安全解决方案集成
日期:2021-05-31 浏览次数:
背景:
某市三甲医院在部署互联网医疗体系,电子病历,集成平台之后,所有的业务都通过数据中心以及网络进行生产数据支撑,加上移动oa的大面积铺开,网络的安全越来越重要,医院信息化已成为医疗服务的重要支撑体系,医院信息系统的建设已经成为建设的热点,信息系统是支撑医院系统运作及各部门共同合作与营运的关键应用,承载着医院主要的业务数据。而医院信息系统的安全性直接关系到医院医疗工作的正常运行,一旦信息系统出现问题或遭受安全攻击,会给医院和病人带来巨大的灾难和难以弥补的损失。同时,医院信息系统涉及大量医院经营数据及患者医疗等私密信息,信息的泄露会给医院、社会和患者带来安全风险
安全现状分析:
由于信息安全工作具有很强的技术特性,安全漏洞等安全技术威胁对信息安全的影响随着信息化程度的不断深入也在不断加大,医院现有的信息安全技术防护设施老化严重,安全防范能力逐渐落后,面对新型的APT攻击,勒索病毒,webshell后门、XSS攻击无法形成完整的防范体系
目前信息系统面临的主要技术风险集中体现在以下几个方面:
一. 内外网没有做到完全隔离,部分网络设备配置不当,安全防护措施薄弱;
二. 部分操作系统的主机安全层面基本处于零防护状态;
三. 终端用户没有准入系统,业务数据安全,审计无足够保障;
四. 缺乏整体性信息安全技术防护体系考虑,需要重视信息系统的安全防护和安全检测。
五. 信息系统安全监控检测机制不完善,缺乏安全管理中心,不能实现安全的“统一监控、统一管理”,无法实现动态的安全保障体系。
解决方案
外联区域:由于医院的业务需要,需要跟医保、银行、卫生专网等相连接,为了避免外部的威胁,本域的安全策略采用防火墙进行隔离,并根据实际需要配置相关访问控制策略。
核心交换区域:医院业务内网的网络架构核心,都是以核心交换机作为数据转发和汇总,划分出核心交换域保障业务数据的正常流转,实施VLAN、ACL技术,隔离相关的安全域,在安全方面主要部署安全域流监控系统及入侵检测设备,检测与预警内网的安全状况。
服务器区域:医院业务内网规划服务器域作为重点保障的区域,部署了医院重要临床应用业务系统和数据库,如LIS、PACS、HIS等,通过与其它安全域的安全隔离保证应用服务和业务数据的安全,主要采用下一代防火墙、入侵防御进行安全防护、数据库审计+医疗防统方等技术措施,通过交换机镜像数据到网络安全审计+医疗防统方设备,审计用户网络操作行为和数据库操作行为,达到对服务器应用和数据库的访问审计、入侵检测和访问控制。
运维管理区域:业务内网划分出运维管理域,主要承担日常运维管理、内网基础设施监控、安全监测中心的活动,为全院的主机、应用、网络、数据提供统一收集、监测、日志审计、管理。并将其他安全设备都规划于此,利用现有一体化安全网关进行访问控制
内网接入区域:规划为医院业务内网门诊和住院终端接入域,所有需要接入网络的用户都将按照本域的安全策略进行目标访问,任何越权访问都将被隔离,可以提高访问的安全性,避免用户的恶意攻击。部署防病毒客户端和终端安全管理客户端,有效管控终端免受恶意代码攻击和监管终端状态管理。
互联网区域:暂将医院外网部分整体规划为外网区域,通过在内网与外网之间部署网闸,将整个网络有效地进行安全域隔离,实现内外网之间数据的安全交换,在互联网出口边界部署入侵防御、上网行为管理等设备,可以同时针对互联网访问,实现安全控制、入侵防御,并针对外网办公子域终端对互联网访问的控制管理以及审计。
同时利用现有VPN设备,实现员工远程办公需求。
