1、 可修改 歡送下載 精品 Word 可修改 歡送下載 精品 Word 可修改 歡送下載 精品 Word延安醫療(ylio)集團信息(xnx)平安(png n)等級(dngj)保護整改(zhn i)建議方案書沈陽東軟系統集成工程2022年7月目錄(ml) TOC o 1-3 h z u HYPERLINK l _Toc424133166 1工程(gngchng)概述(i sh) PAGEREF _Toc424133166 h 3 HYPERLINK l _Toc424133167 1.1工程(gngchng)建設(jinsh)背景 PAGEREF _Toc424133167 h 3 HYPERL

2、INK l _Toc424133168 1.2工程建設目標 PAGEREF _Toc424133168 h 3 HYPERLINK l _Toc424133169 1.3工程參考標準 PAGEREF _Toc424133169 h 5 HYPERLINK l _Toc424133170 1.4工程實施原那么 PAGEREF _Toc424133170 h 5 HYPERLINK l _Toc424133171 2現狀及需求分析 PAGEREF _Toc424133171 h 6 HYPERLINK l _Toc424133172 2.1現狀描述 PAGEREF _Toc424133172 h

3、7 HYPERLINK l _Toc424133173 2.1.1業務系統現狀 PAGEREF _Toc424133173 h 7 HYPERLINK l _Toc424133182 2.1.2根底設施現狀 PAGEREF _Toc424133182 h 11 HYPERLINK l _Toc424133183 2.1.3平安技術現狀 PAGEREF _Toc424133183 h 16 HYPERLINK l _Toc424133184 2.1.4平安管理現狀 PAGEREF _Toc424133184 h 17 HYPERLINK l _Toc424133185 2.2差距分析 PAGER

4、EF _Toc424133185 h 18 HYPERLINK l _Toc424133186 2.2.1系統定級情況 PAGEREF _Toc424133186 h 18 HYPERLINK l _Toc424133187 2.2.2技術體系差距分析 PAGEREF _Toc424133187 h 18 HYPERLINK l _Toc424133188 2.2.3管理體系方面的差距 PAGEREF _Toc424133188 h 25 HYPERLINK l _Toc424133189 2.3平安需求 PAGEREF _Toc424133189 h 25 HYPERLINK l _Toc4

5、24133190 2.3.1信息平安管理需求 PAGEREF _Toc424133190 h 26 HYPERLINK l _Toc424133191 2.3.2信息平安運維需求 PAGEREF _Toc424133191 h 28 HYPERLINK l _Toc424133192 2.3.3分域保護平安需求 PAGEREF _Toc424133192 h 28 HYPERLINK l _Toc424133193 2.3.4信息平安技術需求 PAGEREF _Toc424133193 h 28 HYPERLINK l _Toc424133194 3平安技術設計方案 PAGEREF _Toc4

6、24133194 h 31 HYPERLINK l _Toc424133195 3.1根本平安域定義 PAGEREF _Toc424133195 h 31 HYPERLINK l _Toc424133196 3.2平安防護體系構成 PAGEREF _Toc424133196 h 32 HYPERLINK l _Toc424133197 3.3系統整體部署 PAGEREF _Toc424133197 h 33 HYPERLINK l _Toc424133198 3.4系統部署說明 PAGEREF _Toc424133198 h 35 HYPERLINK l _Toc424133199 4平安加固

7、建設方案 PAGEREF _Toc424133199 h 35 HYPERLINK l _Toc424133200 4.1主機平安加固 PAGEREF _Toc424133200 h 36 HYPERLINK l _Toc424133201 4.2網絡平安加固 PAGEREF _Toc424133201 h 40 HYPERLINK l _Toc424133202 4.3設備平安加固優化 PAGEREF _Toc424133202 h 41 HYPERLINK l _Toc424133203 4.4數據庫系統平安加固 PAGEREF _Toc424133203 h 41 HYPERLINK l

8、 _Toc424133204 4.5管理制度 PAGEREF _Toc424133204 h 43 HYPERLINK l _Toc424133205 4.6效勞方式 PAGEREF _Toc424133205 h 43 HYPERLINK l _Toc424133206 4.7效勞流程 PAGEREF _Toc424133206 h 44 HYPERLINK l _Toc424133207 5協助測評建設方案 PAGEREF _Toc424133207 h 44 HYPERLINK l _Toc424133208 6平安管理體系建設方案 PAGEREF _Toc424133208 h 44

9、HYPERLINK l _Toc424133209 6.1平安策略設計 PAGEREF _Toc424133209 h 47 HYPERLINK l _Toc424133210 6.2平安(png n)策略(cl)與平安(png n)規劃(guhu) PAGEREF _Toc424133210 h 48 HYPERLINK l _Toc424133211 6.3管理制度 PAGEREF _Toc424133211 h 49 HYPERLINK l _Toc424133212 6.4平安(png n)管理體系建設過程 PAGEREF _Toc424133212 h 50 HYPERLINK l

10、_Toc424133213 6.5落實醫療集團信息平安責任制 PAGEREF _Toc424133213 h 51 HYPERLINK l _Toc424133214 6.6醫療集團平安管理現狀分析 PAGEREF _Toc424133214 h 51 HYPERLINK l _Toc424133215 6.7確定醫療集團平安管理策略，制定平安管理制度 PAGEREF _Toc424133215 h 52 HYPERLINK l _Toc424133216 6.8落實醫療集團人員平安管理制度 PAGEREF _Toc424133216 h 52 HYPERLINK l _Toc42413321

