医院信息等级保护解决方案.docx
版权申诉
4 浏览量
2022-06-05
12:25:43
上传
评论
收藏 13KB DOCX 举报
医院信息等级保护解决方案
一、 安全等保的测评对象
医院的信息系统有几十种,除了明确定级为三级的核心业务信息系统,其它业务系统如
何处理?拿上海为例,HIS、LIS 和 RIS 定级为三级信息系统,那么这 3 个系统之外的如 EMR、
临床路径系统等如何考虑?实际上等保的第一项工作即是给本单位信息系统分类定级,根据
系统重要性的不同,进行不同级别的定级。如果某个系统与核心业务系统同样重要,可另外
定为三级;其它系统可以定为二级。定为二级的系统按照二级安全等保标准进行建设和测评。
对于二级或三级的业务信息系统,其安全运行所需要的机房、链路、网络、服务器、存
储、操作系统、应用软件等都是测评对象。
二、 三级安全等保解决方案
1. 网络访问控制管理
一般规模的医院网络都采用二层结构,即全院网关终结在核心交换机;同时医院的数据
流量绝大部分都是纵向流量(即终端访问服务器的流量),横向流量(终端之间的访问流量)
基本没有。在这样的流量模型下,尽管内网与公网隔离,但还有如下内容要进行安全保护。
服务器区域:要防范的是“家贼”,即内部数据泄露或病毒 DDoS 攻击。
与无线网络的连接链路:无线网络的开放性使其通常被认为是不安全的。
与外联单位的连接链路:外联单位属于网络边界。
安全插卡的优势体现在两点:
传统医院服务器大都直接连在核心交换机上,在进行服务器的防范时,如果采用外
接安全设备,不得不把安全设备串接在服务器和核心交换机之间或者进行流量重定
向,即需要对原来的网络结构进行改造;
(如图 2 所示)所有的硬件安全产品(FW、IPS 和流量探针)都采用插卡形式,通
过其虚拟化功能,即 1 块插在交换机中的安全插卡可以虚拟化成多个同功能的安全
产品,可以进行上述不同线路上的安全防范。
安全插卡解决方案可以满足三级等保网络安全技术条款中的 11 条(网络访问控制、入
侵防范和恶意代码防范)。
2. 审计报表规范
医院业务关系到民生,而且是 7*24 小时提供服务,因此医院的网络建设首先要考虑可
靠性,因此选择的网络产品通常会高于业务流量的实际需求,引发的问题是大部分医院并不
知道自己实际的流量模型,即各个服务器、各种业务的访问高峰、整个网络流量分布图等。
3. 网络边界完整性检查
目前医院的网络分布,在很多地方是既有内网口又有外网口。医务人员对工作地点的网
络结构熟悉后,会出现自行把医用终端从内网移到外网,违规访问外网后再接回内网的情况。
目前针对此问题,医院想到的方法通常是 MAC 地址和端口绑定,但引发的问题是维护工作量
巨大,使得很多医院对此解决方案望而却步。同时,随着各种医务自助机应用的普及,内网
评论0