医院信息平台网络安全需求分析与实现
2014-09-15王波
王波
摘 要: 为了实现医院信息网络平台的安全管理与安全运维。从医院信息平台的实际出发,根据国家信息安全等级保护工作的指导意见的要求,从需求、规划、设计、完成安全管理与安全运维,实现了医院信息平台安全体系的整体方案工作。实践表明,该方法使医院信息网络平台有了安全保障。
关键词: 信息平台; 信息管理; 需求分析; 安全体系; 网络设计
中图分类号: TN710?34 文献标识码: A 文章编号: 1004?373X(2014)18?0081?03
Analysis and satisfaction of security requirements of hospital information network
WANG Bo
(Xian Mental Health Center, Xian 710061, China)
Abstract: in order to safety management and maintenance of hospital information network platform, starting from the actual hospital information platform, the overall scheme of hospital information platform security system is achieved according to the requirements of national information security protection guidance. The safety management and maintenance of hospital information network platform was completed. It made the hospital information network platform safe.
Keywords: Information platform; information management; demand analysis; security system; network design
0 引 言
我国医疗卫生事业的发展和医疗改革的不断深入,医疗卫生业务对信息化的依赖程度越来越高,医疗信息系统和网络系统的安全环境也日益恶化,信息系统安全问题愈加重要。在这样的情况下,卫生部早于2010年提出了在“基于电子病历医院信息平台各业务应用中应当满足国家信息安全等级保护制度与标准”的要求[1]。
为了实现这一要求,必须以我国信息安全等级保护为基本指导思想[2],从技术措施与安全管理两个方面来设计实现医院信息平台的综合信息安全保障体系。从而实现医院信息平台业务承载信息的安全可靠和业务服务的连续运行,并对未来业务及管理所需的不断发展而可作动态性的调整完善。最终达到并实现“政策合规、资源可控、数据可信、持续发展”的生存管理与安全运维的目标。
1 信息平台安全风险和需求分析
它可以概括为安全风险分析、安全等级划分、安全需求分析三部分[3]。
1.1 信息平台安全风险分析
信息平台的安全建设必须经过风险分析,通过分析提出必要的防范方法和措施来实现对信息平台安全的规划设计。风险分析由信息和信息系统分析,安全风险分析两方面组成。
信息和信息系统分析:包括业务数据的类型分析,其类型有文档型数据,操作型数据和辅助决策性数据。逻辑层面分析,信息平台的核心业务模式为集中式,整个平台建设主要以信息平台数据中心为核心。信息平台的网络基础设施是由基础网络的内部网络、外部网络两大部分组成。内部网络实现信息管理与系统开发,外部网络是对外收集和提供信息。
安全风险分析:其是指在信息平台系统中存在的脆弱性、人或自然的威胁,而导致安全事故和事件发生的,可能性及其造成的影响。它的主要安全风险的大小,取决于以下四个方面:资产的价值;资产的脆弱性;面临的威胁程度;已采取的防范措施。
资产分析是指在信息平台中,其网络基础设备,各种服务器、应用集成平台系统和内部应用系统等承载了关键的重要数据信息资料,需要进行重点的防护,避免非授权访问和攻击等安全事故发生。
