1、通用安全設計

醫院網絡安全技術體系的設計內容主要涵蓋安全管理中心、安全通信網絡、安全區域邊界、安全計算環境：

安全通信網絡設計

l關鍵網絡節點、設備及鏈路需進行冗余建設，保證高可用性；

l部署防火墻提供可靠的安全域隔離；

l部署VPN保證遠程通信過程中數據的保密性及完整性。

安全區域邊界設計

l部署網絡準入控制系統，對非設備私自接入內部網絡的行為進行控制；

l部署EDR，對內部用戶非法外聯行為進行控制；

l部署防火墻系統實現基于應用協議和應用內容的訪問控制；

l部署雙向網閘、數據安全交換平臺實現醫院內外網數據的安全隔離與交換；

l部署抗DDoS功能（集成于防火墻）、IPS、WAF、IDS、APT安全監測等，在關鍵網絡節點處檢測網絡攻擊行為，對網絡攻擊特別是新型網絡攻擊行為進行檢測、分析、告警和防范；

l部署防病毒網關、僵木蠕系統，在關鍵網絡節點處對惡意代碼進行檢測和防范；

l部署網絡審計系統，對用戶的網絡訪問行為進行審計和數據分析。

安全計算環境設計

l部署堡壘主機對用戶進行身份鑒別，對管理用戶進行權限管理；

l部署數據庫審計系統，對重要的用戶行為和重要安全事件進行集中審計；

l 部署漏洞管理、基線管理、終端威脅防御等系統保障終端及服務器安全；

l采用密碼技術，保障重要數據的完整性、保密性；

l部署容災備份系統，保障重要數據的可用性；

l對重要網站系統提供網頁防篡改、網站安全監控等保護機制；

安全管理中心設計

l通過堡壘主機實現集中的身份鑒別、訪問和操作審計；

l部署網絡管理系統，對網絡和信息基礎設施的運行狀況進行集中監控；

l部署日志審計系統，對分散在網絡中的審計數據進行收集匯總和集中分析；

l內網部署態勢感知平臺，支撐安全監測、分析、預警、響應、處置、追溯等安全管理和運維工作；外網部署數據采集代理服務器，收集外網安全數據形成分析結果，通過網閘發送到內網平臺。

2、云計算安全設計

l部署安全資源池，實現對云租戶南北向流量的檢測與防護；

l部署虛擬化分布式防火墻，實現對云主機東西向流量的檢測與防護；

l部署EDR，實現云主機本地的威脅檢測與防護；

l部署云安全管理中心完成統一的策略管理、安全監控、策略遷移和自動化部署。

3、移動互聯安全設計

無線接入安全設計

l在受控邊界處部署防火墻與有線網絡實現安全隔離；

l部署無線管理平臺集中管理無線AP的位置、數量、信道等；

l通過無線管理平臺提供符合國密算法的身份認證；

l部署EMM對接入終端的進行定位和準入；

移動終端安全設計

通過EMM實現醫護終端登記注冊，提供全生命周期管控，終端遺失后，可定位位置、遠程鎖定設備、遠程擦除敏感數據，防止數據泄露。

移動應用安全設計

l采用EMM對APP進行上線前安全檢測、安全加固、提供黑白名單功能，確保應用安全性。