五月婷婷婷之激情综合-亚洲国产香蕉视频欧美-国产蜜臀av在线一区尤物-日韩精品乱码久久久久

數(shù)字經(jīng)濟的安全基石

醫(yī)院等保三級整體安全解決方案

首頁 > 醫(yī)院等保三級整體安全解決方案
建設(shè)背景

在醫(yī)院的日常運轉(zhuǎn)中,往往存在以下風(fēng)險:開放的網(wǎng)絡(luò)環(huán)境引入安全風(fēng)險,如互聯(lián)網(wǎng)醫(yī)院、遠程會診等新型互聯(lián)網(wǎng)診療手段,物聯(lián)網(wǎng)、無線網(wǎng)絡(luò)等新型網(wǎng)絡(luò)連接方式;醫(yī)院日常工作安全風(fēng)險,如缺乏技術(shù)運維人員,外包運維現(xiàn)象廣泛,特權(quán)賬號泛濫;醫(yī)院數(shù)據(jù)流動頻繁引發(fā)的安全風(fēng)險,如臨床數(shù)據(jù)中心、科研平臺間數(shù)據(jù)交換及醫(yī)院系統(tǒng)中的業(yè)務(wù)交換;云環(huán)境所帶來的安全風(fēng)險,云環(huán)境作為非受控環(huán)境,在有效降低設(shè)備運行成本的同時,開放程度高,引入諸多安全風(fēng)險。醫(yī)院中存在的諸多安全風(fēng)險,一旦上升成為安全事件,往往會招致經(jīng)濟、業(yè)務(wù)乃至醫(yī)院品牌價值的損失。

現(xiàn)狀分析
  • 醫(yī)院邊界安全威脅高

    在醫(yī)院整體安全建設(shè)中,網(wǎng)絡(luò)邊界直面互聯(lián)網(wǎng),因而邊界安全是醫(yī)院的第一道安全防線?;诨ヂ?lián)網(wǎng)的開放性,使得醫(yī)院網(wǎng)絡(luò)面臨眾多的外部威脅,因此防范外部的攻擊是醫(yī)院網(wǎng)絡(luò)安全建設(shè)的重中之重。醫(yī)院面臨的典型的互聯(lián)網(wǎng)威脅包括:DDoS拒絕服務(wù)攻擊、互聯(lián)網(wǎng)上大規(guī)模爆發(fā)的蠕蟲病毒、來自互聯(lián)網(wǎng)的帶病毒郵件、互聯(lián)網(wǎng)上的掛馬網(wǎng)站、互聯(lián)網(wǎng)上黑客的主動攻擊等。如果醫(yī)院互聯(lián)網(wǎng)出口處缺乏一定的邊界防御措施,無法發(fā)現(xiàn)流量中存在的安全威脅,那么一旦攻擊者由外網(wǎng)侵入醫(yī)院內(nèi)網(wǎng)進行數(shù)據(jù)竊取與破壞,便會給醫(yī)院帶來嚴重的損失。

  • 醫(yī)院終端安全隱患高

    醫(yī)院終端數(shù)量龐大,在實際應(yīng)用中又普遍存在電腦及服務(wù)器老舊、醫(yī)療資產(chǎn)管理混亂、終端位置定位困難、運維管理繁重等問題。隨著移動醫(yī)護普及,醫(yī)院大量采用無線網(wǎng)絡(luò),并給患者提供無線WIFI上網(wǎng),風(fēng)險入口成倍增加,為保障醫(yī)院網(wǎng)絡(luò)安全必須對終端接入網(wǎng)絡(luò)進行嚴格管控。醫(yī)生終端需要讀取患者攜帶的各類電子病歷及醫(yī)學(xué)影像數(shù)據(jù),對終端殺毒及數(shù)據(jù)防泄露也要嚴格管理。