11、7 6.9落實醫療集團系統運維管理制度 PAGEREF _Toc424133217 h 53 HYPERLINK l _Toc424133218 6.10落實醫療集團系統建設管理制度 PAGEREF _Toc424133218 h 55 HYPERLINK l _Toc424133219 6.11醫療集團平安管理制度匯總 PAGEREF _Toc424133219 h 55 HYPERLINK l _Toc424133220 7階段工程驗收與成果物 PAGEREF _Toc424133220 h 56 HYPERLINK l _Toc424133221 7.1工程驗收流程 PAGEREF _T

12、oc424133221 h 56 HYPERLINK l _Toc424133222 7.2驗收評審標準 PAGEREF _Toc424133222 h 57 HYPERLINK l _Toc424133223 7.3階段驗收成果物與總結 PAGEREF _Toc424133223 h 57 HYPERLINK l _Toc424133224 8附1：整改建議方案價格預算 PAGEREF _Toc424133224 h 59 HYPERLINK l _Toc424133225 9附2：東軟在醫院等保整改建設中優勢說明 PAGEREF _Toc424133225 h 61工程(gngchng)概

13、述(i sh)工程(gngchng)建設(jinsh)背景根據(gnj)衛生部制定的?衛生行業信息平安等級保護工作的指導意見?以及陜西省衛生廳印發的?關于全面開展我省衛生行業信息平安等級保護的通知?陜衛辦發2022131號、?陜西省衛生行業信息平安等級保護工作實施方案?陜衛辦發2022132號、?陜西省衛生廳辦公室關于加強信息系統平安等級保護工作的通知?陜衛辦數發2022275號等相關文件要求，為進一步促進和標準延安醫療集團以下簡稱：醫療集團的信息化建設，提高醫療集團的管理與業務工作水平，進一步提高醫療集團信息平安保障能力和防護水平，建立面向醫院、面向社會公眾和患者、面向衛生行政部門的高效、快

14、捷、方便、優質的醫療衛生信息共享與效勞體系，充分利用醫療衛生資源，利用信息化的戰略先進性，努力提高人民群眾的健康水平，在響應國家關于等級保護要求的根底上，維護院方信息平安，保障和促進醫療集團信息化建設的健康開展，按照國家有關規定和標準標準要求、醫療行業發文要求，醫療集團決定圍繞醫院核心業務系統HIS系統、LIS系統、PACS系統深入開展信息平安等級保護工作，并在此根底上指引后續信息化平安建設方向。本整改建議方案書是沈陽東軟系統集成工程以下簡稱：東軟公司在西安捷潤數碼科技針對醫療集團核心醫院醫療集團本部信息化現狀調研、分析后出具的?延大附院平安整改建議書-詳細V2.0?的根底上，依據上述建議書所

15、反映的醫療集團的相關平安問題和信息系統現狀所出具的等級保護整改建議方案書。信息系統的平安狀態會隨著時間的推移和新技術和新漏洞等的不斷發現而不斷開展變化，故本建議方案書僅針對上述由西安捷潤數碼科技出具的建議書所表達的醫療集團的信息系統現狀而制作。后期進入工程實施階段后，根據信息系統的平安現狀和具體的產品部署環境，該建議方案書可能還需要有局部的調整和更進一步的細化與優化。工程(gngchng)建設(jinsh)目標三級信息(xnx)系統(xtng)平安(png n)保護環境的設計目標是：落實GB 17859-1999對三級信息系統的平安保護要求，在二級平安保護環境的根底上，通過實現基于平安策略模型

16、和標記的強制訪問控制以及增強系統的審計機制，使得系統具有在統一平安策略管控下，保護敏感資源的能力。依照國家?計算機信息系統平安保護等級劃分準那么?、?信息系統平安等級保護根本要求?、?信息系統平安保護等級定級指南?等標準，以及醫療集團對信息系統等級保護工作的有關規定和要求，醫療集團已經對網絡和信息系統進行等級保護定級，并按信息系統逐個編制了定級報告和定級備案表，定級材料已經提交當地公安機關備案。本次等級保護整改的核心目標是為滿足物理平安、網絡平安、主機平安、應用平安、數據平安五個方面的根本技術要求而進行技術體系建設；為滿足平安管理制度、平安管理機構、人員平安管理、系統建設管理、系統運維管理五個

17、方面定根本管理要求而進行管理體系建設。通過上述兩個方面的建設使得醫療集團網絡信息系統最終既可以滿足等級保護的相關要求，又能夠全方位為醫療集團的業務系統提供立體、縱深的平安保障防御體系，保證信息系統整體的平安保護能力。本工程建設將完成以下目標：1、以醫療集團HIS、LIS、RIS、PACS、體檢、臨床路徑、心電圖系統等信息系統的現有根底設施為根底，建設并完成滿足等級保護三級系統根本要求的信息系統，確保醫療集團的整體信息化建設符合相關要求并邁向新的臺階。2、建立平安管理組織機構，成立信息平安工作小組，信息中心負責人為平安責任人，擬定實施醫院信息系統平安等級保護的具體方案，并制定相應的崗位責任制，確

