[it计算机]等级保护技术方案模板三级适用

[it计算机]等级保护技术方案模板三级适用内容摘要：

........................................ 63 10 整体配置方案 ................................................................................................................................... 63 安全产品部署说明 ............................................................................................................... 65 11 方案合规性分析 .............................................................................................................................. 66 12 信息安全产品选型及配置清单 ................................................................................................... 67 产品选型 ................................................................................................................................. 67 选型建议 ...................................................................................................................... 67 选型要求 ...................................................................................................................... 67 信息安全建设配置清单 ...................................................................................................... 68 业务内网安全产品配置清单 ................................................................................... 68 办公外网安全产品配置清单： .................................................................................... 69 XX 医 院等级保护安全建设方案 秘密级 6 1 工程项目 背景 医院 是一个信息和技术密集型 的 行业 ，其计算机网络是一个完善的办公网络系统，作为一个现代化的医疗机构网络 ,除了要满足高效的内部自动化办公需求 以 外 ,还应对外界的通讯保证畅通。 结合医院复杂的 HIS、 RIS、 PACS 等 应用系统， 要求网络必须能够满足数据、语音、图像等综合业务的传输要求，所以 在这样的网络上应运用多种高性能设备和先进技术来保证系统的正常运作和稳定的效率。 同时医院 的网络系统连接着 Inter、医保网和 高校 等 ， 访问人员 比较复杂，所以如何保证医院网络系统中的数据安全问题尤为重要。 在日新月异的现代化社会进程中，计算机网络几乎延伸到了世界每一个角落，它不停的改变着我们的工作生活方式和思维方式，但是， 计算机信息网络安全的脆弱性和易受攻击性是不容忽视的。 由于网络设备、计算机操作系统、网络协议等安全技术上的漏洞和管理体制上的不严密，都会使计算机网络受到威胁。 我们可以想象 一下，对于一个需要高速信息传达的现代化医院，如果遭到致命攻击，会给社会造成多大的影响。 在医院 行业的信息化建设过 程中，信息安全的建设虽然只是一个很小的部分，但其重要性不容忽视。 便捷、开放的网络环境，是医院信息化建设的基础，在数据传递和共享的过程当中，数据的安全性要切实地得到保障，才能 保障医院信息化业务的正常运行。 然而，我们的数据却面临着越来越多的安全风险，时刻对业务的正常运行带来威胁。 为此 ， 国家公安部、 保密局、国家密码管理局 、国务院 信息化领导小组办公室 于 2020 年 联合颁布了 861 号 文件《 关于开展全国重要信息系统安全等级保护定级工作的通知 》 和 《信息安全等级保护管理办法》 ，要求涉及国计民生的信息系统应达到一定的安全等级，根据文件精神和等级划分的原则，医院信息系统构筑至少应达到二级 或 以上 防护要求。 XX 医 院等级保护安全建设方案 秘密级 7 所以，在 XXX 大学 XXX 医院 的信息化建设过程 中， 我们 应当正视可能面临的 各种 安全风险， 对网络威胁给予充分的重视。 为了 XXX 医院信息网络的安全稳定运行，确保 医院 信息系统建设项目的顺利实施，结合具体的网络和应 用系统情况，作为 有着丰富 医疗行业 大型 安全项目实施经验 的 XXX 有限公司，将以极大的信心和饱满的热情，根据 XXX 医院 目前的计算机信息网网络特点及 安全需求，本着切合实际、保护投资、着眼未来的原则，提出本技术方案。 2 安全建设路线 设计原则 等级保护建设原则 XX 医院 计算机网络系统属国计民生的 重要信息系统，其 安全建设不能忽视国家相关政策要求，在安全 保障体系建设上最终所要达到的保护效果应符合《信息系统安全等级保护基本要求》。 体系化的设计原则 系统设计应充分考虑到各个层面的安全风险，构建完整的安全防护体系，充分保证系统 的安全性。 同时，应确保方案中使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。 产品的先进性原则 XX 医院 的 安全保障体系建设 规模庞大，意义深远。 