业务背景
信息化水平已成为衡量一个国家和地区现代化水平的重要标志。全民健康信息化和健康医疗大数据是国家信息化建设及战略资源的重要内容,是深化医药卫生体制改革、建设健康中国的重要支撑。
基于电子健康档案的医疗信息共享和交换的区域卫生信息平台,是国家卫生信息化发展总体规划所确定的四级平台建设总体框架中的核心和枢纽;是实现区域内医疗卫生资源整合利用、信息系统互联互通的重要基础;是为城乡居民建立规范化电子健康档案,提供系统性、连续性、全过程健康管理,获得便捷的医疗和公共卫生服务以及医保费用及时结报、安全用药的重要手段。加强区域卫生信息平台建设,对于强化政府与社会对医疗卫生服务的监管,改善医疗卫生服务体系运行状态,提高服务质量和效率,促进人人享有基本医疗卫生服务具有重要意义。
安全需求
① 等保合规需求,要贯彻落实《全国医院信息化建设标准与规范》(国卫办规划发〔2018〕4号)、《全国基层医疗卫生机构信息化建设标准与规范》(国卫规划函〔2019〕87号)和国家网络安全法律法规和等级保护制度要求,按照等保三级的要求进行安全防护规划设计和建设运营;
② 针对基层医疗卫生机构地域范围广、链路接入情况复杂、IT设备复杂多样,设备厂商众多以及机构规模大小不均等特点,需要通过专业技术手段实现边界安全接入需求,保证数据通讯过程的保密性与完整性;
③ 针对日益严重的网络安全威胁,如:网络攻击、病毒、木马等,需要通过专业的安全防护手段加以控制,全力保障基层医疗信息系统安全、稳定运行;
④ 针对基层医疗卫生机构内未设置专门的信息系统维护岗位,缺乏专业的运维保障与支撑,所有部署在乡镇基层医疗卫生机构的边界网关设备需要提供统一的管理手段,从而提升全局网络与安全管控质量;
⑤ 需要建设区域医联体整体网络安全应急保障监测中心,掌控全局网络安全态势,消除网络安全信息孤岛。
⑥ 由于基层医疗卫生机构的安全意识良莠不齐,需定期组织强化网络安全意识培训,提高网络信息安全意识,强化网络安全职责,共筑网络安全防线。
解决方案
市级卫生专网是由市卫健委统一实行卫生信息网络规划管理,建设纵向到底、横向到边的区域卫生基础网络,既覆盖市、县(区)、乡(街道)、村(社区)四级,又可延伸到各级医院、疾控中心、卫生监督所等医疗卫生机构,形成畅通高效的卫生信息专网。
一般在市卫健委设置卫生数据中心,搭建市级区域卫生信息平台,在县级卫健委设置数据交换中心,进行医疗卫生数据交换和共享服务。各级医疗卫生机构可通过数据专线或VPN专线接入专网,开展居民健康档案管理、区域医疗信息共享、新农合报账管理、基本药品供应监管、远程医疗会诊、患者双向转诊、卫生电子政务、卫生应急指挥等业务。随着医疗卫生事业发展,还会逐步融合现有农合网、120急救网、村卫信息网、社区卫生网、卫生政务网等业务专网。
● 外联区
外联区主要是卫健委卫生专网互联下级卫健委以及医院网络互联互通的区域,按照边界隔离和入侵防御原则,建议在下级用户边界出口部署下一代防火墙进行安全隔离,开启IPS、僵尸网络等功能,并接入卫计委的集中管控设备,由卫计委统一管控。
● 上联区
上联区主要是通往上级卫健委的专网链路,部署2台下一代防火墙,开启IPS、僵尸网络等功能,作为冗余链接,做好安全隔离。
● 核心区
核心区主要是卫生专网的核心网络交换枢纽,所有外联区,上联区、用户终端区、数据中心区等均与其相连,因此建议将核心网络冗余架构,以保障核心网络的高可用,部署一台安全感知探针,对卫生专网核心区的所有流量进行动态探测,发现威胁并联动安全感知平台进行告警。
● 用户终端区
该区域主要是卫健委机关网络办公人员PC等终端所在区域,建议该区域部署相关终端安全软件,进行安全隔离。
● 数据中心区
数据中心区为网络安全加固核心区域,网络层建议2台数据中心汇聚层交换机,保障数据中心的高可用。安全方面冗余部署2台数据中心级防火墙,作为边界的安全隔离设备,并且开启IPS、僵尸网络检测、WAF等功能,数据中心汇聚交换旁路部署安全感知探针,专门针对服务器区的内部流量进行安全探测。
● 安全管理中心区
为了满足等级保护“一个中心三重防护”的原则,新建立“一个中心”,即安全管理中心区,主要为了满足《网络安全法》和等级保护相关内容,部署相关审计设备如网络审计、日志审计、运维审计,部署相关检测设备如漏洞扫描设备、部署相关管理设备如网络运维管理,安全态势感知平台。部署集中控管设备如防病毒及补丁分发、终端准入与管理、设备集中管理设备。部署安全接入设备如SSL VPN。
方案优势
● 安全可视辅助决策简化运维
网络安全需要“看见”。只有看得见的安全才是真正的安全,通过网络风险可视化,将安全状况直观地呈现出来,实现更精准的风险分析及判断,更高效的安全运维和风险处置。
● 动态感知持续检测
安全管理平台基于业界领先信息安全理念,采用业界领先的大数据、人工智能技术安全,建立了安全感知平台,在安全事件发生前就能够及时发现并采用有效安全策略,从而降低安全风险。从“来源提取”,“检测分析”,“交付可视”,与“处置响应”四个方面来构建安全体系。
● 协同防御,多级联动
在过去的安全体系,每个安全节点各自为战,没有实质性的联动。而如果这些安全环节能协同作战、互补不足,则会带来更好的防御效果。该方案协助用户构建多级联动安全防御体系,形成威胁的防御、检测、响应和预测,形成闭环,应对各种攻击。同时,以智能集成联动的方式工作,应对高级威胁。可以联动防火墙、入侵检测、WAF一键阻断木马与黑客的通信,发生安全事件可及时在用户端告警;可以联动终端防病毒软件,实现终端病毒扫描和查杀;还可以联动数据库审计,做防泄密的分析和追踪等等。
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
