• 信息安全
  • 无线安全
  • 等级保护
  • 虚机安全
  • 数据备份
  • 背景

    近年来,医院为了提升竞争力、方便患者就医,逐步与银行、社保、新农保等单位互联互通,开始向患者提供互联网上的医嘱乐虎国际娱乐app 、病历调阅乐虎国际娱乐app 、检查检验报告的浏览乐虎国际娱乐app ,医院信息化在快速发展的同时,也逐渐暴露出了安全建设的不足。目前,在全国范围内,由于医院信息泄露、管理不当等问题引起的安全事件也是层出不穷,使医院在经济效益和社会效益方面都蒙受了巨大的损失。

    为此,国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》,要求涉及国计民生的信息系统应达到一定的安全等级。 为贯彻落实国家信息安全等级保护制度,原卫生部2011年底发布了《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》,明确要求全国三甲医院要于2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。


    解决方案

    根据医院信息系统的应用、网络以及IT资产等基本信息,智天远等级保护解决方案结合等级保护标准及要求,形成医院信息系统安全保障框架。

    如下图所示:

    1502784034895528.png1502784034895528.png

    根据上级主管部门的政策指导,依据信息安全等级保护要求,对医院业务系统进行等级保护建设。

    1504837416522161.jpg

    医院信息系统的安全建设参照等级保护基本要求,除了物理安全暂不在考虑范围之内,包含了网络安全防护、系统安全防护、应用安全防护、数据安全防护及统一安全管理系统。

    本方案首先根据医院的现状及业务应用,将医院信息系统分为外网区、DMZ区、运维管理区、办公区、业务平台区、内网数据中心、第三方外联等区域,根据所化分区域实现分区防护。

    Ø  外网区

    在核心区和外联区出口首先部署抗拒绝乐虎国际娱乐app 系统,实现对攻击流量的迅速过滤,保证正常流量的通过。分别部署下一代防火墙、将原先分散接入的出口进行统一安全接入,由之前单台传统防火墙升级为双机互备的下一代防火墙,安全防护性能和应用性得到大大提升,同时又增强了可靠性抗拒绝乐虎国际娱乐app 和下一代防火墙的部署,真正实现了安全防护第一道墙的安全作用。

    Ø  核心区

    在部署第一道安全防护墙之后,配合 IPS入侵保护系统以及VPN网关系统的部署,可以实现提前对攻击行为进行实时检测及防御,确保正常行为及加密流量通过整个信息网络。通过部署入侵保护系统IPS和VPN系统,也就意味着在医院信息系统的互联网出口竖起了第二道安全门。

    Ø  DMZ区

    医院的DMZ区一般承载着医院对外的数种业务应用:web网站应用、微信平台、预约挂号系统等,所以安全性相对比较重要,在这个区域除了采用常规的边界隔离手段之外,对网站的防护、数据库的防护要求需要额外考虑。在DMZ乐虎国际娱乐app 器区域通过部署Web应用防火墙、数据库审计系统、防统方系统实现可有效杜绝网页挂马、XSS跨站、SQL注入、网页篡改、数据库误操作、数据批量导出等问题。

    Ø  内外网融合的边界

    医院信息系统分为外网区和内网区,结合国家等级保护相关规定,从业务安全需求出发考虑,内外网融合的边界安全部分是重点,内外网核心交换机相连,由外到内依次部署防火墙、网闸、防病毒网关、入侵防护系统等。同时需要配置详细的访问控制策略,保证乐虎国际娱乐app 最小化原则,开启双向严格的访问控制及入侵防护策略。

    Ø   内网区域(办公、业务平台、数据中心、第三方接入)

    在内网区域,除了部署防火墙实现边界隔离外,核心区和内部业务平台区域之间建议部署两台入侵防护系统IPS,实现双机互备以提升可靠性。同时入侵防护系统IPS可实现2-7层的宽度防御能力,可有效杜绝安全行为。在内网区起到第三道防护强的安全作用。并建议部署的入侵防护系统IPS支持虚拟入侵防护能力,既节约安全防护成本,又可实现对办公区、应用乐虎国际娱乐app 器、数据中心、业务办公区的安全宽度覆盖。

    此外建议部署安全审计系统,对网络行为及操作进行安全审计,并且通过审计系统可以实现对重要系统的不安全行为、记录违规行为,有效帮助管理员实现安全事件预警、溯源等。

    另外在HIS/CIS系统的业务数据中心区域,建议部署数据库审计系统,实现对数据库操作行为的实时记录,有效帮助管理员实现安全事件预警、溯源等。

    Ø  运维管理

    大多数安全风险是由管理疏忽造成的,有效的安全管理可大大提升工作效率。在运维管理区域建议部署漏洞扫描系统和配置核查系统,定期对办公网进行漏洞扫描和配置核查,提前发现安全漏洞和配置问题,通过漏洞扫描系统和配置核查系统的安全解决方案可有效帮助管理员及时修补漏洞和规范配置,杜绝安全风险。最后建议在安全区域部署两台堡垒机系统,实现对内网重要资源的统一管理、统一运维、统一行为审计。同时双机部署可保障运维的可靠性。

    Ø  主机安全

    主机安全旨在解决主机自身的安全性,可通过部署认证系统对主机的接入进行合法认证;部署防病毒系统可增加主机对病毒入侵的防护能力,特别是不能访问互联网的主机还可提供操作系统补丁的定时更新;主机准入要求更为严格的还可能过部署终端安全准入系统,通过终端安全准入系统实现与防病毒系统、漏洞扫描系统的联动,在主机接入网络之前除了需进行身份认证外还需对主机自身安全性进行检查,如是否有打上最新操作系统补丁,主机防病毒特殊库是否为最新,主机是否有高危漏洞未修复,主机外涉接口是否按规定进行禁用等一系列安全检查,只有安全合格的主机方可接入网络;在一些数据密级较高的企业、事业单位中,主机所产生的数据尤为重要,为防止数据的涉密,可部置加密系统对主机数据进行加密,即使数据外泄也是进行加密处理过的密文,无数据生成人员的授权是无法解密的。再者虚拟机的病毒防范更是重中之重,同样可通过部署防病毒系统增强安全防范。

    Ø  统一安全管理平台

    在运维管理区部署统一的安全中心,对网络内的安全设备的日志,策略,补丁升级等,进行统一管理