久久香蕉精品国产亚洲av第一页,91粉色国产福利在线观看,亚洲国产成人精品女人久久久久

建設(shè)背景

在醫(yī)院的日常運轉(zhuǎn)中，往往存在以下風(fēng)險：開放的網(wǎng)絡(luò)環(huán)境引入安全風(fēng)險，如互聯(lián)網(wǎng)醫(yī)院、遠程會診等新型互聯(lián)網(wǎng)診療手段，物聯(lián)網(wǎng)、無線網(wǎng)絡(luò)等新型網(wǎng)絡(luò)連接方式；醫(yī)院日常工作安全風(fēng)險，如缺乏技術(shù)運維人員，外包運維現(xiàn)象廣泛，特權(quán)賬號泛濫；醫(yī)院數(shù)據(jù)流動頻繁引發(fā)的安全風(fēng)險，如臨床數(shù)據(jù)中心、科研平臺間數(shù)據(jù)交換及醫(yī)院系統(tǒng)中的業(yè)務(wù)交換；云環(huán)境所帶來的安全風(fēng)險，云環(huán)境作為非受控環(huán)境，在有效降低設(shè)備運行成本的同時，開放程度高，引入諸多安全風(fēng)險。醫(yī)院中存在的諸多安全風(fēng)險，一旦上升成為安全事件，往往會招致經(jīng)濟、業(yè)務(wù)乃至醫(yī)院品牌價值的損失。

現(xiàn)狀分析

醫(yī)院邊界安全威脅高

在醫(yī)院整體安全建設(shè)中，網(wǎng)絡(luò)邊界直面互聯(lián)網(wǎng)，因而邊界安全是醫(yī)院的第一道安全防線?；诨ヂ?lián)網(wǎng)的開放性，使得醫(yī)院網(wǎng)絡(luò)面臨眾多的外部威脅，因此防范外部的攻擊是醫(yī)院網(wǎng)絡(luò)安全建設(shè)的重中之重。醫(yī)院面臨的典型的互聯(lián)網(wǎng)威脅包括：DDoS拒絕服務(wù)攻擊、互聯(lián)網(wǎng)上大規(guī)模爆發(fā)的蠕蟲病毒、來自互聯(lián)網(wǎng)的帶病毒郵件、互聯(lián)網(wǎng)上的掛馬網(wǎng)站、互聯(lián)網(wǎng)上黑客的主動攻擊等。如果醫(yī)院互聯(lián)網(wǎng)出口處缺乏一定的邊界防御措施，無法發(fā)現(xiàn)流量中存在的安全威脅，那么一旦攻擊者由外網(wǎng)侵入醫(yī)院內(nèi)網(wǎng)進行數(shù)據(jù)竊取與破壞，便會給醫(yī)院帶來嚴重的損失。
醫(yī)院終端安全隱患高

醫(yī)院終端數(shù)量龐大，在實際應(yīng)用中又普遍存在電腦及服務(wù)器老舊、醫(yī)療資產(chǎn)管理混亂、終端位置定位困難、運維管理繁重等問題。隨著移動醫(yī)護普及，醫(yī)院大量采用無線網(wǎng)絡(luò)，并給患者提供無線WIFI上網(wǎng)，風(fēng)險入口成倍增加，為保障醫(yī)院網(wǎng)絡(luò)安全必須對終端接入網(wǎng)絡(luò)進行嚴格管控。醫(yī)生終端需要讀取患者攜帶的各類電子病歷及醫(yī)學(xué)影像數(shù)據(jù)，對終端殺毒及數(shù)據(jù)防泄露也要嚴格管理。
醫(yī)院應(yīng)用安全風(fēng)險高

隨著互聯(lián)網(wǎng)+醫(yī)療的發(fā)展，醫(yī)院借助WEB、患者APP、第三方醫(yī)療服務(wù)平臺等形式，提供網(wǎng)上預(yù)約掛號、網(wǎng)上繳費、網(wǎng)上查詢報告等多項線上醫(yī)療服務(wù)。醫(yī)院信息系統(tǒng)愈加開放，進而導(dǎo)致暴露在互聯(lián)網(wǎng)中的應(yīng)用越來越多，存在眾多安全隱患，如缺乏對資產(chǎn)的管控，郵件服務(wù)、數(shù)據(jù)庫服務(wù)等高危端口開放，資產(chǎn)中存在的高危漏洞未及時修復(fù)，應(yīng)用層安全防護未完全覆蓋所有互聯(lián)網(wǎng)暴露資產(chǎn)等。這些風(fēng)險將導(dǎo)致醫(yī)院安全體系出現(xiàn)薄弱點，存在被攻擊者利用作為跳板，侵入醫(yī)院內(nèi)部系統(tǒng)的風(fēng)險。
安全管理體系需完善

