《安恒信息：醫療行業解決方案藍皮書（2024）（16頁）.pdf》由會員分享，可在線閱讀，更多相關《安恒信息：醫療行業解決方案藍皮書（2024）（16頁）.pdf（16頁珍藏版）》請在三個皮匠報告上搜索。

1、醫療行業解決方案藍皮書Blue Book目錄12醫療行業數字安全發展趨勢安恒信息醫療行業解決方案衛健委衛生專網態勢感知建設解決方案醫院數據安全建設解決方案醫院等級保護建設解決方案醫院安全運營建設解決方案縣域醫共體網絡安全建設解決方案醫院密碼應用解決方案3典型客戶案例數字安全建設總結未來發展趨勢及建議某省衛健委全民健康信息平臺態勢感知實踐某省衛健委全省衛生專網態勢感知實踐某疾控中心網絡安全加固項目實踐某醫院數據安全項目實踐某醫院網絡安全運營項目實踐某醫院網絡安全體系建設實踐更多典型客戶050509111315172223242528292106本文的所有內容，其版權屬于杭州安恒信息技術股份有限公

2、司（以下簡稱“安恒信息”）所有，未經安恒信息的許可，任何人不得防制、拷貝、轉譯或任意引用。本文沒有任何形式的擔保、立場傾向或其他暗示。安恒信息若因本文或其所提到的任何信息引起的直接或間接的資料流失、利益損失，安恒信息及其員工恕不承擔任何責任。本文所提到的解決方案僅供參考，不構成任何要約或承諾，有關內容可能會隨時更新，安恒信息恕不承擔另行通知之義務。版權所有不得翻印版權聲明數字安全建設總結我國醫療信息化經過30多年的發展，大致可以分成以下4個階段：醫院管理信息化階段（1990年代初期至中期）：此階段主要以財務管理和收費系統為核心，實現了醫院內部的財務管理信息化，提高了醫院的經濟效益和管理效率。臨

3、床管理信息化階段（1990年代中后期至2000年代初）：此階段開始關注臨床業務的信息化，如電子病歷、醫囑管理、護理管理等，實現了以病人為中心的臨床業務支持，提高了醫療服務的質量和效率。區域醫療信息化階段（2000年代中期至今）：此階段開始將醫療信息化從醫院內部擴展到區域范圍，實現了區域內醫療資源的共享和協同，提高了區域醫療服務的整體水平和效率。智慧醫療信息化階段（近年來）：此階段以物聯網、云計算、大數據、人工智能等新技術為支撐，實現了醫療服務的智能化、個性化和精準化，提高了醫療服務的品質和效率。隨著醫療信息化的發展，信息安全需求開始產生，2011年原國家衛生部發布衛生行業信息安全等級保護工作的

4、指導意見，提出三級甲等醫院的核心業務信息系統、跨省全國聯網運行的信息系統、國家、省、地市三級衛生信息平臺等國家級數據中心必須通過等級保護三級測評。進入十三五期間，醫療行業信息化建設發展如火如荼，國家衛健委加強醫院、基層醫療和公共衛生信息化規范建設，并在規范中對未來510年的信息安全建設提出建議與要求。十三五期間醫療行業信息化建設規范已經初步形成，醫療行業網絡安全規范尚未形成體系，滯后于信息化建設。十三五期間醫療行業網絡安全主要圍繞等保合規建設。進入十四五時期，國家衛健委和國家醫保局都提出了要加強網絡安全和數據安全的指導意見。2022年8月8日，國家衛健委推出了醫療行業首個關于網絡安全的管理辦法

5、醫療衛生機構網絡安全管理辦法，為醫療衛生機構網絡安全管理提供了工作指南，對醫療行業網絡安全和數據安全發展具有重要意義?？傮w而言，十三五以來國家對網絡安全和數據安全逐漸重視，陸續推出多部法律，使安全有法可依。相應地，醫療行業監管部門也陸續推出相應的管理辦法促進醫療行業數字安全的發展，但整體而言，醫療行業的數字安全建設尚未形成體系，在數據保護和隱私防泄06醫療行業數字安全發展趨勢醫療行業解決方案 -藍皮書 -2024第一章05醫療行業數字安全發展趨勢第一章 04未來發展趨勢及建議隨著技術的不斷進步，醫療衛生行業信息化將朝著智能化與自動化的方向發展，利用人工智能和機器學習等技術優化醫療流程。數據將在

6、醫療決策中發揮越來越重要的作用，推動精準醫療的實現。同時，5G、物聯網等新技術將推動遠程醫療和移動醫療的普及，為患者提供更為便捷的服務。此外，跨學科融合將成為行業發展的重要趨勢，融合生物信息學、醫學影像學等領域的知識，為醫療服務注入新的活力。為確保醫療衛生行業信息化穩健發展，網絡安全與數據安全不容忽視。安恒信息建議客戶可從立法、技術、人員培訓、數據共享與隱私保護以及跨學科合作等多個維度綜合施策。首先，完善行業相關法律法規體系，為網絡安全和數據安全提供堅實的法律保障；其次，加強技術防護，利用先進的加密技術和安全防護措施，確保醫療數據的安全性和完整性，同時強化人員培訓，提升醫療機構工作人員的網絡安

7、全意識和應急處理能力；此外，建立數據共享與隱私保護機制，在推動醫療數據流通的同時，保障患者隱私不被侵犯；最后，加強跨學科合作，與計算機科學、網絡安全等領域的研究人員共同研發創新技術，提升醫療衛生行業在網絡安全和數據保護方面的能力。通過綜合施策，能夠為醫療衛生行業信息化提供有力的安全保障，推動其健康、可持續發展。08醫療行業解決方案 -藍皮書 -20240607醫療行業解決方案第二章 安恒信息醫療行業解決方案第二章方案背景衛健委作為衛生醫療行業主管單位，同時也負責運維衛生專網，衛生專網作為全省/市衛生醫療機構的主要業務支撐系統，其自身的安全能力也需要滿足實際業務需求。國家衛健委2022年8月頒發

