背景

近年來，隨著醫療衛生系統信息化程度的不斷提高，全國范圍基層醫療衛生機構的信息系統建設正在如火如荼開展。在這種背景下，貴州省衛生廳為提高全省的基層醫療服務水平，進一步挖掘新農合、醫藥、藥監等系統的功能和價值，依據國家已頒布的衛生信息系統建設相關標準與規范并結合本省具體情況，將建設貴州省基層醫療衛生機構信息系統項目，從而實現與新農合、醫保、藥監等系統的有效銜接。

該項目主要針對貴州全省近2萬個基層醫療衛生機構建設一套服務于醫療衛生機構內部生產和管理的信息化系統，同時要求該系統在安全設計上符合國家政務網絡信息化安全發展的整體戰略和要求。在該項目中，天融信公司NGFW系列防火墻產品將為1700多個鄉鎮基層醫療衛生機構實現邊界接入與安全防護需求。

需求

1、 針對基層醫療衛生機構地域范圍廣、鏈路接入情況復雜以及機構規模大小不均等特點，需要通過專業技術手段實現邊界安全接入需求，保證數據通訊過程的保密性與完整性;

2、 針對日益嚴重的邊界安全威脅，如：網絡攻擊、病毒、木馬等，需要通過專業的安全防護手段加以控制，全力保障基層醫療信息系統安全、穩定運行;

3、 針對基層醫療衛生機構內未設置專門的信息系統維護崗位，缺乏專業的運維保障與支撐，所有部署在鄉鎮基層醫療衛生機構的邊界網關設備需要提供統一的管理手段，從而提升全局網絡與安全管控質量;

整體網絡結構如下：

方案

根據上述需求，同時依據國家相關標準與規范，天融信針對基層醫療衛生機構的邊界安全解決方案從邊界接入、邊界防護與安全管控三方面入手，為貴州省基層醫療衛生機構提供了一套全方位的安全防護與管控解決方案，具體如下：

1、 鄉鎮醫療機構(衛生院)以天融信防火墻作為邊界接入網關同時連接衛生專網與互聯網，同時，通過互聯網與省中心建立IPSEC VPN隧道，從而形成“VPN專網”，用于實現對衛生專網的專網鏈路備份設計。其中，互連網接入鏈路根據不同區域的網絡基礎設施建設情況，可以為專線接入或ADSL撥號接入方式;

2、 在實現了網絡安全接入的基礎上，通過防火墻的訪問控制引擎來阻止源自外部網絡的非法訪問與網絡層攻擊行為，而入侵防御引擎與防病毒引擎則對應用層攻擊、惡意代碼與蠕蟲木馬等安全威脅實現了細粒度的檢測與防護。同時，通過應用識別引擎對鄉鎮醫療機構內網還提供了全面的應用層管控機制。一系列的安全防護手段確保了信息系統在與新農合、醫保、藥監等多機構之間的業務通訊安全;

3、 該項目設備數量眾多、地理位置分布廣闊、缺乏專業的節點運維保障，從而給網絡管理工作提出了巨大挑戰，同時，安全風險也很難得以及時、有效的控制。為解決該問題，在天融信的解決方案中，通過在省級云平臺部署TopPolicy統一安全策略管理平臺實現對全網設備的統一管理與監控，消除整套系統中各個防火墻設備在安全防護功能上的“安全孤島”，實現了網絡狀態與安全風險的雙可控。除此以外，通過TopPolicy的智能策略部署機制，實現對全網防火墻設備安全策略的動態統一下發，在簡化了系統運維工作的同時，構建了有效的安全防護體系;

方案示意圖如下：

價值

通過部署天融信NGFW下一代防火墻，不僅實現了鄉鎮基層衛生醫療機構從網絡層到應用層全方位的安全防護需求，還實現了衛生專網與“VPN專網”雙備份方式的邊界安全接入需求，同時，通過TopPolicy對全網設備進行集中管控，降低了整體運維開銷。

另外，項目中所使用的是天融信針對小型辦公網絡環境設計并開發的低功耗、全功能可擴展防火墻產品。產品具有12個千兆以太網接口，可擴展支持IPS、防病毒等功能。在小型網絡環境中，可完全替代路由器、交換機與VPN等設備，從而為醫療、財政等領域的基層站所提供了一套具有較高性價比的網絡接入與安全防護一體化解決方案!