醫(yī)院在信息化發(fā)展過程中構(gòu)建了眾多信息系統(tǒng)，數(shù)據(jù)量呈爆炸式增長，直接給醫(yī)院在安全管理方面的工作帶來了巨大的挑戰(zhàn)。由于醫(yī)院缺乏足夠的信息安全專家，信息系統(tǒng)維護人員缺乏專業(yè)的培訓(xùn)，員工缺乏安全操作意識，導(dǎo)致醫(yī)院在日常人員管理、設(shè)備管理方面存在很多漏洞，最終難以有效提升醫(yī)院管理水平，從而增加了醫(yī)療數(shù)據(jù)在傳輸過程中的信息泄露風(fēng)險。同時，受技術(shù)發(fā)展水平限制，醫(yī)院在數(shù)據(jù)管理經(jīng)驗上存在欠缺，缺乏成熟的技術(shù)和完善的安全制度支撐。由于醫(yī)療數(shù)據(jù)資源具有巨大的商業(yè)價值，安全管理體系上存在的缺陷將直接導(dǎo)致安全防護體系存在欠缺，增加醫(yī)療數(shù)據(jù)泄露的風(fēng)險。

醫(yī)院網(wǎng)絡(luò)安全建設(shè)整體架構(gòu)圖

建設(shè)方案

醫(yī)院的網(wǎng)絡(luò)主要由內(nèi)外兩張大網(wǎng)組成，其中內(nèi)網(wǎng)進行核心數(shù)據(jù)的交互，包括LIS、HIS、PACS、RIS、ERM等系統(tǒng)的組成，同時內(nèi)網(wǎng)聯(lián)通了住院樓、門診樓和醫(yī)技樓等，多個大樓通過內(nèi)網(wǎng)網(wǎng)絡(luò)進行聯(lián)通協(xié)同，內(nèi)網(wǎng)通過核心與衛(wèi)生局、醫(yī)保大樓、銀行等部門進行專線聯(lián)通。外網(wǎng)主要涉及業(yè)務(wù)系統(tǒng)的布設(shè)，主要包含郵件系統(tǒng)、網(wǎng)站系統(tǒng)、支付寶微信客戶端系統(tǒng)，以及各個大樓的無線網(wǎng)絡(luò)布設(shè)。內(nèi)外網(wǎng)通過網(wǎng)閘進行隔離，嚴格控制內(nèi)外網(wǎng)數(shù)據(jù)的交互。

解決方案

醫(yī)院外網(wǎng)
醫(yī)院內(nèi)網(wǎng)

醫(yī)院互聯(lián)網(wǎng)出口區(qū)：

醫(yī)院互聯(lián)網(wǎng)出口區(qū)設(shè)計為醫(yī)院與互聯(lián)網(wǎng)的接入域，所有與互聯(lián)網(wǎng)之間的通信皆由互聯(lián)網(wǎng)出口區(qū)進行交換。

互聯(lián)網(wǎng)出口區(qū)作為醫(yī)院與互聯(lián)網(wǎng)通信的唯一窗口，是醫(yī)院整體網(wǎng)絡(luò)安全的第一道防線，在此需要部署負載均衡，考慮大流量并發(fā)情況下的業(yè)務(wù)穩(wěn)定；

部署互聯(lián)網(wǎng)防火墻，對互聯(lián)網(wǎng)進出流量進行入侵檢測與防御，隔絕外界的異常流量，并實現(xiàn)防病毒；

部署上網(wǎng)行為審計系統(tǒng)，對上網(wǎng)行為進行統(tǒng)一的管控與審計。

醫(yī)院對外業(yè)務(wù)區(qū)（DMZ區(qū)）：

DMZ區(qū)，即“隔離區(qū)”，是為了解決安裝防火墻后外部網(wǎng)絡(luò)的訪問用戶不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。醫(yī)院擁有大量對外業(yè)務(wù)，而業(yè)務(wù)本身會涉及醫(yī)院內(nèi)部數(shù)據(jù)的調(diào)取，為保障數(shù)據(jù)及系統(tǒng)安全，需要將醫(yī)院的對外業(yè)務(wù)設(shè)置于DMZ區(qū)，同時對DMZ區(qū)本身加以一定的安全防護手段。

