医院等级保护建设介绍培训ppt课件.ppt

《医院等级保护建设介绍培训ppt课件.ppt》由会员分享，可在线阅读，更多相关《医院等级保护建设介绍培训ppt课件.ppt（52页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、医院信息系统等级保护建设医院信息系统等级保护建设医院等级医院等级保护建设保护建设介绍介绍医院信息系统等级保护建设医院信息系统等级保护建设医疗信息化建设阶段l l医院管理信息化（医院管理信息化（医院管理信息化（医院管理信息化（HMISHMISHMISHMIS）pp建设内容建设内容建设内容建设内容：部门级信息化管理、全院级信息化管理：部门级信息化管理、全院级信息化管理pp特征特征特征特征：数据共享和基于财务核算数据共享和基于财务核算数据共享和基于财务核算数据共享和基于财务核算为中心为中心l l临床管理信息化（临床管理信息化（临床管理信息化（临床管理信息化（HCIS)HCIS)HCIS)HCIS)p

2、p建设内容建设内容建设内容建设内容：电子病例、医生工作站、：电子病例、医生工作站、PACSPACS、LISLIS、RISRIS等系统等系统pp特征特征特征特征：实现数字医院，医疗和管理信息处理：实现数字医院，医疗和管理信息处理无纸化和无胶片无纸化和无胶片无纸化和无胶片无纸化和无胶片化化化化 、医院间联网，电子病例网上传递医院间联网，电子病例网上传递医院间联网，电子病例网上传递医院间联网，电子病例网上传递 l l区域卫生医疗服务（区域卫生医疗服务（区域卫生医疗服务（区域卫生医疗服务（HGISHGISHGISHGIS）pp建设内容建设内容建设内容建设内容：区域一体化医院信息、人口健康档案、疫情上报

3、：区域一体化医院信息、人口健康档案、疫情上报与应急指挥、远程医疗等系统与应急指挥、远程医疗等系统pp特征特征特征特征：社会医疗保健资源和服务整合社会医疗保健资源和服务整合社会医疗保健资源和服务整合社会医疗保健资源和服务整合以以自自身身业业务务为为主主信信息息共共享享与与交交换换医院信息系统等级保护建设医院信息系统等级保护建设重点建设国家级、省级和地市级三级卫生信息平台重点建设国家级、省级和地市级三级卫生信息平台重点建设国家级、省级和地市级三级卫生信息平台重点建设国家级、省级和地市级三级卫生信息平台加强信息化在公共卫生、医疗服务、新农合、基本药物制度、综合管加强信息化在公共卫生、医疗服务、新农合

4、、基本药物制度、综合管加强信息化在公共卫生、医疗服务、新农合、基本药物制度、综合管加强信息化在公共卫生、医疗服务、新农合、基本药物制度、综合管理五项业务中的深入应用理五项业务中的深入应用理五项业务中的深入应用理五项业务中的深入应用建设电子健康档案和电子病例二个基础数据库建设电子健康档案和电子病例二个基础数据库建设电子健康档案和电子病例二个基础数据库建设电子健康档案和电子病例二个基础数据库建设一个医疗卫生信息专用网络建设一个医疗卫生信息专用网络建设一个医疗卫生信息专用网络建设一个医疗卫生信息专用网络基于健康档案，整合公共卫生、医疗平台等业务内容的区域卫生信息基于健康档案，整合公共卫生、医疗平台等

5、业务内容的区域卫生信息基于健康档案，整合公共卫生、医疗平台等业务内容的区域卫生信息基于健康档案，整合公共卫生、医疗平台等业务内容的区域卫生信息化平台。化平台。化平台。化平台。n n“十二五十二五十二五十二五”卫生信息化建设路线图（摘要）卫生信息化建设路线图（摘要）卫生信息化建设路线图（摘要）卫生信息化建设路线图（摘要）卫生信息化趋势卫生信息化趋势n 国家卫生署关于国民卫生服务信息战略项目目标：保证医疗专业人员，患者和护理人员“在正确的时间和地点，拥有正在正确的时间和地点，拥有正确的信息确的信息”，以提高患者的医疗和服务质量。n 全球未来卫生信息化发展方向：通过卫生信息共享来提高医疗服务效率、质

6、量、可及性，降低医疗成本、医疗风险其中国家级及地方级的区域卫生信息共享的核心内容是居民健康档案。医院信息系统等级保护建设医院信息系统等级保护建设卫生行业信息安全等级保护工作的指导意见卫生行业信息安全等级保护工作的指导意见 2011 2011 2011 2011年年年年11111111月，卫生部印发了月，卫生部印发了月，卫生部印发了月，卫生部印发了卫生行业信息安全等级保护工卫生行业信息安全等级保护工卫生行业信息安全等级保护工卫生行业信息安全等级保护工作的指导意见作的指导意见作的指导意见作的指导意见通知，通知，通知，通知，明确提出卫生行业信息安全等级保护工作明确提出卫生行业信息安全等级保护工作的指

