医院等级保护建设网络安全建设解决方案2018年 6 月目录1概述1.1背景分析1.2等级保护建设目标和范围1.3方案设计1.4参照标准2信息系统现状2.1医院网络安全现状2.2医院网络安全风险分析2.3医院网络安全需求2.3.1物理安全2.3.2网络安全2.3.3主机安全2.3.4应用安全2.3.5数据安全2.3.6安全域划分及边界防护3网络安全建设必要性3.1等级保护要求3.2医院系统面临安全威胁4网络安全建设目标4.1满足合规性要求4.2等级保护技术要求5安全技术体系方案设计5.1物理层安全5.2网络层安全5.2.1安全域划分5.2.2边界访问控制5.2.3网络审计5.2.4网络入侵防范5.2.5边界恶意代码防范5.2.6网络设备保护5.2.7主机层安全5.2.8身份鉴别5.2.9强制访问控制主机入侵防范主机审计恶意代码防范剩余信息保护资源控制5.3应用层安全5.3.1身份鉴别5.3.2访问控制5.3.3安全审计5.3.4剩余信息保护5.3.5通信完整性5.3.6通信保密性5.3.7抗抵赖性5.3.8软件容错5.3.9资源控制5.4数据层安全5.4.1数据完整性5.4.2数据保密性5.4.3备份和恢复6安全建设方案小结1.1 安全服务汇总1.2 安全产品汇总1概述1.1背景分析《中华人民共和国计算机信息系统安全保护条例》(国务院令第147 号)明确规定我国“计算机信息系统实行安全等级保护”。依据国务院147 号令要求而制订发布的强制性国家标准《计算机信息系统安全保护等级划分准则》(GB17859-1999)为计算机信息系统安全保护等级的划分奠定了技术基础。 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发 [2003]27号)明确指出实行信息安全等级保护,“要重点保护基础信息网络和关系国家安全、 经济命脉、 社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度”。《关于信息安全等级保护工作的实施意见》(公通字 [2004]66号)和《信息安全等级保护管理办法》(公通字 [2007]43号)确定了实施信息安全等级保护制度的原则、工作职责划分、实施要求和实施计划,明确了开展信息安全等级保护工作的基本内容、工作流程、 工作方法等。信息安全等级保护相关法规、政策文件、 国家标准和公共安全行业标准的出台,为信息安全等级保护工作的开展提供了法律、政策、标准保障。2007 年起公安部组织编制了《信息安全技术信息系统等级保护安全设计技术要求》,为已定级信息系统的设计、整改提供标准依据,至2008 年 11 月已报批为国标。与此同时,2007年 7 月全国开展重要信息系统等级保护定级工作,标志着信息安全等级保护...
