1、博学博爱仁心仁术博学博爱仁心仁术医院信息安全建设探索与实践2019年3月21日博博学学博博爱爱仁仁心心仁仁术术1信息安全介绍2医院信息安全介绍3探索总结目录 CONTENTS博博学学博博爱爱仁仁心心仁仁术术01博博学学博博爱爱仁仁心心仁仁术术（一）信息安全定义信息安全信息安全信息完信息完整性整性信息真信息真实性实性所寄生所寄生系统的系统的安全性安全性信息可信息可控制下控制下性性信息保信息保密性密性博博学学博博爱爱仁仁心心仁仁术术（二）特点 真实性：对信息的来源进行判断，能对伪造来源的信息予以鉴别真实性：对信息的来源进行判断，能对伪造来源的信息予以鉴别。保密性：保证机密信息不被窃听，或窃听者不能

2、了解信息的真实保密性：保证机密信息不被窃听，或窃听者不能了解信息的真实含义。含义。完整性：保证数据的一致性，防止数据被非法用户篡改。完整性：保证数据的一致性，防止数据被非法用户篡改。未授权拷贝性：对信息的传播及内容具有控制能力未授权拷贝性：对信息的传播及内容具有控制能力。所寄生系统的安全性：信息系统软硬件持续服务能力所寄生系统的安全性：信息系统软硬件持续服务能力。博博学学博博爱爱仁仁心心仁仁术术02博博学学博博爱爱仁仁心心仁仁术术（一）医院信息安全策略医院网络 医院网络分为三个区域，各区域边界设置了防火墙，区域之间再通过防火墙隔离，不同品牌的防火墙混合使用，最大限度保障网络安全；对各区域之间的

3、业务互访设定了严密的访问控制策略，开启日志记录功能，能实时查询应用访问流量。院内安装了态势感知、卡巴斯基KATA反目标攻击平台、SkyGuard安全平台、瑞数应用保护平台、WAF防火墙、入网规范管理平台等安全系统。博博学学博博爱爱仁仁心心仁仁术术（二）网络安全拓扑图医院网络分为三个区域，每个区域有单独的边医院网络分为三个区域，每个区域有单独的边界防火墙，区域之间再通过防火墙隔离；各区界防火墙，区域之间再通过防火墙隔离；各区域之间应用访问通过防火墙控制。域之间应用访问通过防火墙控制。博博学学博博爱爱仁仁心心仁仁术术（三）内网安全防护策略内网边界防火墙卡巴斯基杀毒软件客户端卡巴斯基kata反目标攻

4、击平台IP-guard安全管理系统漏洞扫描系统数据库审计系统静态分配IP地址，并在交换机端口上进行IP地址、MAC地址绑定。博博学学博博爱爱仁仁心心仁仁术术内网边界防火墙控制医院内网应用到内网边界防火墙控制医院内网应用到DMZ区及社保局、卫区及社保局、卫生局的安全访问策略，保护内网系统数据安全。生局的安全访问策略，保护内网系统数据安全。博博学学博博爱爱仁仁心心仁仁术术院内所有内网服务器及院内所有内网服务器及PC客户端都必须安客户端都必须安装卡巴斯基杀毒软件。卡巴斯基杀毒软件装卡巴斯基杀毒软件。卡巴斯基杀毒软件的病毒查杀和防护功能能有效防止电脑客的病毒查杀和防护功能能有效防止电脑客户端被病毒感染

5、。户端被病毒感染。博博学学博博爱爱仁仁心心仁仁术术卡巴斯基卡巴斯基KATA反目标攻击平台通过采集内、外网核心交换机反目标攻击平台通过采集内、外网核心交换机上的镜像数据，分析网络中是否存在网络攻击及病毒传播。上的镜像数据，分析网络中是否存在网络攻击及病毒传播。博博学学博博爱爱仁仁心心仁仁术术IP-guard安全管理系统能控制外接设备接入安全管理系统能控制外接设备接入及对内网电脑进行补丁更新，通过禁止及对内网电脑进行补丁更新，通过禁止USB存储设备等功能来防止病毒传染及数据泄露存储设备等功能来防止病毒传染及数据泄露。IP-guard的补丁更新功能修补电脑系统漏的补丁更新功能修补电脑系统漏洞，降低电