8、醫療衛生機構網絡安全管理辦法，進一步規范了醫療衛生機構網絡和數據安全管理、促進“互聯網+醫療健康”發展，加快推動衛生健康行業高質量發展進程。要求全國各省/市的衛健委建立網絡安全防護、監測、處置、保障協同的綜合防控格局。在安全防護方面，形成“動態防御、主動防御、縱深防御、精準防御、整體防控、聯防聯控”的安全防護態勢。及時收集、匯總、分析各方網絡安全信息，在安全處置方面，形成監督管理、安全檢查、應急預案、聯防聯控協同體系。各省的衛健委需要通過建立有效的網絡安全監管體系來落實工作。痛點分析衛生專網網絡環境復雜，邊界眾多，邊界范圍涵蓋各醫院、下屬衛健委、醫保、銀行、上級單位、電子政務外網和互聯網等。隨

9、著互聯網+醫療健康以及移動醫療等新型衛生醫療場景的快速發展，衛健委越來越多的業務系統通過互聯網向公眾和用戶提供服務，這些面向互聯網開放的業務系統為公眾和用戶帶來便利的同時也成了國際國內各種黑客組織實施攻擊的目標，各類網絡攻擊越來越頻繁，一旦這些面向互聯網開放的業務系統被黑客攻陷并加以利用將可能會導致公民醫療隱私數據泄露等各種安全問題，也會導致衛生專網面臨的網絡安全風險增加，嚴重的甚至可能上升到影響社會穩定和國家安全。目前各地眾多衛生專網仍存在等級保護工作落實情況不佳、整體安全風險較高等問題。衛生專網網絡安全建設能力參差不齊，網絡安全防護體系存在各種不足，普遍缺少有效的監測預警手段，無法整合各類

10、安全數據，實現衛生專網安全威脅有效監測、處置和預警。同時防御設備安全能力以孤島形式發揮作用，缺少情報共享與大數據監測預警能力支撐。衛生專網作為重要的關鍵信息基礎設施，需要全面提升網絡整體監測預警與安全防護能力。應當由衛健委建立健全衛生專網的網絡安全監測預警制度，掌握衛生專網運行狀況、安全態勢，預警通報衛生專網內可能出現的網絡安全威脅和隱患，做好安全防范工作，建設一套衛生專網大數據監測預警平臺，整合衛生專網網絡現有安全防護體系，加強衛生專網的整體安全監測預警能力，進一步建設完善衛生專網網絡的整體安全防護體系。衛健委衛生專網態勢感知建設解決方案方案介紹在省/市衛健委核心機房安全管理區部署網絡安全態

11、勢感知平臺，安全態勢感知平臺采用多臺服務器進行部署，提供所有數據的存儲與計算。平臺用于存儲流量采集探針、日志采集探針等提交的安全相關數據和告警等，并同時提供應用交互界面。省/市衛健委網絡安全監管平臺對衛健委本地和下屬醫院或區縣衛健委進行網絡安全相關數據采集，主要采集的數據源為網絡信息系統日志數據、流量數據、資產數據、弱點數據等，通過部署態勢感知平臺相關探針進行采集。日志采集系統：在安全運維區部署日志采集探針設備，確保各類設備IP地址跟日志采集探針設備路由可達即可，用于采集本地IDC日志類數據（含網絡設備、安全設備、服務器系統、應用系統和終端安全管理系統等），進行日志解析和標準化處理后提供至態勢

12、感知平臺進行存儲、處理和分析。醫療行業解決方案醫療行業解決方案 -藍皮書 -2024醫療行業解決方案第二章 0809 流量采集系統：在核心網絡節點部署流量采集設備，通過旁路部署采集網絡核心節點和邊界網絡流量，包括全流量審計和高級威脅檢測，用于對整網威脅分析、應用協議識別、應用訪問審計、行為還原、敏感信息識別、登錄行為識別、加密流量解析、流量趨勢分析。并具備WEB攻擊深度檢測、郵件攻擊深度檢測、文件攻擊深度檢測、基于DGA域名請求的識別能力、動態沙箱功能等。通過鏡像或分光的方式從交換機處獲取流量信息，進行分析處理后傳輸至態勢感知平臺。方案價值滿足相關法律法規要求衛生專網態勢感知大數據監測預警平臺

13、的建設，幫助衛健委建立健全網絡安全監測預警和信息通報制度，對衛生專網實行重點保護。全面滿足中華人民共和國網絡安全法關鍵信息基礎設施安全保護條例醫療衛生機構網絡安全管理辦法和關于落實衛生健康行業網絡信息與數據安全責任的通知等相關法律法規和行業政策的要求。有效提升衛生專網監測預警能力衛生專網態勢感知大數據監測預警平臺的建設，實現對衛生專網中的惡意流量、病毒木馬、高級持續性威脅攻擊、數據篡改、數據泄露和數據破壞等網絡威脅有效分析和監測。運用監管手段、技術手段、管理手段、安全運營實現衛生專網的網絡安全保障能力，有效降低衛生專網網絡安全威脅，進一步提升監測、預警、響應處置能力，保證衛生專網重要信息化系統

14、及所承載的數據機密性、完整性、可用性。提供保姆式安全運營服務通過提供安全數據分析、協助問題處置與加固、安全駐場、應急響應和安全培訓等安全運營服務，實現衛生專網大數據監測預警平臺的有效安全運營，有效解決衛生專網運維管理人員能力不足，無法有效發揮衛生專網大數據監測預警平臺作用的問題，真正發揮出衛生專網大數據監測預警平臺的分析、監測、問題處置和應急響應的能力。同時安全運營服務保障網絡及重要系統在任何時間發生任何安全問題都能夠及時得到支持和救援。為衛生專網網絡安全保駕護航。衛健委衛生專網態勢感知建設方案架構圖醫院數據安全建設解決方案架構醫院數據安全建設解決方案方案背景現代人生活方式的不健康，和生活環境

