根据长期对医疗行业的网络现状分析，结合网络安全等级保护的要求，我们对医疗信息系统进行安全域的划分，安全域是具有相同或相似安全要求和策略的IT要素的集合，是同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络，每一个逻辑区域有相同的安全保护需求，具有相同的安全访问控制和边界控制策略，区域间具有相互信任关系，而且相同的网络安全域共享同样的安全策略。安全域划分是进行网络安全等级保护的首要步骤，通过合理的划分网络安全域，针对各自的特点而采取不同的技术及管理手段，从而构建一整套有针对性的安全防护体系。根据医疗行业网络现状分析，总体安全域划分结构图如下：

内、外网终端接入区

实现医疗信息系统中各终端设备的汇聚接入，包括无线手持PAD、医护人员办公PC等。

核心业务区

用于部署医疗行业核心业务系统，依照等保三级要求及网络安全防护角度，与核心网络之间通过防火墙实现安全隔离。

安全管理区

用于部署信息系统安全管理及网络管理的相关安全设备，如日志审计系统、数据库审计系统、堡垒机（运维审计系统）、威胁态势感知平台等设备。

互联网出口防护区

部署边界防护设备，通过防火墙（IPS模块，AV模块，IOC模块）、上网行为管理等设备对网络边界进行防护。

专网出口防护区

部署专网边界防护设备，通过防火墙、入侵防御系统等设备对专网边界进行防护。

互联网业务区

部署医疗机构对外业务系统防护设备，通过部署WEB应用防火墙、邮件防火墙等设备提供应用安全防护，同时部署SSLVPN、IPSECVPN虚拟专用网络设备做互联网业务可信认证。

医疗行业的终端一体化解决方案，是依据统一基线策略、分级管理、分级授权的方针搭建医疗行业统一防病毒体系、统一计算机安全管理体系。建设终端和服务器病毒防护，安全管控，网络准入一体的平台进行统一安全管理，终端安装单个Agent就可实现病毒防护、安全准入、安全管控等安全功能。

终端防病毒

提供针对终端安全的防护措施，为终端提供安全的上网办公环境。包括互联网中的病毒、木马、蠕虫、网马、僵尸网络、流氓软件、间谍软件等恶意代码进行有效的识别、查杀与隔离。

终端管控

控制中心制定策略，全网对USB接口、无线路由，移动存储及各种外设接口进行管控；设定软件运行黑白名单，禁止娱乐软件、盗版软件的安装及运行；根据部门、用户设定终端带宽管理策略，有效杜绝P2P软件带来的网络拥塞问题。对全网终端进行IP、Mac地址绑定，有效防止私自修改行为；对客户端进行防黑加固，提供有针对性监控功能，包括系统账号变更、重点端口监控，共享目录管控等。

统一运维

采用统一运维功能，实现全网终端的补丁统一升级、普通软件分发、硬件资产管理、一键加速、一键修复及远程协助功能，协助IT维护人员高效的完成终端运维工作。

通过部署NAC网络准入设备，阻止未授权设备接入内网和访问敏感资源，保证内网接入安全的同时也提高安全管理软件的安装率。

医疗机构通过技术结合管理的方式，根据医疗机构实际状况，制定终端安全管理制度，对终端安全具体的防护内容提出了管理和考核要求，并通过技术手段进行检测，对执行结果进行评分，从而有力的推动医疗机构的终端安全建设。

高级持续性威胁（Advanced Persistent Threat，简称APT）是一种可以绕过各种传统安全检测防护措施，通过精心伪装、定点攻击、长期潜伏、持续渗透等方式，伺机窃取网络信息系统核心资料和各类情报的攻击方式。事实证明，传统安全设备已经无法抵御复杂、隐蔽的APT攻击，而我国的医疗行业已渐渐成为高级持续性威胁的重要受害方。

为了及时发现此类威胁，奇安信天眼将大数据技术应用于威胁发现领域，在云端通过多维度跨域分析，深度数据挖掘和人工智能技术对海量数据进行深度分析以实时获知未知威胁的发展动态。

奇安信天眼系统独有的云端威胁情报系统结合本地安全大数据引擎，建立云端 + 本地系统的关联分析及立体式防护体系，为用户提供全方位的未知威胁感知能力。

医疗机构内部网络中部署奇安信天眼系统未知威胁检测系统可以及时有效的发现未知威胁，提升管理人员对未知威胁的发现速度和效率，最大限度的降低受攻击后的损失，回溯方案可以记录内网的任何一次网络行为为回溯提供强大的支撑。

威胁情报

奇安信天眼实验室在云端共搜集了200PB与安全相关的数据，涵盖了DNS解析记录、WHOIS信息、样本信息、文件行为日志等内容，并针对所有这些信息使用了机器学习、深度学习、重沙箱集群、关联分析等分析手段，最终形成云端威胁情报下发本地进行检测。

本地检测

传感器负责将所有镜像流量进行还原分析，提取HTTP、SMTP、POP3、FTP等文件传输协议中出现的文件内容，将文件通过加密通道传送到检测器；检测器对所有文件进行解压缩，格式检查后，将使用静态检测、半动态检测、沙箱检测等多种检测手段对文件中可能包含的恶意行为进行捕捉分析以发现高级威胁。使用该方案后，可以有效发现网络中出现的漏洞利用行为，木马控制行为，同时沙箱检测还可以提供更多高级沙箱防逃逸技术以避免攻击绕过整个检测系统。

回溯

分析平台可以依靠自身独特的分布式搜索架构设计，将所有传送至此的行为信息和告警信息进行快速的存储并建立索引。建立索引后的信息可以在分析平台上快速的搜索到。如此，安全管理人员便可以利用该方案记录过去一段时间内出现的任何一次网络行为，发现任何一次网络行为中的具体细节，提升网络透明度及可视性，快速发现高级威胁结合本地系统进行准确溯源，牢牢掌握安全工作的主导位置，满足上级监管单位对于安全工作的溯源及定位要求。并且，奇安信天眼可以与天擎终端安全管理系统进行联动，借助奇安信天眼的深度检测能力，结合奇安信天擎在终端上的精确防御能力，实现对PC终端的攻击防御。

随着医疗信息化的快速发展，基于无线网络的医疗手段在未来会越来越多，如移动查房，医生不用再带患者资料去查房，而是使用移动临床终端，大大提高医护人员的工作效率，又如远程会诊、远程医疗的流行，医疗信息化已经到了移动医疗时代。伴随着移动医疗的发展，无线安全隐患也逐渐暴露。移动终端求医记录被窃取、医疗机构信息对外开放化，医疗机构内部远程会议没有一个安全可靠的网络环境去承载，都将成为医疗行业的无线安全的痛点。对此，我司针对医疗行业的无线安全提供整套的安全解决方案。

• 
  

  提升了信息中心安全防护级别，满足国家网络安全等级保护安全建设要求。

• 
  

  保护互联网出口的安全稳定，保障医疗机构员工日常上网的安全。

• 
  

  为医疗机构建立边界+终端+威胁情报多层次智慧防御体系。

• 
  

  确保医疗机构网站的保密性、完整性及可靠性，确保网站不受敏感信息泄露、网页篡改、及网站攻击事件的困扰。

• 
  

  保证医疗机构的移动临床终端设备免受病毒侵扰。

• 
  

  对互联网出口进行上网权限管理，保障核心业务的稳定性，提高工作效率。集中管控医疗机构员工的上网行为，满足国家公安部82号令上网日志留存的合规性要求。