一家三甲醫院，需要部署哪些網路安全裝置？

2024-03-17碼農

弱電學習圈VIP群8群已經建立 ，歡迎大家進群後討論技術問題，設計方案，投標、施工，工程合作，產品對接等方面，都可以。其中 VIP群 裏大部份人員都是工程商，施工分包商，設計院設計師，公司老板，技術總監、廠家、甲方等。

導讀： 隨著資訊化建設的不斷發展，資訊系統在三甲醫院中的角色也越來越重要，其所面臨的安全挑戰也不斷湧現，患者私密泄露、掛號系統中斷以及木馬病毒攻擊直接威脅到醫院執行秩序和資訊系統安全。

為進一步做好醫院資訊保安保護工作，衛生部曾下發【衛生行業資訊保安等級保護工作的指導意見】的通知，通知明確了三甲醫院的核心業務系統應按照資訊保安等級保護第三級進行建設和保護。

根據2018年4月國家衛生健康委員會規劃與資訊司、國家衛生健康委員會統計資訊中心所頒布的【全國醫院資訊化建設標準（試行）】中的各項條例，各等級的醫院應當部署完善的資訊化基礎裝置。其中部份是推薦要求，部份為強制要求。

以下是對三甲醫院所需網路安全裝置進行單獨解析，供大家參考。

WEB防火墻

WEB網站存取防護專用安全裝置，具備WEB存取控制、WEB網路數據分析等基本功能。

具備對SQL註入、跨站、掃描器掃描、資訊泄露、檔傳輸攻擊、作業系統命令註入、目錄遍歷、異常發現、webshell攻擊檢測、盜鏈行為、拒絕服務攻擊防護、網頁防篡改、身份認證、日誌審計等14項安全功能。

