縣級院網(wǎng)絡安全規(guī)劃方案2020年月（燎原白）

目錄一景分..................................................................................................................................1景1設2等建要.2等建.2管制要.4二等建.5二院系分與絡狀紹...............................................................................................6醫(yī)統(tǒng)6醫(yī)狀7三保差分與求析.......................................................................................................8醫(yī)保8物安8主安8應安9醫(yī)全分9物安網(wǎng)安主安用.11四設思................................................................................................................................13建編依技規(guī)五設目................................................................................................................................16六院網(wǎng)安防體設方..........................................................................................17

設明安計18網(wǎng)計邊接18數(shù)中19物計主安19身鑒.19訪控.20入防.20安計安管.22安管.22人安.24系建.24系運.25安計服27目27范27內(nèi)27要33安單34七投預表..............................................................................................................................36

一、背景分析1.院背景介某縣級醫(yī)院是一所集醫(yī)療、教學、科研、預防保健、康復為一體的二級甲等中醫(yī)醫(yī)院。醫(yī)院功能、任務和定位明確，主要為群眾提供基本醫(yī)療、康復、預防保健等服務廣應用適宜中醫(yī)診療技術農(nóng)村基層醫(yī)療衛(wèi)生機構人員提供培訓和技術指導擔部分公共衛(wèi)生服務及自然災害和突發(fā)公共衛(wèi)生事件醫(yī)療救治等工作。醫(yī)院建筑風格典雅，環(huán)境優(yōu)美，體現(xiàn)中醫(yī)藥文化?，F(xiàn)占地面積多平方米，建筑面積2萬平方米，編制床350張。醫(yī)療服務功能齊全，科室設置合理。設有七大病區(qū)，有急診科、腦病科、糖尿病科、腎病內(nèi)科、心血管病科、脾胃病科、肺病科、肝膽外科、心胸外科、腎病外科、肛腸科、骨傷科、腦傷科、婦科、產(chǎn)科、眼科、耳鼻咽喉科、麻醉科、手術室等近多個臨床科室，以及醫(yī)學影像科、超聲室、心電圖室、內(nèi)窺鏡室、檢驗科、藥劑科、消毒供應中心等醫(yī)技科室。醫(yī)院醫(yī)療設備、設施配置合理，符合二級甲等中醫(yī)醫(yī)院醫(yī)療設備配置標準。擁有64排128層螺旋CT、動態(tài)數(shù)字平板多功能線機（數(shù)字胃腸機攝影機（DR超、電子胃腸鏡、膠囊內(nèi)鏡、全自動生化分析儀、化學發(fā)光免疫分析儀、電解質(zhì)分析儀、血細胞分析儀、血氣分析儀、多參數(shù)心電監(jiān)護儀等大型醫(yī)療設備及針類、灸類、罐療類、中藥外治類、推拿類、達引類、電療類等中醫(yī)診療設備。醫(yī)院現(xiàn)有國家級農(nóng)村醫(yī)療機構特色?？?個五色）專2個，江門市中醫(yī)重點專1個，恩平市臨床重點專4個；為“全國顱內(nèi)血腫穿刺協(xié)作醫(yī)院婦科及骨傷科已全面開展微創(chuàng)腔鏡手術。為貫徹落實公安部家保密局家密碼管理局務院信息化工作辦公關于印發(fā)<信息安全等級保護管理辦法>通知衛(wèi)計委關衛(wèi)生行業(yè)信息等級保護工作的指導意見等保辦全面推動衛(wèi)生和計生行業(yè)信息安全等級保護體系建設高衛(wèi)生和計生行業(yè)信息安全保障能力和水平的理念定第頁

集中開展衛(wèi)生和計生行業(yè)信息安全等級保護定級備案評和建設整改工作，全面提升衛(wèi)生和計生行業(yè)信息安全防護水平絡安全規(guī)劃便是在某縣級醫(yī)院進行信息安全等級保護測評結果縣級醫(yī)院現(xiàn)用網(wǎng)絡中存在的不足之處進行改善，最終設計出一套合規(guī)、合理、安全、符合等保要求的網(wǎng)絡安全方案。在進行等級保護安全體系建設時參照以下工作工作原則：（一）循標準，重保護遵循國家信息安全等級保護相關標準規(guī)范，結合衛(wèi)生行業(yè)信息系統(tǒng)特點先保護重要衛(wèi)生信息系統(tǒng)先滿足重點信息安全需求。（二行指導屬管理生行業(yè)信息安全等級保護工作實行行業(yè)指導、屬地管理。地方各級衛(wèi)生行政部門要按照國家信息安全等級保護制度有關要求，做好本地區(qū)衛(wèi)生信息系統(tǒng)安全等級保護的指導和管理工作業(yè)各單位要按照“誰主管、誰負責，誰運營、誰負責”的要求，落實信息安全責任。（三）步建設，動完善在信息系統(tǒng)規(guī)劃設計與建設過程中，同步開展信息安全等級保護工作信息和信息系統(tǒng)的業(yè)務類型用范圍等條件改變導致安全需求發(fā)生變化時當重新調(diào)整信息系統(tǒng)安全保護等級時完善安全保障措施。2.保建設背2.1保建設必要性《廣東省計算機信息系統(tǒng)安全保護管理規(guī)定進條例等文件中，也對政府機關單位信息化建設中的安全體系建設提出了相應的要求。2017年6月1日共和國網(wǎng)絡安全法》正式實行。網(wǎng)絡安全法的實行醫(yī)療單位的網(wǎng)絡安全提出了更高的要求中網(wǎng)絡安全法第三章第一節(jié)中提到行網(wǎng)絡安全等級保護制度。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求行下列安全保護義務障網(wǎng)絡免受干擾壞或者未經(jīng)授權的訪問，防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改結合以上政策法規(guī)院的網(wǎng)絡安全防護體系建設勢在必行且院的網(wǎng)絡安全防護體系應當符合等級保護的相關要求。2.2保建設求第頁

