人民医院整体安全解决方案

XXX县人民医院整体安全解决方案

XXX县人民医院位于XXX市长江北岸的XXX县城，成立于一九五零年七月，是一所集临床医疗、教学、科研和预防保健于一体的综合性三级医院。2011年一所投资近2亿元，具有三级医院规模的新型现代化医院将矗立在XXX城区新区， 2011年新建成医院年门诊容量将达到60万人次，年出院人次将达到3万左右，业务收入预计达到1.6亿元，于2014年4月25日至5月20日实施医院整体搬迁。

XXX县人民医院已经完成全院网络覆盖，医院内外共用一张网络，互联网出口部署H3C F1000防火墙，内部核心交换机为两台（一台冷备），门诊、住院等科室每层楼都部署交换机，接入核心交换机，服务器区通过两台交换机接入核心交换机。

网络示意图如下：

当前，随着XXX县人民医院的业务深化推进，同时面临三级综合医院等级评审的需要，经过实地考查，在信息化安全部分发现以下一些问题：

⏹外部的接入点有用防火墙做访问控制，但没有针对入侵行为的防护及检测手段，不符合三

级评审中相关要求（6.5.4.1加强信息系统的安全保障和患者隐私保护C级第3条）。

⏹没有物理隔离内外网，通过交换机做的逻辑隔离。在运维不当或被人获取权限后，容易被

篡改，造成内网完全暴露在外。

⏹网内未进行用户、IP、MAC绑定，没有网络准入控制手段，易被人私接入内网。不符合等保

相关规定。

⏹未发现网络运行监控系统，不符合三级评审中相关要求（6.5.4.1加强信息系统的安全保障和患

者隐私保护C级第3条）。

⏹与外部网络的接口缺少防病毒手段。（6.5.4.1加强信息系统的安全保障和患者隐私保护C级第3

条）。

⏹缺少信息系统及机房核心设备的操作权限控制，缺少身份认证及权限控制手段。不符合三

级评审中相关要求（6.5.4.1加强信息系统的安全保障和患者隐私保护C级第4条）。

⏹虽然布署了防统方系统，但病人数据的使用及隐私数据的调用缺少控制手段及事后追溯措

施。不符合三级评审中相关要求（6.5.4.1加强信息系统的安全保障和患者隐私保护C级第4条）。

⏹缺少安全日志收集及分析手段，无法及时进行信息系统的安全预警及事后追溯。不符合三

级评审中相关要求（6.5.4.1加强信息系统的安全保障和患者隐私保护B级第1条）。

⏹缺乏持续改进安全保障系统的手段及措施，不符合三级评审中相关要求（6.5.4.1加强信息

系统的安全保障和患者隐私保护B级第2条）。

⏹新农合医保等服务器直接布署在核心服务器区域，易被人利用农合系统的漏洞绕过所有前

端防护手段，直接渗透进内网，并获取权限。

按二级等保的要求（地级三甲医院等保网监定级至少二级，一般为三级）及三级医院等级评审的要求对信息安全的要求，在不改变现有的网络拓扑结构的情况下，设计XXX县人民医院安全防护设计图如下：

依据以上思路，本方案具体采用了全网安全思路（区分内外网）进行方案设计：

⏹互联网出口串联布署天融信入侵防御系统IPS（也可采用防火墙加IPS模块或在外网核心部署入侵检测

系统IDS）及上网行为管理系统ACM。防御（或检测）来自互联网的攻击及扫描渗透行为，审计所有上网的行为及言论，可分时间分组对带宽进行管控及上网行为管控，保障正常业务带宽。

⏹内网所有医保、农合、铁路医保、远程医疗线路全部通过天融信防火墙接入内网。

⏹内网区域核心交换机带有防火墙及IPS模块，故在内网不单独部署防火墙及IPS。

⏹用网闸分隔内外网，所有内外网直接数据通过网闸摆渡至另一端，达到完全的物理隔离。所有的针对服

务器区域的访问全部通过缓冲区进行，不开放服务器区域的直接访问权限。如内外网有数据库或文件需要实时同步，则通过文件或数据库同步模块与缓冲区进行数据交换。

⏹在内网核心交换机旁路一台天融信数据库审计系统，开启网络审计模块。对所有针对此区域针对服务器

区域的网络访问及数据库访问行为进行审计记录，以供事后追溯。数据库审计系统通过对镜像的数据进行协议还原、分析，以图表化直观的方式将审计内容展示给管理者，并可以设置相应的报警响应，另外，该产品还具有一定的网络行为和内容审计功能，为安全管理和安全策略制定提供依据。

⏹在内网开辟一个管理区域，旁路布署一台天融信运维审计系统（堡垒机）。所有针对服务器及交换设备

的运维操作必须通过此设备的接口跳转，所有的运维操作将被记录供事后审计，同时自定义高危操作，可禁止某些高风险运维指令的执行。此运维审计系统自带VPN模块，提供远程的运维操作申请及审批功能，以便厂商的远程接入并审批后的运维操作，并全程审计。

⏹在管理区域旁路布署一台天融信漏洞扫描系统，供管理员定期扫描主机、数据库、中间件的安全漏洞及

风险，提供安全加固参考。

⏹在管理区域旁路布署一套天融信日志收集与分析系统标准版，收集安全设备、路由器、交换机、服务器

的安全日志分类归并保存并进行智能分析，提供管理员安全预警及事后追溯依据。

⏹在管理区域旁路布署一套安全准入系统硬件，避免因网络故障致准入不在线时，终端无法接入的问题。

所有内网计算机需通过此设备的认证并下载插件并进行合规性检查才允许接入内网，通过软硬结合的方式，严格的控制了终端随意入网的现象，通过插件实现内网接入设备的非法外联的管制。

⏹在管理区域布署一套网络安全管理系统，实时展现网络拓扑、流程、网络连接情况、服务器安全状态。

实现网络安全可视化管控。

⏹在外部接入点布署防火墙、入侵防御设备，在内网终端部署防病毒软件，满足三级评审中相关要求：

信息系统运行稳定、安全，具有防灾备份系统，实行网络运行监控，有防病毒、防入侵措施。

（6.5.4.1加强信息系统的安全保障和患者隐私保护C级第3条）。

⏹在管理区域布署网络安全管理系统，提供可视化管理同时，满足三级评审中关于：信息系统运行稳定、安

全，具有防灾备份系统，实行网络运行监控，有防病毒、防入侵措施（6.5.4.1加强信息系统的安全保障和患者隐私保护C级第3条）。

⏹在管理区域布署运维审计系统（堡垒机）、数据库审计，满足三级评审中关于：实行信息系统操作权限分

级管理，信息安全采用身份认证、权限控制（包括数据库和运用系统）、病人数据使用控制、保障网络信息安全和保护病人隐私（6.5.4.1加强信息系统的安全保障和患者隐私保护C级第4条）。

⏹在管理区域布署日志收集与分析系统和脆弱性扫描系统，满足三级评审中关于：有安全监管记录，定期分

析，及时处理安全预警，持续改进安全保障系统（6.5.4.1加强信息系统的安全保障和患者隐私保护B级第1条）。