首頁 > 客戶案例 > 正文

沈陽市某區(qū)縣醫(yī)共體網(wǎng)絡安全項目

閱讀量：

項目建設背景

XX區(qū)隸屬于遼寧省沈陽市，是沈陽十大市轄區(qū)之一，轄區(qū)內(nèi)3個區(qū)級醫(yī)療機構、4個社區(qū)衛(wèi)生服務中心、6個鄉(xiāng)鎮(zhèn)衛(wèi)生院組成，共同面向全區(qū)約40余萬常住居民提供服務。

2019年5月，國家衛(wèi)健委印發(fā)《關于推進緊密型區(qū)域醫(yī)療衛(wèi)生共同體建設的通知》，通知強調(diào)，通過緊密型醫(yī)共體建設，進一步完善區(qū)域醫(yī)療衛(wèi)生服務體系，提高區(qū)域醫(yī)療衛(wèi)生資源配置和使用效率，加快提升基層醫(yī)療衛(wèi)生服務能力，推動構建分級診療、合理診治和有序就醫(yī)新秩序。

xxx中心醫(yī)院利用管理優(yōu)勢、技術優(yōu)勢和信息優(yōu)勢，以技術支持和人才培訓為核心，從強基層，惠民生入手，實行醫(yī)療資源整合，實現(xiàn)互聯(lián)共享，深入推進醫(yī)聯(lián)體建設，積極探索區(qū)域醫(yī)聯(lián)體運行發(fā)展的新思路和新模式，提高基層醫(yī)療機構的醫(yī)療技術水平和服務能力。

安全現(xiàn)狀

醫(yī)共體信息化建設需要大量的信息數(shù)據(jù)共享，醫(yī)共體信息平臺采集各醫(yī)療機構相關業(yè)務系統(tǒng)數(shù)據(jù)，包括居民個人信息、電子健康檔案信息、電子病歷信息等，實現(xiàn)區(qū)域內(nèi)醫(yī)療機構間診療信息的共享。在這種多環(huán)境接入、數(shù)據(jù)大集中的醫(yī)療信息化平臺下，醫(yī)共體如何對來自內(nèi)部、外部的網(wǎng)絡攻擊威脅進行統(tǒng)籌的安全體系與安全策略規(guī)劃就顯得尤為重要。

網(wǎng)絡安全體系缺失

醫(yī)共體各級醫(yī)院進行信息化平臺升級改造之前的網(wǎng)絡安全建設較為松散，沒有形成完整的統(tǒng)一安全體系，在網(wǎng)絡安全檢測與防護能力上都缺少基本的合規(guī)能力，針對不同的醫(yī)療衛(wèi)生數(shù)據(jù)、個人數(shù)據(jù)場景沒有制定基本的防護措施。

分支機構裸奔互聯(lián)

前期為了快速打通醫(yī)共體內(nèi)各個分支機構與牽頭醫(yī)院的網(wǎng)絡與數(shù)據(jù)互通，目前主要是通過互聯(lián)網(wǎng)公網(wǎng)鏈路進行數(shù)據(jù)傳輸，一旦業(yè)務數(shù)據(jù)的端到端傳輸沒有使用安全的協(xié)議對數(shù)據(jù)進行加密和效驗，明文的數(shù)據(jù)傳輸極易導致相關敏感數(shù)據(jù)泄露。

高級威脅發(fā)現(xiàn)處置能力弱

由于醫(yī)療行業(yè)數(shù)據(jù)價值高，不法分子使用APT等攻擊手段長期潛伏在醫(yī)院數(shù)據(jù)中心，而傳統(tǒng)的安全技術手段大多是利用已知的攻擊特征對行為數(shù)據(jù)進行簡單的模式匹配，因此對于高級持續(xù)性威脅，無論是在安全威脅的檢測、發(fā)現(xiàn)還是響應、溯源等方面都存在嚴重不足。

缺乏攻擊遏制與反制措施

醫(yī)共體醫(yī)院不同于其他行業(yè)機構，擔負著救治病人的重要責任，由于網(wǎng)絡攻擊造成的醫(yī)院正常運營癱瘓時有發(fā)生，在這種情況下，為醫(yī)院網(wǎng)絡安全管理人員提供事前發(fā)現(xiàn)攻擊征兆、事中爭取處置時間、事后進行取證與復盤就顯得尤為重要，目前醫(yī)院只注重以縱深防御體系的思路進行安全設備的堆疊，缺少針對攻擊行為的有效遏制與反制手段。

數(shù)據(jù)安全存在隱患

醫(yī)療行業(yè)的數(shù)據(jù)以電子病歷為代表包含大量的敏感信息，其中包括個人基礎數(shù)據(jù)（姓名、身份證號、銀行卡號、手機號碼等），也包含大量的就診信息（檢驗報告、診斷結果、用藥信息、手術記錄等），數(shù)據(jù)交換共享帶來的數(shù)據(jù)集中，在數(shù)據(jù)安全生命期各個階段如果不采取有效數(shù)據(jù)安全訪問控制、監(jiān)測和審計策略，會造成嚴重的數(shù)據(jù)安全風險。

