寧夏某縣衛健局衛生信息化網絡安全建設
作者:啟明星辰技術中心行業營銷部
2021-03-11
項目背景
2011年�����,原衛生部制定并印發了《衛生行業信息安全等級保護工作的指導意見》(衛辦發[2011]85號)�����,指出衛生行業各單位要按照“誰主管���、誰負責����,誰運營���、誰負責”的要求�,落實信息安全責任�����。
2016年�,國務院印發《“十三五”衛生與健康規劃》(國發[2016]77號)���,《規劃》提出要“加強健康醫療數據安全保障和患者隱私保護”以及“加強信息安全防護體系建設”�。
2017年6月生效的《中華人民共和國網絡安全法》明確了我國實行網絡安全等級保護制度�。
2019年12月1日起�,網絡安全等級保護2.0時代正式開啟���,對醫療衛生行業信息系統的網絡安全等級保護提出了新的要求和標準�����。
醫院信息系統的安全性直接關系到醫院醫療工作的正常運行��,一旦網絡癱瘓或數據丟失��,將會給醫院和病人帶來巨大的災難和難以彌補的損失��。同時����,醫院信息系統涉及大量醫院經營和患者醫療等私密信息����,信息的泄露和傳播將會給醫院�����、社會和患者帶來安全風險�。
因此在某縣區域衛生信息化建設過程中���,應當正視現在復雜的網絡環境��,以及可能面臨的各種網絡安全風險�����,對網絡威脅應給予充分的重視����。為了區域衛生信息化平臺信息系統和網絡的安全穩定運行�����,確保信息系統安全����,根據醫院目前的信息系統網絡特點及安全需求���,本著切合實際�����、著眼未來的原則����,提出新形勢下網絡安全建設的思路和辦法��。
用戶需求
1. 安全物理環境方面��,按照三級等保要求���,三個手持干粉滅火器不滿足等保要求�,需配置七氟丙烷滅火設備��;UPS電池組過少����,不滿足低于4小時供電的需要����,或配置柴油發電機�;操作間和數據機房通道�����,需加裝門禁系統�。
2. 安全通信網絡方面����,按照三級等保要求�����,沒有建立一套完整的邏輯清晰的����、易于擴展和方便管理的體系架構����。滿足日常安全運維的需要����,同時滿足網絡安全和等級保護的總體需要��,充分考慮數據流向���、邊界安全的需要�����。另外�,某縣人民醫院信息系統與鄉鎮衛生院HIS系統進行數據傳輸時���,借助醫保網的網絡資源�����,存在較大的安全風險����,且在終端未進行安全管控的情況下���,容易出現不可估量的責任事故�。
3. 安全計算環境方面�����,按照三級等保����,虛擬化資源池容量不足�,不便于后期擴展�;需要擴大虛擬化資源池����,升級虛擬化控制軟件�����;從而滿足鄉鎮衛生院的HIS系統以及業務數據存儲的部署需要����。另外���,沒有建立主機防病毒和終端防病毒措施�����。
4. 安全區域邊界方面�,按照三級等保��,未建立邊界區域防護措施����,且目前所用設備在網絡部署位置以及安全策略配置方面�����,均未達到要求��。邊界管控措施未建立�,防護措施未建立�����。需要按照等級保護要求���,重新在優化架構時���,按照需要補齊安全設備�。另外��,對訪問控制和無線網絡沒有具體的管理措施�。
5. 安全管理中心方面�,按照三級等保��,需建立安全審計管理體系�,需建立安全系統管理體系和集中管控�����。主要表現為�,缺少安全審計類設備��,如數據庫審計�、日志審計�����、安全運維管理系統和集中管控系統�����。
6. 安全運維管理方面和安全建設管理方面�����,均未建設相應的管理體系���。
解決方案
構建一套完整的��、易于擴展和方便管理的體系架構���。滿足日常運維的需要���,同時滿足網絡安全和等級保護的總體需要�,充分考慮數據流向�����、邊界安全的需要�����。
進行邏輯清晰的網絡區域劃分�����,部分核心業務區域(虛擬化)����、內部辦公區域(包含2個社區�、12個鄉鎮衛生站和煤礦醫療機構)��、外聯業務�����、醫保結算區域及鏈路接入區域進行邏輯隔離和物理隔離����;每個區域內部部署邊界防護和管控設備���。建立符合等保要求安全集中管控�、主動監控����、動態防御措施��。
針對某縣區域衛生信息化平臺建設特征�����,對醫院信息網絡進行分域管理�����,根據不同功能區的使用要求����,將平臺網絡進行內外網隔離��,其中內網劃分專線區��、辦公內網��、內網和外網通過網閘進行安全隔離�,保障訪問安全��。
用戶收益
● 構建安全合規的縱深防御體系
本項目建設依照等級保護相關要求����,通過合理劃分安全區域��、部署各類安全產品并實行嚴格的安全防護與控制措施���,形成檢測�����、防護���、響應和恢復的保障體系���,同時引入安全管理咨詢服務和專業安全服務�����,提升了信息化平臺整體安全防護能力�����,從而建立有針對性的合規性安全保障體系框架和安全防護措施
● 提升運維效率�,降低人力運維成本
通過本項目的建設����,可以實現對醫院內安全事件的分析與挖掘��,依據真實的網絡安全運行數據���,可驅動醫院今后制定對應的有效決策��,有針對性地部署管理���,提升整體網絡安全防護水平��。
● 協同防御�����,多級聯動
參照等級保護2.0要求用戶構建多級聯動安全防御體系�����,形成威脅的防御����、檢測��、響應和預測�����,形成閉環���,應對各種攻擊�。同時����,以智能集成聯動的方式工作��,應對高級網絡安全威脅�。
京公網安備11010802024551號