1、博学博爱医院信息安全建设探索与实践仁心仁术2019年3月21日123信息安全介绍目录医院信息安全介绍CONTENTS探索总结博学博爱01仁心仁术(一)信息安全定义博学博爱信息完整性仁心仁术信息保密性信息真实性信息安全信息可控制下性所寄生系统的安全性(二)特点博学博爱 真实性:对信息的来源进行判断,能对伪造来源的信息予以鉴别。保密性:保证机密信息不被窃听,或窃听者不能了解信息的真实含义。完整性:保证数据的一致性,防止数据被非法用户篡改。未授权拷贝性:对信息的传播及内容具有控制能力。所寄生系统的安全性:信息系统软硬件持续服务能力。仁心仁术博学博爱02仁心仁术(一)医院信息安全策略博学博爱医院网络医
2、院网络分为三个区域,各区域边界设置了防火墙,区域之间再通过防火墙隔离,不同品牌的防火墙混合使用,最大限度保障网络安全;对各区域之间的业务互访设定了严密的访问控制策略,开启日志记录功能,能实时查询应用访问流量。院内安装了态势感知、卡巴斯基KATA反目标攻击平台、SkyGuard安全平台、瑞数应用保护平台、WAF防火墙、入网规范管理平台等安全系统。仁心仁术(二)网络安全拓扑图医院网络分为三个区域,每个区域有单独的边界防火墙,区域之间再通过防火墙隔离;各区域之间应用访问通过防火墙控制。博学博爱仁心仁术(三)内网安全防护策略博学博爱内网边界防火墙卡巴斯基杀毒软件客户端卡巴斯基kata反目标攻击平台IP
3、-guard安全管理系统仁心仁术漏洞扫描系统数据库审计系统静态分配IP地址,并在交换机端口上进行IP地址、MAC地址绑定。博学博爱仁心仁术内网边界防火墙控制医院内网应用到DMZ区及社保局、卫生局的安全访问策略,保护内网系统数据安全。博学博爱院内所有内网服务器及PC客户端都必须安装卡巴斯基杀毒软件。卡巴斯基杀毒软件的病毒查杀和防护功能能有效防止电脑客户端被病毒感染。仁心仁术博学博爱仁心仁术卡巴斯基K ATA反目标攻击平台通过采集内、外网核心交换机上的镜像数据,分析网络中是否存在网络攻击及病毒传播。博学博爱仁心仁术IP-guard安全管理系统能控制外接设备接入及对内网电脑进行补丁更新,通过禁止US
4、B存储设备等功能来防止病毒传染及数据泄露。IP-guard的补丁更新功能修补电脑系统漏洞,降低电脑客户端被入侵的风险。博学博爱仁心仁术隔离防火墙同时连接内网、外网、DMZ区,进一步控制内网到DMZ区、外网到DMZ区应用的安全访问,通过虚拟网线隔离内网到外网的互访。博学博爱仁心仁术DMZ边界防火墙控制着DMZ区业务的访问,使DMZ区到内网和外网都经过三层防火墙保护,严格控制内网数据的流动。(四)外网安全防护策略博学博爱WAF防火墙瑞数动态web防护系统外网边界防火墙态势感知系统天空卫士防泄密软件入网规范管理系统仁心仁术博学博爱仁心仁术WAF防火墙通过执行一系列针对HTTP/HTTPS的安全策略来
5、专门为web应用提供防护,能实时监控医院web应用的流量,保护web应用的安全。博学博爱仁心仁术瑞数动态web防护系统通过对web应用发布端口的监控,进一步保护web系统的安全。博学博爱仁心仁术态势感知系统通过在各个区域安装探针,实时监控各区域交换机流量,监控分析网络中存在各种风险,并且可以通过大屏投放实时监控。博学博爱仁心仁术态势感知系统通过在各个区域安装探针,实时监控各区域交换机流量,监控分析网络中存在各种风险,并且可以通过大屏投放实时监控。博学博爱仁心仁术智象运维管理平台分为资产管理平台和工单管理平台两部分。资产管理平台能添加管理医院服务器、网络、PC客户端、存储设备等信息资产,能实时监
6、控所有设备的网络运行、设备资源等使用情况。工单管理系统可以记录报障电话,并以工单的方式下发到微信公众号,让工程师通过手机接单处理故障,并能全程监控故障处理进度。博学博爱仁心仁术(五)其他安全防护措施博院内所有电脑都是通过静态分配IP地址,而且在 学交换机端口绑定了客户端的IP地址和MAC地址,并手动关闭了交换机的空置端口,能有效的限制非法客户端的接入。博爱电脑服务器仁1、为避免服务器更新补丁导致蓝屏,手动将服务器135、137、138、心端口仁139、445等高危端口关闭。2、修改服务器管理员账户的默认 术用户名和远程桌面管理的默认端口号。所有服务器申请、网络接入等都要提交申请单,严格按照相关流程进行审核,通过批准才能进行操作。博学博爱03仁心仁术探索总结博学博爱医院信息化安全建设是一项持续性的工作,需要安全运维人员不断的与时俱进,及时的更新补漏补缺。认真做好日常维护工作,发现漏洞及时处理,才能防范于未然!仁心仁术博学博爱仁心仁术
