随着国内医疗信息化水平的快速发展,国家安全生产监督管理总局希望利用医疗信息技术手段,搭建以应急医院为核心的国家安全生产医疗救援基地信息平台。以国家安全生产医疗救援基地信息平台为支撑,建立与各级医疗救护中心、医疗救护基地等形成上下贯通、左右衔接、互联互通、信息共享、互为支撑的国家安全生产医疗救援体系。
同时,随着《网络安全法》的施行,网络安全建设已经提升到国家战略层面。应急医院作为网络运营者,其信息数据与公众生命安全、民生息息相关,重要性不言而喻。在此背景下,医院意识到无论从安全防御的技术层面还是从《网络安全法》及网络安全等级保护制度的合法合规要求上来说,完善网络安全技术手段,保护重要信息数据安全已经迫在眉睫、势在必行。
痛点和需求
应急总医院根据相关政策要求,需对 HIS 系统(三级)和 PACS、LIS 系统(二级)进行等级保护建设,同时兼顾网络边界安全和业务可拓展性,最终实现在等保合规的基础上,安全措施手段更具实用性。除满足等保合规需求外,医院网络的迫切需求主要包含以下四个方面:
-
根据业务系统特点和医院网络安全需求,对医院网络和业务系统进行梳理,构建网络安全区域边界,保障关键业务系统安全防护。
-
互联网边界安全加固。随着"互联网 + 医疗"的兴起,内外网业务互联互通已成为医院业务发展的趋势,互联网出口成为整个医院网络的关键节点,需要加强互联网边界安全防护,对互联网出口链路、边界防护、入侵防范、流量管理、日志审计等进行安全加固。
-
构建安全检测响应能力。在边界防护基础上,加强内网的持续安全检测也是医院的网络安全工作的重中之重。当前的医疗网络环境越来越复杂,针对医疗系统的勒索病毒事件时有发生,黑客有多重手段突破边界进入内网,对业务系统实施破坏或窃密。因此必须在边界安全防御的基础上加强内网持续检测能力,及时发现内网潜伏威胁和外部高危攻击行为。
-
老旧办公终端更换。传统 PC 设备为中心的计算模式,IT桌面管理是信息化建设的痛点。
解决之道
-
关键业务系统安全防护。对医院的网络情况进行梳理,根据不同业务系统的安全需求对网络初步划分安全区域,构建安全边界,保护 HIS、LIS、PACS 等业务系统的安全。
-
互联网边界安全加固。内外网边界打通后,互联网出口成为整个医院网络的关键节点,根据互联网出口的安全性和稳定性需求,对出口链路进行扩容,并采用负载均衡设备保障出口链路稳定高可用;通过在互联网出口部署下一代防火墙阻挡大量互联网攻击并实现访问控制、入侵防御、僵尸网络检测能力,全面抵御新型威胁和网络攻击,满足等级保护对区域边界的相关要求;同时部署上网行为管理设备,对用户上网流量和对外业务流量进行合理的带宽分配,满足审计合规的要求。
-
建立安全运营中心,实时监控网络安全状态。通过部署安全感知系统,建立安全运营中心,对网络流量进行持续检测,实现全网流量可视,及时发现潜伏威胁和内部攻击,调整策略实现动态防御,使医院网络具备真正的安全能力。
-
老旧办公终端更换。为解决该问题,采用"传统 PC+ 桌面虚拟化"混合模式替换医院老旧办公终端,对于通用办公场景优先采用桌面虚拟化的办公方式,逐步实现医院办公桌面改造。
-
主机安全防护。部署终端检测响应系统(EDR),以资产为中心,对主机安全精准、持续的检测,并通过联动协同响应快速处置终端资产安全问题,构建终端检测响应平台。
-
其他等保合规建设。部署日志审计系统、数据库审计、终端准入系统,满足等保要求关于日志审计与集中管控等方面的要求。
网络拓扑
