醫院等級保護解決方案

信息安全等級保護是國家信息安全保障的基本制度、基本策略和基本方法，2017年6月1日正式實(shí)施的《網(wǎng)絡(luò )安全法》明確提出“國家實(shí)施網(wǎng)絡(luò )安全等級保護制度”。在國家實(shí)施網(wǎng)絡(luò )安全等級保護制度的基礎上，衛生健康委、中醫藥局針對互聯(lián)網(wǎng)診療和互聯(lián)網(wǎng)醫院業(yè)務(wù)的等級保護工作提出了具體要求： ? 衛生健康委、中醫藥局聯(lián)合印發(fā)的《互聯(lián)網(wǎng)診療管理辦法（試行）》【國衛醫發(fā)〔2018〕25號】第十三條規定：“醫療機構開(kāi)展互聯(lián)網(wǎng)診療活動(dòng)，應當具備滿(mǎn)足互聯(lián)網(wǎng)技術(shù)要求的設備設施、信息系統、技術(shù)人員以及信息安全系統，并實(shí)施第三級信息安全等級保護?！?? 衛生健康委、中醫藥局聯(lián)合印發(fā)的《互聯(lián)網(wǎng)醫院管理辦法（試行）》【國衛醫發(fā)〔2018〕25號】第十五條規定：“互聯(lián)網(wǎng)醫院信息系統按照國家有關(guān)法律法規和規定，實(shí)施第三級信息安全等級保護?！?/p>

互聯(lián)網(wǎng)診療業(yè)務(wù)需要滿(mǎn)足患者的互聯(lián)網(wǎng)訪(fǎng)問(wèn)需要，屬于互聯(lián)網(wǎng)業(yè)務(wù)，但又與傳統意義上的互聯(lián)網(wǎng)業(yè)務(wù)不同，滿(mǎn)足互聯(lián)網(wǎng)訪(fǎng)問(wèn)的同時(shí)還需要與內網(wǎng)HIS系統進(jìn)行數據交互，而現有內外網(wǎng)完全隔離的網(wǎng)絡(luò )情況不能適應新業(yè)務(wù)建設的需要，該類(lèi)業(yè)務(wù)的建設將打破業(yè)務(wù)內網(wǎng)的安全邊界。因此需要進(jìn)行網(wǎng)絡(luò )改造，將完全物理隔離的內外兩套網(wǎng)絡(luò )打通，統一互聯(lián)網(wǎng)出口，規劃對外業(yè)務(wù)區域，滿(mǎn)足醫院未來(lái)信息化發(fā)展的需要，并保障醫院整體網(wǎng)絡(luò )的安全合規。

依照國家《計算機信息系統安全保護等級劃分準則》、《信息系統安全等級保護基本要求》、《信息系統安全保護等級定級指南》等標準，以及醫院對信息系統等級保護工作的有關(guān)規定和要求，對醫院的網(wǎng)絡(luò )和信息系統進(jìn)行安全設計，多方面為醫院的業(yè)務(wù)系統提供立體、縱深的安全保障防御體系，保證信息系統整體的安全保護能力。

安全技術(shù)

