醫(yī)院信息安全建設(shè)課件

1、博學(xué)博愛(ài)醫(yī)院信息安全建設(shè)探索與實(shí)踐仁心仁術(shù)2019年3月21日123信息安全介紹目錄醫(yī)院信息安全介紹CONTENTS探索總結(jié)博學(xué)博愛(ài)01仁心仁術(shù)（一）信息安全定義博學(xué)博愛(ài)信息完整性仁心仁術(shù)信息保密性信息真實(shí)性信息安全信息可控制下性所寄生系統(tǒng)的安全性（二）特點(diǎn)博學(xué)博愛(ài) 真實(shí)性：對(duì)信息的來(lái)源進(jìn)行判斷，能對(duì)偽造來(lái)源的信息予以鑒別。 保密性：保證機(jī)密信息不被竊聽(tīng)，或竊聽(tīng)者不能了解信息的真實(shí)含義。 完整性：保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶篡改。 未授權(quán)拷貝性：對(duì)信息的傳播及內(nèi)容具有控制能力。 所寄生系統(tǒng)的安全性：信息系統(tǒng)軟硬件持續(xù)服務(wù)能力。仁心仁術(shù)博學(xué)博愛(ài)02仁心仁術(shù)（一）醫(yī)院信息安全策略博學(xué)博愛(ài)醫(yī)

2、院網(wǎng)絡(luò)醫(yī)院網(wǎng)絡(luò)分為三個(gè)區(qū)域，各區(qū)域邊界設(shè)置了防火墻，區(qū)域之間再通過(guò)防火墻隔離，不同品牌的防火墻混合使用，最大限度保障網(wǎng)絡(luò)安全；對(duì)各區(qū)域之間的業(yè)務(wù)互訪設(shè)定了嚴(yán)密的訪問(wèn)控制策略，開(kāi)啟日志記錄功能，能實(shí)時(shí)查詢應(yīng)用訪問(wèn)流量。院內(nèi)安裝了態(tài)勢(shì)感知、卡巴斯基KATA反目標(biāo)攻擊平臺(tái)、SkyGuard安全平臺(tái)、瑞數(shù)應(yīng)用保護(hù)平臺(tái)、WAF防火墻、入網(wǎng)規(guī)范管理平臺(tái)等安全系統(tǒng)。仁心仁術(shù)（二）網(wǎng)絡(luò)安全拓?fù)鋱D醫(yī)院網(wǎng)絡(luò)分為三個(gè)區(qū)域，每個(gè)區(qū)域有單獨(dú)的邊界防火墻，區(qū)域之間再通過(guò)防火墻隔離；各區(qū)域之間應(yīng)用訪問(wèn)通過(guò)防火墻控制。博學(xué)博愛(ài)仁心仁術(shù)（三）內(nèi)網(wǎng)安全防護(hù)策略博學(xué)博愛(ài)內(nèi)網(wǎng)邊界防火墻卡巴斯基殺毒軟件客戶端卡巴斯基kata反目標(biāo)攻擊

3、平臺(tái)IP-guard安全管理系統(tǒng)仁心仁術(shù)漏洞掃描系統(tǒng)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)靜態(tài)分配IP地址，并在交換機(jī)端口上進(jìn)行IP地址、MAC地址綁定。博學(xué)博愛(ài)仁心仁術(shù)內(nèi)網(wǎng)邊界防火墻控制醫(yī)院內(nèi)網(wǎng)應(yīng)用到DMZ區(qū)及社保局、衛(wèi)生局的安全訪問(wèn)策略，保護(hù)內(nèi)網(wǎng)系統(tǒng)數(shù)據(jù)安全。博學(xué)博愛(ài)院內(nèi)所有內(nèi)網(wǎng)服務(wù)器及PC客戶端都必須安裝卡巴斯基殺毒軟件。卡巴斯基殺毒軟件的病毒查殺和防護(hù)功能能有效防止電腦客戶端被病毒感染。仁心仁術(shù)博學(xué)博愛(ài)仁心仁術(shù)卡巴斯基K ATA反目標(biāo)攻擊平臺(tái)通過(guò)采集內(nèi)、外網(wǎng)核心交換機(jī)上的鏡像數(shù)據(jù)，分析網(wǎng)絡(luò)中是否存在網(wǎng)絡(luò)攻擊及病毒傳播。博學(xué)博愛(ài)仁心仁術(shù)IP-guard安全管理系統(tǒng)能控制外接設(shè)備接入及對(duì)內(nèi)網(wǎng)電腦進(jìn)行補(bǔ)丁更新，通過(guò)