7、导意见的指导意见。以下重要卫生信息系统安全保护等级以下重要卫生信息系统安全保护等级以下重要卫生信息系统安全保护等级以下重要卫生信息系统安全保护等级原则上不低于第三级原则上不低于第三级原则上不低于第三级原则上不低于第三级：（1 1 1 1）卫生统计网络直报系统、传染性疾病报告系统、卫生监督信）卫生统计网络直报系统、传染性疾病报告系统、卫生监督信）卫生统计网络直报系统、传染性疾病报告系统、卫生监督信）卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联息报告系统、突发公共卫生事件应急指挥

8、信息系统等跨省全国联息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统；网运行的信息系统；网运行的信息系统；网运行的信息系统；（2 2 2 2）国家、省、地市三级卫生信息平台，新农合、卫生监督、妇）国家、省、地市三级卫生信息平台，新农合、卫生监督、妇）国家、省、地市三级卫生信息平台，新农合、卫生监督、妇）国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心；幼保健等国家级数据中心；幼保健等国家级数据中心；幼保健等国家级数据中心；（3 3 3 3）三级甲等医院的核心业务信息系统；三级甲等医院的核心业务信息系统；三级甲等医院的核心业务信息系统；三级甲等医

9、院的核心业务信息系统；（4 4 4 4）卫生部网站系统；）卫生部网站系统；）卫生部网站系统；）卫生部网站系统；（5 5 5 5）其他经过信息安全技术专家委员会评定为第三级以上（含第）其他经过信息安全技术专家委员会评定为第三级以上（含第）其他经过信息安全技术专家委员会评定为第三级以上（含第）其他经过信息安全技术专家委员会评定为第三级以上（含第三级）的信息系统。三级）的信息系统。三级）的信息系统。三级）的信息系统。医院信息系统等级保护建设医院信息系统等级保护建设信息安全等级保护法规政策体系信息安全等级保护法规政策体系5医院信息系统等级保护建设医院信息系统等级保护建设等级保护标准等级保护标准6GB1

10、7859技术要求等保实施等保测评管理要求GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求GB/T 22240-2008 信息安全技术 信息系统安全保护等级定级指南GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南 GB/T 20269-2006 信息安全技术 信息系统安全管理要求GB/T 20282-2006 信息安全技术 信息系统安全工程管理要求GB/T 28448-2012 信息系统安全等级保护测评要求 GB/T 28449-2012 信息系统安全等级保护测评过程指南 医院信息系统等级保护建设医院信息系统等级保护建设等级保护之五级划分等级保护

11、之五级划分等级级对象对象侵害客体侵害客体侵害程度侵害程度监管强度监管强度第一级第一级一般一般系统系统合法权益合法权益损害损害自主保护自主保护第二级第二级合法权益合法权益严重损害严重损害指导指导社会秩序和公共利益社会秩序和公共利益损害损害第三级第三级重要重要系统系统社会秩序和公共利益社会秩序和公共利益严重损害严重损害监督检查监督检查国家安全国家安全损害损害第四级第四级社会秩序和公共利益社会秩序和公共利益特别严重损害特别严重损害强制监督检查强制监督检查国家安全国家安全严重损害严重损害第五级第五级极端极端重要重要系统系统国家安全国家安全特别严重损害特别严重损害专门监督检查专门监督检查医院信息系统等级

12、保护建设医院信息系统等级保护建设实施指南实施指南GB/T 25058-2010GB/T 25058-2010等级保护实施过程等级保护实施过程基本原则基本原则主要过程及其活动主要过程及其活动角色、职责角色、职责基本流程基本流程等级变更等级变更局部调整局部调整信息系统定级信息系统定级总体安全规划总体安全规划安全设计与实施安全设计与实施安全运行维护安全运行维护信息系统终止信息系统终止国家管理部门（4家）信息系统主管部门信息系统运营、使用单位信息安全服务机构信息安全等级测评机构信息安全产品供应商8医院信息系统等级保护建设医院信息系统等级保护建设等级保护定级指南等级保护定级指南GB/T 22240GB/

