医院等级保护建设网络安全建设解决方案
2018年6月
f目录
1概述
5
11背景分析
5
12等级保护建设目标和范围
6
13方案设计
7
14参照标准
7
2信息系统现状
7
21医院网络安全现状
8
22医院网络安全风险分析
8
23医院网络安全需求
9
231物理安全
9
232网络安全
11
233主机安全
11
234应用安全
13
235数据安全
14
236安全域划分及边界防护
15
3
网络安全建设必要性
17
31等级保护要求
17
32医院系统面临安全威胁
18
4
网络安全建设目标
18
41满足合规性要求
18
42等级保护技术要求
19
f5
安全技术体系方案设计
24
51物理层安全
24
52网络层安全
24
521安全域划分
25
522边界访问控制
27
523网络审计
27
524网络入侵防范
28
525边界恶意代码防范
29
526网络设备保护
29
527主机层安全
29
528身份鉴别
29
529强制访问控制
30
5210主机入侵防范
31
5211主机审计
31
5212恶意代码防范
32
5213剩余信息保护
32
5214资源控制
33
53应用层安全
33
531身份鉴别
33
532访问控制
34
533安全审计
34
534剩余信息保护
35
f535通信完整性
35
536通信保密性
35
537抗抵赖性
35
538软件容错
36
539资源控制
36
54数据层安全
37
541数据完整性
37
542数据保密性
38
543备份和恢复
39
6
安全建设方案小结
39
11安全服务汇总
40
12安全产品汇总
40
f1概述
11背景分析《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）明确规定我国“计算机信息系统实行安全等级保护”。依据国务院147号令要求而制订发布的强制性国家标准《计算机信息系统安全保护等级划分准则》（GB178591999）为计算机信息系统安全保护等级的划分奠定了技术基础。《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发200327号）明确指出实行信息安全等级保护，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度”。《关于信息安全等级保护工作的实施意见》（公通字200466号）和《信息安全等级保护管理办法》（公通字200743号）确定了实施信息安全等级保护制度的原则、工作职责划分、实施要求和实施计划，明确了开展信息安全等级保护工作的基本内容、工作流程、工作方法等。信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准的出台，为信息安全等级保护工作的开展提供了法律、政策、标准保障。2007年起公安部组织编制了《信息安全技术信息系统等级r