北京医药集中采购服务中心安全建设

根据国务院于2010年底发布的《建立和规范政府办基层医疗卫生机构基本药物采购机制指导意见》(国办发〔2010〕56号)，提出“完善基本药物电子监管和供应的信息系统”，鼓励各省（区、市）进一步拓展基本药物集中采购平台的功能，打通卫生行政部门、基本药物生产及批发企业和基层医疗卫生机构之间的信息通道，建立起基本药物从出厂到使用全过程实时更新的供应信息系统。

按照56号文件要求，北京医药集中采购服务中心（简称为北京药采中心）加强了信息系统的建设，其中安全是信息化建设的重点，为此北京药采中心引入了多个型号的Hillstone SG-6000系列企业安全设备，综合提供包含防火墙、入侵防御、病毒过滤、攻击防护等安全功能，部署在应用服务器和业务服务器前端，重点针对北京市基本药物集中采购系统实施综合防护，保障业务安全。

需求分析

作为北京市卫生局直属的职能部门，北京药采中心的信息安全，应按照等级保护的相关要求进行建设，综合运用多种安全技术，实现综合性的安全防御，具体包括：

● 划分安全域：根据药采中心的业务特点，将信息网络初步划分为互联网应用服务区域和数据管理服务区域，并根据后续药采中心不断增加的业务应用，在安全域划分的基础上适度预留；

● 访问控制：在划分安全域的基础上，针对不同安全域实施有效的边界隔离和访问控制，限制非法的访问；

● 入侵防护：需要在访问控制阻断非法访问的基础上，进一步对访问数据包进行深入分析，防范外部的非法入侵；

● 病毒过滤：防范恶意代码和病毒的传播，保障正常的业务运行。

解决方案

根据药采中心的安全建设要求，同时参考等级保护的相关标准，用户在本期从网络安全、主机安全、应用安全和数据安全，进行了全面的设计，其中在网络安全部分，全面引入了数台Hillstone企业安全设备，分别作为防火墙、入侵防御和病毒过滤设备，部署在药采中心互联网应用服务区域和数据管理服务区域，重点防范来自互联网和电子政务外网的攻击和恶意渗透。

● 高性能访问控制

在药采中心，两套Hillstone SG-6000-G3150和两套Hillstone SG-6000-G2120分别部署在互联网应用服务区域与互联网、数据管理服务区域与电子政务之间，在对业务应用实施隔离与访问控制，现在外部用户的访问，同时部署的安全设备也对互联网应用服务区域和数据管理服务区域实现了隔离与访问控制，防止非法和越权的访问。

● 基于应用识别的入侵防御

Hillstone SG-6000-G5150基于应用识别技术，实现智能的入侵防护策略，在北京药采中心，设备作用在互联网出口，针对来自互联网的访问数据包，进行深度的识别与分析，将异常及攻击数据包阻挡在药采中心信息网络之外。

● 基于流过滤的病毒查杀

部署的Hillstone SG-6000-M2860，启用了病毒过滤技术，在边界入侵防御及访问控制的基础上，对互联网应用服务区域的访问数据包实施深度检测与病毒查杀，防范恶意代码的传播，企业安全设备采用的流过滤技术，也保障了病毒扫描的效率，保障业务运行效率。

运行效果

支持多种安全技术的Hillstone企业安全设备，对于北京药采中心的安全防护发挥了积极的作用，设备被部署在药采中心信息网络的多个节点，并根据保护对象的不同，分别制定差异化的安全防护策略，从而使得安全防护更具有针对性，并通过综合防御的手段，也从网络安全的角度满足用户进行等保建设的要求。