等保医疗全国二级三乙三甲医院信息系统安全防护设备汇总Word文件下载.docx

等保医疗全国二级三乙三甲医院信息系统安全防护设备汇总Word文件下载.docx

《等保医疗全国二级三乙三甲医院信息系统安全防护设备汇总Word文件下载.docx》由会员分享，可在线阅读，更多相关《等保医疗全国二级三乙三甲医院信息系统安全防护设备汇总Word文件下载.docx（22页珍藏版）》请在冰豆网上搜索。

2.2

2.2.1网络安全审计

记录网络行为并进行审计和异常行为发现的专用安全设备。

1）对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。

2）审计记录包括事件的时间和日期、用户、事件类型、事件是否成功及其它与审计相关的信息。

3）能够对记录数据进行分析，生成审计报表。

●二级医院满足1）2）3）要求。

●三级乙等医院满足1）2）3）要求。

●三级甲等医院满足1）2）3）要求。

2.2.2数据库审计

监控数据库系统的用户操作日志、数据库活动、预警的专用设备。

1）具备数据库操作记录的查询、保护、备份、分析、审计、实时监控、风险报警和操作过程回放等功能。

2）支持监控中心报警、短信报警、邮件报警、Syslog报警等报警方式。

●二级医院满足1）2）要求。

●三级乙等医院满足1）2）要求。

2.2.3运维审计

数据中心运维操作审计及预警的专用设备。

1）具备资源授权、运维监控、运维操作审计、审计报表、违规操作实时告警与阻断、会话审计与回放等功能。

2）支持基于用户、运维协议、目标主机、运维时间段（年、月、日、时间）等授权策略组合。

3）支持运维用户、运维客户端地址、资源地址、协议、开始时间等实时监控信息项。

2.2.4主机安全审计

记录主机操作的审计设备。

1）支持重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要事件审计。

2）支持记录事件的日期、时间、类型、主体标识、客体标识和结果等。

2.3系统加固设备

2.3

2.3.1漏洞扫描设备：

检测与发现系统漏洞的专用设备。

1）具备资产管理、漏洞管理、扫描策略配置、漏洞扫描和报表管理等5项功能。

2）支持CVE、CNNVD、CNCVE、CNVD、BUGTRAQ等5种漏洞库编号，按照国家新发布的漏洞及时更新。

3）产品扫描信息支持主机信息、用户信息、服务信息、漏洞信息等4种内容。

4）支持扫描操作系统、网络设备、虚拟化设备、数据库、移动设备、应用系统等6类系统和设备。

5）支持主机探测、端口扫描、弱口令扫描、多主机扫描、多线程扫描、口令猜解等6种扫描方式。

6）支持SNMPtrap、邮件、短信、Syslog等4种告警方式。

●三级乙等医院推荐要求。

●三级甲等医院推荐要求。

2.3.2WEB漏洞扫描设备：

检测与发现医院WEB网站漏洞的专用设备。

1）具备资产管理、漏洞管理、扫描策略配置、漏洞扫描和报表管理等功能。

2）支持SQL注入、Cookie注入、跨站脚本攻击、敏感信息泄露等漏洞检测能力。

3）支持Cookie、Form、Basic、NTLM等登录认证方式。

4）支持SNMPtrap、邮件、短信、syslog等告警方式。

2.4数据加固设备

2.4

2.4.1网络防泄漏设备

网络防泄漏设备防止通过网络传输泄露敏感/关键信息的专用设备。

1）具备识别能力（协议识别、应用识别、文件识别、内容识别、异常行为识别）、响应能力、策略管理、报表与审计等4项功能。

2）支持HTTP、HTTPS、FTP、SMTP、POP3等5种协议识别。

3）支持识别加密文件、压缩文件、图片文件、非Windows文件、未知文件、自定义文件等6种文件类型。

4）支持文档多层嵌套方式逃避检测、文件多层压缩逃避检测、邮件密送、修改文件扩展名、图片嵌入敏感文档、拷贝文档部分内容泄露敏感信息、少量多次泄露敏感信息、文档页眉页脚隐藏敏感信息、敏感信息标识为隐藏段落等9种常见异常行为识别方式。

