醫院等保2.0解決方案

一(yī)．背景介紹

近年(nián)來，信息技術對健康醫療事業的(de)影響日趨明顯，以大數據、雲計算、移動互聯等新興信息技術為(wèi)核心的(de)新一(yī)輪科技革命，推動了人口健康信息化和(hé)健康醫療大數據應用發展，為(wèi)人口健康信息化創造了廣闊的(de)空間，同時也為(wèi)醫療行業帶來網絡安全問題，針對醫院的(de)勒索、挖礦、信息洩露等信息安全事件層出不窮，醫院網絡已經成為(wèi)了不法黑客的(de)重點攻擊對象之一(yī)。

2011 年(nián)，國家衛計委為(wèi)貫徹落實國家信息安全等級保護制度，規範和(hé)指導全國衛生行業信息安全等級保護工作，結合衛生行業實際情況印發了《衛生行業信息安全等級保護工作的(de)指導意見》，旨在全面提高(gāo)衛生行業信息安全保障能力和(hé)水平，保障和(hé)促進衛生信息化健康發展。醫療信息數據與公衆生命安全、民生息息相關，重要性不言而喻，通過體系化的(de)網絡安全建設，保護醫院網絡、信息數據安全勢在必行。

二．方案概述

天融信遵循縱深防禦、安全互補、強度一(yī)緻、統一(yī)支撐和(hé)集中管理(lǐ)的(de)思路，嚴格遵照國家及醫療行業相關要求，為(wèi)醫院網絡建立滿足等級保護三級要求的(de)安全保障體系。首先，将醫院信息網絡及診療系統作為(wèi)安全保護對象，為(wèi)醫院網絡建設“一(yī)個中心，三重防護”的(de)縱深防禦技術體系；其次，結合安全管理(lǐ)體系與安全運維體系，落實安全管理(lǐ)和(hé)安全技術兩大維度的(de)具體實施與維護；最後，以診療系統的(de)安全運營為(wèi)信息安全保障建設的(de)核心，并輔以安全服務貫穿信息安全保障體系的(de)全過程，實現網絡安全風險可(kě)控。

三．安全技術措施設計

1、通用安全設計

醫院網絡安全技術體系的(de)設計內(nèi)容主要涵蓋安全管理(lǐ)中心、安全通信網絡、安全區域邊界、安全計算環境：

安全通信網絡設計

l關鍵網絡節點、設備及鏈路需進行冗餘建設，保證高(gāo)可(kě)用性；

l部署防火牆提供可(kě)靠的(de)安全域隔離(lí)；

l部署VPN保證遠程通信過程中數據的(de)保密性及完整性。

安全區域邊界設計

l部署網絡準入控制系統，對非授權設備私自(zì)接入內(nèi)部網絡的(de)行為(wèi)進行控制；

l部署EDR，對內(nèi)部用戶非法外聯行為(wèi)進行控制；

l部署防火牆系統實現基于應用協議和(hé)應用內(nèi)容的(de)訪問控制；

l部署雙向網閘、數據安全交換平台實現醫院內(nèi)外網數據的(de)安全隔離(lí)與交換；

l部署抗DDoS功能（集成于防火牆）、IPS、WAF、IDS、APT安全監測等，在關鍵網絡節點處檢測網絡攻擊行為(wèi)，對網絡攻擊特别是新型網絡攻擊行為(wèi)進行檢測、分析、告警和(hé)防範；

l部署防病毒網關、僵木蠕系統，在關鍵網絡節點處對惡意代碼進行檢測和(hé)防範；

l部署網絡審計系統，對用戶的(de)網絡訪問行為(wèi)進行審計和(hé)數據分析。

安全計算環境設計

l部署堡壘主機對用戶進行身份鑒别，對管理(lǐ)用戶進行權限管理(lǐ)；

l部署數據庫審計系統，對重要的(de)用戶行為(wèi)和(hé)重要安全事件進行集中審計；

l 部署漏洞管理(lǐ)、基線管理(lǐ)、終端威脅防禦等系統保障終端及服務器安全；

l采用密碼技術，保障重要數據的(de)完整性、保密性；

l部署容災備份系統，保障重要數據的(de)可(kě)用性；

l對重要網站系統提供網頁防篡改、網站安全監控等保護機制；

安全管理(lǐ)中心設計

l通過堡壘主機實現集中的(de)身份鑒别、訪問授權和(hé)操作審計；

l部署網絡管理(lǐ)系統，對網絡和(hé)信息基礎設施的(de)運行狀況進行集中監控；

l部署日志審計系統，對分散在網絡中的(de)審計數據進行收集彙總和(hé)集中分析；

l內(nèi)網部署态勢感知平台，支撐安全監測、分析、預警、響應、處置、追溯等安全管理(lǐ)和(hé)運維工作；外網部署數據采集代理(lǐ)服務器，收集外網安全數據形成分析結果，通過網閘發送到內(nèi)網平台。

2、雲計算安全設計

l部署安全資源池，實現對雲租戶南北向流量的(de)檢測與防護；

l部署虛拟化分布式防火牆，實現對雲主機東西向流量的(de)檢測與防護；

l部署EDR，實現雲主機本地(dì)的(de)威脅檢測與防護；

l部署雲安全管理(lǐ)中心完成統一(yī)的(de)策略管理(lǐ)、安全監控、策略遷移和(hé)自(zì)動化部署。

3、移動互聯安全設計

無線接入安全設計

l在受控邊界處部署防火牆與有線網絡實現安全隔離(lí)；

l部署無線管理(lǐ)平台集中管理(lǐ)無線AP的(de)位置、數量、信道(dào)等；

l通過無線管理(lǐ)平台提供符合國密算法的(de)身份認證；

l部署EMM對接入終端的(de)進行定位和(hé)準入；

移動終端安全設計

通過EMM實現醫護終端登記注冊，提供全生命周期管控，終端遺失後，可(kě)定位位置、遠程鎖定設備、遠程擦除敏感數據，防止數據洩露。

移動應用安全設計

l采用EMM對APP進行上線前安全檢測、安全加固、提供黑白名單功能，确保應用安全性。