  • 醫(yī)院應(yīng)用安全風(fēng)險高

    隨著互聯(lián)網(wǎng)+醫(yī)療的發(fā)展,醫(yī)院借助WEB、患者APP、第三方醫(yī)療服務(wù)平臺等形式,提供網(wǎng)上預(yù)約掛號、網(wǎng)上繳費、網(wǎng)上查詢報告等多項線上醫(yī)療服務(wù)。醫(yī)院信息系統(tǒng)愈加開放,進而導(dǎo)致暴露在互聯(lián)網(wǎng)中的應(yīng)用越來越多,存在眾多安全隱患,如缺乏對資產(chǎn)的管控,郵件服務(wù)、數(shù)據(jù)庫服務(wù)等高危端口開放,資產(chǎn)中存在的高危漏洞未及時修復(fù),應(yīng)用層安全防護未完全覆蓋所有互聯(lián)網(wǎng)暴露資產(chǎn)等。這些風(fēng)險將導(dǎo)致醫(yī)院安全體系出現(xiàn)薄弱點,存在被攻擊者利用作為跳板,侵入醫(yī)院內(nèi)部系統(tǒng)的風(fēng)險。

  • 安全管理體系需完善

    醫(yī)院在信息化發(fā)展過程中構(gòu)建了眾多信息系統(tǒng),數(shù)據(jù)量呈爆炸式增長,直接給醫(yī)院在安全管理方面的工作帶來了巨大的挑戰(zhàn)。由于醫(yī)院缺乏足夠的信息安全專家,信息系統(tǒng)維護人員缺乏專業(yè)的培訓(xùn),員工缺乏安全操作意識,導(dǎo)致醫(yī)院在日常人員管理、設(shè)備管理方面存在很多漏洞,最終難以有效提升醫(yī)院管理水平,從而增加了醫(yī)療數(shù)據(jù)在傳輸過程中的信息泄露風(fēng)險。同時,受技術(shù)發(fā)展水平限制,醫(yī)院在數(shù)據(jù)管理經(jīng)驗上存在欠缺,缺乏成熟的技術(shù)和完善的安全制度支撐。由于醫(yī)療數(shù)據(jù)資源具有巨大的商業(yè)價值,安全管理體系上存在的缺陷將直接導(dǎo)致安全防護體系存在欠缺,增加醫(yī)療數(shù)據(jù)泄露的風(fēng)險。

醫(yī)院網(wǎng)絡(luò)安全建設(shè)整體架構(gòu)圖
建設(shè)方案

醫(yī)院的網(wǎng)絡(luò)主要由內(nèi)外兩張大網(wǎng)組成,其中內(nèi)網(wǎng)進行核心數(shù)據(jù)的交互,包括LIS、HIS、PACS、RIS、ERM等系統(tǒng)的組成,同時內(nèi)網(wǎng)聯(lián)通了住院樓、門診樓和醫(yī)技樓等,多個大樓通過內(nèi)網(wǎng)網(wǎng)絡(luò)進行聯(lián)通協(xié)同,內(nèi)網(wǎng)通過核心與衛(wèi)生局、醫(yī)保大樓、銀行等部門進行專線聯(lián)通。外網(wǎng)主要涉及業(yè)務(wù)系統(tǒng)的布設(shè),主要包含郵件系統(tǒng)、網(wǎng)站系統(tǒng)、支付寶微信客戶端系統(tǒng),以及各個大樓的無線網(wǎng)絡(luò)布設(shè)。內(nèi)外網(wǎng)通過網(wǎng)閘進行隔離,嚴格控制內(nèi)外網(wǎng)數(shù)據(jù)的交互。

解決方案
  • 醫(yī)院外網(wǎng)
  • 醫(yī)院內(nèi)網(wǎng)
  • 醫(yī)院互聯(lián)網(wǎng)出口區(qū):

