智能的蚌埠第三人民医院网络安全和等级保护建设

用户介绍：

蚌埠市第三人民医院始建于1954年4月，于1996年3月18日被评为三级甲等医院，是东南大学医学院、蚌埠医学院非直属附属医院。现已发展成为专业科室齐全、人才结构合理、技术力量雄厚、医疗设备先进、专业特色突出，集医疗、科研、教学、预防、康复为一体的安徽省规模较大的一所综合性医院。

用户需求

为提高医院服务水平，结合卫生部提出“先诊疗后结算”的诊疗流程，蚌埠第三人民医院开展“银医一卡通”项目，优化服务模式，努力解决群众挂号排队时间长、看病等候时间长、取药排队时间长、医生问诊时间短的“三长一短”等问题。同时与各家金融机构合作，通过带有金融属性的专属软硬件设施以及银行的多种渠道，为患者提供预约挂号、诊疗、缴费、取药、检验信息打印、住院费用查询等全流程的自主服务，方便患者就医，同时，降低医院运行成本，为医院现代化建设，提供了有力的技术和经济支撑。

等级保护制度作为国家信息安全保障工作的基本制度、基本国策，促进信息化、维护国家信息安全的根本保障。蚌埠市第三人民医院在开展银医一卡通项目建设过程中，需要满足等级保护相关安全基本要求，保障医院信息系统安全、可靠及稳定运行。

• 政策性驱动

2011年，信息安全等级保护已列入《三级综合医院评审标准》中信息化规范建设的重要考核依据与指标。2011年底，卫生部先后下达85号通知和1126号通知，要求全国卫生行业各单位全面开展信息安全等级保护工作，于2015年12月30日前完成等保建设整改并通过等级测评。卫生部下发的“85号通知”中的等保工作指导意见明确要求全国所有三甲医院核心业务信息系统的安全保护等级原则上不低于第三级。

• 业务安全保障驱动

开展银医通主要是通过诊疗卡、银行卡的应用和自助设备的部署，实现诊疗卡发放、现金和银行卡的转账充值、挂号、缴费、查询及相关化验报告和费用清单的打印等应用的自助操作，为患者提供更为方便、快捷的服务以提高医疗质量和就诊效率，并有效避免医疗信息重复采集和资金安全等问题。

技术层面通过将银行核心系统与医院信息系统（HIS）对接，实现患者信息及交易数据的共享。银医通项目医院的内网需要跟农行、建行互联，将银行核心系统与医院信息系统（HIS）对接，需要对外联单位进行边界隔离与二到七层的立体式防护；项目的建设需要满足等级保护三级的要求，同时需要通过等级保护三级测评要求。

• 医院内网与办公的隔离需求

在银医通项目开展的同时，同步考虑医院内网与办公信息交互的安全性，加强医院内网与办公网之间的安全建设，全面保障医院内网与办公网信息交互安全性。

• 全网未知威胁与异常行为检测需求

医院当前的安全检测技术都是基于特征对威胁进行检测，面对新型及无法通过特征技术检测的未知威胁无能为力；同时对异常流量的监测技术只能使用传递的阈值技术，容易产生误报与漏报，医院安全建设是一项系统的工程，需要对未知威胁与潜藏的异常行为进行检测。

解决方案

• 合规建设：

考虑蚌埠市第三人民医院外联单位多，业务类型多，山石网科同时结合等级保护相关要求，按照差异性的业务类型和功能区域，有条件地划分安全域，确定各安全域的物理边界和逻辑边界，明确不同安全域之间的信任关系。并在安全域边界来配置不同的安全策略，体现不同的防护强度和粒度，实现安全域之间的隔离与防护。通过部署防火墙加强边界安全防护，启用入侵防御、防病毒，不仅满足业务自身安全需求，同时满足了等级保护相关技术要求，为业务运行创造更安全更可靠的运行环境，满足等级保护及业务防护的需求。

• 智能系统保障业务安全

在医院业务运行的过程中，蚌埠市第三人民医院需要对网络进行流量深度检测和智能化分析与监测，为了有效地防止这些威胁进一步形成攻击，对网络产生影响，建议在网络中加强能够针对一些无法基于特征或者阈值进行判断的未知威胁与异常行为进行防护等功能的智能安全检测措施，实现检测基于特征与阈值无法检测的未知威胁与异常行为，同时基于风险控制机制，可以实现风险的自动减缓，减缓安全风险。

蚌埠市第三人民医院办公网互联网出口部署了山石网科智能下一代防火墙用于办公网边界，用于防御来自于互联网的威胁及风险。通过启用高级威胁检测，采用行为分析技术，实时检测办公网中无法通过特征检测的未知威胁；启用异常行为检测技术，结合机器自学习与数学建模，实时检测办公网的异常行为。基于办公网与医院内网之间信息交互安全性防护，启用智能下一代的虚拟防火墙，实现办公网与医院内网数据交互的安全性，同时不需要再增加硬件防火墙设备，节省投资，便于统一管理。

蚌埠市第三人民医院在三方外联区（银行、社保互联）部署山石网科智能下一代防火墙实现医院内网与外联信息交互的安全性。启用了智能安全功能，包括高级威胁检测、异常行为分析实现未知威胁的检测与异常行为的发现；同时启用智能化安全诊断功能，在业务访问异常时，可以帮助运维人员直观、便捷的排查与定位问题，并为安全事件的后续追踪提供有力依据。通过风险减缓整体降低医院内网的安全风险。

通过以上措施，结构化和纵深化区域防御和抵御各种网络攻击，保证蚌埠市第三人民医院信息系统及各个网络系统的持续、稳定、可靠运行。

运行效果

通过细粒度的可视化，用户能够清晰的了解产品的安全检测效果，同时发现发送异常流量的主机，帮助客户定位与解决核心业务系统不稳定的问题。山石网科智能防火墙通过山石网科智能安全功能的可视化呈现，实现了智能产品才能够给客户带来的安全价值，体现智能安全的价值；两台智能安全产品已经稳定运行至今，智能安全产品不仅具有技术创新性，而且具有更高可靠性、更高稳定性的特点；并且满足了用户等级保护的相关要求。