医院信息化系统三级等保安全标准及建设分享汇报人:周兴2019年08月CONTENTTT目录背景介绍、原则与标准、等级评估安全保障体系、等保方案设计与框架等级保护软件开发安全管理等级保护网络安全审计边界访问控制、网关防病毒Part11r背景介绍、原则与标准、等级评估背景介绍门诊方面:挂号、收费、发药、护士分诊、大夫看病需借助门诊信息系统;病房方面:每天大夫查房、开医嘱,护士给患者发药等需借助住院信息系统;患者在医院做化验、照片子等都需要借助医院信息系统完成。医院信息系统已经成为医院不可缺少的工具。在这种情况下,医院信息系统一旦出现问题,整个医院将无法运行。因此,医院信息系统的安全问题直接关系到病人的利益,医院信息系统出现故障,将造成病人无法就诊、无法及时得到有效的治疗。安全问题关系到病人的利益,如何保障医院信息安全,确保业务连续性,是各大医院面临的共同挑战。问题说明1、之前医院信息系统安全运维标准化工作较为完善,但各个应用系统较为分散,没有形成统一运维的安全管理机制;网络系统内涉及的硬件设备、系统平台种类繁多,安全监控指标复杂,不能很好的实现分安全域进行安全隔离监管。2、安全防护存在一定程度的缺陷,一旦有新的攻击技术,现有安全防护体系应对外界攻击的能力较差,需要提升现有安全设备防护能力。网络病毒入侵攻击时有发生,一旦应用系统存在防护缺口,将对整个医院的信息安全构成极大的威胁。3、信息系统等级保护管理缺乏硬件设施。4、尽管已经具备一套较为完善的应急响应和应急演练机制,但随着医院对信息系统依赖度的不断加深,信息系统尤其是数字化的医疗信息系统发生风险事件的可能性也不断加大,迫切需要对现有的信息系统应急预案和应急处置措施进行加固和持续提升。整改原则清晰定义模型的原则:在设计信息安全保障体系时,首先要对信息系统进行模型抽象,这样既能相对准确地描述信息体系的各个方面的内容及其安全现状,又能代表绝大多数地区和各种类型的信息系统。把信息系统各个内容属性中与安全相关的属性抽取出来,参照IATF“”“”(美国信息安全保障技术框架),建立保护对象框架、安全措施框架、“”整体保障框架等安全框架模型,从而相对准确地描述信息系统的安全属性和等级保护的逻辑思维。分域防护、综合防范的原则:任何安全措施都不是绝对安全的,都可能被攻破。为预防攻破一层或一类保护的攻击行为无法破坏整个信息系统,需要合理划分安全域和综合采用多种有效措施,进行多层和多重保护。需求、风险、代价平衡的原则:对任何类型网络,绝对安全难以达到,也不一定是必须的,需正确处理需求、风险与代价的关系,等级保护,适度防护,做到安全性与可用性相容,做到技术上可实现,经济上可执行。技术与管理相结合原则:信息安全涉及人、技术、操作等各方面要素,单靠技术或单靠管理都不可能实现。因此在考虑信息系统信息安全时,必须将各种安全技术与运行管理机制、人员思想教育、技术培训、安全规章制度建设相结合。动态发展和可扩展原则:随着网络攻防技术的进一步发展,网络安全需求会不断变化,以及环境、条件、时间的限制,安全防护一步到位,一劳永逸地解决信息安全问题是不现实的。信息安全保障建设可先保证基本的、必须的安全性和良好的安全可扩展性,今后随着应用和网络安全技术的发展,不断调整安全策略,加强安全防护力度,以适应新的网络安全环境,满足新的信息安全需求。参考标准等级保护GB17859-1999计算机信息系统安全保护等级划分准GB/T25058-2010信息安全技术信息系统安全等级保护实施指南系统定级GB/T22240-2008信息安全技术信息系统安全保护等级定级指南技术方面GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/T20270-2006信息安全技术网络基础安全技术要求GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T20272-2006信息安全技术操作系统安全技术要求GB/T20273-2006信息安全技术数据库管理系统通用安全技术要求GA/T671-2006信息安全技术终端计算机系统安全等级技术要求GA/T709-2007信息安全技术信息系统安全等级保护基本模型管理方面GB/T22239-2008信息安全...
