安徽省某區域平臺安全加固建設
作者:啟明星辰技術中心行業營銷部
2021-03-11
項目背景
區域醫療衛生信息化平臺���,是連接規劃區域內(醫療衛生機構��、行政業務管理單位及各相關衛生機構)各機構的基本業務信息系統的數據交換和共享平臺�����,是讓區域內各信息化系統之間進行有效的信息整合的基礎和載體�����,多元化子系統整合的一個綜合業務平臺�。從業務角度看��,平臺可支撐多種業務�����,而非僅服務于特定應用層面的系統平臺���。
建設區域醫療衛生信息化平臺的因素有三:
第一則是按照2009年4月6日國家出臺的新醫改方案《關于深化醫藥衛生體制改革的意見》要求�����,今后3年的5項重點任務包括加快推進城鄉基本醫療保障制度建設���,初步建立基本藥物制度���,健全城鄉基礎醫療服務體系��,促進基本公共衛生服務均等化和公立醫院改革試點����。因此���,建立全民健康檔案成為首當其沖的任務����。
第二則是要實現區域衛生信息化的互聯互通和數據共享�。當前醫療衛生信息化還處于一種各自開發�����、各自建設�,可能由成為一座座信息孤島的狀態�,所以區域衛生信息化必須實現包括婦幼����、計生�����、急救等系統在內互聯互通�����、數據共享���。
第三則是實現城鄉醫療資源的合理分配����。醫療資源分配非常不合理����,大部分集中在大城市�、農村醫療資源分配極不合理���。
其建設目標可劃分為:
第一�,建立區域醫療衛生信息數據中心��。
第二����,建立全民健康檔案系統��。
第三���,實現區域內醫療機構信息互聯互通�����。
第四����,實現區域一卡通���、雙向轉診�����、一單通等區域協同醫療服務����。
第五��,實現醫療�����、醫保��、新農合系統“三位一體”的運營平臺�����。
安徽省某市衛健委2016年開始進行區域醫療衛生信息平臺的建設����,針對信息平臺以及數據中心的網絡安全防護方案也在同期統籌進行���,同時為貫徹落實《關于印發<信息安全定級保護管理辦法>的通知》(公通字[2007]43號)�����、《網絡安全等級保護條例(征求意見稿)》和《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安[2007]861號)����,安徽省某市衛健委區域信息平臺進行信息系統安全防護工程也需要考慮等級保護相關要求���。2019年5月10日國家市場監督管理總局召開新聞發布會正式發布《信息安全技術網絡信息安全等級保護基本要求》國家標準并于當年12月1日正式實施���,需按照最新等保相關要求進行整改完善���。
本項目的建設目標是依據國家信息系統等級保護相關標準及其他信息安全標準規范����,建設安徽省某市衛健委區域信息平臺的信息安全體系�����,通過安全需求分析����、信息安全技術策略設計以及信息安全產品集成實施等�,進一步完善安徽省某市衛健委區域信息平臺安全防護體系�,提高安徽省某市衛健委區域信息平臺的安全保障能力和防護水平���,確保網絡與信息系統的安全運行��,達到國家信息安全等級保護相關標準要求����。項目建設范圍是安徽省某市衛健委區域信息平臺��。
用戶需求
根據國家等級保護政策制度的工作思路�����,依照《信息安全技術 網絡安全等級保護基本要求》��、參照《信息安全技術 網絡安全等級保護設計技術要求》和《信息安全技術 網絡安全等級保護測評要求》等標準規范���,結合安徽省某市衛健委區域信息平臺業務信息系統的實際情況�����,編制信息安全建設體系設計方案���,用于指導安徽省某市衛健委區域信息平臺信息系統安全等級保護建設整改工作��。
方案的總體目標是設計符合安徽省某市衛健委區域信息平臺實際業務應用�、實際網絡信息系統運行模式和國家等級保護建設整改工作要求的總體方案��,實現安徽省某市衛健委區域信息平臺信息網的信息安全防護達到信息系統安全保護相應等級的基本要求���,并符合行業的下一代網絡安全架構標準����。
解決方案
為了構建一個強壯�、有效的網絡安全防護技術體系�,在分析安徽省某市衛健委區域信息平臺架構中存在的潛在風險后�,為了提升業務中心的安全�,需要進行網絡安全防護建設:
根據安徽省某市衛健委區域信息平臺信息應用系統的用途和重要性的不同��,把安徽省某市衛健委區域信息平臺劃分為如下的多個安全域���,分級進行安全防護:
1. 骨干鏈路區
主要負責數據對接及網絡接入的功能��,需要著重安全防護的區域�����。
2. WEB服務區
WEB服務區是公共服務器區�,主要提供對互聯網和內網等其他區域需要訪問的各類應用服務系統的安全防護����,如門戶網站�、郵件服務器�����、醫療應用查詢等�,是需要著重保護的區域�;
3. 業務服務器區
主要用于保護涉及安徽省某市衛健委區域信息平臺機密的相關服務器和數據存儲服務器等����,如數據庫服務器��,業務系統服務器等��,這些服務器對整個信息平臺是非常重要的業務系統�����,也是需要著重保護的區域
4. 安全管理區
安全管理區主要是提供對整個網絡的網絡設備和安全設備集中管理�、策略下發����、運營維護的區域��。
5. 支線接入區
各市直醫院��、區縣醫院��、社區鄉鎮醫院及村衛生室等醫療機構接入專網�����,提供對數據中心業務系統的訪問��、數據交換功能��,對接入機構通過部署下一代防火墻做好邊界安全����,無衛生信息專網接入機構通過VPN撥號接入����。
6. 桌面安全和服務器自身安全
在每一臺PC 和服務器上部署終端管控及防病毒軟件�����,保證PC 和服務器自身的安全�。
用戶收益
1. 滿足等保2.0合規要求���,提升了平臺的整體安全防護能力��;
2. 全天候感知平臺內外部網絡安全態勢����,可視化技術使得威脅和異常清晰可見���;
3. 實現醫療數據全生命周期掌控�����,實現了對醫療數據流通各個環節的監控�,掌握醫療數據的動態及流向��,提前對可能發生的數據泄露風險進行預警��,保障了數據在安全可控的范圍內使用��,流傳及存儲�;
4. 降低數據泄露風險��,對數據的訪問���、使用進行清晰的權限管控��,實現事后溯源及定責����。
京公網安備11010802024551號