医院网络安全等级保护解决方案 _纵深防御丨医院网络安全等保合规建设与安全加固实践

2025-05-30

纵深防御丨医院网络安全等保合规建设与安全加固实践

》》背景概述《《

医院是集医疗、教学、科研、急救、保健于一体的综合性机构，随着医院规模的不断扩大，医院工作的开展对信息系统的依赖性越来越强，信息系统越来越庞大，各业务系统关联性越来越复杂。信息化的快速发展使得医院信息系统网络安全问题日益凸显，例如核心数据泄密的等安全隐患层出不穷，在利益的驱使下非法统方、网络攻击、勒索病毒入侵行为时有发生，严重影响了医院的公众形象，也严重损害了患者的利益。

2018年，国家卫生健康委发布《关于印发全国医院信息化建设标准与规范（试行）的通知》（国卫办规划发〔2018〕4号），其中对二级、三级乙等和三级甲等医院提出了网络安全要求。医院需根据自身情况贯彻落实行业政策及等级保护相关要求，提高自身网络安全整体防御能力，保障医院信息化系统安全稳定运行。

》》需求分析《《
01/ 通信网络安全需求
“互联网+医疗”的发展和医疗行业信息化建设的不断推进将导致医院网络必须与互联网连接，而互联网是网络入侵者攻击医院信息系统的渠道和通路，存在极大的安全风险，例如黑客入侵攻击、非法访问和越权访问、信息窃密和篡改、病毒泛滥和蔓延、非法软件和恶意代码等。为保障医院内部信息系统的安全，需要根据医院网络特点，划分不同网络区域，各区域实施合理的安全措施。

02/ 区域边界安全需求
目前医院存在对外服务（网站、网络挂号、三方APP）及数据交换（医院与医保、监管单位）等的业务需求，对外服务的互联网接入及数据交换的外联接入都可能引入外部威胁，因此需加强医院互联网边界防护、内网隔离防护、数据入侵行为告警、网络准入控制的能力，防范因连接互联网或外联数据交换而引入的信息安全风险。

03/ 计算环境安全需求
医院内部有大量办公终端、数据库及HIS、LIS、PACS、EMR等应用服务器，极易受到勒索病毒感染，导致医院患者数据、诊断数据及其他重要数据被恶意加密和损坏。同时医院存在利用数据库统方建立医药回扣灰色产业链的情况，严重损害医院和患者的切身利益，需通过细粒度审计手段防止违规统方行为发生，满足监管单位防统方的政策要求。

04/ 集中安全管理需求
医院信息系统、终端电脑、网络设备、安全设备资产体量巨大，如此规模的系统，安全管理面临前所未有的挑战，急需通过技术和管理手段强化对这些资产进行的有效监控和集中安全管理。

》》解决方案《《
医院网络等级保护建设的核心内容是建立、健全技术体系及管理体系，形成符合医院需求的网络安全防护体系，提供持续覆盖医院信息化业务的整体安全防护能力。

医院网络安全等级保护拓扑示意图

01/ 医院网络安全技术体系

通信网络安全设计
针对医院的网络架构特点及相关标准规范要求，将医院网络划分为外网区、内网区、外联区。外网区包括网络出口域、DMZ域，办公接入域、安全管理域。内网区包括服务域、核心交换域、安全管理域、办公接入域。外联区包括医保专线、其他专线等。

区域边界安全设计
网络出口域部署防火墙，开启防病毒、IPS等安全模块，接入互联网对外提供服务。DMZ域边界部署WAF，有效的阻断针对预约挂号、医院网站等服务器的恶意攻击，保障对外业务系统的运行连续性和完整性。外网区、内网区各子域分别部署防火墙，设置细粒度访问控制规则，最小化权限限制数据流向。

外网区和内网区、内网区和外联区之间部署网闸，保证高安全隔离的前提下，实现可控数据交换。部署网络准入控制系统对非授权设备私自联到医院网络的行为进行限制和告警。核心交换机旁路部署入侵检测系统，监测医院内、外网络中发生的异常访问、入侵事件，并及时进行告警。

计算环境安全设计
医院外网区和内网区终端电脑、重要服务器均需部署防病毒软件，提升医院主机病毒防御能力，规避主机安全风险。针对医院数据库访问行为采用数据库审计系统进行细粒度审计，可及时告警数据泄露等风险事件，对疑似违规统方行为进行定位取证，严密监控违规统方行为，满足监管单位防统方的政策要求。

集中管理安全设计
部署安全管理平台、日志审计系统、堡垒机、漏洞扫描、防病毒软件管理端构建安全管理中心，以医院资产为基础，以运维流程为核心，以用户体验为指引，实现医院网络设备、应用系统和安全设备的统一运维和安全管理。

02/ 医院网络安全管理体系
建立统一的安全管理体系，落实各项医院网络安全管理制度，让医院的网络安全管理体系，有宏观的设计、有清晰的责任权限、有合理的制度要求，最终做到整体防御、技管并重。

》》方案价值《《

01/ 满足医院信息化建设及等保相关要求
通过本方案建设符合等级保护相关要求的安全防护措施，构建统一的医院网络安全防护体系，同时满足国家、医疗行业主管机构的监管要求。

02/ 构建医院跨网交换高安全隔离防护能力
以协议转换和信息摆渡机制构建的高安全隔离防护能力，保障医院外网区和内网区、内网区和外联区安全隔离的同时，确保医院跨网业务及数据安全可控高效交换。

03/ 保障医院业务持续安全运行和数据防统方
通过建立医院网络安全防护体系，避免医院信息系统被不法份子攻击，防止违规统方行为，有效保障医院的信息系统稳定运行和数据安全。

04/ 维护医院的形象和声誉
医院网络安全关乎医院形象和声誉，网络安全事件可能引发不良的社会影响，医院网络安全防护体系的建立，保证医院不出现网络安全事件，维护医院的形象和声誉。

关闭

上一篇：无

下一篇：无

相关新闻