信息安全等级保护『概述

Information Security Level Protection Overview

什么是等级保护

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全⌒　保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

医疗行业的等级保护建设

2012年，为贯彻落实《卫生部关于印发〈卫生行业信息安▼全等级保护工作的指导意见〉的通知》，进一步加强各省市卫生行业信息安全等级保护工作，全面提升卫生行业信息安全保护水平，全国各省全面开展信息安全等级保护工作。

等级保护发展历程

政策法规

（1994~2005）

1994年国务院147号令

中办发[2003]27号

标准体系

（2005~2008）

等级保护划分准则（GB 17859-1990）

等级保护定级指南（GB/T 22240-2008）

等级保护基本要求（GB/T 22239-2008）

信息系统通用安全技术要求(GB/T 20271-2006)

测评体系

（2008~2010）

等保测评机构认证(100余家)

等保测评师培训认证

落地实施

（2010~至今）

二级系统数量5万余个

三级系统数量2万余个

四级系统数量100余个

等级保护工作□意义

（1）责任更清晰

（1）责任更清晰

完成等保测评意味着当前的安全状况被公安机关认可，一旦发生安全事件则是ぷ天灾与意外；如果没有进行等级保护①测评意味安全状况没有达到国家要求，一旦发生安全事件则是人祸，需要自己承担相关责任。

（2）安全建设体系化

（2）安全建设体系化

以等级保护为标准开展安全建设，可以让安全建设更加体系化。通过从物∩理、网络、主机、应用和数据等多个方面成体系的进行安全建设，打破了传统头痛医头脚痛医脚的建设状况，能对各单位的安全建设提出整体的规划◤和思路。

等级保护整体解决方案

Level Protection Overall Solution

解决方案随↓着数字化医院评审标准的完善以及医院等级保护测评政策要求的落实，医疗卫生系统应围绕HIS、LIS、PACS等核心业务系统深入开展信息安全等级保护工作，并在此基础上指引后续信息化安全建设方向。通过对医◣院信息化现状调研、分析，结合等级保护在物理安全』、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全、系统建设、系统运维十个方面的要求，协助医院逐步完善信息安全组织、落实安全责任︻制，开展管理制度建设、技术措施建设，落实等级保护制度的各项要求，使得医院信息系统安全管理水平提高，安全保护能力增强，安全隐患和安全事故减少，有效保障信息化健康发展。

经过多年医疗卫生行业△的安全建设经验的▽积累，我公司可提供针对医疗卫生信息系统全生命周期内的等级保护咨询、建设、运维等整体解决方案。

系统定级

概述

系统定级阶段的主要工作是参考等级保护定级标准对医院内部各类信息系统〗进行等级保护定级。根据卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的定级准则，结合医院及地方政策等实际情况进行系¤统定级。针对客户对于信息系统分类定♂级流程不＠清楚的情况，我公司可以提供完善的医疗信息系统定级◥备案咨询服务。可以根据客户单位性质、组织架构、业务特点等内容，帮助客户确定不同医疗信息系统的定级标准，协助编◥写定级报告及完善各类定级备案资料。

医疗卫生行业客户面临的问题

1) 如何筛选定级系统，即确定哪些信息系统需要进行定级；

2) 如何对选定的信息系统进行合理定级，即确定等级保护级别；

3) 如何进行定级▓备案，即该准备】哪些文档、定级备案如何申请等。

解决方案

1) 政策咨询服务，包括涉及等级保护相关的国家政策、行业规范的咨询服务；

2) 定级系统筛选，通过分析单位性质、组织架构、业务特点≡等工作，最终确定需要进行备案的信息系统；

3) 协助客户确认◥信息系统等级，帮助编写信息系统定级报告；

4) 备案服务，帮助客户检查备案相关资料，协助客户去公安机关进行备案。

相关定㊣级参考

差距测评

概述

以计算机信息系统安全保护等级基本要求为依据，从技术》要求、管理要◣求出发，对医院核心信息系统进行全方位、多维度的安全评估，找出信息系统当前的安全技术措施与等级保护标准要求之间的差距。总结№当前信息系统安全整改建设的需求，为医︻院后续的整改工作提供事实依据。

