解放軍總醫院是集醫療、保健、教學、科研于一體，向建設世界一流軍隊醫院邁進的大型現代化綜合性醫院。2019年，醫院進行了改革重建，合并了原陸軍總醫院、海軍總醫院等多個大型三甲醫院，目前下設八個醫學中心、海南醫院、幾十個醫療區和門診部，形成了總醫院、醫學中心、醫療區、門診部多層級的組織架構，由此對總醫院的網絡規劃和安全管理提出了更高的要求。“結合總醫院的組織架構，我們對網絡進行了重新規劃，整體目標是實現全院網絡統一管理。”解放軍總醫院信息科高級工程師任皓在CHIMA 2024演講時介紹。

統一網絡管理

　　在實踐中，為了實現網絡的統一管理，任皓及同事共開展了兩項工作：第一是在總醫院網絡架構設計時采用了星型架構，將總部作為網絡核心，路由管理和流量監控都由總部負責;第二，對整體網絡進行重新規劃，IP地址重新分配，每個醫學中心分配一個B類地址，實現任意一臺聯網設備都有唯一IP地址，便于后期管理。

　　任皓談到，在互聯互通網絡設置方面，醫院使用運營商級路由器作為各中心出口設備，院區路由器之間使用OSPF，總部防火墻采用HA架構，上聯核心交換機采用VRRP，保障互聯互通網絡的穩定性，由此確保互聯互通網絡傳輸性能良好、網絡設備性能良好，具備承載更多業務的能力。

　　“我們的目標是醫院的網絡管理和組織架構相統一，但由于多種因素影響，在物理鏈路上往往不能滿足。”任皓指出，為了實現醫療區的網絡歸屬醫學中心進行管理，我們借助MPLS-VPN技術，打破網絡路由限制，突破三層網絡透傳二層VLAN信息，實現兩者之間的邏輯直連。

　　通過互聯互通網絡建設，解放軍總醫院保障了各醫學中心對外業務不間斷：任意醫學中心鏈路故障都可以通過第一醫學中心上聯到外部網絡;如果第一醫學中心鏈路故障，通過靜態路由切換的方式將第六醫學中心作為第一醫學中心的備用出口，這樣實現各醫學中心對外鏈路雙冗余，保障業務連續。

加強安全管理

　　2020年，解放軍總醫院完成了整體網絡規劃后，信息科于2021年組建了網絡安全組，該組目前共有30多人。其中，本部有4個人，主要是負責網絡規劃和管理、全院級的統建項目管理和安全檢查督導等工作;每一個分中心的網絡安全組平均有3個人，主要開展院區內部的網絡運維及安全管理。任皓進一步指出：“網絡安全組是一個縱向的業務組，這樣能保證總醫院各項網絡安全工作標準一致、執行效率高，更利于培養專業的網絡安全團隊。”

　　任皓介紹，2021年網絡安全組成立后，開展了體系化建設，分為三個階段：第一階段是基礎安全，重點關注的是終端側的安全，完成了終端MAC地址綁定和安裝管控軟件;第二階段是實現全院網絡的統一監管，在運營工具、人員和工作流程上實現總部和分中心的兩級運營機制;第三階段是嘗試新技術在網絡安全領域的應用。

　　目前醫院已經完成了第一階段的安全建設，通過嚴格網絡準入，保證合規設備入網，實現人、設備、位置的一一對應。在制度上，要求入網設備責任到人，嚴格信息設備接入網絡的申請流程，實現人和設備的對應;在技術上，采用相應的認證技術對設備網絡進行準入控制，將終端MAC地址和交換機端口的綁定，實現設備和位置的對應;再利用終端管理軟件將終端的IP地址和MAC地址綁定，這樣在全網中就能實現人、設備、位置和IP地址的一一對應，為后續終端管理和網絡中安全威脅的處置奠定了基礎。歷經兩年時間，全院入網設備的MAC地址綁定率和終端管控軟件的安裝率均達到了95%以上。

　　終端管理軟件全網部署后，總醫院啟用了統一的主機安全和準入管理功能。首先，開啟強準入策略保證網絡里每臺終端必須安裝管控軟件。然后，在管控平臺上規劃終端分組，終端根據網段、樓宇、樓層和科室創建分組;完善終端信息，在已安裝和白名單列表中的每條設備信息詳細登記到責任人、IP地址、樓層、科室、房間等，因此利用這一套終端管控平臺就可以實現設備的定位和病毒處置。

　　任皓強調：“終端管理軟件是我們在日常安全運維中經常使用的工具，為了讓其發揮最大的防護作用又不影響醫療業務，我們根據終端配置、用途、管控的要點共梳理了32條安全策略，總體分為通用策略、例外策略和強制策略，全方位保障終端安全。”在完成基礎安全建設后，總醫院步入第二階段的建設，于2023年10月建立了全院的安全運營中心，采取兩級聯動模式：總部人員在平臺上監測全網的安全數據，進行告警篩查，生成安全事件后以工單形式下發分中心;分中心人員登入可看到院區內部的安全數據，查看總部下發的工單，進行安全事件的處置并上報結果。

　　截止到目前，運營中心取得了以下效果。

　　1.掌握了網絡中的主要威脅：可視化地呈現出當前網絡中的主要威脅，為醫院開展安全工作提供數據支撐。

　　2.提升了日常安全事件的處置能力：團隊成員在安全事件處置過程中不斷積累經驗，現在利用安全運營平臺和終端管理系統對網絡中90%的問題可以自行處理;

　　3.全網告警數據明顯下降：通過規定安全事件的處置時效，制定事件處置的考評機制，全網的威脅告警從2023年10月每日的3000多條減少到現在的每日300余條，網絡中的安全威脅大大減少。

　　4.激發了人員的學習感興趣：為了勝任運營崗位，團隊成員愿意參加各種學習、培訓，現有1人通過CISP-PTE認證，6人完成CISP-CISE培訓。

　　通過醫院網絡安全領域的工作實踐，任皓得出了以下心得體會。

　　第一，終端管理系統中設備信息的維護很重要，結合802.1x技術它可以成為資產梳理的有效工具;

　　第二，終端管理系統中安全策略的啟用范圍應由小到大，平穩進行，細化分組適應多個場景，這樣才能減小對醫院各項業務的影響，不給醫護人員帶來負擔;

　　第三，如果想做資產梳理，單純依靠安全運營平臺中基于流量的資產識別方法不夠理想，需要結合其他方法才能做好此項工作，這也是我們正在探索的工作;

　　第四，在網絡威脅發現上，可以將運營平臺和終端管理系統的數據相結合分析，兩者一個是基于流量側的威脅發現，一個是基于終端側的信息收集，兩者融合起來可以提高威脅發現的準確率。另外，對于安全運營平臺和多種安全設備的聯動問題，涉及到接口的開發，與不同安全廠家溝通協調，需要醫院運維人員付出的精力比較多，因此不必過于追求事件處置的聯動。

　　“如果資產掌握比較清楚，定位準確，手動處置也不會影響處置效率。”她分享道。