華為醫療等級保護方案是華為通過對醫療業務安全現狀客觀的評價，深入分析醫療客戶業務的安全性，并結合醫療客戶實際需求制定的等級保護定級、整改和安全建設方案。

業務挑戰

隨著醫院信息化水平的提高，正逐步建立統一高效、資源整合、互聯互通、信息共享、透明公開、使用便捷的醫院信息系統。而我國各大醫院在醫院信息化發展過程中，業務系統面臨的安全威脅也日益增長。如：因網絡訪問控制和終端準入控制不力導致的對核心業務的威脅；醫院的統計信息、孕婦新生兒信息被打包出售等較為惡性的數據安全事件；由于蠕蟲、病毒的入侵導致的系統故障等信息安全事件等。同時，隨著醫療改革的逐步深入，醫保卡的使用使得醫療機構與銀行、社保等機構需要更多的數據交換及實時結算。在這種情況下，如何保證信息安全是醫院信息化建設必須解決的關鍵問題之一。因此，按照等級保護要求進行符合國家及行業政策規范的信息安全體系建設，符合醫院信息化建設的根本利益。

政策驅動

信息安全等級保護制度是國家在國民經濟和社會信息化的發展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化建設健康發展的一項基本制度增長。

為貫徹落實國家信息安全等級保護制度，規范和指導全國衛生行業信息安全等級保護工作，按照公安部《關于開展信息安全等級保護安全建設整改工作的指導意見》（公信安〔2009〕1429號）要求，國家衛生部結合衛生行業實際，研究制定了《衛生行業信息安全等級保護工作的指導意見》（衛辦發〔2011〕85號）。意見指出，國家、省、地市三級衛生信息平臺的安全保護等級原則上不低于3級。

解決方案

華為長期密切跟蹤國家等級保護相關政策，參與了等級保護標準制定與研討、國家項目等多項相關工作，熟悉各行業的安全需求和特點，熟悉等級保護的具體要求。通過深入分析用戶業務的安全性，對用戶的業務安全現狀進行客觀的評價，結合用戶需求，制定等級保護定級方案、整改和安全建設方案。方案內容如下（圖1：系統設計）：

圖1：系統設計

等級保護服務方案

《信息系統安全等級保護基本要求》（GB/T22239-2008）中，為基本技術要求和基本管理要求兩大類，其中技術要求主要包括身份鑒別、自主訪問控制、強制訪問控制、安全審計、完整性和保密性保護、邊界防護、惡意代碼防范、密碼技術應用等，以及物理環境和設施安全保護要求。

物理安全要求中，主要包括了物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護等10個方面，比較全面地提出了在物理安全方面的基本安全要求。

網絡安全要求中，主要包括結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網絡設備防護等7個方面，主要涉及業務處理能力冗余、技術隔離、訪問控制、日志審計及報表、私自內聯與外聯、入侵檢測與防范、惡意代碼防范與系統升級更新、設備訪問的身份認證等方面。

主機安全要求中，主要包括身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范、資源控制等7個方面，主要考慮了主機、操作系統、數據庫系統的各種安全防護措施。

應用安全要求包括身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等9個方面，以保障應用系統的安全。

數據安全及備份恢復要求，主要包括數據完整性、數據保密性、備份和恢復等3個方面，通過采用加密、數據備份等手段，保障數據安全。

華為自憑借對等級保護的理解和豐富的咨詢實力，能夠提供端到端的等級保護方案，內容如下：

等級保護產品方案

華為具備完善的安全產品，滿足等級保護技術層面的端到端安全，安全產品解決方案如圖2所示，通過在網絡層部署防火墻和IPS設備滿足入侵防范的等級保護要求，通過部署運維審計和數據庫審計系統來滿足等級保護對審計方面的要求。

圖2：網絡拓撲圖