XX市医保局整体安全解决方案
项目建设背景
国家医疗保障局于2019年6月分别下发了《医疗保障信息平台建设指南》、《医疗保障核心业务区网络安全接入规范》,按照建设指南“建设计划”要求中的“地方建设计划”要求,2019年底前完成设计、立项、招标等工作;2020年底前完成相关信息系统建设工作;2021年完成项目验收工作,国家医疗保障局派人参与省级验收工作。
XX市医保局根据建设指南中“安全保障有力”内容要求,严格按照国家相关法律法规要求,落实网络安全保护等级制度要求,加强医疗保障信息化基础设施和安全保障体系建设,确保医疗保障信息平台安全稳定运行。
医疗行业网络安全形势
#
医疗行业成重要攻击目标
由于医疗行业各机构的特殊性,医疗医保信息都是属于需要紧急使用的信息,一旦这些数据被加密勒索,就会造成很大的影响。
医疗行业的数据库是黑客都觊觎的东西,欺诈者利用这些精准信息可以进行电信诈骗、虚假医疗广告营销等违法活动。
#
勒索病毒危害严重
2017年以来,医疗行业已成为攻击者实施勒索的最主要目标,有29%的勒索软件的攻击目标是各类医疗相关机构。除勒索外,医疗业务资源被黑客滥用于挖矿,亦会破坏企业内部IT环境、数据中心的正常运行秩序以及关键应用的交付,同样使得业务连续性遭受极大安全威胁。勒索、挖矿已经成为影响医疗业务连续性的主要威胁。
#
医疗信息泄露不可小觑
随着业务网应用的深入,各种移动办公、远程办公、移动挂号等便捷式服务的出现,势必会有交叉进行数据交互的情况存在。医院网络具有开放网络的基本特征,具有很大的安全风险,医疗数据泄露事件频发。
#
大数据技术衍生新风险
大数据的风险包括数据泄漏和数据滥用,一方面是数据从归集、存储、处理、共享到销毁过程众多,任何一个环节的相关操作都会导致数据泄漏,另一方面是各大数据平台与数据共享接口的共享交换是将原先大量的分散、结构化和非结构化的数据汇集到大数据平台的大数据存储和管理系统,汇集后的高价值数据可能会因为权限管理不清导致出现“合法人做非法事”的情况出现。
总体设计方案
安恒信息以等保2.0“一个中心三重防御”的保障理念,根据安恒十三年网络安全保障经验,提出安恒医疗保障信息平台安全体系方案,重点突出以安全管理中心建设,引入整体安全运营理念,整合推进省/地市医疗保障技术体系及管理体系的完善, 推进业务与安全能力融合,以切实经验助力用户安全运营,构建优化以安全通信网络、安全区域边界、安全计算环境的多重防御架构,提供持续覆盖省/地市医疗保障信息平台整体安全防护的安全能力。
省/地市医疗保障信息平台数据中心网络系统设计采用分区域安全架构设计,划分分为:核心业务区、内外网数据交换区、公共服务区、纵向接入区、横向接入区五大区域,各网络区域边界部署边界防护设备实现区域隔离。
医疗保障核心业务区
核心生产类应用系统均部署在该区域,应用系统部署于虚拟化环境中,虚拟化环境下网络边界越来越模糊,除传统平台安全建设外,为实现虚拟化环境内部的安全防护越来越困难,通过部署天池云安全平台,通过智能数据引流的方式实现虚拟化环境内部安全防护。
内外网数据交换区
医疗保障核心业务区网络与医疗保障公共服务区网络要求实现严格物理隔离,内网数据交换区采用网闸数据摆渡机制,不仅符合物理隔离的要求,还解决了内外网数据交换访问的切实需求。
医疗保障公共服务区
按照等保通用技术要求对基础支撑平台进行安全建设。对外服务应用系统部署于该区域,同样,业务系统部署在虚拟化环境内部,为解决虚拟化环境内部网络安全问题,通过部署天池云安全平台进行安全防护。出口部署安全防护设备如防火墙、抗DDOS设备有效对互联网侧的攻击威胁进行安全防护,针对通过互联网对外提供服务的业务系统,采用SaaS云防护技术进行安全监测和防护。
纵向接入区
纵向接入区边界部署防火墙,纵向连接上下级医疗保障部门核心业务网,实现国家、省、市、县四级互联。
横向接入区
为建成数据共享、交互协同的全国一体化医疗保障网络体系,通过横向接入区部署防火墙,通过专线方式连接同级信息资源共享部门(信息资源共享部门是指与医疗保障部门有信息资源共享和数据交换需求得单位,如人社、卫健、民政、公安、财政、税务等)及医院、要点、商业银行、保险公司等有关外部单位。
省/地市医保局数据中心
集中监控业务系统均部署在地市医保数据中心内部,AiLPHA大数据智能平台,通过对云上数据中心内部部署的安全组件,如探针类设备:APT、DPI,传统安全防护设备如防火墙等,与天池云安全平台进行对接,采集云内安全要素数据,采用大数据技术进行建模分析,实现对云上数据中心的网络安全状况进行集中监控管理,并对安全事件进行威胁分析,配合安全防护设备实现安全闭环防护。
项目指导
关注时间节点
根据要求,2019年底前完成设计、立项、招标等工作;2020年底前完成相关信息系统建设工作;2021年完成项目验收工作,国家医疗保障局派人参与省级验收工作。
配套资金到位
医疗保障信息平台采用分级部署, 省级医疗保障部门根据实际情况自主选择省级集中部署模式或省市两级部署模式,县级不再建设相关业务系统,且项目预算及资金相对充裕。
灵活运作项目
模式一、总包集成:专注于顶层客户需求沟通,整体把控项目。
成功案例:山东省XX市医保局安全解决方案
模式二、专注安全:梳理各省市医疗保障信息平台的优势集成商,绑定我司安全产品输出整体解决方案,实现优势互补、强强联合。
成功案例:XX省医保局安全解决方案