返回
等保最终方案2016

等保最终方案2016

ID:35479617

大小:56.85 KB

页数:4页

时间:2019-03-25

等保最终方案2016_第1页
等保最终方案2016_第2页
等保最终方案2016_第3页
等保最终方案2016_第4页
资源描述:

《等保最终方案2016》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、XX县人民医院关于信息安全等级保护需求申请—、背景根据XX市卫计委宏头文件为提高信息系统的安全运行能力,根据T生部《关于印发T生行业信息安全等级保护工作的指导意见的通知》(卫办发[2011]85号)和《关于全而开展卫生行业信息安全等级保护工作的通知》(卫办综函[2011]1126号)的相关耍求,我院开展信息安全等级保护测评工作,发现信息系统中存在的安全隐患,据此提岀信息系统安全等级保护幣改和解决方案,避免安全事件对业务工作带来损失,并完善信息系统安全管理制度,提升信息系统安全管理水平。等级保护是国家关于信息安全的

2、基本政策,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确要求我国信息安全保障工作实行等级保护制度,捉出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。本次测评的主要是根据GB17859-1999《计算机信息系统安全保护等级划分准则》信息安全的相关标准,对医院的内网信息系统和外网信息系统,在技术和悖理两个方面的10个大项、78个小项的内容进行逐一•的检查和测试,其内容涉及信息系统的物理安全、网络安全、主机安全、应用安全、数据安全和管理安全等,以核查医

3、院信息系统己有的信息安全防护措施是否达到国家关于信息安全等级保护相应等级的防护要求,找出系统在信息安全方面存在的脆弱点,并提出安全整改建议。通过测评来发现问题、解决问题,从而帮助系统的使用者规避信息安全风险。二、等保测评测评描述:根据卫生部文件要求标准结合山东电信评审公司対医院进行全面的测评得出整改方案.如下:1、网络边界缺乏准入准出控制,应对内部用户非法接入外部网络和外部用户非法接入内部网络的行为进行严格的检查和阻断,以防上重要信息外泄和从内部发起的恶意攻击。【不符合网络安全测评中的边界完整性检查要求】2、未对

4、网络入侵行为进行有效监控和阻断,应在网络边界处添加部署入侵防御系统,对网络边界处的入侵行为进行检测和防御,及时发现各种攻击企图、攻击行为或者攻击结果,有效阻断攻击行为,以保证网站的完整性和可用性。【不符合网络安全测评的入侵防范要求】3、未对整个网络运行进行有效的审计,应在核心交换机处旁路部署网络安全审计系统,定期生成报表,检杏和备份审计记录。【不符合网络安全测评的安全审计要求】4、未对主机和数据库进行有效的审计,应在服务器交换机旁路部署主机/数据库安全审计系统,定期生成报表,检杏和备份审计记录。[不符合主机安全测

5、评的安全审计要求】5、未对办公无线网络接入进行安全防护,应在无线网络接入核心交换机的线路上部署防火墙和入侵防御系统。【不符合网络安全测评的访问控制要求】【不符合网络安全测评的入侵防范要求】6、主机未安装杀毒软件,无法对恶意代码进行检测和防御。【不符合主机安全测评的恶意代码防范要求】7、机房缺少防盗报警设施,应安装防盗报警系统,保障机房设备安全。【不符合物理安全测评的防盗和防破坏要求】8、缺少运维监控系统,对网络、机房、数据库、中间件和业务系统运行情况进行监控和报警。【不符合应用安全测评的资源控制要求】【不符合主机

6、安全测评的资源控制要求】9、缺少网络流量控制设备,对网络流量进行管理和优化,保障重要业务系统带宽。【不符合网络安全测评的结构安全要求】10、Web应用系统缺少对入侵的有效防御手段,建议部署Web应用防火墙,对SQI,注入、XSS脚木攻击等窃取数据、篡改数据的入侵攻击•进行存效防御。【不符合网络安全测评的入侵检测要求】11、对Web页面篡改缺少有效防护手段,建议部署防篡改系统,对Web系统的页面篡改攻击进行防护。【不符合网络安全测评的入侵检测要求】12、业务应用系统缺少冇效的审计,建议部署应用安全审计设备,对业务数

7、据LI志进行专有保护。【不符合应用安全测评的安全审计要求】13、网络层而缺少对恶意代码的监控和防护手段,建议在网络边界部署防毒墙设备,重点解决蠕虫类病毒的威胁。三、等保解决方案描述3.1方案描述根据根据医院冃前网络现状结合卫生部《关于印发•卫生行业信息安全等级保护工作的指导意见的通知》(卫办发[2011]85号)和《关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函[2011]1126号)的相关要求,需先部署一下产品:序号设备名称数量功能模块价格备注1内网安全管理系统一套(台)网络防护管理移动存储介质管理

8、资产管理网络监控桌面管理系统运维管理日志与审计上网管控机制上网管理流量控制下载管理拨号管理外设管理内部文档防护终端及系统补丁更新网络准入控制2入侵防御系统1台3网络安全审计1台内网中包含4杀毒软件5运维监控系统1套内网中包含6IT运维流程系统一套7流量控制系统1台内网中包含8Web应用防火墙1台9网页防篡改1台(套)10应用安全审计系统1台信息化管理办公室

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。