本次規(guī)劃將參照國家等級保護二級系統(tǒng)建設要求為基準部信息安全建設及檢查的相關要求為參照合實際安全需求和業(yè)務模式設符合公安部及行業(yè)相關的信息安全檢查規(guī)范中的要求的安全體系架構。二級系統(tǒng)安全保護環(huán)境的設計目標是：落實對二級系統(tǒng)的安全保護要求現(xiàn)基于安全策略模型和標記的強制訪問控制以及增強系統(tǒng)的審計機制，使得系統(tǒng)具有在統(tǒng)一安全策略管控下，保護敏感資源的能力。通過為滿足物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全五個方面基本技術要求進行技術體系建設滿足安全管理制度全管理機構員安全管理管理管理五個方面基本管理要求進行管理體系建設。使得醫(yī)院系統(tǒng)最終既可以滿足等級保護的相關要求全方面為醫(yī)院提供立體、縱深的安全保障防御體系，保證信息系統(tǒng)整體的安全保護能力。圖：技術要求與管理要求其中技術要求與管理要求是確保信息系統(tǒng)安全不可分割的兩個部分間既互相獨立聯(lián)使用技術和管理兩種手段控制；等級保護安全建設模型和安全方案框架如下所示：第頁

圖：各要素之間的關系以等級保護二級的要求和自身業(yè)務的安全需要為目標技術和管理兩大體系來規(guī)劃網(wǎng)絡安全管理體系架構造可靠的信息安全保障體系而滿足3-5年的業(yè)務發(fā)展需要。2.3理制度套要求除了采用信息安全技術措施控制信息安全威脅外理措施也是必不可少的手段通過管理來共同構建全面息安全保障體系安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理等5大方面。第頁

2.4級等級護建設框架在進行等級保護建設安全規(guī)劃的過程中以下框架進行安全設計和規(guī)劃：第頁

二、醫(yī)院系統(tǒng)析與網(wǎng)現(xiàn)狀介紹1.醫(yī)院業(yè)務統(tǒng)分析某縣級醫(yī)院的系統(tǒng)從重要程度上主要包含了醫(yī)院管理信息系統(tǒng)（）和對外網(wǎng)站系統(tǒng)兩大部分。HIS系統(tǒng)主要以一體化的數(shù)字化信息系統(tǒng)為基礎現(xiàn)數(shù)據(jù)全面共享中心的收費庫排等醫(yī)療業(yè)務醫(yī)院的門診掛號價收費、入院辦理、費用記賬、住院結算等基本業(yè)務正常運轉(zhuǎn)的骨干業(yè)務系統(tǒng)。對外網(wǎng)站系統(tǒng)主要用于本單位的信息發(fā)布院介紹等括醫(yī)院簡介息公開、機構概況、公眾互動、網(wǎng)上預約掛號等業(yè)務。依照等級保護安全體系按照業(yè)務系統(tǒng)分級則委的規(guī)定，將對外網(wǎng)站兩大核心業(yè)務系統(tǒng)劃分為等級保護二級區(qū)域，其他業(yè)務區(qū)域，各區(qū)域按照相關標準建設安全措施。醫(yī)院在網(wǎng)絡架構上劃分不同安全區(qū)域網(wǎng)絡按照標準獨立建設安全系統(tǒng)。第頁

2.醫(yī)院網(wǎng)絡狀某縣級醫(yī)院現(xiàn)有網(wǎng)絡架構如下圖所示：由拓撲圖可以看出醫(yī)院現(xiàn)有網(wǎng)絡安全防護體系主要依靠外網(wǎng)出口防火墻實現(xiàn)安全防護和安全隔離體網(wǎng)絡中網(wǎng)區(qū)域和內(nèi)網(wǎng)區(qū)域沒有明顯的安全邊界個安全區(qū)域邊界也未進行安全防護和安全隔離使是運行著重要業(yè)務的數(shù)據(jù)中心區(qū)域邊界也并未部署安全設備進行安全防護絡中沒有邊界防護系統(tǒng)，比如網(wǎng)閘、入侵防御設備；且未專門劃分出運維管理區(qū)域，未部署WAF及網(wǎng)絡運維管理的相關設備，比如防病毒系統(tǒng)、桌面管理等。第頁

三、等保差距析與需分析1.醫(yī)院網(wǎng)絡保差距分析根網(wǎng)絡安全法的規(guī)定位的網(wǎng)絡應當按照安全等級保護制度的要求進行建設。根據(jù)對某縣級醫(yī)院的網(wǎng)絡現(xiàn)狀調(diào)研，對比《信息安全信息系統(tǒng)安全等級保護基本要求對等級保護二級的相關規(guī)定分析出院當前的網(wǎng)絡安全體系與一套符合等保二級要求的安全體系存在著以下差距。1.1理安全二級等保中對于物理安全的要求包括以下物理訪問控制、機房防火、防水、防靜電等據(jù)醫(yī)院的等級保護測評報告前醫(yī)院在物理安全方面還存在以下問題：如上所示院在管理制度中沒有機房出入方面的規(guī)定在機房被非授權訪問的風險法滿足二級等保中對物理訪問控制的要求外房中沒有滅火設備，一旦發(fā)生火災，將會給醫(yī)院帶來重大的經(jīng)濟損失和政治損害。二級等保中對網(wǎng)絡架構的安全要求包括結構安全問控制全審計界完整性檢查防護在網(wǎng)絡方面還存在以下問題：單元

存在問

威脅結構安全

管理區(qū)區(qū)未劃分子網(wǎng)進行管理。理混亂，單點故障安全審計

沒有專門的網(wǎng)絡審計設備。

無法溯源邊界完整性檢沒有專門的設備對非法內(nèi)外聯(lián)進行監(jiān)

非授權訪問查入侵防范

測。網(wǎng)絡邊界未部署入侵檢測設備。

易遭受網(wǎng)絡攻擊網(wǎng)絡設備防護未部署專門設備對網(wǎng)絡設備進行安全管理。1.2機安全

易遭受網(wǎng)絡攻擊第頁

二級等保中對于服務器主機的安全的要求包括身份鑒別問控制全審計、入侵防范、惡意代碼防范、資源控制等六項要求。醫(yī)院當前在主機安全方面還存在以下問題：醫(yī)院網(wǎng)絡在主機安全防護上存在較多問題此本次安全體系的設計中要將主機安全的加固作為安全防護體系設計的重點之一。1.3用安全應用安全主要包括身份鑒別、訪問控制、安全審計、通信完整性與保密性、軟件容錯源控制據(jù)備份等幾個方面的要求院在應用安全層面上存在以下問題：數(shù)據(jù)安全及備份恢復數(shù)據(jù)安全及備份恢復包括數(shù)據(jù)完整性、數(shù)據(jù)保密性及備份與恢復。醫(yī)院在此層面上存在以下問題：單元備份與恢復

