延安医疗集团信息安全等级保护整改建议方案书V1.0 - 图文

延安医疗集团

信息安全等级保护整改建议方案书

沈阳东软系统集成工程有限公司

2015年7月

延安医疗集团信息安全等级保护整改建议方案书

目录

1

项目概述 ....................................................................................................................................... 3 1.1 1.2 1.3 1.4 2

项目建设背景 ............................................................................................................................. 3 项目建设目标 ............................................................................................................................. 3 项目参考标准 ............................................................................................................................. 5 项目实施原则 ............................................................................................................................. 5

现状及需求分析 ............................................................................................................................ 6 2.1

现状描述 ..................................................................................................................................... 7

业务系统现状 ..................................................................................................................... 7

2.1.2 基础设施现状 ................................................................................................................... 11 2.1.3 安全技术现状 ................................................................................................................... 16 2.1.4 安全管理现状 ................................................................................................................... 17 2.2 差距分析 ................................................................................................................................... 18 2.2.1 系统定级情况 ................................................................................................................... 18 2.2.2 技术体系差距分析 ........................................................................................................... 18 2.2.3 管理体系方面的差距 ....................................................................................................... 25 2.3 安全需求 ................................................................................................................................... 25 2.3.1 信息安全管理需求 ........................................................................................................... 26 2.3.2 信息安全运维需求 ........................................................................................................... 28 2.3.3 分域保护安全需求 ........................................................................................................... 28 2.3.4 信息安全技术需求 ........................................................................................................... 28

3

安全技术设计方案 ...................................................................................................................... 31 3.1 3.2 3.3 3.4 4

基本安全域定义 ....................................................................................................................... 31 安全防护体系构成 ................................................................................................................... 32 系统整体部署 ........................................................................................................................... 33 系统部署说明 ........................................................................................................................... 35

2.1.1

安全加固建设方案 ...................................................................................................................... 35 4.1 4.2 4.3 4.4 4.5 4.6 4.7

主机安全加固 ........................................................................................................................... 36 网络安全加固 ........................................................................................................................... 40 设备安全加固优化 ................................................................................................................... 41 数据库系统安全加固 ............................................................................................................... 41 管理制度 ................................................................................................................................... 43 服务方式 ................................................................................................................................... 43 服务流程 ................................................................................................................................... 44

5 6

协助测评建设方案 ...................................................................................................................... 44 安全管理体系建设方案 .............................................................................................................. 44 6.1

安全策略设计 ........................................................................................................................... 47

- 1 -

延安医疗集团信息安全等级保护整改建议方案书

6.2 6.3 6.4 6.5 6.6 6.7 6.8 6.9 6.10 6.11 7

安全策略与安全规划 ............................................................................................................... 48 管理制度 ................................................................................................................................... 49 安全管理体系建设过程 ........................................................................................................... 50 落实医疗集团信息安全责任制................................................................................................ 51 医疗集团安全管理现状分析 ................................................................................................... 51 确定医疗集团安全管理策略，制定安全管理制度 ................................................................ 52 落实医疗集团人员安全管理制度............................................................................................ 52 落实医疗集团系统运维管理制度............................................................................................ 53 落实医疗集团系统建设管理制度............................................................................................ 55 医疗集团安全管理制度汇总 ................................................................................................... 55

阶段项目验收与成果物 .............................................................................................................. 56 7.1 7.2 7.3

项目验收流程 ........................................................................................................................... 56 验收评审标准 ........................................................................................................................... 57 阶段验收成果物与总结 ........................................................................................................... 57

8 9

附1：整改建议方案价格预算 .................................................................................................... 59 附2：东软在医院等保整改建设中优势说明 ............................................................................. 61

