一 项目背景
通过信息安全等级保护评估工作发现,某医院现有的信息安全体系功能有所欠缺,对以下几个方面的安全隐患:来自内部或外部的非法人员针对网络基础设施、主机系统和应用服务的各种攻击、或者恶意篡改数据、来自有害信息(如病毒等)的传播等需加强防控。
测评结果:
网络安全:44分;主机安全:19分;应用安全:25分;数据及备份恢复:33分;人员安全管理:50分;(注:其他项得分比较高,此处省略。)
二 建设内容
本项目建设从信息安全管理、信息安全运维、信息安全技术三个方面展开,使系统在遭受损害后,能够较快恢复绝大部分功能。
- 信息安全管理
为了完善医院人员安全管理制度,我方主要协助医院整理了如下制度:
《xxx医院保密协议》
《xxx医院外部人员登记制度》
《xxx医院重要岗位信息安全和保密责任制度》
《xxx医院人员录用制度》
《xxx医院人员离岗离职信息安全和保密责任制度》
- 信息安全运维
1).部署综合管理系统对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测并且定期对监控记录进行分析、评审;
2).定期对信息系统以及整个网络进行风险评估与持续改进;
- 信息安全技术
信息安全技术遵从国家关于信息系统等级保护的要求,根据所定义的三级等级保护级别采取相应的技术手段对信息系统采取适当的安全保护,主要从四个大方面进行进行实施。
安全计算机环境------>部署了安全运营管理中心实时监控服务器的运行状况;部署桌面管理系统实现终端的安全准入、终端的补丁管理、终端的恶意代码防护;
安全区域边界------>在安全区域边界设置了访问控制机制(如:定级系统服务器之间、普通服务器之间),对进出安全区域边界的数据信息进行控制,阻止非授权访问。
安全通信网络------>核心交换机配置了qos实现网络资源的优化;部署安全运营管理中心实时监控网络设备的运行状况;对网络设备进行远程管理的方式都整改为加密的方式(如ssh);内网部署入侵检测系统检测网络攻击以及及时告警。
安全管理中心------>部署了安全运营管理中心统一管理各类型的设备,保证在发生安全事故后能快速的响应和恢复。
整改后的拓扑架构,新增产品主要在安全管理区。
三 客户收益
1.合法合规:
履行国家《网络安全法》法律义务、满足行业监管机构在信息安全领域的合规要求,开展等级保护建设工作可以有效规避组织所面临的信息安全法律及合规风险。
2.通过了国家要求的信息系统等级保护的验收。杜绝来自内部或外部的非法人员针对网络基础设施、主机系统和应用服务的各种攻击。