【IT168 方案】近年来,随着医疗卫生系统信息化程度的不断提高,全国范围基层医疗卫生机构的信息系统建设正在如火如荼开展。在这种背景下,贵州省卫生厅为提高全省的基层医疗服务水平,进一步挖掘新农合、医药、药监等系统的功能和价值,依据国家已颁布的卫生信息系统建设相关标准与规范并结合本省具体情况,将建设贵州省基层医疗卫生机构信息系统项目,从而实现与新农合、医保、药监等系统的有效衔接。
该项目主要针对贵州全省近2万个基层医疗卫生机构建设一套服务于医疗卫生机构内部生产和管理的信息化系统,同时要求该系统在安全设计上符合国家政务网络信息化安全发展的整体战略和要求。在该项目中,天融信公司NGFW系列防火墙产品将为1700多个乡镇基层医疗卫生机构实现边界接入与安全防护需求。
◆ 需求
1、 针对基层医疗卫生机构地域范围广、链路接入情况复杂以及机构规模大小不均等特点,需要通过专业技术手段实现边界安全接入需求,保证数据通讯过程的保密性与完整性;
2、 针对日益严重的边界安全威胁,如:网络攻击、病毒、木马等,需要通过专业的安全防护手段加以控制,全力保障基层医疗信息系统安全、稳定运行;
3、 针对基层医疗卫生机构内未设置专门的信息系统维护岗位,缺乏专业的运维保障与支撑,所有部署在乡镇基层医疗卫生机构的边界网关设备需要提供统一的管理手段,从而提升全局网络与安全管控质量;
整体网络结构如下:
◆ 方案
根据上述需求,同时依据国家相关标准与规范,天融信针对基层医疗卫生机构的边界安全解决方案从边界接入、边界防护与安全管控三方面入手,为贵州省基层医疗卫生机构提供了一套全方位的安全防护与管控解决方案,具体如下:
1、 乡镇医疗机构(卫生院)以天融信防火墙作为边界接入网关同时连接卫生专网与互联网,同时,通过互联网与省中心建立IPSEC VPN隧道,从而形成“VPN专网”,用于实现对卫生专网的专网链路备份设计。其中,互连网接入链路根据不同区域的网络基础设施建设情况,可以为专线接入或ADSL拨号接入方式;
2、 在实现了网络安全接入的基础上,通过防火墙的访问控制引擎来阻止源自外部网络的非法访问与网络层攻击行为,而入侵防御引擎与防病毒引擎则对应用层攻击、恶意代码与蠕虫木马等安全威胁实现了细粒度的检测与防护。同时,通过应用识别引擎对乡镇医疗机构内网还提供了全面的应用层管控机制。一系列的安全防护手段确保了信息系统在与新农合、医保、药监等多机构之间的业务通讯安全;
3、 该项目设备数量众多、地理位置分布广阔、缺乏专业的节点运维保障,从而给网络管理工作提出了巨大挑战,同时,安全风险也很难得以及时、有效的控制。为解决该问题,在天融信的解决方案中,通过在省级云平台部署TopPolicy统一安全策略管理平台实现对全网设备的统一管理与监控,消除整套系统中各个防火墙设备在安全防护功能上的“安全孤岛”,实现了网络状态与安全风险的双可控。除此以外,通过TopPolicy的智能策略部署机制,实现对全网防火墙设备安全策略的动态统一下发,在简化了系统运维工作的同时,构建了有效的安全防护体系;
方案示意图如下:
◆价值
通过部署天融信NGFW下一代防火墙,不仅实现了乡镇基层卫生医疗机构从网络层到应用层全方位的安全防护需求,还实现了卫生专网与“VPN专网”双备份方式的边界安全接入需求,同时,通过TopPolicy对全网设备进行集中管控,降低了整体运维开销。
另外,项目中所使用的是天融信针对小型办公网络环境设计并开发的低功耗、全功能可扩展防火墙产品。产品具有12个千兆以太网接口,可扩展支持IPS、防病毒等功能。在小型网络环境中,可完全替代路由器、交换机与VPN等设备,从而为医疗、财政等领域的基层站所提供了一套具有较高性价比的网络接入与安全防护一体化解决方案!