5）支持文件内容、发送者、接收者、文件特征、通讯协议等5种条件策略配置。

二级医院推荐要求。

三级乙等医院推荐要求。

三级甲等医院推荐要求。

2.4.2存储数据防泄漏设备

发现和处理存储系统敏感数据的专用防泄露设备。

1）具备敏感数据发现、发现的敏感数据展示、敏感数据隔离等3项功能。

2）支持在文件服务器、数据库、协作平台、Web站点、台式机、移动终端等6种系统的敏感数据发现。

3）支持非结构化数据指纹检测、结构化数据指纹检测、机器学习特征提取与检测、关键内容描述、正则、数据符等6种检测技术。

2.4.3数据库加密设备

加密医院数据库和发现数据库风险的专用设备。

1）具备系统管理、加解密引擎管理、数据库透明加密管理、数据库状态监控、数据库风险扫描等5项功能。

2）支持动态加解密、密文索引、多级密钥等技术。

2.4.4邮件加密设备

邮件加密和邮件服务器安全防护的专用设备。

1）具备邮件加密、安全防御、邮件传输代理、日志审计等4项功能。

2）支持附件加密、邮件替换、邮件附件备份、附件链接下载管理、防止机密信息外泄、第三方证书认证加密、网关-网关加密等7种邮件加密方式。

3）支持DNS反向解析、SMTP攻击防御、SMTP连接限制、SMTP字典攻击、SMTP密码防猜机制、POP攻击防御、IMAP攻击防御、DNS攻击防御等8种安全防御方式。

4）支持邮件中继控制、多台AD服务器轮询、SMTP认证控制、邮件交换、假冒Postmaster攻击防护等5种MTA功能。

2.5入侵防范设备

2.5

2.5.1入侵防御设备

对网络数据流量进行深度检测、实时分析，并对网络中的攻击行为进行主动防御的专用设备。

1）具备深层检测、内容识别、即时侦测、主动防御、无线攻击防御、抗拒绝服务、日志审计、身份认证等9项功能。

2）支持攻击行为记录（包括攻击源IP、攻击类型、攻击目的、攻击时间等）、协议分析、模式识别、异常流量监视、统计阀值、实时阻断攻击等6种入侵防御技术。

3）支持流量检测与清洗（流量型DDoS攻击防御、应用型DDoS攻击防御、DoS攻击防御、非法协议攻击防御、常用攻击工具防御等）、流量牵引和回注等2种抗拒绝服务技术。

