医(yī)院等保2.0解决方案

一．背景介绍

近年来，信息技(jì )术对健康医(yī)疗事业的影响日趋明显，以大数据、云计算、移动互联等新(xīn)兴信息技(jì )术為(wèi)核心的新(xīn)一轮科(kē)技(jì )革命，推动了人口健康信息化和健康医(yī)疗大数据应用(yòng)发展，為(wèi)人口健康信息化创造了广阔的空间，同时也為(wèi)医(yī)疗行业带来网络安(ān)全问题，针对医(yī)院的勒索、挖矿、信息泄露等信息安(ān)全事件层出不穷，医(yī)院网络已经成為(wèi)了不法黑客的重点攻击对象之一。

2011 年，國(guó)家卫计委為(wèi)贯彻落实國(guó)家信息安(ān)全等级保护制度，规范和指导全國(guó)卫生行业信息安(ān)全等级保护工(gōng)作(zuò)，结合卫生行业实际情况印发了《卫生行业信息安(ān)全等级保护工(gōng)作(zuò)的指导意见》，旨在全面提高卫生行业信息安(ān)全保障能(néng)力和水平，保障和促进卫生信息化健康发展。医(yī)疗信息数据与公(gōng)众生命安(ān)全、民(mín)生息息相关，重要性不言而喻，通过體(tǐ)系化的网络安(ān)全建设，保护医(yī)院网络、信息数据安(ān)全势在必行。

二．方案概述

天融信遵循纵深防御、安(ān)全互补、强度一致、统一支撑和集中(zhōng)管理(lǐ)的思路，严格遵照國(guó)家及医(yī)疗行业相关要求，為(wèi)医(yī)院网络建立满足等级保护三级要求的安(ān)全保障體(tǐ)系。首先，将医(yī)院信息网络及诊疗系统作(zuò)為(wèi)安(ān)全保护对象，為(wèi)医(yī)院网络建设“一个中(zhōng)心，三重防护”的纵深防御技(jì )术體(tǐ)系；其次，结合安(ān)全管理(lǐ)體(tǐ)系与安(ān)全运维體(tǐ)系，落实安(ān)全管理(lǐ)和安(ān)全技(jì )术两大维度的具(jù)體(tǐ)实施与维护；最后，以诊疗系统的安(ān)全运营為(wèi)信息安(ān)全保障建设的核心，并辅以安(ān)全服務(wù)贯穿信息安(ān)全保障體(tǐ)系的全过程，实现网络安(ān)全风险可(kě)控。

三．安(ān)全技(jì )术措施设计

1、通用(yòng)安(ān)全设计

医(yī)院网络安(ān)全技(jì )术體(tǐ)系的设计内容主要涵盖安(ān)全管理(lǐ)中(zhōng)心、安(ān)全通信网络、安(ān)全區(qū)域边界、安(ān)全计算环境：

安(ān)全通信网络设计

l关键网络节点、设备及链路需进行冗余建设，保证高可(kě)用(yòng)性；

l部署防火墙提供可(kě)靠的安(ān)全域隔离；

l部署VPN保证遠(yuǎn)程通信过程中(zhōng)数据的保密性及完整性。

安(ān)全區(qū)域边界设计

l部署网络准入控制系统，对非授权设备私自接入内部网络的行為(wèi)进行控制；

l部署EDR，对内部用(yòng)户非法外联行為(wèi)进行控制；

l部署防火墙系统实现基于应用(yòng)协议和应用(yòng)内容的访问控制；

l部署双向网闸、数据安(ān)全交换平台实现医(yī)院内外网数据的安(ān)全隔离与交换；

l部署抗DDoS功能(néng)（集成于防火墙）、IPS、WAF、IDS、APT安(ān)全监测等，在关键网络节点处检测网络攻击行為(wèi)，对网络攻击特别是新(xīn)型网络攻击行為(wèi)进行检测、分(fēn)析、告警和防范；

l部署防病毒网关、僵木(mù)蠕系统，在关键网络节点处对恶意代码进行检测和防范；

l部署网络审计系统，对用(yòng)户的网络访问行為(wèi)进行审计和数据分(fēn)析。

安(ān)全计算环境设计

l部署堡垒主机对用(yòng)户进行身份鉴别，对管理(lǐ)用(yòng)户进行权限管理(lǐ)；

l部署数据库审计系统，对重要的用(yòng)户行為(wèi)和重要安(ān)全事件进行集中(zhōng)审计；

l 部署漏洞管理(lǐ)、基線(xiàn)管理(lǐ)、终端威胁防御等系统保障终端及服務(wù)器安(ān)全；

l采用(yòng)密码技(jì )术，保障重要数据的完整性、保密性；

l部署容灾备份系统，保障重要数据的可(kě)用(yòng)性；

l对重要网站系统提供网页(yè)防篡改、网站安(ān)全监控等保护机制；

安(ān)全管理(lǐ)中(zhōng)心设计

l通过堡垒主机实现集中(zhōng)的身份鉴别、访问授权和操作(zuò)审计；

l部署网络管理(lǐ)系统，对网络和信息基础设施的运行状况进行集中(zhōng)监控；

l部署日志(zhì)审计系统，对分(fēn)散在网络中(zhōng)的审计数据进行收集汇总和集中(zhōng)分(fēn)析；

l内网部署态势感知平台，支撑安(ān)全监测、分(fēn)析、预警、响应、处置、追溯等安(ān)全管理(lǐ)和运维工(gōng)作(zuò)；外网部署数据采集代理(lǐ)服務(wù)器，收集外网安(ān)全数据形成分(fēn)析结果，通过网闸发送到内网平台。

2、云计算安(ān)全设计

l部署安(ān)全资源池，实现对云租户南北向流量的检测与防护；

l部署虚拟化分(fēn)布式防火墙，实现对云主机东西向流量的检测与防护；

l部署EDR，实现云主机本地的威胁检测与防护；

l部署云安(ān)全管理(lǐ)中(zhōng)心完成统一的策略管理(lǐ)、安(ān)全监控、策略迁移和自动化部署。

3、移动互联安(ān)全设计

无線(xiàn)接入安(ān)全设计

l在受控边界处部署防火墙与有(yǒu)線(xiàn)网络实现安(ān)全隔离；

l部署无線(xiàn)管理(lǐ)平台集中(zhōng)管理(lǐ)无線(xiàn)AP的位置、数量、信道等；

l通过无線(xiàn)管理(lǐ)平台提供符合國(guó)密算法的身份认证；

l部署EMM对接入终端的进行定位和准入；

移动终端安(ān)全设计

通过EMM实现医(yī)护终端登记注册，提供全生命周期管控，终端遗失后，可(kě)定位位置、遠(yuǎn)程锁定设备、遠(yuǎn)程擦除敏感数据，防止数据泄露。

移动应用(yòng)安(ān)全设计

l采用(yòng)EMM对APP进行上線(xiàn)前安(ān)全检测、安(ān)全加固、提供黑白名(míng)单功能(néng)，确保应用(yòng)安(ān)全性。