產品及解決方案 / 解決方案 / 醫療衛生系統信息安全解決方案

信息安全等級保護概述

Information Security Level Protection Overview

什么是等級保護
信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。
醫療行業的等級保護建設
2012年，為貫徹落實《衛生部關于印發〈衛生行業信息安全等級保護工作的指導意見〉的通知》，進一步加強各省市衛生行業信息安全等級保護工作，全面提升衛生行業信息安全保護水平，全國各省全面開展信息安全等級保護工作。

等級保護發展歷程

政策法規
（1994~2005）

1994年國務院147號令
中辦發[2003]27號

標準體系
（2005~2008）

等級保護劃分準則（GB 17859-1990）
等級保護定級指南（GB/T 22240-2008）
等級保護基本要求（GB/T 22239-2008）
信息系統通用安全技術要求(GB/T 20271-2006)

測評體系
（2008~2010）

等保測評機構認證(100余家)
等保測評師培訓認證

落地實施
（2010~至今）

二級系統數量5萬余個
三級系統數量2萬余個
四級系統數量100余個

等級保護工作意義

（1）責任更清晰
完成等保測評意味著當前的安全狀況被公安機關認可，一旦發生安全事件則是天災與意外；如果沒有進行等級保護測評意味安全狀況沒有達到國家要求，一旦發生安全事件則是人禍，需要自己承擔相關責任。
（2）安全建設體系化
以等級保護為標準開展安全建設，可以讓安全建設更加體系化。通過從物理、網絡、主機、應用和數據等多個方面成體系的進行安全建設，打破了傳統頭痛醫頭腳痛醫腳的建設狀況，能對各單位的安全建設提出整體的規劃和思路。

等級保護整體解決方案

Level Protection Overall Solution

隨著數字化醫院評審標準的完善以及醫院等級保護測評政策要求的落實，醫療衛生系統應圍繞HIS、LIS、PACS等核心業務系統深入開展信息安全等級保護工作，并在此基礎上指引后續信息化安全建設方向。通過對醫院信息化現狀調研、分析，結合等級保護在物理安全、網絡安全、主機安全、應用安全、數據安全、安全管理制度、安全管理機構、人員安全、系統建設、系統運維十個方面的要求，協助醫院逐步完善信息安全組織、落實安全責任制，開展管理制度建設、技術措施建設，落實等級保護制度的各項要求，使得醫院信息系統安全管理水平提高，安全保護能力增強，安全隱患和安全事故減少，有效保障信息化健康發展。
經過多年醫療衛生行業的安全建設經驗的積累，我公司可提供針對醫療衛生信息系統全生命周期內的等級保護咨詢、建設、運維等整體解決方案。

系統定級

概述

系統定級階段的主要工作是參考等級保護定級標準對醫院內部各類信息系統進行等級保護定級。根據衛生部關于印發《衛生行業信息安全等級保護工作的指導意見》的定級準則，結合醫院及地方政策等實際情況進行系統定級。針對客戶對于信息系統分類定級流程不清楚的情況，我公司可以提供完善的醫療信息系統定級備案咨詢服務?？梢愿鶕蛻魡挝恍再|、組織架構、業務特點等內容，幫助客戶確定不同醫療信息系統的定級標準，協助編寫定級報告及完善各類定級備案資料。

醫療衛生行業客戶面臨的問題

1) 如何篩選定級系統，即確定哪些信息系統需要進行定級；
2) 如何對選定的信息系統進行合理定級，即確定等級保護級別；
3) 如何進行定級備案，即該準備哪些文檔、定級備案如何申請等。

解決方案

1) 政策咨詢服務，包括涉及等級保護相關的國家政策、行業規范的咨詢服務；
2) 定級系統篩選，通過分析單位性質、組織架構、業務特點等工作，最終確定需要進行備案的信息系統；
3) 協助客戶確認信息系統等級，幫助編寫信息系統定級報告；
4) 備案服務，幫助客戶檢查備案相關資料，協助客戶去公安機關進行備案。

