卫生信息化平台所涉及信息包括:病人的基本健康信息,病人的诊疗数据,卫生资源数据等等。这些业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。所以本系统信息安全保护等级界定为二级。安全等级需求一、业务信息安全等级业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级根据GB/T22240-2008《信息系统安全等级保护定级指南》,吉林省医药卫生信息化平台属于为国计民生、经济建设等提供服务的信息系统,其服务范围为区域范围内的普通公民、医疗机构等。该系统服务遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也可能严重侵害社会秩序和公共利益。所以本系统的系统服务安全保护等级界定为三级。安全等级需求二、系统服务安全等级信息系统名称安全保护等级业务信息安全等级系统服务安全等级吉林省医药卫生信息化平台第三级第三级第三级根据GB/T22240-2008《信息系统安全等级保护定级指南》,信息系统的安全保护等级由业务信息安全等级和系统服务安全务安等级的较高者决定。所以本系统的系统服务安全保护等级界定为第三级。安全等级需求三、安全保护等级应具有能够对抗来自大型的、有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较广(地区性)等)以及其他相当危害程度(内部人员的恶意威胁、设备的较严重故障等)威胁的能力,并在威胁发生后,能够较快恢复绝大部分功能。安全等级需求四、第三级的安全保护能力技术要求特点管理要求特点覆盖范围特点•策略•防护•检测•恢复•统一策略(管理制度体系化)•通信•边界•内部(主要设备)安全等级需求五、第三级安全保护的特点安全方案目标1安全等级需求2系统风险分析3安全方案框架和安全风险管理4目录安全技术建设方案5价值资产低高防范措施能不能保护威胁严重性低高漏洞高低危险程度风险系统风险分析一、安全风险要素分析层级架构主要威胁系统风险分析1、雷击、地震和台风等自然灾难物理层物理层2、水患和火灾等灾害3、高温、低温、多雨等原因导致温度、湿度异常7、通信线路因线缆老化等原因导致损坏或传输质量下降8、存储重要业务信息的介质老化或质量问题等导致不可用9、网络设备、系统设备及其他设备使用时间过长或质量4、电压波动5、供电系统故障6、静电和外界电磁干扰10、问题等导致硬件故障11、攻击者利用非法手段进入机房内部盗窃、破坏等12、攻击者非法物理访问系统设备、网络设备或存储...