存在問沒有專門的數(shù)據(jù)存儲設備存儲業(yè)務數(shù)據(jù)。

威脅數(shù)據(jù)丟失或損毀導致的業(yè)務中斷2.醫(yī)院網(wǎng)絡全技術需求分第頁

2.1理安全物理安全是整個信息系統(tǒng)安全的前提全就是要保證系統(tǒng)具有一個安全的物理環(huán)境時對接觸信息系統(tǒng)的人員有一套完善的控制手段充分考慮到自然事件對系統(tǒng)的威脅并加以規(guī)避。在醫(yī)院的網(wǎng)絡防護體系中先應加強對機房出入人員的審核署消防設備并定期巡檢制度上的完善和嚴格按按照制度執(zhí)行來加強機房的物理安全防護能力。2.2絡安全醫(yī)院當前的網(wǎng)絡安全體系網(wǎng)絡結構的層面上符合二級等保的相關要求，就一個完整、可控的安全體系來說，還存在著較大的改善和加固的空間。通信網(wǎng)絡的安全主要包括：網(wǎng)絡結構安全、網(wǎng)絡安全審計、網(wǎng)絡設備防護、區(qū)域邊界訪問控制、區(qū)域邊界完整性檢測、區(qū)域邊界入侵防范等方面的需求。

網(wǎng)絡結醫(yī)院網(wǎng)絡結構是否合理直接影響著是否能夠有效的承載業(yè)務需要絡結構需要具備一定的冗余性寬能夠滿足業(yè)務高峰時期數(shù)據(jù)交換需求合理的劃分網(wǎng)段和VLAN。

網(wǎng)絡安審計由于用戶的計算機相關的知識水平參差不齊些安全意識薄弱的管理用戶誤操作給信息系統(tǒng)帶來致命的破壞有相應的審計記錄將給事后追查帶來困難必要進行基于網(wǎng)絡行為的審計而威懾那些心存僥幸惡意企圖的少部分用戶，以利于規(guī)范正常的網(wǎng)絡應用行為。

網(wǎng)絡設防護由于某縣級醫(yī)院網(wǎng)絡中將會使用大量的網(wǎng)絡設備交換機火墻等些設備的自身安全性也會直接關系到涉密網(wǎng)絡和各種網(wǎng)絡應用的正常運行發(fā)生網(wǎng)絡設備被不法分子攻擊導致設備不能正常運行加嚴重情況是設備設置被篡改法分子輕松獲得網(wǎng)絡設備的控制權過網(wǎng)絡設備作為跳板攻擊服務器，將會造成無法想象的后果。例如，交換機口令泄漏、防火墻規(guī)則被篡改等都將成為威脅網(wǎng)絡系統(tǒng)正常運行的風險因素。

邊界訪控制某縣級醫(yī)院網(wǎng)絡可劃分為如下邊界：第10頁

內(nèi)部與互聯(lián)網(wǎng)邊界、內(nèi)部與專網(wǎng)邊界、各安全區(qū)域之間邊界。在等級保護建設中求針對安全區(qū)域邊界實現(xiàn)訪問控制進出安全區(qū)域邊界的數(shù)據(jù)信息進行控制，阻止非授權訪問及越權訪問。

邊界入防范各類網(wǎng)絡攻擊行為既可能來自于大家公認的互聯(lián)網(wǎng)等外部網(wǎng)絡網(wǎng)絡也同樣可能存在過安全措施實現(xiàn)主動阻斷針對信息系統(tǒng)的各種攻擊病毒、木馬、間諜軟件、可疑代碼、端口掃描、等，實現(xiàn)對網(wǎng)絡層以及業(yè)務系統(tǒng)的安全防護，保護核心信息資產(chǎn)的免受攻擊危害。

邊界惡代碼防范現(xiàn)今，病毒的發(fā)展呈現(xiàn)出以下趨勢病毒與黑客程序相結合、蠕蟲病毒更加泛濫前計算機病毒的傳播途徑與過去相比已經(jīng)發(fā)生了很大的變化多的以網(wǎng)絡（包括Internet、廣域網(wǎng)、局域網(wǎng)）形態(tài)進行傳播，因此為了安全的防護手段也需以變應變。迫切需要網(wǎng)關型產(chǎn)品在網(wǎng)絡層面對病毒予以查殺。2.3機安全應用安全醫(yī)院當前在主機以及應用層面的安全風險包括份鑒別問控制統(tǒng)審計、入侵防范、惡意代碼防范等幾方面的問題。

身份鑒身份鑒別包括主機和應用兩個方面。主機操作系統(tǒng)登錄據(jù)庫登陸以及應用系統(tǒng)登錄均必須進行身份驗證于簡單的標識符和口令容易被窮舉攻擊破解法用戶可以通過網(wǎng)絡進行竊聽而獲得管理員權限以對任何資源非法訪問及越權操作此必須提高用戶名/口令的復雜度，且防止被網(wǎng)絡竊聽；同時應考慮失敗處理機制。

訪問控訪問控制包括主機和應用兩個方面。訪問控制主要為了保證用戶對主機資源和應用系統(tǒng)資源的合法使用戶可能企圖假冒合法用戶的身份進入系統(tǒng)的合法用戶也可能企圖執(zhí)行高權限用戶的操作些行為將給主機系統(tǒng)和應用系統(tǒng)帶來了很大的安全風險戶必須擁有合法的用戶標識符制定好的訪問控制策略下進行操作絕越權非法操作。

系統(tǒng)審第11

系統(tǒng)審計包括主機審計和應用審計兩個方面。對于登陸主機后的操作行為則需要進行主機審計務器和重要主機需要進行嚴格的行為控制用戶的行為用的命令等進行必要的記錄審計于日后的分析、調(diào)查、取證，規(guī)范主機使用行為。而對于應用系統(tǒng)同樣提出了應用審計的要求對應用系統(tǒng)的使用行為進行審計點審計應用層信息業(yè)務系統(tǒng)的運轉(zhuǎn)流程息息相關夠為安全事件提供足夠的信息身份認證與訪問控制聯(lián)系緊密，為相關事件提供審計記錄。

