智慧医疗丨山石网科云数据中心建设项目入选CSA《2021零信任落地案例集》

---

近日，第二届国际零信任峰会在青岛圆满落幕，会上，CSA大中华区正式发布了《2021零信任落地案例集》，山石网科为南京市中医院提供的云数据中心“零信任”建设项目案例成功入选，展现了山石网科强劲的产品实力和完备的网络安全解决方案能力。

《2021零信任落地案例集》收录2020年以来不同行业的零信任典型案例，基于“讲技术不讲概念”、“强调落地不空谈方案”的原则，共筛选24个案例，涉及9个行业，涵盖政企、能源、金融、互联网，医疗等多个行业。供广大用户了解这一领域的最新实践，为安全从业者研究零信任相关技术，为各行业用户实施零信任提供指引和有力参考。

自2017年来，山石网科一直深耕零信任领域，2020年，南京市中医院启动了《云数据中心“零信任”建设项目》。山石网科全面部署网络微隔离可视化方案——山石云·格并提供人员技术支持，7*24小时全方位守护南京市中医院云数据中心。

图注：南京市中医院全景

 

南京市中医院成立于1956年，是南京中医药大学附属南京中医院、南京市中医药研究所、全国肛肠医疗中心、国家级区域诊疗中心。医院现有1个主院区（大明路院区）和1个分院区（城南分院），医院科室设置完善并拥有院内自制制剂122种。2020年，医院顺利通过“三级中医医院复核评审”，通过医院信息“互联互通标准化成熟度四级甲等测评”。抗疫期间，医院涌现出一批先进工作者。

 

项目背景

医疗行业越来越多的业务系统比如：HIS、LIS、PACS等迁移至虚拟化平台中运行，但是安全建设依然沿用之前的传统安全解决方案来应对当前主流的安全威胁。在云环境中，传统安全的解决方案会造成云内安全的空白，从而影响将关键业务应用转移至灵活低成本云环境的信心，同时业务系统面临的安全威胁也越发凸显。

南京市中医院于2020年启动了山石网科《云数据中心“零信任”建设项目》，对于南京市中医院虚拟化环境，虽然外部部署了入侵防御设施，但依然存在上述的情况。因为传统的安全模型仅仅关注组织边界的网络安全防护，认为外部网络不可信，内部网络是可以信任的，遵循“通过认证即被信任”。一旦绕过或攻破边界防护，将会造成不可估量的后果。零信任安全模型理念，改变了仅仅在边界进行防护的思路，把“通过认证即被信任”变为“通过认证、也不信任”。即任何人访问任何数据的时候都是不被信任的，都是受控的，都是最低授权的，同时还将记录所有的访问行为，做到全程可视。

 

方案概述

山石网科为用户带来“零信任”安全模型的最佳实践方案，基于SDN的网络微隔离可视化方案—山石云·格。山石云·格在云计算环境中真正实现了零信任安全模型，精细化按云内核心资产进行管理，可以将用户虚机的不同角色划定不同的安全域。山石云·格更能做到L2-L7层的最低授权控制策略，且全面适配IPv6环境。凭借山石网科十多年来在应用识别、入侵防御、网络防病毒、Web访问控制的积累，不论是借用80端口的CC攻击，还是隐藏在文件中的“病毒”都会被发现、阻断！

南京市中医院采用山石云·格方案分别部署在医院外网（前置服务区）和办公区域（内网区）。

图注：南京市中医院数据中心解决方案

医院外网虚拟化数据中心，山石云·格部署在VMware-vSphere（非NSX）环境内，为医院官方网站、移动支付、院感系统等应用提供L2-L7层安全防护及业务隔离能力。办公区域虚拟化数据中心内部，山石云·格部署在VMware- NSX环境内，通过NSX服务编排方式引流，山石云·格提供了灵活的策略编排，详细的云内流量展示以及入侵防御和防病毒功能，加固了整套虚拟化数据中心的安全能力。在本方案中VMware NSX和山石云·格配合在云中实现零信任安全模型，通过多个PDCA循环实现最优化配置。

 

方案亮点及价值

大多数的数据泄漏事件是突破了边界防护，利用内部防护、管理的漏洞达成。零信任安全模型，提出了一个安全防护的新思路。微隔离技术不仅让云计算中可以实现零信任安全模型，同时也是零信任安全模型提出以来获得的最佳实践，微隔离技术可以实现：

从内到外设计网络，安全融入网络DNA
更精准的最低授权策略
更清晰的流量、威胁可视化
更高的性能和可扩展性
更高的安全生产力

作为国家数字化转型的重要组成部分，医疗系统的数字化转型正如火如荼进行中。山石网科深耕零信任领域多年，依托自身不断的技术创新，为累计超过20,000家用户提供高效、稳定的安全防护。未来，山石网科将持续提升自身的技术和解决方案能力，推动零信任领域不断地向前发展，成为数字世界的一流守护者！