化被动抵御为主动防护，构建楚雄市人民医院的“网络强心脏”

近年来，随着医院信息化建设不断深入，在线挂号缴费、线上预约问诊等数字医疗服务不断普及，医疗信息系统逐渐由封闭走向开放。然而医院面临的勒索病毒、数据泄露等安全风险也越来越多，医院网络安全形势严峻。楚雄市人民医院面对潜在网络安全，携手信锐技术化被动抵御为主动防护，搭建起安全可视化的医院网络。

医院成为勒索病毒重灾区

勒索病毒是一种流行的木马程序，通过骚扰、恐吓甚至绑架用户电子资产等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。

与其他机构相比，医院信息系统较为特殊，其中的医学记录、病患资料以及诊疗手段等，都属于核心业务数据，一旦被勒索病毒攻击后，医院正常业务开展可能受到重创，后果无法估量。但医院信息安全设备配置普遍不完善，让医院成为勒索病毒重灾区，对勒索病毒的主动防护成为当下医院的重中之重。

安全可视化网络是医院信息安全的基石

楚雄市人民医院始建于1958年，是一所集医疗、预防、教学、科研、职业病健康体检为一体的二级甲等医院。先后被授予“省级巾帼文明示范岗”、“文明单位”、“三优单位”等荣誉称号。

为防范勒索病毒对医院造成潜在风险，楚雄市人民医院不断加强信息安全建设。然而传统安全防护更多强调边界安全、外网数据保护，内部安全机制难以下沉、网络运维缺少可视化管理、无法对病毒主动防护。基于此，信锐结合深信服安全优势为楚雄市人民医院打造了一套从内网安全到边缘安全的可视化网络，保障医院信息安全。

为提前防止医院内网设备中毒、被攻击，信锐东西向流量安全防护（图一），可在不影响设备正常使用的情况下，对非法访问数据的行为予以阻断，保障勒索病毒等威胁无法在内网传播。

图一  医院东西向流量安全防护示意图

边缘安全方面，通过安视交换机的IOT终端识别与管理组件，可对医院内部接入的电脑、摄像头、打印机等多种智能终端进行识别（图二）。对接入终端做地址绑定、端口绑定，保障接入设备合法，实现对风险终端的识别阻断。

图二 端口识别接入终端状态示意图

医院信息科通过网络控制平台，能查看到全网互访流量的可视图，可以洞察全网互访情况及拦截情况；并且可以选择ARP扫描、TCP扫描判断终端是否为攻击源。通过分析可迅速得出攻击源的接入位置、角色、时间、互访行为等相关信息，实现攻击源的溯源定位（图三），从而快速响应网络问题。

图三 快速定位攻击源接入位置示意图

信锐安视交换机还支持与深信服态势感知SIP和防火墙AF深度联动，打造横向安全圈和纵向安全圈的深度融合与情报共享（图四），做到对已知威胁和未知威胁攻击的双重安全防护。

图四 安全态势感知联动示意图

面对未知、突发性的勒索病毒攻击，医院主动预防潜在风险，才能保障核心业务稳定运行。信锐采用创新性系统架构设计，融入安全、可视化特性，助力楚雄市人民医院的基础网络建设，打造一颗内网稳定的“强心脏”！