入侵防主機操作系統(tǒng)面臨著各類具有針對性的入侵威脅作系統(tǒng)存在著各種安全漏洞且現(xiàn)在漏洞被發(fā)現(xiàn)與漏洞被利用之間的時間差變得越來越短就使得操作系統(tǒng)本身的安全性給整個系統(tǒng)帶來巨大的安全風險于主機操作系統(tǒng)的安裝，使用、維護等提出了需求，防范針對系統(tǒng)的入侵行為。

惡意代防范病毒蟲等惡意代碼是對計算環(huán)境造成危害最大的隱患前病毒威脅非常嚴峻別是蠕蟲病毒的爆發(fā)立刻向其他子網(wǎng)迅速蔓延動網(wǎng)絡攻擊和數(shù)據(jù)竊密量占據(jù)正常業(yè)務十分有限的帶寬成網(wǎng)絡性能嚴重下降務器崩潰甚至網(wǎng)絡通信中斷息損壞或泄漏重影響正常業(yè)務開展此必須部署惡意代碼防范軟件進行防御。同時保持惡意代碼庫的及時更新。第12頁

四、建設思路1.建設依據(jù)1.1制依據(jù)?《中華人民共和國網(wǎng)絡安全法》?《中華人民共和國計算機信息系統(tǒng)安全保護條例令1994年國務院頒布了第147號令，是最早提及信息安全等級保護的法規(guī)。?《全國衛(wèi)生信息化發(fā)展規(guī)劃綱要（年?《廣東省衛(wèi)生信息化發(fā)展規(guī)劃（年?《醫(yī)院信息系統(tǒng)基本功能規(guī)范?中華人民共和國建設部《建設工程項目管理規(guī)范》；?《醫(yī)療機構基本標準（試行?《廣東省衛(wèi)生資源配置標準?《關于印發(fā)廣東省醫(yī)院基本現(xiàn)代化建設標準試行)的通知》(粵衛(wèi)[2003]58號?《綜合醫(yī)院建設標準?《中華人民共和國國家標準電子計算機機房設計規(guī)范?其他醫(yī)療衛(wèi)生信息化建設標準、規(guī)范等。1.2術規(guī)范（一系統(tǒng)安全保護等級劃分準則配套標準是《基本要求》的基礎信息系統(tǒng)安全保護等級劃分準則以下簡則性標準技術要求》等技術類標準統(tǒng)安全管理要求》等管理類標準和《操作系統(tǒng)安全技術要求》等產(chǎn)品類標準是在《劃分準則》基礎上研究制定的息系統(tǒng)安全等級保護基本要求基本要求GB/T22239—2008）以技術類標準和管理類標準為基礎據(jù)現(xiàn)有技術發(fā)展水平技術和管理兩方面提出并確定了不同安全保護等級信息系統(tǒng)的最低保護要求，即基線要求。（二系統(tǒng)安全等級保護基本要求以下簡稱《基本要求系統(tǒng)安全建設整改的依據(jù)。信息系統(tǒng)安全建設整改應以落基本要求主要目標息系統(tǒng)運營使用單位應根據(jù)信息系統(tǒng)安第13頁

全保護等級選基本要求相應級別的安全保護要求作為信息系統(tǒng)的基本安全需求。當信息系統(tǒng)有更高安全需求時，可參考《基本要求》中較高級別保護要求或《信息系統(tǒng)通用安全技術要求求》等其他標準。本指南是衛(wèi)生與計生行業(yè)主管部門依據(jù)《基本要求業(yè)特點和信息系統(tǒng)實際出臺行業(yè)指南細則，本指南中的要求不低于《基本要求（三系統(tǒng)安全等級保護定級指南）為定級工作提供指導統(tǒng)安全等級保護定級指南》為全國范圍內(nèi)信息系統(tǒng)定級工作提供了技術支持。衛(wèi)生與計生行業(yè)主管部門應根據(jù)國家衛(wèi)生部年12月面向全國各級衛(wèi)生管理部門研究制定并下發(fā)的《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見2011]85號）中關于衛(wèi)生系統(tǒng)的定級要求，結合本市行業(yè)特點和信息系統(tǒng)實際情況本指南中規(guī)范了的定級細則證行業(yè)內(nèi)信息系統(tǒng)在不同地區(qū)等級的一致性，以指導本行業(yè)信息系統(tǒng)定級工作的開展。（四術信息系統(tǒng)安全等級保護測評要求準規(guī)范等級測評活動。等級測評是評價信息系統(tǒng)安全保護狀況的重要方法統(tǒng)安全等級保護測評要求測評機構開展等級測評活動提供了測評方法和綜合評價方法統(tǒng)安全等級保護測評過程指南》對等級測評活動提出規(guī)范性要求，以保證測評結論的準確性和可靠性。（五全技術信息系統(tǒng)安全等級保護實施指南）等標準指導等級保護建設術信息系統(tǒng)安全等級保護實施指南信息系統(tǒng)安全等級保護建設實施的過程控制標準導信息系統(tǒng)運營使用單位了解和掌握信息安全等級保護工作的方法作內(nèi)容以及不同的角色在不同階段的作用全技術信息系統(tǒng)等級保護安全設計技術要求》（GB/T25070-2010信息系統(tǒng)安全建設的技術設計活動提供指導實基本要求》的方法之一。國務院信息化工作辦公室學技術部息產(chǎn)業(yè)電子政務工程技術指南《信息技術開放系統(tǒng)互聯(lián)開放系統(tǒng)安全框架18794《信息技術開放系統(tǒng)互聯(lián)通用高層安全18237《電子計算機場地通用規(guī)范2887）《計算站場地安全要求）第14頁

《信息技術設備的安全）《信息技術開放系統(tǒng)互連基本參考模型9387）《信息技術安全技術15843）《路由器安全技術要求18018）《電子計算機機房設計規(guī)范《綜合布線系統(tǒng)工程設計規(guī)范《以太網(wǎng)交換機技術要求1099）《以太網(wǎng)交換機測試方法1141）《H.323網(wǎng)絡安全技術要求1701）《防火墻設備測試方法1707）《信息系統(tǒng)安全等級保護基本要求22239—2008）《<信息安全等級保護商用密碼管理辦法>實施意見》(國密碼局發(fā)﹝2009﹞10號)《信息安全等級保護管理辦法》公通字﹝2007﹞43號）信息安全風險評估規(guī)范（GB/T20984-2007《互聯(lián)網(wǎng)安全保護技術措施規(guī)定令第號）第15頁

