助苏北人民医院信息打造全安全体系


用户介绍

江苏省苏北人民医院即扬州大学临床医学院、扬州大学医学院附属医院。1994年被评定为全省首批9家三级甲等综合医院之一。苏北人民医院东院(扬州洪泉医院)位于扬州市江都区,为大型综合性二级甲等非营利医院,系扬州大学附属医院,医院完全按照现代化三级医院标准建设,集医疗、教学、科研为一体,一期开设床位810张。全院现有各级各类专业技术人员近700人。

用户需求

苏北人民医院原有的内外网安全设备承担着医院所有办公人员的互联网业务以及内网办公业务,由于原有设备使用年限较长,并且过了质保期限,已经不能满足目前业务发展需求。本次安全改造性能和稳定性是首要考虑的,保障业务高效安全的运营成为一个现实的迫切要求,具体需求如下:

  • 合规性

根据2017年6月1日实行的《中华人民共和国网络安全法》,第二十一条明确要求:国家实行网络安全等级保护制度。而针对医疗卫生行业,卫生部于2011年11月分别发布《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号),卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知(卫办发〔2011〕85号),明确要求全国所有三甲医院核心业务信息系统的安全保护等级原则上不低于第三级,等级保护成为医院安全建设的重要标准。

  • 网络边界隔离和控制

随着业务的不断发展,苏北人民医院越来越多的业务系统需要对外提供服务,并且连接越来越多的外联单位的业务系统,为了保障各业务系统的稳定运行以及精细化的策略管控,在其各区域之间采取边界隔离措施,是所有核心内网安全建设的首要考虑因素,边界隔离设备应能够对外部访问进行强制的访问控制,通过源地址、目标地址、协议、端口、应用等,对非法访问进行阻断。

  • 网络攻击和入侵攻击防御

苏北人民医院原先使用的传统防火墙设备只能够进行基本的DDOS攻击防护,为了有效应对从网络层到应用层的网络攻击,需要通过入侵防御设备对用户访问业务资源时的数据流进行检查,并且执行多个协议层的数据规范化检查,以至于可以针对数据包进行深入解包分析,通过特征匹配、行为分析等技术,发掘深层的安全问题。以保障流经内网的数据是安全的数据,从而最终保障各区域的安全性。

  • 高可靠性需求

苏北人民医院原来所有的外联业务全部通过一台设备进行互联,一旦该设备出现故障将会影响整个内网业务的正常开展,所以本次安全建设考虑可靠性设计,一旦出现设备故障,应该有相应的冗余措施,不会形成单点故障。

  • 多链路负载均衡

苏北人民医院互联网边界有电信、移动、联通、广电四条运营商线路。为此用户期望引入多链路负载均衡技术,正常时能够更智能地在多条链路上均衡负载,更合理地使用链路资源;而当某条链路故障,系统也能够将故障链路上转发的流量自动切换到其他正常链路上,从而保障业务的连续性。

  • 实现安全设备的集中管理和配置

由于本次安全改造涉及安全设备数量大,依靠传统单台操作单台部署的方式进行运维效率低下,同时需要对所有安全设备进行统一日志收集,查询工作,所以需要具有进行专业集中监控、配置、管理安全设备的需求,能够统一管理苏北人民医院内众多安全设备的集中监控、策略统一调度、统一升级备份、审计等要求。

解决方案

  • 合规性建设

通过在外网边界和内网边界部署山石网科下一代防火墙设备,进行安全域的划分和访问控制设置,满足等级保护分级分域设计以及边界访问控制等要求,为苏北人民医院的业务稳定运行提供了有力支撑,并且满足等级保护及业务防护的相关要求。

  • 边界访问控制和入侵防御设计

在苏北人民医院外网和内网分别部署山石网科下一代防火墙设备,对常用的病毒蠕虫端口进行封堵,同时根据业务需要仅开放需要的端口,有效阻断来自外部网络的扫描等攻击;同时在内网旁挂部署入侵防御设备,对进出网络的流量进行实时的深度分析,有效检测流量中异常行为和应用层攻击,并且和出口防火墙进行联动设置,第一时间阻断攻击源。通过防火墙联动入侵防御的整体化安全解决方案为苏北人民医院的业务系统提供了2-7层的安全防护能力,保障苏北人民医院的业务系统安全、稳定、健康运行。

  • 高可靠性设计

在苏北人民医院内网双机部署两台山石网科下一代防火墙设备,把一些关键业务比如市医保、农合等业务进行双机连接,保障业务系统的可靠性。

  • 多链路解决方案设计

考虑到苏北人民医院多链路接入的环境,本次通过在医院外网边界部署一台山石网科的下一代防火墙设备,综合运用负载均衡、NAT、攻击防护等技术实现用户的安全接入,通过山石网科下一代防火墙自带的链路负载均衡技术可以有效把用户多链路充分利用起来,根据ISP、带宽探测、时延探测等多种技术提升链路的使用率和备份功能。

  • 集中管理和日志审计设计

由于本次安全建设涉及多套安全设备,为了实现设备的统一管理配置以及日志的集中设计,在苏北人民医院内网部署一台山石网科HSM集中管理平台,对所有运行的安全设备的日志进行集中收集和审计,同时对所有安全设备的特征库进行统一升级,并且通过HSM集中管理平台对所有在线运行的安全设备进行集中的配置管理和监控等功能

用户感受

通过山石网科整体安全解决方案的设计和建设,不仅满足了我院等级保护三级的测评要求,并且真正的在安全方面满足了我院的安全建设要求,让我院的安全防护水平上升到一个新的高度。

山石网科下一代防火墙的链路负载均衡功能,完美解决了我院以前链路使用不均衡的问题,通过在我院外网边界部署山石网科下一代防火墙设备后,使我院的四条运营商线路能够有效均衡使用,有效保护了我院的投资性价比,提升了全院的互联网访问速度

山石网科下一代防火墙和入侵检测设备的性能、功能和稳定性都达到了苏北人民医院所要求的网络安全设备应具备的各种标准,满足了苏北人民医院在攻击防护、链路负载均衡、NAT、统一管理和集中管控等方面的具体要求,全面保障了院方人员访问互联网和服务器的安全 。

相关产品

下一代防火墙
山石网科E系列下一代防火墙基于深度应用、协议检测和攻击原理分析的入侵防御技术,可有效过滤病毒、木马、蠕虫、间谍软件、漏洞攻击、逃逸攻击等安全威胁,可为用户提供 L2-L7 层网络的全面安全防护。
入侵防御和检测系统
山石网科入侵防御和检测系统拥有多重威胁检测和防御能力,支持对僵尸网络攻击、DDoS 攻击、已知协议漏洞利用、Web 攻击、垃圾邮件、钓鱼、木马病毒和恶意软件等一系列网络入侵威胁进行检测及防御。
安全管理平台HSM
山石网科安全管理平台HSM是基于意图的场景化解决方案综合安全运维管理平台,围绕山石网科安全产品,为企业用户提供安全设备运维、安全SD-WAN组网、零信任访问、设备策略分析等场景的综合运维管理能力。