4、禁止USB存儲(chǔ)設(shè)備等功能來(lái)防止病毒傳染及數(shù)據(jù)泄露。IP-guard的補(bǔ)丁更新功能修補(bǔ)電腦系統(tǒng)漏洞，降低電腦客戶端被入侵的風(fēng)險(xiǎn)。博學(xué)博愛(ài)仁心仁術(shù)隔離防火墻同時(shí)連接內(nèi)網(wǎng)、外網(wǎng)、DMZ區(qū)，進(jìn)一步控制內(nèi)網(wǎng)到DMZ區(qū)、外網(wǎng)到DMZ區(qū)應(yīng)用的安全訪問(wèn)，通過(guò)虛擬網(wǎng)線隔離內(nèi)網(wǎng)到外網(wǎng)的互訪。博學(xué)博愛(ài)仁心仁術(shù)DMZ邊界防火墻控制著DMZ區(qū)業(yè)務(wù)的訪問(wèn)，使DMZ區(qū)到內(nèi)網(wǎng)和外網(wǎng)都經(jīng)過(guò)三層防火墻保護(hù)，嚴(yán)格控制內(nèi)網(wǎng)數(shù)據(jù)的流動(dòng)。（四）外網(wǎng)安全防護(hù)策略博學(xué)博愛(ài)WAF防火墻瑞數(shù)動(dòng)態(tài)web防護(hù)系統(tǒng)外網(wǎng)邊界防火墻態(tài)勢(shì)感知系統(tǒng)天空衛(wèi)士防泄密軟件入網(wǎng)規(guī)范管理系統(tǒng)仁心仁術(shù)博學(xué)博愛(ài)仁心仁術(shù)WAF防火墻通過(guò)執(zhí)行一系列針對(duì)HTTP/HTTPS的安

5、全策略來(lái)專(zhuān)門(mén)為web應(yīng)用提供防護(hù)，能實(shí)時(shí)監(jiān)控醫(yī)院web應(yīng)用的流量，保護(hù)web應(yīng)用的安全。博學(xué)博愛(ài)仁心仁術(shù)瑞數(shù)動(dòng)態(tài)web防護(hù)系統(tǒng)通過(guò)對(duì)web應(yīng)用發(fā)布端口的監(jiān)控，進(jìn)一步保護(hù)web系統(tǒng)的安全。博學(xué)博愛(ài)仁心仁術(shù)態(tài)勢(shì)感知系統(tǒng)通過(guò)在各個(gè)區(qū)域安裝探針，實(shí)時(shí)監(jiān)控各區(qū)域交換機(jī)流量，監(jiān)控分析網(wǎng)絡(luò)中存在各種風(fēng)險(xiǎn)，并且可以通過(guò)大屏投放實(shí)時(shí)監(jiān)控。博學(xué)博愛(ài)仁心仁術(shù)態(tài)勢(shì)感知系統(tǒng)通過(guò)在各個(gè)區(qū)域安裝探針，實(shí)時(shí)監(jiān)控各區(qū)域交換機(jī)流量，監(jiān)控分析網(wǎng)絡(luò)中存在各種風(fēng)險(xiǎn)，并且可以通過(guò)大屏投放實(shí)時(shí)監(jiān)控。博學(xué)博愛(ài)仁心仁術(shù)智象運(yùn)維管理平臺(tái)分為資產(chǎn)管理平臺(tái)和工單管理平臺(tái)兩部分。資產(chǎn)管理平臺(tái)能添加管理醫(yī)院服務(wù)器、網(wǎng)絡(luò)、PC客戶端、存儲(chǔ)設(shè)備等信息資產(chǎn)，

6、能實(shí)時(shí)監(jiān)控所有設(shè)備的網(wǎng)絡(luò)運(yùn)行、設(shè)備資源等使用情況。工單管理系統(tǒng)可以記錄報(bào)障電話，并以工單的方式下發(fā)到微信公眾號(hào)，讓工程師通過(guò)手機(jī)接單處理故障，并能全程監(jiān)控故障處理進(jìn)度。博學(xué)博愛(ài)仁心仁術(shù)（五）其他安全防護(hù)措施博院內(nèi)所有電腦都是通過(guò)靜態(tài)分配IP地址，而且在 學(xué)交換機(jī)端口綁定了客戶端的IP地址和MAC地址，并手動(dòng)關(guān)閉了交換機(jī)的空置端口，能有效的限制非法客戶端的接入。博愛(ài)電腦服務(wù)器仁1、為避免服務(wù)器更新補(bǔ)丁導(dǎo)致藍(lán)屏，手動(dòng)將服務(wù)器135、137、138、心端口仁139、445等高危端口關(guān)閉。2、修改服務(wù)器管理員賬戶的默認(rèn) 術(shù)用戶名和遠(yuǎn)程桌面管理的默認(rèn)端口號(hào)。所有服務(wù)器申請(qǐng)、網(wǎng)絡(luò)接入等都要提交申請(qǐng)單，嚴(yán)格按照相關(guān)流程進(jìn)行審核，通過(guò)批準(zhǔn)才能進(jìn)行操作。博學(xué)博愛(ài)03仁