发布时间 : 星期日 文章XX医院医疗信息系统安全三级等保建设可行性方案更新完毕开始阅读
XX医院医疗信息系统安全三级等保建
设可行性方案
目 录
1 、某市三院医疗信息系统现状分析 ............................................................................... 4
1.1拓扑图 ...................................................................................................................... 4 1.2网站/BS应用现状 ............................................................... 错误!未定义书签。 1.3漏洞扫描 ............................................................................... 错误!未定义书签。 1.4边界入侵保护 ....................................................................... 错误!未定义书签。 1.5安全配置加固 ....................................................................... 错误!未定义书签。 1.6密码账号统一管理 .............................................................. 错误!未定义书签。 1.7数据库审计、行为审计 ...................................................... 错误!未定义书签。 1.8上网行为管理 ....................................................................... 错误!未定义书签。 2 、某市三院医疗信息系统潜在风险 ............................................................................... 5
2.1黑客入侵造成的破坏和数据泄露 ........................................................................ 5 2.2医疗信息系统漏洞问题 ......................................................................................... 6 2.3数据库安全审计问题 ............................................................................................. 6 2.4平台系统安全配置问题 ......................................................................................... 7 2.5平台虚拟化、云化带来的新威胁 ..................................... 错误!未定义书签。 3、某市三院医疗信息系统安全需求分析 ........................................................................ 7
3.1医疗信息系统建设安全要求 ................................................................................. 7 3.2医疗等级保护要求分析 ......................................................................................... 8 3.3系统安全分层需求分析 ....................................................................................... 13 3.4虚拟化、云计算带来的安全问题分析 .............................................................. 20 4、医疗信息系统安全保障体系设计 ............................................................................... 24
4.1安全策略设计 ........................................................................................................ 24
4.2安全设计原则 ........................................................................................................ 25 4.3等级保护模型 ........................................................................................................ 26 4.4系统建设依据 ........................................................................................................ 27 4.5遵循的标准和规范 ............................................................................................... 28 5、安全管理体系方案设计 ............................................................................................... 28
5.1组织体系建设建议 ............................................................................................... 29 5.2管理体系建设建议 ............................................................................................... 29 6、安全服务体系方案设计 ............................................................................................... 31
6.1预警通告 ................................................................................................................ 31 6.2技术风险评估 ........................................................................................................ 32 6.3新上线系统评估 .................................................................................................... 32 6.4渗透测试 ................................................................................................................ 32 6.5安全加固 ................................................................................................................ 33 6.6虚拟化安全加固服务 ........................................................................................... 34 6.7应急响应 ................................................................................................................ 34 7、安全技术体系方案设计 ............................................................................................... 35
7.1物理层安全 ............................................................................................................ 35 7.2网络层安全 ............................................................................................................ 36 7.3主机层安全 ............................................................................................................ 40 7.4应用层安全 ............................................................................................................ 44 7.5数据层安全 ............................................................................................................ 47 7.6虚拟化、云计算安全解决方案 ........................................................................... 49 8、平台安全建设方案小结 ............................................................................................... 51
8.1安全产品汇总 ........................................................................................................ 51 8.2产品及服务选型 .................................................................................................... 54
1、某市三院医疗信息系统现状分析
1.1系统现状
某市第三人民医院(以下简称某三院)作为三级甲等医院,已经建成全院网络覆盖,医院内网已覆盖行政楼、老病房1/2F、门诊一期、门诊二期以及门诊一期中心机房,医院外网与新农合、市社保机构互联。医院内网采用“核心-接入”二层交换架构,行政楼、病房、门诊通过接入交换机连接至中心机房核心交换机。HIS、LIS系统作为三院核心业务系统直接部署在中心机房,系统服务器直接挂载在中心机房核心交换机上。近期三院将在中心机房区域部署一套电子病历系统已完善三院医疗信息系统。在