醫院網路安全等級保護(2.0)實施指南

本書從網路安全等級保護制度發展的歷史入手，講解網路安全體系建設在我國的發展過程。基於近期開展的中國醫院網路安全等級保護狀況調查和北京市醫療行業網路安全等級保護現狀調研，給出具體的數據分析結果；之後結合國內外文獻調研，探討適合醫院的網路安全框架；然後以案例為基礎，介紹定級、備案、整改、測評全過程；最後針對等級保護2.0新標準的項目逐條解讀，結合案例對比新舊標準的差異，對比不同等級安全要求的差異。本書共7章，主要內容包括：網路安全等級保護制度概述、醫療行業網路安全等級保護現狀及建議、醫院網路安全框架、醫院網路安全等級保護實施、安全通用要求――技術部分解讀、安全通用要求――制度部分解讀、新技術套用安全要求解讀。本書可供醫學信息學、網路安全等專業的相關人員學習、參考。

目 錄

第1章 網路安全等級保護制度概述 1

1．1 網路安全等級保護的發展 1

1．2 網路安全等級保護制度體系 4

第2章 醫療行業網路安全等級保護現狀及建議 6

2．1 中國醫院網路安全等級保護現狀 6

2．2 相關政策建議 8

第3章 醫院網路安全框架 11

3．1 網路安全框架概述 11

3．1．1 主流企業網路安全框架 11

3．1．2 網路安全等級保護安全框架 16

3．2 醫院網路安全框架 23

3．2．1 整體框架 23

3．2．2 安全技術體系 24

3．2．3 安全管理體系 25

3．3 醫院網路安全規劃方法 26

3．3．1 網路安全規劃概述 26

3．3．2 規劃諮詢方法論 26

3．3．3 安全規劃實施流程 27

3．4 醫院網路安全規劃實踐 28

3．4．1 安全規劃的背景 28

3．4．2 安全規劃的開展 29

3．4．3 安全需求分析 29

3．4．4 總體安全設計 31

3．4．5 安全建設項目規劃 36

第4章 醫院網路安全等級保護實施 39

4．1 定級 39

4．1．1 定級要求 39

4．1．2 定級原則 39

4．1．3 定級原理及流程 40

4．1．4 確定定級對象 44

4．1．5 初步確定等級 46

4．1．6 專家評審 49

4．1．7 主管部門審核 49

4．1．8 公安機關備案審查 49

4．1．9 等級變更 49

4．2 備案 50

4．2．1 備案與受理 50

4．2．2 公安機關受理備案要求 52

4．2．3 對定級不準及不備案情況的處理 53

4．3 安全建設整改 54

4．4 等級測評 54

4．4．1 測評周期 54

4．4．2 測評內容 55

4．4．3 測評機構選擇 60

4．5 監督檢查 60

4．6 等級保護實施案例 61

4．6．1 系統定級 63

4．6．2 系統備案 63

4．6．3 建設與整改 65

4．6．4 等級測評 68

4．6．5 監督檢查 70

第5章 安全通用要求――技術部分解讀 71

5．1 安全物理環境 71

5．1．1 一覽表 71

5．1．2 物理位置選擇 73

5．1．3 物理訪問控制 75

5．1．4 防盜竊和防破壞 75

5．1．5 防雷擊 76

5．1．6 防火 78

5．1．7 防水和防潮 79

5．1．8 防靜電 81

5．1．9 溫濕度控制 82

5．1．10 電力供應 83

5．1．11 電磁防護 84

5．2 安全通信網路 85

5．2．1 一覽表 85

5．2．2 通信傳輸 86

5．2．3 可信驗證 88

5．2．4 網路架構 90

5．3 安全區域邊界 94

5．3．1 一覽表 94

5．3．2 邊界防護 96

5．3．3 訪問控制 98

5．3．4 可信驗證 101

5．3．5 入侵防範 102

5．3．6 惡意代碼和垃圾郵件防範 106

5．3．7 安全審計 107

5．4 安全計算環境 109

