创新的阜外华中心血管病医院 强大的网络安全体系建设
——记山石网科防火墙，WAF, 数据审计系统和应用交付系统的应用

用户介绍

阜外华中心血管病医院是在国家卫健委推动下，由中国医学科学院阜外医院、国家心血管病中心与河南省人民政府合作共建，依托河南省人民医院，按照国家三级甲等心血管病医院标准建设的非营利性公立医院。医院是国家卫健委与河南省共建医院，是国家心血管病中心在全国布局的唯一分中心，因此也挂牌国家心血管病中心华中分中心。目前医院床位1000张，设有百级层流手术室20间、导管室15间。

用户需求

阜外华中心血管病医院是中国医学科学院阜外心血管病医院与河南省政府合作共建的三级甲等医院，由于是新建的创新型医院，在前期规划和建设阶段，医院就比较重视在信息化和安全上的建设，整个安全建设主要也是依据等级保护的相应建设标准来进行。具体需求如下:

• 防范来自互联网的威胁行为

医院的外网与互联网直连，除了提供给医院职工、住院病人进行互联网访问外，还对外提供了Web服务业务，如就医指导、网上诊疗、网上挂号等互联网业务。随着互联网业务的开展，进一步对医院互联网出口的安全防护提出了更高的要求，也使得医院面临到了众多的安全问题，比如蠕虫病毒的传播、互联网上黑客的渗透以及内部职工对互联网资源的非授权访问等等。

• 防范外网与内网数据交互带来的潜在威胁

相对于医院外网而言，医院内网运行着医院更重要的HIS等业务信息系统，其业务重要性程度要远远高于外网，但随着移动医疗服务、网上预约挂号、移动办公等业务的开展，医院内网与外网的各种形式的数据对接交换已成为必然，但与此同时外网的安全风险更高，必然会对医院内网造成很大的安全冲击，比如勒索病毒的传播、黑客的跳板型入侵攻击等等。

• 审计针对核心业务数据的操作行为

用户内网运行着重要的数据库系统，涉及到医院医疗业务开展的相关数据信息，因此通过安全手段来审计和防护内部对数据库系统的访问和操作，就显得尤为重要。而依靠防火墙虽然可以实现针对数据库访问进行策略控制，但也只能实现对IP地址、端口及协议的访问控制，无法更精确识别特定用户的具体数据库活动，比如某个用户使用数据库客户端删除某张数据库表等正常操作进行识别。而入侵防御系统虽然可以依赖特征库有限阻止数据库软件已知漏洞的攻击，但同样也无法判别具体的数据库用户活动，更谈不上细粒度的审计。因此，针对医院最关键的业务数据信息，需要通过对访问数据库的行为、内容等进行采集、存储、分析，实现完全独立于数据库的审计功能，同时可以实时监控、识别、阻断外部黑客攻击以及来自内部高权限用户的数据窃取行为，这样才能有效帮助医院信息部门应对来自外部和内部的数据库安全威胁；

• 满足合规性要求

作为新型的三级甲等医院，医院的安全建设在满足《网络安全法》要求的同时，也必须根据等级保护制度的相关要求，落实医院核心业务信息系统安全保护等级，原则上要达到三级要求。

解决方案

医院外网：

• 在医院外网服务器区前面部署Web防火墙，提供针对CC攻击、注入攻击、跨站攻击、应用扫描等防御能力；

医院内网：

• 在医院内网数据中心区前面部署下一代防火墙，实现针对医院关键的业务系统进行访问控制、入侵防御和病毒过滤；
• 在医院内网数据中心区旁路部署数据库审计系统，对访问数据库的行为、内容等进行审计分析；
• 在医院内网前置服务器区部署下一代防火墙，针对医院前置应用系统进行访问控制、入侵防御和病毒过滤；
• 在医院内网数据中心区旁路部署应用交付系统，针对关键业务系统服务器进行应用负载；

运行效果

阜外华中心血管病医院通过引入山石网科多款安全设备，根据等级保护分级分域的建设思想，项目建设成后满足了《网络安全法》和《信息系统安全等级保护基本要求》的相关要求。同时，通过山石网科防火墙、入侵防御和病毒检测等技术功能有效防范了来自外网的攻击行为。通过实时检测外网、外网到内网、内网的访问数据包，并对其中携带的恶意代码、病毒进行过滤，有效防止了威胁在医院内网的蔓延扩散；通过对数据库访问行为的审计，在控制规则下对违反策略的行为进行审计记录，为系统管理人员提供了有效的事后追查手段。