一、痛点和需求
应急总医院根据相关政策要求,需对HIS 系统(三级)和 PACS、LIS 系统(二级)进行等级保护建设,同时兼顾网络边界安全和 业务可拓展性,最终实现在等保合规的基础上,安全措施手段更具实用性。除满足等保合规需求外,医院网络的迫切需求主要 包含以下四个方面:
1、根据业务系统特点和医院网络安全需求,对医院网络和业务系统进行梳理,构建网络安全区域边界,保障关键 业务系统安全防护。
2、互联网边界安全加固。随着“互联网 + 医疗”的兴起,内外网业务互联互通已成为医院业务发展的趋势,互联网 出口成为整个医院网络的关键节点,需要加强互联网边界安全防护,对互联网出口链路、边界防护、入侵防范、 流量管理、日志审计等进行安全加固。
3、构建安全检测响应能力。在边界防护基础上,加强内网的持续安全检测也是医院的网络安全工作的重中之重。 当前的医疗网络环境越来越复杂,针对医疗系统的勒索病毒事件时有发生,黑客有多重手段突破边界进入内 网,对业务系统实施破坏或窃密。因此必须在边界安全防御的基础上加强内网持续检测能力,及时发现内网潜伏威胁和外部高危攻击行为。
4、老旧办公终端更换。传统 PC 设备为中心的计算模式,IT 桌面管理是信息化建设的痛点。
二、解决之道
1、关键业务系统安全防护。对医院的网络情况进行梳理,根据不同业务系统的安全需求对网络初步划分安全区 域,构建安全边界,保护 HIS、LIS、PACS 等业务系统的安全。
2、互联网边界安全加固。内外网边界打通后,互联网出口成为整个医院网络的关键节点,根据互联网出口的安全 性和稳定性需求,对出口链路进行扩容,并采用负载均衡设备保障出口链路稳定高可用;通过在互联网出口 部署深信服下一代防火墙阻挡大量互联网攻击并实现访问控制、入侵防御、僵尸网络检测能力,全面抵御新型 威胁和网络攻击,满足等级保护对区域边界的相关要求;同时部署深信服上网行为管理设备,对用户上网流 量和对外业务流量进行合理的带宽分配,满足审计合规的要求。
3、建立安全运营中心,实时监控网络安全状态。通过部署深信服安全感知系统,建立安全运营中心,对网络流量 进行持续检测,实现全网流量可视,及时发现潜伏威胁和内部攻击,调整策略实现动态防御,使医院网络具备 真正的安全能力。
4、老旧办公终端更换。为解决该问题,采用“传统 PC+ 桌面虚拟化”混合模式替换医院老旧办公终端,对于通用 办公场景优先采用桌面虚拟化的办公方式,逐步实现医院办公桌面改造。
5、主机安全防护。部署深信服终端检测响应系统(EDR),以资产为中心,对主机安全精准、持续的检测,并通过联 动协同响应快速处置终端资产安全问题,构建终端检测响应平台。
6、其他等保合规建设。部署日志审计系统、数据库审计、终端准入系统,满足等保要求关于日志审计与集中管控 等方面的要求。
三、方案价值
1、用户原网络安全建设较为薄弱,通过本次安全建设,帮助用户建立内、外网严格的安全域,构建起网络安 全边界。
2、部署安全感知平台,加强内网安全持续检测,发现问题快速响应,及时处置和调整安全策略。以安全感知为核 心、边界防御为基础构建预防、防御、检测、响应于一体的闭环安全体系,帮助用户满足等保合规需求。
3、帮助用户建立起可感知、易运营的安全运营体系,在医疗勒索病毒猖獗时期为医疗业务提供安全、稳定的运行环境。