行業背景
客戶需求
1. 需要根據網路安全等級保護的基本要求,從網路通訊、邊界安全、主機安全、web應用安全、接入安全及系統管理安全等多方面考慮安全防護措施,實現對網路中蠕蟲、木馬、病毒、未知威脅、勒索軟體及挖礦病毒等進行檢測和攔截,保證醫院內部資訊系統的安全。
2. 需要根據網路安全等級保護的基本要求,結合醫院網路的實際情況,建立起醫院完整的安全技術體系、安全管理體系及安全運營體系,使得醫院網路安全建設滿足等級保護合規性要求,符合國家法律規定。
3. 需要根據醫院自身業務系統的實際情況,構建**、防禦、監控、回溯的自適應安全防護體系,使得醫院網路安全實現層層遞進、縱深防禦,實現從被動到主動的安全防禦。
解決方案
方案內容
安全防護體系架構設計
安全防護體系架構圖
三甲醫院的資訊系統安全保障體系是以「乙個中心、三重防護、三個體系」為核心指導思想,構建集防護、檢測、響應、恢復於一體的全面的安全保障體系。其中;「乙個中心」是指安全運營管理中心,即構建先進高效的安全運營管理中心,實現針對系統、產品、裝置、策略、資訊保安事件、操作流程等的統一管理。
「三重防護」是指構建安全區域邊界、安全計算環境、安全通訊網路三維一體的技術防禦體系。
「三個體系」是指形成安全技術體系、安全管理體系、安全運營體系三個體系,三個體系相互融合、相互補充,形成乙個整體的安全防禦體系。其中,安全管理體系是策略方針和指導思想,安全技術體系是縱深防禦體系的具體實現,安全運營體系是支撐和保障。
安全物理環境:
物理和環境安全包括機房選址、機房建設、裝置設施的防盜防破壞、防火、防水、防盜、電力**、電磁防護等,在醫院機房的建設過程中嚴格按照國家相關標準進行機房建設、綜合佈線、安防建設,並經過相關部門的檢測和驗收。
安全通訊網路:
1. 在醫院內網骨幹鏈路採用冗餘技術部署,避免關鍵節點產生單點故障,保障網路穩定性和系統的高可用性,保證系統的可用性;
2. 在醫院網際網路邊界部署vpn裝置,實現遠端訪問,如果運維人員需從網際網路對系統進行遠端維護,也可以通過vpn為運維人員提供運維服務。
安全區域邊界:
1. 根據業務特點進行安全域劃分,並在各個區域邊界部署防火牆裝置,實現安全訪問控制,實現邊界隔離;同時在醫院內外網邊界區域部署隔離網閘系統,實現內外網的安全隔離;
2. 在各區域邊界部署入侵防護裝置,並配置相應的防護策略對業務系統進行安全防護,實現對蠕蟲、木馬、病毒等入侵攻擊行為進行檢測和攔截;
3. 在醫院內部網路部署apt檢測裝置,把網路中的所有流量採集上來進行檢測分析,實現內網的惡意攻擊檢測和未知威脅檢測;
4. 在網際網路區域邊界中部署安全防病毒裝置進行惡意**防護,避免木馬病毒從網際網路進來威脅伺服器;
5. 在網際網路邊界處部署上網行為審計裝置,並開啟裝置上的審計策略,實現對非法外聯及上網行為管控,同時可以對上網行為及操作行為進行審計;
6. 在醫院內網部署安全准入系統,實現內部辦公終端的安全准入,只有合規的終端才能訪問重要伺服器;實現對非授權裝置私自聯到內部網路的行為進行檢查或限制。
安全計算環境:
安全管理中心:
1. 在資料庫系統上配置安全審計策略,同時部署專業的資料庫審計系統,對資料庫的所以訪問、操作行為進行安全審計;
2. 在醫院內網部署日誌審計系統對網路裝置的日誌資訊進行收集和保護,保證日誌儲存時間不少於6個月;
3. 在醫院內網部署安全管理系統,實現對內部網路裝置、安全裝置及伺服器等進行集中安全管控及執行狀況進行集中監測。
網路安全管理體系設計
