吴江卫计委卫生专网安全防护及运维管理升级项目

用户介绍

吴江卫计委主要贯彻落实国家关于卫生和计划生育方面的法律、法规、规章，起草本市相关地方性法规草案、政府规章草案；负责协调推进落实医药卫生体制改革和公立医院改革的相关任务；统筹规划和协调苏州吴江地区卫生和计划生育服务资源配置，拟订并组织实施区域卫生和计划生育规划。

用户需求

本项目是卫生专网安全防护及运维管理改造升级，面向下属吴江区第一人民医院、吴江区中医院、吴江区第四、第五人民医院等共计23家医疗机构的网络连接、运维管理的升级部署，在确保吴江卫计委和下属医疗机构业务系统正常使用前提下进行升级建设。通过项目建设，有效应对吴江卫生专网网络威胁与挑战，及时发现网络与系统安全隐患，全面提升吴江区域卫生信息化系统的网络安全防护和运维管理水平，切实保障吴江区域卫生系统的安全、高效、稳定运行。

• 缺少分支端的边界网络隔离

目前各个医疗机构采用专线方式直接接入吴江卫生专网，没有部署任何网络安全隔离设备，鉴于某些医疗机构的安全防护意识较弱，在单台个别终端感染病毒、木马的情况下，很容易带来大范围感染，之前乡镇卫生院已经出现信息安全问题，疑似勒索病毒，如再不及时进行边界网络隔离，严重情况下，会导致吴江区卫生平台乃至全市卫生平台的瘫痪。

• 缺少统一的病毒防范措施

目前吴江卫生专网最大的威胁就是各种恶意代码，包括蠕虫、木马、病毒等，因为存在各个医疗机构的计算机可以通过本地的网络直接访问互联网，在此过程中会出现因操作人员的防范意识不强，或者操作方法不当，而导致被传播木马、病毒，并被利用来攻击感染吴江卫生专网的资源，造成严重破坏，因此在接入吴江卫生专网的各个医疗机构需要在专网接入边界处统一部署网关杀毒与终端杀毒进行联动杀毒。

• 缺少统一的入侵防范措施

由于吴江卫生专网的开放性使得其往往面临很多网络攻击入侵行为，吴江卫计委自身以及下属23医疗机构对于入侵和攻击行为，应能够有效检测并进行阻断和记录，因此吴江卫生专网必须具备对抗各类黑客攻击入侵的能力，包括勒索和挖矿，能够有效防范拒绝服务攻击、扫描攻击、嗅探攻击、缓冲区溢出攻击、脚本攻击等行为。

• 缺少集中安全管控与审计

目前吴江卫生专网缺乏网络安全集中管控系统，在日常网络安全系统运维中，添加删除策略，往往需要通过一台一台设备登录来进行操作，这样降低了运维效率；其次吴江卫计委需要对网络的各类活动进行有效的监测，对异常的行为，或者是违反了安全策略的访问，或者是突发的异常流量，或者是重要的服务器或数据库的异常状态进行报警和记录，以便安全管理人员能够在事中及事后进行响应和维护。。

解决方案

• 吴江卫计委同下属23家医疗机构，在卫生专网接入边界处，分别部署山石网科下一代防火墙共计23台，每家医疗机构在防火墙上都设置了安全访问控制策略，以此来实现网络边界的隔离防护。
• 山石网科防火墙开启了IPS入侵防御和AV防病毒扩展功能模块，一是用来检测客户网络中勒索、挖矿等攻击行为；二是用来帮助客户扫描检查专网中传输的文件是否携带木马、蠕虫病毒等；最终让吴江卫计委客户实现卫计委总部对于下联23家医疗机构的入侵防范和病毒防范。
• 在卫计委核心旁挂HSM安全管理平台系统，实现了卫计委对下联23家医疗机构边界所部署的防火墙进行统一集中的策略下发与管控，同时针对各个医疗机构的防火墙设备日志，也能起到统计收集审计管理的功能。

运行效果

山石网科下一代防火墙的性能、功能和稳定性都达到了吴江卫计委所要求的网络安全设备应具备的各种标准，在2017年勒索爆发肆虐的时候，有效的保障了吴江卫生专网的稳定与安全；HSM安全管理平台系统满足了吴江卫计委统一管理和集中管控等方面的具体要求，全面保障卫计委及各个医疗机构人员访问卫生专网应用的安全。