蚌埠市第三人民医院网络及安全建设项目方案征集提纲
ahbbsyxxk2023@163.com
截止时间2023年11月12日17:00。
资料要求:
1、公司针对本次事项的法定代表人证书或委托代理人授权书;
2、方案内容应包括在公示需求提纲基础上的深化设计方案。设备数量清单、技术参数。资金预算。
联系人:吴老师
电子邮箱:ahbbsyxxk2023@163.com
一、项目概况
1、项目名称:蚌埠市第三人民医院网络及安全建设项目
2、项目法人:蚌埠市第三人民医院
3、建设地点:蚌埠市蚌山区胜利中路38号
4、建设内容:根据国家卫生健康委、国家中医药局、国家疾控局联合印发的《医疗卫生机构网络安全管理办法》,要求对重点保障关键信息基础设施、网络安全等级保护第三级及以上网络以及重要数据和个人信息安全。结合蚌埠市第三人民医院已建信息系统的实际需要,按照“一个中心(安全管理中心),三重防护(安全通信网络、安全区域边界、安全计算环境)”的要求,制定符合网络安全保护等级要求的整体规划和建设方案,加强信息系统自行开发或外包开发过程中的安全管理,认真开展网络安全建设,全面落实安全保护措施。
1、项目建设标准
根据国家等级保护管理办法规定,结合蚌埠市智慧医疗云建设项目的安全建设内容,同时考虑到医院信息安全特点和安全建设需求,在分析总结后,发现安全管理中心,三重防护(安全通信网络、安全区域边界、安全计算环境)还存在一定的不足,为了落实网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施。重点保障关键信息基础设施、网络安全等级保护第三级(以下简称第三级)及以上网络以及重要数据和个人信息安全。需进一步完善医院信息系统的安全防护工作,从而提升医院信息安全管理水平。
根据《基本医疗卫生与健康促进法》《网络安全法》《密码法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》以及网络安全等级保护制度等有关法律法规标准,通过安全物理环境、安全通讯网络、安全区域边界、安全计算环境、安全管理等方面基本技术要求进行技术体系建设;使得蚌埠市第三人民医院网络系统的等级保护建设方案最终既可以满足等级保护第三级的相关要求,又能够全方面为蚌埠市第三人民医院的业务系统提供立体、纵深的安全保障防御体系,保证信息系统整体的安全保护能力。
2、相关参考依据:
《全国医院信息化建设标准与规范(试行)》国卫办规划发〔2018〕4号
《医疗卫生机构网络安全管理办法》国卫规划发〔2022〕29号
《“十四五”卫生健康标准化工作规划》
《国家医疗保障局关于加强网络安全和数据保护工作的指导意见》医保发〔2021〕23号
《医疗卫生机构网络安全管理办法》国卫规划发〔2022〕29号
《中华人民共和国网络安全法》
《信息安全等级保护管理办法》(公通字[2007]43号)
《国家卫生信息资源使用管理规范》WS/T788-2021
《信息安全技术网络安全等级保护基本要求》 (GB/T *****查看详情-2019)
《信息安全技术网络安全等级保护定级指南》 (GB/T *****查看详情-2019)
《信息安全技术网络安全等级保护测评要求》 (GB/T *****查看详情-2019)
《信息安全技术网络安全等级保护安全设计技术要求》 (GB/T *****查看详情-2019)
二、建设内容
基于高可用网络架构的院区基础传输网建设
考虑院区稳定运行与近10年的扩展性,避免由于现有网络单点核心引发全院网络故障的风险,基于现有院区地理结构的特点,建设一个以环形网络为拓扑的分布式核心传输网络。该网络将替代现有单点互联的传统网络,承载全院所有生产、办公、安全等各类数据的传输。彻底解决网络传输路径单一、设备单冗余、业务出路过于集中、院区业务改造带来的网络拓扑变更等问题,实例拓扑如下:
注:此拓扑仅供参考,请各方案提供方发挥优势,提供更优的解决方案。
该网络不仅提供院内楼宇各现有接入交换不出楼即可接入核心的便捷,同时在老门诊机房和行政楼机房各建设主备网络出口,实现各类业务高可用。
