某醫院是大型綜合三級甲等公立醫院,近年(nián)來醫院開展了網上預約挂号、互聯網醫院、遠程會診等新興業務,這對現有(yǒu)網絡安全架構帶來了新的(de)挑戰;同時等保2.0的(de)實施,對網絡安全合規建設也帶來了新的(de)技術及管理(lǐ)方面的(de)要求。
建設目标
1) 滿足等保2.0的(de)測評要求;
2) 對現有(yǒu)安全設備進行(xíng)擴容和(hé)優化,滿足醫院業務的(de)開展需求;
3) 對現有(yǒu)安全架構需要優化:現有(yǒu)安全技術架構采用被動式“木桶”模式,無法針對勒索病毒、未知威脅、高(gāo)級APT攻擊等安全威脅做(zuò)到有(yǒu)效把控,采購了一(yī)堆安全設備,卻無法保障安全事前規避;
4) 落實安全技術與管理(lǐ)制度:醫院目前有(yǒu)網絡安全管理(lǐ)制度和(hé)機(jī)房安全管理(lǐ)制度,但因為(wèi)缺乏必要的(de)技術檢測手段,無法使管理(lǐ)制度真正的(de)落實下去(qù),加上沒有(yǒu)相應的(de)檢測、預警、分析、溯源、定位等大數據安全的(de)技術手段,導緻制度隻能依靠員工的(de)主觀意識來執行(xíng),大大降低(dī)了安全制度的(de)作用;
5)在面對安全攻擊時,具備專業的(de)安全快速響應支持。
實施方案
1) 內(nèi)外網物理(lǐ)隔離(lí):将醫院的(de)網絡按照業務類型劃分為(wèi)內(nèi)網及外網,內(nèi)網和(hé)外網物理(lǐ)隔離(lí),中間通過網閘進行(xíng)信息交換。
2) 分區架構設計:內(nèi)、外網采用分區架構設計,內(nèi)網分為(wèi):核心交換區、終端接入區、安全運維管理(lǐ)區、服務器區、虛拟化計算資源區、外聯區;外網分為(wèi):核心交換區、終端接入區、安全運維管理(lǐ)區、DMZ區、外網出口區。區域之間通過防火牆進行(xíng)業務訪問的(de)安全隔離(lí)。
3) 設備更新換代及補充:更新替換現有(yǒu)的(de)性能不足的(de)安全設備,按照等保2.0的(de)要求補充相關設備。
4) 自(zì)适應安全框架完善和(hé)優化網絡架構設計落地(dì):在內(nèi)外網各部署一(yī)套專業的(de)安全廠商(shāng)專業的(de)APT檢測設備,提升對新型網絡攻擊行(xíng)為(wèi)的(de)發現、分析、追溯的(de)能力,APT攻擊檢測設備旁路部署在核心交換機(jī)上,對醫院網絡中的(de)流量進行(xíng)全量檢測和(hé)記錄,所有(yǒu)網絡行(xíng)為(wèi)都将以标準化的(de)格式保存于數據平台,雲端威脅情報和(hé)本地(dì)文件威脅鑒定器分析結果與本地(dì)分析平台進行(xíng)對接,為(wèi)醫院提供基于情報和(hé)文件檢測的(de)威脅發現與溯源的(de)能力;同時APT檢測設備可(kě)以和(hé)邊界防火牆及終端殺毒軟件進行(xíng)聯動,自(zì)動下發安全策略,提供動态的(de)安全防護能力。
5) 安全設備部署情況:在內(nèi)網的(de)安全運維管理(lǐ)區部署終端認證系統和(hé)殺毒、堡壘機(jī)、漏洞掃描、網絡審計、數據庫審計、日志服務器、未知威脅發現設備、無線準入設備;在內(nèi)網的(de)外聯區,通過部署防火牆及IPS設備,統一(yī)對省市(shì)醫保、銀行(xíng)等外聯業務進行(xíng)防護;在外網的(de)安全運維管理(lǐ)區部署漏洞掃描、運維管理(lǐ)及終端認證系統和(hé)殺毒、堡壘機(jī)、日志服務器、未知威脅發現設備;在外網的(de)出口區部署抗DDOS、負載均衡、防火牆、入侵防禦、上網行(xíng)為(wèi)管理(lǐ)設備。
6) 互聯網醫院業務安全防護:将互聯網醫院業務部署在外網的(de)DMZ區域的(de)私有(yǒu)雲環境上,在虛拟機(jī)上部署虛拟化安全防護系統。
7) 提供1名安全服務工程師駐場:結合專業的(de)安全廠商(shāng)後端安全專家技術支撐以及全網部署的(de)專業的(de)安全廠商(shāng)安全設備,為(wèi)醫院提供:滲透測試服務、全流量威脅分析服務、安全事件應急響應和(hé)技術支持等服務。
8) 安全培訓:為(wèi)醫院的(de)安全工程師提供安全意識培訓、基礎知識培訓、安全攻防對抗培訓,提升醫院運維人員的(de)安全技術能力;
9) 安全保障制度:協助醫院完善應急響應機(jī)制、流程,以及針對重要時刻的(de)保障制度。
案例總結
1) 等保合規:滿足等保2.0的(de)評級要求;
2) 網絡架構更趨合理(lǐ):通過改造後,基于自(zì)适應網絡安全架構更加符合新業務的(de)開展需求,以及應對複雜多變的(de)安全威脅防護需求;
3) 醫院安全能力提供:通過系統的(de),成體系的(de)安全培訓,逐步提升醫院運維人員的(de)安全技術及攻防能力;
4) 積極防禦體系的(de)成型:将安全管理(lǐ)體系、安全設備和(hé)工具、原廠商(shāng)駐場人員及醫院的(de)安全技術人員有(yǒu)效融合,結合雲端大數據資源及安全威脅情報,形成一(yī)套規範有(yǒu)序、高(gāo)效運轉、快速響應的(de)安全運營體系,提升醫院對未知威脅的(de)感知及積極防禦能力。