微信咨詢

電話咨詢

4006-288-838

13927455457

在線客服
醫療行業安全解決方案,醫療行業網絡安全方案,醫院信息安全方案,醫院防火墻方案,醫院等保三級方案
醫療行業網絡安全方案

中科網威官網 - 首頁 - 行業解決方案

中科網威三甲醫院信息安全等保解決方案

一、醫療行業背景

隨著信息技術的發展與醫療衛生事業的深化改革,國家金衛工程的實施使醫院管理信息化的進程大大加快,醫院的信息化建設取得了很大進展。計算機和網絡作為現代醫院重要的工具,在日常辦公和業務過程中發揮著越來越重要的角色。計算機和計算機網絡已經成為醫療機構、醫院和其它各種遠程就診等領域的重要信息載體和傳輸渠道。很明顯,計算機、計算機網絡和其所帶來的信息數字化大幅度提高了工作效率,也使得海量的信息存儲和處理成為了現實。但是,在享受到計算機以及計算機網絡所帶來的方便性的同時,也帶來了信息安全隱患。

近年來三甲醫院為了提升競爭力、方便患者就醫,逐步與銀行、社保、新農保等單位互聯互通,開始向患者提供互聯網上的醫囑服務、病歷調閱服務、檢查檢驗報告的瀏覽服務,醫院信息化在快速發展的同時,也逐漸暴露出了安全建設的不足。另外,隨著移動醫療和遠程醫療的日趨廣泛的應用,如何保障移動醫療和遠程醫療的應用安全也是一個極其嚴峻的挑戰。任何的安全事件所導致的醫院業務系統宕機,都會降低患者的就醫滿意度,損害醫院的信譽,處理不當則可能會引起醫患糾紛、法律問題甚至社會問題。


二、醫院等保網絡安全方案設計

1、醫院網上在線業務的服務保障

隨著網上掛號、網上門診等新的遠程醫療形式的推廣,醫院網站的實質業務作用也顯得越來越重要。如何保障醫院網上平臺的高效、可靠運行,網上服務的質量如果保障。 


2、醫院信息網絡域劃分及訪問控制

醫院信息系統安全等級保護基本要求規定:應根據各科室的工作職能、重要性、所涉及信息的重要程度等因素,劃分不同的子網或網段,并按照方便管理和控制的原則為各子網、網段分配地址段。醫院信息系統重要網段(如服務器網段),應能根據會話狀態信息(包括數據包的源地址、目的地址、源端口號、目的端口號、協議、出入的接口、會話序列號、發出信息的主機名等信息),為數據流提供明確的允許/拒絕訪問的能力。


3、醫院網絡邊界入侵防護

醫療機構信息系統安全等級保護基本要求規定:應在網絡邊界處監視以下攻擊行為:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊、網絡蠕蟲攻擊等入侵事件的發生。當檢測到入侵事件時,應記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間,并在發生嚴重入侵事件時提供報警。


4、醫院IDC機房網絡設備安全運維管理

醫療機構信息系統安全等級保護基本要求規定:網絡設備身份鑒別信息應具有不易被冒用的特點,例如口令長度、復雜性和定期的更新等;應具有登錄失敗處理功能,如:結束會話、限制非法登錄次數,當網絡登錄連接超時,自動退出。 


5、醫院信息系統統一強身份認證

醫療機構信息系統安全等級保護基本要求規定:操作系統和數據庫系統身份鑒別信息應具有不易被冒用的特點,例如口令長度、復雜性和定期的更新等。

 

6、醫院安全事件分析及日志審計

醫療機構信息系統安全等級保護基本要求規定:應分析信息系統的類型、網絡連接特點和信息系統用戶特點,了解本系統和同類系統已發生的安全事件,識別本系統需要防止發生的安全事件,事件可能來自攻擊、錯誤、故障、事故或災難。


三、中科網威醫院等保網絡安全方案

1499320144755379.png

三甲醫院等級保護信息安全方案圖

1、信息系統等保安全方案說明:

在上述六個安全層面的建設中,中科網威結合自身優勢為醫療行業提供了一套完整、安全、可行的醫療行業信息安全解決方案。

  • 醫院信息安全建設將從事前預防,事中減損,和事后糾正三個方面提供全面的防護策略,全面提升提高醫院安全防護能力;

  • 重點防護對外WEB應用,降低數據泄露風險、支撐WEB可用性以及控制惡意訪問;

  • 采用VPN技術保證醫院與分支醫療機構、醫院與上下級機構以及醫院與移動醫護工作者的的安全數據交換;

  • 加強主動防御能力,通過全方位、多視角的風險分析,完善醫院信息系統漏洞,降低安全風險,提高信息系統健壯性;

  • 提升醫院IT設備運維審計能力,最小化避免操作失誤以及蓄意破壞帶來的損失。采用集中統一的安全管理形式,提高安全管理效率;

  • 根據上級主管部門的政策指導,依據信息安全等級保護要求,對業務系統進行等級保護建設;

該方案通過中科網威SSL/IPSEC VPN網關、下一代防火墻、IPS入侵檢測、網絡行為審計、運維審計堡壘機、中科網警網管系統與Web應用防火墻、數據庫及業務審計系統等安全產品,共同構建出了一個固若金湯的多層安全防御預防體系。


1)網絡攻擊防護(入侵防御系統)