18、保信息平安等級保護工作順利實施。3、建立完善的平安技術防護體系，根據信息平安等級保護的要求，建立滿足三級要求的平安技術防護體系。4、建立健全信息系統平安(png n)管理制度，根據(gnj)信息平安(png n)等級保護的要求(yoqi)，制定各項信息系統平安(png n)管理制度，對平安管理人員或操作人員執行的重要管理操作建立操作規程和執行記錄文檔。5、制定保障醫療活動不中斷的應急預案。應急預案是平安等級保護的重要組成局部，按可能出現問題的不同情形制定相應的應急措施，在系統出現故障和意外且無法短時間恢復的情況下能確保醫療活動持續進行。6、平安培訓：為醫療集團信息化技術人員提供信息平安相關專業

19、技術知識培訓，并獲取相關資質認證。工程參考標準東軟公司有充分的能力和豐富的經驗在遵循國家信息平安等級保護指南等平安標準的前提下協助醫療集團開展各項等級保護整改建設工作，并助力和配合醫療集團通過相關組織的等級保護測評工作。本工程建設參考依據：指導思想中辦200327號文件關于轉發?國家信息化領導小組關于加強信息平安保障工作的意見?的通知公通字200466號文件關于印發?信息平安等級保護工作的實施意見?的通知公通字200743號文件關于印發?信息平安等級保護管理方法?的通知公信安2021 1429?關于開展信息平安等級保護平安建設整改工作的指導意見? 等級保護GB 17859-1999 計算機信息

20、系統平安保護等級劃分準那么信安字200710號 信息平安技術 信息系統平安等級保護實施指南系統定級GB/T 22240-2021 信息平安技術 信息系統平安保護等級定級指南技術方面GB/T 20270-2006 信息平安技術 網絡根底平安技術要求GB/T 20271-2006 信息平安技術 信息系統通用平安技術要求GB/T 20272-2006 信息平安技術 操作系統平安技術要求GB/T 20273-2006 信息平安技術 數據庫管理系統通用平安技術要求GA/T671-2006 信息平安技術終端計算機系統平安等級技術要求GA/T 709-2007 信息平安技術 信息系統平安等級保護根本模型GB

21、/T 22239-2021 信息平安技術 信息系統平安等級保護根本要求管理方面GB/T 22239-2021信息平安技術 信息系統平安等級保護根本要求GB/T20269-2006信息系統平安管理要求GB/T20282-2006 信息系統平安工程管理要求 ISO/IEC 27001 信息系統平安管理體系標準方案設計信安秘字2021059 ?信息系統等級保護平安設計技術要求?等保測評?信息系統平安等級保護測評要求?公安部報批稿?信息系統平安等級保護測評過程指南?公安部報批稿 工程(gngchng)實施(shsh)原那么(n me)針對(zhndu)醫療(ylio)集團本次工程，東軟公司如有幸參與，

22、我們將嚴格遵循以下原那么：保密性原那么：東軟公司對平安效勞的實施過程和結果將嚴格保密，在未經醫療集團授權的情況下不會泄露給任何單位和個人，不會利用此數據進行任何侵害客戶權益的行為； 標準性原那么：效勞過程中的設計和實施的全過程均依據國內或國際的相關標準進行，根據等級保護三級根本要求，分等級分平安域進行平安設計和平安建設，對醫療集團計算機網絡系統的重要信息系統進行平安防護。 標準性原那么：東軟在各項平安效勞工作中的過程和文檔，都具有很好的標準性?東軟平安效勞實施標準?，可以便于工程的跟蹤和控制； 可控性原那么：效勞所使用的工具、方法和過程都會在東軟公司與醫療集團雙方認可的范圍之內，效勞進度遵守進

23、度表的安排，保證雙方對效勞工作的可控性； 整體性原那么：效勞的范圍和內容整體全面，涉及到IT運行的各個層面，防止由于遺漏造成未來的平安隱患； 最小影響原那么：效勞工作力求盡可能小的影響信息系統的正常運行，不會對現有業務造成明顯影響。體系化原那么：在體系設計、建設中，東軟公司將充分考慮到各個層面的平安風險，構建完整的立體平安防護體系。先進性原那么：為滿足后續不斷增長的業務需求、對平安產品、平安技術都充分考慮前瞻性要求，采用先進、成熟的平安產品和先進的管理方法。分步驟原那么：根據醫療集團要求，對醫療集團平安保障體系進行分期、分步驟的有序部署和分期設計，不僅要完成現階段的工程任務，還需要為未來信息系

24、統的建設進行前瞻性的指引。效勞(xio lo)細致(xzh)化原那么(n me)：在工程(gngchng)咨詢、建設過程(guchng)中東軟公司將充分結合自身的專業技術積累與行業經驗，結合醫療集團的實際信息系統量身定做才可以保障其信息系統平安穩定的運行。現狀及需求分析本節的現狀和需求分析主要是針對醫療集團本部即：延大附院進行分析的，醫療集團下屬其他7家縣級醫院在本次等級保護整改建設中僅考慮互聯互通中的邊界平安防護設計。現狀描述業務系統現狀醫療集團本部目前分為本部，東關分院兩大局部，兩院網絡相對獨立，通過專線連通，本部和東關分院網絡結構如下列圖：電子(dinz)病歷(bngl)系統醫療(yli

25、o)集團本部“電子病歷(bngl)系統是醫院(yyun)的核心業務系統，為整個醫院的醫療科研業務提供信息支持，為患者提供健康信息效勞。電子病歷系統包含：HIS應用系統、RIS應用系統、PACS應用系統、LIS應用系統、體檢應用系統、臨床路徑應用系統、心電圖應用系統等。HIS應用系統HIS應用系統是醫療集團本部非常重要的系統。HIS系統覆蓋了全院所有業務和業務全過程，功能包括了門診掛號系統；中藥庫、西藥庫管理系統；住院部醫生工作站系統；住院部護士工作站系統醫技科室管理系統；院長查詢分析系統；病案管理系統；設備、總務、供給室管理系統等功能。其他重要業務系統根本都與HIS系統做了接口，實現功能跳轉和

