某醫院是大型綜合三級甲等公立醫院，近年(nián)來醫院開展了網上預約挂号、互聯網醫院、遠程會診等新興業務，這對現有(yǒu)網絡安全架構帶來了新的(de)挑戰；同時等保2.0的(de)實施，對網絡安全合規建設也帶來了新的(de)技術及管理(lǐ)方面的(de)要求。

建設目标

1) 滿足等保2.0的(de)測評要求；

2) 對現有(yǒu)安全設備進行(xíng)擴容和(hé)優化，滿足醫院業務的(de)開展需求；

3) 對現有(yǒu)安全架構需要優化：現有(yǒu)安全技術架構采用被動式“木桶”模式，無法針對勒索病毒、未知威脅、高(gāo)級APT攻擊等安全威脅做(zuò)到有(yǒu)效把控，采購了一(yī)堆安全設備，卻無法保障安全事前規避；

4) 落實安全技術與管理(lǐ)制度：醫院目前有(yǒu)網絡安全管理(lǐ)制度和(hé)機(jī)房安全管理(lǐ)制度，但因為(wèi)缺乏必要的(de)技術檢測手段，無法使管理(lǐ)制度真正的(de)落實下去(qù)，加上沒有(yǒu)相應的(de)檢測、預警、分析、溯源、定位等大數據安全的(de)技術手段，導緻制度隻能依靠員工的(de)主觀意識來執行(xíng)，大大降低(dī)了安全制度的(de)作用；

5)在面對安全攻擊時，具備專業的(de)安全快速響應支持。

實施方案

1) 內(nèi)外網物理(lǐ)隔離(lí)：将醫院的(de)網絡按照業務類型劃分為(wèi)內(nèi)網及外網，內(nèi)網和(hé)外網物理(lǐ)隔離(lí)，中間通過網閘進行(xíng)信息交換。

2) 分區架構設計：內(nèi)、外網采用分區架構設計，內(nèi)網分為(wèi)：核心交換區、終端接入區、安全運維管理(lǐ)區、服務器區、虛拟化計算資源區、外聯區；外網分為(wèi)：核心交換區、終端接入區、安全運維管理(lǐ)區、DMZ區、外網出口區。區域之間通過防火牆進行(xíng)業務訪問的(de)安全隔離(lí)。

3) 設備更新換代及補充：更新替換現有(yǒu)的(de)性能不足的(de)安全設備，按照等保2.0的(de)要求補充相關設備。

4) 自(zì)适應安全框架完善和(hé)優化網絡架構設計落地(dì)：在內(nèi)外網各部署一(yī)套專業的(de)安全廠商(shāng)專業的(de)APT檢測設備，提升對新型網絡攻擊行(xíng)為(wèi)的(de)發現、分析、追溯的(de)能力，APT攻擊檢測設備旁路部署在核心交換機(jī)上，對醫院網絡中的(de)流量進行(xíng)全量檢測和(hé)記錄，所有(yǒu)網絡行(xíng)為(wèi)都将以标準化的(de)格式保存于數據平台，雲端威脅情報和(hé)本地(dì)文件威脅鑒定器分析結果與本地(dì)分析平台進行(xíng)對接，為(wèi)醫院提供基于情報和(hé)文件檢測的(de)威脅發現與溯源的(de)能力；同時APT檢測設備可(kě)以和(hé)邊界防火牆及終端殺毒軟件進行(xíng)聯動，自(zì)動下發安全策略，提供動态的(de)安全防護能力。

5) 安全設備部署情況：在內(nèi)網的(de)安全運維管理(lǐ)區部署終端認證系統和(hé)殺毒、堡壘機(jī)、漏洞掃描、網絡審計、數據庫審計、日志服務器、未知威脅發現設備、無線準入設備；在內(nèi)網的(de)外聯區，通過部署防火牆及IPS設備，統一(yī)對省市(shì)醫保、銀行(xíng)等外聯業務進行(xíng)防護；在外網的(de)安全運維管理(lǐ)區部署漏洞掃描、運維管理(lǐ)及終端認證系統和(hé)殺毒、堡壘機(jī)、日志服務器、未知威脅發現設備；在外網的(de)出口區部署抗DDOS、負載均衡、防火牆、入侵防禦、上網行(xíng)為(wèi)管理(lǐ)設備。

6) 互聯網醫院業務安全防護：将互聯網醫院業務部署在外網的(de)DMZ區域的(de)私有(yǒu)雲環境上，在虛拟機(jī)上部署虛拟化安全防護系統。

7) 提供1名安全服務工程師駐場：結合專業的(de)安全廠商(shāng)後端安全專家技術支撐以及全網部署的(de)專業的(de)安全廠商(shāng)安全設備，為(wèi)醫院提供：滲透測試服務、全流量威脅分析服務、安全事件應急響應和(hé)技術支持等服務。

8) 安全培訓：為(wèi)醫院的(de)安全工程師提供安全意識培訓、基礎知識培訓、安全攻防對抗培訓，提升醫院運維人員的(de)安全技術能力；

9) 安全保障制度：協助醫院完善應急響應機(jī)制、流程，以及針對重要時刻的(de)保障制度。

案例總結

1) 等保合規：滿足等保2.0的(de)評級要求；

2) 網絡架構更趨合理(lǐ)：通過改造後，基于自(zì)适應網絡安全架構更加符合新業務的(de)開展需求，以及應對複雜多變的(de)安全威脅防護需求；

3) 醫院安全能力提供：通過系統的(de)，成體系的(de)安全培訓，逐步提升醫院運維人員的(de)安全技術及攻防能力；

4) 積極防禦體系的(de)成型：将安全管理(lǐ)體系、安全設備和(hé)工具、原廠商(shāng)駐場人員及醫院的(de)安全技術人員有(yǒu)效融合，結合雲端大數據資源及安全威脅情報，形成一(yī)套規範有(yǒu)序、高(gāo)效運轉、快速響應的(de)安全運營體系，提升醫院對未知威脅的(de)感知及積極防禦能力。