●二级医院具备3项功能、支持2种入侵防御技术、支持2种抗拒绝服务技术。

●三级乙等医院具备4项功能、支持3种入侵防御技术、支持2种抗拒绝服务技术。

●三级甲等医院具备4项功能、支持3种入侵防御技术、支持2种抗拒绝服务技术。

2.5.2入侵检测设备

通过对网络上的数据包作为数据源，监听所保护网络内的所有数据包并进行分析，从而发现异常行为的入侵检测系统。

参照《信息安全技术网络入侵检测系统技术要求和测评方法》[GBT20275-2013]将网络入侵检测系统技术要求分为一级、二级、三级。

●二级医院满足一级要求。

●三级乙等医院满足二级要求。

●三级甲等医院满足三级要求。

2.5.3网络准入控制设备

屏蔽不安全的设备和人员接入网络，规范用户接入网络行为的专用设备。

1）具备网络准入身份认证、合规性健康检查、终端接入管理（包括：

PC、移动终端等）、用户管理、准入规则管理、高可用性、日志审计等7项功能。

2）支持pap、chap、md5、tls、peap等5种网络准入身份认证方法。

2.5.4防病毒网关设备：

病毒防御网关化的专业设备。

1）具备病毒过滤、内容过滤、反垃圾邮件、日志审计、身份认证、高可用等6项功能。

2）支持流杀毒、文件型杀毒、常用协议端口病毒扫描、IPv4和IPv6双协议栈的病毒过滤、病毒隔离等5种病毒过滤方法。

●二级医院具备3项功能。

支持3种病毒过滤方法。

●三级乙等医院具备5项功能。

支持4种病毒过滤方法。

●三级甲等医院具备5项功能。

2.5.5网络安全入侵防范

1）在网络边界处监视以下攻击行为：

端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；

2）当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。

2.5.6主机入侵防范

1）能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生入侵事件时提供报警。

2）能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。

2.5.7主机恶意代码防范

1）应用防恶意代码软件，及时更新防恶意代码软件板本和恶意代码库。

2）支持防恶意代码的统一管理。

2.5.8网页防篡改

用于医院保护网站文件，防止网站篡改。

1）具备网站攻击过滤、网站文件访问控制、网站安全校验、网站攻击事件告警、网站安全管理策略、网站备份、网站同步、网站自动恢复、网站服务器可靠性监测、网站审计日志等10项功能。