26、數據共享等。運用該系統能實現對醫院日常業務的標準化管理，讓管理者即時監控醫療集團本部運營狀況，顯著提升醫療集團本部工作效率，提高醫療集團本部醫療質量和管理水平。該系統為醫療集團本部核心生產系統，實時性要求非常高，不僅連接醫療集團本部內部眾多系統，而且連接醫保網絡。RIS應用系統RIS應用系統提供了一個全息的數字化業務平臺，放射科醫師在此根底上進行數字化讀片、診斷、撰寫報告、審核并完成圖像及其報告的分發。LIS應用系統LIS系統Laboratory Information Management System，將實驗儀器與計算機相連，快速實現對病人樣品登錄、實驗數據存取、報告審核、打印分發等功能，

27、實驗數據統計分析等繁雜的操作過程實現了智能化、自動化和標準化管理。有助于提高實驗室的整體管理水平，減少漏洞和誤操作，提高醫療檢驗質量。該系統為醫療集團本部重要業務系統，具有最多的接入終端。PACS應用(yngyng)系統(xtng)PACS系統(xtng)應用(yngyng)在醫療(ylio)集團本部影像科室的系統，把日常產生的各種醫學影像包括核磁，CT，超聲，各種X光機，各種紅外儀、顯微儀等設備產生的圖像通過各種接口模擬，DICOM，網絡以數字化的方式海量保存起來，當需要的時候在一定的授權下能夠很快的調回使用，同時增加一些輔助診斷管理功能，負責在各種影像設備間傳輸數據和組織存儲數據。該系統為

28、醫療集團本部重要業務系統，需傳輸大量的影像視頻數據，對網絡帶寬有很高的要求。體檢應用系統體檢系統以體檢信息為主線，健康指導為紐帶，通過標準體檢流程管理，合理安排體檢工程，通過網絡傳輸各種檢驗、檢查結果，減少中間環節，提高平安性和可靠性。體檢系統能夠提供標準的體檢結果報告，并能進行分析，使體檢報告更具科學性。體檢系統跟HIS系統、LIS系統、RIS系統做了接口連接保證了健康狀況資料連續性，能方便、快捷地進行逐年體檢情況追蹤，并體檢信息綜合分析，形成各項醫療統計報表，為體檢單位提供人員整體健康狀況分析。臨床路徑應用系統臨床路徑應用系統保證治療工程精細化、標準化、程序化，減少治療過程的隨意化，并和H

29、IS應用系統做了接口連接；提高我院資源的管理和利用，加強臨床治療的風險控制；縮短住院周期，減低費用；臨床路徑應用系統還可以為無相關經驗人員提供教育學習時機。心電圖應用系統心電圖應用系統通過專有儀器對患者進行檢測，檢測結果存入心電圖應用系統的數據庫，并和HIS系統做接口連接，醫護人員可以通過HIS系統和心電圖系統直接調用檢測結果。EMR應用(yngyng)系統(xtng)EMR系統(xtng)電子(dinz)病歷系統是醫學專用軟件。醫院通過電子病歷以電子化方式記錄患者就診的信息，包括：首頁、病程記錄、檢查檢驗結果、醫囑、手術記錄、護理記錄等等，其中既有結構化信息，也有非結構化的自由文本，還有圖像

30、信息。涉及病人信息的采集(cij)、存儲、傳輸、質量控制、統計和利用。在醫療中作為主要的信息源，提供超越紙張病歷的效勞，滿足醫療、法律和管理需求。HIS就診卡/一卡通系統醫療集團本部將于近期上線的“HIS就診卡/一卡通系統，該系統與其他做HIS接口系統不同的是：是集成在HIS系統中的一個收費模塊，與其他接口系統做了數據綁定，實現RIS、LIS、心電圖等業務系統的電子化計費、收費等功能，其相關財務數據存于HIS數據庫中。該系統優化了患者的就診流程,改變了就診模式,提高了工作效率,提升了門、急診工作質量和管理水平,促進了門、急診部的信息化建設。由于該系統與HIS數據和其他業務數據具有緊密的聯系，預

31、計在將來可能會與醫院現有財務管理系統做接口，實現業務數據和財務數據的徹底綁定，所以其平安的保密性、完整性、可用性的要求與HIS系統、財務系統等重要業務系統同等重要。財務管理系統醫療集團本部財務系統是該院內部財務管理、資產管理、人員管理的重要系統，涵蓋的業務功能有報賬、對賬、財務分析、票據管理、財務報表、所得稅申報等功能。根底設施現狀信息機房序號機房名稱物理位置1醫療集團本部中心機房醫療集團本部21層共21層2醫療集團本部東關分院中心機房醫療集團本部東關分院行政樓7層共7層主要業務(yw)應用系統序號系統名稱系統描述等保級別電子病歷系統核心業務系統，包括HIS、RIS、LIS、PACS、體檢、臨

