1、对外服务平台（网站、网络挂号、三方APP）及数据交换平台（医保、监管）等与外部网络互联的应用场景，需要进行高安全隔离。

2、外部交换应用的网络安全防护，如防止对网站的篡改，对挂号系统的入侵等。

3、对应用访问进行严格限制，只允许访问特定系统的特定端口和服务。

4、能对整网的流量进行防病毒和入侵监测。

5、对业务环境下的网络操作行为，特别是对核心数据库的操作，要能做到细粒度的合规审计，做到在发生安全事件时有据可查。

6、运维人员的对于网络设备、安全设备及对数据库等的操作行为要实现审计，对高风险、越权的操作要能实时阻断并告警。

1、网络间安全隔离

医院网络分为医疗内网和办公外网，医疗内网与外部机构通过专线或VPN进行数据交换。由于医保等外部机构和互联网属于非信任单位，依据等级保护的相关标准规定，在网络间推荐部署安盟华御安全隔离网闸，保证各安全域的隔离，同时做安全、可控的数据交换

2、互联网接入安全防护

在网站、网络挂号、第三方APP等系统与互联网之间，推荐部署安盟华御下一代防火墙。相对于传统防火墙，安盟华御下一代防火墙拥有内容过滤和入侵攻击识别等高级防护功能，来符合等级保护的相关标准规定。

在WEB应用系统（网站、网络挂号系统等）之前，推荐部署安盟华御Web应用防护系统（WAF），来拦截针对Web查询等业务应用的各类攻击行为（如CC、SQL注入等攻击），阻止针对Web系统的篡改。

在互联网应用区，推荐部署安盟华御入侵检测系统（IDS），实时监测互联网应用区的网络攻击行为和识别异常流量，来符合等级保护的相关标准规定。

3、核心系统安全防护

在医疗内网的核心业务服务区与医疗终端电脑/设备之间，推荐部署安盟华御下一代防火墙系统，按照应用类型对HIS/LIS/PACS/CIS等核心业务服务应用进行深度防护，来符合等级保护的相关标准规定。

在核心业务服务区，推荐部署安盟华御入侵检测系统和网络审计系统，记录对服务器所作的任何访问会话记录，依据智能安全分析引擎依据相应的匹配模型，发现入侵行为并记录或阻止，来符合等级保护的相关标准规定。

在核心业务服务区，推荐部署数据库审计系统，针对数据库系统等登录的操作进行详细的审计，包括登录者输入的各种SQL命令、操作结果等，来符合等级保护的相关标准规定。

4、运维授权和审计

在医疗内网，推荐部署安盟华御运维堡垒机，对核心业务服务区的服务器/交换机/安全产品进行运维操作的全部行为动作，进行认证、授权、审计。做到事先授权鉴别，事中监测管控，事后审计告警，解决账号滥用、第三方维护人员越权、运维误操作等运维安全问题，来符合等级保护的相关标准规定 。

在核心业务服务区前的防火墙中设定，只有堡垒机发起的运维操作行为才被允许，拒绝并记录其他全部操作。

5、上网行为管控审计

在办公外网的网络出口处，推荐部署安盟华御上网行为管理系统，对医院上网的终端行为进行日志记录并审计，满足了公安部82号令的要求同时也满足了《网络安全法》中对提供互联网访问的场所需要审计记录的相关规定要求。