五、建設目標本項目網(wǎng)絡安全系統(tǒng)建設目標是某縣級醫(yī)院信息安全等級保護整改報告對兩個重要業(yè)務系統(tǒng)的測評體現(xiàn)出的問題某縣級醫(yī)院原有網(wǎng)絡進行改造及完善技術上建立安全可靠的網(wǎng)絡防御體系足等級保護二級的建設要求所要求的網(wǎng)絡安全、主機安全、數(shù)據(jù)安全、應用安全等。通過為滿足物理安全、網(wǎng)絡安全、主機安全、數(shù)據(jù)安全、應用安全五個方面基本技術要求進行技術體系建設縣級醫(yī)院系統(tǒng)的網(wǎng)絡安全建設方案最終既可以滿足等級保護的相關要求能夠全方面為某縣級醫(yī)院系統(tǒng)提供立體深的安全保障防御體系，保證信息系統(tǒng)整體的安全保護能力。第16頁

六、醫(yī)院網(wǎng)絡全防護系設計方案1.設計方案明通過結合某縣級醫(yī)院網(wǎng)絡現(xiàn)狀以級醫(yī)院信息安全等級保護整改報告》中的建議，同時依據(jù)《信息安全-信息系統(tǒng)安全等級保護基本要求》中對信息安全等級保護二級的基本要求醫(yī)院網(wǎng)絡的等保差距分析以及安全需求分析，本次的設計方案分別從技術方面以及管理制度方面進行設計成一套立體、完整主控的安全防護體系醫(yī)院的網(wǎng)絡防護體系通過二級等保的測評提供有力的支撐。此外，在本次方案設計中，還將包含對醫(yī)院網(wǎng)絡管理部門的培訓計劃規(guī)劃，只有具備足夠的安全技術人才，才能真正的為醫(yī)院網(wǎng)絡的安全提供足夠的保障。如果只是建立安全防護體系專業(yè)的安全技術人員對安全防護體系進行運維和管理么再完善的安全防護體系也只會淪為空殼法真正的發(fā)揮其安全防護的作用比如打造出足夠鋒利的寶劍沒有高明的劍客終也只會讓寶劍蒙塵。第17頁

2.安全體系計拓撲本次規(guī)劃中，某縣級醫(yī)院最終的整體網(wǎng)絡安全防護體系的規(guī)劃架構如下：3.網(wǎng)絡安全計某縣級醫(yī)院的安全規(guī)劃中最終劃分7區(qū)域界接入、DMZ、數(shù)據(jù)中心、核心交換、運維管理、終端接入及備份存儲。3.1界接入：原來的某縣級醫(yī)院在網(wǎng)絡邊界只部署了一臺防火墻們在原有的基礎上增加了入侵防御設備，與防火墻形成聯(lián)動，雙管齊下來確保網(wǎng)絡邊界安全。3.2DMZ區(qū)：原來的某縣級醫(yī)院將對外應用系統(tǒng)和其他業(yè)務系統(tǒng)放在一起樣的布局會增加業(yè)務系統(tǒng)被攻擊的缺點，除此之外，一旦對外應用系統(tǒng)遭受攻擊，其他業(yè)務系統(tǒng)也會受到影響進而影響業(yè)務?，F(xiàn)如今將對外應用系統(tǒng)單獨放在第18頁

區(qū)，而且部署了應用防火墻。除了針對對外應用服務能配置更合適的策略之外，還避免了“一點失守，全城失守”的境遇。3.3據(jù)中心我們把數(shù)據(jù)中心單獨劃分一個區(qū)域后通過網(wǎng)閘制定嚴格的數(shù)據(jù)訪問控制策略來保證互聯(lián)網(wǎng)用戶對相關業(yè)務數(shù)據(jù)的訪問此同時網(wǎng)的核心交換鏈接數(shù)據(jù)中心過部署數(shù)據(jù)庫審計防統(tǒng)方系統(tǒng)來對操作用戶行為進行跟蹤記錄此之外，我們還規(guī)劃部署了網(wǎng)絡版防病毒軟件。另外，我們還規(guī)劃建立運維管理區(qū)及數(shù)據(jù)備份區(qū)，運維管理區(qū)的職能主要是對整體網(wǎng)絡（包括內(nèi)、外網(wǎng)）進行運維管理，其主要組成是：數(shù)據(jù)庫審計設備、網(wǎng)絡版防病毒系統(tǒng)、堡壘機及桌面管理系統(tǒng)，進而從數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡及終端四個層面進行運維及管控，實現(xiàn)快速響應、高效管理、全面保障的效果；結合醫(yī)院的實際情況置一臺備份一體機對數(shù)據(jù)進行定期的備份一定程度上保證業(yè)務系統(tǒng)的安全運行。4.物安全設計醫(yī)院網(wǎng)絡的物理安全方案中主要從物理訪問控制和消防設備完善兩方面進行著手理訪問控制主要通過機房人員進出制度的制定與執(zhí)行來實現(xiàn)防設備的完善主要是防火的安全設備的完善這一方面議在機房固定位置布置滅火器等消防設備。5.主及應用安全計主機和應用的安全設計是本次方案設計的重點設計部分對醫(yī)院當前網(wǎng)絡的等保差距分析及安全需求分析可知院當前網(wǎng)絡防護體系主機及應用安全防護層面上存在較多問題，包括主機身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、應用系統(tǒng)身份鑒別等。針對這些問題，在本次設計規(guī)劃中要通過修改配置以及增加部署設備兩個維度實現(xiàn)對醫(yī)院網(wǎng)絡的主機及應用安全的加固。5.1份鑒別計主機身份鑒別統(tǒng)身份鑒別的問題主要通過對網(wǎng)絡中安全設備的配置的修改來解決服務器和應用系統(tǒng)上修改用戶權限和登錄密碼的復雜度要第19頁