32、床路徑、心電圖、EMR等多個功能模塊三級HIS就診卡/一卡通系統重要業務系統，實現RIS、LIS、心電圖等業務系統的電子化計費、收費等功能。三級財務系統重要業務系統，涵蓋報賬、對賬、財務分析、票據管理、財務報表、所得稅申報等功能。三級主要(zhyo)主機/存儲設備序號設備名稱操作系統/數據庫管理系統重要程度1HIS-應用效勞器-1-IBM-X366SQLSever2000重要2HIS-應用效勞器-3- Dell-P2950SQLSever2000重要3體檢效勞器- IBM X3650SQLSever2000重要4網管管理效勞器-Dell-P2950SQLSever2000重要5PACS數據庫效

33、勞器-Dell-R710SQLSever2005重要6RIS數據庫效勞器-Dell-R710SQLSever2005重要7LIS-應用效勞器-4-IBM-X3650-M4SQLSever2021重要8HIS-應用效勞器-1-IBM-X366DB2數據庫重要9HIS-應用效勞器-2- IBM-X3850DB2數據庫重要10HIS-應用效勞器-3- Dell-P2950DB2數據庫重要11手麻IBM X3650DB2數據庫重要12HIS-數據庫效勞器-主-IBM-P730DB2數據庫重要13HIS-數據庫效勞器-備- IBM-P750DB2數據庫重要14HIS-應用效勞器-5- IBM-X3650

34、-M4DB2數據庫重要15HIS-應用效勞器-4- IBM-X3650-M4DB2數據庫重要16財務科效勞器- IBM X3650 M3Oracle數據庫重要17HIS-應用效勞器-1-IBM-X366WindowsServer2003-SP2重要18HIS-應用效勞器-2- IBM-X3850WindowsServer2003-SP2重要19HIS-應用效勞器-3- IBM-X3650-M4-WindowsServer2003-SP2重要20HIS-應用效勞器-4- IBM-X3650-M4-WindowsServer2021SP2重要21HIS-應用效勞器-5- IBM-X3650-M4W

35、indowsServer2021-SP2重要22財務科效勞器- IBM X3650 M3WindowsServer2003-SP2重要23手麻-體檢效勞器- IBM X3650WindowsServer2003-SP2重要24綜合管理效勞器-Dell-P2950WindowsServer2003-SP2重要25PACS、RIS數據庫效勞器WindowsServer2003-SP2重要26PACS效勞器-2-Dell-R710WindowsServer2003-SP2重要27內網效勞器- Dell-P2950WindowsServer2003-SP2重要28圖像引擎效勞器-本部-Dell-T55

36、0Windows7重要29圖像引擎效勞器-東關Dell-T550Windows7重要30圖像引擎效勞器-洛川Dell-T550Windows7重要31HIS-數據庫效勞器-主-IBM-P730AIX-5.3.0.0重要32HIS-數據庫效勞器-備-IBM-P750AIX-5.3.0.0重要33心電效勞器- IBM-X3650-M4東關WindowsServer2003-SP3重要34臨床路徑效勞器-IBM-X3650-M4東關WindowsServer2003-SP3重要35物流效勞器-IBM-X3650-M4東關WindowsServer2003-SP3重要36HIS應用-1-輸血-IBM-

37、X3650-M4東關WindowsServer2003-SP3重要37HIS應用-2-綜合業務-IBM-X3650-M4東關WindowsServer2003-SP3重要38HIS應用-3-IBM-X3650-M4東關WindowsServer2003-SP3重要39心電效勞器- IBM-X3650-M4東關SQLServer2021重要40臨床路徑效勞器-IBM-X3650-M4東關SQLServer2021重要41物流效勞器-IBM-X3650-M4東關SQLServer2021重要42HIS應用-1-輸血-IBM-X3650-M4東關DB2數據庫重要43HIS應用-2-綜合業務-IBM-

38、X3650-M4東關DB2數據庫重要44HIS應用-3-IBM-X3650-M4東關DB2數據庫重要主要(zhyo)網絡互連設備序號操作系統名稱設備名稱1Cisco IOS v 5.0核心交換機-Cisco-N7010-主2Cisco IOS v 12.2核心交換機-Cisco-6509-備3Cisco IOS v 12.2Sever-1-Cisco-49484Cisco IOS v 12.2Sever-2-Cisco-49485Cisco IOS v 12.2HIS-效勞器接入交換機-Cisco-29606Cisco IOS v 12.2p1r1-Cicso-29607Cisco IOS v

39、 12.2樓層接入交換機-1F- Cisco-29608Cisco IOS v 12.2樓層接入交換機-5F- Cisco-29609Cisco IOS v 12.2樓層接入交換機-10F- Cisco-296010Cisco IOS v 12.2樓層接入交換機-15F- Cisco-296011Cisco IOS v 12.2樓層接入交換機-20F- Cisco-296012Cisco IOS v 12.2樓層接入交換機-住院樓Cisco-296013Cisco IOS v 12.2樓層接入交換機-檢驗樓- Cisco-296014Cisco IOS v 12.2樓層接入交換機-仿古樓- C

40、isco-296015Cisco IOS v 12.2樓層接入交換機-兒科樓- Cisco-296016Cisco IOS v 12.2樓層接入交換機-CT樓- Cisco-296017Cisco IOS v 12.2核心交換機-Cisco-6509-主18Cisco IOS v 12.2核心交換機-Cisco-3560-備19Cisco IOS v 12.2dgfynei5-Cisco- C2960S20Cisco IOS v 12.2dgfynei4-Cisco- C2960S21Cisco IOS v 12.2dgfynei3-Cisco- C2960S22Cisco IOS v 12.