當醫院網絡系統遇到互聯網的非法攻擊和入侵的時候,勢必對網上應用和交易系統產生影響,造成訪問效率下降、網絡擁堵等狀況,采用主動式入侵防御系統利用高可靠識別攻擊,精確判斷入侵及攻擊行為并作出相應的反應來解決客戶遇到的上述問題。


2)鏈路負載均衡(下一代防火墻)

為了避免出現鏈路單點故障,保證鏈路接入的高可用性,醫院單位一般采用不同運營商的多條鏈路接入,采用鏈路負載均衡產品,把訪問外網資源的內網用戶按照要求負載均衡到兩條鏈路,任何一條鏈路出現故障,都能夠實時發現,自動把請求轉發至正常的鏈路;同時把訪問內網資源的用戶自動導向到訪問質量最優的鏈路,并實時監控鏈路的狀態,如果某一鏈路出現故障,自動切換到其他正常鏈路。


3)安全區域劃分和隔離(入侵防火墻)

醫院網絡在數據中心根據不同的安全級別劃分出不同的訪問區域,不同的區域之間互相訪問需要通過安全設備進行隔離,根據不同的安全級別設定策略進行訪問控制,通過多種檢測機制,發現攻擊流量,實時進行阻斷,提高應用系統的安全性。


4)遠程辦公安全接入(VPN安全網關)

醫院網絡為加強遠程辦公終端的安全性和易用性,采用SSLVPN的接入方式,利用對客戶端安全檢查、靈活定制訪問策略和權限的技術手段,滿足遠程分支辦公用戶或社康中心接入數據中心簡單方便。


5)Web應用安全防護,服務器防護(WEB應用防火墻)

醫院網絡在數據中心的建設過程中Web服務也是核心業務系統,建議采用Web防火墻對Web服務器進行安全保護,避免針對服務器應用層和源代碼攻擊的風險,中科網威Web應用防護系統(ANYSEC-WAF)是中科網威公司結合多年在應用安全領域實踐經驗積累的基礎上,自主研發的一款Web應用安全防護系統。在提供Web應用實現深度防御的同時,實現Web應用安全防護,黑客漏洞攻擊防護,惡意掃描及探測防護,DDOS/CC攻擊防御,URL自學習保護、Web漏洞掃描、服務器防護、網頁防篡改,數據庫防篡改,網站訪問統計,Web負載均衡等常見及最新的安全問題,為Web應用提供全方位的安全防護解決方案。


6)服務器、網絡設備運維操作審計(運維審計堡壘機系統)

醫院網絡在數據中心的建設過程中最重要的就是核心業務系統,它包含了至關重要的應用系統服務器和核心數據服務器,因此各類服務器及醫院應用系統的安全防護是客戶最關心的重點,建議采用運維審計(堡壘機)系統進行安全審計保護,避免針對服務器應用層和源代碼攻擊的風險,采用堡壘機系統安全審計平臺對各類數據庫操作,數據表調用和修改的動作進行審計和告警,保證在數量繁多的用戶訪問數據庫的情況下行為能夠進行審計。中科網威堡壘機系統動態口令認證系統確保網上交易系統用戶帳戶和口令的密碼保護,形成"雙因素"強身份認證。

中科網威運維堡壘機(又稱IT運維管理系統/設備)是針對管理“IT管理員”的設備,可對企業IT運維人員在運維操作過程中進行統一身份認證、統一授權、統一審計、統一監控,消除了傳統運維過程中的盲區,實現了運維簡單化、操作可控化、過程可視化,它通過Web方式對主機、服務器、網絡設備、安全設備、數據庫、應用等實施統一認證、授權、審計、分析;具有與身份認證系統無縫結合接口,支持用戶密碼、手機動態口令雙因子認證。實現對操作過程的全程監控與審計錄像回放,以及對違規操作行為的實時阻斷,保證只有合法用戶才能使用其擁有運維權限的關鍵資源。為組織在操作風險控制、內控安全及規范性等提供一套完善、有效的審計手段。


7)機房服務器、網絡設備、動力環境運維監控報警(運維監控系統)

醫院信息中心運維管理層部署一套運維監控網管系統,為醫院運維人員提供統一的運維設備狀態短信報警。中科網威自主研發的運維審計系統(中科網警系統)產品以高性能、高穩定性和實用設計為原則,運行于安全可靠的Linux操作系統,采用多層高性能架構設計,可管理上萬個監控對象。全中文WEB架構,全面支持IP網絡上的SNMP、WMI、SYSLOG和IPMI協議以及自有的SECROS協議,動力環境監控的Modbus協議,提供非常豐富IT網絡監控和動力環境監控功能,操作簡單,是追求高穩定性和高性價比的企業用戶、政府、醫院單位的首選產品,通過中科網警系統,醫院系統運維人員可對單位內所有網絡安全設備、應用系統服務器、機房動力環境的運行狀況進行全方面的動態監控及故障短信告警。


2、信息安全等保方案應用效果

合規:滿足等保要求,建立、健全了一個中心的三重防御體系。

全面:從事前、事中、事后進行全方位的安全部控,同時采取網絡層面、主機層面、應用層面、數據層面、管理層面等不同層面的安全防護措施,建立立體的防御體系,為業務系統搭建了一個安全、穩定、高可用、協同的運行平臺。

整合:將分散的安全轉向實現集中的、可管理的安全,強調各類安全設備的協同,例如:中心醫院VPN和社康中心VPN的互備,安全管理平臺和醫院信息系統的整合、WEB應用防火墻和殺下一代防火墻的縱深防御、堡壘機和網管監控系統的協同運維審計防護等等。


本溪棋牌网官方下载