2）网站同步过程支持文件加密传输技术、完整性校验、文件检索、快速传输技术等4种技术。

●三级乙等医院具备6项功能、支持2种技术。

●三级甲等医院具备8项功能、支持3种技术。

2.6身份认证系统

2.6

2.6.1统一身份管理

对医院内所有应用实现统一的用户信息存储、认证和管理的系统。

1）具备单点登录、用户身份信息管理、用户管理规则库、用户访问权限设置、权限规则库、用户与权限的适配管理、系统审计、第三方应用系统接口调用获取权限等8项功能。

2）实现多业务系统的统一认证，支持数字证书、动态口令、静态口令、Windows域认证、通行码认证、指纹认证、人脸识别等7种认证方式。

●三级乙等医院具备5项功能、支持2种认证方式。

●三级甲等医院具备6项功能、支持4种认证方式。

2.6.2电子认证服务

用于发放并管理所有参与医院网上业务的实体所需的数字证书。

1）具备数字证书的申请、审核、签发、查询、发布、证书吊销列表的签发、查询、发布等8项数字证书全生命周期管理功能。

2）支持国密系列标准。

3）支持交叉认证、数据备份/恢复、日志审计管理等3项系统管理功能。

2.6.3用户身份鉴别

数据中心服务器操作系统和数据库管理系统提供鉴别机制，保证用户身份安全可信，支持用户标识和用户鉴别。

1）支持受控的口令或具有相应安全强度的其他机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。

2）支持两种或两种以上的组合机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。

●二级医院满足1）要求。

2.6.4个人隐私保护

患者隐私数据存储于数据库，具备隐私数据（敏感）数据防泄露能力。

1）具备隐私数据字段级加密保护功能，并能提供第三方服务接口，支持动态脱敏和动态加密数据保护功能。

2）支持代理、网关和混合接入方式，基于安全等级标记的数据标签技术和双机热备功能，保障连续服务能力。

2.6.5网络设备身份鉴别

1）支持登录网络设备的用户进行身份、地址、标识进行管理。

2）支持两种或以上组合的鉴别技术进行身份鉴别。

3）支持口令复杂度、定期更换、失败处理、结束会话、限制非法登录次数、登录连接超时自动退等6项安全功能。

2.6.6主机身份鉴别

1）对登录操作系统和数据库系统的用户进行身份标识和鉴别。

2.7访问控制系统

2.7

2.7.1上网行为管理

用于医院互联网的安全管理。

1）具备上网人员管理、上网浏览管理、上网外发管理、上网应用管理、上网流量管理、上网行为分析、上网隐私保护、风险集中告警等8项功能。

2）支持IP/MAC识别方式、用户名/密码认证方式、与已有认证系统的联合单点登录方式等3种上网人员身份管理方式。

3）支持对主流即时通讯软件外发内容的关键字识别、记录、阻断等3项操作。

●三级乙等医院具备5项功能、支持2种身份管理方式、外发内容管理支持2项操作。

●三级甲等医院具备6项功能、支持2种身份管理方式、外发内容管理支持3项操作。

2.7.2虚拟化安全防护

提供虚拟化网络边界防护的专用软件防火墙。

1）具备访问控制、入侵防范、病毒过滤、应用识别、抗拒绝服务、网络防护、日志审计、身份认证等8项功能。

2）支持网络访问控制、权限控制、目录级安全控制、属性安全控制、服务器安全控制等5种访问控制方法。

2.8安全管理系统

2.8

2.8.1文档安全管理

用于医院核心信息资产有意或无意泄露防护的管理系统。

1）具备文档加密、文档安全策略（权限控管、使用次数、文档生命期限、打印自定义水印等）、身份认证、使用追踪、离线管理、文档操作审计等6项功能。

2）支持对电子文档进行细粒度的权限控制，包括只读、打印、修改、复制等4种权限控制。

3）支持对文档的阅读、编辑、删除、打印、外发、授权等6种动作进行详细的日志审计。

2.8.2日志审计系统

记录、分析和处理用户操作行为的系统。

1）具备日志记录、用户重要操作日志记录、日志查询、日志保护、日志备份、日志分析模型、日志审计报告等项功能。

2）支持用户名称、操作日期和时间、操作类型、是否成功、合规审计等项日志审计内容。

3）支持数据分析，并生成审计报表。

●二级医院满足1）2）3）要求，日志存储时间≥6个月。

●三级乙等医院满足1）2）3）要求，日志存储时间≥6个月。

●三级甲等医院满足1）2）3）要求，日志存储时间≥6个月。

2.8.3资产风险管理

基于医院网络环境,构建医院网络资产基础信息库，能整体和动态发现网络安全风险的管理系统。

1）具备实时评估网络安全风险、验证重要风险点、评估风险影响范围、网络安全持续监控、风险通报和威胁预警、风险分析结果可视化、风险处理等7项功能。

2）支持信息系统、承载业务、网络设备、安全设备、服务器设备、终端设备、软件、数据、存储等9种资产信息库内容。

3）支持表格、指示灯、3D图表、雷达图、拓扑图、热度图等6种风险可视化结果展示方式。

2.8.4统一安全管理

对医院各类网络安全安全事件的监控、分析和管理的信息系统。

1）具备资产管理、资产风险管理、网络安全事件采集、网络安全事件分析、网络安全事件分析模型、实时安全监测、分析结果可视化、安全运营决策和处置服务等8项功能。

