医院网络系统的等级保护建设整改方案安全体系设计.doc

: .
医院网络系统的等级保护建设整改方案安全体系设计
在信息安全等级保护体系设计时，我们遵循等保体系标不改变网络原有的拓扑结 构，对网络内的用户应是透明的，不可见的。同时， 安全设备的运行应该不会对网络传输造成通信 “瓶 颈”。
7、 可管理性与扩展性 安全设备应易于管理， 而且支持通过现有网络对网上 的安全设备进行安全的统一管理、 控制， 能够在网上 监控设备的运行状况，进行实时的安全审计。
8、 保护原有投资的原则
在进行 XX 县人民医院网络系统信息安全体系建设 时，应充分考虑原有投资， 要充分利用医院已有的建 设基础，规划其医院网络系统的整体安全体系和灾难 恢复系统。
9、 综合治理 信息网络的安全同样也绝不仅仅是一个技术问题， 各 种安全技术应该与运行管理机制、 人员的思想教育与 技术培训、 安全法律法规建设相结合， 从社会系统工 程的角度综合考虑。
§ 设计参考标准与规范
设计参考了以下标准与规范：
卫生部办公厅《关于全面开展卫生行业信息安全等 级保护工作的通知》 (卫办综函 [2011]1126 号) ; 《北京市卫生局关于进一步加强北京市卫生行业信 息安全等级保护工作的通知》 (京卫办字〔 2012〕26 号);
《信息安全技术信息系统安全等级保护基本要求》
( GB/T22239-2008 ) ;
《信息安全技术信息系统安全等级保护定级指南》 (GB/T 22240-2008 );
《信息安全技术信息系统安全等级保护实施指南》 ; 《信息安全技术信息系统安全等级保护测评要求》 ; 《信息安全技术信息系统安全等级保护测评过程指 南》 ;
《计算机信息系统安全保护等级划分准则》 ( GB 17859-1999);
信息安全技术信息系统通用安全技术要求》
(GB/T20271-2006);
《信息安全技术网络基础安全技术要求》 (GB/T 20270-2006);
《信息安全技术操作系统安全技术要求》 (GB/T 20272-2006);
《信息安全技术数据库管理系统安全技术要求》
(GB/T20273-2006);
《信息安全技术服务器技术要求》 (GB/T
21028-2007);
《信息安全技术终端计算机系统安全等级技术要
求》( GA/T 671-2006 );
《信息安全技术信息系统安全管理要求》
(GB/T20269-2006);
《信息安全技术信息系统安全工程管理要求》
GB/T20282-2006 ) ;
GB/T 18336-2001 信息技术安全技术信息技术安全
性评估准则 ;
§ 分域保护框架建立
§ 设计思路和方法
用安全域方法论为主线来进行设计， 从安全的角度来分 析业务可能存在的安全风险。所谓安全域，就是具有相同业 务要求和安全要求的 IT 系统要素的集合。 这些 IT 系统要素 包括：
网络区域
主机和系统
人和组织
策略和流程
业务和使命
因此，如果按照广义安全域来理解，不能将安全域 的工作仅仅理解为在网络拓扑结构上的工作。
通过划分安全域的方法，将网络系统按照业务流程