一、需求的背景：

 

   随着医疗行业信息技术的飞速发展，医院信息系统的各类应用不断得到扩充，最典型的特点是互联网业务增加后信息共享的要求提高了，医院的网络架构早已不是原来的纯内网模式。如医联体、信息协同共享平台等业务的建设，在医院内网引入了大量的第三方互联专线，满足医疗新业务发展的同时，也使得医疗网络边界越来越模糊，打破了纯内网的安全壁垒，专线网络中任何一方安全建设不到位，都有可能波及医院内网，安全威胁剧增。

 

   大部分医院目前有多条第三方专线直接接入医院内网，某些专线业务还带有业务前置机，接入形式多种多样，不好管理的同时也存在极大的安全隐患。因此需要对现有专线进行改造，建立专线接入区，对所有专线进行统一管理，统一专线入口，统一配置安全策略，防范第三方网络威胁通过专线扩散到医院内网。

 

 

二、医院第三方专线安全的问题分析：

 

   1、专线与内网安全隔离

 

   专线区业务的建设必然将第三方网络与医院内网打通，原来纯内网的安全边界被打破，因此首先要保证专线与内网之间的安全通信。内网与第三方专线打通后必然给医院内网带来源自第三方网络的潜在安全风险，因此需要做好这方面风险的控制，划分严格的安全域，并在各网络边界做好严格的边界访问控制，防止第三方网络安全风险在医院内部网络扩散。

 

   2、专线边界安全加固

 

   当前网络中专线的接入形式多种多样，难以管理，首先应规划统一的专线业务区，保证各区域业务之间互不影响，然后对专线出口做统一的安全防护，根据不同业务需求做好严格的访问控制，保障医院网络完整性。

 

 

三、深信服是如何解决这些问题的：

 

   通过在医院专线接入出口部署防火墙，可以完善解决专线接入的安全问题。防火墙需要能够提供全面的2-7层网络安全防御能力，能够从网络入口处，一站式解决这些网络层/应用层安全威胁，解决和外联机构数据交互的安全问题，避免从其他机构引入安全风险。为医院专线接入出口构建一套安全长城，实现医院与外联网络的安全隔离和访问控制，保护内部数据和用户免受非法侵入。

 

 

四、该方案对于医院的价值：

 

   价值1：应用层访问权限控制

 

   下一代防火墙对各区域之间的访问进行应用级的访问权限控制，限制全网只允许安全的数据进行传输，其他任何非授权访问都会被阻断和拒绝，避免了非法客户端入侵的威胁，有效保护各区域的信息安全。

 

   价值2：入侵检测及防御

 

   通过下一代防火墙的入侵防御功能在业务系统核心交换前，形成“虚拟补丁”的防御体系，全面提升web应用服务器、数据库服务器、应用系统服务器、网络设备OS、内网终端PC等操作系统安全防护能力。采用入侵防御功能形成“虚拟补丁”的防御体系，可切实减少系统管理员服务器群的安全维护成本，借助厂商强大的安全研究能力，防御0day攻击的风险。

 

   价值3：僵尸网络检测

 

   通过检测服务器和终端外发流量的异常特征，来判断外发的流量是否存在威胁，是否成为僵尸网络的一部分，可以解决长期被动利用，和新型病毒木马导致的恶意流量外发的问题，可以帮助医院，快速了解并定位僵尸网络，防止重要资产被入侵，避免由于僵尸网络向外发起的攻击导致的法律风险。