2）基于数据分析模型，支持表格、指示灯、3D图表、雷达图、拓扑图、热度图等6种可视化结果展示方式。

●三级甲等医院具备6项功能、支持4种可视化展示方式。

3.终端管理

3

3.1身份认证设备

3.1

3.1.1电子信息鉴别

用于对实体和其所呈现身份之间绑定关系进行确认过程的专用设备。

1）支持口令认证、证书认证、智能卡认证、短信认证、第三方系统联动等5种身份鉴别方式。

●二级医院满足①要求。

●三级乙等医院满足①②要求。

●三级甲等医院满足①②要求。

3.1.2生物信息鉴别

基于生物信息鉴别的身份认证专用设备。

1）具备用户身份识别和鉴别、身份认证、权限管理、PKI/CA集成接口等4项功能。

2）支持人脸、指纹、掌纹、虹膜等4种用户身份生物信息采集和鉴别类型。

3.2介质安全设备

3.2

3.2.1安全U盘

采用数据加密和专用芯片技术，防止U盘数据泄露。

1）访问安全U盘中的数据之前须进行口令认证。

2）对安全U盘操作权限进行管控，包括数据的复制，文件的另存，打印等3项功能。

3）对安全U盘进行加密存储，支持国密算法。

4）对操作行为进行审计。

3.2.2移动存储介质

对普通移动存储介质的注册、使用、访问进行管控与审计。

1）具备存储介质的安全分区、数据加密存储等2项功能。

2）加密分区支持访问权限控制、防止恶意破坏。

3）支持加密标签认证管理，防止未授权移动存储介质接入。

3.3客户端管理系统

3.3

3.3.1客户端终端认证

用于终端对网络空间身份和实体用户身份进行关联的客户端软件。

1）具备用户名密码、证书、智能卡认证、短信、生物特征等5种身份鉴别功能。

2）支持浏览器、独立客户端等2种认证客户端。

3）支持两种或以上组合的鉴别技术进行身份鉴别。

●二级医院具备2种身份鉴别功能、支持1种认证客户端。

3.3.2虚拟专用网络客户端管理

用于终端设备与业务系统之间传输数据加密的客户端软件。

1）具备L2TP、PPTP、IPSecVPN、SSLVPN等4种虚拟专用网络（VPN）客户端功能。

2）支持主流桌面终端操作系统和主流移动终端操作系统接入方式。

3）支持SM1、SM2、SM3、SM4等4种国密算法。

4）支持MD5、SHA1、DES、AES、RSA等5种国际密码算法。

●二级医院具备1种VPN客户端功能、支持1种系统接入方式、支持2种国际密码算法。

●三级乙等医院具备2种VPN客户端功能、支持2种系统接入方式、支持2种国密算法、支持2种国际密码算法。

●三级甲等医院具备2种VPN客户端功能、支持2种系统接入方式、支持2种国密算法、支持2种国际密码算法。

3.4终端安全管理系统

3.4

3.4.1桌面终端安全管理

用于满足终端各种安全管理和合规性需求的终端安全管理软件。

1）具备即时通讯管理、非授权外连管理、软件分发、打印管理、文件操作行为管理、补丁管理、移动介质管理、主机监控与审计、上网行为控制与审计、敏感字审计、远程协助等11项功能。

2）支持对双网卡、WIFI、3G、蓝牙、红外等5种违规连接方式进行监测、审计和阻断。

●二级医院具备2项功能、支持2种连接方式管理。

●三级乙等医院具备5项功能、支持3种连接方式管理。

●三级甲等医院具备5项功能、支持3种连接方式管理。

3.4.2移动终端安全管理

支持医院移动业务终端安全防护的管理系统。

1）具备移动身份管理、移动应用管理、移动内容管理、移动策略管理、移动设备管理等5项功能。

2）支持主流移动操作系统。

●二级医院具备2项功能、支持1种操作系统类型。

●三级乙等医院具备4项功能、支持2种操作系统类型。

●三级甲等医院具备4项功能、支持2种操作系统类型。

3.4.3移动存储介质管理

解决医院移动存储介质非法滥用造成信息泄露安全问题的专用管理设备。

1）具备移动存储介质注册管理、接入控制、访问权限控制、安全审计等4项功能。

2）支持移动硬盘、闪存、U盘、储存卡等4种移动存储介质的管理。

3）支持预置策略、自定义策略、预置标签及自定义标签等4种管理规则。

4）支持内部低密、内部普密、内置高密、外部应用审计、外部文档审计、外部无审计等6种预置管理策略和预置标签管理策略。

●二级医院具备2项功能、支持2种存储介质管理、支持1种管理规则、支持2种管理策略。

●三级乙等医院具备4项功能、支持4种存储介质管理、支持3种管理规则、支持4种管理策略。

●三级甲等医院具备4项功能、支持4种存储介质管理、支持3种管理规则、支持4种管理策略。

4.网络安全

4

4.1结构安全设备

4.1

4.1.1单向网闸

隔断内外网间的直接连接的专用隔离硬件。

1）具备单向文件传输、单向数据库同步、单向邮件传输、邮件过滤、数据防泄漏规则等5项功能。

2）支持主流数据库的单向同步。

3）支持按邮件地址、邮件域名、邮件内容、邮件附件和IP地址端口等5种邮件过滤条件。

●二级医院具备2项功能，支持1种邮件过滤条件。

●三级乙等医院具备3项功能、支持2种邮件过滤条件。

●三级甲等医院具备3项功能、支持2种邮件过滤条件。

4.1.2双向网闸

隔断内外网间的直接连接，保障用户网络在隔离的同时进行可控数据交换的专用隔离硬件。

1）具备防止各类敏感数据泄露、安全隔离和受控的信息交换、应用协议支持、应用层数据控制等4项功能。

2）支