5．4．1 一覽表 109

5．4．2 身份鑑別 112

5．4．3 訪問控制 118

5．4．4 安全審計 123

5．4．5 入侵防範 126

5．4．6 惡意代碼防範 133

5．4．7 可信驗證 135

5．4．8 數據完整性 136

5．4．9 數據保密性 138

5．4．10 數據備份恢復 140

5．4．11 剩餘信息保護 143

5．4．12 個人信息保護 144

5．5 安全管理中心 145

5．5．1 一覽表 145

5．5．2 系統管理 146

5．5．3 審計管理 148

5．5．4 安全管理 152

5．5．5 集中管控 153

第6章 安全通用要求――制度部分解讀 158

6．1 安全管理制度 158

6．1．1 一覽表 158

6．1．2 評測實踐 159

6．1．3 一至三級所需制度參考清單 159

6．2 安全管理機構 160

6．2．1 一覽表 160

6．2．2 評測實踐 163

6．2．3 一至三級所需制度參考清單 164

6．3 安全管理人員 164

6．3．1 一覽表 164

6．3．2 評測實踐 167

6．3．3 一至三級所需制度參考清單 168

6．4 安全建設管理 168

6．4．1 一覽表 168

6．4．2 評測實踐 173

6．4．3 一至三級所需制度參考清單 174

6．5 安全運維管理 175

6．5．1 一覽表 175

6．5．2 評測實踐 186

6．5．3 一至三級所需制度參考清單 186

第7章 新技術套用安全要求解讀 190

7．1 雲計算安全 190

7．1．1 一覽表 190

7．1．2 安全物理環境 193

7．1．3 安全通信網路 194

7．1．4 安全區域邊界 198

7．1．5 安全計算環境 204

7．1．6 安全管理中心 216

7．1．7 安全建設管理 218

7．1．8 安全運維管理 223

7．2 移動互聯安全 223

7．2．1 一覽表 224

7．2．2 無線接入點的物理位置 225

7．2．3 邊界防護 226

7．2．4 訪問控制 227

7．2．5 入侵防範 228

7．2．6 移動終端管控 229

7．2．7 移動套用管理 230

7．2．8 移動套用軟體採購 230

7．2．9 移動套用軟體開發 231

7．2．10 配置管理 232

7．3 物聯網安全 232

7．3．1 一覽表 233

7．3．2 安全物理環境 234

7．3．3 安全區域邊界 236

7．3．4 安全計算環境 238

7．3．5 安全運維管理 243

7．4 工業控制系統安全擴展要求 244

7．4．1 一覽表 244

7．4．2 室外控制設備物理防護 246

7．4．3 網路架構 247

7．4．4 通信傳輸 250

7．4．5 訪問控制 250

7．4．6 撥號使用控制 252

7．4．7 無線使用控制 253

7．4．8 控制設備安全 255

7．4．9 產品採購和使用 257

7．4．10 外包軟體開發 257

7．5 大數據安全 258

7．5．1 一覽表 259

7．5．2 安全物理環境 261

7．5．3 安全通信網路 262

7．5．4 安全計算環境 263

參考文獻 282

朱衛國，北京協和醫院信息管理處處長，北京協和醫院普通內科副主任醫師，中國協和醫科大學臨床醫學博士。中國醫院協會信息專業委員會秘書長，中華醫學會全科醫學分會青年委員會副主委，中國醫藥信息學會電子病歷與健康檔案專業委員會副主委，中國醫學裝備協會醫用潔淨裝備工程分會手術部智慧型化專業委員會主委，北京衛生信息技術協會常務理事等。先後參與主持了一體化新HIS、全院級PACS、掌尚協和患者App、HRP等項目建設。獲首屆“協和傑出青年獎”、2015-2016年度中國醫院優秀CIO等稱號。