相關定級參考

差距測評

概述

以計算機信息系統安全保護等級基本要求為依據，從技術要求、管理要求出發，對醫院核心信息系統進行全方位、多維度的安全評估，找出信息系統當前的安全技術措施與等級保護標準要求之間的差距?？偨Y當前信息系統安全整改建設的需求，為醫院后續的整改工作提供事實依據。

醫療衛生行業客戶面臨的問題

1) 缺少專業的信息系統安全評估人員；
2) 缺少專業的安全評估第三方工具及方法，比如配置核查、滲透測試等等級測評方法。

解決方案

1) 專家檢查
由經驗豐富的安全工程師對信息系統進行人工檢查，檢查內容包括網絡體系架構檢查、安全配置基線檢查、策略配置基線檢查、安全補丁核查、系統平臺安全檢查等內容；
2) 漏洞檢查
由自有知識產權的漏洞掃描工具對信息系統進行全方面的漏洞檢測，包括主機漏洞掃描、系統漏洞掃描、應用漏洞掃描、源代碼漏洞掃描等；
3) 滲透測試
包括黑盒/白盒測試方法、安全滲透測試專家的現場測試等方式發現信息系統存在的安全漏洞或風險；
4) 管理制度完善
結合等級保護相關管理要求，參照ISO27001、ISO20000等體系標準，完善單位內部管理制度，有效封堵制度漏洞。

系統整改

概述

以差距評測報告和信息系統安全等級保護基本要求為基本依據，對已經發現的安全問題進行整改。通過整體安全建設規劃進行總體的安全技術設計，將不同層面的安全防護措施整合成一套安全防護體系，全面落實等級保護基本要求中對于物理安全、網絡安全、主機安全、應用安全、數據安全等方面的要求，最大程度提升安全防護技術水平和能力。

醫療衛生行業客戶面臨的問題

如何選擇對應的安全產品或安全服務形成最優化的組合方式解決現有問題，保證投資的有效性，避免重復投資。

解決方案

1) 根據差距評測報告及等級保護基本要求，完成總體安全設計規劃，并協助客戶完成相關安全產品或安全服務的采購；
2) 根據差距評測報告及等級保護基本要求，完善系統架構優化、基線配置、安全加固配置等工作；
3) 根據差距評測報告及等級保護基本要求，制定不同設備的安全配置策略，并進行合理配置；
4) 根據差距評測報告及等級保護基本要求，根據實際情況，對內部管理制度進行補充，包括但不限于安全巡檢、安全輪值等內容。

驗收評測

概述

驗收評測是由具備測評資質的機構依據等級保護相關要求對醫療信息系統開展的等級保護建設評估工作。在該過程中，我公司會提供完善的測評咨詢服務，能夠協助客戶準備測評相關資料，并且我公司和全國大部分測評機構都有過廣泛深度的合作，其中不乏戰略合作伙伴，可以有力保障客戶完成測評工作。

醫療衛生行業客戶面臨的問題

1) 測評流程不清楚，包括需要準備哪些資料、測評的范圍等；
2) 缺乏現場測評經驗，不知道在測評實施過程中需要提前準備哪些工作。

解決方案

1) 等級保護最新政策解讀；
2) 協助準備測評所需資料；
3) 測評實施過程中技術支撐。

系統備案

系統備案是指客戶通過測評機構測評之后，去當地公安機關進行等級保護備案的過程。具體備案流程如下圖所示：

運行維護

概述

按照信息安全等級保護管理辦法要求，三級信息系統每年應該進行一次自查和第三方測評機構的測評，因此我公司針對三級信息系統比如HIS、LIS等醫療核心應用系統的后期運行過程中提供完整的安全防護解決方案和測評咨詢服務。在三級信息系統每年的安全自查整改和系統評測過程中提供技術保障服務。

產品及解決方案

操作系統安全增強系統（RS-CDPS）

優炫操作系統安全增強系統，通過安裝在服務器的安全內核保護服務器數據，截取系統調用實現對系統資源的訪問控制，以加強操作系統安全性。它具有多種用戶認證機制，訪問控制及審計功能，操作方便、宜于系統管理和安全管理?？蓪NIX類、LINUX類、WINDOWS類各種操作系統進行統一管理，為管理人員提供方便，可以保障客戶的服務器安全、持續、長效運行。