【xx医院】信息安全建设方案-2016年.docVIP

二 〇 一 六 年 一 月 目 录 一. 概述 1 (一) 项目背景 1 (二) 建设目标 1 (三) 依据标准规范 2 (四) 建设原则 3 1. 全方位提升网络和系统实体的安全性、抗攻击性 3 2. 信息系统的可用可靠性、安全性和必威体育官网网址性 3 3. 强调系统运行状态的可控性 3 4. 安全系统的可管理性 3 5. 需求、风险、代价平衡的原则 3 6. 先进性原则 4 7. 可扩展性原则 4 8. 多重保护原则 4 9. 标准性原则 4 10. 易操作性原则 4 二. 医院网络现状及需求分析 5 (一) 网络结构描述 5 (二) 应用系统描述? 5 (三) 医院网络安全现状? 5 (四) 医院网络的安全需求 6 三. IT流程规范化改进咨询服务 7 (一) 关于IT流程改进咨询 7 (二) 提供IT流程知识管理及任务管理系统及服务 7 (三) IT流程改进目标 7 (四) IT流程改进原则 7 (五) IT流程改进服务需求说明 8 1. 建立IT流程体系规划和持续改进机制 8 2. 建立信息中心部门基本制度 8 3. 建立医院信息化管理制度 9 4. 建立完善系统维护流程 9 5. 建立信息安全管理制度 10 6. 建立应急预案与演练机制 10 7. 建立项目管理制度 11 8. 建立统计工作制度 11 9. 编制详细作业指导书SOP 11 四. 安全建设方案 12 (一) MPDRR安全模型 12 (二) 信息安全拓扑图 13 (三) 网络防火墙系统 14 1. 产品概述 14 2. 产品特点 14 (四) WEB安全防护系统 17 1. 产品概述 17 2. 产品特点 18 (五) 运维审计系统 23 1. 产品功能 23 (六) 上网行为管理系统 29 1. 产品功能 29 2. 产品的技术优势 34 (七) 数据库审计系统（防统方系统） 36 1. 产品概述 36 2. 特色与优势 36 (八) 终端安全管理系统 39 1. 主要功能特点 39 2. 详细功能描述 40 五. 信息安全专业服务 43 (一) 安全规划服务 43 1. 总体架构 43 2. 安全建设规划 46 (二) 安全评估服务 48 1. 服务描述 48 2. 安全扫描工具 48 (三) 安全加固服务 49 1. 服务描述 49 2. 服务内容 50 (四) 安全巡检服务 51 (五) 应急响应服务 51 1. 服务承诺 51 2. 安全事件预警 51 3. 应急响应规范 53 4. 应急响应流程 54 (六) 安全信息服务 55 (七) 安全培训服务 55 (八) 信息化安全服务清单 55 六. 信息安全建设方案清单 57 概述 项目背景 医院是一个信息和技术密集型的行业，一般其计算机网络划分为业务网络和办公网络，作为一个现代化的医疗机构的计算机网络,除了要满足高效的内部自动化办公需求以外,还需要对外界的通讯保证畅通。结合医院复杂的HIS、RIS、PACS等应用系统，需要网络必须能够满足数据、语音、图像等综合业务的传输要求，所以需要在网络上应运用多种高性能设备和先进技术来保证系统的正常运作和稳定的效率。同时医院的网络系统连接着Internet、医保专网等网络，访问人员和物理上的网路边界比较复杂，所以如何保证医院网络系统中的数据及应用的安全显得尤为重要。? 在日新月异的现代化社会进程中，计算机网络几乎延伸到了世界每一个角落，它不停的改变着我们的工作生活方式和思维方式，但是，计算机信息网络安全的脆弱性和易受攻击性是不容忽视的。由于网络设备、计算机操作系统、网络协议等安全技术上的漏洞和管理体制上的不严密，都会使计算机网络受到威胁。我们可以想象一下，对于一个需要高速信息传达的现代化医院，如果遭到致命攻击，会给社会造成多大的影响。? 在医院行业的信息化建设过程中，信息安全的建设虽然只是一个很小的部分，但其重要性不容忽视。便捷、开放的网络环境，是医院信息化建设的基础，在数据传递和共享的过程当中，业务数据的安全性要切实地得到保障，才能保障医院信息化业务系统的正常运行。然而，如果我们的数据面临着越来越多的安全风险，将对业务的正常运行带来威胁。? 所以，在医院的信息化建设过程中，我们应当正视网络及系统可能面临的各种安全风险，对网络威胁给予充分的重视。为了医院信息网络的安全稳定运行，确保医院信息系统建设项目的顺利实施，结合具体的网络和应用系统现状，根据医院目前的计算机信息网网络特点及安全需求，本着切合实际、保护资产、着眼未来医疗信息化动态发展的原则，提出本安全建设方案。 建设目标 医院将通过本次网络系统及网络安全规划与建设，将医院的网络建设成为一个具有现代化、多功能、结构化、智能化的综合性网络系统。医院网络系统是为医院内部提供网络信息系统应用的IT基础平台，包