    醫(yī)院互聯(lián)網(wǎng)出口區(qū)設(shè)計為醫(yī)院與互聯(lián)網(wǎng)的接入域,所有與互聯(lián)網(wǎng)之間的通信皆由互聯(lián)網(wǎng)出口區(qū)進行交換。

    互聯(lián)網(wǎng)出口區(qū)作為醫(yī)院與互聯(lián)網(wǎng)通信的唯一窗口,是醫(yī)院整體網(wǎng)絡(luò)安全的第一道防線,在此需要部署負載均衡,考慮大流量并發(fā)情況下的業(yè)務(wù)穩(wěn)定;

    部署互聯(lián)網(wǎng)防火墻,對互聯(lián)網(wǎng)進出流量進行入侵檢測與防御,隔絕外界的異常流量,并實現(xiàn)防病毒;

    部署上網(wǎng)行為審計系統(tǒng),對上網(wǎng)行為進行統(tǒng)一的管控與審計。

    醫(yī)院對外業(yè)務(wù)區(qū)(DMZ區(qū)):

    DMZ區(qū),即“隔離區(qū)”,是為了解決安裝防火墻后外部網(wǎng)絡(luò)的訪問用戶不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題,而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。醫(yī)院擁有大量對外業(yè)務(wù),而業(yè)務(wù)本身會涉及醫(yī)院內(nèi)部數(shù)據(jù)的調(diào)取,為保障數(shù)據(jù)及系統(tǒng)安全,需要將醫(yī)院的對外業(yè)務(wù)設(shè)置于DMZ區(qū),同時對DMZ區(qū)本身加以一定的安全防護手段。

    需要部署Web應(yīng)用防火墻,對訪問醫(yī)院web業(yè)務(wù)的流量在應(yīng)用層進行檢測,發(fā)現(xiàn)并隔絕異常訪問;

    部署零信任VPN,解決遠程辦公、業(yè)務(wù)處理時的安全問題;

    部署網(wǎng)頁防篡改,防止攻擊者對醫(yī)院網(wǎng)頁進行的惡意篡改行為。


  • 安全管理中心區(qū):

    安全管理中心區(qū)作為醫(yī)院的集中安全管理平臺,需要在其中查看醫(yī)院的整體安全態(tài)勢并通過統(tǒng)一的運維入口進行集中運維,包括異常流量情況、數(shù)據(jù)庫情況、違規(guī)外聯(lián)情況、終端安全情況等內(nèi)容。

    需要部署漏洞掃描系統(tǒng),定期對醫(yī)院進行整體漏洞掃描,發(fā)現(xiàn)醫(yī)院內(nèi)存在的資產(chǎn)弱點;

    部署日志審計系統(tǒng),對醫(yī)院所有的網(wǎng)絡(luò)設(shè)備、安全設(shè)備日志進行集中審計,并發(fā)現(xiàn)其中的異常行為;

    部署運維堡壘機,通過堡壘機提供的統(tǒng)一運維入口對醫(yī)院設(shè)備進行集中運維;

    部署主機安全EDR,對醫(yī)院內(nèi)整體終端及終端安全情況進行統(tǒng)一管控,并定期對終端進行病毒查殺;

    部署準入控制系統(tǒng),發(fā)現(xiàn)并限制醫(yī)院內(nèi)存在的違規(guī)準入情況;

    部署威脅誘捕系統(tǒng),通過部署蜜罐與蜜網(wǎng)構(gòu)建醫(yī)院的主動防御體系,實現(xiàn)主動地誘捕和防御;

    部署態(tài)勢感知平臺,通過醫(yī)院內(nèi)部的探針分析醫(yī)院整體流量及日志

    核心數(shù)據(jù)中心區(qū):

    數(shù)據(jù)中心是醫(yī)院最核心的區(qū)域,其中包含有HIS、LIS、PACS等醫(yī)院核心系統(tǒng),同時也是醫(yī)院數(shù)據(jù)的儲存區(qū)域,涉及大量數(shù)據(jù)的存儲,需要進行重點專項防護。

