醫院信息化安全建設項目安全需求分析等級保護技術要求分析物理層安全需求物理安全是信息系統安全運行的基礎和前提，是系統安全建設的重要組成部分。在等級保護中將物理安全劃分為技術要求的第一部分，從物理位置選擇、物理訪問控制、防盜竊防破壞、防雷擊、防火、防水防潮、防靜電、溫濕度控制、電力供應、電磁防護等方面對信息系統的物理環境進行了規范。物理層考慮因素包括機房環境、機柜、電源、服務器、網絡設備和其他設備的物理環境。該層為上層提供了一個生成、處理、存儲和傳輸數據的物理媒體。物理層主要考慮如下方面的內容：物理位置的選擇物理訪問控制防盜竊和防破壞防雷擊防火防水和防潮防靜電溫濕度控制電力供應電磁防護網絡層安全需求網絡層指利用路由器、交換機和相關網絡設備建成的、可以用于在本地或遠程傳輸數據的網絡環境，是應用安全運行的基礎設施之一，是保證應用安全運行的關鍵，也是實現內部縱向交互、與其它單位橫向交流的重要保證。在安全模型中，網絡層中進行的各類傳輸活動的安全都應得到關注。現有的大部分攻擊行為，包括病毒、蠕蟲、遠程溢出、口令猜測等攻擊行為，都可以通過網絡實現。網絡層主要考慮如下方面的內容：結構安全與網段劃分網絡訪問控制撥號訪問控制網絡安全審計邊界完整性檢查網絡入侵防范惡意代碼防范網絡設備防護系統層安全需求系統層包括各類服務器、終端和其他辦公設備操作系統層面的安全風險。系統層面臨的安全風險主要來自兩個方面，一方面來自系統本身的脆弱性，另一方面來自對系統的使用、配置和管理。這導致系統存在隨時被黑客入侵或蠕蟲爆發的可能。系統層主要考慮如下方面的內容：身份鑒別自主訪問控制強制訪問控制安全審計系統保護剩余信息保護入侵防范惡意代碼防范資源控制應用層安全需求應用層是在前面層次的基礎之上，可以提供給最終用戶真正辦公功能的層次，應用層是用戶與前面層次的接口。這個層次包括Web應用、文件處理、文件傳輸、文件存儲和其他辦公應用等，這些功能依靠相應的IE瀏覽器、FTP應用軟件、公文處理系統、數據庫訪問控制系統等實現。應用層主要考慮如下方面的內容：身份鑒別訪問控制安全審計剩余信息保護通信完整性通信保密性抗抵賴軟件容錯資源控制代碼安全數據層安全需求數據層是用戶真正的數據，對于用戶而言，數據才是真正至關重要的。數據安全需求包括數據庫安全需求、數據傳輸安全需求、數據存儲安全需求等構成。數據層主要考慮如下方面的內容：數據完整性數據保密性數據備份和恢復等級保護管理要求分析安全管理制度安全管理制度是企業或單位安全管理的根本，它需要制定信息安全工作的總體方針和安全策略，說明機構安全工作的總體目標、范圍、原則和安全框架，并對安全管理活動中的各類管理內容建立安全管理制度，嚴格規定安全管理制度的授權和制定，使之能完全符合企業或單位的實際情況。安全管理制度主要考慮如下方面的內容：管理制度制定和發布評審和修訂安全管理機構安全管理機構是信息安全管理職能的執行者，該職能部門應該是獨立的，同時設定相關的管理職責，實現信息安全管理工作有效進行的目標。加強各類管理人員之間、組織內部機構之間以及信息安全職能部門內部的合作與溝通，定期召開協調會議，共同協作處理信息安全問題。安全管理機構主要考慮如下方面的內容：崗位設置人員配備授權和審批溝通和合作審核和檢查人員安全管理人員安全管理是管理要求重要的組成部分，指定并授權專門的部門責人員錄用，簽署保密協議，并從內部人員中選拔從事關鍵崗位的人員，并簽署崗位安全協議。定期對各個崗位的人員進行安全技能及安全認知的考核，對關鍵崗位的人員進行全面、嚴格的安全審查和技能考核，并考核結果進行記錄和保存。對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓人員安全管理主要考慮如下方面的內容：人員錄用人員離崗人員考核安全意識教育和培訓外部人員訪問管理系統建設管理系統建設管理，是針對信息系統定級、設計、建設等工作的管理要求。明確信息系統的邊界和安全保護，組織相關部門和有關安全技術專家對信息系統定級結果的合理性和正確性進行論證和審定；據系統的安全保護等級選擇基本安全措施，并依據風險分析的結果補充和調整安全措施，指定和授權專門的部門對信息系統的安全建設進行總體規劃，制定近期和遠期的安全建設工作計劃，對產品采購和自行開發進行規范化的管理。系統建設管理主要考慮如下方面的內容：系統定級安全方案設計產品采購和使用自行軟件開發外包軟件開發工程實施測試驗收系統交付系統備案等級測評安全服務商選擇系統運維管理系統運維管理是安全管理時間占比最大的一項內容，需要安全管理人員按照管理規范對對機房供配電、空調、溫濕度控制等環境設施進行維護管理；建立資產安全管理制度，規定信息系統資產管理的責任人員或責任部門，并規范資產管理和使用的行為，建立統一