医疗卫生行业客户面临的问题

1) 缺少专业的信息系统安全评估人员；

2) 缺少专业的安全评估第三方工具及方法，比如配置核查、渗透测试等等级测评方法。

解决方案

1) 专家检查

由经验丰富的安全工程师∮对信息系统进行人工检查，检查内容包括网络体系架√构检查、安全配置基线检查、策略配置基线检查、安全补丁核查、系统平台安全检查等内容；

2) 漏洞检查

由自有知识产权的漏洞扫♂描工具对信息系统进行全方面的●漏洞检测，包括主机漏洞扫描、系统漏洞扫描、应用漏洞扫描、源代码漏洞扫描等；

3) 渗透测试

包括黑盒/白盒测★试方法、安全渗透测试专家的现场测试等方式发现信息系统存在的安『全漏洞或风险；

4) 管理制度完善

结合等级保ξ护相关管理要求，参照ISO27001、ISO20000等体系标准，完善单位内部管理制度，有效封堵制度漏洞。

系统整改

概述

以差距评测报告和信息系统安全等级保护基本要求为基本依据，对已经发现的安全问题进行整改。通过整体安全建设规划进行总体的安全技术设计，将不同层面的安全防护措施整合成一套安全防护体系∑，全面落实等级保护基本要求中对▓于物理安全、网络安全、主机安全、应用安全、数据安全等方面的要求，最大程度提升安全防护技术水平和能力。

医疗卫生行业客户面临的问题

如何选择对应的安全产品或安全服务形成最优化的组合方式解决现有问题，保证投资的有效性，避免重复投资。

解决方案

1) 根据差距评测报告及等级保护基本要求，完成总体安全设↘计规划，并协助客户完成相关安全产品或安全服务的采购；

2) 根据差距评测报告及等级保护基本要求，完善系统架构优化、基线配置、安全加固配㊣置等工作；

3) 根据差距评测报告及等级保护基本要求，制定不同设备的安全配置策略，并进行合理配置；

4) 根据差距评测报告及等级保护基本要求，根据实际情况，对内部管理制度进行补充，包括但不限于安全巡检、安全轮值等内容。

验收评测

概述

验收评测是←由具备测评资质的机构依据等级保护相关要求对医疗信息系统开展的等级保护建设评估工作。在该过程中，我公司会提供完善的测评咨询服务，能够协助ξ　客户准备测评相关资料，并且我↑公司和全国大部分测评机构都有过广泛深度的合作，其中不乏战略合作伙伴，可以有力保障客户完成测评工作。

医疗卫生行业客户面临的问题

1) 测评流程不清楚，包括需要准备哪些资料、测评※的范围等；

2) 缺乏现场测评经验，不知道在测评实施过程中需要提前准备哪些工作。

解决方案

1) 等级保护最新政策解读；

2) 协助准备测评所需资料；

3) 测评实施过程中技术支撑。

系统备案

系统备案是指客户通过测评机构测评之后，去当地公安机关进行等级保护备案的过程。具体备案流程如下图所∏示：

运行维护

概述

按照信息安全等级保护管理办法要求，三级信息系统每年应该进行一次自查和第三方测评机构的测评，因此我公司针对三级信息系统比如HIS、LIS等医疗核心应用系统的后期运行过程中提供完整的安全防护解决方案和测评咨询服务。在三级信息系统每年的安全自查整改和系统评测过程中提供技术保障服务。

产品及解决方案

操作系统安全增强系统（RS-CDPS）

优炫操作系统安全增强系统，通过安装在服务器的安全内核保护服务器↓数据，截取系统调用实现∏对系统资源的访问控制，以加强操作系统安全性。它具有多种用户认证机制，访问控制及审计功能，操作方便、宜于系统管理和安全管理。可对UNIX类、LINUX类、WINDOWS类各种操作系统进行统一管理，为管理人员提供方便，可以保障客户的服务器安全、持续、长效运行。

数据库安全审计系统（CDPS-DBA）

智能运维管理系统（UX-TYF）

下一代防火墙（NGF）

一体化智能运维管理系统（SIMO）

新一代应用交付●系统（NADS）