- 2 -

延安医疗集团信息安全等级保护整改建议方案书

1 项目概述

1.1 项目建设背景

根据卫生部制定的《卫生行业信息安全等级保护工作的指导意见》以及陕西省卫生厅印发的《关于全面开展我省卫生行业信息安全等级保护的通知》（陕卫办发?2012?131号）、《陕西省卫生行业信息安全等级保护工作实施方案》（陕卫办发?2012?132号）、《陕西省卫生厅办公室关于加强信息系统安全等级保护工作的通知》（陕卫办数发?2013?275号）等相关文件要求，为进一步促进和规范延安医疗集团（以下简称：医疗集团）的信息化建设，提高医疗集团的管理与业务工作水平，进一步提高医疗集团信息安全保障能力和防护水平，建立面向医院、面向社会公众和患者、面向卫生行政部门的高效、快捷、方便、优质的医疗卫生信息共享与服务体系，充分利用医疗卫生资源，利用信息化的战略先进性，努力提高人民群众的健康水平，在响应国家关于等级保护要求的基础上，维护院方信息安全，保障和促进医疗集团信息化建设的健康发展，按照国家有关规定和标准规范要求、医疗行业发文要求，医疗集团决定围绕医院核心业务系统HIS系统、LIS系统、PACS系统深入开展信息安全等级保护工作，并在此基础上指引后续信息化安全建设方向。

本整改建议方案书是沈阳东软系统集成工程有限公司（以下简称：东软公司）在西安捷润数码科技有限公司针对医疗集团核心医院医疗集团本部信息化现状调研、分析后出具的《延大附院安全整改建议书-详细V2.0》的基础上，依据上述建议书所反映的医疗集团的相关安全问题和信息系统现状所出具的等级保护整改建议方案书。信息系统的安全状态会随着时间的推移和新技术和新漏洞等的不断发现而不断发展变化，故本建议方案书仅针对上述由西安捷润数码科技有限公司出具的建议书所体现的医疗集团的信息系统现状而制作。后期进入项目实施阶段后，根据信息系统的最新安全现状和具体的产品部署环境，该建议方案书可能还需要有局部的调整和更进一步的细化与优化。

1.2 项目建设目标

三级信息系统安全保护环境的设计目标是：落实GB 17859-1999对三级信息系统的安全保护要求，在二级安全保护环境的基础上，通过实现基于安全策略模型和标记的强制访问

3

延安医疗集团信息安全等级保护整改建议方案书

控制以及增强系统的审计机制，使得系统具有在统一安全策略管控下，保护敏感资源的能力。

依照国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准，以及医疗集团对信息系统等级保护工作的有关规定和要求，医疗集团已经对网络和信息系统进行等级保护定级，并按信息系统逐个编制了定级报告和定级备案表，定级材料已经提交当地公安机关备案。

本次等级保护整改的核心目标是为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面的基本技术要求而进行技术体系建设；为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面定基本管理要求而进行管理体系建设。通过上述两个方面的建设使得医疗集团网络信息系统最终既可以满足等级保护的相关要求，又能够全方位为医疗集团的业务系统提供立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能力。本项目建设将完成以下目标：

1、以医疗集团HIS、LIS、RIS、PACS、体检、临床路径、心电图系统等信息系统的现有基础设施为基础，建设并完成满足等级保护三级系统基本要求的信息系统，确保医疗集团的整体信息化建设符合相关要求并迈向新的台阶。

2、建立安全管理组织机构，成立信息安全工作小组，信息中心负责人为安全责任人，拟定实施医院信息系统安全等级保护的具体方案，并制定相应的岗位责任制，确保信息安全等级保护工作顺利实施。

3、建立完善的安全技术防护体系，根据信息安全等级保护的要求，建立满足三级要求的安全技术防护体系。

4、建立健全信息系统安全管理制度，根据信息安全等级保护的要求，制定各项信息系统安全管理制度，对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。

5、制定保障医疗活动不中断的应急预案。应急预案是安全等级保护的重要组成部分，按可能出现问题的不同情形制定相应的应急措施，在系统出现故障和意外且无法短时间恢复的情况下能确保医疗活动持续进行。

6、安全培训：为医疗集团信息化技术人员提供信息安全相关专业技术知识培训，并获取相关资质认证。

4

本文来源：https://www.bwwdw.com/article/k5qh.html