41、2dgfynei2-Cisco- C2960S23Cisco IOS v 12.2dgfynei1-Cisco- C2960S24Cisco IOS v 12.2dgfynei0-Cisco- C2960S主要(zhyo)網絡平安(png n)設備(shbi)序號設備名稱數量用 途重要程度？1防火墻重要平安(png n)技術(jsh)現狀物理平安現狀延大附中的信息機房分布于本部和東關分院兩處，機房建設時間較早，在建設初期，國家相關的法規和標準不夠健全，故在機房選址和根本的物理平安方面缺少對于相關平安要求的考慮，在機房選址、訪問控制、防盜防破壞、防火、防水和防潮、防靜電、溫濕度控制、電力供給、電

42、磁防護方面均有不同程度的平安隱患和防護建設需求。網絡平安現狀：延大附中信息系統采用百兆到桌面，千兆到交換，萬兆到效勞器的方式建立TCP/IP網絡架構，在傳統的接入-會聚-核心三層架構上，將重要效勞器以及HIS、LIS、PACS等應用系統放置在效勞器區，但全網平安設備缺乏，整個信息系統網絡架構中僅部署了一臺防火墻，沒有其他平安防護措施，網絡訪問主要通過交換機ACL控制。主機(zhj)平安(png n)現狀(xinzhung)：主機系統(xtng)主要采用windows 2003、windows2021、windows7的微軟操作(cozu)系統和AIX操作系統，所有的操作系統的配置均使用默認的缺

43、省配置，未進行危險配置項的躲避操作和系統漏洞的升級和加固工作。同時，根據西安捷潤數碼科技出具的差距分析報告和其他相關報告，延大附中的主機系統也未發現有主機防病毒系統，主機系統同時面臨病毒和惡意代碼的威脅。應用平安現狀：應用系統多為CS架構，系統設計開發之初并未充分考慮系統的平安需求和相關的合規性要求，系統建設和開發主要以實現功能性需求為主導目標，各應用系統的分角色分權限管理和強身份認證幾乎均為空白。備份恢復現狀：所有的信息系統審計日志和運行日志均沒有備份機制，核心業務系統的數據庫可以做到同城異地備份，但對于數據的備份沒有校驗機制，對于已經備份的數據沒有恢復測試機制。平安管理現狀根據?延大附院平

44、安整改建議書-詳細V2.0?的描述，醫療集團本部現有平安管理制度如下：序號文檔名稱主要內容1機房管理制度機房出入登記，相關配置變更記錄，機房設備管理。2平安管理制度設備平安操作和流程規定，防盜竊、防破壞。3技術管理制度軟件更新升級，技術開發工作管理。4數據庫備份制度數據庫備份時間，備份方式及操作人員。5技術部崗位職責針對技術部所有崗位職責要求，主要為技術和管理人員約定職責范圍。6機房值班人員職責機房值班時間，人員安排。7介質平安管理制度機房與辦公設備區的過期或者錯誤資料的介質統一銷毀管理。8信息發布工作管理制度對內對外的信息發布格式檢查，內容校驗。9數據存儲和保管制度數據存儲器和效勞器的管理制

45、度。10效勞器故障應急處理規程效勞器的熱備和冷備，以及故障時處理方案。11系統維護和應急恢復制度效勞器系統升級維護，以及效勞器故障時的應急方案。12客戶端系統平安管理制度客戶端操作系統平安維護，病毒庫升級。差距(chj)分析系統(xtng)定級情況系統名稱等級保護級別相關系統電子病歷系統三級HIS、LIS、RIS、PACS、體檢、臨床路徑、心電圖系統等財務管理系統三級/技術(jsh)體系差距(chj)分析各子系統的詳細差距分析(fnx)參見?延大附院平安整改建議書-詳細V2.0?，以下是對各子系統的普遍性平安問題和差距項的分析性描述，這些描述主要表達了醫療集團本部IT系統與等保三級要求的標準差

46、距以及這些差距可能引發的相關平安隱患和可能引發的平安問題。物理(wl)平安(png n)方面(fngmin)的差距機房(j fn)位置選擇：機房場地(chngd)選擇在建筑物的最高層本部21層、東關7層，都為最高層，不符合等保三級系統“機房場地應防止設在建筑物的高層或地下室，以及用水設備的下層或隔壁。的標準要求。機房位于大樓的最高層易受大樓樓層負重限制，制約后期擴容；易遭受地質、天氣類災害的影響；也存在因為頂樓防水問題引起的機房漏水等平安隱患。物理訪問控制：機房專人值守但缺少機房出入人員的登記冊，進出入機房缺少相關申請和審批的流程。可能因為出入人員的管理措施不到位，引發盜竊、破壞等惡意行為。機

47、房區域劃分不夠合理，只劃分了監控區和設備區兩個區域，可能造成區域平安問題的擴散。防盜竊和破壞：網絡設備及線路沒有做明確標識，局部強電線路沒有做明確標識，沒有設置專門的介質存放柜，容易引發誤操作類平安事故發生本部機房。機房內沒有設置視頻監控及防盜紅外監測和報警裝置，缺少防盜監測報警技術措施，可能對盜竊和惡意闖入行為不能夠及時發現，在發生盜竊和破壞事件后也不容易追責。防火：機房安裝有火情自動檢測系統，但是長期未啟用。滅火器是七氟丙烷滅火器，氣壓較低，并缺少防毒面具，機房內堆放有易燃雜物，防火措施不夠全面，當發生火情時，可能造成滅火處理措施延誤現象，當缺失防毒面具時，不能全面防護滅火人員的人身平安。