13、T 222409 定级方法医院信息系统等级保护建设医院信息系统等级保护建设卫生行业信息安全等级保护工作的指导意见卫生行业信息安全等级保护工作的指导意见 2011 2011 2011 2011年年年年11111111月，卫生部印发了月，卫生部印发了月，卫生部印发了月，卫生部印发了卫生行业信息安全等级保护工作的指卫生行业信息安全等级保护工作的指卫生行业信息安全等级保护工作的指卫生行业信息安全等级保护工作的指导意见导意见导意见导意见通知，通知，通知，通知，明确提出卫生行业信息安全等级保护工作的指导意见明确提出卫生行业信息安全等级保护工作的指导意见。以下重要卫生信息系统安全保护等级原则上不低于第三级：

14、以下重要卫生信息系统安全保护等级原则上不低于第三级：以下重要卫生信息系统安全保护等级原则上不低于第三级：以下重要卫生信息系统安全保护等级原则上不低于第三级：（1 1 1 1）卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告）卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告）卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告）卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系

15、统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统；系统；系统；系统；（2 2 2 2）国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健）国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健）国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健）国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心；等国家级数据中心；等国家级数据中心；等国家级数据中心；（3 3 3 3）三级甲等医院的核心业务信息系统；三级甲等医院的核心业务信息系统；三级甲等医院的核心业务信息系统；三级甲等医院的核心业务信息系统；（4 4 4 4）卫生部网站系统；）卫生部

16、网站系统；）卫生部网站系统；）卫生部网站系统；（5 5 5 5）其他经过信息安全技术专家委员会评定为第三级以上（含第三级）其他经过信息安全技术专家委员会评定为第三级以上（含第三级）其他经过信息安全技术专家委员会评定为第三级以上（含第三级）其他经过信息安全技术专家委员会评定为第三级以上（含第三级）的信息系统。的信息系统。的信息系统。的信息系统。医院信息系统等级保护建设医院信息系统等级保护建设l l基本要求基本要求基本要求基本要求技术要求技术要求技术要求技术要求管理要求管理要求管理要求管理要求l l要求标注要求标注要求标注要求标注业务信息安全类要求（标记为业务信息安全类要求（标记为业务信息安全类要

17、求（标记为业务信息安全类要求（标记为S S S S类）类）类）类）关注的是保护数据在存关注的是保护数据在存关注的是保护数据在存关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改储、传输、处理过程中不被泄漏、破坏和免受未授权的修改储、传输、处理过程中不被泄漏、破坏和免受未授权的修改储、传输、处理过程中不被泄漏、破坏和免受未授权的修改系统服务保证类要求（标记为系统服务保证类要求（标记为系统服务保证类要求（标记为系统服务保证类要求（标记为A A A A类）类）类）类）关注的是保护系统连续关注的是保护系统连续关注的是保护系统连续关注的是保护系统连续正常的运行，正常的运行，正常的运

18、行，正常的运行，避免因对系统的未授权修改、破坏而导致系统不可用避免因对系统的未授权修改、破坏而导致系统不可用避免因对系统的未授权修改、破坏而导致系统不可用避免因对系统的未授权修改、破坏而导致系统不可用通用安全保护类要求（标记为通用安全保护类要求（标记为通用安全保护类要求（标记为通用安全保护类要求（标记为G G G G类）类）类）类）既关注保护业务信息的既关注保护业务信息的既关注保护业务信息的既关注保护业务信息的安全性，安全性，安全性，安全性，同时也关注保护系统的连续可用性。同时也关注保护系统的连续可用性。同时也关注保护系统的连续可用性。同时也关注保护系统的连续可用性。基本要求基本要求GB/T

19、22239GB/T 22239通用安全保护类要求（G）业务信息安全类（S）系统服务保证类（A）医院信息系统等级保护建设医院信息系统等级保护建设系统基本保护要求的组合l l第一级第一级 S1A1G1S1A1G1l l第二级第二级 S1A2G2S1A2G2，S2A2G2S2A2G2，S2A1G2S2A1G2l l第三级第三级第三级第三级 S1A3G3S1A3G3S1A3G3S1A3G3，S2A3G3S2A3G3S2A3G3S2A3G3，S3A3G3S3A3G3S3A3G3S3A3G3，S3A2G3S3A2G3S3A2G3S3A2G3，S3A1G3S3A1G3S3A1G3S3A1G3l l第四级第四

20、级 S1A4G4S1A4G4，S2A4G4S2A4G4，S3A4G4S3A4G4，S4A4G4S4A4G4，S4A3G4S4A3G4，S4A2G4S4A2G4，S4A1G4S4A1G4医院信息系统等级保护建设医院信息系统等级保护建设安全要求类安全要求类层面层面一级一级二级二级三级三级四级四级技术要求技术要求技术要求技术要求物理安全物理安全物理安全物理安全7 7 7 7101010101010101010101010网络安全网络安全网络安全网络安全3 3 3 36 6 6 67 7 7 77 7 7 7主机安全主机安全主机安全主机安全4 4 4 46 6 6 67 7 7 79 9 9 9应用安