除了建立安全技術防護體系,採用網路安全技術手段防護安全威脅外,還需要建立安全管理體系,安全管理措施也是等級保護建設中必不可少的一部分,所謂「三分技術,七分管理」,所以醫院(特別是三甲醫院)需要建立完善的安全管理體系,主要從以下內容考慮:
安全管理制度:醫院根據自身的實際情況,組織相關部門和相關人員制定和發布資訊保安工作的總體方針、政策;並根據安全管理制度的基本要求制定各類管理規定、管理辦法和暫行規定,制定嚴格的制定與發布流程,方式,範圍等,定期或不定期對安全管理制度進行評審和修訂。
安全管理機構:醫院要建立專門的安全管理機構,設定安全管理崗位,設立系統管理員、網路管理員、安全管理員等崗位,並根據要求配備專職安全員,同時對安全管理人員進行指導。
安全管理人員:醫院在人員錄用、離崗、考核、教育培訓及第三方人員管理上,都要考慮安全因素。
安全建設管理:在安全服務商選擇上,醫院應選擇有實力,有信譽的專業安全服務廠家。
安全運維管理:採用內部管理人員和專業安全廠家的安全服務相結合的方式來實現。
網路安全運營體系設計
除了安全技術體系、安全管理體系外,三甲醫院還需要建立自身的安全運營體系。
1. 對醫院內部資產進行梳理,包括主機/伺服器、安全裝置、網路裝置、web應用、中介軟體、資料庫及郵件系統等,並對資產進行全面監控,實現安全運營。
2. 定期對系統進行安全評估、檢查系統的配置是否滿足安全防護的需求,定期檢查裝置的執行狀態和系統漏洞情況,建立持續的風險評估機制。
3. 根據安全風險評估的結果制定響應資訊保安應急響應預案,在重大安全事件、安全檢查和其他對醫院資訊保安造成嚴重威脅等情況下,提供及時有效的應急響應服務。
4. 定期在醫院內部組織網路安全培訓,提高醫院相關職工的安全意識和安全能力,建立安全責任制度。
客戶價值
本專案建成後,不僅可以提高醫院it安全管理水平,全面降低資訊保安風險。同時可以幫助醫院在全區三甲醫院中樹立良好的安全形象,還可以促進醫院業務的發展,具有良好的經濟效益和社會效益。
1. 協助醫院滿足等級保護2.0的合規性要求,符合國家法律法規的相關規定。
2. 統一規劃、統一建設、統一運營,可以充分利用現有網路資源和安全資源,節省投資,減少重複建設。
3. 加強網路安全建設,提高醫院的網路安全防禦體系,減少由病毒及黑客攻擊帶來的間接損失。
4. 完善的網路安全防護體系,有效防範網路安全問題引發的社會不良影響;實現醫院敏感資料的安全防護,降低網路安全問題可能引發的法律風險。
應用場景
方案部署如下圖所示:
方案部署圖
網路安全等級保護行業政策彙總
部分引用來自 其餘部分補充,主要目的是彙總有部委政策性要求的等保行業 不包含地方性政策 以及相關標準發布部門和政策物件,相關檔案隨時可能廢止僅供參考。行業名 等級保護 可自行搜尋最新政策。電力行業資訊系統安全等級保護定級指導意見 電力行業資訊保安等級保護基本要求 電力行業資訊保安等級保護基本要求釋義...
網路安全等級保護2 0測評最新流程
按照公安部的最新通知要求,目前網路安全等級保護2.0測評的最新流程,針對各環節重點簡要提示如下 由責任單位發起,按照要求填寫相關材料,2.0重點變化是二級及以上系統定級均需要經過專家評審 由責任單位進行,按照要求填寫相關材料,2.0重點變化是備案材料接受單位由原來的省廳總隊 市局支隊擴充套件到了縣局...
什麼是網路安全等級保護?等保有哪些等級?
網際網路的迅猛發展,在帶給人們快捷 方便的同時,也讓社會面臨著嚴峻的挑戰,個人私密資訊洩露 被盜 半路擷取等各類網路安全問題層出不窮,威脅著個人的資訊保安和社會的秩序穩定。那有什麼解決的辦法嗎?當然有,做網路安全等級保護啊!什麼是網路安全等級保護?網路安全等級保護是指對國家秘密資訊 法人或其他組織及...