行业建设趋势

为推进分级诊疗政策落地，卫生部门实行“医养护一体化”智慧医疗服务，帮助落地全科医生与街道居民进行签约服务。所谓全科医生签约服务，指街道居民只要与居住所在社区的全科医生签约，就可以享受医生上门诊疗、健康管理、双向转诊、家庭病床、健康评估等个性化的医养护一体化服务。其中，医院内网的信息获取需要通过医疗专网向卫生部门进行数据的调用，医疗专网作为双向转诊的重要中枢，在医院转向卫生专网的数据流需要重点把控数据的安全性。

业务存在的问题

01. 对基层而言，因分级诊疗需要基层卫生机构通过卫生专网接入医院内部同步医院患者信息。因此需要建立一个通信通道确保基层卫生机构能够安全地接入医院数据中心。

02. 对中心医院而言，医保专线、社保专线、各个医院之间的数据需要频繁交互。医院虽然通过专线与第三方机构互联，但对端的网络安全风险很容易通过专线传播到本院，导致本院出现信息安全事故。

深信服解决方案

● 医院专线接入安全防护设计

通过在医院专线接入出口部署下一代防火墙，提供全面的L2-L7层网络安全防御能力，从网络入口处一站式智能化解决网络层/应用层安全威胁，解决和外联机构数据交互的安全问题，避免从其他机构引入安全风险。同时有效预防用户、应用和内容级别的网络安全风险，为医院专线接入出口构建一套“安全长城”，实现医院与外联网络的安全隔离和访问控制，保护内部数据和用户免受非法侵入。

● 基层卫生机构接入的安全防护设计

各社区卫生服务中心通过专线接入城区卫生局，形成医疗专网。为支持医生上门诊疗工作，同时保障医疗专网安全性，各城区卫生局为社区卫生服务中心提供市民卡读卡器、SSL VPN设备、便携式电脑、4G上网套餐，医生上门服务时使用便携式电脑登录SSL VPN远程安全接入社区卫生服务中心，录入市民卡与诊疗信息。而卫生局需要通过卫生专线接入医院调用医院内部数据，包括医疗资源库、患者病例库、转诊记录库，通过调用HIS、EMR、医保、挂号平台等转入接口进入转诊审核。因此会引入大量的安全问题，需要通过下一代防火墙的访问控制进行区域的隔离，并且通过自带的L2-L7的应用层安全防护保证内网数据的安全。

方案价值

1、应用层访问权限控制：网络层面遇到的威胁有可能来自非法客户端的入侵，采用下一代防火墙对各区域之间的访问进行应用级的访问权限控制，全网只允许安全的数据进行传输，其他任何非授权访问都会被阻断和拒绝，避免了非法客户端入侵的威胁，有效保护各区域的信息安全。

2、入侵检测及防御：系统安全层面的加固主要针对承载业务系统本身的服务器底层操作系统及内网终端的PC操作系统进行安全防护，实现系统安全加固的目的。通过入侵防御子系统在业务系统核心交换前形成“虚拟补丁”的防御体系，全面提升Web应用服务器、数据库服务器、应用系统服务器、网络设备OS、内网终端PC等操作系统的安全防护能力。采用入侵防御子系统形成“虚拟补丁”的防御体系可切实减少系统管理员服务器群的安全维护成本，借助厂商强大的安全研究能力可以防御“0day”攻击的风险。通过开启入侵防御子系统来监视、记录并阻断网络中的所有非法操作，有效防范非法操作带来的安全隐患。同时，入侵防御子系统还可以形象地重现操作的过程，帮助安全管理员发现网络安全的隐患。

3、僵尸网络检测：通过检测服务器和终端外发流量异常的特征，来判断外发流量是否存在威胁、是否已成为僵尸网络的一部分，可以解决长期被动利用和新型病毒木马导致恶意流量外发的问题，帮助用户快速定位僵尸网络，防止重要资产被入侵以及僵尸网络向外发起的攻击导致的法律风险。

涉及深信服的产品