15、的影響，導致疾病復雜多變，加上我國人口眾多，醫療資源分布不均，醫療行業面臨著前所未有的巨大壓力。在慢病高發的今天，中國醫療衛生事業從未遇到如此多的挑戰。但與此同時，隨著移動互聯網、大數據、云計算等多領域技術與醫療領域跨界融合，新興技術與新服務模式快速滲透到醫療各個環節，并讓人們的就醫方式出現重大變化，也為中國醫療帶來了新的發展機遇。醫院設備之間、衛生機構之間的互聯互通、信息共享與交換，檢驗、影像、超聲等數據的相互之間的使用，在醫院早已經成為常規的診療手段，比如診斷一個病人，需要影像資料、病理報告、檢驗數據、超聲情況等等數據的綜合分析，利用信息化手段，把這么多綜合數據整理得更細致，梳理得更縝密，

16、這個就是在原來傳統醫療基礎上的一個整合和提升。痛點分析隨著國家數據安全的立法進程發展，目前陸續發布實施了中華人民共和國數據安全法中華人民共和國個人信息保護法等圍繞數據安全、個人信息保護等維度的合規要求。醫療衛生機構網絡安全管理辦法要求各醫療衛生機構應按照有關法律法規的規定，參照國家網絡安全標準，履行數據安全保護義務，堅持保障數據安全與發展并重，通過管理和技術手段保障數據安全和數據應用的有效平衡。關鍵信息基礎設施運營者應擬定關鍵信息基礎設施安全保護計劃，建立健全數據安全和個人信息保護制度?；谝幌盗械臄祿踩煞ㄒ幰?，醫院迫切需要規劃建設體系化的數據安全技術防護能力建設，滿足數據安全的防護需

17、求。隨著醫療大數據的集中、數據開放性更高，大數據安全的“脆弱性”逐漸凸顯，國內外數據泄露事件頻發，用戶隱私受到極大挑戰。在數據驅動環境下，網絡攻擊也更多地轉向存儲重要敏感信息的信息化系統，數據安全防護儼然成為大數據應用發展的一項重要課題。方案介紹&*N&*N*N+醫療行業解決方案081110醫療行業解決方案 -藍皮書 -2024醫療行業解決方案第二章 方案價值構建以數據為核心的安全防護能力改變傳統以信息系統為防護對象的設計思路，構建以數據為保護對象的安全防護體系，通過數據分類分級，建立差異化覆蓋數據流轉的安全防護體系，加強數據采集、處理、交換等關鍵環節的保障能力建設，實現在數據流動過程中的安全

18、防護。形成對各類人員的安全監控預警能力醫院業務場景復雜，能夠接觸到核心數據的人員眾多，大體可以分為三類；一是負責新業務系統上線的開發測試人員、二是進行數據庫運維或者業務系統運維的運維人員、三是具體的業務使用人員；通過本方案的建設，對這三類人員都形成了很好的防護能力，最大化地避免數據泄露的風險。形成對應用API接口監測能力數據只有流動才能產生價值，而作為流動的主要形式API接口是數據安全建設的重中之重，通過本方案的建設，很好地解決了API資產不清、風險不明、出現泄露后缺乏溯源審計等能力缺失的情況，對數據流動的接口形勢進行了全方位的監控。數據安全合規保障圍繞數據安全的技術體系與管理體系的建設，充分

19、考慮在提供更加優質醫療服務的同時數據開發所引發的各種安全風險，包括個人隱私、數據泄漏、數據合規使用等。滿足網絡安全法數據安全法個人信息保護法以及醫療行業法律合規的要求。通過數據安全服務和數據安全服務工具組件的協同，強化醫療數據流轉全流程管理，構筑制度規范、技術防護和運行管理“三位一體”的數據安全保障體系。第一步建設數據安全分類分級與風險評估服務、數據安全管理制度服務、數據安全網關服務、API與應用系統安全審計服務，落地數據資產梳理與分類分級、數據安全管理制度的建立和數據安全基礎監測與防護等建設成果。第二步建設數據脫敏服務、數據存儲加密服務、終端數據防泄漏服務，落地數據安全生命周期（數據采集、數

20、據傳輸、數據存儲、數據處理、數據交換、數據銷毀）的配套安全能力建設。第三步建設數據傳輸加密服務、網絡數據防泄漏服務、數據安全綜合管控服務等落地，形成人員、技術、管理協同的一體化數據安全運營能力的建設。醫院等級保護建設解決方案方案背景2011年12月9日，原國家衛生部印發了衛生行業信息安全等級保護工作的指導意見（衛辦發201185號），明確提出衛生行業信息安全等級保護工作的指導意見。要求在衛生行業全面開展信息安全等級保護定級備案、建設整改和等級測評等工作，落實信息安全責任，建立信息安全等級保護工作長效機制，切實提高衛生行業信息安全防護能力、隱患發現能力、應急處置能力。電子病歷系統應用水平分級評價

21、標準（試行），要求醫院完成信息安全等級保護定級備案與測評、醫院重要信息安全等級保護不低于第三級。三級醫院評審標準（2022年版），要求醫院落實中華人民共和國網絡安全法，實施國家信息安全等級保護制度，實行信息系統按等級保護分級管理，保障網絡信息安全，保護患者隱私。推動系統運行維護的規范化管理，落實突發事件響應機制，保證業務的連續性。國家醫療健康信息醫院信息互聯互通標準化成熟度測評方案（2020年版），四級乙等測評要求核心業務系統（含平臺）完成等級保護三級定級備案與測評，要求提供備案證明及本年度或上一年度相關系統的安全測評報告。痛點分析從監管角度分析，醫院做等級保護最主要的痛點是在監管單位的要求下

22、順利通過等級保護2.0的測評，盡量避免被公安執法通報，減少被衛健委通報。從業務角度分析，醫院網絡安全建設的痛點大體可以從外部安全、內部安全、安全管理和安全體系建設這四個方面來看。外部安全“互聯網+醫療”創新醫療服務模式，提高醫療服務效率，醫院數據資源逐漸向患者、衛健委、醫保、銀聯等對象開放共享。信息共享必然要求醫院與互聯網、第三方機構實現業務協同作業，從而導致醫院傳統的內外網物理隔離的現狀被打破，醫院信息系統的暴露面增大，使得醫院信息系統成為不法黑客的重點攻擊對象之一。近年來醫院患者個人信息泄露、勒索病毒等事件頻發也驗證了這一點。內部安全醫院的網絡規模不大，但相對來說比較復雜，各個業務系統之間

