杭州迪普科技有限公司
医院信息化安全等保解决方案
一、行业背景与需求
为贯彻落实国家信息安全等级保护制度, 规范和指导全国卫生行业信息安全等级保护工
作,卫生部办公厅于 2011 年 12 月下发卫生部《卫生行业信息安全等级保护工作的指导意
见》(卫办发〔 2011 〕 85 号)(以下简称《指导意见》 )。为贯彻《指导意见》 ,办公厅同时
下发《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》 (卫办综函
〔 2011 〕 1126 号)(以下简称《通知》 ),对卫生行业各单位提出如下要求:
■ 2012 年 5 月 30 日前完成本单位信息系统的定级备案工作;
■根据信息系统定级备案情况开展等级测评工作, 查找安全差距和风险隐患, 并结合自身安
全需求,制订安全建设整改方案;
■ 2015 年 12 月 30 日前完成信息安全等级保护建设整改工作,并通过等级测评。
《指导意见》 根据《信息安全技术信息系统安全等级保护定级指南》 (以下简称 《定级指南》 )、
《信息安全技术信息系统安全等级保护基本要求》 (以下简称《基本要求》 ),建议县区级医
院的核心业务信息系统安全保护等级原则上不低于二级。 各省卫生厅根据 《指导意见》 、《定
级指南》、《基本要求》等相关规定,并结合本区域现状提出本区域内县区级医院定级要求,
大部分省(市)定级要求如下:
序号
信息系统
可能侵害的客体
定级建议
1
HIS 、 LIS 、 PACS 、门诊系统等
公民、法人与其他组织合法权益
二级
2
OA 、网站、邮寄等
公民、法人与其他组织合法权益
二级
1 页
杭州迪普科技有限公司
二、迪普解决之道
为帮助县区医院落实国家信息安全等级保护制度与卫生部信息安全等级保护工作要求,
迪普科技从主机安全、 应用安全、 数据安全与备份恢复四个层面为县区医院提供全方位的等
级保护解决方案。
■整体思路
县级医院网络一般分为两张物理网络:内网(业务网)和外网(办公网) 。内网主要承
载着 HIS 、 LIS 、 PACS 等医院信息系统,外网主要承载医院 OA 、网站、 mail 等信息系统。
《基本要求》 中规定不同安全保护等级的信息系统应该具备相应的基本安全保护能力, 应满
足相应的基本安全要求, 根据实现方式的不同, 基本安全要求分为基本技术要求和基本管理
要求两大类。基本技术要求包含物理安全、网络安全、主机安全、 应用安全和数据安全几个
层面。本方案针对医院内外两张物理网络及其承载的信息系统, 分别从网络安全、 主机安全、
应用安全、数据安全四个层面进行设计。
网络安全、 主机安全、应用安全、数据安全均包含多个控制点,而每个控制点又包含多个具
体的技术要求项,本方案针对其中具体项要求提出以下的安全措施,如下表所示:
2 页
杭州迪普科技有限公司
■方案描述
医院内网信息安全等级保护方案设计,如下图所示:
3 页
杭州迪普科技有限公司
图 1
首先, 将医院内网分为多个安全区域,数据中心区、终端接入区、 安全管理区与外联区
域。根据不同的业务系统与安全区域划分 VLAN ,在数据中心与外联区域边界部署 DPtech
FW1000 防火墙,根据访问需求配置安全访问控制策略。对于重要区域边界部署(数据中
心前端) IPS2000 入侵防御系统,对应用层攻击进行检测与在线防御,并在线过滤网络病
毒、恶意代码在安全管理区部署 DPtech UMC 统一管理中心与 DPtech Scanner1000 漏洞
扫描系统,为安全管理提供必要的技术手段,并集中收集、防火墙与 IPS 业务日志等。
医院外网信息安全等级保护方案计设,如下图所示:
图 2
医院外网分为对外服务器区、互联网区、终端接入区、安全管理区几个安全区域。
对外服务器区前端部署 DPtech WAF3000 Web 应用防火墙,对医院门户网站进行重点防
护,针对 WEB 攻击漏洞进行全面检测和加固,防止网站被攻击与篡改;互联网边界部署
DPtech FW1000 防火墙,根据访问需求配置安全访问控制策略;部署 DPtech UAG3000
4 页
杭州迪普科技有限公司
及流控网关, 外网用 的上网行 行控制, 合理分配 , 并 上网行 行 ;
在安全管理区部署 DPtech UMC 一管理中心, 安全 行集中管理。
方案 参考 准
GB/T 22239-2008 信息安全技 信息系 安全等 保 基本要求
GB/T 22240-2008 信息安全技 信息系 安全等 保 施指南
GB/T 20271-2006 信息安全技 信息系 安全通用技 要求
GA/T 708-2007 信息安全技 信息系 安全等 保 体系框架
GA/T 709-2007 信息安全技 信息系 安全等 保 基本模型
GA/T 709-2007 信息安全技 信息系 安全等 保 基本配置
信息安全技 信息系 等 保 安全建 技 方案 范
信息安全技 信息系 等 保 安全 技 要求
