四川大学华西医院网络安全解决方案

痛点和需求

1、华西医院目前存在多个互联网出口，在来自互联网的各类攻击层出不穷的背景下，华西医院面临的安全风险亦远高于同行业其他医院。目前，传统防火墙无法满足网络高速发展带来的网络安全防护需求，传统的基于 IP/ 端口的识别策略无法精确管理网络安全问题，包括DDoS 攻击、0Day 漏洞等安全隐患。同时采用 IPS、WAF 设备串联接入网络中不仅存在投入高、存在单点故障以及可能存在性能瓶颈的问题，并且也存在容易被黑客 逐一攻破，无法构建完整的联动防御体系的问题。

2、医院数据中心中承载了 HIS、LIS、PACS 等重要业务系统，同时医院内网中内部存在众多终端。作为与互联 网“数据交换”的重要节点，终端目前已经成为黑客的战略攻击要点。据统计有 80% 的安全事件来自于终端，因此医院需要建立一个入侵防御机制和终端安全检测机制，能够有效防御针对漏洞的攻击、钓鱼软件、僵木蠕等。

3、目前医院未提供有效的网络流量管控手段，存在带宽分配不合理、使用效率不高的问题。同时根据《网络安全法》以及等级保护 2.0中要求，医院亟需建立一套高效可行的机制对内部人员的上网行为进行管控及记录。

4、医务人员在外出差时需要接入医院内部的系统，存在接入终端种类多、安全规则不一致的问题。同时根据等级保护 2.0 中安全审计的相关要求，对于远程接入的用户的行为需要单独审计。因此医院需要建立一个安全的、可控的供远程接入的系统。

5、为响应国家政策，进一步在“互联网医疗领域”探索创新，四川大学华西医院互联网医院于 2018 年 12 月 29 日试运行上线。华西医院目前有200余个Web 业务系统，涉及互联网医院 APP、门户网站、公众号等业务，需要统一的、可视的安全防护。同时由于业务系统具有用户访问量大、安全性与可用性要求高的特点，医院需要对 访问日志、安全日志进行留存分析与安全威胁一键告警以及对业务系统的可用性及安全性进行持续地检测。

解决之道

·通过在医院多个网络边界出口部署深信服下一代防火墙， 满足用户对互联网出口进行防御，包括入侵防御系统、僵尸网络检测、Web 应用防护的需求。通过在办公网出口部 署上网行为管理设备，实现对出口流量的智能流控，有效保障内网用户的上网体验的需求，同时能够审计医院有线和无线 WiFi 的所有上网行为，满足公安82号令的相关要求。

·针对华西医院的云端业务，通过采购深信服安全 SaaS 平台上的云眼和云盾组件，将线上和线下安全专家的专业能力进行融合，以“SaaS+ 线上专家”值守的方式为医疗用 户的互联网业务构建一套持续评估、持续加固、主动响应 的闭环安全 SaaS 服务体系，保障业务安全稳定运行，并 以全程可视的方式让用户随时随地掌握安全状况。

方案价值

·深信服等级保护 2.0 解决方案从用户实际需求出发，为用户设计最符合用户需求的安全解决方案。通过深信服十多年以来在网络安全行业积累的技术优势，利用深信服下一 代防火墙、上网行为管理等安全产品，为用户搭建完整的 L2-L7 层安全防御体系，满足用户对安全接入、威胁检测和防御、流量管理、日志审计等多维度的安全需求。帮助用户更好地拥抱“互联网 +”，利用互联网来更好地为自身业务发展服务。安全 SaaS 产品具有“发生即发现，发现即处置”的特点，通过对业务系统持续评估，以及安全专家托管业务，持续分析威胁，动态优化策略，在线完成攻击对抗，保障业务的安全防护状态保持在最优状态。

·同时方案的设计和规划，满足《网络安全法》和等级保护 2.0 相关安全要求，让医院的安全建设合法合规。