21、全应用安全应用安全应用安全4 4 4 47 7 7 79 9 9 911 1111 11数据安全及备份恢复数据安全及备份恢复数据安全及备份恢复数据安全及备份恢复2 2 2 23 3 3 33 3 3 33 3 3 3管理要求管理要求管理要求管理要求安全管理制度安全管理制度安全管理制度安全管理制度2 2 2 23 3 3 33 3 3 33 3 3 3安全管理机构安全管理机构安全管理机构安全管理机构4 4 4 45 5 5 55 5 5 55 5 5 5人员安全管理人员安全管理人员安全管理人员安全管理4 4 4 45 5 5 55 5 5 55 5 5 5系统建设管理系统建设管理系统建设管理系统

22、建设管理9 9 9 99 9 9 911 1111 1111 1111 11系统运维管理系统运维管理系统运维管理系统运维管理9 9 9 9121212121313131313131313合计合计合计合计/4848484866666666737373737777级差级差级差级差/18187 7 7 74 4 4 4控控控控制制制制点点点点基本要求基本要求GB/T 22239GB/T 22239医院信息系统等级保护建设医院信息系统等级保护建设安全要求类安全要求类层面层面一级一级二级二级三级三级四级四级技术要求技术要求技术要求技术要求物理安全物理安全物理安全物理安全9 9 9 91919191932

23、32323233333333网络安全网络安全网络安全网络安全9 9 9 9181818183333333332323232主机安全主机安全主机安全主机安全6 6 6 6191919193232323236363636应用安全应用安全应用安全应用安全7 7 7 7191919193131313136363636数据安全及备份恢复数据安全及备份恢复数据安全及备份恢复数据安全及备份恢复2 2 2 24 4 4 48 8 8 811 1111 11管理要求管理要求管理要求管理要求安全管理制度安全管理制度安全管理制度安全管理制度3 3 3 37 7 7 711 1111 1114141414安全管理机构

24、安全管理机构安全管理机构安全管理机构4 4 4 49 9 9 92020202020202020人员安全管理人员安全管理人员安全管理人员安全管理7 7 7 711 1111 111616161618181818系统建设管理系统建设管理系统建设管理系统建设管理20202020282828284545454548484848系统运维管理系统运维管理系统运维管理系统运维管理18181818414141416262626270707070合计合计合计合计/85858585175175175175290290290290318318级差级差级差级差/9090909011511528282828控控控控制

25、制制制项项项项14基本要求基本要求GB/T 22239GB/T 22239医院信息系统等级保护建设医院信息系统等级保护建设适宜的安全需求分析方法适宜的安全需求分析方法？如何为信息系统确定既满足等级保护要求，如何为信息系统确定既满足等级保护要求，如何为信息系统确定既满足等级保护要求，如何为信息系统确定既满足等级保护要求，又满足系统又满足系统又满足系统又满足系统自身需求的安全需求分析方法。自身需求的安全需求分析方法。自身需求的安全需求分析方法。自身需求的安全需求分析方法。对一个正在运行的信息系统确定定级之后，运行使用单位最关心的是系统当前的保护状况是否满足等级保护的基本安全要求。产生该问题的原因是

26、：u 等级保护作为政策性要求在系统建设之初并没有作为安全需求加以考虑，因此系统的安全保障体系或安全保护措施只能满足本部门、本单位的安全需求。u 信息系统定级之后发现，对于业务重要性相同的不同行业或地区的信息系统，由于建设年代不同、所在地域差异、设计人员和实施人员的水平差距等都会造成其信息系统的保护水平参差不齐。医院信息系统等级保护建设医院信息系统等级保护建设选择、调整基本安全要求选择、调整基本安全要求n 在根据定级指南除了可以确定信息系统的安全保护等级外，还同时确定了信息系统在业务信息安全和系统服务安全两个方面的安全保护等级n 这两个等级反映了信息系统在数据安全保护和服务能力保护的需求方面可能

27、是不均衡的。p在政务系统中，单个数据信息（例如文件）本身的安全性要求比较高，p对于通过信息系统提供及时的数据服务的要求不高，p对于生产控制系统和调度系统，其重要性不体现在每条控制指令数据上，而体现在整个控制系统或调度系统不能停止运行或不正常运行。L L(业务信息安全保护等级业务信息安全保护等级，系统服务安全保护等级系统服务安全保护等级)=MaxMax(业务信息安全保护等级，系统服务安全保护等级业务信息安全保护等级，系统服务安全保护等级)医院信息系统等级保护建设医院信息系统等级保护建设确定该信息系统的等级保护基本安全需求确定该信息系统的等级保护基本安全需求 在确定了系统的安全保护等级后，信息系统

