医院等级保护建设网络安全建设解决方案2018 年 6 月目录1 概述 5 1.1背景分析 51.2等级保护建设目标和范围 61.3方案设计 71.4参照标准 72 信息系统现状 7 2.1医院网络安全现状 82.2医院网络安全风险分析 82.3医院网络安全需求 92.3.1物理安全 92.3.2网络安全 112.3.3主机安全 112.3.4应用安全 132.3.5数据安全 142.3.6安全域划分及边界防护 153 网络安全建设必要性 17 3.1等级保护要求 173.2医院系统面临安全威胁 184 网络安全建设目标 18 4.1满足合规性要求 184.2等级保护技术要求 195 安全技术体系方案设计 24 5.1物理层安全 245.2网络层安全 245.2.1安全域划分 255.2.2边界访问控制 275.2.3网络审计 275.2.4网络入侵防范 285.2.5边界恶意代码防范 295.2.6网络设备保护 295.2.7主机层安全 295.2.8身份鉴别 295.2.9强制访问控制 305.2.10主机入侵防范 315.2.11主机审计 315.2.12恶意代码防范 325.2.13剩余信息保护 325.2.14资源控制 335.3应用层安全 335.3.1身份鉴别 335.3.2访问控制 345.3.3安全审计 345.3.4剩余信息保护 355.3.5通信完整性 355.3.6通信保密性 355.3.7抗抵赖性 355.3.8软件容错 365.3.9资源控制 365.4数据层安全 375.4.1数据完整性 375.4.2数据保密性 385.4.3备份和恢复 396 安全建设方案小结 39 1.1 安全服务汇总 401.2 安全产品汇总 401概述1.1背景分析《中华人民共和国计算机信息系统安全保护条例》(国务院令第 147 号)明确规定我国“计算机信息系统实行安全等级保护”。依据国务院 147 号令要求而制订发布的强制性国家标准《计算机信息系统安全保护等级划分准则》(GB17859-1999)为计算机信息系统安全保护等级的划分奠定了技术基础。《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出实行信息安全等级保护,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度”。《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号)和《信息安全等级保护管理办法》(公通字[2007]43 号)确定了实施信息安全等级保护制度的原则、工作职责划分、实施要求和实施计划,明确了开展信息安全等级保护工作的基本内容、工作流程、工作方法等。信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准的出台,为信息安全等级保护工作的开展提...
