背景

近年來，隨著醫(yī)療衛(wèi)生系統(tǒng)信息化程度的不斷提高，全國范圍基層醫(yī)療衛(wèi)生機(jī)構(gòu)的信息系統(tǒng)建設(shè)正在如火如荼開展。在這種背景下，貴州省衛(wèi)生廳為提高全省的基層醫(yī)療服務(wù)水平，進(jìn)一步挖掘新農(nóng)合、醫(yī)藥、藥監(jiān)等系統(tǒng)的功能和價(jià)值，依據(jù)國家已頒布的衛(wèi)生信息系統(tǒng)建設(shè)相關(guān)標(biāo)準(zhǔn)與規(guī)范并結(jié)合本省具體情況，將建設(shè)貴州省基層醫(yī)療衛(wèi)生機(jī)構(gòu)信息系統(tǒng)項(xiàng)目，從而實(shí)現(xiàn)與新農(nóng)合、醫(yī)保、藥監(jiān)等系統(tǒng)的有效銜接。

該項(xiàng)目主要針對(duì)貴州全省近2萬個(gè)基層醫(yī)療衛(wèi)生機(jī)構(gòu)建設(shè)一套服務(wù)于醫(yī)療衛(wèi)生機(jī)構(gòu)內(nèi)部生產(chǎn)和管理的信息化系統(tǒng)，同時(shí)要求該系統(tǒng)在安全設(shè)計(jì)上符合國家政務(wù)網(wǎng)絡(luò)信息化安全發(fā)展的整體戰(zhàn)略和要求。在該項(xiàng)目中，天融信公司NGFW系列防火墻產(chǎn)品將為1700多個(gè)鄉(xiāng)鎮(zhèn)基層醫(yī)療衛(wèi)生機(jī)構(gòu)實(shí)現(xiàn)邊界接入與安全防護(hù)需求。

需求

1、 針對(duì)基層醫(yī)療衛(wèi)生機(jī)構(gòu)地域范圍廣、鏈路接入情況復(fù)雜以及機(jī)構(gòu)規(guī)模大小不均等特點(diǎn)，需要通過專業(yè)技術(shù)手段實(shí)現(xiàn)邊界安全接入需求，保證數(shù)據(jù)通訊過程的保密性與完整性;

2、 針對(duì)日益嚴(yán)重的邊界安全威脅，如：網(wǎng)絡(luò)攻擊、病毒、木馬等，需要通過專業(yè)的安全防護(hù)手段加以控制，全力保障基層醫(yī)療信息系統(tǒng)安全、穩(wěn)定運(yùn)行;

3、 針對(duì)基層醫(yī)療衛(wèi)生機(jī)構(gòu)內(nèi)未設(shè)置專門的信息系統(tǒng)維護(hù)崗位，缺乏專業(yè)的運(yùn)維保障與支撐，所有部署在鄉(xiāng)鎮(zhèn)基層醫(yī)療衛(wèi)生機(jī)構(gòu)的邊界網(wǎng)關(guān)設(shè)備需要提供統(tǒng)一的管理手段，從而提升全局網(wǎng)絡(luò)與安全管控質(zhì)量;

整體網(wǎng)絡(luò)結(jié)構(gòu)如下：

方案

根據(jù)上述需求，同時(shí)依據(jù)國家相關(guān)標(biāo)準(zhǔn)與規(guī)范，天融信針對(duì)基層醫(yī)療衛(wèi)生機(jī)構(gòu)的邊界安全解決方案從邊界接入、邊界防護(hù)與安全管控三方面入手，為貴州省基層醫(yī)療衛(wèi)生機(jī)構(gòu)提供了一套全方位的安全防護(hù)與管控解決方案，具體如下：

