安全技术措施设计

1、通用安全设计

医院网络安全技术体系的设计内容主要涵盖安全管理中心、安全通信网络、安全区域边界、安全计算环境：

安全通信网络设计

l关键网络节点、设备及链路需进行冗余建设，保证高可用性；

l部署防火墙提供可靠的安全域隔离；

l部署VPN保证远程通信过程中数据的保密性及完整性。

安全区域边界设计

l部署网络准入控制系统，对非授权设备私自接入内部网络的行为进行控制；

l部署EDR，对内部用户非法外联行为进行控制；

l部署防火墙系统实现基于应用协议和应用内容的访问控制；

l部署双向网闸、数据安全交换平台实现医院内外网数据的安全隔离与交换；

l部署抗DDoS功能（集成于防火墙）、IPS、WAF、IDS、APT安全监测等，在关键网络节点处检测网络攻击行为，对网络攻击特别是新型网络攻击行为进行检测、分析、告警和防范；

l部署防病毒网关、僵木蠕系统，在关键网络节点处对恶意代码进行检测和防范；

l部署网络审计系统，对用户的网络访问行为进行审计和数据分析。

安全计算环境设计

l部署堡垒主机对用户进行身份鉴别，对管理用户进行权限管理；

l部署数据库审计系统，对重要的用户行为和重要安全事件进行集中审计；

l 部署漏洞管理、基线管理、终端威胁防御等系统保障终端及服务器安全；

l采用密码技术，保障重要数据的完整性、保密性；

l部署容灾备份系统，保障重要数据的可用性；

l对重要网站系统提供网页防篡改、网站安全监控等保护机制；

安全管理中心设计

l通过堡垒主机实现集中的身份鉴别、访问授权和操作审计；

l部署网络管理系统，对网络和信息基础设施的运行状况进行集中监控；

l部署日志审计系统，对分散在网络中的审计数据进行收集汇总和集中分析；

l内网部署态势感知平台，支撑安全监测、分析、预警、响应、处置、追溯等安全管理和运维工作；外网部署数据采集代理服务器，收集外网安全数据形成分析结果，通过网闸发送到内网平台。

2、云计算安全设计

l部署安全资源池，实现对云租户南北向流量的检测与防护；

l部署虚拟化分布式防火墙，实现对云主机东西向流量的检测与防护；

l部署EDR，实现云主机本地的威胁检测与防护；

l部署云安全管理中心完成统一的策略管理、安全监控、策略迁移和自动化部署。

3、移动互联安全设计

无线接入安全设计

l在受控边界处部署防火墙与有线网络实现安全隔离；

l部署无线管理平台集中管理无线AP的位置、数量、信道等；

l通过无线管理平台提供符合国密算法的身份认证；

l部署EMM对接入终端的进行定位和准入；

移动终端安全设计

通过EMM实现医护终端登记注册，提供全生命周期管控，终端遗失后，可定位位置、远程锁定设备、远程擦除敏感数据，防止数据泄露。

移动应用安全设计

l采用EMM对APP进行上线前安全检测、安全加固、提供黑白名单功能，确保应用安全性。

客户收益

 依托自身完善的网络安全产品与服务体系，协助医院顺利完成等级保护各个阶段的工作，构建安全、合规的网络安全保障体系。将带来如下收益：

l构建医院网络安全保障体系，既满足等级保护相关要求，同时也加强了医疗系统的安全防护能力，保证医疗服务持续不断的同时，保护患者隐私不受侵害，提高医院整体服务质量，提升综合竞争力；

l打造安全、稳定、共享、规范、高效的信息系统安全保障体系，使医院的信息安全保障能力得到了全面提升，提高了医院网络安全管理水平和控制能力。

l通过方案建设，医院信息化基础设施安全性得到保障，为开展“互联网+健康医疗”业务提供安全网络环境，奠定行业领先基础。