23、緊密關聯，數據共享也十分頻繁，因此很難界定哪些系統之間可以完全隔離、哪些系統只允許特定人員的訪問，從而導致安全風險非常容易在內部蔓延而無法得到有效地控制，導致醫院損失增加。安全管理醫院購買大量不同用途的安全產品，構建了復雜的安全建設體系，各種設備之間相關日志文件無法共享，同時，醫院自身專職安全運維人員數量有限，大大增加了醫院的安全運維難度。安全體系建設醫院缺乏專業的網絡安全知識，通過等級保護測評的主要策略還是以傳統安全防御建設為主，只能抵御業界已知的網絡攻擊行為，既缺乏對資產對象自身風險的認知能力，又缺少對繞過邊界防御的攻擊威脅和新型威脅（如變種的病毒）的持續檢測能力，導致醫院對黑客發起的新型

24、攻擊“毫無察覺”“束手無策”。醫療行業解決方案醫院等級保護建設解決方案方案價值滿足等保2.0合規要求方案根據網絡安全法網絡安全等級保護基本要求法規標準開展建設，滿足等級保護2.0提出的合規性要求，可有效幫助醫院用戶規避合規安全風險。滿足電子病歷評級、互聯互通評級、智慧醫院評級要求方案設計綜合參考電子病歷系統應用水平分級評價標準（試行）醫院信息互聯互通標準化成熟度測評方案（2020年版）醫院智慧服務分級評估標準體系（試行）醫院智慧管理分級評估標準體系（試行）等醫院信息化建設標準，形成檢測、防護、響應和恢復的保障體系，從而建立有針對性的合規性安全保障體系框架和安全防護措施。滿足醫療衛生行業評級要求

25、。構建“縱深防御+威脅誘捕+安全運營”安全防護體系建設縱深防御、主動防御、持續運營的閉環安全防護體系，事前對信息資產暴露面進行風險識別，事中不斷驗證和增強安全邊界防御能力，持續開展安全檢測，事后積極組織開展安全響應，日常有序開展安全運營管理，進而有效控制安全風險。醫院的網絡主要由內外兩張大網組成，其中內網進行核心數據的交互，包括LIS、HIS、PACS、RIS、EMR等系統的組成，同時內網聯通了住院樓、門診樓和醫技樓等，多個大樓通過內網網絡進行聯通協同，內網通過核心與衛健委、醫保大樓、銀行等部門進行專線聯通。外網主要涉及業務系統的布設，主要包含郵件系統、網站系統、支付寶微信客戶端系統，以及各個

26、大樓的無線網絡布設。內外網通過網閘進行隔離，嚴格控制內外網數據的交互。方案將分為兩個層面進行建設，分別為安全管理體系、安全技術體系及安全運營體系。其中保護對象主體為醫院的重要信息系統，保護范圍涵蓋醫院整體網絡。安全技術體系是醫院在安全技術層面的整體建設，包括具體的安全防護措施，本期將安全管理中心進行重點建設，安全管理體系是本次建設的重要組成部分，在建設完成后，醫院日常安全防護應在安全管理體系之下，依托安全技術體系建設有序開展。方案介紹方案背景經過長期的發展，在醫院的信息化建設中，網絡安全建設已從以往基礎的邊界與終端安全上升成了一套完整的依據等級保護而建設的安全防護體系，以保障醫院業務系統的安全

27、穩定。然而，伴隨著新技術的更迭、醫院的業務發展以及政策形勢的要求，醫院的業務系統已不僅限于院內?；ヂ摼W醫療、遠程問診、互聯互通等新業務的開展，醫院內外部數據共享情況的增多，都導致了醫院內外部安全威脅面擴大，醫院安全風險大大增加；醫院信息資產的增多，以及患者個人信息的數字化，同樣導致醫院信息系統中的數據價值、數據敏感度越來越高，數據安全形勢越發嚴峻。痛點分析網絡安全監管趨嚴當前網絡安全形勢下，公安、網信、醫療監管單位通過常態化安全監測通報、不定期抽查、下發安全檢查要求等方式積極履行網絡安全監管職責，對醫院網絡安全運維工作施加多重壓力。醫院互聯網暴露面難管控隨著醫療行業信息化的快速發展，“互聯網+

28、醫療健康”和“醫療大數據”的普及導致醫院網絡暴露面擴大，黑客攻擊面增加，傳統的邊界防護已不足以應對內部網絡的安全威脅，醫院需要采取更全面的安全措施來保護敏感數據。合規安全建設效果難體現隨著網絡安全法和等級保護2.0等法規的實施，醫院網絡安全建設得到了顯著提升，但新技術和新業務的發展使得網絡邊界變得模糊，原有的合規建設難以適應變化，因此醫院需要不斷調整安全策略，確保業務的安全性，等保合規只是起點，不是終點。未建立長效安全運營機制為防范黑客攻擊，醫院需構建全面防護的主動安全體系，實現7*24小時的安全監測與響應，并重視安全運營機制的建設與運營，以適應新時代下醫院信息化網絡安全需求。醫院安全運營建設

29、解決方案醫療行業解決方案醫院外網互聯網出口區門戶網站預約掛號線上支付辦公互聯網終端區核心交換區對外業務區負載均衡互聯網防火墻行為審計防火墻網頁防篡改零信任核心交換區內外隔離區隔離網閘業務外聯區出口路由下一代防火墻內網終端區下一代防火墻移動護理區數據中心防火墻數據庫數據存儲數據庫審計備份一體機數據庫安全網關云端安全服務醫院內網漏洞掃描日志審計運維堡壘機主機安全違規外聯監測平臺態勢感知平臺準入控制安全管理中心數據大腦威脅情報事件分析響應處置托管服務漏洞掃描日志審計運維堡壘機主機安全態勢感知平臺準入控制安全管理中心數據脫敏系統網絡威脅誘捕系統透明傳輸加密透明數據庫加密核心數據中心區081312醫療行

