官方微博
关闭
随着医院信息化水平的提高,正逐步建立统一高效、资源整合、互联互通、信息共享、透明公开、使用便捷的医院信息系统。而我国各大医院在医院信息化发展过程中,业务系统面临的安全威胁也日益增长。如:因网络访问控制和终端准入控制不力导致的对核心业务的威胁;医院的统计信息、孕妇新生儿信息被打包出售等较为恶性的数据安全事件;由于蠕虫、病毒的入侵导致的系统故障等信息安全事件等。同时,随着医疗改革的逐步深入,医保卡的使用使得医疗机构与银行、社保等机构需要更多的数据交换及实时结算。在这种情况下,如何保证信息安全是医院信息化建设必须解决的关键问题之一。因此,按照等级保护要求进行符合国家及行业政策规范的信息安全体系建设,符合医院信息化建设的根本利益。
信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度增长。
为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,按照公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)要求,国家卫生部结合卫生行业实际,研究制定了《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85号)。意见指出,国家、省、地市三级卫生信息平台的安全保护等级原则上不低于3级。
华为长期密切跟踪国家等级保护相关政策,参与了等级保护标准制定与研讨、国家项目等多项相关工作,熟悉各行业的安全需求和特点,熟悉等级保护的具体要求。通过深入分析用户业务的安全性,对用户的业务安全现状进行客观的评价,结合用户需求,制定等级保护定级方案、整改和安全建设方案。方案内容如下(图1:系统设计):
《信息系统安全等级保护基本要求》(GB/T22239-2008)中,为基本技术要求和基本管理要求两大类,其中技术要求主要包括身份鉴别、自主访问控制、强制访问控制、安全审计、完整性和保密性保护、边界防护、恶意代码防范、密码技术应用等,以及物理环境和设施安全保护要求。
物理安全要求中,主要包括了物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等10个方面,比较全面地提出了在物理安全方面的基本安全要求。
网络安全要求中,主要包括结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等7个方面,主要涉及业务处理能力冗余、技术隔离、访问控制、日志审计及报表、私自内联与外联、入侵检测与防范、恶意代码防范与系统升级更新、设备访问的身份认证等方面。
主机安全要求中,主要包括身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等7个方面,主要考虑了主机、操作系统、数据库系统的各种安全防护措施。
应用安全要求包括身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等9个方面,以保障应用系统的安全。
数据安全及备份恢复要求,主要包括数据完整性、数据保密性、备份和恢复等3个方面,通过采用加密、数据备份等手段,保障数据安全。
华为自凭借对等级保护的理解和丰富的咨询实力,能够提供端到端的等级保护方案,内容如下:
华为具备完善的安全产品,满足等级保护技术层面的端到端安全,安全产品解决方案如图2所示,通过在网络层部署防火墙和IPS设备满足入侵防范的等级保护要求,通过部署运维审计和数据库审计系统来满足等级保护对审计方面的要求。
1、具备丰富等保咨询经验的专家团队
华为是国内唯一同时具备完善的安全、存储全线产品的企业,拥有国际领先的咨询和服务体系,并有完备的信息安全咨询服务资质和国内顶尖的安全专家团队。结合华为自身的信息安全控制经验,能够保证等级保护控制措施的有效落地。
2、拥有全线安全产品,覆盖等保各个控制点
产品培训
活动资讯
