一、网络安全纵深防御体系
网络安全纵深防御体系总体架构是一个多层次、多维度的安全防护体系,旨在通过多重防线和多层次的安全措施实现威胁可知、风险可视、安全可控、问题可溯,保护网络和系统免受各种安全威胁的侵害。总体架构共分为5层,即边界防御层、监测响应层、访问控制层、终端安全层、安全意识层。
二、建设要点
一是网络边界防御,网络边界防御模式调整为多个安全设备分别接入流量编排设备,使进出网络边界的流量按照流量编排设备设置的流量策略分发到特定的安全设备,无需经过所有安全设备。该模式采用高可用架构,对安全设备节点的健康状态实时监控,且支持以图标拖拽方式调整网络拓扑,可调整业务流量在安全设备节点之间的转发路径。二是建立监测响应机制,在原有网络边界防御的基础上部署网络安全态势感知平台和安全日志分析平台,通过安全流量探针对网络实时流量、系统日志、安全设备日志等进行监控。三是加强访问控制,结合零信任网络安全机制中认证授权原则、最小权限原则和安全方面策略进行优化调整,对用户、设备和应用程序进行严格的身份认证和授权管理。四是终端安全防范,以态势感知平台作为抓手,通过脚本与防病毒软件系统、EDR和MDM进行联动,采集主机扫描结果自动筛查过滤并形成有效告警,协助安全管理员决策判断。五是推广安全意识,定期在OA办公系统和企业微信推广安全意识,并由各科室负责人带头组织学习,让安全意识落到实处。
(摘录:中国数字医学)
////////////////////////////////////专家点评////////////////////////////////////
王国送,安徽省儿童医院后勤保障部主任,高级工程师。中国卫生信息与健康医疗大数据学会儿科专委会委员、安徽省医院协会信息管理专业委员会常委、安徽省医学会医学信息学分会委员,安徽省科技成果转化促进会智慧健康专业委员会常委。
广东省中医院网络安全从实际出发,构建了涵盖边界防御、监测响应、访问控制、终端安全和意识教育五个层次的纵深防御体系,具有较强的系统性和可操作性,该体系可实现自动化威胁拦截与精准访问控制,大幅提升安全运营效率,尤其在应对新型攻击和横向移动方面表现突出。省内医院可以从下几个方面参考和推广:1、是体系化设计理念,纵深防御架构将技术与管理有机结合,覆盖边界、终端、访问、监测及意识五个层面,为医院构建全面、协同的安全防护体系;2、是创新技术应用,基于流量编排的边界防御模式可实现安全设备的灵活调度与高效运维,特别适合业务复杂、流量庞大、多院区的医院,引入零信任理念,强化身份认证与最小权限管理,有效应对内部横向扩散风险;3、是管理机制优化。将安全意识培训制度化、学分化,提升全员参与度,建立跨部门联动的应急响应流程,并与监管要求对接,体现“技管结合”的先进思路。