求來實現(xiàn)等保中關于主機身份鑒別以及應用系統(tǒng)的身份鑒別的要求先對服務器主機及應用系統(tǒng)分別設置多級管理員同管理員權限不同中超級管理員應為醫(yī)院信息科主要負責人或者信息科負責人指定的管理人員理人員所擁有的管理權限應當根據(jù)其職責進行劃分次于管理員賬號所對應的密碼應當有復雜度要求如要求密碼至少由數(shù)字大/小寫字母組成不允許設置為123456、888888、abc123等弱密碼。5.2問控制計醫(yī)院網(wǎng)絡中于訪問控制的設計主要是通過部署防火墻設備面管理系統(tǒng)來實現(xiàn)的。在醫(yī)院內(nèi)網(wǎng)的業(yè)務外聯(lián)區(qū)部署邊界防火墻，實現(xiàn)外聯(lián)專線和醫(yī)院內(nèi)網(wǎng)用戶、業(yè)務通信的訪問控制。在數(shù)據(jù)中心邊界部署入侵防御系統(tǒng)侵防御系統(tǒng)的訪問控制策略實現(xiàn)醫(yī)院內(nèi)網(wǎng)用戶對業(yè)務的訪問控制。內(nèi)外網(wǎng)邊界的安全數(shù)據(jù)交換系隔離網(wǎng)閘能起到訪問控制的作用過策略的設置，可以實現(xiàn)外網(wǎng)辦公區(qū)用戶對內(nèi)網(wǎng)用戶和內(nèi)網(wǎng)業(yè)務的訪問控制。在服務器主機和醫(yī)院終端上部署桌面管理、網(wǎng)絡版防病毒軟件。其中，桌面運維的功能模塊中的網(wǎng)絡準入策略可以從主機層面上實現(xiàn)訪問控制。5.3侵防范計醫(yī)院網(wǎng)絡的入侵防范功能主要通過防火墻設備的功能模塊以及入侵防御系統(tǒng)來實現(xiàn)的中心邊界部署的入侵防御系統(tǒng)可以針對來自區(qū)域外部的入侵流量進行檢測和防御，從而為數(shù)據(jù)中心的服務器及業(yè)務系統(tǒng)提供更全面的保護。第20頁

6.安管理設計除了采用信息安全技術措施控制信息安全威脅外規(guī)劃更全面的安全管理措施也是必不可少的賴技術通過管理來共同構建全面效的信息安全保障體系。根據(jù)等級保護要求，從管理角度可以提出如下設計：圖：管理架構設計包含：安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理等5大方面。第21頁

6.1全管理度醫(yī)院在領導小組的負責下關管理人員制定和發(fā)布信安全工作的總體方針、政策，說明信息安全工作的總體目標、范圍、方針、原則和責任，形成由安全策略、管理制度、操作規(guī)程等構成的全面的信息安全管理制度體系。表：安全管理制度要求等級保管理要求管理體系明細管理制度制定與發(fā)布評審與修訂6.2全管理構

等級保建議建設方制定信息安全工作的總體方針和安全策略，說明機構安全工作的總體目標、范圍則和安全框架等安全管理活動中的各類管理內(nèi)容建立安全管理制度理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程指定或授權專門的部門或人員負責安全管理制度的制定，具有統(tǒng)一的格式，并進行版本控制過黨委會議等正式、有效的方式發(fā)布信息安全領導小組每年至少組織一次安全管理制度體系的合理性和適用性審定在不足或需要改進的安全管理制度進行修訂為了加強醫(yī)院的網(wǎng)絡安全管理據(jù)等級保護要求求成立信息安全管理領導小組，包括：信息安全領導小組組長、信息安全領導小組副組長、小組成員等人，同時制定各自的崗位及職責。第22頁

表：安全管理機構等級保管理要求管理體系明細崗位設置人員配備安全管理機構授權與審批溝通與合作審核與檢查

等級保建議建設方成立指導和管理信息安全工作的委員會或領導小組高領導由單位主管領導委任或授權立安全主管全管理各個方面的負責人崗位義各負責人的職責立系統(tǒng)管理員絡管理員全管理員等崗位定義各個工作崗位的職責配備一定數(shù)量的系統(tǒng)管理員管理員、安全管理員等針對系統(tǒng)變更要操作理訪問和系統(tǒng)接入等事項建立審批程序?qū)徟绦驁?zhí)行審批過程要活動建立逐級審批制度應加強與兄弟單位安機關信運營商電部門行等單位和部門的合作與溝通供應商家、專業(yè)的安全公司組織的合作與溝通制定安全檢查表格實施安全檢查安全檢查數(shù)據(jù)成安全檢查報告對安全檢查結果進行通報安全檢查應至少每季度一次第23頁

6.3員安全理表：人員安全管理等級保管理要求管理體系明細

等級保建議建設方人員安全管理6.4統(tǒng)建設理

人員錄用人員離崗人員考核教育培訓外部人員訪問管理

嚴格規(guī)范人員錄用過程錄用人的身份景業(yè)資格和資質(zhì)等進行審查，對其所具有的技術技能進行考核辦理嚴格的調(diào)離手續(xù)崗位人員離崗須承諾調(diào)離后的保密義務后方可離開對關鍵崗位的人員進行全面的安全審查和技能考核定期安全教育和培訓進行書面規(guī)定對不同崗位制定不同的培訓計劃對外部人員允許訪問的區(qū)域統(tǒng)備息等內(nèi)容應進行書面的規(guī)定按照規(guī)定執(zhí)行表：系統(tǒng)建設管理等級保管理要求管理體系明細系統(tǒng)定級、安全方案設計、產(chǎn)品

等級保建議建設方采購和實用、軟件開發(fā)、外包軟系統(tǒng)建設管理件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)備案級測評、安全服務商選擇

尋找專業(yè)機構進行系統(tǒng)頂級并找相關機構備案指定專人進行系統(tǒng)方案設計制定工程實施管理制度第24頁

6.5統(tǒng)運維理表：系統(tǒng)運維管理等級保管理要求管理體系明細

等級保建議建設方環(huán)境管理、資產(chǎn)

辦公電腦安全管理辦法(試行管理質(zhì)管理、病毒防御管理辦法(試行)設備管理、網(wǎng)絡安全管理、系統(tǒng)安全管理、惡意系統(tǒng)運維管理代碼防范管理、密碼管理、變更管理、備份與恢復管理、安全事件處理、應用預案管理

第三方和外包人員安全管理辦法試行)電子郵件安全管理辦法(試行訪問控制安全管理規(guī)范(試行通信與操作安全管理規(guī)范(試行物理與環(huán)境安全管理規(guī)范(試行系統(tǒng)監(jiān)控管理辦法(試行)信息安全事件管理規(guī)范(試行移動介質(zhì)管理辦法(試行)第25頁

