華清信安丨醫(yī)療行業(yè)網(wǎng)絡(luò)安全解決方案

時(shí)間：2021-05-08作者：北京華清信安科技有限公司瀏覽：341

醫(yī)療行業(yè)政策發(fā)展歷程




《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》

● 三級(jí)醫(yī)院重要業(yè)務(wù)系統(tǒng)：等保三級(jí)

● 二級(jí)醫(yī)院重要業(yè)務(wù)系統(tǒng)：等保二級(jí)

《2016 三級(jí)綜合醫(yī)院評(píng)審標(biāo)準(zhǔn)考評(píng)辦法（完整版）》

● 規(guī)定了重要業(yè)務(wù)系統(tǒng)必須達(dá)到等保三級(jí)標(biāo)準(zhǔn)才滿足三級(jí)醫(yī)院評(píng)審標(biāo)準(zhǔn)中對(duì)于網(wǎng)絡(luò)安全的要求




《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法（試行）》

● 承載健康醫(yī)療大數(shù)據(jù)的平臺(tái)必須通過等級(jí)保護(hù)（未規(guī)定級(jí)別）

● 一般引入大數(shù)據(jù)技術(shù)的醫(yī)院都是三級(jí)甲等醫(yī)院，基本以三級(jí)等保為主




《互聯(lián)網(wǎng)診療管理辦法（試行）》

《互聯(lián)網(wǎng)醫(yī)院管理辦法（試行）》

《互聯(lián)網(wǎng)醫(yī)院基本標(biāo)準(zhǔn)（試行）》

● 醫(yī)療機(jī)構(gòu)開展互聯(lián)網(wǎng)診療活動(dòng)，應(yīng)當(dāng)具備滿足互聯(lián)網(wǎng)技術(shù)要求的設(shè)備設(shè)施、信息系統(tǒng)、技術(shù)人員以及信息安全系統(tǒng)，并實(shí)施*三級(jí)信息安全等級(jí)保護(hù)

● 互聯(lián)網(wǎng)醫(yī)院信息系統(tǒng)按照國家有關(guān)法律法規(guī)和規(guī)定，實(shí)施*三級(jí)信息安全等級(jí)保護(hù)

● 信息系統(tǒng)實(shí)施*三級(jí)信息安全等級(jí)保護(hù)




華清信安等級(jí)保護(hù)解決方案




解決方案




● 提前開展等保自查工作

● 減少后續(xù)測評(píng)過程中的整改工作量

● 縮短項(xiàng)目周期，提升信息系統(tǒng)安全水平




01  現(xiàn)狀調(diào)研

●  信息系統(tǒng)詳細(xì)調(diào)研

《信息系統(tǒng)詳細(xì)調(diào)研表》

●  等保測評(píng)指標(biāo)調(diào)研（技術(shù)+管理）

《現(xiàn)場記錄表》

●  漏洞掃描/滲透測試

《漏洞掃描/滲透測試原始材料》




02  差距分析

●  依據(jù)現(xiàn)狀調(diào)研結(jié)果，進(jìn)行差距分析工作

《信息系統(tǒng)等保差距分析報(bào)告》

《漏洞掃描報(bào)告》

《滲透測試報(bào)告》

《信息系統(tǒng)等保建設(shè)方案》




03  協(xié)助整改

●  依據(jù)《差距分析報(bào)告》和《建設(shè)方案》，協(xié)助貴單位對(duì)信息系統(tǒng)進(jìn)行建設(shè)整改

安全策略調(diào)整

漏洞整改

安全產(chǎn)品/服務(wù)部署

安全產(chǎn)品/服務(wù)策略調(diào)整

管理制度補(bǔ)充

服務(wù)優(yōu)勢




01  全流程服務(wù)

●  安全廠商+等保咨詢服務(wù)商

●  實(shí)現(xiàn)等保五個(gè)步驟（定級(jí)、備案、整改、測評(píng)、檢查）的全流程服務(wù)

02  售后運(yùn)行**

●  測評(píng)工作完成后持續(xù)服務(wù)1年

●  協(xié)助客戶通過網(wǎng)安抽查

●  定期漏掃/滲透測試

●  應(yīng)急響應(yīng)服務(wù)

03  項(xiàng)目實(shí)施經(jīng)驗(yàn)

●  等保各個(gè)關(guān)鍵環(huán)節(jié)積累了豐富經(jīng)驗(yàn)和優(yōu)質(zhì)資源，保證項(xiàng)目較短的交付周期和較好的測評(píng)結(jié)果，項(xiàng)目**成功交付

04  項(xiàng)目團(tuán)隊(duì)

●  DJJS能力證書

●  等保測評(píng)師證書（CIIP-E）

●  CISAW安全**證書

●  每年100+等保咨詢服務(wù)項(xiàng)目

●  **庫（公安部/保密局/工信部）




典型案例：某醫(yī)院系統(tǒng)







項(xiàng)目需求




1.等保2.0要求合規(guī)

