搜索
医疗行业信息系统等级保护01目录等级保护介绍02行业信息系统现状03整改方案设计01等级保护介绍等级保护制度进入2.0时代★深入推进国家网络安全等级保护制度一、根据2017年6月1日实行的《中华人民共和国网络安全法》第二十一条明确要求:国家实行网络安全等级保护制度。二、中央关于加强社会治安防控体系建设的意见、公安改革若干重大问题的框架意见要求“健全完善信息安全等级保护制度”。三、习近平总书记等中央领导批示要求:健全完善以保护国家关键信息基础设施安全为重点的网络安全等级保护制度。信息安装等级保护法规政策体系信息安全遵循标准《信息安全技术信息系统安全等级保护基本要求》GB/T22239-200801《信息安全技术信息系统安全等级保护实施指南》GB/T25058-201002《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函[2011]1126号)03《关于印发基层医疗卫生机构管理信息系统建设项目指导意见的通知》04卫生行业信息安全等级保护工作的指导意见★2011年11月,卫生部印发了《卫生行业信息安全等级保护工作的指导意见》通知,明确提出卫生行业信息安全等级保护工作的指导意见。以下重要卫生信息系统安全保护等级原则上不低于第三级:(1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;(2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;(3)三级甲等医院的核心业务信息系统;(4)卫生部网站系统;(5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。等级保护之五级划分等级对象侵害客体侵害程度监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查02行业信息系统现状医疗行业信息系统现状----主要业务系统医院信息系统主要应用HIS系统医疗信息系统(流程)LIS系统临床试验系统(临床、患者状况、用药、疗程)PACS系统影像(B超、彩超、X光……)EMR系统电子病历(接收并存放LIS的信息)①高速的响应速度和联机事务处理能力;②医疗信息数据的复杂性;③信息的安全、保密度要求高;④数据量大;⑤稳定性要求高;⑥瞬时并发访问量大;⑦系统后期数据维护工作量大;信息系统特点:①不当的访问和准入控制②医院的统计信息、孕妇新生儿信息被打包出售等较为恶性的数据安全事件;③由于蠕虫、病毒的入侵导致的系统故障等信息安全事件;④医保卡的使用使得医疗机构与银行、社保等机构需要更多的数据交换及实时结算业务挑战:医疗行业信息系统现状----网络架构及安全风险分析业务挑战:核心业务系统安全防护(网络,主机,数据)等级保护安全建设要求(等级保护测评及整改)省市区三级级安全平台及卫生专网安全建设(健康档案数据库及卫生专网安全建设)外网门户网站安全建设安全建设方向:03整改要点行业等保整改规划1、根据医院的实际需求以及相关行业及等级保护要求,对信息系统进行安全建设,从边界安全,业务安全,内网终端安全,以及安全管理等角度完成对信息系统的安全建设.2、结合医疗行业及本院实际情况,以及国家十二五规划,针对,电子病历,健康档案等核心数据进行重点保护,加强卫生专网边界防护.3、从技术,管理两个角度完成对HIS,PACS等业务系统的安全建设.4、提供专业的安全服务,从门户网站监控,到等级保护的咨询与信息系统渗透测试,加固方案,保障用户信息系统健康,安全,稳定的运行.5、所提供安全产品具为行业内一流产品,出色的性能和功能,很好的满足用户的安全需求.整改要点基本防护能力基本出入控制存放位置、标记标识建筑防雷、机房接地灭火设备、自动报警关键设备稳定电压、短期供应线缆隔离关键设备冗余空间核心网络带宽子网/网段控制访问控制设备(用户,网段)拨号访问权限日志记录内部非法联出检测常见攻击基本登陆鉴别物理环境01网络安全02主机安全03应用安全01数据安全01基本身份鉴别安全策略用户权限分离服务器运行状况审计软件最小安装原则防恶意代码软件、代码库统一管理对用户会话数和终端登陆管理基本身份鉴别安全策略最小授权原则运行状况审计(用户级)审计记录保护校验码、初始化敏感信息加密数据有效性检验并发数量管理和限制数据传输完整性数据储存保密性重要数据备份硬件冗余互联网安全建设-拓扑图参考图边界安全防护网站安全防护安全监控移动办公接入谢谢观看