某醫(yī)院是大型綜合三級甲等公立醫(yī)院，近年來醫(yī)院開展了網上預約掛號、互聯(lián)網醫(yī)院、遠程會診等新興業(yè)務，這對現(xiàn)有網絡安全架構帶來了新的挑戰(zhàn)；同時等保2.0的實施，對網絡安全合規(guī)建設也帶來了新的技術及管理方面的要求。

建設目標

1) 滿足等保2.0的測評要求；

2) 對現(xiàn)有安全設備進行擴容和優(yōu)化，滿足醫(yī)院業(yè)務的開展需求；

3) 對現(xiàn)有安全架構需要優(yōu)化：現(xiàn)有安全技術架構采用被動式“木桶”模式，無法針對勒索病毒、未知威脅、高級APT攻擊等安全威脅做到有效把控，采購了一堆安全設備，卻無法保障安全事前規(guī)避；

4) 落實安全技術與管理制度：醫(yī)院目前有網絡安全管理制度和機房安全管理制度，但因為缺乏必要的技術檢測手段，無法使管理制度真正的落實下去，加上沒有相應的檢測、預警、分析、溯源、定位等大數(shù)據安全的技術手段，導致制度只能依靠員工的主觀意識來執(zhí)行，大大降低了安全制度的作用；

5)在面對安全攻擊時，具備專業(yè)的安全快速響應支持。

實施方案

1) 內外網物理隔離：將醫(yī)院的網絡按照業(yè)務類型劃分為內網及外網，內網和外網物理隔離，中間通過網閘進行信息交換。

2) 分區(qū)架構設計：內、外網采用分區(qū)架構設計，內網分為：核心交換區(qū)、終端接入區(qū)、安全運維管理區(qū)、服務器區(qū)、虛擬化計算資源區(qū)、外聯(lián)區(qū)；外網分為：核心交換區(qū)、終端接入區(qū)、安全運維管理區(qū)、DMZ區(qū)、外網出口區(qū)。區(qū)域之間通過防火墻進行業(yè)務訪問的安全隔離。

3) 設備更新?lián)Q代及補充：更新替換現(xiàn)有的性能不足的安全設備，按照等保2.0的要求補充相關設備。

4) 自適應安全框架完善和優(yōu)化網絡架構設計落地：在內外網各部署一套專業(yè)的安全廠商專業(yè)的APT檢測設備，提升對新型網絡攻擊行為的發(fā)現(xiàn)、分析、追溯的能力，APT攻擊檢測設備旁路部署在核心交換機上，對醫(yī)院網絡中的流量進行全量檢測和記錄，所有網絡行為都將以標準化的格式保存于數(shù)據平臺，云端威脅情報和本地文件威脅鑒定器分析結果與本地分析平臺進行對接，為醫(yī)院提供基于情報和文件檢測的威脅發(fā)現(xiàn)與溯源的能力；同時APT檢測設備可以和邊界防火墻及終端殺毒軟件進行聯(lián)動，自動下發(fā)安全策略，提供動態(tài)的安全防護能力。

5) 安全設備部署情況：在內網的安全運維管理區(qū)部署終端認證系統(tǒng)和殺毒、堡壘機、漏洞掃描、網絡審計、數(shù)據庫審計、日志服務器、未知威脅發(fā)現(xiàn)設備、無線準入設備；在內網的外聯(lián)區(qū)，通過部署防火墻及IPS設備，統(tǒng)一對省市醫(yī)保、銀行等外聯(lián)業(yè)務進行防護；在外網的安全運維管理區(qū)部署漏洞掃描、運維管理及終端認證系統(tǒng)和殺毒、堡壘機、日志服務器、未知威脅發(fā)現(xiàn)設備；在外網的出口區(qū)部署抗DDOS、負載均衡、防火墻、入侵防御、上網行為管理設備。

6) 互聯(lián)網醫(yī)院業(yè)務安全防護：將互聯(lián)網醫(yī)院業(yè)務部署在外網的DMZ區(qū)域的私有云環(huán)境上，在虛擬機上部署虛擬化安全防護系統(tǒng)。

7) 提供1名安全服務工程師駐場：結合專業(yè)的安全廠商后端安全專家技術支撐以及全網部署的專業(yè)的安全廠商安全設備，為醫(yī)院提供：滲透測試服務、全流量威脅分析服務、安全事件應急響應和技術支持等服務。

8) 安全培訓：為醫(yī)院的安全工程師提供安全意識培訓、基礎知識培訓、安全攻防對抗培訓，提升醫(yī)院運維人員的安全技術能力；

9) 安全保障制度：協(xié)助醫(yī)院完善應急響應機制、流程，以及針對重要時刻的保障制度。

案例總結

1) 等保合規(guī)：滿足等保2.0的評級要求；

2) 網絡架構更趨合理：通過改造后，基于自適應網絡安全架構更加符合新業(yè)務的開展需求，以及應對復雜多變的安全威脅防護需求；

3) 醫(yī)院安全能力提供：通過系統(tǒng)的，成體系的安全培訓，逐步提升醫(yī)院運維人員的安全技術及攻防能力；

4) 積極防御體系的成型：將安全管理體系、安全設備和工具、原廠商駐場人員及醫(yī)院的安全技術人員有效融合，結合云端大數(shù)據資源及安全威脅情報，形成一套規(guī)范有序、高效運轉、快速響應的安全運營體系，提升醫(yī)院對未知威脅的感知及積極防御能力。