信息安全技 信息系 安全等 保 要求
三、 什么 迪普
迪普科技 “医院信息系 等 保 解决方案” 依据国家信息安全等 保 相关政策 准
与 生行 的相关 准与要求, 合医院信息化安全 需求 行 , 可全面提升医院信
息安全防 能力与安全管理能力。主要具 以下特点:
■合 性
本方案全面依据 《定 指南》 、《基本要求》等相关 准, 合迪普科技丰富的等 保 建
,充分理解《信息系 安全等 保 要求》 , 其中的每一 要求均有相关的 品
功能、安全策略与之 (除非网 品涉及的要求外) ,采用本方案的医院信息化系 可
充分 足国家与医 行 等保建 要求。
5
杭州迪普科技有限公司
■全方位
医院信息化安全防护需求多样化,
主要关注边界安全防护、
网站系统防护、
互联网上网行为
管理、 重要业务系统备份几个方面。
迪普科技专注于网络安全与应用交付领域,
针对多样化
的需求可提供全方位的产品与解决方案,
全面提升医院信息化系统的安全性、
可用性、 可靠
性。
■高可靠
医院信息化系统与医疗业务息息相关,
业务系统的可靠性、
连续性要求占首位,
安全建设不
能增加额外的故障点。
迪普科技安全与优化类产品广泛运用于电信运营商行业,
具备电信级
可靠性,同时支持业内领先的双机备份技术,对于重要的 HIS 系统、数据库等可提供硬件
负载均衡产品实现智能备份,从而全面提升医院信息化系统的可靠性。
■易管理
医院信息化管理工作繁重, 传统的安全解决方案往往大幅增加安全管理工作的难度, 迪普科
技以 UMC 统一管理中心为核心的安全管理解决方案, 实现安全设备的统一管理, 设备状态
集中监控,安全策略集中下发,对海量安全日志进行集中采集、分析、关联、汇聚和统一处
理,实时输出分析报告, 帮助管理员及时对网络安全状况进行分析, 其可视化展现的方式极
大的降低了网络管理复杂度。
四、迪普案例
南昌大学第二附属医院数据中心安全加固;
南昌大学第一附属医院出口改造;
江西中医大学校园网出口改造;
浙江省人民医院内网数据中心安全加固;
6 页
杭州迪普科技有限公司
上海市第六人民医院医院等保建;
梅州市人民医院提供整网等保建;
武 心医院数据中心安全加固;
新疆医科大学第一附属医院;
州大学第一附属医院网 安全加固;
五、方案清
医院内网:
型号
描述
数量
UMC 管理中心
SW-UMC-PLAT
DPtech UMC
统一管理中心
管理软件
1
LIS-UMC-FWM
DPtech UMC Firewall Manager
授权函
1
LIS-UMC-IPSM
DPtech UMC IPS Manager
授权函
1
LIS-UMC-Scanner
DPtech UMC ScannerManager
授权函
1
Scanner1000漏洞 描系
Scanner1000-MS+1Y
DPtech SCANNER1000-MS
交流主机 , 特征库升级
-1 年1
LIS-SC-WEB
DPtech SCANNER1000 Web
扫描服务函
1
LIS-Scanner1000-MS-SA-1Y
DPtech SCANNER1000-MS,
特征库升级 -1
年
2
DPtech Scanner1000-MS,
授权可扫描总数量为64
个无
1
LIS-Scanner1000-MS-IP1
限制范围的
IP 地址或域名
7
杭州迪普科技有限公司
IPS2000 入侵防御系统
DPtech IPS2000-ME-N 双电源交流主机 ,特征库升级 -1
1
IPS2000-ME-N+1Y 年 ,病毒库升级 -1 年
DPtech IPS2000-ME-N, 特征库升级 -1 年 , 病毒库升级 -1
2
LIS-IPS2000-ME-N-SA-1Y 年
FW1000 防火墙
FW1000-ME-N DPtech FW1000-ME-N 交流主机 2
医院外网:
型号
描述
数量
UMC 管理中心
SW-UMC-PLAT
DPtech UMC统一管理中心
管理软件
1
LIS-UMC-WAFM
DPtech UMC WAF Manager
授权函
1
LIS-UMC-FWM
DPtech UMC Firewall Manager
授权函
1
LIS-UMC-UAGM
DPtech UMC UAG Manager
授权函
1
WAF3000 Web
应用防火墙
DPtech WAF3000-ME
双电源交流主机
,病毒库升级
-1
1
WAF3000-ME+1Y
年 ,WAF 库升级 -1 年
DPtech WAF3000-ME,
病毒库升级 -1
年 ,WAF
库升级 -1
2
LIS-WAF3000-ME-SA-1Y 年
UAG3000 审计及流控网关
8 页
杭州迪普科技有限公司
DPtech UAG3000-ME 双电源交流主机 ,协议库升级 -3
1
UAG3000-ME+3Y 年 ,
FW1000 防火墙
1
FW1000-ME-N DPtech FW1000-ME-N 交流主机 1
9 页