30、業解決方案 -藍皮書 -2024醫療行業解決方案第二章 醫院安全運營建設解決方案方案價值快速提升醫院實戰能力在服務過程中，安全服務專家協助醫院開展持續性的安全服務，結合資產梳理、漏洞管理和威脅檢測響應，確保資產無遺漏、威脅實時監測處置，并帶動原有安全設備運行，快速提升醫院安全能力，構建主動、安全、閉環的防御體系。有效應對不斷升級的安全威脅在安全威脅不斷升級的當下，由安全廠商協助醫院持續開展安全風險監測，全面感知攻擊態勢，協助醫院安全人員發現醫院系統風險，補齊安全建設短板，排除網絡安全隱患，確保醫院網絡安全能力迭代提升和持續有效。護航醫院信息化，緩解安全運維壓力安恒信息服務人員持續監控醫院網絡安

31、全，動態調整防護策略，避免策略錯配、漏配，提升醫院整體防護水平，持續關注暫時無法修復的問題或漏洞，并記錄服務信息，采用主動、閉環的服務模式減輕醫院安全運營壓力。7*24小時安全值守，快速閉環安全問題安恒信息安全運營中心通過專家內部輪動值守，動態監測醫院網絡安全狀態，7*24小時提供服務，解決人員無法本地值守的問題，緊急情況下按照標準流程通報、處置威脅，確保醫院網絡安全處于高水平狀態。本次方案在醫院外網核心交換機中接入安全運營一體機和高級威脅分析響應平臺，通過匯集全網流量、分析潛在威脅、發送告警信息至云端運營中心，實現遠程事件處置。同時，安全運營團隊結合本地與云端專家，梳理醫院資產信息、漏洞管理

32、，并提供處置建議，確保醫院信息系統的安全運營。方案介紹 五分鐘完成服務接入 專家7*24h持續守護 風險和威脅動態清零 30分鐘內安全告警 化繁為簡，為效果服務縣域醫共體網絡安全建設解決方案方案背景醫共體醫院依賴信息系統開展工作，伴隨信息化建設深入，業務多元化、辦公數據共享化，應用系統增長，信息系統承受壓力增大。醫療行業成攻擊主要目標，勒索、挖礦威脅業務連續性。醫共體因接入機構多、安全水平不均、策略不統一，存在數據安全風險。網絡安全是醫療行業信息化建設的重要保障，遵循網絡安全法、等級保護要求及行業指導開展網絡安全建設是醫共體牽頭醫院的重要任務。痛點分析醫共體信息化平臺的安全問題主要分為三個層面

33、：平臺端、分支端和運維管理。平臺端由于醫療數據集中，防護不足可能導致業務系統遭受攻擊，數據泄露等風險。分支端由于網絡安全建設不到位，易成為黑客橫向滲透的跳板。運維管理涉及眾多分支機構，傳統方式耗費大量工時，且易產生內部威脅?，F有網絡安全能力存在多個問題，包括統一網絡安全體系缺失、分支機構裸奔互聯、高級威脅發現處置能力弱等。此外，還缺乏攻擊遏制與反制措施、安全能力與數據分散、數據安全存在隱患以及缺乏統一高效的安全運營運維能力。這些問題導致醫院安全管理人員難以有效開展網絡安全為核心的運營工作。針對以上問題，醫共體醫院需要建立統一的網絡安全體系，加強分支機構的網絡安全建設，提升高級威脅的發現處置能力

34、，并采取措施遏制與反制攻擊。同時，需要整合安全能力與數據，加強數據安全保護，建立統一高效的安全運營運維能力。這些措施將有助于提升醫共體醫院的信息化平臺安全性，保障醫療服務的正常運行和患者的個人隱私安全。醫療行業解決方案081514醫療行業解決方案 -藍皮書 -2024醫療行業解決方案第二章 醫院密碼應用解決方案方案背景隨著物質文化生活水平的提高，人們對醫療服務便捷化、智能化的需求越來越迫切，醫院圍繞電子病歷，構建了如臨床診療、互聯網問診、區域醫療協同等新模式，逐步走向智慧醫療的階段。在業務發展的過程中，眾多的醫療敏感信息實現了數據化，如電子病歷、診療數據、處方數據等。醫療行業的信息化、智慧化使

35、得整個醫療網絡規模不斷擴大，防御范圍逐漸變廣，所面對的威脅更加嚴峻。密碼作為網絡安全的核心支撐，是解決醫院數據安全問題最基本、最直接、最有效的手段，也是醫院核心數據的最后一道防線。采用密碼技術對數據進行保護可保障在黑客繞過防護措施，入侵醫院業務系統的情況下，無法對加密后的數據進行解密，獲取真實數據，因此我們必須采用安全性更高的密碼算法。中華人民共和國密碼法的頒布實施以及商用密碼管理條例的修訂發布，從法律層面為開展商用密碼應用提供了根本遵循。由國家衛生健康委、國家中醫藥局、國家疾控局三部門聯合制定并發布的醫療衛生機構網絡安全管理辦法“十四五”全民健康信息化規劃，旨在加強醫療衛生機構網絡安全管理，

36、推動“十四五”期間全民健康信息化發展。醫院需要依據GB/T 39786-2021信息安全技術 信息系統密碼應用基本要求對業務系統進行改造，通過密碼應用改造，建設符合中華人民共和國密碼法以及GB/T 39786-2021信息安全技術 信息系統密碼應用基本要求的信息系統，實現對保護對象的機密性、完整性、真實性和不可否認性保護。痛點分析根據GB/T 39786-2021信息安全技術 信息系統密碼應用基本要求，從物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全、安全管理等層面，對醫院應用系統密碼應用建設需求進行綜合的風險分析，得出所存在的密碼應用需求。醫療行業解決方案醫共體網絡安全建設解

37、決方案架構圖信息安全技術 信息系統密碼應用基本要求框架醫共體各個成員單位能通過衛生專網或者互聯網VPN的方式訪問相關業務或進行安全互聯與數據上報，通過終端安全管理軟件、下一代防火墻、APT等安全軟硬件對其進行安全通信網絡、安全區域邊界以及安全計算環境的安全合規防護與檢測能力建設，保證成員單位的終端與服務環境安全。在服務平臺側，通過部署終端安全軟件、下一代防火墻、APT、堡壘機、漏洞掃描、日志審計與數據安全設備、天池或等保一體機、ailpha安全大數據平臺進行全方位的一體化的合規智能防護與安全管理。在互聯網側，醫共體也可以根據自身業務需求，通過玄武盾云防護及云監測作為利用優勢云端資源進行所有應用

38、業務的前置防護，做到關口前移。方案介紹方案價值醫共體安全技術體系以等級保護框架為基本要求，通過各種安全技術措施的組合從外到內構建縱深、主動的防御體系，對業務系統實行分域保護，實現保障業務安全、穩定運行，有效應對網絡安全事件，維護業務數據的完整性、保密性和可用性的目標。主要涵蓋了物理安全、終端安全、網絡安全、主機安全、應用安全及數據安全等層面，從身份認證、訪問控制、內容安全、監控審計到備份恢復，全方位地打造安全的新一代數據中心，保證信息系統整體的安全保護能力。DCCSQL.EDRNGFWVPNIPSAVWAFAPPWEBEDRNGFWHISOA/CISPACS081716醫療行業解決方案 -藍皮

39、書 -2024醫療行業解決方案第二章 醫共體網絡安全建設解決方案架構圖本系統密碼應用技術框架如圖所示。根據醫院系統拓撲的部署方式和實現業務功能，在滿足總體性、完備性、經濟性原則的基礎上，主要通過在醫院機房部署的服務器密碼機、傳輸透明加密系統、云密盾加密系統、SSL VPN安全網關、IPSec VPN安全網關、安全認證網關、簽名驗簽服務器、時間戳服務器、協同簽名系統、國密堡壘機等密碼產品，并向本單位運維人員和內部用戶人員提供USB key+數字證書并正確配置，以滿足本系統的密碼應用需求。方案介紹方案價值快速合規，全程保障醫院開展商用密碼應用工作，對涉及多維度、多層級的隱私數據采用商用密碼技術保證

40、數據機密性、完整性，人員身份真實性等，滿足政策要求。規范醫院密碼應用基于商用密碼技術的身份鑒別、數據加密、完整性校驗等功能廣泛、正確應用到醫院業務中，構建全程密碼應用安全技術體系。構建數據安全傳輸通道基于商用密碼技術為醫院業務數據、運維數據等提供安全、可靠、便捷的傳輸通道，為醫院構建安全、可信、規范、易用的數據傳輸體系。賦能醫院智慧化發展醫院智慧化發展過程中，面臨著全周期、全方位的醫療數據共享需求，以密碼技術護航數據共享全過程安全需求，夯實醫院發展過程中所需的信任根基。0818醫療行業解決方案 -藍皮書 -2024醫療行業解決方案第二章 典型客戶案例第三章項目背景隨著信息化的不斷深入和普及，某

41、省衛健委的應用不斷地增加，并且已經形成了一定規模的應用系統，其涉及的應用面覆蓋了整個省醫療行業的應用系統，主要包括：健康檔案、國家衛生統計信息直報系統、婦幼保健信息監管系統、免疫規劃信息管理系統、新農合系統、區域電子病歷系統、區域分級診療系統、計劃生育管理系統、省基本公共衛生服務考核平臺、疾病預防控制系統等。項目需求省級全民健康信息平臺業務系統建設內容的不斷擴充，省級平臺已經形成由大量網絡設備、操作系統、數據庫系統、應用系統構成的信息系統運行環境，同時各業務系統要滿足省、市、縣（區）、鄉、村的五級業務開展，對省級全民健康信息平臺的安全防護體系提出了嚴峻的考驗。為保障省全民健康信息平臺已建業務系

42、統運行環境的安全，防止醫療數據的泄露構建我省全民健康信息平臺安全防護體系，從源頭上杜絕數據泄露、系統被攻擊的風險。解決方案針對衛健委全民健康信息平臺的統一安全監測、預警平臺。通過將全民健康信息平臺所涉及的訪問流量、設備日志、應用系統日志等系統數據，進行挖掘和分析操作，實現全局安全態勢監管決策。項目價值 建立統一的網絡安全態勢感知平臺，提升衛健委安全狀態監測、預警能力，保障全民健康信息平臺運行安全；有效發現、預警大規模網絡入侵、病毒傳播等網絡異常事件，指導相關單位進行處置；加強對區域內醫療行業重要信息網絡單位的安全監督管理；建設落實安全技術措施和安全管理制度。某省衛健委全民健康信息平臺態勢感知實

43、踐某省衛健委全民健康信息平臺態勢感知案例典型客戶案例2120醫療行業解決方案 -藍皮書 -202425G/SSLVPNSSLVPN典型客戶案例第三章 典型客戶案例第三章 2223醫療行業解決方案 -藍皮書 -2024項目背景省衛生健康委員會是全省人口、衛生健康的主管部門，同時也是國家、省級平臺互聯互通的市、縣四級人口健康信息平臺，由于其面對地市、縣等二級單位眾多、信息系統群龐大，信息安全管理層面復雜。項目需求由于其面對地市、縣等二級單位眾多、信息系統群龐大，信息安全管理層面復雜。因此，衛健委需要充分考慮可能面臨的各類安全風險，建立網絡安全管理機制、技術手段以及保障機制，及時發現和處理各類安全風

44、險和防護體系的缺陷，確保信息系統安全、穩定、高效地運行。解決方案以態勢感知平臺為技術抓手，通過安全服務協助某省衛健委落實好網絡安全責任制；排查某省衛健委存在的網絡與信息安全風險；配合編制應急響應預案；堵塞可能存在的各類網絡安全和信息安全漏洞；提升安全管理水平、補強安全短板、加強安全監管、提高應急恢復能力，努力實現安全防護水平由被動防御到主動發現的轉變，做到網絡與信息安全態勢可感知、安全事件可預警。項目價值建立統一的網絡安全態勢感知平臺，收集單位全網流量和告警日志，提升衛健委內部整體安全態勢感知的監測、預警、發現和處置能力；通過整體的安全服務，提升衛健委問題的問題發現能力和威脅處置效率；加強對單