28、的运营使用单位人员可以参照以下步骤确定该信息系统的等级保护基本安全需求：第一步 根据其等级从基本要求中选择相应等级的基本安全要求。如，某一信息系统，根据定级指南确定系统等级为 3 级，首先从基本要求中选择三级的安全要求。第二步 根据定级过程中确定业务信息安全保护等级和系统服务安全保护等级，确定该信息系统的安全需求类，例如，L(3，2)，将所选择的基本要求的三级要求中标识为 A类的控制点要求，替换为二级要求中的相应控制点要求，低级别的基本要求中没有相应的控制点，则该控制点将不作为该系统的要求。注意：G 类要求是每个等级系统必备的要求，不能调整，G 类要求体现了相应等级系统的综合保护能力。医院信息

29、系统等级保护建设医院信息系统等级保护建设第三步 根据系统所面临的威胁特点调整安全要求 根据基本要求的整体设计思路，每级安全要求的实现是为了达到相应等级的威胁对抗能力和恢复能力，这种设计思路是面向所有信息系统的。当面临一个特定信息系统时，还需要具体分析其所面临的具体威胁。如果某个安全威胁对于该特定信息系统来讲是不会发生的，那么为对抗该威胁的相应安全要求对于该系统来讲，是不适用的。因此，需要进行相应的调整。这种情况在网络安全方面尤为明显，例如某个系统与互联网及本单位其他系统在网络上是物理隔离的，由于不会面临来自外部网络的安全威胁，该系统可以不选择相应的网络安全控制点或其中的要求项。医院信息系统等级

30、保护建设医院信息系统等级保护建设系统改建系统改建实施方案设计施方案设计系统改建系统改建实施方案设计施方案设计l l等级保护工作相关的大部分系统是已建成并投入运行的系统，等级保护工作相关的大部分系统是已建成并投入运行的系统，信息系统的安全建设也已完成，信息系统的安全建设也已完成，因此信息系统的运营使用单因此信息系统的运营使用单位更关心如何找出现有安全防护与相应等级基本要求的差距。位更关心如何找出现有安全防护与相应等级基本要求的差距。l l如何根据差距分析结果设计系统的改建方案，如何根据差距分析结果设计系统的改建方案，使其能够指导使其能够指导该系统后期具体的改建工作，逐步达到相应等级系统的保护该系

31、统后期具体的改建工作，逐步达到相应等级系统的保护能力。能力。l l系统改建方案设计的主要依据是安全需求分析的结果，和对系统改建方案设计的主要依据是安全需求分析的结果，和对信息系统目前保护措施与信息系统目前保护措施与基本要求基本要求 的差距的分析和评估。的差距的分析和评估。l l而系统改建方案的主要内容则是解决如何针对这些存在的差而系统改建方案的主要内容则是解决如何针对这些存在的差距，分析其存在的原因以及如何进行整改。距，分析其存在的原因以及如何进行整改。l l系统改建设实施方案与新建系统的安全保护设施设计实施方系统改建设实施方案与新建系统的安全保护设施设计实施方案都是备案工作中所需要提交的技术

32、文件。案都是备案工作中所需要提交的技术文件。医院信息系统等级保护建设医院信息系统等级保护建设应坚持的基本原则应坚持的基本原则l l上网的机器不触上网的机器不触上网的机器不触上网的机器不触“敏敏敏敏”怎么能保证上网机未触及敏感信息怎么能保证上网机未触及敏感信息怎么能保证上网机未触及敏感信息怎么能保证上网机未触及敏感信息l l触触触触“敏敏敏敏”的机器不上网或者严控上网的机器不上网或者严控上网的机器不上网或者严控上网的机器不上网或者严控上网怎么能保证怎么能保证怎么能保证怎么能保证触触触触“敏敏敏敏”机安全连接外部网络机安全连接外部网络机安全连接外部网络机安全连接外部网络l l严禁介质交叉使用严禁介

33、质交叉使用严禁介质交叉使用严禁介质交叉使用如何严控一般介质插入触敏机使用如何严控一般介质插入触敏机使用如何严控一般介质插入触敏机使用如何严控一般介质插入触敏机使用如何严控敏感介质插入一般机使用如何严控敏感介质插入一般机使用如何严控敏感介质插入一般机使用如何严控敏感介质插入一般机使用医院信息系统等级保护建设医院信息系统等级保护建设对安全保障的感想对安全保障的感想 基于主动防御的思想，保护信息资产基于主动防御的思想，保护信息资产 基于信息流的资产、风险全程识别与控制基于信息流的资产、风险全程识别与控制 正视现实，按照等级保护的要求制定适宜安全策略正视现实，按照等级保护的要求制定适宜安全策略 重视残