48、防水和防潮：機房(j fn)空調下方沒有設置防水監測線及防水堤壩裝置，當空調排水線路發生故障或發生其他漏水(lu shu)現象時，不能有效對漏水現象進行檢測和防護(fngh)。東關機房存在漏水現象。防靜電：防靜電地板接地銅條設置不完善(wnshn)，機柜沒有做接地防護措施，監控臺未鋪設防靜電桌布，可能引發靜電破壞。溫濕度控制(kngzh)：機房監控區與設備區有玻璃隔斷， 缺少對監控區的溫濕度檢測設備和自動調節設備，缺少對機房全面地溫濕度檢測和控制措施，可能引發由溫濕度變化引起的設備當機或破壞事故或者因為濕度過量而影響設備的使用壽命。電路供電：機房供電為單路供電，假設發生電力線路故障，延時供電系

49、統如部署有限，可能引發全部業務系統或局部業務系統中斷運行的平安問題。電磁防護：沒有對設備采用電磁防護措施，通信線纜與供電線路交叉鋪設，可能存在電磁干擾或數據泄漏等平安隱患。網絡平安方面的差距網絡整體結構平安：業務終端與業務效勞器之間未進行路由控制建立平安的訪問路徑、沒有劃分業務子網，沒有在網段之間設置技術隔離措施，目前處于全網互通狀況，不能有效、合理對業務終端的網絡訪問進行隔離，沒有對業務帶寬進行策略限制，可能造成網絡層面的惡意攻擊的現象。沒有對網絡區域進行合理劃分，局部效勞器設備沒有進行合理連接，存在單點故障隱患。邊界完整性：網絡邊界處沒有(mi yu)相關平安(png n)設備，如入侵檢測

50、系統，不能對網絡攻擊行為進行監測(jin c)，可能提升事后(shhu)追責的難度(nd)，不能有效對全網平安狀況進行分析。網絡設備核心交換機訪問控制：具有ACL訪問控制列表，但控制粒度為網段級，沒有到達端口級，可能造成對端口級網絡攻擊行為防護措施的遺漏。對網絡設備的登錄管理，管理終端的超時會話沒有配置平安策略，未對網絡設備管理用戶按照最小平安訪問原那么進行權限配置，可能造成惡意連接和用戶占用系統網絡資源。平安審計：設備審計謀略不完善，只能記錄管理或操作設備的用戶行為，無法對設備運行狀態事件進行全面記錄，沒有對設備日志記錄進行分析，沒有配置日志效勞器進行日志的記錄和保存，可能造成審計不全面、數

51、據遺漏或喪失等平安問題。網絡設備防護：沒有對網絡設備的登入用戶終端IP進行限制，只采用用戶名密碼單一認證方式，沒有設置登錄失敗等平安措施，并通過明文加密的方式進行遠程管理，可能造成惡意登入、密碼猜解、數據包盜取等平安問題。沒有對設備端口進行管理，沒有對不必要的端口進行關閉，沒有對設備系統相關文件進行備份，沒有建立設備時鐘同步機制。可能引發惡意攻擊、數據喪失等平安問題。效勞器接入交換機訪問控制：具有ACL訪問控制列表，但控制粒度為網段級，沒有到達端口級，可能造成對端口級網絡攻擊行為防護措施的遺漏。對網絡設備的登錄(dn l)管理管理終端的超時會話沒有配置平安(png n)策略，未對網絡設備管理(

52、gunl)用戶按照最小平安(png n)訪問(fngwn)原那么進行權限配置，可能造成惡意連接和用戶占用系統網路資源。平安審計：設備審計謀略不完善，只能記錄管理或操作設備的用戶行為，無法對設備運行狀態事件進行全面記錄，沒有對設備日志記錄進行分析，沒有配置日志效勞器進行日志的記錄和保存，可能造成審計不全面、數據遺漏或喪失等平安問題。網絡設備防護：沒有對網絡設備的登入用戶終端IP進行限制，只采用用戶名密碼單一認證方式，沒有設置登錄失敗等平安措施，并通過明文加密的方式進行遠程管理，可能造成惡意登入、密碼猜解、數據包盜取等平安問題。沒有對設備端口進行管理，沒有對不必要的端口進行關閉，沒有對設備系統相關

53、文件進行備份，沒有建立設備時鐘同步機制。可能引發惡意攻擊、數據喪失等平安問題。樓層接入交換機訪問控制：對網絡設備的登錄管理管理終端的超時會話沒有配置平安策略，未對網絡設備管理用戶按照最小平安訪問原那么進行權限配置，未進行相關的防地址欺騙技術手段的配置，可能造成惡意連接和用戶占用系統網路資源。平安審計：設備審計謀略不完善，只能記錄管理或操作設備的用戶行為，無法對設備運行狀態事件進行全面記錄，沒有對設備日志記錄進行分析，沒有配置日志效勞器進行日志的記錄和保存，可能造成審計不全面、數據遺漏或喪失等平安問題。網絡設備防護：沒有對網絡設備的登入用戶終端IP進行限制，對管理用戶沒有采取認證措施，沒有設置登

