医院信息系统网络的安全需求是全方位的、整体的,需要从技术、管理、服务等方面进行全面的安全设计和建设,有效提高信息系统的防护、检测、响应、恢复能力,以抵御不断出现的安全威胁与风险,保证系统长期稳定可靠的运行。
依据国家相关政策及卫生健康行业信息安全要求,根据XX市中心医院信息安全的实际需要,全面完善医院信息安全防护体系,落实 “分区分域、等级防护、多层防御”的安全防护策略,确保信息安全建设工作在本医院的顺利实施,提高整体信息安全防护水平,开展等级保护建设工作。具体目标如下:
(1)开展并完成信息系统等级保护工作,使之达到(符合)卫生健康行业等级保护基本要求。
(2)建立针对核心区域的、重点防护区域的、特殊区域的安全防护及其它重要区域的区域性安全防护策略和防护手段, 完善基础安全防护整体架构。
(3)加强信息安全管理工作,制订科学合理的信息安全工作方针、政策,进一步完善信息安全管理制度体系,实现管理制度的标准化、规范化和流程化。
(4)建立科学、完备的信息安全运维管理体系,实现信息安全事件的全程全周期管理,切实保障信息系统安全、稳定运行。
(5)通过安全服务,全面梳理网络资产信息、安全风险评估,提供安全加固、应急响应、安全保障和安全培训服务,全面保障医院信息安全。
网络的安全保障体系将在统一的安全策略指导下,充分利用和依托已有网络安全基础设施,通过建设网络安全技术体系、安全管理体系、安全服务体系,形成集防护、检测、响应、恢复于一体的安全保障体系,从而实现物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全管理,构建可信、可控、可管的安全体系。
通过对网络安全等级保护标准中技术内容的分析,结合医院信息系统网络应用及实际网络情况,对防护对象的安全防护主要从安全计算环境要求:用户身份鉴别(准入)、自主访问控制、标记和强制访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、客体安全重用、程序可信执行保护;安全区域边界方面:区域边界访问控制、区域边界包过滤、区域边界安全审计、区域边界完整性保护;安全通信网络要求:通信网络安全审计、通信网络数据传输完整性保护、通信网络数据传输保密性保护、通信网络可信接入;安全管理中心要求:系统管理、安全管理、审计管理等方面进行加强,通过成熟的安全技术和可落地的安全管理措施构建单位可信、可控、可管的网络安全防御体系。
整体安全建设拓扑图如下所示:
