項(xiàng)目背景

哈爾濱市第五醫(yī)院創(chuàng)建于1955年，占地面積5萬(wàn)平方米，建筑面積3.7萬(wàn)平方米。經(jīng)過(guò)五十年的建設(shè)，醫(yī)院已經(jīng)發(fā)展成為以骨科、燒傷科為省重點(diǎn)專科，集醫(yī)療、科研、教學(xué)為一體的三級(jí)甲等醫(yī)院，并被衛(wèi)生部列為國(guó)家緊急救援中心網(wǎng)絡(luò)醫(yī)院。

隨著衛(wèi)生業(yè)務(wù)對(duì)信息系統(tǒng)的依賴程度越來(lái)越大，信息化環(huán)境也日益惡劣，安全問(wèn)題越來(lái)越突出。在這種情況下，各醫(yī)療衛(wèi)生機(jī)構(gòu)對(duì)信息安全保障工作給予了足夠的重視，各方面的信息安全保障工作都在逐步推進(jìn)。

《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》（衛(wèi)辦發(fā)【2011】85號(hào)）指出：依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度，遵循相關(guān)標(biāo)準(zhǔn)規(guī)范，全面開(kāi)展信息安全等級(jí)保護(hù)定級(jí)備案、建設(shè)整改和等級(jí)測(cè)評(píng)等工作，明確信息安全保障重點(diǎn)，落實(shí)信息安全責(zé)任，建立信息安全等級(jí)保護(hù)工作長(zhǎng)效機(jī)制，切實(shí)提高衛(wèi)生行業(yè)信息安全防護(hù)能力、隱患發(fā)現(xiàn)能力、應(yīng)急處置能力。

做好信息安全等級(jí)保護(hù)工作，對(duì)于促進(jìn)衛(wèi)生信息化健康發(fā)展，保障醫(yī)藥衛(wèi)生體制改革，維護(hù)公共利益、社會(huì)秩序和國(guó)家安全具有重要意義。

需求分析

醫(yī)院信息系統(tǒng)的穩(wěn)定運(yùn)行作為支撐醫(yī)院系統(tǒng)運(yùn)作及各部門共同合作與營(yíng)運(yùn)的關(guān)鍵保障，在面對(duì)安全性與易用性的沖突時(shí)，如何實(shí)現(xiàn)信息安全合規(guī)與醫(yī)護(hù)高效，要滿足以下要求：

1、政策合規(guī)：醫(yī)院信息安全建設(shè)需要符合信息安全等級(jí)保護(hù)規(guī)范的要求，醫(yī)院信息安全體系化完善需要減少人員或精力的投入；

2、符合醫(yī)院的實(shí)際應(yīng)用環(huán)境：等級(jí)化安全建設(shè)能滿足醫(yī)院業(yè)務(wù)應(yīng)用穩(wěn)定與高效的要求，安全網(wǎng)絡(luò)架構(gòu)需要保證業(yè)務(wù)發(fā)展的可拓展性和延伸性；

3、有效的運(yùn)維管理： 安全運(yùn)營(yíng)需要降低管理難度，安全設(shè)備及控制策略維護(hù)不要增加工作量。 

解決方案

通過(guò)部署任子行NGSA防火墻，實(shí)現(xiàn)對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過(guò)濾掉大部分攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口，而且能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它禁止來(lái)自特殊站點(diǎn)的訪問(wèn)，從而防止來(lái)自不明入侵者的所有通信。

通過(guò)部署任子行NGSA-UTM產(chǎn)品，解決系統(tǒng)中應(yīng)用程序保護(hù)及網(wǎng)絡(luò)架構(gòu)防護(hù)兩大問(wèn)題。

應(yīng)用程序防護(hù)，提供擴(kuò)展至用戶端、服務(wù)器、及第二至第七層的網(wǎng)絡(luò)型攻擊防護(hù)，如：病毒、蠕蟲(chóng)與木馬程序。利用深層檢測(cè)應(yīng)用層數(shù)據(jù)包的技術(shù)，任子行NGSA-UTM可以分辨出合法與有害的封包內(nèi)容。

最新型的攻擊可以透過(guò)偽裝成合法應(yīng)用的技術(shù)，輕易的穿透防火墻，而任子行NGSA-UTM運(yùn)用重組 TCP 流量以檢視應(yīng)用層數(shù)據(jù)包內(nèi)容的方式，以辨識(shí)合法與惡意的數(shù)據(jù)流。大部分的入侵防御系統(tǒng)都是針對(duì)已知的攻擊進(jìn)行防御，然而任子行NGSA-UTM 運(yùn)用漏洞基礎(chǔ)的過(guò)濾機(jī)制，可以防范所有已知與未知形式的攻擊。

網(wǎng)絡(luò)架構(gòu)防護(hù)，路由器、交換器、 DNS 服務(wù)器以及防火墻都是有可能被攻擊的網(wǎng)絡(luò)設(shè)備，如果這些網(wǎng)絡(luò)設(shè)備被攻擊導(dǎo)致停機(jī)，那么所有醫(yī)院中的關(guān)鍵應(yīng)用程序也會(huì)隨之停擺。

而任子行NGSA-UTM的網(wǎng)絡(luò)架構(gòu)防護(hù)機(jī)制提供了一系列的網(wǎng)絡(luò)漏洞過(guò)濾器以保護(hù)網(wǎng)絡(luò)設(shè)備免于遭受攻擊。此外，UnityOne也提供異常流量統(tǒng)計(jì)機(jī)制的過(guò)濾器，對(duì)于超過(guò)”基準(zhǔn)線”的正常網(wǎng)絡(luò)流量，可以針對(duì)其通訊協(xié)議或應(yīng)用程序特性來(lái)進(jìn)行警示、限制流量或阻絕流量等行動(dòng)。如此一來(lái)可以預(yù)防DDoS及其它溢出式流量攻擊所造成的網(wǎng)絡(luò)斷線或阻塞。

產(chǎn)品部署/網(wǎng)絡(luò)拓?fù)鋱D

根據(jù)以上需求分析，在哈爾濱第五醫(yī)院的等級(jí)保護(hù)結(jié)構(gòu)中使用任子行生產(chǎn)的NGSA防火墻、NGSA-UTM以及HAC堡壘機(jī)實(shí)現(xiàn)等保對(duì)于防火墻、用戶驗(yàn)證及IPS設(shè)備的需求。

效果/反饋

通過(guò)部署任子行HAC堡壘機(jī)實(shí)現(xiàn)用戶對(duì)各種操作（包括Unix等終端指令、Windows等圖形操作、C/S客戶端工具操作、瀏覽器操作）的集中管理,有效解決共享賬號(hào)問(wèn)題，確保操作者與實(shí)際操作一一對(duì)應(yīng)；嚴(yán)格訪問(wèn)控制策略，有效杜絕了未授權(quán)訪問(wèn)操作；對(duì)正在進(jìn)行的操作實(shí)時(shí)監(jiān)控、對(duì)已經(jīng)結(jié)束的操作能夠完整記錄、快速查詢；通過(guò)部署碉堡，滿足了相關(guān)安全規(guī)范對(duì)運(yùn)維人員的管理和審計(jì)要求。