从指尖上的预约挂号到跨院区的远程会诊,从毫秒级的影像传输到智能化的辅助诊断……智慧医院的建设正以前所未有的速度改变着医疗服务的模式。作为数字化转型的先行者,安徽医科大学第二附属医院(以下简称“安医大二附院”)深知,在打破物理边界、提升医疗效能的同时,必须筑牢底层的安全基石。
然而,随着远程办公、移动诊疗及第三方远程运维需求的激增,虚拟专用网络逐渐成为了智慧医院建设中的“安全短板”。为了化解资产暴露与数据泄露的风险,安医大二附院携手芯盾时代,以零信任安全网关(SDP)全面替换虚拟专用网络,开启了医疗行业远程访问的“零信任时代”。
项目背景
在推进智慧医院建设的过程中,安医大二附院远程办公、远程运维的需求激增,原本的虚拟专用网络在新的业务环境、网络环境下,暴露出了诸多问题:
1.资产暴露风险
传统虚拟专用网络服务器的IP和端口直接暴露在互联网上,犹如在网络的“黑暗森林”中点起一堆“篝火”,极易成为黑客的攻击目标,遭受扫描、暴力破解及勒索病毒的精准打击。
2.运维管理复杂
随着智慧医院建设逐步深入,医院对HIS、PACS等核心业务应用的稳定性提出了更高的要求,需要大量第三方厂商进行远程运维。虚拟专用网络身份安全校验能力不足、权限边界模糊,“入网即入内”的问题导致运维审计难度极大,失控风险高。
3.演练与合规压力
近年来,医疗卫生系统的网络攻防演练逐步常态化。在实战化攻防中,虚拟专用网络因互联网暴露面大、访问权限大,经常成为红方的首选突破口。同时,随着信创要求的提升,医院亟需符合自主可控标准且满足等保 2.0 深度合规的安全架构。
方案设计
针对安医大二附院的需求,芯盾时代基于自主研发的零信任安全网关(SDP),替换虚拟专用网络,为其打造了“持续验证、永不信任”的零信任网络访问系统。
客户价值
在安医大二附院与芯盾时代的紧密配合下,零信任安全网关(SDP)顺利上线,实现了对虚拟专用网络的平滑替换,为医院带来了显著的数字化治理价值:
1.收敛资源暴露面,有效防范网络攻击
芯盾时代SDP采用应用代理和SPA单包授权技术,由网关统一代理业务应用访问流量,同时对所有连接网关的设备进行预认证 。这种方式实现了业务应用和网关的双重“隐身”,不通过认证不开放端口,从根本上降低了遭受恶意扫描和网络攻击的风险 。
在建立连接后,SDP在客户端与网关之间构建起基于国密算法的加密隧道,确保医疗数据在互联网传输过程中的安全性与可控性 。此外,当用户访问内网服务时,系统会通过安全策略禁止终端设备同时访问互联网,切断了以终端为跳板攻击内网系统的路径。安医大二附院通过SDP平滑替换虚拟专用网络,有效收敛了资源暴露面,在实际的攻防演练中实现了安全防护的质变。
2.统一身份底座,实现精细化运维管控
在身份管理层面,芯盾时代SDP内置轻量化IAM,帮助医院快速实现多因素认证(MFA)与单点登录(SSO),并能与钉钉等办公应用无缝对接,打破了系统间的身份壁垒。针对第三方运维人员,方案落实了“一人一权、按需授权”的原则,所有运维操作全程可追溯,彻底终结了过去运维管理权责不明的“灰色地带”。
在权限管控上,依托“零信任切面安全”技术,医院无需改造业务应用即可将权限细化至URL级别。通过“AI+规则”双模型,系统能够实时综合设备、位置、行为等维度的风险信息,对每一次访问实施动态控制,实现了“安全访问全程无感,不确定访问强化认证,不安全访问直接拒绝”,极大提升了IT运维的精细化水平。
3.深度适配信创要求,保障业务高并发运行
针对大型三甲医院早间查房等高峰时段的高负载需求,芯盾时代SDP展现出卓越的并发处理能力。即使在高并发场景下,依然能够保持业务访问的稳定与顺畅,确保临床诊疗不中断、不卡顿。
该方案拥有完全自主知识产权,完美适配国产化操作系统与国产数据库,全面满足信创合规要求。
芯盾视点
建设零信任访问体系,不仅是工具的升级,更是安医大二附院升级安全基础设施、支撑智慧医院高质量发展的重要举措。依托这一强大的数字化基座,安医大二附院在开放协作与严密安全之间找到了平衡点,为全国公立医院在复杂业务环境下构筑网络安全防线提供了极具参考价值的标杆范本。
扫一扫
417
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
