......................................................................................40 5.3.5 边界入侵防御................................................................................................... 此次数据库审计采用数据库审计系统 RG-DBS 2000，其可实现主机安全包括安全审 计， 47 建设方案建议书 应用安全，包括安全审计、抗抵赖等功能。 5.2.4 入侵防范 此次入侵防御采用入侵防御检测系统 RG-IDP 2000S，可实现主机安全，具体包括入 侵防范、恶意代码防范等。针对入侵防范主要体现在主机及网络两个层面。针对主机的 入侵防范，可以从多个角度进行处理：  入侵 发现的非法外联行为，可以 记录日志并产生报警信息。 终端非法外联行为管理 可以禁止终端与没有通过系统授权许可的终端进行通信，禁止拨号上网行为。 63 建设方案建议书 5.3.5 边界入侵防御 在各区域边界，防火墙起到了协议过滤的主要作用，根据安全策略在偏重在网络层 判断数据包的合法流动。但面对越来越广泛的基于应用层内容的攻击行为，防火墙并不 擅长处理应用层数据。 在 XX 市人

病患 挂号 就诊 检查 查房 节能 监控 出行 就医流程的改变推动信息融合，进而对网络提出更高要求！ | www.ruijie.com.cn 5 挑战 2 ：安全边界外延，传统防御方式应对无力 医院核心数据 病患 云南肿瘤、柳州儿童、兰大二院、上海十院、常熟人民等多家医院对此场景表示出了担心和顾虑！ | www.ruijie.com.cn 6 挑战 3 ：业务应用复杂，管理维护成难题 方案最佳实践 | www.ruijie.com.cn 8 锐捷网络，构建融合创新安全的数字化医院 网络：稳定可靠的基础网络架构  数据中心  有线网络  无线网络 安全：强大合规的安全防御体系  等保合规  医疗外联 管理：统一可视的运维管理中心  360 度的运维监控  统一的管理维护 | www.ruijie.com.cn 9 Part 1 网络，如何融合、可靠，有效支撑医院数

未授权的访问；保护患者的隐私；遵守政府法规的要求；避免病毒或攻击造成 网络瘫痪而影响医院业务运行。通过防火墙等安全技术，实现基于用户身份权 限控制、自动完成安全漏洞的修补和病毒的自动消除、攻击的防御和自动定位 功能，从而为医疗机构提供从网络边界到核心的全面保护能力，降低医疗风险， 保护患者的隐私信息和医疗机构的信息安全。 3、快速响应的网络 医疗网络对快速响应要求表现在：医护人员希望随处可得患者的医疗信息 ，通 过安全风险分析和安全需求分析，制订系统的安全保护策略，才能设计出有针 对性的、有效降低系统安全风险的安全保障体系。 网络与信息系统的安全需要从人、技术和操作这三个方面来考虑，采用纵 深防御（IA）的战略思想设计网络与信息系统的安全保障体系，才能对系统实 施有效的安全保障。本安全保障体系从安全管理、安全技术、安全运行三个方 面进行设计，每个方面又包括几个主要的方面。安全管理包括组织和人员管理、 11a/b/g 客户端，传输效果也能获得明显改善。 同时，安装了无线控制器冗余备份，可以保证无线网络发生故障时的网络和应 用系统的无缝切换，思科无线网络除实现高级加密、认证等安全技术外，更能 够进行主动安全防御，在提供授权用户互联网接入服务的基础上，完全避免非 法无线接入，防止非授权人员使用医院无线网络，保证病人隐私和信息等数据 的私密性和完整性。 无线网拓扑： 设备介绍 核心交换机 Quidway®

》 绿色 长期 蓝光介质寿命长达 100 年 无需数据迁移 突出优势 2 ：行业领先的安全体系 防攻击中心 高级安全服务 安全管理 云平台安全 安全解决方案 • 分布式节点 • 边界防御 • 等保测评 • 渗透测试 • 服务器安全 • 密钥管理 • 安全责任共担模型 • 云平台架构安全 • 内容安全解决方案 • 混合云安全方案 拥有行业领先的安全体系，具备 ISO 9001/27001 • 云上用户业务安全 • 游戏云安全解决方案 • 政务云安全解决方案 • 漏洞扫描 • SSL 证书 每天为用户 抵御各类网络攻击数千万次 为众多行业客户提供 DDoS 攻击防护 最高防御峰值 935Gbps 突出优势 3 ：科研创新并进，持续优化 AI 辅诊广度、深度 李德仁院士 泰州易华录工作站 赵春江院士 吉林省工作站 交通运输行业研发中 心 和重点实验室 博士后科研工作站

制技术和服务质量保证技术,来满足 医院对于不同数据传输的需要。 （3）网络系统安全性需求:能够保证整个系统的保密性、完整性、可用性、可审核性。关 键设备必须有备份系统且能够通过有效的手段控制和防御网络病毒的攻击。 （4）网络系统管理维护需求：能够及时有效的发现网络中的异常流量,有效的控制网络设 备,及时的对异常网络设备进行远程控制且操作简单、方便管理与维护。 （5)远程接入需求:能够为医院外部特殊用户提供安全保密的信息