    因此,需要對數(shù)據(jù)中心部署數(shù)據(jù)中心防火墻,對核心區(qū)域的訪問流量進行研判;

    部署數(shù)據(jù)庫防火墻,實現(xiàn)對數(shù)據(jù)庫操作的訪問控制,對涉及醫(yī)院高價值敏感數(shù)據(jù)調(diào)取的行為進行研判,發(fā)現(xiàn)異常行為;

    部署數(shù)據(jù)庫審計系統(tǒng),對醫(yī)院訪問數(shù)據(jù)庫的操作進行審計;

    部署數(shù)據(jù)脫敏系統(tǒng)、透明傳輸加密、透明數(shù)據(jù)庫加密系統(tǒng),保證數(shù)據(jù)在存儲與流轉(zhuǎn)過程中的保密性;

    部署備份一體機,對重要數(shù)據(jù)定時備份,保障發(fā)生意外時能夠快速恢復(fù)業(yè)務(wù);

    基于數(shù)據(jù)中心的重要性,需要在數(shù)據(jù)中心交換機旁路部署流量探針,對數(shù)據(jù)中心流量實時監(jiān)測,由態(tài)勢感知平臺分析發(fā)現(xiàn)數(shù)據(jù)中心存在的異常行為。

    業(yè)務(wù)外聯(lián)區(qū):

    業(yè)務(wù)外聯(lián)在醫(yī)院內(nèi)網(wǎng)中,是醫(yī)院數(shù)據(jù)與衛(wèi)健委、醫(yī)保局等醫(yī)療機構(gòu)單位交互的區(qū)域。在業(yè)務(wù)外聯(lián)的過程中,醫(yī)院間需要互聯(lián)互通,在此過程中一些安全能力不足的醫(yī)院一旦被入侵,攻擊者可借助其作為跳板,侵入整體互聯(lián)互通的網(wǎng)絡(luò),由此感染到更多醫(yī)院,因此在業(yè)務(wù)外聯(lián)的過程中,需要進行安全防護,才可以有效隔絕外部威脅。

    需要部署下一代防火墻,對業(yè)務(wù)外聯(lián)區(qū)的流量進行檢測及防御,保障邊界安全。

    核心交換區(qū):

    核心交換區(qū)部署了醫(yī)院核心交換機,醫(yī)院所有跨網(wǎng)絡(luò)域的流通都需要經(jīng)過核心交換機,因此在核心交換機中能夠獲取到醫(yī)院絕大部分的流量數(shù)據(jù),對交換機的鏡像流量進行分析便可以獲取醫(yī)院整體的安全態(tài)勢,

    因此需要在醫(yī)院核心交換機旁路部署流量探針,收集鏡像流量;

    需要部署網(wǎng)絡(luò)防泄漏系統(tǒng),在數(shù)據(jù)交互過程中進行安全保護措施,防止數(shù)據(jù)泄露。

    移動護理區(qū):

    醫(yī)院工作人員進行移動護理時需要使用大量手持設(shè)備,這些物聯(lián)網(wǎng)設(shè)備同樣屬于醫(yī)院信息網(wǎng)絡(luò)的一部分,而物聯(lián)網(wǎng)設(shè)備存在眾多弱口令現(xiàn)象,同時物聯(lián)網(wǎng)設(shè)備存在有大量漏洞,是醫(yī)院信息網(wǎng)絡(luò)的一個重大薄弱點,

