联软科技医院全网暴露面收敛解决方案

构建“数据-终端-应用”三位一体的纵深防御体系，系统性应对银狐等高级威胁。

一、 需求来源

随着数字化转型的深入，医院业务呈现出内外网交织、互联网业务激增、终端软件多样化的复杂态势。这种扩张在提升效率的同时，也极大地扩展了医院的网络攻击面，为“银狐”等以经济利益为导向的高级攻击提供了可乘之机。攻击者可能通过未收敛的互联网应用入口渗透、利用终端非法软件获取据点、或通过不规范的数据交换通道窃取敏感数据，最终导致业务中断、数据泄露及巨额经济损失。

为应对此挑战，医院需构建一个覆盖互联网边界、终端环境、数据传输通道的全方位、立体化暴露面收敛体系，从根本上降低被攻击的风险，满足国家网络安全等级保护、关键信息基础设施安全保护要求及软件正版化管理规定。

二、 解决方案

本方案通过三大产品联动，构建从外到内、从应用到终端的纵深防御体系，实现全网暴露面的系统性收敛。

1.互联网暴露面收敛（WSG产品）：守好“大门”

收敛互联网入口：通过SPA单包授权等技术，减少对外开放的业务端口和IP，将分散的互联网入口统一收敛至安全网关，极大减少外部扫描与攻击的暴露面。

防御常见Web攻击：内置强大的入侵防护系统，有效过滤所有外来请求，精准防御SQL注入、XSS等OWASP Top 10威胁，保障互联网医院、OA、科研平台等Web业务安全。

构建可信访问通道：实施严格的身份认证与细粒度访问控制，防止越权访问，并结合智能业务水印技术，实现对数据泄露行为的有效溯源。

2.终端软件暴露面收敛（软件管理产品）：管好“房间”

软件资产标准化：建立统一的软件应用商城，为员工提供合规、安全的软件下载源，从根本上杜绝因安装盗版、捆绑软件引入的勒索病毒与黑产工具。

实施软件黑白名单：通过策略强制管控，禁止非授权软件的安装与运行，有效收敛每台终端的软件暴露面，切断攻击链的终端环节。

正版化与合规管理：自动化管理软件授权与使用情况，全面满足国家软件正版化管理要求，同时收集软件使用数据，为安全策略优化提供决策依据。

3.数据流转暴露面收敛（数据摆渡产品）：控好“通道”

替代高风险传输方式：通过安全数据交换系统，取代传统的U盘、双网卡等不安全的跨网文件交换方式，实现内外网数据的受控流转。

深度内容安全检查：在数据交换过程中，集成异构杀毒与内置DLP（数据防泄漏）功能，对流转文件进行病毒查杀和敏感内容识别（关键字、文档DNA），确保“病毒进不来、敏感数据出不去”。

审计与溯源：对所有跨网文件交换行为进行全链条审计与留痕，支持灵活审批流程，确保任何数据流转行为可追溯、可管控。

三、 业务价值与方案优势

全面收敛，纵深防御：从互联网入口、终端软件到内部数据通道，实现攻击面的立体化、多层次收敛，构建难以逾越的纵深防御体系，显著降低被“银狐”等攻击的成功率。

合规驱动，一举多得：方案全面契合国家网络安全等级保护、关键信息基础设施安全保护及软件正版化等多项法规要求，安全建设与合规达标同步完成。

智能运营，精准管控：通过大数据分析能力，对应用流量、用户行为、威胁事件进行可视化呈现与深度分析，实现安全态势的可视、可控、可管，提升运维效率和决策能力。

降本增效，平衡统一：在确保安全的前提下，通过便捷的文件交换、统一的软件分发、优化的业务性能，极大提升了医护人员的办公效率与体验，实现了安全与业务的平衡统一。

自主可控，面向未来：方案支持全栈信创环境，数据摆渡产品具备等保三级认证，确保医院网络安全体系的技术先进性与可持续发展。