一、方案概况
近年来,医疗行业信息化得到全面快速发展,互联网、大数据、云计算等新兴技术与传统医疗不断深化融合,促进了医疗服务水平提升,许多医院、基层医疗卫生机构、专业公共卫生机构等通过互联网提供在线问诊、智能问药、药品快递到家等服务,减少了接触传染的风险,增强了就医的便捷性,提高了优质医疗资源的利用效率。
新年伊始,一场突如其来的公共卫生事件给我国公共卫生应急响应机制带来了挑战,也将医疗行业再一次推上风口浪尖。大数据、云计算、物联网等新技术在医疗行业的应用不断深入,为医疗服务提供了新的技术支持,有效提升医疗服务水平。我国医疗行业信息化建设正加快开展,而网络安全现状不容乐观,面临的网络安全风险也越来越大。与此同时,医疗行业面临的网络安全风险也逐渐增多。虽各方高度重视,但我国医疗行业网络安全仍处于工作起步较晚、整体风险较高、防护水平相对落后的局面,网络安全形势不容乐观。
本方案根据《网络安全法》《关键信息基础设施安全保护条例》以及等保2.0 标准体系要求,按照医疗行业对网络安全建设的规范文件,提供涵盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等方面的医疗行业网络安全防护及运维解决方案。
二、需求描述
1. 合规需求分析网络安全成为国家安全的核心范畴,在建设我国的网络空间态势感知与预警防护体系时,需要采用新技术、新方法、新方略,避免出现网络安全建设中的弯路,开启网络安全建设新时代。建设符合等级保护2.0 标准体系下对网络安全的要求。
2. 业务需求分析以网络安全事件为主线,强化实时监测、通报预警、快速处置、追踪溯源、态势感知、情报分析、精确打击、指挥控制。
3. 风险需求分析根据对医院网络安全现状的调研,结合国家相关政策要求和标准规范,针对边界安全、数据防护、终端安全、安全加固、周界安全等方面进行分析总结,目前存在终端安全风险、运维安全风险、数据库安全风险、智能威胁分析与管理、日志数据安全需求、防入侵需求、闭环运维需求等问题。
三、系统架构系统严格按照等级保护2.0 标准体系要求,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五大方面提供全面安全防护及安全运维。
四、系统功能
金盾软件医疗网络安全防护与运维管理平台方案从防攻击、防泄漏、防灾难三方面进行方案搭建。
1. 防攻击层面
防攻击层面,我方实现安全能力整合,在网络边界处提供访问控制、入侵防御、抗DDoS 攻击、病毒防护、WAF 应用防护、DLP数据防泄漏等安全支撑。系统内置IPS(入侵防御)特征库、应用特征库、URL 特征库、病毒特征库、WAF 特征库、垃圾邮件规则库、僵尸网络识别库、数据防泄漏防护库、IP 信誉库等,实现安全大数据策略库整合,为医院网络提供更为综合的安全检测、防御能力。
(1)应用安全可实现对医院各类WEB 应用提供加固防护,并可实现对各类医疗业务应用系统自身的安全脆弱性进行扫描感知,并对发现的安全威胁提供安全加固建议指导,将风险消灭在萌芽阶段。
(2)通信安全可实现对医院整体网络提供通信管理,实现对内外网边界访问控制,规避违规内联、违规外联情况,并对外部入侵行为进行监测阻断,针对流量内的病毒可实现感知查杀,防止病毒感染,针对医院内部终端计算机提供一体化防护机制,实现身份认证并对入网设备进行安全评测,保障“违规不入网,入网必合规”,从根源层面杜绝“带病入网”。
(3)终端安全层面可对入网的各类终端如计算机、移动设备、云主机等进行安全管理,防止违规操作、越权操作。
2. 防泄密层面
金盾软件针对医院终端计算机存储的各类办公文档,可实现内容主动检索,通过制定敏感关键词或者语义规则,即可实现敏感数据自动发现,例如我们定义包含了身份证号的文档为敏感文档,则系统将会自动发现包含了身份证号数字内容的文档,并自动对其进行隔离保护,防止数据泄露。可提供针对医院各类数据提供安全隔离防护机制,保证数据全生命周期安全。
3. 防灾难层面
(1)状态感知可实现对医院全网资产运行情况的感知发现,清点各类IT 资产数量,及时发现网络、主机、服务器、存储等设备资源运行异常情况。
(2)运维审计可实现对医院网络、主机、服务器、存储、数据库等资产的运维管理过程全面管理,保证运维过程全面可控可管可追溯。
(3)安全处置则可提供对各类事件进行分析并进行工单分发,保证整体管理工作有序执行。五、系统特点1. 全面安全防护。方案涵盖主流网络攻击防护要求、数据防泄密要求,提供全面的安全防护能力。
2. 友好的交互界面。方案涉及的产品具有简单明了的交互界面,方便安全管理人员、运维人员、客户等多种身份人员快速掌握。
六、系统优势
1. 单产品多功能。在防攻击层面,金盾软件第二代防火墙不仅具备防火墙固有的安全防护功能,还提供访问控制、入侵防御、抗DDoS攻击、病毒防护、WAF 应用防护、DLP 数据防泄漏等安全支撑。系统内置IPS(入侵防御)特征库、应用特征库、URL 特征库、病毒特征库、WAF 特征库、垃圾邮件规则库、僵尸网络识别库、数据防泄漏防护库、IP 信誉库等功能。
2. 优秀的产品性能。方案涉及的产品具有优秀的设备性能,在保护客户网络体系安全的基础上,不产品网络瓶颈,不影响客户其他业正常开展。
3. 强大的设备兼容能力。系统安全审计产品、网络一体化运维产品能够全面支持服务器、网络设备、数据库、操作系统等多种类型设备的主流厂商、主流产品,真正实现全面的网络安全防护及运维功能。
七、创新技术
1. 主被动全面资产识别发现。采用主动网络协议探测、被动数据流分析等相结合的探测方式,完整收集、全面探测网络内设备信息、拓扑结构、空间分布等信息。通过内置丰富的特征指纹库、规则库和设备特征识别技术,对入网的各种设备、业务进行组合式精准识别。
2. 先进的网络准入管理。采用全新一代NACP 准入控制技术,实现对视频网终端的入网管理,阻止非法移动终端任意接入网络。NACP 准入控制技术不依赖任何交换机等网络设备,不会改变用户网络拓扑架构,可满足各种复杂网络、混合型部署网络和纵级大型网络的准入管理要求。