1、 鄉(xiāng)鎮(zhèn)醫(yī)療機(jī)構(gòu)(衛(wèi)生院)以天融信防火墻作為邊界接入網(wǎng)關(guān)同時(shí)連接衛(wèi)生專網(wǎng)與互聯(lián)網(wǎng)，同時(shí)，通過互聯(lián)網(wǎng)與省中心建立IPSEC VPN隧道，從而形成“VPN專網(wǎng)”，用于實(shí)現(xiàn)對(duì)衛(wèi)生專網(wǎng)的專網(wǎng)鏈路備份設(shè)計(jì)。其中，互連網(wǎng)接入鏈路根據(jù)不同區(qū)域的網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)情況，可以為專線接入或ADSL撥號(hào)接入方式;

2、 在實(shí)現(xiàn)了網(wǎng)絡(luò)安全接入的基礎(chǔ)上，通過防火墻的訪問控制引擎來阻止源自外部網(wǎng)絡(luò)的非法訪問與網(wǎng)絡(luò)層攻擊行為，而入侵防御引擎與防病毒引擎則對(duì)應(yīng)用層攻擊、惡意代碼與蠕蟲木馬等安全威脅實(shí)現(xiàn)了細(xì)粒度的檢測與防護(hù)。同時(shí)，通過應(yīng)用識(shí)別引擎對(duì)鄉(xiāng)鎮(zhèn)醫(yī)療機(jī)構(gòu)內(nèi)網(wǎng)還提供了全面的應(yīng)用層管控機(jī)制。一系列的安全防護(hù)手段確保了信息系統(tǒng)在與新農(nóng)合、醫(yī)保、藥監(jiān)等多機(jī)構(gòu)之間的業(yè)務(wù)通訊安全;

3、 該項(xiàng)目設(shè)備數(shù)量眾多、地理位置分布廣闊、缺乏專業(yè)的節(jié)點(diǎn)運(yùn)維保障，從而給網(wǎng)絡(luò)管理工作提出了巨大挑戰(zhàn)，同時(shí)，安全風(fēng)險(xiǎn)也很難得以及時(shí)、有效的控制。為解決該問題，在天融信的解決方案中，通過在省級(jí)云平臺(tái)部署TopPolicy統(tǒng)一安全策略管理平臺(tái)實(shí)現(xiàn)對(duì)全網(wǎng)設(shè)備的統(tǒng)一管理與監(jiān)控，消除整套系統(tǒng)中各個(gè)防火墻設(shè)備在安全防護(hù)功能上的“安全孤島”，實(shí)現(xiàn)了網(wǎng)絡(luò)狀態(tài)與安全風(fēng)險(xiǎn)的雙可控。除此以外，通過TopPolicy的智能策略部署機(jī)制，實(shí)現(xiàn)對(duì)全網(wǎng)防火墻設(shè)備安全策略的動(dòng)態(tài)統(tǒng)一下發(fā)，在簡化了系統(tǒng)運(yùn)維工作的同時(shí)，構(gòu)建了有效的安全防護(hù)體系;

方案示意圖如下：

價(jià)值

通過部署天融信NGFW下一代防火墻，不僅實(shí)現(xiàn)了鄉(xiāng)鎮(zhèn)基層衛(wèi)生醫(yī)療機(jī)構(gòu)從網(wǎng)絡(luò)層到應(yīng)用層全方位的安全防護(hù)需求，還實(shí)現(xiàn)了衛(wèi)生專網(wǎng)與“VPN專網(wǎng)”雙備份方式的邊界安全接入需求，同時(shí)，通過TopPolicy對(duì)全網(wǎng)設(shè)備進(jìn)行集中管控，降低了整體運(yùn)維開銷。

另外，項(xiàng)目中所使用的是天融信針對(duì)小型辦公網(wǎng)絡(luò)環(huán)境設(shè)計(jì)并開發(fā)的低功耗、全功能可擴(kuò)展防火墻產(chǎn)品。產(chǎn)品具有12個(gè)千兆以太網(wǎng)接口，可擴(kuò)展支持IPS、防病毒等功能。在小型網(wǎng)絡(luò)環(huán)境中，可完全替代路由器、交換機(jī)與VPN等設(shè)備，從而為醫(yī)療、財(cái)政等領(lǐng)域的基層站所提供了一套具有較高性價(jià)比的網(wǎng)絡(luò)接入與安全防護(hù)一體化解決方案!