34、余风险的识别与控制重视残余风险的识别与控制 综合、专业的安全运维和管理综合、专业的安全运维和管理人、安全意识人、安全意识核心核心医院信息系统等级保护建设医院信息系统等级保护建设等级保护基本要求等级保护基本要求概述概述医院信息系统等级保护建设医院信息系统等级保护建设控制点控制点一级一级二级二级三级三级四级四级物理位置的选择物理位置的选择物理位置的选择物理位置的选择（GG）*物理访问控制物理访问控制物理访问控制物理访问控制（GG）*防盗窃和防破坏防盗窃和防破坏防盗窃和防破坏防盗窃和防破坏（GG）*防雷击防雷击防雷击防雷击（GG）*防火防火防火防火（GG）*防水和防潮防水和防潮防水和防潮防水和防潮（

35、GG）*防静电防静电防静电防静电（GG）*温湿度控制温湿度控制温湿度控制温湿度控制（GG）*电力供应（电力供应（电力供应（电力供应（A A A A）*电磁防护（电磁防护（电磁防护（电磁防护（S S S S）*合计合计合计合计7 7 7 710101010101010101010物理安全物理安全环境设备、介质23基本要求基本要求GB/T 22239GB/T 22239医院信息系统等级保护建设医院信息系统等级保护建设类别要求二级解决方案三级解决方案差异分析 物物物物理理理理安安安安全全全全l l物理位物理位物理位物理位置的选择置的选择置的选择置的选择机房和办公场地应选机房和办公场地应选机房和办公场

36、地应选机房和办公场地应选择具有防震、防风和择具有防震、防风和择具有防震、防风和择具有防震、防风和防雨等能力防雨等能力防雨等能力防雨等能力应避免设在建筑物的高应避免设在建筑物的高应避免设在建筑物的高应避免设在建筑物的高层或地下室，以及用水层或地下室，以及用水层或地下室，以及用水层或地下室，以及用水设备的下层或隔壁设备的下层或隔壁设备的下层或隔壁设备的下层或隔壁三级要求进行楼层的选三级要求进行楼层的选三级要求进行楼层的选三级要求进行楼层的选择择择择l l物理访物理访物理访物理访问控制问控制问控制问控制按照基本要求进行人按照基本要求进行人员配备，制定管理制员配备，制定管理制度度同时对机房进行区域管同

37、时对机房进行区域管同时对机房进行区域管同时对机房进行区域管理，设置理，设置理，设置理，设置过渡区域过渡区域过渡区域过渡区域、安、安、安、安装门禁装门禁装门禁装门禁三级要求加强对区域的三级要求加强对区域的三级要求加强对区域的三级要求加强对区域的管理和重要区域控制力管理和重要区域控制力管理和重要区域控制力管理和重要区域控制力度。度。度。度。l l防盗窃防盗窃防盗窃防盗窃和防破坏和防破坏和防破坏和防破坏按照基本要求进行建按照基本要求进行建按照基本要求进行建按照基本要求进行建设。制定防盗窃防破设。制定防盗窃防破设。制定防盗窃防破设。制定防盗窃防破坏相关管理制度坏相关管理制度坏相关管理制度坏相关管理制度

38、按照基本要求进行建设按照基本要求进行建设配置光、电等防盗报警配置光、电等防盗报警配置光、电等防盗报警配置光、电等防盗报警系统系统系统系统三级根据要求进行光、三级根据要求进行光、三级根据要求进行光、三级根据要求进行光、电技术防盗报警系统的电技术防盗报警系统的电技术防盗报警系统的电技术防盗报警系统的配备。配备。配备。配备。l l防雷击防雷击防雷击防雷击按照基本要求进行建按照基本要求进行建按照基本要求进行建按照基本要求进行建设设设设设置设置设置设置防雷保安器防雷保安器防雷保安器防雷保安器三级根据要求设置防雷三级根据要求设置防雷三级根据要求设置防雷三级根据要求设置防雷保安器，防止感应雷保安器，防止感应