威胁分析:是指可能对信息系统资产或所在组织造成损害事故的潜在原因;威胁虽然有各种各样的存在形式,但其结果是一致的,都将导致对信息或资源的破坏,影响信息系统的正常运行,破坏信息系统服务的有效性、可靠性和权威性。信息平台面临的主要威胁如下:地震、水灾、火灾、风灾等自然灾害威胁;身份假冒、口令窃取、数据泄露和破坏威胁;计算机病毒、木马程序、系统漏洞攻击威胁;传输通信业务流侦听威胁;电力中断威胁等。因此,只有同时解决好上述问题,才可能真正的确保信息平台的安全。
1.2 信息平台安全等级划分
我国《信息系统安全等级保护管理办法》中将信息系统划分为五级[4],前2级分别为:第一级为自主保护级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级为指导保护级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
而我院基于电子病历的医院信息平台通过对其:信息平台承载的业务信息数据安全保护等级定级分析,系统服务安全等级定级分析和整体安全保护等级定级分析三部分,最终确定其按照信息系统等级保护二级的要求进行安全规划设计与建设。
1.3 信息平台安全需求分析
根据《信息安全等级保护管理办法》(公通字〔2007〕43号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)[5]、《信息安全技术信息系统等级保护安全设计技术要求》(GB/T 25070?2010)等文件等级保护标准规范要求。医院信息平台安全信息系统设计规划应从安全应用支撑平台和应用软件系统两个方面考虑。在应用支撑平台方面要,从四个环节规划设计建设,即按照计算环境、区域边界、通信网络和安全管理中心。具体的需求项目由6部分组成:
(1) 物理层安全需求。主要考虑的方面是物理位置的选择,物理访问控制,防盗窃、防破坏,防雷击、防火、防水、防潮、防静电、温湿度控制,电磁防护,电力保障等。
(2) 网络层安全需求。主要考虑的方面是结构安全与网段划分,网络访问控制,拨号访问控制,网络安全审计,边界完整性检查,网络入侵防范,恶意代码防范,网络设备防护。
(3) 系统层安全需求。主要考虑的方面是身份鉴别,自主访问控制,强制访问控制,安全审计,系统保护,剩余信息保护,入侵防范,恶意代码防范,资源控制。
(4) 应用层安全需求。主要考虑的方面是身份鉴别,访问控制,安全审计,剩余信息保护,通信完整性,通信保密性,抗抵赖,软件容错,资源控制,代码安全。
(5) 数据层安全需求。主要考虑的方面是数据完整性,数据保密性,数据备份和恢复。
(6) 管理层安全需求。主要考虑的方面是安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理。
2 信息平台安全防护设计与实现[7?10]
2.1 设计原则与目标
我们设计将按照合规可行原则,全局与均衡原则,体系化原则,动态发展原则,从而达到并实现“政策合规、资源可控、数据可信、持续发展”的生存管理与安全运维目的。
2.2 安全防护总体框架
安全防护总体框架见图1。
图1 安全体系总体框架
信息平台安全防护总体框架包括:安全技术、安全管理、安全基础设施三部分。体系框架在国家政策、法律法规要求的前提下,以安全基础设施为依托,同信息平台的数据业务流程、系统应用架构和数据资源紧密结合,从安全技术、安全管理为要点重点来实现对信息安全与隐私保护的。
2.3 安全防护设计与实现
根据医院的实际情况,规划设计信息平台安全保障系统,从下面8个方面进行考虑设计,即根据医院信息平台的业务类型和安全保障需求分为下面8个区域进行安全体系的规划设计和实现。
外联区:主要与医保、外联单位进行网络互联,此区域与数据中心核心交换机互联:在外联区接入处部署防火墙、IPS、硬件杀毒墙,也可以部署下一代防火墙产品,添加IPS功能模块、杀毒功能模块、IPS、杀毒进行访问控制,实现安全隔离;在与数据中心核心交换机处部署网闸设备,实现物理隔离。
互联网接入区:主要负责为办公区用户访问互联网提供服务,以及互联网用户访问门户网站及网上预约等业务提供服务;在互联网出口处,部署负载均衡设备对链路做负载处理;部署下一代防火墙设备(IPS+AV+行为管理)对进出互联网的数据进行安全审计和管控;在门户网站服务器与汇聚交换机之间部署硬件Web应用防火墙,对Web服务器进行安全防护;在门户网站服务器上安装防篡改软件,来实现对服务器的防篡改的要求;部署网闸系统,实现互联网与业务内网的物理隔离要求。
办公接入区:主要负责在办公楼、住院大楼、门急诊楼等办公用户的网络接入,包括接入汇聚交换机旁路部署IDS;与核心交换机接入采用防火墙进行访问控制;重要办公用户安装桌面终端系统控制非法接入问题。
