医院信息化安全等保解决方案

首先，将医院内网分为多个安全区域，数据中心区、终端接入区、安全管理区、灾备中心与外联区域。
根据不同的业务系统与安全区域划分VLAN，在每个区域边界部署 FW1000防火墙，根据访问需求配置安全访问控制策略。对于重要区域边界部署（数据中心前端与外联区域边界）IPS2000入侵防御系统 /UTM2000统一威胁管理系统/DPX8000深度业务交换网关，对应用层攻击进行检测与在线防御，并在线过滤网络病毒、恶意代码；

内网终端部署终端接入控制系统，对内网接入终端进行准入控制、状态评估与终端行为审计，对内部终端通过多网卡、代理等方式的非法外联行为进行阻断；

在数据中心区域中旁路部署 UAG3000审计网关，与TAC系统进行联动，实现用户、IP、数据库操作的三层业务日志关联，能够帮助发现医院HIS系统存在的滥用、误用、恶意使用的行为；

数据中心部署 ADX3000应用交付产品，实现重要业务系统负载均衡，在确保重要业务系统可靠性的同时，优化业务系统的服务能力；

在安全管理区部署UMC统一管理中心与 Scanner1000漏洞扫描系统，为安全管理提供必要的技术手段，并集中收集、存储数据库审计日志、内网终端行为审计日志、防火墙与IPS业务日志等。

医院外网信息安全等级保护方案计设，如下图所示：

图2
医院外网分为对外服务器区、互联网区、终端接入区、安全管理区几个安全区域。
对外服务器区前端部署FW1000防火墙，对服务器访问行为进行控制，并同时部署WAF3000 Web应用防火墙，对医院门户网站进行重点防护，针对WEB攻击漏洞进行全面检测和加固，防止网站被攻击与篡改；

互联网边界部署 FW1000防火墙、DPtechIPS2000入侵防御系统，构成2-7层的安全防护体系，实现远程数据加密，防止非授权访问，检测与阻断应用层攻击，并防御蠕虫、病毒、木马等网络攻击；

部署 UAG3000审计及流控网关，对外网用户的上网行为进行控制，合理分配带宽，并对上网行为进行审计；

部署TAC终端接入控制系统，对外网接入终端进行准入控制、状态评估与终端行为审计，防止非法终端与不安全终端接入网络，检测外网终端的安全漏洞，结合第三方补丁服务器修复漏洞，并对外网终端的网络使用行为、桌面使用行为进行管控；

在安全管理区部署UMC统一管理中心，对安全设备进行集中管理。