建设安全可控区域卫生医疗平台——记山石网科助力张家港卫计委区域卫生医疗平台安全

用户介绍：

2017年5月9日，国家卫生计生委统计信息中心正式发布2016年度国家医疗健康信息互联互通标准化成熟度测评结果名单，张家港卫计委一举通过了五级乙等评审，成为全国首例通过互联互通五级乙等评审的区域卫生单位。

张家港卫计委建设了包括“健康共享云、医疗服务云、公卫服务云、综合监管云、健康云卡”在内的基于云端的区域医疗健康服务系统，为张家港的10家公立医院、20多家民营医院、9家社区卫生服务中心以及230家社区卫生服务站提供满足个性化要求的医疗卫生服务，实现对各类性质医疗机构的全面监管，保障就医安全。

目前张家港卫计委辖区现有医院使用专用线路实现和卫计委互联，张家港卫计委作为居民健康档案系统应用服务器和数据存储维护单位，建立了个人终身健康档案数据库中心，实现医院与社区卫生服务中心的信息资源共享。

用户需求:

作为全市医疗卫生的“枢纽”，张家港市卫计委建成了区域医疗服务云平台，优化现有医疗资源，为全市下属的所有医疗机构实现信息的互联互通，同时与其他省市的区域性平台进行对接，包括与国家云平台的对接，实现所有医疗信息的共享。

张家港市卫计委区域医疗云平台起到了“承上启下的作用”

• 在建设区域医疗云平台之前，张家港市卫计委的 IT 环境面临信息化发展不均衡，大量信息孤岛存在等以下难题：
• 随着系统网络服务的多样化、张家港卫计委业务应用不断增多、网络互连互通和业务融合，网络安全风险也日益暴露出来。网络安全的风险以及安全需求如下：

1. 合规是首要的
《中华人民共和国网络安全法》2017年6月1日正式施行，作为网络安全基础性法律，在第21条明确规定了“国家实行网络安全等级保护制度，要求网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务”
区域卫生信息互联互通标准化成熟度测评是互联互通测评的重要组成部分，通过对卫生计生委组织建设的以电子健康档案和区域卫生信息平台为核心的区域卫生信息化项目进行标准符合性测试以及互联互通实际应用效果的评价，其中网络安全和信息安全的建设情况也作为重要的评价内容。

2. 面临内部、外部的安全威胁
Verizon 2018数据泄漏调查报告显示，外部威胁和内部威胁所占的比重分别为70%和30%。由于网络自身的广泛性、自由性、随意性等特点，张家港卫计委系统自然也会被恶意的入侵者列入其攻击目标的前列，张家港卫计委在提供多种网络服务和访问众多应用资源的同时，承受着巨大的攻击压力。
同时，卫计委的内部安全也面临着内部攻击的风险，因此服务器群和核心网络也需要构建更加安全的内部风险管控。

3. 互联互通导致新的安全风险
上联单位和下联单位之间不可能是完全的信任关系，这样，不可避免的使得张家港卫计委系统存在着来自上联单位和下联单位的安全威胁和安全隐患。如果其中有一个单位感染病毒，极有可能会感染所有单位，导致整个网络引起大规模的病毒爆发甚至瘫痪，影响业务的通信。

4. 业务云化带来新的安全风险
云计算和虚拟化技术增加了业务应用的纵深，业务应用由原来的部署于物理设备之上移植到虚拟化平台之上直接导致传统的物理安全边界的消失。在安全域划分的基本原则的技术要求下，物理安全边界的消失造成无法精细化的实施安全策略、安全隔离控制难度增加。在安全威胁向着应用层发展的大环境下，简单通过VLAN隔离已经无法满足安全建设的需要，另外云计算及虚拟化技术的大二层通信角度来说也无法通过VLAN来进行安全策略控制。
对于云时代的虚拟化环境，南北向流量已不再是数据中心的主要流量，通过传统的边界安全设备可以识别和审计南北向流量。而对于数据中心内部虚拟机与虚拟机之间的东西流量通过内部的虚拟网络进行通信，边界安全设备无能为力。
另外在云环境中，如果某虚机失守，从内部向其它虚机和外部网络发起端口扫描、DoS攻击、病毒扩散等攻击，会造成整个云平台的沦陷。

