网站首页 公司业务 产品中心 解决方案 服务中心 关于创想 联系我们
创想云系列产品 增值服务 网络集成
创想云产品 华为产品 H3C产品 Symantec产品 CISCO产品
创想云解决方案 政府部门 企业单位 电力系统 医疗机构 广电行业
技术支持 维保服务 租赁业务
公司介绍 招贤纳士 公司新闻
方案类别
创想云解决方案
政府部门
企业单位
电力系统
医疗机构
广电行业
产品系列
创想云产品
华为产品
Symantec产品
CISCO产品
解决方案
医院信息化安全等保解决方案
发布日期:2014-03-10     浏览次数:4817

一、行业背景与需求
为贯彻落实国家信息安全等级?;ぶ贫?,规范和指导全国卫生行业信息安全等级?;すぷ?,卫生部办公厅于2011年12月下发卫生部《卫生行业信息安全等级?;すぷ鞯闹傅家饧罚ㄎ腊旆ⅰ?011〕85号)(以下简称《指导意见》)。为贯彻《指导意见》,办公厅同时下发《卫生部办公厅关于全面开展卫生行业信息安全等级?;すぷ鞯耐ㄖ罚ㄎ腊熳酆?011〕1126号)(以下简称《通知》),对卫生行业各单位提出如下要求:
■ 2012年5月30日前完成本单位信息系统的定级备案工作;
■ 根据信息系统定级备案情况开展等级测评工作,查找安全差距和风险隐患,并结合自身安全需求,制订安全建设整改方案;
■ 2015年12月30日前完成信息安全等级?;そㄉ枵墓ぷ?,并通过等级测评。

《指导意见》根据《信息安全技术信息系统安全等级?;ざ吨改稀罚ㄒ韵录虺啤抖吨改稀罚?、《信息安全技术信息系统安全等级?;せ疽蟆罚ㄒ韵录虺啤痘疽蟆罚?,建议三级甲等医院的核心业务信息系统安全?;さ燃对蛏喜坏陀谌?。各省卫生厅根据《指导意见》、《定级指南》、《基本要求》等相关规定,并结合本区域现状提出本区域内三甲医院定级要求,大部分?。ㄊ校┒兑笕缦拢?br />


二、迪普解决之道
为帮助三甲医院落实国家信息安全等级?;ぶ贫扔胛郎啃畔踩燃侗;すぷ饕?,迪普科技从主机安全、应用安全、数据安全与备份恢复四个层面为三甲医院提供融合化的等级?;そ饩龇桨?。
■ 整体思路
医院网络一般分为两张物理网络:内网(业务网)和外网(办公网)。内网主要承载着HIS、LIS、PACS等医院三级信息系统,外网主要承载医院OA、网站、mail等二级信息系统?!痘疽蟆分泄娑ú煌踩;さ燃兜男畔⑾低秤Ω镁弑赶嘤Φ幕景踩;つ芰?,应满足相应的基本安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类?;炯际跻蟀锢戆踩?、网络安全、主机安全、应用安全和数据安全几个层面。本方案针对医院内外两张物理网络及其承载的信息系统,分别从网络安全、主机安全、应用安全、数据安全四个层面进行设计。

网络安全、主机安全、应用安全、数据安全均包含多个控制点,而每个控制点又包含多个具体的技术要求项,本方案针对其中具体项要求提出以下的安全措施,如下表所示:

■ 方案描述
医院内网信息安全等级?;し桨干杓?,如下图所示:

                                                                                                    图1
首先,将医院内网分为多个安全区域,数据中心区、终端接入区、安全管理区、灾备中心与外联区域。
根据不同的业务系统与安全区域划分VLAN,在每个区域边界部署DPtech FW1000防火墙,根据访问需求配置安全访问控制策略。对于重要区域边界部署(数据中心前端与外联区域边界)IPS2000入侵防御系统 /UTM2000统一威胁管理系统/DPX8000深度业务交换网关,对应用层攻击进行检测与在线防御,并在线过滤网络病毒、恶意代码;

内网终端部署DPtech TAC终端接入控制系统,对内网接入终端进行准入控制、状态评估与终端行为审计,对内部终端通过多网卡、代理等方式的非法外联行为进行阻断;

在数据中心区域中旁路部署DPtech UAG3000审计网关,与TAC系统进行联动,实现用户、IP、数据库操作的三层业务日志关联,能够帮助发现医院HIS系统存在的滥用、误用、恶意使用的行为;

数据中心部署DPtech ADX3000应用交付产品,实现重要业务系统负载均衡,在确保重要业务系统可靠性的同时,优化业务系统的服务能力;


