网神等保介绍

行业等级保护

成功案例

网神等保动态

等保相关政策法规

一、概述
         随着卫生业务对信息系统的依赖程度越来越强，信息化环境也日益恶劣，安全问题越来越突出。在这种情况下，各医疗卫生机构对信息安全保障工作给予了足够的重视，各方面的信息安全保障工作都在逐步推进。
         《卫生行业信息安全等级保护工作的指导意见》（卫办发【2011】85号）指出：依据国家信息安全等级保护制度，遵循相关标准规范，全面开展信息安全等级保护定级备案、建设整改和等级测评等工作，明确信息安全保障重点，落实信息安全责任，建立信息安全等级保护工作长效机制，切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力。做好信息安全等级保护工作，对于促进卫生信息化健康发展，保障医药卫生体制改革，维护公共利益、社会秩序和国家安全具有重要意义。

二、需求
         与发达国家相比，我国卫生行业的信息安全管理领域的工作推进还处于初步阶段，信息安全意识相对落后，没有成立专门的安全管理组织，也没有建立规范成套的安全管理体系，这对于大踏步前进的信息化建设工作来讲，是不满足其发展要求的。
         当前影响并威胁医疗卫生行业信息安全主要因素有：
         1. 没有建立信息安全的专门管理机构，没有行政和技术上的有效安全管理，网络设计缺陷威胁网络安全。
         2. 没有制定、公布卫生系统的信息安全规范和安全标准。
         3. 没有实行强制性的安全监督、审查、验收机制，特别是没有第三方介入的监督、审查、验收机制。
         4. 只有重视和执行对用户的安全知识、法规、标准的宣传、培训、考核，没有规定和实行医疗信息系统安全员配备和持证上岗制定。
         5.“头痛医头，脚痛医脚”，很难实现整体的安全管控。

三、方案设计
        （一） 方案设计目标
         信息安全必须保证信息的机密性、完整性和可用性，同时包括可控性和可保证性，这是信息安全建设的重要目标。医疗卫生行业信息安全的建设必须以保证信息的机密、完整和可用为安全保障战略目标，同时信息系统等级保护的整体要求要达到国家重要信息系统的相关保护要求。
         1. 机密性：使信息和网络资源不泄露给未授权的个人、实体、进程，或不被其利用。
          2. 完整性：保护信息和网络资源的准备和完整。
          3. 可用性：已授权实体一旦需要访问信息和网络资源就可访问和使用。
          4. 可控性：能够控制使用信息资源的人或主体的使用方式。
          5. 可保证性：也称“抗抵赖性”，是传统的抗抵赖需求在信息社会的延伸，是建立信任的基础。
        （二）方案设计框架
        医疗卫生行业安全保障体系框架通过医疗卫生信息网络为安全保护对象的基础，采用“结构化”的分析和控制方法，横向把保护对象分成安全计算环境、安全区域边界和安全通行网络；纵向把控制体系分成安全管理、安全技术和安全运行的控制体系框架，同时通过“一个安全管理中心”的安全管理概念和模式，建立的满足等级保护整体安全控制要求的安全保障体系。
        （三）方案安全策略
        1、安全管理体系
        （1）安全组织机构

        （2）安全管理制度

                                
        （3）人员安全管理

2.安全技术体系
        （1）物理安全环境建设
        物理安全主要涉及的方面包括环境安全（防火、防水、防雷击等）设备和介质的防盗窃防破坏等方面。具体包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等控制点。
        （2）安全区域边界建设
        根据《安全设计技术要求》的三重防护的思想和控制要求，并结合《基本要求》的相关安全控制项，安全区域边界的建设通过防火墙、入侵检测、入侵防御、带宽管理等安全产品实现，满足其安全控制措施的要求。
        （3）安全通信网络建设
        根据《安全设计技术要求》的三重防护的思想和控制要求，并结合《基本要求》的相关安全控制项，安全通信网络的建设通过VPN、网络安全审计等安全产品实现，满足其安全控制措施的要求。
通信网络安全：关注信息在通信过程中的机密性、完整性及可用性。
基础网络设施安全：针对网络基础设施需要明确自身的安全防护能力和措施，重点落实网络设备自身的安全设置。
        （4）安全计算环境建设
        根据《安全设计技术要求》的三重防护的思想和控制要求，并结合《基本要求》的主机安全、应用安全和数据安全等相关安全控制项，安全计算环境的建设通过主机核心防护系统、系统和数据库审计、PKI/CA系统、网页防篡改以及系统和应用的自身安全控制实现。
        3.安全运维体系
        （1）信息系统工程管理
        在信息系统工程管理中，主要包括系统设计与采购、系统开发与实施、系统测试验收与交付三方面内容。
        （2）信息系统运维管理
        按照等级保护要求，日常运维管理主要从环境管理、资产管理、网络安全管理、系统安全管理、防病毒管理、监控管理和安全管理中心、密码管理、变更管理、备份与恢复管理九个方面进行考虑。
方案实施计划
        1. 第一阶段
        该阶段的工作目标是实现基本符合等级保护基本要求的总体建设整改工作。该阶段的主要工作包括：
        （1）进一步完善信息安全组织与制度建设 
        （2）完善信息安全防护、监控、审计的技术措施 
        （3）融合已有安全措施与主机、网络、应用系统 
        （4）深化信息安全运行管理 
        （5）加强安全产品的策略配置
        2. 第二阶段
        第二阶段的工作目标是完善并深化实施等级保护基本要求和安全技术设计要求。该阶段的主要工作包括：
        （1）改善物理环境与设施 
        （2）建立异地灾备中心 
        （3）深化应用安全机制

五、结束语
        网神全面解读国家医疗卫生行业等保建设条例，成功搭建卫生行业等保方案。通过以医疗卫生信息网络为安全保护对象为基础，采用“结构化”的分析和控制方法，横向把保护对象分成安全计算环境、安全区域边界和安全通行网络；纵向把控制体系分成安全管理、安全技术和安全运行的控制体系框架，同时通过“一个安全管理中心”的安全管理概念和模式，建立满足等级保护整体安全控制要求的安全保障体系。