数据中心区:此区域主要负责为医院信息系统防护的核心,可分为关键业务服务器群和非关键业务服务器群,为整个医院内网业务提供运算平台;在非关键业务服务器群与核心交换区之间部署防火墙和入侵保护系统,对服务器做基础的安全防护;在关键业务服务器群与核心交换区之间部署防火墙、入侵保护系统、Web应用防护系统,对服务器做安全防护。
核心交换区:主要负责各个安全域的接入与VLAN之间的访问控制;在两台核心交换机上采用防火墙,来实现各个区域的访问控制;在核心交换机旁路部署安全审计系统,对全网数据进行内容审计,可以与运维管理区的网络审计使用同一台。
存储备份区:此区域主要为医院信息平台系统数据做存储备份,与核心交换机互联。
运维管理区:主要负责运维管理医院信息化系统。此区域与数据中心核心交换机互联:在运维管理区与数据中心核心交换机之间部署堡垒机(SAS?H),对运维操作进行身份识别与行为管控;在运维管理区部署远程安全评估系统(RSAS),对系统的漏洞进行安全评估;在运维管理区部署安全配置核查系统,对系统的安全配置做定期检查;在运维管理区部署日志管理软件,对网络设备、安全设备、重要服务器的日志做收集整理和报表呈现工作;在运维管理区部署网络版杀毒系统,与硬件杀毒墙非同一品牌;在运维管理区部署网络审计系统,对全网所有用户行为进行网络审计;在运维管理区部署主机加固系统,对重要服务器定期进行安全加固,以符合第二级安全保护等级的配置要求。
开发测试区:为软件开发及第三方运维人员提供接入医院内网的服务,与核心交换机互联;部署防火墙进行访问控制,所有的开发测试区的用户必须通过堡垒机访问医院内网。
3 结 语
信息平台安全方案的实现,保证了其平台的信息在安全保障的环境中运行。最大程度保护了病人的信息,诊疗数据,电子病历和住院信息等。使公民法人和其他组织的合法权益有了保障,也是医院信息平台能更好的为患者提供可靠的,连续的医疗卫生服务。
参考文献
[1] 卫生部.卫生部关于印发《电子病历基本规范(试行)》的通知[EB/OL].[2010?03?04].http://www.moh.gov.cn/yzygj/s3585u/201003/95ab07b5a7bb4a9f8ad455c863d68322.shtml.
[2] 公安部.关于印发《关于信息安全等级保护工作的实施意见》的通知[EB/OL]. [2004?09?15].http://www.djbh.net/webdev/file/webFiles/File/zcbz/201226163530.pdf.
[3] 卫生部.基于电子病历的医院信息平台建设技术解决方案[S].北京:中国标准出版社,2011.
[4] 公安部.关于印发《信息安全等级保护管理办法》的通知[EB/OL].[2007?07?24].http://www.gov.cn/gzdt/2007?07/24/content_694380.htm.
[5] 公安部.关于开展全国重要信息系统安全等级保护定级工作的通知[EB/OL]. [2007?07?24].http://www.mps.gov.cn/n16/n1252/n1762/n2467/138977.html.
[6] 国家质监局. GB/T 25070?2010 信息安全技术信息系统等级保护安全设计技术要求[S].北京:中国标准出版社,2010.
[7] 卫生部关于印发《卫生行业信息安全等级保护工作的指导意见[EB/OL]. [2011?12?09].http://www.moh.gov.cn/mohbgt/s7692/201112/53600.shtml.
[8] 公安部. 关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函[EB/OL]. [2009?11?09]. http://www.gov.cn/gzdt/2009?11/09/content_1460022.htm.
[9] 陕西省卫生厅. 关于全面开展我省卫生行业信息安全等级保护的通知[EB/OL].[2012?06?11].http://govinfo.nlc.gov.cn/shanxsfz/xxgk/sxswst/201209/t20120903_2479441.shtml?classid=388.
[10] 公安部信息安全等级保护评估中心.信息安全等级保护政策培训教程[M].北京:电子工业出版社,2012.