在安全管理区部署DPtech UMC统一管理中心与DPtech Scanner1000漏洞扫描系统,为安全管理提供必要的技术手段,并集中收集、存储数据库审计日志、内网终端行为审计日志、防火墙与IPS业务日志等。

医院外网信息安全等级?;し桨讣粕?,如下图所示:

                                                                                                   图2
医院外网分为对外服务器区、互联网区、终端接入区、安全管理区几个安全区域。
对外服务器区前端部署DPtech FW1000防火墙,对服务器访问行为进行控制,并同时部署DPtech WAF3000 Web应用防火墙,对医院门户网站进行重点防护,针对WEB攻击漏洞进行全面检测和加固,防止网站被攻击与篡改;

互联网边界部署DPtech FW1000防火墙、DPtechIPS2000入侵防御系统,构成2-7层的安全防护体系,实现远程数据加密,防止非授权访问,检测与阻断应用层攻击,并防御蠕虫、病毒、木马等网络攻击;

部署DPtech UAG3000审计及流控网关,对外网用户的上网行为进行控制,合理分配带宽,并对上网行为进行审计;

部署DPtech TAC终端接入控制系统,对外网接入终端进行准入控制、状态评估与终端行为审计,防止非法终端与不安全终端接入网络,检测外网终端的安全漏洞,结合第三方补丁服务器修复漏洞,并对外网终端的网络使用行为、桌面使用行为进行管控;

在安全管理区部署DPtech UMC统一管理中心,对安全设备进行集中管理。

方案设计参考标准
 GB/T 22239-2008信息安全技术信息系统安全等级?;せ疽?br />  GB/T 22240-2008信息安全技术信息系统安全等级?;な凳┲改?br />  GB/T 20271-2006 信息安全技术信息系统安全通用技术要求
 GA/T 708-2007 信息安全技术信息系统安全等级?;ぬ逑悼蚣?br />  GA/T 709-2007 信息安全技术信息系统安全等级?;せ灸P?br />  GA/T 709-2007信息安全技术信息系统安全等级?;せ九渲?br />  信息安全技术信息系统等级?;ぐ踩ㄉ杓际醴桨干杓乒娣?br />  信息安全技术信息系统等级?;ぐ踩杓萍际跻?br />  信息安全技术信息系统安全等级?;げ馄酪?br />  ……

三、为什么选择迪普
迪普科技“医院信息系统等级?;そ饩龇桨浮币谰莨倚畔踩燃侗;は喙卣弑曜加胛郎幸档南喙乇曜加胍?,结合医院信息化安全实际需求进行设计,可全面提升医院信息安全防护能力与安全管理能力。主要具备以下特点:
■ 合规性
本方案全面依据《定级指南》、《基本要求》等相关标准,结合迪普科技丰富的等级?;そㄉ杈?,充分理解《信息系统安全等级?;げ馄酪蟆?,对其中的每一项要求均有相关的产品功能、安全策略与之对应(除非网络产品涉及的要求外),采用本方案的医院信息化系统可充分满足国家与医疗行业等保建设要求。
■ 融合化
医院信息化安全防护需求多样化,主要关注数据库审计、终端安全管理、边界安全防护、网站系统防护、互联网上网行为管理、重要业务系统备份几个方面。迪普科技专注于网络安全与应用交付领域,针对多样化的需求可提供全方位的产品与解决方案,全面提升医院信息化系统的安全性、可用性、可靠性。
■ 高可靠
医院信息化系统与医疗业务息息相关,业务系统的可靠性、连续性要求占首位,安全建设不能增加额外的故障点。迪普科技安全与优化类产品广泛运用于电信运营商行业,具备电信级可靠性,同时支持业内领先的“静默备份”、“虚拟化”等双机备份技术,对于重要的HIS系统、数据库等可提供硬件负载均衡产品实现智能备份,从而全面提升医院信息化系统的可靠性。
■ 易管理
医院信息化管理工作繁重,传统的安全解决方案往往大幅增加安全管理工作的难度,迪普科技以UMC统一管理中心为核心的安全管理解决方案,实现安全设备的统一管理,设备状态集中监控,安全策略集中下发,对海量安全日志进行集中采集、分析、关联、汇聚和统一处理,实时输出分析报告,帮助管理员及时对网络安全状况进行分析,其可视化展现的方式极大的降低了网络管理复杂度。

 
关于创想 | 联系我们 | 后台管理 Copyright © 深圳创想信通科技有限公司 2011-2012  粤ICP备12024635号
创想信通科技
点击这里给我发消息
点击这里给我发消息