解决方案：

以上从不同层面分别分析了在张家港卫计委信息系统中需要采用的各种安全技术措施，其中部分措施可以通过在现有网络设备、主机系统中进行适当的安全设置、安全加固来实现，而有一些措施则需要通过采购一定的专业安全产品来实现。山石网科充分利用已有投资的基础上，结合当前国内外先进的安全技术，适当地增加了一些专业的安全设备和软件，从而为张家港卫计委信息系统构建一套由多种安全技术和多层防护措施构成的整体安全防护体系，以确保张家港卫计委信息系统安全可靠地运行。

1. 合规建设：
考虑张家港卫计委外联单位多，业务类型多，山石网科同时结合等级保护相关要求，按照差异性的业务类型和功能区域，有条件地划分安全域，确定各安全域的物理边界和逻辑边界，明确不同安全域之间的信任关系。并在安全域边界来配置不同的安全策略，体现不同的防护强度和粒度，实现安全域之间的隔离与防护。通过部署防火墙加强边界安全防护，加强访问控制和攻击检测力度，为业务运行创造更安全更可靠的运行环境，满足等级保护及业务防护的需求。

2. 有效检测和应对网络异常行为：

在业务运行访问的过程中，应对网络的各类活动并进行有效的监测，对异常的行为：违反了安全策略的访问、突发的异常流量、重要的服务器或数据库的异常状态进行报警和记录，以便安全管理人员能够在事中及事后进行响应和维护。

• 张家港卫计委部署了山石网科下一代防火墙与张家港市党政网、计生网互联。
• 张家港卫计委辖区内的医院，分别通过两家运营商专线与卫计委云数据中心互联，在每家医院分别部署山石网科下一代防火墙；
• 数据中心是支持居民健康档案系统的核心物理平台，所有的日常业务运行都是依赖数据中心而存在,作为居民健康档案系统信息化建设命脉，安全性可谓重中之重。张家港卫计委云计算数据中心边界部署了山石网科下一代防火墙。
• 各医院管理员水平乘次不齐，因此在运维管理区域部署一套山石网科HSM安全管理平台，支持对所有防火墙集中运维管理，包括设备配置、设备监控、统一升级、安全策略下发等功能，张家港卫计委管理员利用HSM安全管理平台可以提高网络管理效率，减少开销并降低运营成本。

通过以上措施，结构化和纵深化区域防御和抵御各种网络攻击，保证张家港卫计委信息系统及各个网络系统的持续、稳定、可靠运行。

3. 搭建安全、合规的云平台：

张家港卫计委云数据中心内部有25台ESXI主机、200多台虚拟机，通过部署山石云•格虚机微隔离安全防护软件，为用户提供全方位的云安全服务，包括流量及应用可视化，虚机之间威胁检测与隔离，网络攻击审计与溯源等，帮助用户搭建安全、合规的“绿色” 云平台。

• 山石云•格可以帮助用户收集并分析虚机之间的数据通信，描绘出整个云平台上的流量模型，包括虚机之间以及不同端口组(port group) 之间的流量情况：

山石云•格提供的“虚机微隔离”技术为每个虚机提供了“贴身保镖”式的安全防护，通过便捷的引流技术，山石云•格可将每个业务虚机的流量牵引至虚拟安全业务模块vSSM，进行2-7 层的威胁检测，从而发现并阻断东西向流量的安全威胁，阻止攻击在云平台内横向蔓延。通过微隔离实现所有虚拟机之间的安全隔离，减少了攻击面和病毒传播的通道，避免一台VM失守导致整个虚拟化平台的沦陷，实现最小化故障影响的目的。

用户评价

“山石网科提供的网络边界解决方案为我们提供了高效、可靠的网络边界接入设备。使我们网络边界安全防护从无到有，起初担心一台设备同时启用病毒过滤、防火墙、入侵防御等功能时对网络性能的影响，但经过长期的测试及使用后，山石网科产品用时间验证了设备的性能， 消除了我们的顾虑”。

“山石云•格“站在”第三方视角，深度插入到虚拟化环境中，按需部署和扩展防火墙资源。与现有的云计算管理平台紧密集成，将可视化能力一直深入到虚拟化架构中，使防火墙资源随其要保护的虚拟资源增长和缩减，节约80%的运维成本。其精细化应用识别、入侵防御、攻击防护等功能，帮助我们方便快捷的完成云安全的建设”。

“山石网科提供给我们专业的安全管理服务，为我们的外网防护和内网数据安全提供了重重防护，解决了我们的后顾之忧，同时把我们的网络安全水平带到了一个新的台阶上，达到由技术到管理、 整网统一安全可控的目的，实现了互联互通的安全需求”。