隨著信息化建設的不斷發(fā)展，信息系統(tǒng)在三甲醫(yī)院中的角色也越來越重要，其所面臨的安全挑戰(zhàn)也不斷涌現(xiàn)，患者隱私泄露、掛號系統(tǒng)中斷以及木馬病毒攻擊直接威脅到醫(yī)院運行秩序和信息系統(tǒng)安全。

為進一步做好醫(yī)院信息安全保護工作，衛(wèi)生部曾下發(fā)《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》的通知，通知明確了三甲醫(yī)院的核心業(yè)務系統(tǒng)應按照信息安全等級保護第三級進行建設和保護。

根據2018年4月國家衛(wèi)生健康委員會規(guī)劃與信息司、國家衛(wèi)生健康委員會統(tǒng)計信息中心所頒布的《全國醫(yī)院信息化建設標準（試行）》中的各項條例，各等級的醫(yī)院應當部署完善的信息化基礎設備。其中部分是推薦要求，部分為強制要求， 今天對三甲醫(yī)院所需網絡安全設備進行單獨解析，供大家參考

一、WEB防火墻

WEB網站訪問防護專用安全設備，具備WEB訪問控制、WEB網絡數(shù)據分析等基本功能。

具備對SQL注入、跨站、掃描器掃描、信息泄露、文件傳輸攻擊、操作系統(tǒng)命令注入、目錄遍歷、異常發(fā)現(xiàn)、webshell攻擊檢測、盜鏈行為、拒絕服務攻擊防護、網頁防篡改、身份認證、日志審計等14項安全功能。

三級乙等醫(yī)院WEB防火墻，應具備以上所述的9項功能。 三級甲等醫(yī)院WEB防火墻，應具備以上所述的12項功能。

二、數(shù)據庫防火墻

①具備數(shù)據庫審計、數(shù)據庫訪問控制、數(shù)據庫訪問檢測與過濾、數(shù)據庫服務發(fā)現(xiàn)、脫敏數(shù)據發(fā)現(xiàn)、數(shù)據庫狀態(tài)和性能監(jiān)控、數(shù)據庫管理員特權管控等功能。 ②支持橋接、網關和混合接入方式，基于安全等級標記的訪問控制策略和雙機熱備功能，保障連續(xù)服務能力。 三級乙等醫(yī)院應滿足上述①要求 三級甲等醫(yī)院應滿足上述①②要求

三、網絡防火墻

網絡邊界防護和訪問控制的專用設備。 ①具備訪問控制、入侵防御、病毒防御、應用識別、WEB防護、負載均衡、流量管控、身份認證、數(shù)據防泄露等9項功能。 ②支持區(qū)域訪問控制、數(shù)據包訪問控制（例如基于IP、端口、網絡協(xié)議訪問的數(shù)據包）、會話訪問控制、信息內容過濾訪問控制、應用識別訪問控制等5種訪問控制類型。 三級乙等醫(yī)院網絡防火墻具備以上3項功能、支持3種訪問控制類型。 三級甲等醫(yī)院，同上。

四、網絡安全審計

記錄網絡行為并進行審計和異常行為發(fā)現(xiàn)的專用安全設備。 ①對網絡系統(tǒng)中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄。 ②審計記錄包括事件的時間和日期、用戶、事件類型、事件是否成功及其它與審計相關的信息。 ③能夠對記錄數(shù)據進行分析，生成審計報表。 三級乙等醫(yī)院安全審計設備需滿足上述①②③要求 三級甲等醫(yī)院，同上。

五、數(shù)據庫審計

①具備數(shù)據庫操作記錄的查詢、保護、備份、分析、審計、實時監(jiān)控、風險報警和操作過程回放等功能。 ②支持監(jiān)控中心報警、短信報警、郵件報警、Syslog報警等報警方式。 三級乙等醫(yī)院數(shù)據庫審計需滿足上述①②要求 三級甲等醫(yī)院，同上。

六、運維審計

①具備資源授權、運維監(jiān)控、運維操作審計、審計報表、違規(guī)操作實時告警與阻斷、會話審計與回放等功能。 ②支持基于用戶、運維協(xié)議、目標主機、運維時間段（年、月、日、時間）等授權策略組合。 ③支持運維用戶、運維客戶端地址、資源地址、協(xié)議、開始時間等實時監(jiān)控信息項。 三級乙等醫(yī)院數(shù)據庫審計需滿足上述①②③要求 三級甲等醫(yī)院，同上。