对所需的各类安全产品提出了很高的要求。 必须认真考虑各安全产品的 技术水平、合理性、先进性、安全性和稳定性等特点，共同打好 工程 的技术基础。 按步骤有序建设原则 XX 医院 的 安全保障体系的建设是一项长期的工程，并非一蹴而就解决所有安全问题。 因此，在实际建设过程中要根据实际情况分轻重缓急，分期、分批的XX 医 院等级保护安全建设方案 秘密级 8 进行部署。 安全服务细致化原则 要使得安全保 障体系发挥最大的功效，除安全产品的部署外还 应 提供 有效的安全服务，根据 XX 医院 的 网络系统 具体现状及承载的重要业务，全面而细致的安全服务会提升日常运维及应急处理风险的能力。 安全服务就需要把安全服务商的专业技术经验与行业经验相结合，结合 XX 医院 的实际信息系统量身定做才可以保障其信息系统安全稳定的运行。 等级化建设思路 “等级化安全体系 ”是依据国家信息安全等级保护制度， 根据 系统 在不同阶段的需求、业务特性及应用重点， 采 用等级化与体系化相结合的安全体系设计方法，帮助构建 一套覆盖全面、重点突出、节约成本、持续运行的安全 防 御 体系。 根据等级化安全保障体系的设计思路，等级保护的设计与实施通过以下步骤进行： 1. 系统识别与定级 ：通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。 通过此步骤充分了解系统状况，包括系统业务流程和功能模块，以及确定系统的等级，为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。 2. 安全域设计 ：根据第一步的结果，通过分析系统业务流程、功能模块，根据安全域划分原则设计系统安全域架构。 通过安全域设计将系统分解为多个层次，为下一步安全保障体系框架设计提供基 础框架。 3. 安全保障体系框架设计 ：根据安全域框架，设计系统各个层次的安全保障体系框架（包括策略、组织、技术和运作），各层次的安全保障体系框架形成系统整体的安全保障体系框架。 4. 确定安全域安全要求 ：参照国家相关等级保护安全要求，设计等级安全XX 医 院等级保护安全建设方案 秘密级 9 指标库。 通过安全域适用安全等级选择方法确定系统各区域等级，明确各安全域所需采用的安全指标。 5. 评估现状 ：根据各等级的安全要求确定各等级的评估内容，根据国家相关风险评估方法，对系统各层次安全域进行有针对性的等级风险评估。 通过等级风险评估，可以明确各层次安全域相应等级的安全差距，为下一步安全技术解决方案设计和安全管理建设提供依据。 6. 安全技术解决方案设计 ：针对安全要求，建立安全技术措施库。 通过等级风险评估结果，设计系统安全技术解决方案。 7. 安全管理建设 ：针对安全要求，建立安全管理措施库。 通过等级风险评估结果，进行安全管理建设。 通过如上步骤， XX 医院 的 网络信息系统可以形成整体的等级化的安全保障体系，同时根据安全 技 术建设和安全管理建设，保障系统整体的安全。 3 系统分析 网络结构分析 从目前 XX 医院 的 全局 网络结构上看，可以分为两大部分，用于日常医疗信息交换的业务网以及实时获取 Inter 信息 资源的办公网。 其中，医院 内部 业务网是医院业务开展的重要平台，承载 着核心业务，同时具有相应链路 与 卫生局、社 保 和银行 等其他机构交换数据；而办公网主要对外提供信息发布门户，对内提供 Inter 网络接入等服务。 业务内网 XX 医院 的业务内网是由 在 建 的新 办公大楼中心机房、 各业务大楼（如： 门诊 大 楼、急诊大楼、住院大楼、科学楼、医技楼、 肝病大楼 等）以及 萝岗 医 院 （ 包括 灾备中心） 等 几 部分组成 ，其中 新办公大楼 中心机房是整个业务网络的核心，主要提供 医疗 数据交换 、存储 和医院业务 系统 的 运维。 各业务大楼主要提供医护人员的日常业务的 开展。 XX 医 院等级保护安全建设方案 秘密级 10 整个 XX 医院 的业务网络由核心层、汇聚层和接入层 的 网络交换设备组成网络的骨干 ，然后通过各楼层交换机接入到各个业务大楼，为了防止 网络设备由于单点故障 而 影响业务系统的可用性， 在 主要的核心 节点设备 上都 采用 了 双机冗余的方式在线运行。 此外，还有相应的 VPN 专线连接到卫生局、社 保 和银行等外部单位，进行相关的 医疗业务数据交换。 XX 医院 的业务内网 拓朴图所下所示： 169。 2 0 0 8 Ci s c o S y s te m s , I n c . A l l r i g h ts r e s e r v e d . Ci s c o Co n fi d e n ti a lP r e s e n ta ti o n _ I D 1萝岗分院异地备份中心门诊楼中心机房住院楼医技楼门诊楼接入交换机肝病大楼 急诊楼科学楼…门诊楼后座……磁盘阵列数据中心P A C S 以及 HIS 等服务器群高清视频通讯系统( 与罗岗园区进行视频通讯 )磁盘阵列或磁带库IT 运营维护系统入侵防御防火墙……… … …卫生局社保银行外联单位 【 图一 ： XX 医院 业务内 网】 办公外网 办公外网主要由门诊楼中心机房、各接入业务大楼、 Inter 接入区和中大校园网出口等几部分组成； 办公外网的组网方式与业务 网 有些 类似， 但 其主要职能是供 本院 医职人员 的 互联网浏览服务 以及 对外网站的 发布，所以办公外网采用的是 成本更低廉 单核心网络架构，以满足一般性的 外网 业务需求。 XX 医 院等级保护安全建设方案 秘密级 11 XX 医院 的办公外网 拓扑 图如下所示： 【 图二 ： XX 医院 办公外网】 业务系统分析 业务内网 经过近十多年的发展， XX 医院 信息系统 (Hospital Information System， HIS)建设初具规模，日趋完善。 信息系统的发展经历了从单机系统、局部网络系统到整个医院信息系统的多个阶 段，可以说， HIS 系统是 XX 医院 医疗信息化的最核心资产。 另外，内网 还 运行 有 CLS 系统、 PACS 系统、 ES 系统、 CRS 系统和 B 超等业务应用系统 ，它们 也是 XX 医院 日常 业务正常开展的重要组成部分。 办公外网 办公 外网是 XX 医院 对。