54、錄失敗等平安措施，并通過明文加密的方式進行遠程管理，可能造成惡意登入、密碼猜解、數據包盜取等平安問題。沒有對設備端口進行(jnxng)管理，沒有對不必要的端口進行關閉，沒有對設備系統相關文件進行備份，沒有建立設備時鐘同步機制。可能引發惡意攻擊、數據喪失(sngsh)等平安(png n)問題(wnt)。主機(zhj)平安方面的差距身份鑒別：身份鑒別平安措施設備不完善，鑒別方式單一用戶名+密碼，未設置：賬戶鎖定時間、鎖定閾值、復位賬戶鎖定計數器、最小密碼長度等，可能造成口令猜解、非法用戶登入等平安問題。主機設備沒有三權分立，只有系統管理員，沒有操作員、平安審計員。可能造成權限濫用的平安問題。訪問控

55、制：沒有對系統重要資源設置敏感標記，可能造成對數據和文件的非授權使用。平安審計：平安審計謀略開啟不夠全面，沒有定期備份，沒有日志效勞器，可能造成審計信息遺漏或喪失，造成事后追責的難度。入侵防范：沒有設置IDS等入侵檢測系統，不能夠對主機層面的攻擊行為進行管理。局部不必要的端口和效勞啟用，擴大惡意攻擊者的攻擊面。資源控制：缺少主機監控和審計系統，不能夠對主機層面的系統運行和平安狀況進行實時監控，不能對系統資源使用進行管理，可能造成系統資源的不合理利用或破壞行為。應用平安方面的差距身份鑒別：身份鑒別措施單一，只采用輸入用戶名密碼的方式進行登錄，沒有設置鑒別復雜度管理措施和登錄失敗處理功能，可能造成

56、惡意人員非法登入嘗試、登入用戶無法證明合法性等平安問題。訪問控制：缺少對重要信息(xnx)資源設置敏感標記的功能，可能造成(zo chn)資源被非授權使用等平安(png n)問題(wnt)。平安(png n)審計：缺少對系統平安事件進行分析、統計、生成報表等功能，不能有效、及時對平安事件進行管理。剩余信息保護：對終端登錄系統的身份鑒別信息，沒有及時去除，可能造成系統級別的數據盜取平安問題。通信完整性：局部系統缺少應用級別的完整保護措施，可能造成數據的篡改等平安問題。通信保密性：局部系統沒有對數據包進行加密，造成數據泄密等平安問題。抗抵賴：沒有CA認證等系統，不能夠對數據原發和接收人進行認證，可

57、能造成數據偽造、身份偽造等平安問題。資源控制：沒有對單個用戶的最大并發會話數、一個時間段內最大并發會話數的限制，缺失效勞水平最低值報警措施和資源利用優先級設置措施，局部系統缺少最大并發會話連接數的限制，可能造成系統資源的不合理利用或破壞等平安問題。數據平安及備份恢復方面的差距數據完整性：業務數據從業務角度劃分為：醫療數據、病人數據、醫生數據、財務數據、藥品數據等，從系統類別角度劃分為：HIS綜合數據、EMR數據、PACS數據、RIS數據、LIS數據、體檢數據、心電圖數據、臨床路徑數據等，這些數據的傳輸、處理和存儲，一方面與HIS系統做接口，另一方面各自有其系統效勞和數據庫相對應，采用帶內傳輸的

58、方式。上述數據在傳輸過程中的完整性平安措施需要在OSI模型中得以全面采用，才能構成客戶端到效勞端傳輸途徑的全面的數據完整性保障措施。經分析，通過帶內傳輸的業務(yw)數據、鑒別信息和管理數據主要通過TCP/IP協議來實現(shxin)數據包在傳輸層和網絡層的互通，雖然TCP/IP協議(xiy)具有CRC數據校驗功能，但在應用層并沒有具體的數據校驗和完整性保護及恢復功能，使得應用層與傳輸層傳送的數據可能會遭受(zoshu)篡改。系統管理數據(shj)的賬戶密碼、審計數據，登入系統的鑒別信息和應用系統業務數據都存儲在效勞器和數據庫中，在HIS業務數據存儲方面主要通過DB2的集群架構來實現數據的存儲

59、和備份，集群采用quorum模式，來對備份的數據進行校驗，保障存儲藏份數據的完整性。數據庫采用主備機制，本部數據庫為主，東關數據庫為備，東關HIS應用連接本部數據庫，東關只接收本部DB2數據日志進行備份，當本部數據完整性遭受破壞后，從東關進行數據恢復。數據保密性：通過遠程桌面發送的系統管理數據全部采用根本模式，沒有配置SSL加密模式，雖然根本模式中采用RDP傳輸協議中自帶60位RSA-RC4加密算法對數據進行簡單加密只加密密碼，不加密用戶名，但通過“用戶口令猜測攻擊手段，可以對Password進行窮舉攻擊或利用聯想，其口令猜測成功率可以到達24.2%。HIS、LIS、RIS、PACS、體檢、臨

60、床路徑系統其數據包沒有采用加密措施，心電圖系統采用自由加密技術對數據包進行加密。HIS、心電圖等局部系統的審計日志存放為本地效勞器系統文件夾中的TXT文件中，沒有采用數據加密處理技術。HIS、RIS、LIS等數據庫中的密碼為MD5加密存儲，但數據值沒有啟用加密措施。備份與恢復：HIS存儲只與一臺光交換設備做連接，存在單點故障。HIS應用效勞器為四臺，本部、東關各兩臺，分別做主備。其數據庫為主備架構。局部效勞器與單臺接入交換機進行雙線路連接，但只接入一臺交換機。管理體系方面的差距平安管理制度：缺少(qusho)信息平安(png n)工作(gngzu)的總體方針和平安(png n)策略(cl)，缺