七、主機安全審計

①支持重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內重要事件審計。 ②支持記錄事件的日期、時間、類型、主體標識、客體標識和結果等。 三級乙等醫(yī)院數(shù)據庫審計需滿足上述①②要求 三級甲等醫(yī)院，同上。

八、入侵防御設備

①具備深層檢測、內容識別、即時偵測、主動防御、無線攻擊防御、抗拒絕服務、日志審計、身份認證等9項功能。 ②支持攻擊行為記錄（包括攻擊源IP、攻擊類型、攻擊目的、攻擊時間等）、協(xié)議分析、模式識別、異常流量監(jiān)視、統(tǒng)計閥值、實時阻斷攻擊等6種入侵防御技術。 ③支持流量檢測與清洗（流量型DDoS攻擊防御、應用型DDoS攻擊防御、DoS攻擊防御、非法協(xié)議攻擊防御、常用攻擊工具防御等）、流量牽引和回注等2種抗拒絕服務技術。 三級乙等醫(yī)院入侵防御設備應具備4項功能、支持3種入侵防御技術、支持2種抗拒絕服務技術。 三級甲等醫(yī)院同上。 九、防病毒網關設備 ①具備病毒過濾、內容過濾、反垃圾郵件、日志審計、身份認證、高可用等 6 項功能。 ②支持流殺毒、文件型殺毒、常用協(xié)議端口病毒掃描、IPv4 和 IPv6 雙協(xié)議棧的病毒過濾、病毒隔離等 5 種病毒過濾方法。 三級乙等醫(yī)院具備5項功能。支持4種病毒過濾方法。 三級甲等醫(yī)院同上。

十、上網行為管理

①具備上網人員管理、上網瀏覽管理、上網外發(fā)管理、上網應用管理、上網流量管理、上網行為分析、上網隱私保護、風險集中告警等 8 項功能。 ②支持 IP/MAC 識別方式、用戶名/密碼認證方式、與已有認證系統(tǒng)的聯(lián)合單點登錄方式等 3 種上網人員身份管理方式。 ③支持對主流即時通訊軟件外發(fā)內容的關鍵字識別、記錄、阻斷等 3 項操作。 三級乙等醫(yī)院具備5項功能、支持2種身份管理方式、外發(fā)內容管理支持2項操作。 三級甲等醫(yī)院具備6項功能、支持2種身份管理方式、外發(fā)內容管理支持3項操作。

十一、統(tǒng)一安全管理

對醫(yī)院各類網絡安全安全事件的監(jiān)控、分析和管理的信息系統(tǒng)。 ①具備資產管理、資產風險管理、網絡安全事件采集、網絡安全事件分析、網絡安全事件分析模型、實時安全監(jiān)測、分析結果可視化、安全運營決策和處置服務等 8 項功能。 ②基于數(shù)據分析模型，支持表格、指示燈、3D 圖表、雷達圖、拓撲圖、熱度圖等6種可視化結果展示方式。 三級乙等醫(yī)院推薦要求 三級甲等醫(yī)院具備6項功能、支持4種可視化展示方式。 由于必須部署設備數(shù)量較多，及文章篇幅問題，對其余網絡安全設備做以下歸類。

必須部署：主機惡意代碼防范、網頁防篡改、統(tǒng)一身份管理、電子認證服務、用戶身份鑒別、個人隱私保護、網絡設備身份鑒別、主機身份鑒別、日志審計系統(tǒng)、電子信息鑒別、客戶端終端認證、虛擬專用網絡客戶端管理、桌面終端安全管理、移動終端安全管理、移動存儲介質管理、單向網閘、雙向網閘、虛擬專用網絡設備、流量控制、安全策略管理、網絡設備管理

推薦部署：漏洞掃描設備、WEB漏洞掃描設備、網絡防泄露設備、存儲數(shù)據防泄露設備、數(shù)據庫加密設備、郵件加密設備、網絡準入控制設備、網絡安全入侵防范、主機入侵防范、虛擬化安全防護、文檔安全管理、資產風險管理、生物信息鑒別、安U盤、移動存儲介質、加密機設備、廣域網加速設備、鏈路負載均衡設備

以上所列出的設備中，功能方面會出現(xiàn)重復的狀況，例如WEB防火墻中包含網頁防篡改，則一臺設備就可解決兩種需求，但具體如何實施，醫(yī)院信息安全部門應咨詢對應地區(qū)政府網信辦。

編輯：黃飛

?