一���、方案概況
近年來��,醫療行業信息化得到全面快速發展��,互聯網�、大數據�����、云計算等新興技術與傳統醫療不斷深化融合�,促進了醫療服務水平提升��,許多醫院��、基層醫療衛生機構���、專業公共衛生機構等通過互聯網提供在線問診����、智能問藥�����、藥品快遞到家等服務�,減少了接觸傳染的風險�����,增強了就醫的便捷性��,提高了優質醫療資源的利用效率��。
新年伊始�����,一場突如其來的公共衛生事件給我國公共衛生應急響應機制帶來了挑戰��,也將醫療行業再一次推上風口浪尖�����。大數據�、云計算��、物聯網等新技術在醫療行業的應用不斷深入���,為醫療服務提供了新的技術支持�����,有效提升醫療服務水平���。我國醫療行業信息化建設正加快開展���,而網絡安全現狀不容樂觀����,面臨的網絡安全風險也越來越大�。與此同時���,醫療行業面臨的網絡安全風險也逐漸增多����。雖各方高度重視�,但我國醫療行業網絡安全仍處于工作起步較晚��、整體風險較高��、防護水平相對落后的局面��,網絡安全形勢不容樂觀����。
本方案根據《網絡安全法》《關鍵信息基礎設施安全保護條例》以及等保2.0 標準體系要求���,按照醫療行業對網絡安全建設的規范文件����,提供涵蓋安全物理環境���、安全通信網絡��、安全區域邊界�����、安全計算環境�����、安全管理中心等方面的醫療行業網絡安全防護及運維解決方案����。
二����、需求描述
1. 合規需求分析網絡安全成為國家安全的核心范疇�,在建設我國的網絡空間態勢感知與預警防護體系時�,需要采用新技術��、新方法���、新方略�����,避免出現網絡安全建設中的彎路���,開啟網絡安全建設新時代�����。建設符合等級保護2.0 標準體系下對網絡安全的要求��。
2. 業務需求分析以網絡安全事件為主線��,強化實時監測���、通報預警���、快速處置�、追蹤溯源��、態勢感知�����、情報分析�����、精確打擊��、指揮控制�。
3. 風險需求分析根據對醫院網絡安全現狀的調研���,結合國家相關政策要求和標準規范�����,針對邊界安全�、數據防護�、終端安全�、安全加固��、周界安全等方面進行分析總結��,目前存在終端安全風險�����、運維安全風險���、數據庫安全風險����、智能威脅分析與管理���、日志數據安全需求��、防入侵需求��、閉環運維需求等問題����。
三����、系統架構系統嚴格按照等級保護2.0 標準體系要求��,從安全物理環境����、安全通信網絡�、安全區域邊界����、安全計算環境��、安全管理中心五大方面提供全面安全防護及安全運維�����。
四�����、系統功能
金盾軟件醫療網絡安全防護與運維管理平臺方案從防攻擊����、防泄漏��、防災難三方面進行方案搭建����。
1. 防攻擊層面
防攻擊層面�,我方實現安全能力整合�,在網絡邊界處提供訪問控制���、入侵防御�����、抗DDoS 攻擊�、病毒防護�、WAF 應用防護���、DLP數據防泄漏等安全支撐����。系統內置IPS(入侵防御)特征庫���、應用特征庫���、URL 特征庫���、病毒特征庫��、WAF 特征庫��、垃圾郵件規則庫��、僵尸網絡識別庫��、數據防泄漏防護庫�、IP 信譽庫等��,實現安全大數據策略庫整合��,為醫院網絡提供更為綜合的安全檢測����、防御能力����。
����。1)應用安全可實現對醫院各類WEB 應用提供加固防護����,并可實現對各類醫療業務應用系統自身的安全脆弱性進行掃描感知�,并對發現的安全威脅提供安全加固建議指導�����,將風險消滅在萌芽階段����。
