一.背景介紹
近年來(lái),信息技術對(duì)健康醫(yī)療事(shì)業的影響日趨明(míng)顯,以大(dà)數據、雲計(jì)算(suàn)、移動互聯等新興信息技術爲核心的新一輪科技革命,推動了(le)人口健康信息化和(hé)健康醫(yī)療大(dà)數據應用(yòng)發展,爲人口健康信息化創造了(le)廣闊的空(kōng)間,同時(shí)也(yě)爲醫(yī)療行業帶來(lái)網絡安全問題,針對(duì)醫(yī)院的勒索、挖礦、信息洩露等信息安全事(shì)件層出不窮,醫(yī)院網絡已經成爲了(le)不法黑客的重點攻擊對(duì)象之一。
2011 年,國家衛計(jì)委爲貫徹落實國家信息安全等級保護制度,規範和(hé)指導全國衛生行業信息安全等級保護工(gōng)作(zuò),結合衛生行業實際情況印發了(le)《衛生行業信息安全等級保護工(gōng)作(zuò)的指導意見》,旨在全面提高(gāo)衛生行業信息安全保障能(néng)力和(hé)水(shuǐ)平,保障和(hé)促進衛生信息化健康發展。醫(yī)療信息數據與公衆生命安全、民生息息相關,重要性不言而喻,通過體系化的網絡安全建設,保護醫(yī)院網絡、信息數據安全勢在必行。
二.方案概述
天融信遵循縱深防禦、安全互補、強度一緻、統一支撐和(hé)集中管理(lǐ)的思路,嚴格遵照國家及醫(yī)療行業相關要求,爲醫(yī)院網絡建立滿足等級保護三級要求的安全保障體系。首先,将醫(yī)院信息網絡及診療系統作(zuò)爲安全保護對(duì)象,爲醫(yī)院網絡建設“一個中心,三重防護”的縱深防禦技術體系;其次,結合安全管理(lǐ)體系與安全運維體系,落實安全管理(lǐ)和(hé)安全技術兩大(dà)維度的具體實施與維護;最後,以診療系統的安全運營爲信息安全保障建設的核心,并輔以安全服務貫穿信息安全保障體系的全過程,實現(xiàn)網絡安全風(fēng)險可控。
三.安全技術措施設計(jì)
1、通用(yòng)安全設計(jì)
醫(yī)院網絡安全技術體系的設計(jì)内容主要涵蓋安全管理(lǐ)中心、安全通信網絡、安全區(qū)域邊界、安全計(jì)算(suàn)環境:
安全通信網絡設計(jì)
l關鍵網絡節點、設備及鏈路需進行冗餘建設,保證高(gāo)可用(yòng)性;
l部署防火牆提供可靠的安全域隔離;
l部署VPN保證遠程通信過程中數據的保密性及完整性。
安全區(qū)域邊界設計(jì)
l部署網絡準入控制系統,對(duì)非授權設備私自(zì)接入内部網絡的行爲進行控制;
l部署EDR,對(duì)内部用(yòng)戶非法外(wài)聯行爲進行控制;
l部署防火牆系統實現(xiàn)基于應用(yòng)協議(yì)和(hé)應用(yòng)内容的訪問控制;
l部署雙向網閘、數據安全交換平台實現(xiàn)醫(yī)院内外(wài)網數據的安全隔離與交換;
l部署抗DDoS功能(néng)(集成于防火牆)、IPS、WAF、IDS、APT安全監測等,在關鍵網絡節點處檢測網絡攻擊行爲,對(duì)網絡攻擊特别是新型網絡攻擊行爲進行檢測、分析、告警和(hé)防範;
l部署防病毒網關、僵木(mù)蠕系統,在關鍵網絡節點處對(duì)惡意代碼進行檢測和(hé)防範;
l部署網絡審計(jì)系統,對(duì)用(yòng)戶的網絡訪問行爲進行審計(jì)和(hé)數據分析。
安全計(jì)算(suàn)環境設計(jì)
l部署堡壘主機對(duì)用(yòng)戶進行身份鑒别,對(duì)管理(lǐ)用(yòng)戶進行權限管理(lǐ);
l部署數據庫審計(jì)系統,對(duì)重要的用(yòng)戶行爲和(hé)重要安全事(shì)件進行集中審計(jì);
l 部署漏洞管理(lǐ)、基線管理(lǐ)、終端威脅防禦等系統保障終端及服務器安全;
l采用(yòng)密碼技術,保障重要數據的完整性、保密性;
l部署容災備份系統,保障重要數據的可用(yòng)性;
l對(duì)重要網站(zhàn)系統提供網頁防篡改、網站(zhàn)安全監控等保護機制;
安全管理(lǐ)中心設計(jì)
l通過堡壘主機實現(xiàn)集中的身份鑒别、訪問授權和(hé)操作(zuò)審計(jì);
l部署網絡管理(lǐ)系統,對(duì)網絡和(hé)信息基礎設施的運行狀況進行集中監控;
l部署日志審計(jì)系統,對(duì)分散在網絡中的審計(jì)數據進行收集彙總和(hé)集中分析;
l内網部署态勢感知(zhī)平台,支撐安全監測、分析、預警、響應、處置、追溯等安全管理(lǐ)和(hé)運維工(gōng)作(zuò);外(wài)網部署數據采集代理(lǐ)服務器,收集外(wài)網安全數據形成分析結果,通過網閘發送到(dào)内網平台。
2、雲計(jì)算(suàn)安全設計(jì)
l部署安全資源池,實現(xiàn)對(duì)雲租戶南北向流量的檢測與防護;
l部署虛拟化分布式防火牆,實現(xiàn)對(duì)雲主機東西向流量的檢測與防護;
l部署EDR,實現(xiàn)雲主機本地的威脅檢測與防護;
l部署雲安全管理(lǐ)中心完成統一的策略管理(lǐ)、安全監控、策略遷移和(hé)自(zì)動化部署。
3、移動互聯安全設計(jì)
無線接入安全設計(jì)
l在受控邊界處部署防火牆與有線網絡實現(xiàn)安全隔離;
l部署無線管理(lǐ)平台集中管理(lǐ)無線AP的位置、數量、信道(dào)等;
l通過無線管理(lǐ)平台提供符合國密算(suàn)法的身份認證;
l部署EMM對(duì)接入終端的進行定位和(hé)準入;
移動終端安全設計(jì)
通過EMM實現(xiàn)醫(yī)護終端登記注冊,提供全生命周期管控,終端遺失後,可定位位置、遠程鎖定設備、遠程擦除敏感數據,防止數據洩露。
移動應用(yòng)安全設計(jì)
l采用(yòng)EMM對(duì)APP進行上(shàng)線前安全檢測、安全加固、提供黑白(bái)名單功能(néng),确保應用(yòng)安全性。
