稳定高效的医务系统和满足合规要求并重的协和医院互联网络建设

用户介绍：

北京协和医院建成于1921年，是集医疗、教学、科研于一体的大型三级甲等综合医院，是国家卫生计生委指定的全国疑难重症诊治指导中心，也是最早承担高干保健和外宾医疗任务的医院之一，以学科齐全、技术力量雄厚、特色专科突出、多学科综合优势强大享誉海内外。在2009-2016年度复旦大学医院管理研究所公布的“中国最佳医院排行榜”中连续八年名列榜首。

目前，医院共有2个院区、总建筑面积53万平方米，在职职工4000余名、临床和医技科室54个、国家级重点学科20个、国家临床重点专科29个、博士点18个、硕士点28个、国家级继续医学教育基地6个、二级学科住院医师培养基地18个、三级学科专科医师培养基地15个。开放住院床位2000余张，单日最高门诊量约1.73万人次、年出院病人约9.5万余人次。

用户需求:

协和医院院方高度重视信息化建设并持续关注各业务系统的稳定高效运行，对网络的安全要求比较高。医院整体网络规划按三级等保要求进行，已经采取了一系列的安全措施，实现了与互联网逻辑隔离与访问控制，在网络的关键位置分别配备了防火墙等安全设备，针对来自互联网的威胁事件进行防护。2015年，在网信办主导下，国家测评中心对协和医院的网络做过一次全面检查，近年一直在持续完善中。

协和医院的网络中已经采取了一些安全措施，对网络安全有一定的防护效果，但也存在一些可以改进的地方：

• 在访问控制方面，出口防火墙还是基于传统的端口及协议控制，无法针对当前主流的应用进行识别与控制，无法满足下一代防火墙的安全防护功能。同时，原有防火墙为国外产品，且已经使用多年，急需更新换代。
• 在恶意代码防范方面，无法在网络边界处对恶意代码进行检测和清除。
• 在数据传输方面，尚未对数据进行加密处理，远程传输存在风险。
• 在无线接入区域，边界没有安全产品进行访问控制和安全防护

解决方案:

针对协和医院互联网出口的安全需求，需要采取必要的技术和手段进行防护，目前采用业务与满足合规并重的建设思路，从而满足等级保护对网络安全的要求，保障网络安全，为上层应用提供可靠支撑。4台万兆山石网科下一代防火墙产品，分别部署在互联网出口和无线区边界：

• 在互联网出口部署山石网科下一代防火墙，基于深度应用识别的访问控制，可实现基于源地址、目的地址、源安全域、目的安全域、用户、应用协议、时间等多维度的策略控制。考虑到整个网络的可靠性与可用性，采用双机方式部署。为了满足等级保护的安全要求并抵御来自互联网的威胁，启用病毒过滤、URL过滤、攻击防护等功能。基于远程运维与管理，启用SSL VPN功能，实现远程安全维护接入。与远端机构或门诊中心交换数据，采用IPSec VPN方式加密传输。
• 在无线接入区部署山石网科下一代防火墙，实现基于源地址、目的地址、源安全域、目的安全域、用户、应用协议、时间等多维度的精细化安全策略控制。考虑到整个网络的可靠性与可用性，采用双机方式部署。为了防止可能存在的内网攻击事件传播，启用病毒过滤、攻击防护等安全功能。