(1) 物理层安全需求。主要考虑的方面是物理位置的选择,物理访问控制,防盗窃、防破坏,防雷击、防火、防水、防潮、防静电、温湿度控制,电磁防护,电力保障等。
(2) 网络层安全需求。主要考虑的方面是结构安全与网段划分,网络访问控制,拨号访问控制,网络安全审计,边界完整性检查,网络入侵防范,恶意代码防范,网络设备防护。
(3) 系统层安全需求。主要考虑的方面是身份鉴别,自主访问控制,强制访问控制,安全审计,系统保护,剩余信息保护,入侵防范,恶意代码防范,资源控制。
(4) 应用层安全需求。主要考虑的方面是身份鉴别,访问控制,安全审计,剩余信息保护,通信完整性,通信保密性,抗抵赖,软件容错,资源控制,代码安全。
(5) 数据层安全需求。主要考虑的方面是数据完整性,数据保密性,数据备份和恢复。
(6) 管理层安全需求。主要考虑的方面是安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理。
2 信息平台安全防护设计与实现[7?10]
2.1 设计原则与目标
我们设计将按照合规可行原则,全局与均衡原则,体系化原则,动态发展原则,从而达到并实现“政策合规、资源可控、数据可信、持续发展”的生存管理与安全运维目的。
2.2 安全防护总体框架
安全防护总体框架见图1。
图1 安全体系总体框架
信息平台安全防护总体框架包括:安全技术、安全管理、安全基础设施三部分。体系框架在国家政策、法律法规要求的前提下,以安全基础设施为依托,同信息平台的数据业务流程、系统应用架构和数据资源紧密结合,从安全技术、安全管理为要点重点来实现对信息安全与隐私保护的。
2.3 安全防护设计与实现
根据医院的实际情况,规划设计信息平台安全保障系统,从下面8个方面进行考虑设计,即根据医院信息平台的业务类型和安全保障需求分为下面8个区域进行安全体系的规划设计和实现。
外联区:主要与医保、外联单位进行网络互联,此区域与数据中心核心交换机互联:在外联区接入处部署防火墙、IPS、硬件杀毒墙,也可以部署下一代防火墙产品,添加IPS功能模块、杀毒功能模块、IPS、杀毒进行访问控制,实现安全隔离;在与数据中心核心交换机处部署网闸设备,实现物理隔离。
互联网接入区:主要负责为办公区用户访问互联网提供服务,以及互联网用户访问门户网站及网上预约等业务提供服务;在互联网出口处,部署负载均衡设备对链路做负载处理;部署下一代防火墙设备(IPS+AV+行为管理)对进出互联网的数据进行安全审计和管控;在门户网站服务器与汇聚交换机之间部署硬件Web应用防火墙,对Web服务器进行安全防护;在门户网站服务器上安装防篡改软件,来实现对服务器的防篡改的要求;部署网闸系统,实现互联网与业务内网的物理隔离要求。
办公接入区:主要负责在办公楼、住院大楼、门急诊楼等办公用户的网络接入,包括接入汇聚交换机旁路部署IDS;与核心交换机接入采用防火墙进行访问控制;重要办公用户安装桌面终端系统控制非法接入问题。
数据中心区:此区域主要负责为医院信息系统防护的核心,可分为关键业务服务器群和非关键业务服务器群,为整个医院内网业务提供运算平台;在非关键业务服务器群与核心交换区之间部署防火墙和入侵保护系统,对服务器做基础的安全防护;在关键业务服务器群与核心交换区之间部署防火墙、入侵保护系统、Web应用防护系统,对服务器做安全防护。
核心交换区:主要负责各个安全域的接入与VLAN之间的访问控制;在两台核心交换机上采用防火墙,来实现各个区域的访问控制;在核心交换机旁路部署安全审计系统,对全网数据进行内容审计,可以与运维管理区的网络审计使用同一台。
存储备份区:此区域主要为医院信息平台系统数据做存储备份,与核心交换机互联。
运维管理区:主要负责运维管理医院信息化系统。此区域与数据中心核心交换机互联:在运维管理区与数据中心核心交换机之间部署堡垒机(SAS?H),对运维操作进行身份识别与行为管控;在运维管理区部署远程安全评估系统(RSAS),对系统的漏洞进行安全评估;在运维管理区部署安全配置核查系统,对系统的安全配置做定期检查;在运维管理区部署日志管理软件,对网络设备、安全设备、重要服务器的日志做收集整理和报表呈现工作;在运维管理区部署网络版杀毒系统,与硬件杀毒墙非同一品牌;在运维管理区部署网络审计系统,对全网所有用户行为进行网络审计;在运维管理区部署主机加固系统,对重要服务器定期进行安全加固,以符合第二级安全保护等级的配置要求。
开发测试区:为软件开发及第三方运维人员提供接入医院内网的服务,与核心交换机互联;部署防火墙进行访问控制,所有的开发测试区的用户必须通过堡垒机访问医院内网。
3 结 语
信息平台安全方案的实现,保证了其平台的信息在安全保障的环境中运行。最大程度保护了病人的信息,诊疗数据,电子病历和住院信息等。使公民法人和其他组织的合法权益有了保障,也是医院信息平台能更好的为患者提供可靠的,连续的医疗卫生服务。
参考文献
[1] 卫生部.卫生部关于印发《电子病历基本规范(试行)》的通知[EB/OL].[2010?03?04].http://www.moh.gov.cn/yzygj/s3585u/201003/95ab07b5a7bb4a9f8ad455c863d68322.shtml.
