传统的粗放型网络规划部署方式,单纯依赖安全防御设备的处理,加上关键节点单点故障、性能瓶颈等问题,原设计架构已无法有效应对日益复杂的网络安全挑战。在佛山市妇幼保健院(以下简称医院)新院区建成之际,参照《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)(以下简称《等保2.0》),对两院区的网络安全体系进行重新规划和升级改进。
Part.1
一是升级全院网络安全体系,满足未来5年医院信息化建设需求,构建“实战化、体系化、常态化”的信息安全保障体系。
二是构建跨机房双机冗余架构,实现多院区数据中心的高可用性和统一网络安全防护。
三是建立以计算环境安全为基础,以区域边界安全、通信网络安全为保障,以安全管理中心为核心的“一个中心,三重防护”信息安全保障体系。
Part.2 2.1 分区分域精细化,强化安全访问控制
医院网络划分为内网、外网、楼宇设备网、流量监控网4张大网。内网、外网延续物理隔离传统,必要的数据交互通过网闸和其他安全策略实现安全的数据摆渡。建成后的网络拓扑见图1。
图 1 佛山市妇幼保健院网络拓扑
2.2 关键路径,高性能结合高可用设计
可用性是网络安全的三大支柱之一,网络架构的高可用性是网络安全建设的根本保障。传统架构中,关键链路网络安全设备一般串联于骨干网络中进行防护,一旦部署成型就较难扩展新设备,若存在单点故障更会严重影响区域业务。此外,性能方面需考虑串行链路上的流量带宽,选用足够性能的安全设备并开启入侵防护和病毒过滤后的处理性能。
2.3 多层次安全防护技术,提升网络安全监测及防御能力
从网络、主机、数据库、应用等多个层面,覆盖网络层到应用层的安全防护软硬件设备,完善医院网络安全防护技术,提升威胁检测智能化和专业能力,保障医院网络安全。
2.4 常态化网络安全运营,提升安全管理效能
为充分发挥技术防御的效力,必须同等重视安全管理与技术工具。引入服务商的专业安全运营团队,通过“工具+人”方式,运用扫描、安全配置检查,每天监控、研判并处置各类安全设备告警及态势感知安全事件,持续检验安全工作流程并挖掘安全风险。
Part.3
新体系经受住了多次攻防演练的考验,在每年省、市各级机构组织的护网攻防演练活动中取得了良好的防护成果。此外,通过本次体系的规划、建设、运行实践以及攻防演练,网络安全管理员的实战技能和专业素养得到了显著提升。
Part.4
在深入研究并实践了全面的网络安全及边界防护体系后,医院不仅成功构建了信息安全的统一防护屏障,还实现了安全事件的集中高效管理。通过实现关键安全设备跨机房的双机高可用配置,极大地增强了医院业务应用的连续性和安全性,显著降低了潜在的网络攻击威胁和对业务系统可能造成的影响。这一实践成果不仅为当前医院环境的网络安全提供了坚实保障,也为未来各级医疗机构在面临多院区、复杂网络环境时,进行网络安全体系建设提供了可借鉴经验。
内容来源
马丽明,黄少斌,江卓斌,等.多院区医院网络安全及边界防护体系建设与实践[J].中国数字医学,2025,20(12):93-98.
作者单位
佛山市妇幼保健院(马丽明,黄少斌,江卓斌,黄国兴,张杏华)
特别声明:智慧医疗网转载其他网站内容,出于传递更多信息而非盈利之目的,同时并不代表赞成其观点或证实其描述,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。
凡来源注明智慧医疗网的内容为智慧医疗网原创,转载需获授权。
