专业咨询
致力推进中国医疗卫生信息化

【HIT180等保专栏(四)】用等级保护的方法维护医疗卫生行业信息安全

差距分析

简称“差分”。评估做完后就可以很清楚的知道现状和问题所在,差分就是确定当前系统与相应保护等级要求之间差距的过程,从技术和管理两大层面按照等保基本要求逐条进行。

整改建设

这个阶段是最重要的部分,将根据前面的成果进行整改方案设计,并进行一系列的落地建设。下图是网御星云通过众多医院实际案例总结的典型网络结构:

网御星云网路结构图

网御星云网路结构图

根据等保标准,整改必须按照技术和管理两条线进行。先来看看技术实现方法,技术层面又细分为物理安全、网络安全、主机安全、应用安全、数据安全。

物理安全主要是机房选址和机房在用电、防盗、防雷击、防火、防静电、防水等方面,应按照机房的相关标准去建。

网络安全从网络结构、边界防护、审计等方面进行建设。这是重点部分,前面提到的宕机,很多时候是因为网络结构冗余性不足,如重要网络设备、安全设备、服务器、线路等应冗余备份,避免单点故障;边界防护应根据不同安全域的特性进行设计,如上图中防火墙部署在内网重要服务器区边界,防毒墙和网闸用于医院内外网隔离,UTM和WEB防火墙用于外网边界和门户网站。

主机安全和应用安全围绕操作系统、数据库、中间件和应用系统开展工作。这里面大多数要求需要采用安全加固服务的方式进行,而对于数据库的安全应采用“防统方系统”,重点监控所有的统方行为,震慑非法统方。

数据安全重点在于数据的备份与恢复,数据资产越来越成为医院的核心资产。在立足做好本地备份的基础上,如果有条件要尽量做到异地备份。

以上是技术部分,管理部分应在机构、人员、制度等层面进行,这里不再赘述。

测评

整改结束后要进行测评工作,这也是2015年底要求做完的最后一项工作,聘请合格的测评机构进行等保测评,测评通过后进入日常运维阶段。这里要注意,不是测评通过后就万事大吉了,三级要求每年都进行监督检查。

总 结

网御星云logo通过上述等保建设要点分析,在这仅有的一年时间里有很多具体工作要落实,必须要抓紧时间。网御星云作为国内专业信息安全产品和服务提供商,在等保咨询服务、等保建设整改、安全产品、风险评估及加固服务、运维服务等提供一揽子解决方案。作为等级保护专家组成员单位,参与了等级保护相关标准的起草编制工作。曾承接了阜外医院、国家药监局等多个医疗行业单位的等保建设,在医疗卫生行业有着深厚的积累。愿携手全国广大医疗机构一起开展信息安全的等保建设,使医疗机构能够安全、持续的为广大患者提供优质服务。

内容预告:HIT180等保专栏(五)】医疗卫生信息安全等级保护实施

点击阅读更多【HIT180等保专栏】内容

HIT专家网系列丛书的第一部著作、由王晖主编的《医疗卫生行业信息安全等级保护实施指南》(第二版)已于2014年9月正式出版,同时HIT专家网推出【HIT180等保专栏】,摘编书中精彩内容以及业界投稿内容与读者分享,欢迎大家订阅!

书号:ISBN 978-7-5545-1352-1安全等保实施指南封面(小图)

版次:2014年9月第1版

印次:2014年9月第1次印刷

开本:889mm * 1194mm

印张:21

原价:48.00元    现在网上微店直接下单即可享受大幅折扣优惠

咨询热线:010-82373062    

1 2
赞(0)

评论 抢沙发

评论前必须登录!

 


未经允许不得转载:HIT专家网 » 【HIT180等保专栏(四)】用等级保护的方法维护医疗卫生行业信息安全
分享到: 更多 (0)