2.等保測評(píng)分?jǐn)?shù)80分以上

3.**系統(tǒng)安全運(yùn)行

當(dāng)前整個(gè)系統(tǒng)未進(jìn)行劃區(qū)域管理，整個(gè)系統(tǒng)中缺乏對(duì)網(wǎng)絡(luò)攻擊行為、惡意代碼行為、應(yīng)用層攻擊行為等有效的防御手段，另外整個(gè)系統(tǒng)缺乏有效的安全審計(jì)手段，未建立有效的安全閉環(huán)安全防御體系，沒有可持續(xù)優(yōu)提升化的安全運(yùn)營服務(wù)機(jī)制，無法滿足網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0三級(jí)的要求。




實(shí)施流程







解決方案




1.華清全線安全產(chǎn)品支撐

2.安全策略調(diào)整，**合規(guī)性和安全性

根據(jù)“一個(gè)中心，三重防護(hù)”體系框架，結(jié)合等級(jí)保護(hù)三級(jí)要求，構(gòu)建安全機(jī)制和策略，形成本項(xiàng)目系統(tǒng)的安全保護(hù)環(huán)境；建設(shè)方案將系統(tǒng)分為如下四部分：安全接入?yún)^(qū)、前置服務(wù)區(qū)、**交換區(qū)、業(yè)務(wù)服務(wù)區(qū)、安全運(yùn)維審計(jì)區(qū)和各個(gè)辦公區(qū)；通過各個(gè)安全組件的搭配與協(xié)調(diào)，共同組建符合等級(jí)保護(hù)3級(jí)標(biāo)準(zhǔn)的信息系統(tǒng)。




整改概覽




01  技術(shù)層面整改合規(guī)

●  安全策略調(diào)整

●  漏掃/滲透整改

●  安全產(chǎn)品部署/策略調(diào)整




02  管理層面整改合規(guī)

●  安全管理制度體系建設(shè)

●  日常工作記錄整理




TDR智能安全解決方案







華清信安TDR智能安全運(yùn)營平臺(tái)其體系設(shè)計(jì)理念完全契合等級(jí)保護(hù)和 IATF 的縱深防御思想，可以為醫(yī)療行業(yè)客戶搭建一套檢測-防護(hù)-監(jiān)測-響應(yīng)-管理的安全體系，覆蓋到等級(jí)保護(hù)三級(jí)大部分的技術(shù)要求和安全建設(shè)與運(yùn)維管理要求。

通過接入華清信安-TDR-GSDN安全網(wǎng)絡(luò)或本地部署TDR，并結(jié)合華清信安等級(jí)保護(hù)咨詢的其它服務(wù)內(nèi)容（如管理制度建設(shè)、整改等），*再采購其他安全產(chǎn)品或服務(wù)就可以*等級(jí)保護(hù)測評(píng)，滿足網(wǎng)絡(luò)安全法律法規(guī)和國家政策的合規(guī)要求，有效回避合規(guī)性風(fēng)險(xiǎn)。





北京華清信安科技有限公司專注于等級(jí)保護(hù),等保一體機(jī),等保測評(píng),等級(jí)保護(hù)備案流程,等級(jí)保護(hù)三級(jí)認(rèn)證,威脅檢測與響應(yīng)等

• 詞條

  詞條說明

• 等級(jí)保護(hù)2.0有哪些標(biāo)準(zhǔn)體系

  · 網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（總要求/上位文件）· 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB 17859-1999）（上位標(biāo)準(zhǔn)）· 網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南（GB/T25058-2020）· 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南（GB/T22240-2020）· 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（GB/T22239-2019）· 網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求（GB/T25070-2019）· 網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求（G

• 【等級(jí)保護(hù)】企業(yè)必須通過等級(jí)保護(hù)嗎

  企業(yè)必須通過等級(jí)保護(hù)嗎？從法規(guī)角度，《*人民共和國網(wǎng)絡(luò)安全法》*二十一條明確規(guī)定：國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，**網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。簡單來說，是國家法律法規(guī)、相關(guān)政策制度要求我們?nèi)ラ_展等級(jí)保護(hù)工作，不做就不合規(guī)，就違法。從網(wǎng)絡(luò)安全角度，企業(yè)可以合理地規(guī)避風(fēng)險(xiǎn)。企業(yè)通過等級(jí)保

• 教育系統(tǒng)怎么做等保

  等級(jí)保護(hù)一共分為五個(gè)階段：**級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害*、社會(huì)秩序和公共利益。*二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害*。*三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)*造成損害。*四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利

• 等級(jí)保護(hù)丨關(guān)于等級(jí)保護(hù)常見問題解析

  1994年，**發(fā)布《*人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（147號(hào)令），**規(guī)定計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。2016年度《*人民共和國網(wǎng)絡(luò)安全法》頒布，網(wǎng)絡(luò)安全法明確規(guī)定國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。20195月13日，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0發(fā)布國家標(biāo)準(zhǔn)。自2019年12月1日起，金融、電力、教育、醫(yī)療等行業(yè)明確要求通過網(wǎng)絡(luò)安全等級(jí)保護(hù)企業(yè)系統(tǒng)。經(jīng)過多年的推廣和加強(qiáng)，網(wǎng)絡(luò)安全等