45、位新上線業務系統的風險評估和安全加固，對新上線業務系統進行安全管控。項目價值通過項目建設協助用戶梳理現網資產、梳理安全策略、定期巡檢，輸出安全分析報告，幫助用戶處理安全事件，應急事件及時響應，通過態勢大屏讓用戶及時了解中心整體網絡安全隱患，改變安全設備孤立、告警數據分散、安全事件無法聯動處置等困擾，協助用戶通過等級保護測評工作。某省衛健委全省衛生專網態勢感知某省衛健委全省衛生專網態勢感知實踐項目背景省疾控職責為疾病預防控制、突發公共衛生事件應急處置、疫情報告、健康危害因素監測與干預等，屬于省內關基單位，業務系統多為公眾服務，主要包括：數字疾控業務系統、人口死亡信息綜合管理系統、艾滋病綜合管理系

46、統、重精管理、免規等。省疾控中心除提供業務服務的同時也是連接全省疾控與國家疾控的重要節點，信息化的普及業務連續性和安全性對省疾控整體安全防護能力提出了嚴峻的考驗。項目需求目前省疾控信息網絡系統已有一定安全防護措施，具備相應的安全防護能力，但對網絡安全監測方面的建設比較薄弱，缺乏有效可行的安全技術，無法針對多個安全事件聯動分析，難以追蹤溯源和無法整體評估系統的安全狀況。為加強網絡安全監測和防護水平，建設基于大數據的具備安全監測、智能分析、通報預警等手段的綜合安全管理支撐平臺，滿足監測預警和應急處置等需要，對各類業務系統底數和安全情況進行全面掌握，清晰、準確地判斷存在的安全風險，并事先發出預警，規

47、范有效地進行安全處置。解決方案根據網絡安全法以及等級保護2.0相關要求，建設具備集中管控能力的網絡安全監測分析系統，對現網邊界防火墻、業務區防火墻、web應用防火墻、運維審計、日志審計等相關安全防護設備進行集中管控，采集分析日志、流量、弱點以及情報等多方面的信息結合安全大數據分析技術對網絡中的安全威脅進行防護及預警；通過巡檢服務，對現網安全風險進行風險分析形成報告協助風險資產相關干系人進行安全處置。某疾控中心網絡安全加固項目實踐某疾控中心網絡安全加固項目實踐典型客戶案例典型客戶案例2524醫療行業解決方案 -藍皮書 -2024典型客戶案例第三章 項目背景某醫院業務系統大都是CS架構的IT系統（

48、HIS、LIS等），終端涉及多個分院、科室，且醫護人員的終端可以直接訪問存放核心醫患數據的數據資產，業務的屬性決定了核心數據暴露面極大，如果沒有相應的限制訪問措施，核心數據將很容易被竊取、篡改甚至銷毀，會導致醫療機構數據泄露甚至業務中斷，嚴重影響正常運轉以及社會聲譽。為了優先保障業務的連續性與穩定性，同時不具備專業技術能力進行遷移期間的數據庫穩定保障，無奈選擇犧牲數據庫系統的版本更新頻率，不能及時進行數據庫版本升級和補丁修復，導致存在較多數據庫漏洞。醫院系統和數據庫通常都由HIS廠家等第三方人員駐場進行運維和管理，而三方運維人員往往權限過高，客戶現場沒有有效管理運維人員越權訪問的手段，更無法避

49、免誤操作、敏感數據泄漏等高風險事件。項目需求醫院希望通過數據安全技術手段統一數據庫訪問入口，僅對合理的訪問行為放行。根據人員身份確定數據訪問權限，鑒權通過后才可放行，杜絕以下各種類型的數據泄露：IT系統復雜度引起的意外數據泄露：特權賬號越權訪問等；惡意攻擊手段進行數據竊?。和ㄟ^非法數據交易擾亂民生醫療、市場環境，造成惡劣影響。同時由于無法及時給數據庫打上補丁，希望能從數據庫外部進行相應的安全防護，通過一定的技術手段對數據庫的安全漏洞起到防御作用，保護沒有及時更新升級的數據庫服務器，降低數據被篡改和泄露的可能性。解決方案采購兩臺數據庫安全網關系統，分別采用旁路阻斷模式部署在業務側以及反向代理模式

50、部署在運維側。AiGate數據庫安全網關系統能實時監控網絡上的數據庫訪問行為，及時發現并阻斷可疑行為，防止來自內部和外部對數據的攻擊。通過端口掃描行為智能識別、掃描特征匹配兩方面的技術路線，智能識別黑客對數據庫漏洞的端口探測行為，同時下發阻斷策略，及時鎖定可疑用戶端，從而在黑客對數據庫的探測階段就阻斷了黑客的攻擊行為。AiGate數據庫安全網關內置的數據庫漏洞特征庫規則上千條，基本上涵蓋了主流的所有的數據庫?？梢杂行Х婪禨QL注入、緩存區溢出等漏洞，確保每個漏洞準確識別不被誤阻斷或者漏阻斷。項目價值統一訪問入口通過IP和數據庫客戶端工具識別不同科室的訪問者身份信息并設置訪問規則，在旁路阻斷設備

51、限制運維人員僅能通過反向代理的方式訪問數據庫，業務側所有訪問數據庫的流量都需要經過網關安全策略檢測后才能放行。高危操作管控運維側反向代理設備，設置高危阻斷、越權訪問告警等細粒度規則，結合分類分級的結果實現細粒度的訪問控制。運維審批通過運維審批功能，對第三方人員的運維操作進行管控，高危操作默認阻斷，只有審批通過的才能執行，從而有效防止誤操作、越權訪問、拖庫等行為。數據庫漏洞防護業務側旁路阻斷模式通過數據庫隱身和虛擬補丁功能，可以實時監控網絡上的數據庫訪問行為，及時發現并阻斷可疑的漏洞探測及攻擊行為，防止來自內部和外部對數據庫的攻擊。圖 3 4某醫院數據安全項目實踐某醫院數據安全項目實踐典型客戶案

