醫療信息化建設實踐丨云安全賦能智慧醫院構建縱深、主動防御體系

近年來，隨著國家積極推動“互聯網+”政務的發展，醫療領域的“互聯網+醫療健康”在各醫療衛生機構中得到迅猛發展，醫療健康大數據應用愈加廣泛。在疾控、血站、婦幼、急救、衛生監督等部門的業務系統不斷增長的背景下，醫療機構面臨自建機房購置設備投入成本大、資源有效利用率低等問題，所以云計算應用需求越來越高。同時，云平臺自身的安全問題成為衛生健康信息系統中存在的嚴重問題之一，一旦云平臺被攻陷，將造成嚴重的經濟損失和惡劣的社會影響。

業務上云的安全挑戰：構建安全屏障，保護重要業務系統

醫療機構在構建智慧醫院安全體系的過程中，除了著力于加強傳統的本地安全資源能力外，還引入了“云安全”的概念，但云平臺的安全性仍亟待完善。

01傳統安全問題仍然存在

醫療機構信息系統具有多樣性、復雜性的特點。一方面，各衛生醫療機構把業務系統從傳統自建機房切換到云環境上，業務本質是沒有改變的，原來的安全問題仍然存在，醫療機構需要滿足等保要求和對業務系統穩定性等要求。另一方面，數據中心的安全建設是一個持續且復雜的過程，不同醫療機構的安全防護需求、防護等級、防護措施不盡相同。

02新的網絡引入新的安全威脅

云平臺集中了各個衛生醫療機構的信息系統，因數據量龐大、數據價值極高等因素，極有可能成為不法分子的攻擊目標。過去，許多數據保護的加解密算法代價較高，如何對大規模的數據采用合適的安全策略面臨較大的挑戰。此外，網絡與信息系統的邊界劃分和防護、云主機的安全防護、租戶的安全隔離、云內帶寬搶占等引入了新的威脅和風險，需要逐一解決。

03職責不明帶來的管理風險

云平臺的安全需要云租戶和提供商共同進行維護，這種共享責任的模型也帶來新的安全管理挑戰。服務模式的改變、部署模式的差異、云計算環境的復雜性都增加了界定云服務提供方與云租戶之間責任的難度。

建設思路：由外到內構建縱深、主動的防御體系

綠盟科技結合醫療機構的信息化建設特點，基于SDS 技術思想，將虛擬化安全能力資源池進行統一編排、調度和管理，通過統一的運維門戶對安全資源池的資源進行管理、分配、服務編排，從而實現對綜合能源站部署的安全資源進行統一的管理。同時，依靠運維門戶可自主控制安全服務的開通，實現對虛擬化安全設備全生命周期的管理，控制啟動、關閉、重啟和刪除等操作。通過部署安全資源池，利用通用X86服務器，為各信息系統提供專業、靈活和豐富的安全防護能力。通過設備資源池化可對上層提供多種安全能力，如IPS資源池提供入侵防護的能力，WAF資源池提供 Web 防護的能力，防火墻資源池提供訪問控制的能力。

這么做的優點是，根據云上信息系統的安全需求，從資源池中找到相應資源，而不用關心物理安全設備實際部署在哪里，也不需要考慮網絡如何劃分。資源池控制器還可以對接云內網絡設備，實現引流的全自動化流程。當租戶下發了防護策略后把網絡內流量自動按需牽引到安全資源池內做檢測和防護，為醫療機構云數據中心構建全面的縱深安全防護體系，實現對云數據中心的全面防護。

方案價值

醫療機構通過構建系統化的安全防御體系，不僅滿足了國家關于信息安全建設合規性要求，也增強了自身的安全防護能力，可抵御各種常見的網絡安全威脅。同時，該方案以業務需求為主導，構建與醫院業務需求相匹配的綜合安全防護能力，并通過落地安全管理制度，加強運維過程中的預警監測能力和應急處置工作，不斷提高醫院的抗攻擊能力。此外，該方案還通過定期培訓、應急預案演練、協同應急處置等加強相關人員的安全技能。