39、雷保安器，防止感应雷保安器，防止感应雷l l防火防火防火防火设置灭火设备和火灾设置灭火设备和火灾设置灭火设备和火灾设置灭火设备和火灾自动报警系统自动报警系统自动报警系统自动报警系统消防、耐火、隔离消防、耐火、隔离消防、耐火、隔离消防、耐火、隔离等措等措施施三级根据要求进行消防、三级根据要求进行消防、三级根据要求进行消防、三级根据要求进行消防、耐火、隔离等措施耐火、隔离等措施耐火、隔离等措施耐火、隔离等措施等级保护整改方案设计等级保护整改方案设计之技术设计之技术设计医院信息系统等级保护建设医院信息系统等级保护建设类类别别要求要求二级解决方案二级解决方案三级解决方案三级解决方案差异分析差异分析物物

40、物物理理理理安安安安全全全全l防水和防防水和防潮潮采取措施防止采取措施防止雨水渗透、机雨水渗透、机房内水蒸气房内水蒸气安装安装防水测试防水测试仪器仪器三级根据要求进三级根据要求进行防水检测仪表行防水检测仪表的安装使用的安装使用l防静电防静电采用必要的接采用必要的接地防静电地防静电安装安装防静电地防静电地板板三级根据要求安三级根据要求安装防静电地板装防静电地板l温湿度控温湿度控制制配备空调系统配备空调系统配备配备空调系统空调系统无无l电力供应电力供应配备稳压器和配备稳压器和过电压保护设过电压保护设备；配备备；配备UPSUPS系系统统配备稳压器、配备稳压器、UPSUPS、冗余供冗余供电系统电系统三

41、级根据要求设三级根据要求设置冗余或并行的置冗余或并行的电力电缆线路，电力电缆线路，建立备用供电系建立备用供电系统统l电磁保护电磁保护电源线和通信电源线和通信线缆隔离铺设线缆隔离铺设接地、关键设接地、关键设备和磁介质实备和磁介质实施施电磁屏蔽电磁屏蔽三级根据要求进三级根据要求进行接地，关键设行接地，关键设备和介质的电磁备和介质的电磁屏蔽屏蔽等级保护整改方案设计等级保护整改方案设计之技术设计之技术设计医院信息系统等级保护建设医院信息系统等级保护建设物理位置的选择物理位置的选择基本防护能力高层、地下室高层、地下室物理访问控制物理访问控制基本出入控制分区域管理分区域管理在机房中的活动电子门禁电子门禁防

42、盗窃和防破坏防盗窃和防破坏存放位置、标记标识监控报警系统监控报警系统防雷击防雷击建筑防雷、机房接地设备防雷设备防雷防火防火灭火设备、自动报警自动消防系统自动消防系统区域隔离措施区域隔离措施防静电防静电关键设备主要设备主要设备防静电地板防静电地板电力供应电力供应稳定电压、短期供应主要设备主要设备冗余冗余/并行线路并行线路备用供电系统备用供电系统电磁防护电磁防护线缆隔离接地防干扰接地防干扰电磁屏蔽电磁屏蔽防水和防潮防水和防潮温湿度控制温湿度控制物理安全的整改要点医院信息系统等级保护建设医院信息系统等级保护建设网络安全网络安全控制点控制点一级一级二级二级三级三级四级四级结构安全结构安全结构安全结构安

43、全*访问控制访问控制访问控制访问控制*安全审计安全审计安全审计安全审计*边界完整性检查边界完整性检查边界完整性检查边界完整性检查（S S S S）*入侵防范入侵防范入侵防范入侵防范*恶意代码防范恶意代码防范恶意代码防范恶意代码防范*网络设备防护网络设备防护网络设备防护网络设备防护*合计合计合计合计3 3 3 36 6 6 67 7 7 77 7结构边界设备27基本要求基本要求GB/T 22239GB/T 22239医院信息系统等级保护建设医院信息系统等级保护建设要求要求二级解决方案二级解决方案三级解决方案三级解决方案差异分析差异分析结结构构安安全全关键设备选关键设备选择高端设备，择高端设备，处

44、理能力具处理能力具备冗余空间，备冗余空间，合理组网，合理组网，绘制详细网绘制详细网络拓扑图络拓扑图在二级基础上，在二级基础上，合理规划路由，避合理规划路由，避免将重要网段直接连免将重要网段直接连接外部系统，接外部系统，在业务终端与业务在业务终端与业务服务器之间建立安全服务器之间建立安全路径、带宽优先级管路径、带宽优先级管理理三级根据要求在以下方面三级根据要求在以下方面进行加强设计；进行加强设计；主要网络设备的处理能主要网络设备的处理能力满足高峰需求，力满足高峰需求，业务终端与业务服务器业务终端与业务服务器之间建立安全路径、之间建立安全路径、重要网段配置重要网段配置ACLACL策略策略带宽优先级