[2] 公安部.关于印发《关于信息安全等级保护工作的实施意见》的通知[EB/OL]. [2004?09?15].http://www.djbh.net/webdev/file/webFiles/File/zcbz/201226163530.pdf.
[3] 卫生部.基于电子病历的医院信息平台建设技术解决方案[S].北京:中国标准出版社,2011.
[4] 公安部.关于印发《信息安全等级保护管理办法》的通知[EB/OL].[2007?07?24].http://www.gov.cn/gzdt/2007?07/24/content_694380.htm.
[5] 公安部.关于开展全国重要信息系统安全等级保护定级工作的通知[EB/OL]. [2007?07?24].http://www.mps.gov.cn/n16/n1252/n1762/n2467/138977.html.
[6] 国家质监局. GB/T 25070?2010 信息安全技术信息系统等级保护安全设计技术要求[S].北京:中国标准出版社,2010.
[7] 卫生部关于印发《卫生行业信息安全等级保护工作的指导意见[EB/OL]. [2011?12?09].http://www.moh.gov.cn/mohbgt/s7692/201112/53600.shtml.
[8] 公安部. 关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函[EB/OL]. [2009?11?09]. http://www.gov.cn/gzdt/2009?11/09/content_1460022.htm.
[9] 陕西省卫生厅. 关于全面开展我省卫生行业信息安全等级保护的通知[EB/OL].[2012?06?11].http://govinfo.nlc.gov.cn/shanxsfz/xxgk/sxswst/201209/t20120903_2479441.shtml?classid=388.
[10] 公安部信息安全等级保护评估中心.信息安全等级保护政策培训教程[M].北京:电子工业出版社,2012.
(1) 物理层安全需求。主要考虑的方面是物理位置的选择,物理访问控制,防盗窃、防破坏,防雷击、防火、防水、防潮、防静电、温湿度控制,电磁防护,电力保障等。
(2) 网络层安全需求。主要考虑的方面是结构安全与网段划分,网络访问控制,拨号访问控制,网络安全审计,边界完整性检查,网络入侵防范,恶意代码防范,网络设备防护。
(3) 系统层安全需求。主要考虑的方面是身份鉴别,自主访问控制,强制访问控制,安全审计,系统保护,剩余信息保护,入侵防范,恶意代码防范,资源控制。
(4) 应用层安全需求。主要考虑的方面是身份鉴别,访问控制,安全审计,剩余信息保护,通信完整性,通信保密性,抗抵赖,软件容错,资源控制,代码安全。
(5) 数据层安全需求。主要考虑的方面是数据完整性,数据保密性,数据备份和恢复。
(6) 管理层安全需求。主要考虑的方面是安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理。
2 信息平台安全防护设计与实现[7?10]
2.1 设计原则与目标
我们设计将按照合规可行原则,全局与均衡原则,体系化原则,动态发展原则,从而达到并实现“政策合规、资源可控、数据可信、持续发展”的生存管理与安全运维目的。
2.2 安全防护总体框架
安全防护总体框架见图1。
图1 安全体系总体框架
信息平台安全防护总体框架包括:安全技术、安全管理、安全基础设施三部分。体系框架在国家政策、法律法规要求的前提下,以安全基础设施为依托,同信息平台的数据业务流程、系统应用架构和数据资源紧密结合,从安全技术、安全管理为要点重点来实现对信息安全与隐私保护的。
2.3 安全防护设计与实现
根据医院的实际情况,规划设计信息平台安全保障系统,从下面8个方面进行考虑设计,即根据医院信息平台的业务类型和安全保障需求分为下面8个区域进行安全体系的规划设计和实现。
外联区:主要与医保、外联单位进行网络互联,此区域与数据中心核心交换机互联:在外联区接入处部署防火墙、IPS、硬件杀毒墙,也可以部署下一代防火墙产品,添加IPS功能模块、杀毒功能模块、IPS、杀毒进行访问控制,实现安全隔离;在与数据中心核心交换机处部署网闸设备,实现物理隔离。
互联网接入区:主要负责为办公区用户访问互联网提供服务,以及互联网用户访问门户网站及网上预约等业务提供服务;在互联网出口处,部署负载均衡设备对链路做负载处理;部署下一代防火墙设备(IPS+AV+行为管理)对进出互联网的数据进行安全审计和管控;在门户网站服务器与汇聚交换机之间部署硬件Web应用防火墙,对Web服务器进行安全防护;在门户网站服务器上安装防篡改软件,来实现对服务器的防篡改的要求;部署网闸系统,实现互联网与业务内网的物理隔离要求。