医院设备网：集中管理、统一调度 核心交换机 接入交换机 智能楼宇控制 视频监控 门禁及安检 停车场管理 基础应用设施 - 网络安全系统 安全区域边界 • 防火墙（含 AV ）、网闸 • 入侵防御（ IPS ）、抗 DDOS 攻击、抗 APT 攻击 • 网络安全审计、上网行为管 理 • 网络准入控制、无线接入网 关 安全通信网络 • 安全域划分、双机双链路、 负载均衡、 • IPSEC

、云数据库审计、综 合日志审计、网页防篡改、漏洞扫描。  云安全全网联动，实现整体云安全态势掌控  从安全运维体系建立安全运维流程、工具和 规范  安全态势感知、安全大数据分析、安全运行 分析、主动防御预警。 安全技术支撑体系 安全管理中心 安全配置核查 漏洞管理 日志审计 SIEM 堡垒机 云 WAF 云安全态势感知 云日志审计 云数据库审计系统 云安全中心 …… 安全即服务管理平台 多方面、深层次的安全 持续化安全改进 安全可衡量（等保三级 2.0 ） 安全可呈现（态势感知） 本项目采用双活数据中心，最新等保 2.0 标准建设，并增加安全态势感知系统让整个医疗云平台实现主动防御。同时将安 全能力服务化，提供多面深层安全能力；另外制定安全持续改进计划，不断优化提升云平台安全能力，全面保护数字资 产 安全 等保 第 30页 业务上云场景 方案架构设计 方案架构 

帮助； 应以增强建筑物的科技功能和提升建筑物的应用价值为目标，以建筑物的功能类别、管理需求及建设投资为依据； 能确保建筑物内的医疗环境的稳定、人身和财产的高度安全，以及对灾害和突发事件的防御能力； 提供一个健康舒适的医疗环境的同时，要能够最大程度地节约能源消耗和运营管理成本； 系统设计与配置应综合平衡，强调先进适用。主要系统应达到国内乃至国际一流先进水平，结合智能化医院自身的特

2.2 医疗内网 医疗内网以万兆主干，用户线速千兆交换到桌面，数字医学影像千兆光纤到桌 面，应用服务器，如 HIS、PACS 系统等都部署在网络数据中心，数据中心需要有一 定的备份容灾能力和入侵防御能力。整个大楼部署 WLAN，以增强网络的覆盖范围 和应用的灵活性。网内所有用户需要使用认证安全接入，并且具有对认证用户进行 规范化管理。整网实现智能网络管理，将多种管理系统，如设备管理、用户管理、 二人民医院内网业务高效有序的运行。组网要求如下： 1.出口要求：采用两台高性能万兆防火墙，防火墙要求实现审核所连各网络区 域之间的访问请求，通过与访问控制规则的比较，确保合法的访问的通过，从而为 外网与内部网络建立了一道防御屏障，严格阻止了外部网络非法用户的攻击和入侵。 要安全设备生产厂家通过 ISCCC 信息系统安全集成服务资质认证。 2.核心层要求：核心层交换机要求实现医院内网路由管理、网络管理、网络服 务、 PPP（智能化）设计项目方案 同时能对网络系统进行可视化管理。 2.3.2 外网部分 外网要求采用千兆主干，百兆到桌面，组网要求如下： 1.出口要求：出口处部署 1 台路由器、1 台千兆防火墙、1 台入侵防御系统及 1 台上网行为管理，防火墙要求具备高密度转发性能和访问控制能力，要求实现审核 所连各网络区域之间的访问请求，通过与访问控制规则的比较，确保合法的访问的 通过。 2.核心层要求：核心层

7.16、医院全院网络布线 WIFI 覆盖 序 号 设备名称 参数要求 单位 数 量 备注 1 出口防火 墙服务 功能支持出口负载均衡，多线路接 入。包含防火墙功能、IPS 入侵防御； 内 外 网 防 DDOS 攻 击 ； WEB 安 全 防 护；防病毒功能；应用过滤、内容安 全防护、防泄密；用户管理和身份认 证；智能协议识别(P2P 下载、在线视 频等)、流量实时监控、安全实时监 产品可以纯软件交付，内置于超融合平 台。管理控制中心可云化部署，支持虚 拟化内核集成虚拟化安全防护功能模 块，无需单独占用虚拟机资源安装安全 防护功能模块；按照每台设备提供提供 2 个 CPU 的防病毒及深度防御授权。 提供三年免费质保服务。 （2）超融合千兆交换机 功能及技术指标 参数需求 交换容量 ≥598Gbps/5.98Tbps 转发性能 ≥222Mpps 风扇 模块化双风扇 性能指标 口，双交流电源，配置一块 480G 固 态硬盘。性能参数：吞吐量 10G，并 发 连 接 数 220 万 ， 新 建 连 接 数 10 万，开通防病毒和 IPS 模块后的吞吐 量 2Gbps，两年服务(IPS 入侵防御系 统特征库升级服务、AV 防病毒系统特 征库升级服务、Ti 威胁情报服务） 提供二年的原厂售后服务。 3 5 交换机 24 口 10/100/1000M 自适应电口，4 个 SFP 光口，固化单交流电源，无风