醫(yī)院信息安全建設(shè)課件

1、博學(xué)博愛醫(yī)院信息安全建設(shè)探索與實踐仁心仁術(shù)2019年3月21日123信息安全介紹目錄醫(yī)院信息安全介紹CONTENTS探索總結(jié)博學(xué)博愛01仁心仁術(shù)（一）信息安全定義博學(xué)博愛信息完整性仁心仁術(shù)信息保密性信息真實性信息安全信息可控制下性所寄生系統(tǒng)的安全性（二）特點博學(xué)博愛 真實性：對信息的來源進(jìn)行判斷，能對偽造來源的信息予以鑒別。 保密性：保證機密信息不被竊聽，或竊聽者不能了解信息的真實含義。 完整性：保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶篡改。 未授權(quán)拷貝性：對信息的傳播及內(nèi)容具有控制能力。 所寄生系統(tǒng)的安全性：信息系統(tǒng)軟硬件持續(xù)服務(wù)能力。仁心仁術(shù)博學(xué)博愛02仁心仁術(shù)（一）醫(yī)院信息安全策略博學(xué)博愛醫(yī)

2、院網(wǎng)絡(luò)醫(yī)院網(wǎng)絡(luò)分為三個區(qū)域，各區(qū)域邊界設(shè)置了防火墻，區(qū)域之間再通過防火墻隔離，不同品牌的防火墻混合使用，最大限度保障網(wǎng)絡(luò)安全；對各區(qū)域之間的業(yè)務(wù)互訪設(shè)定了嚴(yán)密的訪問控制策略，開啟日志記錄功能，能實時查詢應(yīng)用訪問流量。院內(nèi)安裝了態(tài)勢感知、卡巴斯基KATA反目標(biāo)攻擊平臺、SkyGuard安全平臺、瑞數(shù)應(yīng)用保護(hù)平臺、WAF防火墻、入網(wǎng)規(guī)范管理平臺等安全系統(tǒng)。仁心仁術(shù)（二）網(wǎng)絡(luò)安全拓?fù)鋱D醫(yī)院網(wǎng)絡(luò)分為三個區(qū)域，每個區(qū)域有單獨的邊界防火墻，區(qū)域之間再通過防火墻隔離；各區(qū)域之間應(yīng)用訪問通過防火墻控制。博學(xué)博愛仁心仁術(shù)（三）內(nèi)網(wǎng)安全防護(hù)策略博學(xué)博愛內(nèi)網(wǎng)邊界防火墻卡巴斯基殺毒軟件客戶端卡巴斯基kata反目標(biāo)攻擊

3、平臺IP-guard安全管理系統(tǒng)仁心仁術(shù)漏洞掃描系統(tǒng)數(shù)據(jù)庫審計系統(tǒng)靜態(tài)分配IP地址，并在交換機端口上進(jìn)行IP地址、MAC地址綁定。博學(xué)博愛仁心仁術(shù)內(nèi)網(wǎng)邊界防火墻控制醫(yī)院內(nèi)網(wǎng)應(yīng)用到DMZ區(qū)及社保局、衛(wèi)生局的安全訪問策略，保護(hù)內(nèi)網(wǎng)系統(tǒng)數(shù)據(jù)安全。博學(xué)博愛院內(nèi)所有內(nèi)網(wǎng)服務(wù)器及PC客戶端都必須安裝卡巴斯基殺毒軟件?？ò退够鶜⒍拒浖牟《静闅⒑头雷o(hù)功能能有效防止電腦客戶端被病毒感染。仁心仁術(shù)博學(xué)博愛仁心仁術(shù)卡巴斯基K ATA反目標(biāo)攻擊平臺通過采集內(nèi)、外網(wǎng)核心交換機上的鏡像數(shù)據(jù)，分析網(wǎng)絡(luò)中是否存在網(wǎng)絡(luò)攻擊及病毒傳播。博學(xué)博愛仁心仁術(shù)IP-guard安全管理系統(tǒng)能控制外接設(shè)備接入及對內(nèi)網(wǎng)電腦進(jìn)行補丁更新，通過