    因此需要對移動護理設(shè)備進行統(tǒng)一網(wǎng)絡(luò)域劃分,同時部署下一代防火墻,對交互流量進行檢測及防御。



方案價值
  • 滿足等保2.0合規(guī)要求

    方案根據(jù)《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全等級保護基本要求》法規(guī)標準開展建設(shè),滿足等級保護2.0提出的合規(guī)性要求,可有效幫助醫(yī)院用戶規(guī)避合規(guī)安全風(fēng)險。方案通過邊界防護、網(wǎng)絡(luò)防護,可切實提高網(wǎng)絡(luò)整體縱深防御能力。醫(yī)院重要的信息系統(tǒng)關(guān)系到國計民生,是國家信息安全重點保護對象,國家信息安全監(jiān)管職能部門需要對其重要信息和信息系統(tǒng)的信息安全保護工作進行指導(dǎo)監(jiān)督。方案對醫(yī)院信息系統(tǒng)從技術(shù)和管理兩個維度進行安全建設(shè),可實現(xiàn)業(yè)務(wù)系統(tǒng)的整體安全,滿足《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全等級保護基本要求》及衛(wèi)生行業(yè)相關(guān)網(wǎng)絡(luò)安全政策,滿足公安、衛(wèi)健委等行業(yè)主管部門的監(jiān)管要求。

  • 滿足電子病歷評級、互聯(lián)互通評級、智慧醫(yī)院評級要求

    方案設(shè)計綜合參考《電子病歷系統(tǒng)應(yīng)用水平分級評價標準(試行)》《醫(yī)院信息互聯(lián)互通標準化成熟度測評方案(2020年版)》《醫(yī)院智慧服務(wù)分級評估標準體系(試行)》《醫(yī)院智慧管理分級評估標準體系(試行)》等醫(yī)院信息化建設(shè)標準,形成檢測、防護、響應(yīng)和恢復(fù)的保障體系,從而建立有針對性的合規(guī)性安全保障體系框架和安全防護措施。滿足醫(yī)療衛(wèi)生行業(yè)評級要求。

  • 構(gòu)建“縱深防御+威脅誘捕+安全運營”安全防護體系

    基于IPDRO框架,建設(shè)縱深防御、主動防御、持續(xù)運營的閉環(huán)安全防護體系,事前對信息資產(chǎn)暴露面進行風(fēng)險識別,事中不斷驗證和增強安全邊界防御能力,持續(xù)開展安全檢測,事后積極組織開展安全響應(yīng),日常有序開展安全運營管理,進而有效控制安全風(fēng)險。開展安全合規(guī)建設(shè)工作,從技術(shù)和管理層面快速提升、持續(xù)改進安全能力,以更好地面對快速更迭的新技術(shù)、新應(yīng)用帶來的安全挑戰(zhàn),不僅合規(guī),構(gòu)建常態(tài)化、實戰(zhàn)化的自適應(yīng)安全能力。

  • 提升對醫(yī)院敏感數(shù)據(jù)的保護能力

    《個人信息保護法》《數(shù)據(jù)安全法》等法律法規(guī)都對數(shù)據(jù)安全及個人信息保護極為重視,提出了眾多要求。醫(yī)院內(nèi)部信息系統(tǒng)涉及眾多患者的個人敏感信息如電子病歷,以及醫(yī)院運行管理數(shù)據(jù)、診療數(shù)據(jù)等等,這些數(shù)據(jù)往往都具有高價值,是外部黑客頻繁的攻擊對象。在本次建設(shè)中,針對核心敏感數(shù)據(jù),從數(shù)據(jù)的傳輸、數(shù)據(jù)的存儲、數(shù)據(jù)的使用等數(shù)據(jù)生命周期中構(gòu)建數(shù)據(jù)安全能力,全方位地保護醫(yī)院的敏感個人信息數(shù)據(jù)和醫(yī)院經(jīng)營數(shù)據(jù),實現(xiàn)個人信息保護和數(shù)據(jù)安全合規(guī)。

方案咨詢
  • 圖形驗證碼

相關(guān)產(chǎn)品

相關(guān)文章

與專家在線溝通, 免費獲取專業(yè)解決方案

線上咨詢
聯(lián)系我們

咨詢電話:400-6059-110

微信咨詢