華清信安丨醫(yī)療行業(yè)網(wǎng)絡(luò)安全解決方案

時間：2021-05-08作者：北京華清信安科技有限公司瀏覽：351

醫(yī)療行業(yè)政策發(fā)展歷程




《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》

● 三級醫(yī)院重要業(yè)務(wù)系統(tǒng)：等保三級

● 二級醫(yī)院重要業(yè)務(wù)系統(tǒng)：等保二級

《2016 三級綜合醫(yī)院評審標(biāo)準(zhǔn)考評辦法（完整版）》

● 規(guī)定了重要業(yè)務(wù)系統(tǒng)必須達(dá)到等保三級標(biāo)準(zhǔn)才滿足三級醫(yī)院評審標(biāo)準(zhǔn)中對于網(wǎng)絡(luò)安全的要求




《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法（試行）》

● 承載健康醫(yī)療大數(shù)據(jù)的平臺必須通過等級保護(hù)（未規(guī)定級別）

● 一般引入大數(shù)據(jù)技術(shù)的醫(yī)院都是三級甲等醫(yī)院，基本以三級等保為主




《互聯(lián)網(wǎng)診療管理辦法（試行）》

《互聯(lián)網(wǎng)醫(yī)院管理辦法（試行）》

《互聯(lián)網(wǎng)醫(yī)院基本標(biāo)準(zhǔn)（試行）》

● 醫(yī)療機(jī)構(gòu)開展互聯(lián)網(wǎng)診療活動，應(yīng)當(dāng)具備滿足互聯(lián)網(wǎng)技術(shù)要求的設(shè)備設(shè)施、信息系統(tǒng)、技術(shù)人員以及信息安全系統(tǒng)，并實施*三級信息安全等級保護(hù)

● 互聯(lián)網(wǎng)醫(yī)院信息系統(tǒng)按照國家有關(guān)法律法規(guī)和規(guī)定，實施*三級信息安全等級保護(hù)

● 信息系統(tǒng)實施*三級信息安全等級保護(hù)




華清信安等級保護(hù)解決方案




解決方案




● 提前開展等保自查工作

● 減少后續(xù)測評過程中的整改工作量

● 縮短項目周期，提升信息系統(tǒng)安全水平




01  現(xiàn)狀調(diào)研

●  信息系統(tǒng)詳細(xì)調(diào)研

《信息系統(tǒng)詳細(xì)調(diào)研表》

●  等保測評指標(biāo)調(diào)研（技術(shù)+管理）

《現(xiàn)場記錄表》

●  漏洞掃描/滲透測試

《漏洞掃描/滲透測試原始材料》




02  差距分析

●  依據(jù)現(xiàn)狀調(diào)研結(jié)果，進(jìn)行差距分析工作

《信息系統(tǒng)等保差距分析報告》

《漏洞掃描報告》

《滲透測試報告》

《信息系統(tǒng)等保建設(shè)方案》




03  協(xié)助整改

●  依據(jù)《差距分析報告》和《建設(shè)方案》，協(xié)助貴單位對信息系統(tǒng)進(jìn)行建設(shè)整改

安全策略調(diào)整

漏洞整改

安全產(chǎn)品/服務(wù)部署

安全產(chǎn)品/服務(wù)策略調(diào)整

管理制度補(bǔ)充

服務(wù)優(yōu)勢




01  全流程服務(wù)

●  安全廠商+等保咨詢服務(wù)商

●  實現(xiàn)等保五個步驟（定級、備案、整改、測評、檢查）的全流程服務(wù)

02  售后運(yùn)行**

●  測評工作完成后持續(xù)服務(wù)1年

●  協(xié)助客戶通過網(wǎng)安抽查

●  定期漏掃/滲透測試

●  應(yīng)急響應(yīng)服務(wù)

03  項目實施經(jīng)驗

●  等保各個關(guān)鍵環(huán)節(jié)積累了豐富經(jīng)驗和優(yōu)質(zhì)資源，保證項目較短的交付周期和較好的測評結(jié)果，項目**成功交付

04  項目團(tuán)隊

●  DJJS能力證書

●  等保測評師證書（CIIP-E）

●  CISAW安全**證書

●  每年100+等保咨詢服務(wù)項目

●  **庫（公安部/保密局/工信部）




典型案例：某醫(yī)院系統(tǒng)







項目需求




1.等保2.0要求合規(guī)

2.等保測評分?jǐn)?shù)80分以上

3.**系統(tǒng)安全運(yùn)行

當(dāng)前整個系統(tǒng)未進(jìn)行劃區(qū)域管理，整個系統(tǒng)中缺乏對網(wǎng)絡(luò)攻擊行為、惡意代碼行為、應(yīng)用層攻擊行為等有效的防御手段，另外整個系統(tǒng)缺乏有效的安全審計手段，未建立有效的安全閉環(huán)安全防御體系，沒有可持續(xù)優(yōu)提升化的安全運(yùn)營服務(wù)機(jī)制，無法滿足網(wǎng)絡(luò)安全等級保護(hù)2.0三級的要求。