缺乏高效安全運營能力

針對應用系統(tǒng)缺乏周期性及實時性的安全評估；針對威脅預警、安全事件研判、應急響應及安全管理決策，缺乏可提供技術支撐的有效數(shù)據(jù)。同時尚未建立成熟的信息安全人才隊伍，無法開展持續(xù)的安全運營工作。

總體設計方案

1)?? 下級成員單位規(guī)劃

醫(yī)聯(lián)體/醫(yī)共體各個成員單位能通過衛(wèi)生專網(wǎng)或者互聯(lián)網(wǎng)VPN的方式訪問相關業(yè)務或進行安全互聯(lián)與數(shù)據(jù)上報，通過部署超融合一體機與云桌面的方式，對基層醫(yī)療衛(wèi)生機構的信息化系統(tǒng)進行重構，提升IT系統(tǒng)資源的利用率并降低投入成本，再通過終端安全管理軟件、下一代防火墻、APT等安全軟硬件對其進行安全通信網(wǎng)絡、安全區(qū)域邊界以及安全計算環(huán)境的安全合規(guī)防護與檢測能力建設，保證成員單位的終端與服務環(huán)境安全，進而確保不會出現(xiàn)帶病接入醫(yī)聯(lián)體/醫(yī)共體集中信息平臺的問題，也能有效解決數(shù)據(jù)落地導致的數(shù)據(jù)泄露等安全問題。

2)?? 服務平臺規(guī)劃

服務平臺側主要是指醫(yī)聯(lián)體/醫(yī)共體的牽頭醫(yī)院或機構側，通過信息集成平臺的建設，做到醫(yī)聯(lián)體/醫(yī)共體的應用服務與數(shù)據(jù)集中，公眾能通過互聯(lián)網(wǎng)訪問各醫(yī)共體及縣級平臺上的相關服務，也可實現(xiàn)成員單位間、上級醫(yī)療服務與管理機構的遠程會診、視頻會務和遠程培訓業(yè)務，同時可與醫(yī)保、藥監(jiān)、血液、疾控、婦幼、衛(wèi)生監(jiān)督等部門和單位對接。

在安全層面主要進行針對互聯(lián)網(wǎng)安全接入、內(nèi)網(wǎng)安全接入以及云計算平臺的安全能力設計，通過部署終端安全軟件、下一代防火墻、APT、堡壘機、漏洞掃描、日志審計與數(shù)據(jù)安全設備、天池或等保一體機、AiLPHA安全大數(shù)據(jù)平臺進行全方位的一體化的合規(guī)智能防護與安全管理。

在互聯(lián)網(wǎng)側，醫(yī)共體也可以根據(jù)自身業(yè)務需求，通過玄武盾云防護及云監(jiān)測作為利用優(yōu)勢云端資源進行所有應用業(yè)務的前置防護，做到關口前移。

方案建設產(chǎn)品清單

注：清單內(nèi)設備數(shù)量供參考，需基于實際情況調(diào)整。

方案價值

滿足等級保護技術規(guī)范要求

圍繞“一個中心，三重防護”的安全理念，從安全技術角度和安全管理角度分別建設，滿足等保2.0合規(guī)政策，滿足衛(wèi)健委等行業(yè)監(jiān)管要求。

強耦合的系統(tǒng)性安全能力

安恒通過平臺產(chǎn)品將終端與網(wǎng)絡安全產(chǎn)品整合，形成中樞指揮、全網(wǎng)響應的運作閉環(huán)，構建包括安全監(jiān)測、安全防護、安全運營、安全態(tài)勢、安全管理、應急處置等在內(nèi)的完整安全體系。

打造縱深、立體安全防護體系

依托態(tài)勢感知、人工智能、威脅情報等新技術，將應用安全防御范疇由Web端進一步拓展到終端、云端等領域，同時縱深加大業(yè)務威脅感知，深度賦能多場景的業(yè)務與應用安全，為企業(yè)的風險管理、安全防護打造出一套多維度、多手段、多能力的全方位縱深防御體系。

建立全生命周期數(shù)據(jù)安全防護

利用數(shù)據(jù)安全管控平臺數(shù)據(jù)生命周期安全防護模塊提供的各種安全功能，提供從數(shù)據(jù)采集/產(chǎn)生、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)交換到數(shù)據(jù)銷毀全生命周期的數(shù)據(jù)安全防護服務，保障數(shù)據(jù)生命周期安全。

云安全>

態(tài)勢感知>

物聯(lián)網(wǎng)安全>

工業(yè)互聯(lián)網(wǎng)安全>

新型智慧城市>

>

新一代安全服務>

偵測服務>

保護檢測服務>

監(jiān)控分析服務>

應急服務>

運營管理服務>

特色服務>

安全管理>

數(shù)據(jù)安全>

網(wǎng)絡安全>

應用安全>

端點安全>

>

商用密碼>