三級乙等醫院WEB防火墻，應具備以上所述的9項功能。

三級甲等醫院WEB防火墻，應具備以上所述的12項功能。

資料庫防火墻

①具備資料庫審計、資料庫存取控制、資料庫存取檢測與過濾、資料庫服務發現、脫敏數據發現、資料庫狀態和效能監控、資料庫管理員特權管控等功能。

②支持橋接、閘道器和混合接入方式，基於安全等級標記的存取控制策略和雙機熱備功能，保障連續服務能力。

三級乙等醫院應滿足上述①要求

三級甲等醫院應滿足上述①②要求

網路防火墻

網路邊界防護和存取控制的專用裝置。

①具備存取控制、入侵防禦、病毒防禦、套用辨識、WEB防護、負載均衡、流量管控、身份認證、數據防泄露等9項功能。

②支持區域存取控制、封包存取控制（例如基於IP、埠、網路協定存取的封包）、會話存取控制、資訊內容過濾存取控制、套用辨識存取控制等5種存取控制型別。

三級乙等醫院網路防火墻具備以上3項功能、支持3種存取控制型別。

三級甲等醫院，同上。

網路安全審計

記錄網路行為並進行審計和異常行為發現的專用安全裝置。

①對網路系統中的網路裝置執行狀況、網路流量、使用者行為等進行日誌記錄。

②審計記錄包括事件的時間和日期、使用者、事件型別、事件是否成功及其它與審計相關的資訊。

③能夠對記錄數據進行分析，生成審計報表。

三級乙等醫院安全審計裝置需滿足上述①②③要求

三級甲等醫院，同上。

資料庫審計

①具備資料庫操作記錄的查詢、保護、備份、分析、審計、即時監控、風險報警和操作過程回放等功能。

②支持監控中心報警、簡訊報警、信件報警、Syslog報警等報警方式。

三級乙等醫院資料庫審計需滿足上述①②要求

三級甲等醫院，同上。

運維審計

①具備資源授權、運維監控、運維操作審計、審計報表、違規操作即時告警與阻斷、會話審計與回放等功能。

②支持基於使用者、運維協定、目標主機、運維時間段（年、月、日、時間）等授權策略組合。

③支持運維使用者、運維客戶端地址、資源地址、協定、開始時間等即時監控資訊項。

三級乙等醫院資料庫審計需滿足上述①②③要求

三級甲等醫院，同上。

主機安全審計

①支持重要使用者行為、系統資源的異常使用和重要系統命令的使用等系統內重要事件審計。

②支持記錄事件的日期、時間、型別、主體標識、客體標識和結果等。

三級乙等醫院資料庫審計需滿足上述①②要求

三級甲等醫院，同上。

入侵防禦裝置

①具備深層檢測、內容辨識、即時偵測、主動防禦、無線攻擊防禦、抗拒絕服務、日誌審計、身份認證等9項功能。

②支持攻擊行為記錄（包括攻擊源IP、攻擊型別、攻擊目的、攻擊時間等）、協定分析、模式辨識、異常流量監視、統計閥值、即時阻斷攻擊等6種入侵防禦技術。

③支持流量檢測與清洗（流量型DDoS攻擊防禦、套用型DDoS攻擊防禦、DoS攻擊防禦、非法協定攻擊防禦、常用攻擊工具防禦等）、流量牽引和回註等2種抗拒絕服務技術。

三級乙等醫院入侵防禦裝置應具備4項功能、支持3種入侵防禦技術、支持2種抗拒絕服務技術。

三級甲等醫院同上。

防病毒閘道器裝置

①具備病毒過濾、內容過濾、反垃圾信件、日誌審計、身份認證、高可用等 6 項功能。

②支持流防毒、檔型防毒、常用協定埠病毒掃描、IPv4 和 IPv6 雙協定棧的病毒過濾、病毒隔離等 5 種病毒過濾方法。

三級乙等醫院具備5項功能。支持4種病毒過濾方法。

三級甲等醫院同上。

上網行為管理

①具備上網人員管理、上網瀏覽管理、上網外發管理、上網套用管理、上網流量管理、上網行為分析、上網私密保護、風險集中告警等 8 項功能。

②支持 IP/MAC 辨識方式、使用者名稱/密碼認證方式、與已有認證系統的聯合單點登入方式等 3 種上網人員身份管理方式。

③支持對主流即時通訊軟體外發內容的關鍵字辨識、記錄、阻斷等 3 項操作。

三級乙等醫院具備5項功能、支持2種身份管理方式、外發內容管理支持2項操作。

三級甲等醫院具備6項功能、支持2種身份管理方式、外發內容管理支持3項操作。

統一安全管理

對醫院各類網路安全安全事件的監控、分析和管理的資訊系統。

①具備資產管理、資產風險管理、網路安全事件采集、網路安全事件分析、網路安全事件分析模型、即時安全監測、分析結果視覺化、安全營運決策和處置服務等 8 項功能。

②基於數據分析模型，支持表格、指示燈、3D 圖表、雷達圖、拓撲圖、熱度圖等6種視覺化結果展示方式。

三級乙等醫院推薦要求

三級甲等醫院具備6項功能、支持4種視覺化展示方式。

由於必須部署裝置數量較多，及文章篇幅問題，對其余網路安全裝置做以下歸類。

必須部署：

主機惡意程式碼防範、網頁防篡改、統一身份管理、電子認證服務、使用者身份鑒別、個人私密保護、網路裝置身份鑒別、主機身份鑒別、日誌審計系統、電子資訊鑒別、客戶端終端認證、虛擬私人網路絡客戶端管理、桌面終端安全管理、行動終端安全管理、移動儲存介質管理、單向網閘、雙向網閘、虛擬私人網路絡裝置、流量控制、安全策略管理、網路裝置管理

推薦部署：

漏洞掃描裝置、WEB漏洞掃描裝置、網路防泄露裝置、儲存數據防泄露裝置、資料庫加密裝置、信件加密裝置、網路準入控制裝置、網路安全入侵防範、主機入侵防範、虛擬化安全防護、文件安全管理、資產風險管理、生物資訊鑒別、安U槽、移動儲存介質、加密機裝置、廣域網路加速裝置、鏈路負載均衡裝置

以上所列出的裝置中，功能方面會出現重復的狀況，例如WEB防火墻中包含網頁防篡改，則一台裝置就可解決兩種需求，但具體如何實施得看計畫。

最近弱電社群資料更新情況：

11、智慧酒店整體解決方案！

12、智慧小區整體解決方案！

13、智慧酒店配置清單（五星級，千萬級）

14、弱電系統常用visio圖示，可幫助快速設計系統拓撲圖！

15、弱電計畫經理常用表格！

16、弱電新人培訓計劃！

17、PON技術交流！

18、弱電系統維保方案以及維保合約範本，可作為工程商使用樣版！