需要部署Web應(yīng)用防火墻，對訪問醫(yī)院web業(yè)務(wù)的流量在應(yīng)用層進行檢測，發(fā)現(xiàn)并隔絕異常訪問；

部署零信任VPN，解決遠程辦公、業(yè)務(wù)處理時的安全問題；

部署網(wǎng)頁防篡改，防止攻擊者對醫(yī)院網(wǎng)頁進行的惡意篡改行為。
安全管理中心區(qū)：

安全管理中心區(qū)作為醫(yī)院的集中安全管理平臺，需要在其中查看醫(yī)院的整體安全態(tài)勢并通過統(tǒng)一的運維入口進行集中運維，包括異常流量情況、數(shù)據(jù)庫情況、違規(guī)外聯(lián)情況、終端安全情況等內(nèi)容。

需要部署漏洞掃描系統(tǒng)，定期對醫(yī)院進行整體漏洞掃描，發(fā)現(xiàn)醫(yī)院內(nèi)存在的資產(chǎn)弱點；

部署日志審計系統(tǒng)，對醫(yī)院所有的網(wǎng)絡(luò)設(shè)備、安全設(shè)備日志進行集中審計，并發(fā)現(xiàn)其中的異常行為；

部署運維堡壘機，通過堡壘機提供的統(tǒng)一運維入口對醫(yī)院設(shè)備進行集中運維；

部署主機安全EDR，對醫(yī)院內(nèi)整體終端及終端安全情況進行統(tǒng)一管控，并定期對終端進行病毒查殺；

部署準入控制系統(tǒng)，發(fā)現(xiàn)并限制醫(yī)院內(nèi)存在的違規(guī)準入情況；

部署威脅誘捕系統(tǒng)，通過部署蜜罐與蜜網(wǎng)構(gòu)建醫(yī)院的主動防御體系，實現(xiàn)主動地誘捕和防御；

部署態(tài)勢感知平臺，通過醫(yī)院內(nèi)部的探針分析醫(yī)院整體流量及日志

核心數(shù)據(jù)中心區(qū)：

數(shù)據(jù)中心是醫(yī)院最核心的區(qū)域，其中包含有HIS、LIS、PACS等醫(yī)院核心系統(tǒng)，同時也是醫(yī)院數(shù)據(jù)的儲存區(qū)域，涉及大量數(shù)據(jù)的存儲，需要進行重點專項防護。

因此，需要對數(shù)據(jù)中心部署數(shù)據(jù)中心防火墻，對核心區(qū)域的訪問流量進行研判；

部署數(shù)據(jù)庫防火墻，實現(xiàn)對數(shù)據(jù)庫操作的訪問控制，對涉及醫(yī)院高價值敏感數(shù)據(jù)調(diào)取的行為進行研判，發(fā)現(xiàn)異常行為；

部署數(shù)據(jù)庫審計系統(tǒng)，對醫(yī)院訪問數(shù)據(jù)庫的操作進行審計；

部署數(shù)據(jù)脫敏系統(tǒng)、透明傳輸加密、透明數(shù)據(jù)庫加密系統(tǒng)，保證數(shù)據(jù)在存儲與流轉(zhuǎn)過程中的保密性；

部署備份一體機，對重要數(shù)據(jù)定時備份，保障發(fā)生意外時能夠快速恢復(fù)業(yè)務(wù)；

基于數(shù)據(jù)中心的重要性，需要在數(shù)據(jù)中心交換機旁路部署流量探針，對數(shù)據(jù)中心流量實時監(jiān)測，由態(tài)勢感知平臺分析發(fā)現(xiàn)數(shù)據(jù)中心存在的異常行為。

業(yè)務(wù)外聯(lián)區(qū)：

業(yè)務(wù)外聯(lián)在醫(yī)院內(nèi)網(wǎng)中，是醫(yī)院數(shù)據(jù)與衛(wèi)健委、醫(yī)保局等醫(yī)療機構(gòu)單位交互的區(qū)域。在業(yè)務(wù)外聯(lián)的過程中，醫(yī)院間需要互聯(lián)互通，在此過程中一些安全能力不足的醫(yī)院一旦被入侵，攻擊者可借助其作為跳板，侵入整體互聯(lián)互通的網(wǎng)絡(luò)，由此感染到更多醫(yī)院，因此在業(yè)務(wù)外聯(lián)的過程中，需要進行安全防護，才可以有效隔絕外部威脅。

需要部署下一代防火墻，對業(yè)務(wù)外聯(lián)區(qū)的流量進行檢測及防御，保障邊界安全。

核心交換區(qū)：

核心交換區(qū)部署了醫(yī)院核心交換機，醫(yī)院所有跨網(wǎng)絡(luò)域的流通都需要經(jīng)過核心交換機，因此在核心交換機中能夠獲取到醫(yī)院絕大部分的流量數(shù)據(jù)，對交換機的鏡像流量進行分析便可以獲取醫(yī)院整體的安全態(tài)勢，

