洛阳第一人民医院网络安全建设方案■文档编号■密级限制分发
■版本编号V1.0 ■日期
© 2019 绿盟科技
■版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
■版本变更记录
时间版本说明修改人
■适用性声明
本文档适用于医院安全建设项目使用。
目录
一. 背景概述 (3)
1.1方案设计要求 (4)
1.2方案设计原则 (5)
二. “威胁分析+风险分析”=需求分析 (6)
2.1威胁分析 (6)
2.1.1 外部威胁 (6)
2.1.2 内部威胁 (7)
2.2风险分析 (8)
2.2.1 外部网络带来的安全风险 (8)
2.2.2 内部网络存在的风险 (8)
2.2.3 攻击快速传播引发的安全风险 (8)
三、需求分析 (9)
3.1医院网络安全建设拓扑图 (10)
3.2网络安全设备投入列表 (10)
四、基础安全建设 (11)
4.1绿盟下一代防火墙(访问控制) (11)
4.1.1部署方式 (11)
4.1.2系统特点 (12)
4.2绿盟网络入侵防护系统 (13)
4.2.1绿盟网络入侵防护系统的特点 (13)
4.2.3功能与效益 (17)
4.3绿盟安全审计系统 (17)
4.3.1需求分析 (17)
4.3.2 解决方案 (18)
4.3.3 安全审计产品选型 (19)
4.3.4 绿盟绿盟安全审计系统的特点 (21)
4.4远程安全评估系统(安全基线管理系列) (26)
4.4.1 需求分析 (26)
4.4.2 绿盟远程安全评估系统特点 (31)
4.4.3 功能与收益 (36)
4.5绿盟W EB应用防火墙 (37)
4.5.1 需求分析 (37)
4.5.2 绿盟Web应用防火墙的特点 (40)
4.6安全审计堡垒机SAS-H (42)
4.6.1 系统功能 (42)
4.6.2 产品特性 (43)
附录A绿盟科技公司简介 (45)
A.1领先的专业安全厂商 (45)
A.2安全技术基础研究 (45)
A.3安全产品研发 (46)
A.4专业安全服务 (46)
一. 背景概述
洛阳市第一人民医院是洛阳市建院最早、具有百年发展历史的市级现代化综合性三级医院,洛阳市唯一一家“红十字医院”;1995年被国家卫生部授予“爱婴医院”称号;1999
年被国家卫生部授予“国际紧急救援网络中心”医院;2006年被授予“洛阳市康复医院”。
洛阳市第一人民医院位于洛阳市中州大道,六层门诊、十三层病房大楼巍然屹立、雄伟壮观,内设中心供氧、中央空调、中心吸引;开放高、中、低档病床610张,各病房均装备有现代医院所具备的先进设备。医院现有中、高级职称专业技术426人,临床、医技科室43个,拥有价值上亿元的大型先进医疗设备。
近年来,医院秉承“内抓管理、外树形象,质量强院、服务兴院”的办院宗旨,实施科技兴院战略,积极开展和引进新业务新技术,加强医德医风建设,全面提高医疗服务质量。洛阳市第一人民医院治院严谨,理念超前,医院经营方式灵活,全体员工爱岗敬业、勤奋工作。面对竞争激烈的医疗市场,以实力求生存、凭技术谋发展、靠服务赢市场,各项工作进展顺利。
对于医院来讲,由于患者众多,业务繁忙,网络系统业务连续性十分重要。为了保证医院的业务持续性发展,就必须分析信息系统的信息安全需求。需求分析的主要目的是更加清晰、全面的了解网络的基本安全现状,了解如何解决系统的安全问题,为后期安全体系建设中的安全防护技术实施提供严谨的安全理论依据,为决策者制定网络安全策略、构架安全体系以及确定有效的安全措施、选择可靠的安全产品、建立全面的安全防护层次提供了一套完整、规范的指导模型。
医院网络安全解决方案从两个方面进行阐述,一方面是重新对外网区域进行网络规划,并加强网络安全建设;另一个方面就是解决内网和外网融合的问题,将内外网融合同时构建边界防护方案。
如何保证医院的网络正常运行和网络安全已成为迫切需要关注的问题。
随着医疗行业信息化发展的要求,《全国卫生信息化2003-2010年发展规划纲要》中对信息安全提出了明确的要求:
⏹加强与卫生信息化相关的法律、法规、政策体系的建设;
⏹提高信息安全意识,加强计算机和网络安全培训,防范、打击计算机与网络犯罪;
⏹在卫生信息系统建设的同时,要进行信息安全的总体设计和信息系统安全工程建设,
在系统验收时必须对信息系统安全进行测评认证;
⏹对于已建的卫生信息系统,要采取信息安全加固措施,进行系统安全测评认证;
⏹卫生信息系统建设中信息安全投资应占系统投资的一定比例。
《发展规划纲要》从宏观的角度对卫生系统信息化建设,而与此同时,由于医疗行业发展的需要,2006年发布的《卫生系统内部审计工作规定(卫生部令51号)》中,明确了“为加强卫生系统内部审计工作,建立健全各单位内部审计制度,完善内部监督制约机制”,并要求“设置内部审计机构,配备审计人员,开展审计工作”;内部审计机构在履行审计职责时,明确具有“检查计算机系统有关电子数据和资料”的权限;由此可以看到针对卫生系统的相关审计具有明确要求。
此外,公安部国家电子政务等级保护、国家保密局BMB17-2006号文件中要求政府、涉密单位必须对与涉密敏感信息、业务系统相关的网络行为进行安全审计。以防员工随意通过网络共享文件夹、文件上传下载、EMAIL等方式,发送重要敏感信息、业务数据,导致信息外泄事件发生。
同时,针对医疗行业的门户网站WEB业务这类给Internet可用性带来极大损害的攻击,必须在国家等级保护政策的指导下,采用专门的机制,综合采用各种技术手段对攻击进行有效检测,应按照《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《信息安全等级保护管理办法》(公通字[2007]43号)等文件要求,参考《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》(GB/T 22239-2008 )等等级保护相关标准,开展等级保护整改、测评工作,为医院内部和社会公众提供“一站式”的医疗公共服务目标提供有力保障。
在与医院多次安全沟通与交流的基础上,我们进一步明确了医院的准确需求,简单来说就是“安全访问,内外隔离,分期建设”三点,安全访问包含两方面,即从内网可以安全访问互联网,从互联网也能够安全访问内网;而在内外隔离上则是要保证内网数据与互联网之间保持逻辑或物理隔离;分期建设则是建设的思路,是根据医院的实际情况,分步骤从基础到深入,从满足最迫切的安全需求慢慢上升到管理安全上来!以下此方案将针对这三点进行详细的需求描述与解决思路陈述。
1.1 方案设计要求
根据实际调研与专家论证,本网络需要具有如下的安全特性:
●高可靠性:在受到攻击的情况下,能够保证各类业务系统正常运行,能够保证数据的正
常访问。
