醫療資訊化建設實踐丨雲安全賦能智慧醫院構建縱深、主動防禦體系

近年來，隨著國家積極推動“網際網路+”政務的發展，醫療領域的“網際網路+醫療健康”在各醫療衛生機構中得到迅猛發展，醫療健康大資料應用愈加廣泛。在疾控、血站、婦幼、急救、衛生監督等部門的業務系統不斷增長的背景下，醫療機構面臨自建機房購置裝置投入成本大、資源有效利用率低等問題，所以雲端計算應用需求越來越高。同時，雲平臺自身的安全問題成為衛生健康資訊系統中存在的嚴重問題之一，一旦雲平臺被攻陷，將造成嚴重的經濟損失和惡劣的社會影響。

業務上雲的安全挑戰：構建安全屏障，保護重要業務系統

醫療機構在構建智慧醫院安全體系的過程中，除了著力於加強傳統的本地安全資源能力外，還引入了“雲安全”的概念，但云平臺的安全性仍亟待完善。

1、傳統安全問題仍然存在

醫療機構資訊系統具有多樣性、複雜性的特點。一方面，各衛生醫療機構把業務系統從傳統自建機房切換到雲環境上，業務本質是沒有改變的，原來的安全問題仍然存在，醫療機構需要滿足等保要求和對業務系統穩定性等要求。另一方面，資料中心的安全建設是一個持續且複雜的過程，不同醫療機構的安全防護需求、防護等級、防護措施不盡相同。

2、新的網路引入新的安全威脅

雲平臺集中了各個衛生醫療機構的資訊系統，因資料量龐大、資料價值極高等因素，極有可能成為不法分子的攻擊目標。過去，許多資料保護的加解密演算法代價較高，如何對大規模的資料採用合適的安全策略面臨較大的挑戰。此外，網路與資訊系統的邊界劃分和防護、雲主機的安全防護、租戶的安全隔離、雲內頻寬搶佔等引入了新的威脅和風險，需要逐一解決。

3、職責不明帶來的管理風險

雲平臺的安全需要雲租戶和提供商共同進行維護，這種共享責任的模型也帶來新的安全管理挑戰。服務模式的改變、部署模式的差異、雲端計算環境的複雜性都增加了界定雲服務提供方與雲租戶之間責任的難度。

建設思路：由外到內構建縱深、主動的防禦體系

綠盟科技結合醫療機構的資訊化建設特點，基於SDS 技術思想，將虛擬化安全能力資源池進行統一編排、排程和管理，透過統一的運維門戶對安全資源池的資源進行管理、分配、服務編排，從而實現對綜合能源站部署的安全資源進行統一的管理。同時，依靠運維門戶可自主控制安全服務的開通，實現對虛擬化安全裝置全生命週期的管理，控制啟動、關閉、重啟和刪除等操作。透過部署安全資源池，利用通用X86伺服器，為各資訊系統提供專業、靈活和豐富的安全防護能力。透過裝置資源池化可對上層提供多種安全能力，如IPS資源池提供入侵防護的能力，WAF資源池提供 Web 防護的能力，防火牆資源池提供訪問控制的能力。

這麼做的優點是，根據雲上資訊系統的安全需求，從資源池中找到相應資源，而不用關心物理安全裝置實際部署在哪裡，也不需要考慮網路如何劃分。資源池控制器還可以對接雲內網路裝置，實現引流的全自動化流程。當租戶下發了防護策略後把網路內流量自動按需牽引到安全資源池內做檢測和防護，為醫療機構雲資料中心構建全面的縱深安全防護體系，實現對雲資料中心的全面防護。

方案價值

醫療機構透過構建系統化的安全防禦體系，不僅滿足了國家關於資訊保安建設合規性要求，也增強了自身的安全防護能力，可抵禦各種常見的網路安全威脅。同時，該方案以業務需求為主導，構建與醫院業務需求相匹配的綜合安全防護能力，並透過落地安全管理制度，加強運維過程中的預警監測能力和應急處置工作，不斷提高醫院的抗攻擊能力。此外，該方案還透過定期培訓、應急預案演練、協同應急處置等加強相關人員的安全技能。