某醫(yī)院是大型綜合三級甲等公立醫(yī)院，近年來醫(yī)院開展了網(wǎng)上預(yù)約掛號、互聯(lián)網(wǎng)醫(yī)院、遠(yuǎn)程會診等新興業(yè)務(wù)，這對現(xiàn)有網(wǎng)絡(luò)安全架構(gòu)帶來了新的挑戰(zhàn)；同時等保2.0的實施，對網(wǎng)絡(luò)安全合規(guī)建設(shè)也帶來了新的技術(shù)及管理方面的要求。

建設(shè)目標(biāo)

1) 滿足等保2.0的測評要求；

2) 對現(xiàn)有安全設(shè)備進(jìn)行擴(kuò)容和優(yōu)化，滿足醫(yī)院業(yè)務(wù)的開展需求；

3) 對現(xiàn)有安全架構(gòu)需要優(yōu)化：現(xiàn)有安全技術(shù)架構(gòu)采用被動式“木桶”模式，無法針對勒索病毒、未知威脅、高級APT攻擊等安全威脅做到有效把控，采購了一堆安全設(shè)備，卻無法保障安全事前規(guī)避；

4) 落實安全技術(shù)與管理制度：醫(yī)院目前有網(wǎng)絡(luò)安全管理制度和機(jī)房安全管理制度，但因為缺乏必要的技術(shù)檢測手段，無法使管理制度真正的落實下去，加上沒有相應(yīng)的檢測、預(yù)警、分析、溯源、定位等大數(shù)據(jù)安全的技術(shù)手段，導(dǎo)致制度只能依靠員工的主觀意識來執(zhí)行，大大降低了安全制度的作用；

5)在面對安全攻擊時，具備專業(yè)的安全快速響應(yīng)支持。

實施方案

1) 內(nèi)外網(wǎng)物理隔離：將醫(yī)院的網(wǎng)絡(luò)按照業(yè)務(wù)類型劃分為內(nèi)網(wǎng)及外網(wǎng)，內(nèi)網(wǎng)和外網(wǎng)物理隔離，中間通過網(wǎng)閘進(jìn)行信息交換。

2) 分區(qū)架構(gòu)設(shè)計：內(nèi)、外網(wǎng)采用分區(qū)架構(gòu)設(shè)計，內(nèi)網(wǎng)分為：核心交換區(qū)、終端接入?yún)^(qū)、安全運維管理區(qū)、服務(wù)器區(qū)、虛擬化計算資源區(qū)、外聯(lián)區(qū)；外網(wǎng)分為：核心交換區(qū)、終端接入?yún)^(qū)、安全運維管理區(qū)、DMZ區(qū)、外網(wǎng)出口區(qū)。區(qū)域之間通過防火墻進(jìn)行業(yè)務(wù)訪問的安全隔離。

3) 設(shè)備更新?lián)Q代及補充：更新替換現(xiàn)有的性能不足的安全設(shè)備，按照等保2.0的要求補充相關(guān)設(shè)備。

4) 自適應(yīng)安全框架完善和優(yōu)化網(wǎng)絡(luò)架構(gòu)設(shè)計落地：在內(nèi)外網(wǎng)各部署一套專業(yè)的安全廠商專業(yè)的APT檢測設(shè)備，提升對新型網(wǎng)絡(luò)攻擊行為的發(fā)現(xiàn)、分析、追溯的能力，APT攻擊檢測設(shè)備旁路部署在核心交換機(jī)上，對醫(yī)院網(wǎng)絡(luò)中的流量進(jìn)行全量檢測和記錄，所有網(wǎng)絡(luò)行為都將以標(biāo)準(zhǔn)化的格式保存于數(shù)據(jù)平臺，云端威脅情報和本地文件威脅鑒定器分析結(jié)果與本地分析平臺進(jìn)行對接，為醫(yī)院提供基于情報和文件檢測的威脅發(fā)現(xiàn)與溯源的能力；同時APT檢測設(shè)備可以和邊界防火墻及終端殺毒軟件進(jìn)行聯(lián)動，自動下發(fā)安全策略，提供動態(tài)的安全防護(hù)能力。

5) 安全設(shè)備部署情況：在內(nèi)網(wǎng)的安全運維管理區(qū)部署終端認(rèn)證系統(tǒng)和殺毒、堡壘機(jī)、漏洞掃描、網(wǎng)絡(luò)審計、數(shù)據(jù)庫審計、日志服務(wù)器、未知威脅發(fā)現(xiàn)設(shè)備、無線準(zhǔn)入設(shè)備；在內(nèi)網(wǎng)的外聯(lián)區(qū)，通過部署防火墻及IPS設(shè)備，統(tǒng)一對省市醫(yī)保、銀行等外聯(lián)業(yè)務(wù)進(jìn)行防護(hù)；在外網(wǎng)的安全運維管理區(qū)部署漏洞掃描、運維管理及終端認(rèn)證系統(tǒng)和殺毒、堡壘機(jī)、日志服務(wù)器、未知威脅發(fā)現(xiàn)設(shè)備；在外網(wǎng)的出口區(qū)部署抗DDOS、負(fù)載均衡、防火墻、入侵防御、上網(wǎng)行為管理設(shè)備。

6) 互聯(lián)網(wǎng)醫(yī)院業(yè)務(wù)安全防護(hù)：將互聯(lián)網(wǎng)醫(yī)院業(yè)務(wù)部署在外網(wǎng)的DMZ區(qū)域的私有云環(huán)境上，在虛擬機(jī)上部署虛擬化安全防護(hù)系統(tǒng)。

7) 提供1名安全服務(wù)工程師駐場：結(jié)合專業(yè)的安全廠商后端安全專家技術(shù)支撐以及全網(wǎng)部署的專業(yè)的安全廠商安全設(shè)備，為醫(yī)院提供：滲透測試服務(wù)、全流量威脅分析服務(wù)、安全事件應(yīng)急響應(yīng)和技術(shù)支持等服務(wù)。

8) 安全培訓(xùn)：為醫(yī)院的安全工程師提供安全意識培訓(xùn)、基礎(chǔ)知識培訓(xùn)、安全攻防對抗培訓(xùn)，提升醫(yī)院運維人員的安全技術(shù)能力；

9) 安全保障制度：協(xié)助醫(yī)院完善應(yīng)急響應(yīng)機(jī)制、流程，以及針對重要時刻的保障制度。

案例總結(jié)

1) 等保合規(guī)：滿足等保2.0的評級要求；

2) 網(wǎng)絡(luò)架構(gòu)更趨合理：通過改造后，基于自適應(yīng)網(wǎng)絡(luò)安全架構(gòu)更加符合新業(yè)務(wù)的開展需求，以及應(yīng)對復(fù)雜多變的安全威脅防護(hù)需求；

3) 醫(yī)院安全能力提供：通過系統(tǒng)的，成體系的安全培訓(xùn)，逐步提升醫(yī)院運維人員的安全技術(shù)及攻防能力；

4) 積極防御體系的成型：將安全管理體系、安全設(shè)備和工具、原廠商駐場人員及醫(yī)院的安全技術(shù)人員有效融合，結(jié)合云端大數(shù)據(jù)資源及安全威脅情報，形成一套規(guī)范有序、高效運轉(zhuǎn)、快速響應(yīng)的安全運營體系，提升醫(yī)院對未知威脅的感知及積極防御能力。