45、带宽优先级安全域安全域（第（第3级）级）安全域安全域（第（第2级）级）监督保护级网络监督保护级网络安全域安全域（第（第3级）级）安全域安全域（第（第2级）级）安全域安全域（第（第2级）级）控制高敏感级信息由高等级安全域流向低等级安全域：分域分级防护示意：分域分级防护示意医院信息系统等级保护建设医院信息系统等级保护建设安全域划分示意考虑的主要因素：考虑的主要因素：n按数据类型按数据类型公开、敏感、受控公开、敏感、受控n按用户类别按用户类别医院、病人、卫生医疗管理机构科研机构、银行保险等合作机构n 按信息流向按信息流向l 各级卫生机构及 非卫生机构间 数据共享和交互l 公众数据查询、医院信息系统等

46、级保护建设医院信息系统等级保护建设类别类别要求要求二级解决方二级解决方案案三级解决方案三级解决方案差异分析差异分析网网网网络络络络安安安安全全全全l l访问访问访问访问控制控制控制控制防火墙防火墙，制，制定相应的定相应的ACLACL策略策略防火墙防火墙配置包括：端配置包括：端口级的控制力度；常口级的控制力度；常见应用层协议命令过见应用层协议命令过滤；会话控制；流量滤；会话控制；流量控制；连接数控制；控制；连接数控制；防地址欺骗等策略防地址欺骗等策略三级在配置防火墙设备三级在配置防火墙设备的策略时提出了更高的的策略时提出了更高的要求要求l l安全安全安全安全审计审计审计审计部署部署网络安网络安全

47、全审计系统审计系统部署部署网络安全审计网络安全审计系系统，部署日志服务器统，部署日志服务器进行审计记录的保存进行审计记录的保存三级对审计日志保存提三级对审计日志保存提出更高要求，需要采用出更高要求，需要采用日志服务器进行审计记日志服务器进行审计记录的保存录的保存l l边界边界边界边界完整完整完整完整性检性检性检性检查查查查部署部署终端安终端安全管理系统全管理系统，启用非法外启用非法外联监控以及联监控以及安全准入功安全准入功能能部署部署终端安全管理系终端安全管理系统统，在进行非法外联，在进行非法外联和安全准入检测的同和安全准入检测的同时要进行有效阻断时要进行有效阻断三级相对二级要求在检三级相对二

48、级要求在检测的同时要进行有效阻测的同时要进行有效阻断断等级保护整改方案设计等级保护整改方案设计之技术设计之技术设计医院信息系统等级保护建设医院信息系统等级保护建设类类别别要求要求二级解决方案二级解决方案三级解决方案三级解决方案差异分析差异分析网网网网络络络络安安安安全全全全l l入侵入侵入侵入侵防范防范防范防范部署部署入侵检测系入侵检测系统统部署部署入侵检测入侵检测系统系统，配置入，配置入侵检测系统的侵检测系统的日志模块日志模块三级相队二级要求配置入三级相队二级要求配置入侵检测系统的日志模块，侵检测系统的日志模块，记录攻击源记录攻击源IPIP、攻击类型、攻击类型、攻击目的、攻击时间等相攻击目的

49、、攻击时间等相关信息，并通过一定的方关信息，并通过一定的方式进行告警式进行告警l恶意恶意代码防代码防范范无要求无要求部署部署UTMUTM或或AVAV、IPSIPS三级系统要求具备网关处三级系统要求具备网关处恶意代码的检测与清除并恶意代码的检测与清除并定期升级恶意代码库定期升级恶意代码库l网络网络设备保设备保护护配置网络设备自配置网络设备自身的身份鉴别与身的身份鉴别与权限控制权限控制对主要网络设对主要网络设备实施双因素备实施双因素认证手段进行认证手段进行身份鉴别身份鉴别三级对登陆网络设备的身三级对登陆网络设备的身份认证提出了更高要求，份认证提出了更高要求，需要实施双因素认证，设需要实施双因素认证

50、，设备的管理员等特权用户进备的管理员等特权用户进行不同权限等级的配置行不同权限等级的配置等级保护整改方案设计等级保护整改方案设计之技术设计之技术设计医院信息系统等级保护建设医院信息系统等级保护建设结构安全结构安全关键设备冗余空间主要设备冗余空间主要设备冗余空间访问控制访问控制访问控制设备（用户、网段）应用层协议过滤应用层协议过滤拨号访问限制会话终止会话终止安全审计安全审计日志记录审计报表审计报表边界完整性检查边界完整性检查内部的非法联出非授权设备私自外联非授权设备私自外联网络安全的整改要点子网/网段控制核心网络带宽整体网络带宽整体网络带宽重要网段部署重要网段部署路由控制路由控制带宽分配优先级带