6、脑客户端被入侵的风险。洞，降低电脑客户端被入侵的风险。博博学学博博爱爱仁仁心心仁仁术术隔离防火墙同时连接内网、外网、隔离防火墙同时连接内网、外网、DMZ区，进一步控制内网到区，进一步控制内网到DMZ区、外网到区、外网到DMZ区应用的安全访问，通过虚拟网线隔离内网到外网的互访。区应用的安全访问，通过虚拟网线隔离内网到外网的互访。博博学学博博爱爱仁仁心心仁仁术术DMZ边界防火墙控制着边界防火墙控制着DMZ区业务的访问，使区业务的访问，使DMZ区到内网区到内网和外网都经过三层防火墙保护，严格控制内网数据的流动。和外网都经过三层防火墙保护，严格控制内网数据的流动。博博学学博博爱爱仁仁心心仁仁术术（四）

7、外网安全防护策略WAF防火墙瑞数动态web防护系统外网边界防火墙态势感知系统天空卫士防泄密软件入网规范管理系统博博学学博博爱爱仁仁心心仁仁术术WAF防火墙通过执行一系列针对防火墙通过执行一系列针对HTTP/HTTPS的安全策略来专门为的安全策略来专门为web应用应用提供防护，能实时监控医院提供防护，能实时监控医院web应用的流量，保护应用的流量，保护web应用的安全。应用的安全。博博学学博博爱爱仁仁心心仁仁术术瑞数动态瑞数动态web防护系统通过对防护系统通过对web应用发布端口的监控，应用发布端口的监控，进一步保护进一步保护web系统的安全。系统的安全。博博学学博博爱爱仁仁心心仁仁术术态势感知

8、系统通过在各个区域安装探针，实时监控各区域交换机流量态势感知系统通过在各个区域安装探针，实时监控各区域交换机流量，监控分析网络中存在各种风险，并且可以通过大屏投放实时监控。，监控分析网络中存在各种风险，并且可以通过大屏投放实时监控。博博学学博博爱爱仁仁心心仁仁术术态势感知系统通过在各个区域安装探针，实时监控各区域交换机流量，态势感知系统通过在各个区域安装探针，实时监控各区域交换机流量，监控分析网络中存在各种风险，并且可以通过大屏投放实时监控。监控分析网络中存在各种风险，并且可以通过大屏投放实时监控。博博学学博博爱爱仁仁心心仁仁术术智象运维管理平台分为资产管理平台和工单管理平台两部分。资产管理平

9、台能智象运维管理平台分为资产管理平台和工单管理平台两部分。资产管理平台能添加管理医院服务器、网络、添加管理医院服务器、网络、PC客户端、存储设备等信息资产，能实时监控所客户端、存储设备等信息资产，能实时监控所有设备的网络运行、设备资源等使用情况。工单管理系统可以记录报障电话，有设备的网络运行、设备资源等使用情况。工单管理系统可以记录报障电话，并以工单的方式下发到微信公众号，让工程师通过手机接单处理故障，并能全并以工单的方式下发到微信公众号，让工程师通过手机接单处理故障，并能全程监控故障处理进度。程监控故障处理进度。博博学学博博爱爱仁仁心心仁仁术术博博学学博博爱爱仁仁心心仁仁术术（五）其他安全防

10、护措施端口服务器电脑院内所有电脑都是通过静态分配IP地址，而且在交换机端口绑定了客户端的IP地址和MAC地址，并手动关闭了交换机的空置端口，能有效的限制非法客户端的接入。所有服务器申请、网络接入等都要提交申请单，严格按照相关流程进行审核，通过批准才能进行操作。1、为避免服务器更新补丁导致蓝屏，手动将服务器135、137、138、139、445等高危端口关闭。2、修改服务器管理员账户的默认用户名和远程桌面管理的默认端口号。博博学学博博爱爱仁仁心心仁仁术术03博博学学博博爱爱仁仁心心仁仁术术探索总结 医院信息化安全建设是一项持续性的工作，需要安全运维人员不断的与时俱进，及时的更新补漏补缺。认真做好日常维护工作，发现漏洞及时处理，才能防范于未然！博博学学博博爱爱仁仁心心仁仁术术