因此需要在醫(yī)院核心交換機旁路部署流量探針，收集鏡像流量；

需要部署網(wǎng)絡(luò)防泄漏系統(tǒng)，在數(shù)據(jù)交互過程中進行安全保護措施，防止數(shù)據(jù)泄露。

移動護理區(qū)：

醫(yī)院工作人員進行移動護理時需要使用大量手持設(shè)備，這些物聯(lián)網(wǎng)設(shè)備同樣屬于醫(yī)院信息網(wǎng)絡(luò)的一部分，而物聯(lián)網(wǎng)設(shè)備存在眾多弱口令現(xiàn)象，同時物聯(lián)網(wǎng)設(shè)備存在有大量漏洞，是醫(yī)院信息網(wǎng)絡(luò)的一個重大薄弱點，

因此需要對移動護理設(shè)備進行統(tǒng)一網(wǎng)絡(luò)域劃分，同時部署下一代防火墻，對交互流量進行檢測及防御。

方案價值

滿足等保2.0合規(guī)要求

方案根據(jù)《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全等級保護基本要求》法規(guī)標準開展建設(shè)，滿足等級保護2.0提出的合規(guī)性要求，可有效幫助醫(yī)院用戶規(guī)避合規(guī)安全風(fēng)險。方案通過邊界防護、網(wǎng)絡(luò)防護，可切實提高網(wǎng)絡(luò)整體縱深防御能力。醫(yī)院重要的信息系統(tǒng)關(guān)系到國計民生，是國家信息安全重點保護對象，國家信息安全監(jiān)管職能部門需要對其重要信息和信息系統(tǒng)的信息安全保護工作進行指導(dǎo)監(jiān)督。方案對醫(yī)院信息系統(tǒng)從技術(shù)和管理兩個維度進行安全建設(shè)，可實現(xiàn)業(yè)務(wù)系統(tǒng)的整體安全，滿足《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全等級保護基本要求》及衛(wèi)生行業(yè)相關(guān)網(wǎng)絡(luò)安全政策，滿足公安、衛(wèi)健委等行業(yè)主管部門的監(jiān)管要求。
滿足電子病歷評級、互聯(lián)互通評級、智慧醫(yī)院評級要求

方案設(shè)計綜合參考《電子病歷系統(tǒng)應(yīng)用水平分級評價標準（試行）》《醫(yī)院信息互聯(lián)互通標準化成熟度測評方案（2020年版）》《醫(yī)院智慧服務(wù)分級評估標準體系（試行）》《醫(yī)院智慧管理分級評估標準體系（試行）》等醫(yī)院信息化建設(shè)標準，形成檢測、防護、響應(yīng)和恢復(fù)的保障體系，從而建立有針對性的合規(guī)性安全保障體系框架和安全防護措施。滿足醫(yī)療衛(wèi)生行業(yè)評級要求。
構(gòu)建“縱深防御+威脅誘捕+安全運營”安全防護體系

基于IPDRO框架，建設(shè)縱深防御、主動防御、持續(xù)運營的閉環(huán)安全防護體系，事前對信息資產(chǎn)暴露面進行風(fēng)險識別，事中不斷驗證和增強安全邊界防御能力，持續(xù)開展安全檢測，事后積極組織開展安全響應(yīng)，日常有序開展安全運營管理，進而有效控制安全風(fēng)險。開展安全合規(guī)建設(shè)工作，從技術(shù)和管理層面快速提升、持續(xù)改進安全能力，以更好地面對快速更迭的新技術(shù)、新應(yīng)用帶來的安全挑戰(zhàn)，不僅合規(guī)，構(gòu)建常態(tài)化、實戰(zhàn)化的自適應(yīng)安全能力。
提升對醫(yī)院敏感數(shù)據(jù)的保護能力

《個人信息保護法》《數(shù)據(jù)安全法》等法律法規(guī)都對數(shù)據(jù)安全及個人信息保護極為重視，提出了眾多要求。醫(yī)院內(nèi)部信息系統(tǒng)涉及眾多患者的個人敏感信息如電子病歷，以及醫(yī)院運行管理數(shù)據(jù)、診療數(shù)據(jù)等等，這些數(shù)據(jù)往往都具有高價值，是外部黑客頻繁的攻擊對象。在本次建設(shè)中，針對核心敏感數(shù)據(jù)，從數(shù)據(jù)的傳輸、數(shù)據(jù)的存儲、數(shù)據(jù)的使用等數(shù)據(jù)生命周期中構(gòu)建數(shù)據(jù)安全能力，全方位地保護醫(yī)院的敏感個人信息數(shù)據(jù)和醫(yī)院經(jīng)營數(shù)據(jù)，實現(xiàn)個人信息保護和數(shù)據(jù)安全合規(guī)。