各类安全平台主备设备可分别安装在主备信息机房的网络出口,全网采用100G主干环网,40G支点接入、10G到楼层,1G/10G到桌面,大幅度提高全院基础网络的承载能力,为未来10年的医院信息化夯实网络基础。
内外网安全隔离系统
互联网业务逐渐开展之后,内网越来越多和互联网进行数据交互,如何保障内网数据和外网之间传输的安全性是医院重点考虑的因素。在内外网之间部署隔离网闸,通过点对点映射的方式实现内外网之间的安全隔离,只允许明确的业务之间的访问通过,实现内网地址的隐藏,避免黑客攻陷DMZ区后直接获取内网IP资产信息。
业务系统安全防护
核心业务区属于医院核心对医院网络情况进行梳理,根据不同业务系统的安全性需求对网络初步划分安全区域,构建内网业务区域安全边界,保护核心业务系统的安全。
互联网出口安全防护
医院对外开放微信挂号、线上门诊、互联网医院服务等,保存了重要敏感业务数据,容易成为不法分子攻击对象,而由于及时性要求,医院难以保障业务系统、应用漏洞及时修补,存在被入侵而导致数据被破坏或窃取的风险。在互联网出口部署下一代防火墙、入侵防御系统、防病毒网关和上网行为管理,实现上网可视可控,感知互联网风险。满足安全合规管理的要求,提升IT运维效率和IT价值,提升医护人员上网体验。
对外业务发布区安全防护
在DMZ区部署WAF,防范应用层攻击、区域内部跳板攻击等,并具备事前的风险预知和时候的检测响应能力,实时分析业务漏洞、检测内部僵尸主机、防范敏感信息泄漏等。
安全运营中心
建立安全运营中心,实时监控网络安全状态。部署安全感知系统,建立安全运营中心,对网络流量进行持续检测,实现全网流量可视,及时发现潜伏威胁和内部攻击,调整策略动态防御,使医院网络具备真正的安全能力。
网络边界安全防护
中国采招网([bidcen ter.com.cn)
在专线出口部署下一代防火墙,下一代防火墙针对于应用层设计,可应对应用层高级威胁、防范应用层攻击、区域内部跳板攻击等,并具备事前的风险预知和时后的检测响应能力。
主机安全防护
部署终端安全管理系统,以资产为中心,对主机安全精准、持续的检测,并通过联动协同响应快速处置终端资产安全问题,构建终端检测响应平台。
物联网终端安全防护与管理
院区大量信息化终端,如医院的心电终端、CT、核磁共振等,因为业务原因,无法经常更新,且不能安装防杀毒软件,一旦出现病毒入侵,就会导致运行异常,甚至感染到其他设备。
随着5G专网的投入使用,医院物联设备的类型、品牌众多,安全策略复杂,采用传统网络安全产品部署成本及管理维护成本高;老旧主机、过时操作系统及专用软件迭代周期长,新型攻击及零日漏洞层出不穷,现有安全防护措施效率不足;大型医疗设备需要更有效的技术手段对供应商维护团队进行管控;
为了解决并强化入网设备的边界防护,提升网络安全管理的智能化程度,在保障现有医联网系统稳定性的基础上,改进安全管理的方式、提升安全防护的效果。
远程接入安全防护
部署零信任在网络中建立虚拟加密通道,医院可以利用此通道作为移动业务的入口,通过零信任加密传输和安全认证,让医护人员安全接入到医院内部系统,快速便捷实现远程办公远程运维等应用场景。
满足等保建设要求
标准等级保护建设应按照国家相关标准进行,需要满足更多的技术和管理规定。例如机房建设要求、网络安全要求、数据安全要求、终端安全要求等方面。
建设过程中需部署(包含但不限于)防护、审计、准入、态势检测、网络隔离等所需的设备或系统,建设完成后可平滑升级至等保四级相关要求。
全域驻场服务
以下描述仅供参考,方案设计方可根据自己的优势,增加服务内容。
安全巡检
应急响应
应急演练
安全通告
渗透测试
信息安全培训
应用系统上线前安全评估
重大节日及重要保障期安全保障
安全加固
配合完成信息中心的网络安全制度修订工作;
配合信息中心完成电子病历五级评级、互联互通测评、大型医院巡查、三甲复审等检查工作中涉及等级保护测评的工作。
配合信息中心完成上级主管部门关于等级保护的检查工作。
急外大楼智能化系统建设完成后对相关系统模块进行安全检查工作并给出具检查报告及安全整改建议。
注:以上服务驻场,建议方案提供方配备不少于4名具有相关能力的专业技术人员。
13、院区网络结构参考图