7.安培訓設計在本次安全防護體系的設計中將會包含安全培訓的內(nèi)容。其中，安全培訓主要包含兩部分：第一，在安全防護體系建設完成后，將會針對醫(yī)院的網(wǎng)絡管理人員進行至少兩次的產(chǎn)品操作培訓，確保防護體系中的設備日常的正常運維與管理。第二，除了提供產(chǎn)品方面培訓，還將對醫(yī)院信息科部分管理人員進行重點安全培訓終培養(yǎng)出具備專業(yè)素質(zhì)的安全技術人員醫(yī)院的網(wǎng)絡安全提供更好的運維和服務。提供每年一次的安全意識培訓，全院安全意識培訓、網(wǎng)絡安全法培訓。本次安全培訓設計中的內(nèi)容主要針對第一部分進行設計要的原因是隨著信息化的全面縱深發(fā)展統(tǒng)信息安全保障已成為信息安全保障工作的重要一環(huán)位對信息系統(tǒng)的依賴程度及系統(tǒng)安全運行需求的日益提升信息系統(tǒng)管理及運行人員的信息安全保障技術能力和綜合素質(zhì)也提出了更高的要求。培訓目的：1.向客戶闡述基礎黑客入侵方法的原理，分析當前業(yè)務系統(tǒng)存在的風險；2.向客戶闡述清楚防火墻針對這些攻擊的防御功能和價值；3.掌握當前其他安全產(chǎn)品的基礎功能。第26頁

8.安全服務設計根據(jù)等保條例的要求要聘請專業(yè)的安全服務公司為信息系統(tǒng)安全保駕護航一步加強某縣級醫(yī)院信息安全管理工作盾信息安全技術有限公司配合醫(yī)院中華人民共和國網(wǎng)絡安全法公室關于開展全省醫(yī)療衛(wèi)生機構網(wǎng)絡與信息安全專項整治行動的通知函【】401號）的要求特制定以下安全服務方案。8.1工作目以上述法律法規(guī)及通知文件為基準過定期開展信息安全自查面掌握某縣級醫(yī)院的信息安全現(xiàn)狀，查找安全隱患，堵塞安全漏洞，完善安全措施，降低安全風險高安全事件應急處置能力障某縣級醫(yī)院信息系統(tǒng)及網(wǎng)站的安全運行。8.2服務范和對象信息安全服務的范圍和對象包括：某縣級醫(yī)院運行管理的門戶網(wǎng)站及其業(yè)務系統(tǒng)、配套設備設施。8.3工作內(nèi)及安排根據(jù)上述法律法規(guī)及通知文件的要求醫(yī)院將本年度信息安全工作劃分為以下二類：信息安全自查：包括聯(lián)合檢查指標自查、主機服務器、網(wǎng)絡設備、網(wǎng)站、信息系統(tǒng)等安全隱患排查、自查總結、信息安全制度修訂與落實。信息安全專項工作：包括風險自評估、等級保護咨詢、應急響應機制建設、信息安全培訓。1.信息安全自查信息安全自查工作包括：聯(lián)合檢查指標自查、主機服務器、網(wǎng)絡設備、網(wǎng)站、信息系統(tǒng)等安全隱患排查查總結息安全制度修訂及落實項工作內(nèi)容如下：聯(lián)合檢查指標自查和自查總結資料采集；第27頁

每個季度對本單位網(wǎng)站、信息系統(tǒng)C/S架構除外）進行應用層掃描，并協(xié)助開發(fā)人員對發(fā)現(xiàn)的高、中漏洞進行整改，同時對本單位內(nèi)、外網(wǎng)服務器、計算機終端進行漏洞掃描，對發(fā)現(xiàn)的高、中漏洞進行整改，并及時完成上報工作；完成信息安全制度修訂及落實；完成聯(lián)合檢查自查總結報告；提交聯(lián)合檢查自查報告。2.信息安全專項工作根據(jù)上述法律法規(guī)及通知文件的要求縣級醫(yī)院本年度將開展風險自評估級保護測評、應急響應機制建設、信息安全培訓、滲透測試、終端安全檢查等工作；3.風險自評估風險評估服務可幫助用戶了解自身網(wǎng)絡信息系統(tǒng)的安全狀況通過資產(chǎn)重要性分析明確需要重點保護的資產(chǎn)信息;通過系統(tǒng)弱點分析、威脅分析、安全措施的有效性分析確定各項資產(chǎn)所面臨的真實安全威脅問題。由于風險評估的流程復雜、技術難度大、歷時久、周期長等問題，嚴重困擾著行業(yè)用戶風險評估工作的實施。因此，開展針對性強、自動化、模塊化的風險評估工具是未來風險評估服務發(fā)展的主要方向可以降低風險評估的難度升風險評估的效率障風險評估的準確性便于用戶實施網(wǎng)絡信息系統(tǒng)的自評估工作，降低風險管理成本。我司會派信息安全風險評估小組對甲方的業(yè)務系統(tǒng)及系統(tǒng)設境介質(zhì)等方面脅性及三者發(fā)生的可能性進行評估。它是確認安全風險及其大小的過程利用定性或定量的方法助于風險評估工具定信息資產(chǎn)的風險等級和優(yōu)先風險控制行風險評價定風險處置計劃到的目的是讓客戶對系統(tǒng)的安全狀況及可能發(fā)生的安全事件做到胸有有數(shù)。第28頁

