医院等级保护解决方案

信息安全等级保护是国家信息安全保障的基本制度、基本策略和基本方法，2017年6月1日正式实施的《网络安全法》明确提出“国家实施网络安全等级保护制度”。在国家实施网络安全等级保护制度的基础上，卫生健康委、中医药局针对互联网诊疗和互联网医院业务的等级保护工作提出了具体要求： ▶ 卫生健康委、中医药局联合印发的《互联网诊疗管理办法（试行）》【国卫医发〔2018〕25号】第十三条规定：“医疗机构开展互联网诊疗活动，应当具备满足互联网技术要求的设备设施、信息系统、技术人员以及信息安全系统，并实施第三级信息安全等级保护。” ▶ 卫生健康委、中医药局联合印发的《互联网医院管理办法（试行）》【国卫医发〔2018〕25号】第十五条规定：“互联网医院信息系统按照国家有关法律法规和规定，实施第三级信息安全等级保护。”

互联网诊疗业务需要满足患者的互联网访问需要，属于互联网业务，但又与传统意义上的互联网业务不同，满足互联网访问的同时还需要与内网HIS系统进行数据交互，而现有内外网完全隔离的网络情况不能适应新业务建设的需要，该类业务的建设将打破业务内网的安全边界。因此需要进行网络改造，将完全物理隔离的内外两套网络打通，统一互联网出口，规划对外业务区域，满足医院未来信息化发展的需要，并保障医院整体网络的安全合规。

依照国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准，以及医院对信息系统等级保护工作的有关规定和要求，对医院的网络和信息系统进行安全设计，多方面为医院的业务系统提供立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能力。

安全技术

▶ 网络边界安全设计 边界防护是安全保障体系中基础的第一道门槛，在互联网出口部署抗DDOS系统、下一代防火墙和入侵防御系统，能够对DOS攻击、漏洞攻击、蠕虫病毒、间谍软件、木马后门、溢出攻击、数据库攻击、高级威胁攻击、暴力破解等多种深层攻击行为进行防御。 在专网出口部署下一代防火墙，有效控制来自专网的非法访问，实现安全的访问控制。 ▶ 应用安全设计 医院互联网前端应用主要以网站为核心业务，因此部署web应用防火墙，用于防御以Web应用程序漏洞为目标的攻击，提高Web或网络协议应用的可用性、性能和安全性，确保Web业务应用安全、快速、可靠地交付。 医院互联网前端应用和医疗核心应用系统均部署数据库审计系统，对数据库管理员、业务员的数据库访问行为进行解析、记录、控制、分析，监控各类对数据库的访问行为、提供防统方检测规则，发现违规操作风险，精确定位责任人，保障核心数据安全。 ▶ 威胁检测与管理设计 内、外网核心交换机均部署高级持续性威胁检测系统，采用大数据处理架构集合机器学习、文件虚拟执行检测技术、攻击行为建模分析等新一代AI技术，针对各种网络入侵攻击、恶意代码传播、黑客控制及渗透攻击等，尤其是新型网络攻击、隐蔽黑客控制、APT攻击等高级网络攻击，对攻击中广泛采用的0day/Nday漏洞、特种木马、渗透入侵等技术进行深度分析，提升防护高级威胁攻击的能力。 ▶ 安全运营管理设计 建立专门的安全管理区，部署漏洞扫描、堡垒机、安全管理服务器和态势感知平台等安全运营类产品。 漏洞扫描系统基于网络的脆弱性分析、评估与管理系统。提供对主机、操作系统以及网络设备的脆弱性检查、评估与管理。集成系统漏扫、Web漏扫、配置核查于一体，方便用户从多维度对系统安全性进行评估。 堡垒机能够对运维人员维护过程进行全面跟踪、控制、记录、回放；支持细粒度配置运维人员的访问权限，实时阻断违规、越权的访问行为，同时提供维护人员操作的全过程的记录与报告，是IT系统内部控制有力的支撑平台。 态势感知平台是网络安全运营的上层支撑平台，提供对各种安全产品及系统的整合和协调，实现对各种安全对象、安全事件及数据的统一管理和集中分析，为安全事件管理、安全风险管理、安全预警管理、安全知识管理等提供技术平台支撑。

安全管理

建立统一的信息安全管理体系，落实各项管理制度，让医院的安全管理体系，有宏观的设计、有清晰的责任权限、有合理的制度要求。同时应用包括安全可视化、统一运维管理的创新的技术手段，简化安全运维管理，减轻安全运维管理的负担，提升安全运维管理的效率，最终做到整体防御、分区隔离；积极防护、内外兼防；自身防御、主动免疫；纵深防御、技管并重。

本方案通过对医院网络各安全域进行全面的安全需求分析、针对性措施防护、整体策略联动等，采用多类产品协同防御，打造纵深有序的全面安全方案，满足内外兼修、整体协同防御的需求，实现内外结合、多层次分别重点防护，全面支撑医院网络和业务安全需求。 方案价值如下： ▶ 提升医院信息安全防护水平，满足合规、落实《中华人民共和国网络安全法》及《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》 ▶ 形成具有纵深防御和持续运营能力的全方位网络安全保障体系 ▶ 采用新的信息安全保护技术，实现对日益严重的APT攻击中广泛使用的0Day/Nday漏洞和特种木马等威胁的检测和防护 ▶ 实现医院网络安全统一管理，统一监控，统一防护