�����。2)通信安全可實現對醫院整體網絡提供通信管理�,實現對內外網邊界訪問控制���,規避違規內聯�����、違規外聯情況����,并對外部入侵行為進行監測阻斷��,針對流量內的病毒可實現感知查殺���,防止病毒感染��,針對醫院內部終端計算機提供一體化防護機制����,實現身份認證并對入網設備進行安全評測�����,保障“違規不入網���,入網必合規”�,從根源層面杜絕“帶病入網”����。
���。3)終端安全層面可對入網的各類終端如計算機�、移動設備�、云主機等進行安全管理�,防止違規操作�、越權操作��。
2. 防泄密層面
金盾軟件針對醫院終端計算機存儲的各類辦公文檔�,可實現內容主動檢索�����,通過制定敏感關鍵詞或者語義規則�����,即可實現敏感數據自動發現�,例如我們定義包含了身份證號的文檔為敏感文檔���,則系統將會自動發現包含了身份證號數字內容的文檔��,并自動對其進行隔離保護����,防止數據泄露������?商峁┽槍︶t院各類數據提供安全隔離防護機制�����,保證數據全生命周期安全�����。
3. 防災難層面
��。1)狀態感知可實現對醫院全網資產運行情況的感知發現�����,清點各類IT 資產數量�����,及時發現網絡����、主機��、服務器�����、存儲等設備資源運行異常情況�����。
��。2)運維審計可實現對醫院網絡����、主機��、服務器��、存儲�����、數據庫等資產的運維管理過程全面管理�,保證運維過程全面可控可管可追溯���。
����。3)安全處置則可提供對各類事件進行分析并進行工單分發����,保證整體管理工作有序執行�。五��、系統特點1. 全面安全防護���。方案涵蓋主流網絡攻擊防護要求��、數據防泄密要求����,提供全面的安全防護能力�����。
2. 友好的交互界面�����。方案涉及的產品具有簡單明了的交互界面��,方便安全管理人員����、運維人員���、客戶等多種身份人員快速掌握����。
六�����、系統優勢
1. 單產品多功能���。在防攻擊層面�,金盾軟件第二代防火墻不僅具備防火墻固有的安全防護功能��,還提供訪問控制�����、入侵防御���、抗DDoS攻擊�、病毒防護�����、WAF 應用防護��、DLP 數據防泄漏等安全支撐����。系統內置IPS(入侵防御)特征庫����、應用特征庫�����、URL 特征庫�����、病毒特征庫���、WAF 特征庫��、垃圾郵件規則庫���、僵尸網絡識別庫�、數據防泄漏防護庫�����、IP 信譽庫等功能���。
2. 優秀的產品性能����。方案涉及的產品具有優秀的設備性能�,在保護客戶網絡體系安全的基礎上����,不產品網絡瓶頸����,不影響客戶其他業正常開展���。
3. 強大的設備兼容能力�����。系統安全審計產品����、網絡一體化運維產品能夠全面支持服務器�����、網絡設備�����、數據庫����、操作系統等多種類型設備的主流廠商���、主流產品�����,真正實現全面的網絡安全防護及運維功能�。
七���、創新技術
1. 主被動全面資產識別發現���。采用主動網絡協議探測����、被動數據流分析等相結合的探測方式�����,完整收集�、全面探測網絡內設備信息��、拓撲結構���、空間分布等信息���。通過內置豐富的特征指紋庫��、規則庫和設備特征識別技術��,對入網的各種設備��、業務進行組合式精準識別�。
2. 先進的網絡準入管理�����。采用全新一代NACP 準入控制技術�,實現對視頻網終端的入網管理�,阻止非法移動終端任意接入網絡���。NACP 準入控制技術不依賴任何交換機等網絡設備����,不會改變用戶網絡拓撲架構���,可滿足各種復雜網絡��、混合型部署網絡和縱級大型網絡的準入管理要求��。
