汝州市人民医院信息化工作经过多年的发展，信息技术已得到了广泛的应用，并且目前医院已经通过三级医院的评定工作。主要业务系统如HIS、LIS、PACS、EMR等都己实施并应用，为医院发展和业务应用提供了较为良好的支撑。随着数字化医院评审标准的完善以及医院等级保护测评政策要求的落实，医疗卫生系统围绕HIS、EMR、LIS、PACS等核心业务系统深入开展信息安全等级保护工作，并在此基础上指引后续信息化安全建设方向。

     随着医疗信息安全的日趋严峻的形式，结合网络安全法和等级保护2.0的要求，医院需完善信息安全组织、落实安全责任制，开展管理制度建设、技术措施建设，落实等级保护制度的各项要求，来提高信息系统安全管理水平和网络安全防护能力，减少安全隐患和安全事故，有效保障信息化健康发展。

总体设计、规划合理性

   结合医院信息系统特点及安全挑战，我们也可以看出医院信息安全风险不断增加，系统瘫痪、信息泄露等各种信息安全不良事件时有发生，医院信息安全问题的后果和危害，远远超出医院信息系统本身的范畴，他不仅可能危及患者、医务人员和整改医院的医疗服务，甚至可能影响社会安定与国家安全。保障医院信息安全事关重大，那么我们应该如何应对或如何保障医院信息安全。

   1、按照最新的等级保护2.0和《网络安全法》要求，统筹规划安全建设，合理规划安全域、建立有效的安全技术保障体系、完善安全管理体系的建设。构建一个中心、三重防护保障的主动防御安全体系（一个中心是指安全管理中心，三重防护由安全计算环境、安全区域边界以及安全通信网络组成）。

        2、秉承“持续保护、不止合规”的理念，本着建立真正有效的技术体系的原则，构建“防御+检测+响应”的安全能力。使安全技术体系不再是简单的堆叠防御手段。既能满足等级保护2.0要求，又能充分发挥安全技术体系的有效性，抵御新威胁，切实的解决安全问题，减少事故发生的概率。

         3、建立统一的信息安全管理体系，落实各项管理制度，让医院的安全管理体系，有宏观的设计、有清晰的责任权限、有合理的制度要求。同时应用包括安全可视化、统一运维管理的创新的技术手段，简化安全运维管理，减轻安全运维管理的负担，提升安全运维管理的效率，最终做到整体防御、分区隔离；积极防护、内外兼防；自身防御、主动免疫；纵深防御、技管并重。

网络安全设计

医院全网安全防护设计方案将严格按照区域功能的重要性和网络使用的逻辑特性划分安全域，并基于安全域之间的边界隔离及访问控制要求，各安全域出口部署下一代防火墙进行2-7层访问控制。

互联网接入区：配置具备VPN接入能力的防火墙，为远程运维人员提供安全的接入方式；部署入侵防御系统并联动未知威胁检测，对各类已知和未知入侵行为进行有效阻断；互联网出口，部署上网行为管理，对互联网出口流量进行识别并对流量进行管控，提高带宽利用率的同时保障用户上网体验，并按相关法律法规进行上网行为审计。

外联接入区（医保网/农合等）：配置综合安全设备，开启了防病毒功能、入侵防御能够实现对流量中入侵行为的检测与阻断。

内外网之间通过网闸进行物理隔离。

内网安全区：通过数据库审计、日志审计、运维审计、漏洞扫描来满足等保的合规性；通过安全态势感知，整合全网安全信息，及时有效的做出封堵策略下发给相应的边界安全设备，保证内网的安全性。

内网办公区：在桌面终端上安装部署准入控制、终端安全管理已经杀毒软件，保护办公PC的安全性。

等保测评

   本项目按照信息安全等级保护测评标准进行安全等级测评。测评内容主要包括两个方面：一是单元测评，测评指标与《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）相应等级的基本要求完全一致；二是系统整体测评，主要测评分析信息系统的整体安全性。