項目背景
哈爾濱市第五醫院創建于1955年���,占地面積5萬平方米����,建筑面積3.7萬平方米��。經過五十年的建設�,醫院已經發展成為以骨科����、燒傷科為省重點?����??���,集醫療����、科研����、教學為一體的三級甲等醫院���,并被衛生部列為國家緊急救援中心網絡醫院��。
隨著衛生業務對信息系統的依賴程度越來越大�,信息化環境也日益惡劣��,安全問題越來越突出�。在這種情況下�,各醫療衛生機構對信息安全保障工作給予了足夠的重視�����,各方面的信息安全保障工作都在逐步推進��。
《衛生行業信息安全等級保護工作的指導意見》(衛辦發【2011】85號)指出:依據國家信息安全等級保護制度��,遵循相關標準規范��,全面開展信息安全等級保護定級備案�����、建設整改和等級測評等工作���,明確信息安全保障重點���,落實信息安全責任�,建立信息安全等級保護工作長效機制����,切實提高衛生行業信息安全防護能力���、隱患發現能力�����、應急處置能力�。
做好信息安全等級保護工作���,對于促進衛生信息化健康發展�,保障醫藥衛生體制改革����,維護公共利益�、社會秩序和國家安全具有重要意義��。
需求分析
醫院信息系統的穩定運行作為支撐醫院系統運作及各部門共同合作與營運的關鍵保障���,在面對安全性與易用性的沖突時���,如何實現信息安全合規與醫護高效����,要滿足以下要求:
1�、政策合規:醫院信息安全建設需要符合信息安全等級保護規范的要求�,醫院信息安全體系化完善需要減少人員或精力的投入��;
2����、符合醫院的實際應用環境:等級化安全建設能滿足醫院業務應用穩定與高效的要求��,安全網絡架構需要保證業務發展的可拓展性和延伸性���;
3���、有效的運維管理: 安全運營需要降低管理難度�,安全設備及控制策略維護不要增加工作量�����。
解決方案
通過部署任子行NGSA防火墻��,實現對流經它的網絡通信進行掃描��,這樣能夠過濾掉大部分攻擊����,以免其在目標計算機上被執行�。防火墻還可以關閉不使用的端口���,而且能禁止特定端口的流出通信�,封鎖特洛伊木馬��。最后�,它禁止來自特殊站點的訪問�����,從而防止來自不明入侵者的所有通信��。
通過部署任子行NGSA-UTM產品��,解決系統中應用程序保護及網絡架構防護兩大問題��。
應用程序防護��,提供擴展至用戶端���、服務器��、及第二至第七層的網絡型攻擊防護�����,如:病毒�、蠕蟲與木馬程序�。利用深層檢測應用層數據包的技術����,任子行NGSA-UTM可以分辨出合法與有害的封包內容�����。
最新型的攻擊可以透過偽裝成合法應用的技術����,輕易的穿透防火墻��,而任子行NGSA-UTM運用重組 TCP 流量以檢視應用層數據包內容的方式�,以辨識合法與惡意的數據流��。大部分的入侵防御系統都是針對已知的攻擊進行防御��,然而任子行NGSA-UTM 運用漏洞基礎的過濾機制�����,可以防范所有已知與未知形式的攻擊��。
網絡架構防護���,路由器����、交換器�、 DNS 服務器以及防火墻都是有可能被攻擊的網絡設備�,如果這些網絡設備被攻擊導致停機�,那么所有醫院中的關鍵應用程序也會隨之停擺��。
而任子行NGSA-UTM的網絡架構防護機制提供了一系列的網絡漏洞過濾器以保護網絡設備免于遭受攻擊�����。此外�,UnityOne也提供異常流量統計機制的過濾器���,對于超過”基準線”的正常網絡流量��,可以針對其通訊協議或應用程序特性來進行警示���、限制流量或阻絕流量等行動����。如此一來可以預防DDoS及其它溢出式流量攻擊所造成的網絡斷線或阻塞����。
產品部署/網絡拓撲圖
根據以上需求分析����,在哈爾濱第五醫院的等級保護結構中使用任子行生產的NGSA防火墻�����、NGSA-UTM以及HAC堡壘機實現等保對于防火墻�����、用戶驗證及IPS設備的需求��。
效果/反饋
通過部署任子行HAC堡壘機實現用戶對各種操作(包括Unix等終端指令�����、Windows等圖形操作��、C/S客戶端工具操作����、瀏覽器操作)的集中管理,有效解決共享賬號問題����,確保操作者與實際操作一一對應�����;嚴格訪問控制策略�,有效杜絕了未授權訪問操作�;對正在進行的操作實時監控��、對已經結束的操作能夠完整記錄�����、快速查詢��;通過部署碉堡��,滿足了相關安全規范對運維人員的管理和審計要求��。
公安備案號:44030502000376