醫院等級保護解決方案

信息安全等級保護是國家信息安全保障的基本制度、基本策略和基本方法，2017年6月1日正式實施的《網絡安全法》明確提出“國家實施網絡安全等級保護制度”。在國家實施網絡安全等級保護制度的基礎上，衛生健康委、中醫藥局針對互聯網診療和互聯網醫院業務的等級保護工作提出了具體要求： ? 衛生健康委、中醫藥局聯合印發的《互聯網診療管理辦法（試行）》【國衛醫發〔2018〕25號】第十三條規定：“醫療機構開展互聯網診療活動，應當具備滿足互聯網技術要求的設備設施、信息系統、技術人員以及信息安全系統，并實施第三級信息安全等級保護?！?? 衛生健康委、中醫藥局聯合印發的《互聯網醫院管理辦法（試行）》【國衛醫發〔2018〕25號】第十五條規定：“互聯網醫院信息系統按照國家有關法律法規和規定，實施第三級信息安全等級保護?！?/p>

互聯網診療業務需要滿足患者的互聯網訪問需要，屬于互聯網業務，但又與傳統意義上的互聯網業務不同，滿足互聯網訪問的同時還需要與內網HIS系統進行數據交互，而現有內外網完全隔離的網絡情況不能適應新業務建設的需要，該類業務的建設將打破業務內網的安全邊界。因此需要進行網絡改造，將完全物理隔離的內外兩套網絡打通，統一互聯網出口，規劃對外業務區域，滿足醫院未來信息化發展的需要，并保障醫院整體網絡的安全合規。

依照國家《計算機信息系統安全保護等級劃分準則》、《信息系統安全等級保護基本要求》、《信息系統安全保護等級定級指南》等標準，以及醫院對信息系統等級保護工作的有關規定和要求，對醫院的網絡和信息系統進行安全設計，多方面為醫院的業務系統提供立體、縱深的安全保障防御體系，保證信息系統整體的安全保護能力。

安全技術

? 網絡邊界安全設計 邊界防護是安全保障體系中基礎的第一道門檻，在互聯網出口部署抗DDOS系統、下一代防火墻和入侵防御系統，能夠對DOS攻擊、漏洞攻擊、蠕蟲病毒、間諜軟件、木馬后門、溢出攻擊、數據庫攻擊、高級威脅攻擊、暴力破解等多種深層攻擊行為進行防御。 在專網出口部署下一代防火墻，有效控制來自專網的非法訪問，實現安全的訪問控制。 ? 應用安全設計 醫院互聯網前端應用主要以網站為核心業務，因此部署web應用防火墻，用于防御以Web應用程序漏洞為目標的攻擊，提高Web或網絡協議應用的可用性、性能和安全性，確保Web業務應用安全、快速、可靠地交付。 醫院互聯網前端應用和醫療核心應用系統均部署數據庫審計系統，對數據庫管理員、業務員的數據庫訪問行為進行解析、記錄、控制、分析，監控各類對數據庫的訪問行為、提供防統方檢測規則，發現違規操作風險，精確定位責任人，保障核心數據安全。 ? 威脅檢測與管理設計 內、外網核心交換機均部署高級持續性威脅檢測系統，采用大數據處理架構集合機器學習、文件虛擬執行檢測技術、攻擊行為建模分析等新一代AI技術，針對各種網絡入侵攻擊、惡意代碼傳播、黑客控制及滲透攻擊等，尤其是新型網絡攻擊、隱蔽黑客控制、APT攻擊等高級網絡攻擊，對攻擊中廣泛采用的0day/Nday漏洞、特種木馬、滲透入侵等技術進行深度分析，提升防護高級威脅攻擊的能力。 ? 安全運營管理設計 建立專門的安全管理區，部署漏洞掃描、堡壘機、安全管理服務器和態勢感知平臺等安全運營類產品。 漏洞掃描系統基于網絡的脆弱性分析、評估與管理系統。提供對主機、操作系統以及網絡設備的脆弱性檢查、評估與管理。集成系統漏掃、Web漏掃、配置核查于一體，方便用戶從多維度對系統安全性進行評估。 堡壘機能夠對運維人員維護過程進行全面跟蹤、控制、記錄、回放；支持細粒度配置運維人員的訪問權限，實時阻斷違規、越權的訪問行為，同時提供維護人員操作的全過程的記錄與報告，是IT系統內部控制有力的支撐平臺。 態勢感知平臺是網絡安全運營的上層支撐平臺，提供對各種安全產品及系統的整合和協調，實現對各種安全對象、安全事件及數據的統一管理和集中分析，為安全事件管理、安全風險管理、安全預警管理、安全知識管理等提供技術平臺支撐。

安全管理

建立統一的信息安全管理體系，落實各項管理制度，讓醫院的安全管理體系，有宏觀的設計、有清晰的責任權限、有合理的制度要求。同時應用包括安全可視化、統一運維管理的創新的技術手段，簡化安全運維管理，減輕安全運維管理的負擔，提升安全運維管理的效率，最終做到整體防御、分區隔離；積極防護、內外兼防；自身防御、主動免疫；縱深防御、技管并重。

本方案通過對醫院網絡各安全域進行全面的安全需求分析、針對性措施防護、整體策略聯動等，采用多類產品協同防御，打造縱深有序的全面安全方案，滿足內外兼修、整體協同防御的需求，實現內外結合、多層次分別重點防護，全面支撐醫院網絡和業務安全需求。 方案價值如下： ? 提升醫院信息安全防護水平，滿足合規、落實《中華人民共和國網絡安全法》及《GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求》 ? 形成具有縱深防御和持續運營能力的全方位網絡安全保障體系 ? 采用新的信息安全保護技術，實現對日益嚴重的APT攻擊中廣泛使用的0Day/Nday漏洞和特種木馬等威脅的檢測和防護 ? 實現醫院網絡安全統一管理，統一監控，統一防護