4.等級保護測評咨詢服務甲方向等保測評機構提出測評申請助提交信息系統(tǒng)的等保測評調(diào)研資料；協(xié)助甲方按信息安全主管部門要求完成等級保護其它相關工保測評報告分析和等保整改方案編寫等級保護定級、備案藍盾咨詢顧問協(xié)助用戶單位，依據(jù)《信息系統(tǒng)安全等級保護定級指南息系統(tǒng)的安全保護等級備定級備案表和定級報告助用戶單位向所在地區(qū)的公安機關辦理備案手續(xù)。差距評估通過等級差距分析以明確客戶信息系統(tǒng)的現(xiàn)狀定不符合安全項確安全建設需求照國家等級保護過程指南及測評要求以下幾個方面開展評估工作：整理差距分析表藍盾咨詢顧問根據(jù)與客戶確認的計劃現(xiàn)場檢查測試前的準備要包括準備差距分析表，明確現(xiàn)場訪談的對象（部門和人員應的網(wǎng)絡設備、安全設備和主機設備的配置檢查表和相關測試工具。在整理差距分析表時詢顧問會根據(jù)系統(tǒng)所確定的安全等級從基本要求中選擇相應等級的基本安全要求戶信息系統(tǒng)分析結果及風險評估的結果進行調(diào)整用項滿足客戶信息系統(tǒng)需求的安全要求，差距分析表包括安全技術理兩個方面內(nèi)容分析系統(tǒng)現(xiàn)有的安全措施和安全要求之間的差距，根據(jù)這些差距提出安全建議：安全技術差距分析安全管理差距分析現(xiàn)場差距分析現(xiàn)場差距分析階段盾咨詢顧問依據(jù)差距分析表中的各項安全要求比現(xiàn)狀和安全要求之間的差距定不滿足要求的安全項場工作階段盾咨詢顧問可分為管理檢查組和技術檢查組，在客戶方人員的配合下，分工如下：管理檢查組負責安全管理和物理安全類文檔資料分析、現(xiàn)場訪談、現(xiàn)場檢查，并填寫差距分析表的相關部分；第29頁

技術檢查組負責安全技術類文檔分析場訪談場檢查填寫差距分析表的相關部分。在差距分析階段以通過以下方式收集信息細了解客戶信息系統(tǒng)現(xiàn)狀通過分析所收集的資料／數(shù)據(jù)客戶信息系統(tǒng)的建設是否符合該等級的安全要求，需要進行哪些方面的整改和安全建設。查看制度和記錄為了獲取和分析業(yè)務系統(tǒng)現(xiàn)有的安全控制措施要查看安全策略文例如政策法規(guī)、指導性文檔度（例如運維管理規(guī)定、機房管理制度等）和其它相關文檔（例如定級報告）等。人員訪談藍盾咨詢顧問與客戶組織內(nèi)有關的管理術和一般員工進行逐個溝通據(jù)客戶的回答得相應信息可驗證之前收集到的資料而提高其準確度和完整性。通過訪談管理和技術人員，項目組成員可以收集到業(yè)務系統(tǒng)相關的物理、環(huán)境、安全組織結構作習慣等大量有用的信息可以了解到被訪談者的安全意識和安全技能等自身素質(zhì)于訪談的互動性同于調(diào)查表目組成員可以廣泛提問，從多個角度獲得多方面的信息。現(xiàn)場檢查藍盾咨詢顧問也可對客戶辦公環(huán)境和機房內(nèi)設備作現(xiàn)場檢查人員的行為或環(huán)境狀況，觀察制度的執(zhí)行情況及技術要求落實情況。根據(jù)現(xiàn)場勘查的結果，獲得相應咨詢信息。與醫(yī)院溝通、確認現(xiàn)場記錄在差距分析階段盾咨詢顧問如實記錄通過文檔檢查場訪談和現(xiàn)場檢查獲得的信息系統(tǒng)現(xiàn)狀相關人員溝通記錄的準確性。生成差距分析報告藍盾咨詢顧問歸納整理析現(xiàn)場記錄出目前信息系統(tǒng)與等級保護安全要求之間的差距，生成等級保護差距分析報告。第30頁

整改方案設計藍盾咨詢顧問參考國家標信息系統(tǒng)安全等級保護基本要求信息系統(tǒng)等級保護安全設計技術要求距分析的結論，在與客戶充分溝通后，結合客戶實際情況，給出專家級的安全整改和建議方案。在整改建議方案中詢顧問會對第一級至第五級信息系統(tǒng)安全保護環(huán)境的各個方面提出整改方案中會從技術和安全管理制度兩個方面提出整改需求提出整改方案對應表對應表中將每一項等保要求與保護措施的對應起來，是等保整改建議方案的概括與總結。整改建設藍盾咨詢顧問根據(jù)安全整改方案合用戶的實際需求藍盾集成團隊協(xié)助用戶完成設備的選型、采購、安裝、策略配置等活動，協(xié)助用戶搭建完善的技術防護系統(tǒng)和安全管理體系予信息系統(tǒng)響應的級別防護障系統(tǒng)業(yè)務的安全穩(wěn)定運行。驗收測評藍盾咨詢顧問協(xié)助用戶單位選擇第三方測評機構息系統(tǒng)等級保護驗收測評工作，保障通過等級保護驗收測評。定期評估測評通過后據(jù)國家相關要求要定期對信息系統(tǒng)安全狀況全保護制度及措施的落實情況進行評估三級信息系統(tǒng)每年至少進行一次評估四級信息系統(tǒng)每半年至少進行一次評估測評通過后據(jù)客戶需求及系統(tǒng)業(yè)務的實際情況盾可定期為客戶提供信息系統(tǒng)評估服務保信息系統(tǒng)長期處于一種動態(tài)、合規(guī)的安全運行狀態(tài)中。5.應急響應機制建設根據(jù)市經(jīng)貿(mào)信息委關于印深圳市網(wǎng)絡與信息安全突發(fā)事件應急預案通知要求，對應急預案進行修訂，并制定應急預案演練方案。6.信息安全意識培訓根據(jù)法律法規(guī)及通知文件的要求醫(yī)院制定全員信息安全培訓方案和計劃，開發(fā)培訓教案；開展信息安全意識培訓。第31頁

第32頁

8.4工作要（一）高度重視，嚴格落實。各責任方應按照時間安排和工作要求抓好落實。（二）夯實基礎，強化監(jiān)控。信息安全工作是一項長期工作，要注重專項工作和安全自查工作相結合。在做好風險評估、等級保護和新技術手段實施等專項工作的同時，還應重視加強對網(wǎng)站、業(yè)務系統(tǒng)、終端設備的日常監(jiān)控，避免發(fā)生各類扣分情況。（三）提升意識，安全使用。人的因素是信息安全的重要環(huán)節(jié)，要加強防控人為原因而產(chǎn)生的信息安全風險。各信息系統(tǒng)使用方必須嚴格執(zhí)行某縣級醫(yī)院信息安全管理有關制度、規(guī)定，嚴格按規(guī)范操作和使用信息化設備。要配合某縣級醫(yī)院信息化部門做好信息安全自