51、中国电信助力深圳市南山区人民医院构建安全网络【CHIMA2018案例分享】

随着移动互联网、云计算和大数据等技术的飞速发展，远程医疗、互联网医院已经成为未来医卫行业的发展趋势。互联网不仅是大家生活不可或缺的一部分，同时也是百姓寻医问诊的一个重要的手段和工具。然后，近两年来网络安全形势也日趋复杂严峻。特别是今年2月、5月均发生了针对国内部分地区多家大型医疗机构的比特币勒索事件。此类事件均是黑客利用DDoS攻击、挂马、植入暗链、漏洞利用等手段攻击、威胁医疗机构，窃取公民信息，破坏医疗卫生机构服务与形象，同时给医院和广大患者造成巨大的经济损失。深圳市南山区人民医院曾多次针对此类行业事件启动网络安全保障检查工作，确保医院信息基础设施的网络安全，保证患者正常就医。

为此，中国电信充分发挥自身在通信和互联网方面的资源、技术和服务优势，为构建安全的网络空间发挥着央企的示范性作用，全力保障及个人用户的网络信息安全。针对深圳市南山区人民医院所有接入互联网的线路进行DDoS攻击防护。

深圳市第六人民医院又名深圳市南山区人民医院(简称南山医院)。是深圳市第四家三级甲等医院暨南山区区域医疗中心。深圳市南山区人民医院是广东省临床住院医师规范化培训基地，是广东医学院硕士研究生联合培养基地，2004年7月份成为广东医学院非直属附属医院，更是是特区西部最大的综合性医院及广东省医学院附属教学医院。

深圳市南山区人民医院一直关注网络与信息安全，深圳市南山区人民医院为综合性三甲医院，采用100M电信城域网线路接入互联网，用于承载医院官方网站，对外提供网络挂号、报告查询等服务。目前的网络安全设备不足以阻挡大规模的DDoS攻击，如果遇到就医挂号的高峰期，网络带宽更加难于保障安全。中国电信网络安全攻击防护服务能够为医卫行业客户有效化解DDoS攻击带来的业务停滞、利益受损、口碑劣化的巨大危机。

针对深圳市南山区人民医院的所有接入互联网线路提供全实时的网络攻击监控、攻击防护和分析溯源服务。

攻击监测

根据深圳市南山区人民医院客户要求对保护对象进行异常流量监控，同时具备对不同应用流量的监控，包括http、DNS、视频等。当流量出现异常或者超过预先设置的阈值，中国电信的管理平台全自动化推送告警信息，主动通过短信或电子邮件的方式通知客户。

攻击防护

中国电信利用运营商及网络资源优势,为深圳市南山区人民医院实现靠近攻击源的防护服务。攻击防护包括：网络层攻击流量清洗服务和应用层攻击清洗服务。

中国电信提供流量清洗的主要特点是基于攻击源头屏蔽攻击流量的同时，只允许正常流量通过，从而确保业务（如挂号、缴费等）正常运行，而在此过程中用户不需要部署任何设备、软件。

分析溯源

针对流经中国电信网络的访问深圳市南山区人民医院的DDoS攻击流量进行分析。

a) 中国电信提供分省流量分布，或根据实际需求提供更详细的地理位置（如城域网/IDC）的流量分布分析。

b) 对非中国电信网络，提供按国家或运营商网络区分的流量分布。

根据溯源分析系统周期性生成分析报告，提供深圳市南山区人民医院针对性的攻击分析报告，显示网络协议、流量等应用参数，帮助客户优化网络，使业务更加安全。

并提供常态化的月度常规分析报告，报告内容正常的流量流向，细分应用的分析报告。

中国电信持续研究和参与制定网络安全防护相关技术体系，在国内首次系统性提出运营商级全网络集约化安全能力综合开放平台框架，为深圳市南山区人民医院提供的网络攻击防护服务是基于中国电信全自主研发的超大流量网络攻击分布式近源防护系统，该系统在全球第一次实现了1000G级别网络攻击流量的主动监测与自动化防御。主要基于以下五大关键技术能力：

（1）全面完整的攻击检测能力：在大流量攻击发生时，有别于传统攻击检测方式只能在互联网近攻击目的端的网络或主机上计算攻击流量和访问量因而无法避免出现因为流量拥塞或丢包带来的记数严重偏小问题，中国电信可以在全网所有链路上对去往目标IP所的实际攻击流量进行全面评估，因此对大型DDoS攻击的流量规模测度最为准确。

（2）超T级防护容量：针对运营商安全能力分散不集中、缺乏统一的服务平台，难以对现有的安全能力进行有效整合的行业焦点问题， 中国电信在业界系统性提出了电信级全网集约化安全能力开放平台框架，成为国内外首家提供超强T级DDoS处理能力的互联网安全服务提供商，开创了国内外运营商采取互联网行为模式面向医疗健康行业开放安全能力的先河；

（3）分布式近源防护能力：利用BGP Anycast技术，平台可以同步调度分布在IP承载网上的离攻击源最近的防护节点参与DDoS攻击处置，将一个大流量攻击分而治之，化整为零，极大提升防护效率、缩短处置时延。

（4）秒级防护生效时间：针对传统需要依靠修改DNS/NS权威解析进行攻击流量导流方式，存在生效时间慢（从十几分钟到数小时不等）、用户体验差等问题，平台利用BGP实现了对攻击流量的秒级牵引导流。

（5）覆盖整个互联网的准确溯源：黑客利用僵尸主机发起攻击时常常会使用虚假源IP地址，以达到混淆身份，藏匿归属的目的。利用流量发现点和骨干运营商的网络资源位置拓扑信息的对应关系进行源头判断，而不依赖于IP地址归属映射和源端是否存在有效探针，这使中国电信在攻击溯源定位能力的领先优势难以撼动。

中国电信为深圳市南山区人民医院提供的网络DDoS攻击防护所使用的分布式近源防护系统与网络DDoS攻击防护服务已成为业界公认的最强防护平台和事实上的网络攻击防护服务标准。

网络安全关乎全社会，习近平总书记强调：没有网络安全，就没有国家安全。中国电信以落实“网络强国”战略为己任，为构建安全的网络空间发挥着央企的示范作用。中国电信计划在现有项目的基础上，为深圳市南山区人民医院提供域名安全、网站安全等重要医疗机构迫切需要的定制化专享安全服务。并计划在健康医疗领域发挥更大、更重要的作用，为我国医疗卫生行业打造网络疆域的保护体系做出自己的贡献。