52、例2726醫療行業解決方案 -藍皮書 -2024典型客戶案例第三章 項目背景某醫院是全國首批三級甲等醫院，醫院業務種類多，業務流量大，網絡架構相對來說比較復雜，各個業務系統之間緊密關聯，數據共享也十分頻繁，但其安全能力僅僅只能抵御業界已知的網絡攻擊行為，在IT資產風險分析方面能力不足，缺少對繞過邊界防御的攻擊威脅和新型威脅（如變種的病毒）的持續檢測能力。項目需求某醫院目前購買了不同用途的安全產品，構建了復雜的安全建設體系，但是設備之間相關日志文件無法共享，同時，醫院自身專職安全運維人員數量有限，大大增加了醫院的安全運維難度，因此針對醫院內部的資產管理，資產安全，需要通過專業的安全人員進行梳理及

53、排查，對系統進行滲透測試，漏洞掃描等安全檢測，從而針對重點資產實現重點保護，有效防止黑客的入侵。針對某醫院的安全能力建設還是局部的安全建設，缺乏體系化的安全頂層設計。根據此前部署在醫院用于測試的AiLPHA大數據分析平臺得出的安全風險報告，其中已失陷資產有96個，高風險資產數有28個，內部存在大量的安全風險和安全隱患，基于現有安全現狀，需要對內部的安全能力進行加固提升，并且通過線下人工服務以及終端殺毒來將安全問題閉環處理。解決方案項目價值提升醫院信息安全管理水平通過對全網段進行存活資產識別，端口識別技術，確保所有資產可控。通過人員安全培訓，結合項目實踐，能夠切實提高運維人員安全能力。提升安全應

54、急處置能力通過深度威脅分析報告攻擊者取證報告全局分析報告在海量的安全告警中，分析提煉出關鍵的事件給用戶決策處理，把人工不可能完成的工作任務變成輕松完成，規避了重要的安全事件不被海量告警淹沒，提高安全運維人員工作效率。提升體系化縱深聯動防御大數據智能安全發現潛在的入侵和高隱蔽性攻擊，預測即將發生的安全事件并與安全防護設備形成聯動能力，自動安全調整訪問控制策略下發至防御設備，第一時間阻斷（通過聯動防御設備進行安全阻斷，如WAF、IPS、防火墻等）攻擊者的連接，形成安全閉環，提升信息安全風險管理和應對能力。提升醫院社會及經濟價值近些年由于信息安全事件給單位帶來的社會信譽和經濟損失事件頻發，同時國家對

55、于關鍵基礎設施的保護要求越來越嚴格，通過開展信息安全態勢分析、及時發現安全事件，處理安全風險可以減少或防止信息安全事件的發生，同時也降低了造成國家關鍵基礎設施破壞和社會及經濟效益損失的可能性。某醫院網絡安全運營項目實踐某醫院網絡安全運營項目實踐通過平臺級的AiLPHA大數據產品對全網的安全產品進行統一的安全日志研判分析，安全態勢感知，安全威脅處置，安全通報預警等，構建醫院的“安全大腦”，形成更為完善的整體安全加固體系；通過大數據平臺發現已失陷資產有96個，高風險資產數有28個，醫院內部存在大量的安全風險和安全隱患，基于安全現狀，需要對內部的安全能力進行加固提升，并且通過線下人工服務以及EDR終

56、端殺毒來將安全問題閉環處理。典型客戶案例LIS/HIS/PACS/RIS/ERM態勢感知終端安全日志審計堡壘機無線控制器數據庫審計2928醫療行業解決方案 -藍皮書 -2024典型客戶案例第三章 項目背景某醫院網絡安全要素復雜，網絡安全業務需求多樣，使得該醫院在網絡安全整體建設上面臨較大困難。針對這些無論是合規還是網絡安全防護和運維的需求，都指明某醫院應構建基于大數據技術的具備智能安全分析能力的綜合安全事件管理平臺，對醫院的整體安全要素進行集中管控，將網絡安全工作由“被動防御，人工阻斷”，升級到“主動防御，自動阻斷”的新階段，為醫院信息化建設保駕護航。項目需求需根據該醫院受評的系統的真實情況和

57、具體需求，設計一套完善、全面、合規的建設方案，保證該醫院受評的系統在按照整改方案進行合規性整改后，達到網絡安全等級保護的要求。希望借助安恒的態勢感知平臺建立醫院的安全管理中心，用于集中化管理醫院內外網的整體安全態勢。項目價值 對醫院所有網絡安全行為和軌跡進行持續監控和記錄，并可以追溯到源頭，彌補傳統審計手段的不足；極大程度地方便運維人員進行安全威脅排除、攻擊鏈分析、事件溯源等；實現預警通知效果，并對其范圍、類型、危害以圖形化展示，為安全分析人員提供直觀、強大、清晰的安全威脅預警能力，以及重大問題、事件的整體性報告，為安全管理員，安全決策人員提供可靠的數據支撐；實現對醫院內外部的安全要素的體系化

58、、集中化管理能力，高標準的安全管理中心。某醫院網絡安全體系建設實踐解決方案針對某醫院現有信息平臺建設統一安全監測、預警平臺。通過將網絡內涉及的訪問流量、設備日志、應用系統日志等系統數據，進行挖掘和分析操作，實現全局安全態勢監管決策。全方面為某醫院信息系統提供立體、縱深的安全保障防御體系，保證信息系統整體的安全保護能力。通過建立安全大數據中心，采用多樣的、異構的安全資產的數據采集，對某醫院所有網絡安全行為和軌跡進行持續監控和記錄，并可以追溯到源頭，彌補傳統審計手段的不足。結合威脅情報，實現對醫院內外威脅的感知和研判，一旦發生網絡安全事件，可以對事件進行追蹤、溯源、取證，還原事件發生過程，了解事件嚴重程度和影響范圍，做出正確有力地響應，并采取防御措施。為某醫院網絡提供安全威脅分析與預警能力，為某醫院提供“集中存儲、不斷擴充”的安全分析能力。更多典型客戶上海交通大學醫學院附屬仁濟醫院某醫院網絡安全體系建設實踐典型客戶案例安恒信息 行業行銷專家部為您定制醫療行業解決方案方案咨詢