办公接入区:主要负责在办公楼、住院大楼、门急诊楼等办公用户的网络接入,包括接入汇聚交换机旁路部署IDS;与核心交换机接入采用防火墙进行访问控制;重要办公用户安装桌面终端系统控制非法接入问题。
数据中心区:此区域主要负责为医院信息系统防护的核心,可分为关键业务服务器群和非关键业务服务器群,为整个医院内网业务提供运算平台;在非关键业务服务器群与核心交换区之间部署防火墙和入侵保护系统,对服务器做基础的安全防护;在关键业务服务器群与核心交换区之间部署防火墙、入侵保护系统、Web应用防护系统,对服务器做安全防护。
核心交换区:主要负责各个安全域的接入与VLAN之间的访问控制;在两台核心交换机上采用防火墙,来实现各个区域的访问控制;在核心交换机旁路部署安全审计系统,对全网数据进行内容审计,可以与运维管理区的网络审计使用同一台。
存储备份区:此区域主要为医院信息平台系统数据做存储备份,与核心交换机互联。
运维管理区:主要负责运维管理医院信息化系统。此区域与数据中心核心交换机互联:在运维管理区与数据中心核心交换机之间部署堡垒机(SAS?H),对运维操作进行身份识别与行为管控;在运维管理区部署远程安全评估系统(RSAS),对系统的漏洞进行安全评估;在运维管理区部署安全配置核查系统,对系统的安全配置做定期检查;在运维管理区部署日志管理软件,对网络设备、安全设备、重要服务器的日志做收集整理和报表呈现工作;在运维管理区部署网络版杀毒系统,与硬件杀毒墙非同一品牌;在运维管理区部署网络审计系统,对全网所有用户行为进行网络审计;在运维管理区部署主机加固系统,对重要服务器定期进行安全加固,以符合第二级安全保护等级的配置要求。
开发测试区:为软件开发及第三方运维人员提供接入医院内网的服务,与核心交换机互联;部署防火墙进行访问控制,所有的开发测试区的用户必须通过堡垒机访问医院内网。
3 结 语
信息平台安全方案的实现,保证了其平台的信息在安全保障的环境中运行。最大程度保护了病人的信息,诊疗数据,电子病历和住院信息等。使公民法人和其他组织的合法权益有了保障,也是医院信息平台能更好的为患者提供可靠的,连续的医疗卫生服务。
参考文献
[1] 卫生部.卫生部关于印发《电子病历基本规范(试行)》的通知[EB/OL].[2010?03?04].http://www.moh.gov.cn/yzygj/s3585u/201003/95ab07b5a7bb4a9f8ad455c863d68322.shtml.
[2] 公安部.关于印发《关于信息安全等级保护工作的实施意见》的通知[EB/OL]. [2004?09?15].http://www.djbh.net/webdev/file/webFiles/File/zcbz/201226163530.pdf.
[3] 卫生部.基于电子病历的医院信息平台建设技术解决方案[S].北京:中国标准出版社,2011.
[4] 公安部.关于印发《信息安全等级保护管理办法》的通知[EB/OL].[2007?07?24].http://www.gov.cn/gzdt/2007?07/24/content_694380.htm.
[5] 公安部.关于开展全国重要信息系统安全等级保护定级工作的通知[EB/OL]. [2007?07?24].http://www.mps.gov.cn/n16/n1252/n1762/n2467/138977.html.
[6] 国家质监局. GB/T 25070?2010 信息安全技术信息系统等级保护安全设计技术要求[S].北京:中国标准出版社,2010.
[7] 卫生部关于印发《卫生行业信息安全等级保护工作的指导意见[EB/OL]. [2011?12?09].http://www.moh.gov.cn/mohbgt/s7692/201112/53600.shtml.
[8] 公安部. 关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函[EB/OL]. [2009?11?09]. http://www.gov.cn/gzdt/2009?11/09/content_1460022.htm.
[9] 陕西省卫生厅. 关于全面开展我省卫生行业信息安全等级保护的通知[EB/OL].[2012?06?11].http://govinfo.nlc.gov.cn/shanxsfz/xxgk/sxswst/201209/t20120903_2479441.shtml?classid=388.
[10] 公安部信息安全等级保护评估中心.信息安全等级保护政策培训教程[M].北京:电子工业出版社,2012.