? 網(wǎng)絡(luò )邊界安全設計 邊界防護是安全保障體系中基礎的第一道門(mén)檻，在互聯(lián)網(wǎng)出口部署抗DDOS系統、下一代防火墻和入侵防御系統，能夠對DOS攻擊、漏洞攻擊、蠕蟲(chóng)病毒、間諜軟件、木馬后門(mén)、溢出攻擊、數據庫攻擊、高級威脅攻擊、暴力破解等多種深層攻擊行為進(jìn)行防御。 在專(zhuān)網(wǎng)出口部署下一代防火墻，有效控制來(lái)自專(zhuān)網(wǎng)的非法訪(fǎng)問(wèn)，實(shí)現安全的訪(fǎng)問(wèn)控制。 ? 應用安全設計 醫院互聯(lián)網(wǎng)前端應用主要以網(wǎng)站為核心業(yè)務(wù)，因此部署web應用防火墻，用于防御以Web應用程序漏洞為目標的攻擊，提高Web或網(wǎng)絡(luò )協(xié)議應用的可用性、性能和安全性，確保Web業(yè)務(wù)應用安全、快速、可靠地交付。 醫院互聯(lián)網(wǎng)前端應用和醫療核心應用系統均部署數據庫審計系統，對數據庫管理員、業(yè)務(wù)員的數據庫訪(fǎng)問(wèn)行為進(jìn)行解析、記錄、控制、分析，監控各類(lèi)對數據庫的訪(fǎng)問(wèn)行為、提供防統方檢測規則，發(fā)現違規操作風(fēng)險，精確定位責任人，保障核心數據安全。 ? 威脅檢測與管理設計 內、外網(wǎng)核心交換機均部署高級持續性威脅檢測系統，采用大數據處理架構集合機器學(xué)習、文件虛擬執行檢測技術(shù)、攻擊行為建模分析等新一代AI技術(shù)，針對各種網(wǎng)絡(luò )入侵攻擊、惡意代碼傳播、黑客控制及滲透攻擊等，尤其是新型網(wǎng)絡(luò )攻擊、隱蔽黑客控制、APT攻擊等高級網(wǎng)絡(luò )攻擊，對攻擊中廣泛采用的0day/Nday漏洞、特種木馬、滲透入侵等技術(shù)進(jìn)行深度分析，提升防護高級威脅攻擊的能力。 ? 安全運營(yíng)管理設計 建立專(zhuān)門(mén)的安全管理區，部署漏洞掃描、堡壘機、安全管理服務(wù)器和態(tài)勢感知平臺等安全運營(yíng)類(lèi)產(chǎn)品。 漏洞掃描系統基于網(wǎng)絡(luò )的脆弱性分析、評估與管理系統。提供對主機、操作系統以及網(wǎng)絡(luò )設備的脆弱性檢查、評估與管理。集成系統漏掃、Web漏掃、配置核查于一體，方便用戶(hù)從多維度對系統安全性進(jìn)行評估。 堡壘機能夠對運維人員維護過(guò)程進(jìn)行全面跟蹤、控制、記錄、回放；支持細粒度配置運維人員的訪(fǎng)問(wèn)權限，實(shí)時(shí)阻斷違規、越權的訪(fǎng)問(wèn)行為，同時(shí)提供維護人員操作的全過(guò)程的記錄與報告，是IT系統內部控制有力的支撐平臺。 態(tài)勢感知平臺是網(wǎng)絡(luò )安全運營(yíng)的上層支撐平臺，提供對各種安全產(chǎn)品及系統的整合和協(xié)調，實(shí)現對各種安全對象、安全事件及數據的統一管理和集中分析，為安全事件管理、安全風(fēng)險管理、安全預警管理、安全知識管理等提供技術(shù)平臺支撐。

安全管理

建立統一的信息安全管理體系，落實(shí)各項管理制度，讓醫院的安全管理體系，有宏觀(guān)的設計、有清晰的責任權限、有合理的制度要求。同時(shí)應用包括安全可視化、統一運維管理的創(chuàng )新的技術(shù)手段，簡(jiǎn)化安全運維管理，減輕安全運維管理的負擔，提升安全運維管理的效率，最終做到整體防御、分區隔離；積極防護、內外兼防；自身防御、主動(dòng)免疫；縱深防御、技管并重。

本方案通過(guò)對醫院網(wǎng)絡(luò )各安全域進(jìn)行全面的安全需求分析、針對性措施防護、整體策略聯(lián)動(dòng)等，采用多類(lèi)產(chǎn)品協(xié)同防御，打造縱深有序的全面安全方案，滿(mǎn)足內外兼修、整體協(xié)同防御的需求，實(shí)現內外結合、多層次分別重點(diǎn)防護，全面支撐醫院網(wǎng)絡(luò )和業(yè)務(wù)安全需求。 方案價(jià)值如下： ? 提升醫院信息安全防護水平，滿(mǎn)足合規、落實(shí)《中華人民共和國網(wǎng)絡(luò )安全法》及《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求》 ? 形成具有縱深防御和持續運營(yíng)能力的全方位網(wǎng)絡(luò )安全保障體系 ? 采用新的信息安全保護技術(shù)，實(shí)現對日益嚴重的APT攻擊中廣泛使用的0Day/Nday漏洞和特種木馬等威脅的檢測和防護 ? 實(shí)現醫院網(wǎng)絡(luò )安全統一管理，統一監控，統一防護