4、禁止USB存儲設(shè)備等功能來防止病毒傳染及數(shù)據(jù)泄露。IP-guard的補丁更新功能修補電腦系統(tǒng)漏洞，降低電腦客戶端被入侵的風(fēng)險。博學(xué)博愛仁心仁術(shù)隔離防火墻同時連接內(nèi)網(wǎng)、外網(wǎng)、DMZ區(qū)，進(jìn)一步控制內(nèi)網(wǎng)到DMZ區(qū)、外網(wǎng)到DMZ區(qū)應(yīng)用的安全訪問，通過虛擬網(wǎng)線隔離內(nèi)網(wǎng)到外網(wǎng)的互訪。博學(xué)博愛仁心仁術(shù)DMZ邊界防火墻控制著DMZ區(qū)業(yè)務(wù)的訪問，使DMZ區(qū)到內(nèi)網(wǎng)和外網(wǎng)都經(jīng)過三層防火墻保護(hù)，嚴(yán)格控制內(nèi)網(wǎng)數(shù)據(jù)的流動。（四）外網(wǎng)安全防護(hù)策略博學(xué)博愛WAF防火墻瑞數(shù)動態(tài)web防護(hù)系統(tǒng)外網(wǎng)邊界防火墻態(tài)勢感知系統(tǒng)天空衛(wèi)士防泄密軟件入網(wǎng)規(guī)范管理系統(tǒng)仁心仁術(shù)博學(xué)博愛仁心仁術(shù)WAF防火墻通過執(zhí)行一系列針對HTTP/HTTPS的安

5、全策略來專門為web應(yīng)用提供防護(hù)，能實時監(jiān)控醫(yī)院web應(yīng)用的流量，保護(hù)web應(yīng)用的安全。博學(xué)博愛仁心仁術(shù)瑞數(shù)動態(tài)web防護(hù)系統(tǒng)通過對web應(yīng)用發(fā)布端口的監(jiān)控，進(jìn)一步保護(hù)web系統(tǒng)的安全。博學(xué)博愛仁心仁術(shù)態(tài)勢感知系統(tǒng)通過在各個區(qū)域安裝探針，實時監(jiān)控各區(qū)域交換機流量，監(jiān)控分析網(wǎng)絡(luò)中存在各種風(fēng)險，并且可以通過大屏投放實時監(jiān)控。博學(xué)博愛仁心仁術(shù)態(tài)勢感知系統(tǒng)通過在各個區(qū)域安裝探針，實時監(jiān)控各區(qū)域交換機流量，監(jiān)控分析網(wǎng)絡(luò)中存在各種風(fēng)險，并且可以通過大屏投放實時監(jiān)控。博學(xué)博愛仁心仁術(shù)智象運維管理平臺分為資產(chǎn)管理平臺和工單管理平臺兩部分。資產(chǎn)管理平臺能添加管理醫(yī)院服務(wù)器、網(wǎng)絡(luò)、PC客戶端、存儲設(shè)備等信息資產(chǎn)，

6、能實時監(jiān)控所有設(shè)備的網(wǎng)絡(luò)運行、設(shè)備資源等使用情況。工單管理系統(tǒng)可以記錄報障電話，并以工單的方式下發(fā)到微信公眾號，讓工程師通過手機接單處理故障，并能全程監(jiān)控故障處理進(jìn)度。博學(xué)博愛仁心仁術(shù)（五）其他安全防護(hù)措施博院內(nèi)所有電腦都是通過靜態(tài)分配IP地址，而且在 學(xué)交換機端口綁定了客戶端的IP地址和MAC地址，并手動關(guān)閉了交換機的空置端口，能有效的限制非法客戶端的接入。博愛電腦服務(wù)器仁1、為避免服務(wù)器更新補丁導(dǎo)致藍(lán)屏，手動將服務(wù)器135、137、138、心端口仁139、445等高危端口關(guān)閉。2、修改服務(wù)器管理員賬戶的默認(rèn) 術(shù)用戶名和遠(yuǎn)程桌面管理的默認(rèn)端口號。所有服務(wù)器申請、網(wǎng)絡(luò)接入等都要提交申請單，嚴(yán)格按照相關(guān)流程進(jìn)行審核，通過批準(zhǔn)才能進(jìn)行操作。博學(xué)博愛03仁