實施流程







解決方案




1.華清全線安全產(chǎn)品支撐

2.安全策略調(diào)整，**合規(guī)性和安全性

根據(jù)“一個中心，三重防護(hù)”體系框架，結(jié)合等級保護(hù)三級要求，構(gòu)建安全機(jī)制和策略，形成本項目系統(tǒng)的安全保護(hù)環(huán)境；建設(shè)方案將系統(tǒng)分為如下四部分：安全接入?yún)^(qū)、前置服務(wù)區(qū)、**交換區(qū)、業(yè)務(wù)服務(wù)區(qū)、安全運(yùn)維審計區(qū)和各個辦公區(qū)；通過各個安全組件的搭配與協(xié)調(diào)，共同組建符合等級保護(hù)3級標(biāo)準(zhǔn)的信息系統(tǒng)。




整改概覽




01  技術(shù)層面整改合規(guī)

●  安全策略調(diào)整

●  漏掃/滲透整改

●  安全產(chǎn)品部署/策略調(diào)整




02  管理層面整改合規(guī)

●  安全管理制度體系建設(shè)

●  日常工作記錄整理




TDR智能安全解決方案







華清信安TDR智能安全運(yùn)營平臺其體系設(shè)計理念完全契合等級保護(hù)和 IATF 的縱深防御思想，可以為醫(yī)療行業(yè)客戶搭建一套檢測-防護(hù)-監(jiān)測-響應(yīng)-管理的安全體系，覆蓋到等級保護(hù)三級大部分的技術(shù)要求和安全建設(shè)與運(yùn)維管理要求。

通過接入華清信安-TDR-GSDN安全網(wǎng)絡(luò)或本地部署TDR，并結(jié)合華清信安等級保護(hù)咨詢的其它服務(wù)內(nèi)容（如管理制度建設(shè)、整改等），*再采購其他安全產(chǎn)品或服務(wù)就可以*等級保護(hù)測評，滿足網(wǎng)絡(luò)安全法律法規(guī)和國家政策的合規(guī)要求，有效回避合規(guī)性風(fēng)險。





北京華清信安科技有限公司專注于等級保護(hù),等保一體機(jī),等保測評,等級保護(hù)備案流程,等級保護(hù)三級認(rèn)證,威脅檢測與響應(yīng)等

• 詞條

  詞條說明

• 等級保護(hù)實施流程

  等級保護(hù)是我們國家的基本網(wǎng)絡(luò)安全制度、基本國策，也是一套完整和完善的網(wǎng)絡(luò)安全管理體系。遵循等級保護(hù)相關(guān)標(biāo)準(zhǔn)開始安全建設(shè)是目前企事業(yè)單位的普遍要求，也是國家關(guān)鍵信息基礎(chǔ)措施保護(hù)的基本要求。信息系統(tǒng)等**為五個級別：**級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害*、社會秩序和公共利益。*二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或

• 等級保護(hù)的介紹（等級保護(hù)起點(diǎn)）

  隨著社會時代國家發(fā)展的發(fā)展，出現(xiàn)了等級保護(hù)。有些企業(yè)不了解等級保護(hù)是什么?，F(xiàn)在我們來介紹一下什么是等級保護(hù)，為什么要做等級保護(hù)！ ? ?**(什么是等級保護(hù)) ? ?1994年，**頒布了《*人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》，規(guī)定了*人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例。2017年，信息安全等級保護(hù)正式寫入《網(wǎng)絡(luò)安全法》，上升為法律。同時，隨著

• 網(wǎng)站信息系統(tǒng)安全等級保護(hù)辦理步驟

  網(wǎng)站信息系統(tǒng)安全等級保護(hù)辦理步驟《信息安全等級保護(hù)定級指南》規(guī)定，只要符合以下三個特征，就必須進(jìn)行等級保護(hù)備案。如果符合以下三個特征，并且安全保護(hù)等級是二級及以上，還必須通過等級保護(hù)測評，網(wǎng)站也不例外。等級保護(hù)定級對象的三大基本特征：①具有確定的主要安全責(zé)任主體；②承載相對獨(dú)立的業(yè)務(wù)應(yīng)用；③包含相互關(guān)聯(lián)的多個資源。那么，如果網(wǎng)站符合以上三個特征，且信息系統(tǒng)為二級及以上，要怎么做等級保護(hù)呢？網(wǎng)站信息

• 信息安全等級保護(hù)備案流程

  根據(jù)《信息安全等級保護(hù)管理辦法》*十五條規(guī)定，已運(yùn)營(運(yùn)行)或新建的*二級以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護(hù)等級確定后30日內(nèi)，由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級以上機(jī)關(guān)辦理備案手續(xù)。隸屬于*的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向部辦理備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上機(jī)關(guān)備案。具體備案流程如下