區域衛生信息專網安全建設方案
作者:啟明星辰技術中心行業營銷部
2021-03-11
業務背景
信息化水平已成為衡量一個國家和地區現代化水平的重要標志�����。全民健康信息化和健康醫療大數據是國家信息化建設及戰略資源的重要內容���,是深化醫藥衛生體制改革����、建設健康中國的重要支撐����。
基于電子健康檔案的醫療信息共享和交換的區域衛生信息平臺�,是國家衛生信息化發展總體規劃所確定的四級平臺建設總體框架中的核心和樞紐����;是實現區域內醫療衛生資源整合利用����、信息系統互聯互通的重要基礎�����;是為城鄉居民建立規范化電子健康檔案�,提供系統性����、連續性�����、全過程健康管理�,獲得便捷的醫療和公共衛生服務以及醫保費用及時結報����、安全用藥的重要手段���。加強區域衛生信息平臺建設����,對于強化政府與社會對醫療衛生服務的監管�����,改善醫療衛生服務體系運行狀態��,提高服務質量和效率��,促進人人享有基本醫療衛生服務具有重要意義�。
安全需求
① 等保合規需求���,要貫徹落實《全國醫院信息化建設標準與規范》(國衛辦規劃發〔2018〕4號)�����、《全國基層醫療衛生機構信息化建設標準與規范》(國衛規劃函〔2019〕87號)和國家網絡安全法律法規和等級保護制度要求�����,按照等保三級的要求進行安全防護規劃設計和建設運營����;
② 針對基層醫療衛生機構地域范圍廣����、鏈路接入情況復雜�、IT設備復雜多樣��,設備廠商眾多以及機構規模大小不均等特點����,需要通過專業技術手段實現邊界安全接入需求����,保證數據通訊過程的保密性與完整性;
③ 針對日益嚴重的網絡安全威脅����,如:網絡攻擊�����、病毒�、木馬等����,需要通過專業的安全防護手段加以控制�����,全力保障基層醫療信息系統安全���、穩定運行;
④ 針對基層醫療衛生機構內未設置專門的信息系統維護崗位����,缺乏專業的運維保障與支撐�,所有部署在鄉鎮基層醫療衛生機構的邊界網關設備需要提供統一的管理手段�����,從而提升全局網絡與安全管控質量;
⑤ 需要建設區域醫聯體整體網絡安全應急保障監測中心��,掌控全局網絡安全態勢����,消除網絡安全信息孤島��。
⑥ 由于基層醫療衛生機構的安全意識良莠不齊��,需定期組織強化網絡安全意識培訓����,提高網絡信息安全意識���,強化網絡安全職責�����,共筑網絡安全防線���。
解決方案
市級衛生專網是由市衛健委統一實行衛生信息網絡規劃管理�,建設縱向到底����、橫向到邊的區域衛生基礎網絡�����,既覆蓋市���、縣(區)�、鄉(街道)��、村(社區)四級�,又可延伸到各級醫院���、疾控中心�、衛生監督所等醫療衛生機構��,形成暢通高效的衛生信息專網�����。
一般在市衛健委設置衛生數據中心�����,搭建市級區域衛生信息平臺���,在縣級衛健委設置數據交換中心��,進行醫療衛生數據交換和共享服務�����。各級醫療衛生機構可通過數據專線或VPN專線接入專網���,開展居民健康檔案管理��、區域醫療信息共享���、新農合報賬管理����、基本藥品供應監管����、遠程醫療會診����、患者雙向轉診����、衛生電子政務����、衛生應急指揮等業務�����。隨著醫療衛生事業發展��,還會逐步融合現有農合網���、120急救網��、村衛信息網�����、社區衛生網��、衛生政務網等業務專網��。
● 外聯區
外聯區主要是衛健委衛生專網互聯下級衛健委以及醫院網絡互聯互通的區域����,按照邊界隔離和入侵防御原則��,建議在下級用戶邊界出口部署下一代防火墻進行安全隔離�,開啟IPS�、僵尸網絡等功能�����,并接入衛計委的集中管控設備��,由衛計委統一管控���。
● 上聯區
上聯區主要是通往上級衛健委的專網鏈路�����,部署2臺下一代防火墻��,開啟IPS�、僵尸網絡等功能��,作為冗余鏈接����,做好安全隔離����。
● 核心區
核心區主要是衛生專網的核心網絡交換樞紐��,所有外聯區���,上聯區�、用戶終端區����、數據中心區等均與其相連���,因此建議將核心網絡冗余架構��,以保障核心網絡的高可用�,部署一臺安全感知探針�����,對衛生專網核心區的所有流量進行動態探測���,發現威脅并聯動安全感知平臺進行告警���。
● 用戶終端區
該區域主要是衛健委機關網絡辦公人員PC等終端所在區域�����,建議該區域部署相關終端安全軟件�,進行安全隔離�。
● 數據中心區
數據中心區為網絡安全加固核心區域��,網絡層建議2臺數據中心匯聚層交換機���,保障數據中心的高可用����。安全方面冗余部署2臺數據中心級防火墻�����,作為邊界的安全隔離設備���,并且開啟IPS��、僵尸網絡檢測����、WAF等功能��,數據中心匯聚交換旁路部署安全感知探針����,專門針對服務器區的內部流量進行安全探測��。
● 安全管理中心區
為了滿足等級保護“一個中心三重防護”的原則����,新建立“一個中心”��,即安全管理中心區���,主要為了滿足《網絡安全法》和等級保護相關內容��,部署相關審計設備如網絡審計���、日志審計���、運維審計���,部署相關檢測設備如漏洞掃描設備��、部署相關管理設備如網絡運維管理�,安全態勢感知平臺��。部署集中控管設備如防病毒及補丁分發����、終端準入與管理�����、設備集中管理設備��。部署安全接入設備如SSL VPN����。
方案優勢
● 安全可視輔助決策簡化運維
網絡安全需要“看見”����。只有看得見的安全才是真正的安全�,通過網絡風險可視化��,將安全狀況直觀地呈現出來���,實現更精準的風險分析及判斷�����,更高效的安全運維和風險處置�����。
● 動態感知持續檢測
安全管理平臺基于業界領先信息安全理念�,采用業界領先的大數據�、人工智能技術安全���,建立了安全感知平臺���,在安全事件發生前就能夠及時發現并采用有效安全策略�,從而降低安全風險����。從“來源提取”�,“檢測分析”���,“交付可視”�����,與“處置響應”四個方面來構建安全體系��。
● 協同防御�,多級聯動
在過去的安全體系�,每個安全節點各自為戰�����,沒有實質性的聯動�。而如果這些安全環節能協同作戰���、互補不足�����,則會帶來更好的防御效果��。該方案協助用戶構建多級聯動安全防御體系�,形成威脅的防御�����、檢測����、響應和預測�����,形成閉環�����,應對各種攻擊�����。同時�,以智能集成聯動的方式工作����,應對高級威脅����?�?梢月搫臃阑饓?��、入侵檢測�����、WAF一鍵阻斷木馬與黑客的通信����,發生安全事件可及時在用戶端告警����;可以聯動終端防病毒軟件�,實現終端病毒掃描和查殺�;還可以聯動數據庫審計���,做防泄密的分析和追蹤等等�。
京公網安備11010802024551號