山石网科安全护卫“双七级”盛京医院
用户介绍
中国医科大学附属盛京医院是一所大型综合性现代化数字化大学附属医院。目前,医院共有三个院区和一个教育研发基地。医院南湖院区位于辽宁省沈阳市和平区三好街,滑翔院区位于辽宁省沈阳市铁西区滑翔路。2014年,“盛京医院成功申请为“中国驰名商标”,盛京医院成为国内第一家拥有中国驰名商标的综合性医院。
作为全国“数字化建设示范医院”,医院在信息化建设方面一直处于行业领先位置。目前,医院所有临床科室已全部应用电子病历,形成了电子病历临床应用、临床路径管理、门诊电子病历与预约挂号、患者信息集成、信息化优质护理与管理、医疗管理及质量控制、区域协同医疗信息化管理、医院运行综合查询、医院办公自动化、无线网络应用等特色数字化模式。2013年,医院通过了由国家卫生计生委统计信息中心组织的医院信息互联互通标准化成熟度测评四级,成为首批通过四级标准的四家医院之一。这意味着医院信息高度连续性、数据高度规范化,与院外信息实现了顺畅互联互通。2014年,医院成为国内唯一一家通过国家卫生计生委医院管理研究所认定的“电子病历系统功能应用水平分级的七级”和美国HIMSS机构电子病历使用评估等级最高级别七级认证的“双七级”医院。2017年,医院成为HIMSS大中华地区首家通过七级复审的医院。
用户需求
盛京医院网络联接相对复杂,内部支持公办系统访问互联网;外部联接银行、医保系统以及上级医疗单位;对外提供VPN接入与WEB网站点服务;同时也是医院集团网的核心支持中心;
因此安全改造中产品的性能和稳定性是首要考虑的,保障业务高效安全的运营成为一个现实的迫切要求。具体需求如下:
- 网络边界隔离和控制
通过防火墙的部署院方对网络进行了明确的区域划分;在业务外联区中,联接了集团分院,银行支付系统,医保系统,以及上级医疗单位等,山石网科下一代防火墙M3108进行边界隔离,对外部访问数据流进行访问控制;通过对源地址、目标地址、协议、应用、端口等对非法访问和攻击流量进行有效的隔离与阻断。
- 核心防火墙
山石网科下一代防火墙E5560主要针对于访问服务器区的流量进行策略控制与攻击防护,在部署核心防火墙之前,服务器区会有大量的攻击流量对服务器区内的服务器系统进行攻击,用户在网络层面需要更好的控制手段,核心防火墙通过旁路引流的方式把访问服务器的流量引入到防火墙,对核心网的攻击流量进行过滤;
外网防火墙通过智能链路负载均衡,对于互联网的流量出站动态探测和入站访问WEB服务器进行全局负载均衡,来实施两条链路上的智能分担,大大提高链路利用效率和内部用户访问网络体验。同时为出差和公出人员进行VPN连接。
- 网络攻击和入侵攻击防御
核心服务器区在部署防火墙之前,存在大量的攻击流量,核心数据库在使用过程中会有大量非法联接,导致核心数据库延迟,服务中断等情况;部署核心防火墙后,在日志中发现大量的基于SMB协议的攻击;以及对核心数据库的非法连接流量;
因此需要入侵防御及攻击防护功能对接入的用户访问业务资源时将访问数据进行基于数据流的检查,并且执行多个协议层的数据规范化检查,以至于可以针对数据包进行深入解包分析,通过特征匹配、行为分析等技术,发掘深层的安全问题。以保障流经内网的数据是安全的数据,从而最终保障各区域的安全性。
- 高可靠性需求
由于核心防火墙是用户信息化最重要的节点,并且核心防火墙也有承担着高并发访问量的特点,这就要求在进行核心内网边界安全防护的时候,必须考虑相应的性能和稳定性。
一方面,边界安全防护措施具有较高的吞吐量和并发处理能力,接入网络后对当前的业务访问效率不会造成影响;
另外,边界安全防护措施应有足够的可靠性设计,一旦系统故障,能够有冗余措施,不会形成单点故障。
解决方案
- 互联网防火墙:
在互联网边界部署山石网科下一代防火墙G2110,配置IPS、NAT、攻击防护、链路负载均衡功能
- 核心防火墙
服务器区路由引流部署山石网科下一代防火墙E5560,配置攻击防护,策略控制;
- 业务外联防火墙
在业务外联区域中部署山石网科下一代防火墙M3108,配置攻击防护,策略控制;
运行效果
山石网科下一代防火墙和入侵检测设备的性能、功能和稳定性都达到了盛京医院所要求的网络安全设备应具备的各种标准,满足了盛京医院在攻击防护、NAT等方面的具体要求,全面保障了院方人员访问互联网和外部访问院内服务器的安全。
