火绒安全助力三甲医院全面提升终端防护管控力

随着医疗数字化建设的不断推进，医疗物联网（IoMT）技术广泛应用，医院网络空间中增加了诸多新型终端设备，从核磁CT、X光机到自助挂号支付一体机等，数量上已经丝毫不少于办公电脑终端。这些设备类型多样、型号各异，分布在不同科室，风险暴露面积大，给机构的网络安全管理带来诸多问题和挑战。

以江西省统计数字为例，虽然各级医院物联网设备部署覆盖率已达90%，但三级医院业务上云的占比仅有35.6%，二级医院上云仅有21.7%。大量设备仍处在内网环境中，操作系统老旧、补丁更新不及时、防火墙能力不足等安全问题普遍存在。在这种网络环境下，医院既要保证正常与院外机构的信息交互（如卫健委、银联、社保等），又要保证医院内外网的信息共享（如HIS、PACS等系统集群），还要保障医护人员的办公上网和患者就诊的网络访问，存在安全隐患的环节非常多。

三甲医院网络安全管理新思路

在这样的背景下，作为江西省三甲医院的南昌大学第一附属医院在网络安全管理上提出了崭新的思路。在目标管理上，院方率先明确了医院网络安全的六大隐患，分别是：勒索病毒威胁；数据资产泄露；医疗设备安全漏洞；医疗器械安全标准；医疗安全防护能力；医疗人员安全意识。

在信息安全建设模式上，南昌大学第一附属医院采用了全托管模式进行安全建设：将产品、服务及运维以整包方式，在院方指导下由供应商开展安全工作。这样做的好处有四点：工作效率提升；安全工作接口归并；资金投入更少；安全风险共担。

在院方的建设方针指导下，来自北京的终端安全防护专家“火绒安全”成功承担起了全院终端安全防护部署的重任。“火绒终端安全管理系统”部署之后，有效提升了院方对于网络攻击的动态防御能力，增强了对院内设备终端的管控能力，加强了内网整体的数据安全能力。

火绒安全部署周密终端防护网

院方网络环境示意图

通过对院方网络环境的勘查，火绒安全发现以下安全痛点：各科室间网络设备众多，很难统一管理；U盘使用频繁，无法管理外联使用；内网杀毒杀不干净，病毒库/补丁升级困难；部分电脑配置较低，软件运行空间有限。

南昌大学第一附属医院部署了“火绒终端安全管理系统”之后，院内网络设备的管理进一步加强，对来自各方的网络攻击都做到了周密的防护。除强力的防火墙部署以外，邮件监控、恶意网址拦截、软件安装拦截等功能可有效阻断钓鱼邮件、挂马网站的传播和不良第三方软件的侵害；横向渗透拦截、U盘查杀、设备控制功能可以有效阻断内网设备间的横向攻击和U盘攻击；终端动态认证和暴破攻击防护功能可成功抵御针对路由器的暴力破解威胁；对于勒索类攻击，黑客入侵拦截、终端动态认证和系统加固功能可以有效保证服务器的安全；系统中还特有僵尸网络防护功能，防止黑客的攻击数据回传。

从院方操作体验上看，“火绒终端安全管理系统”占用空间小，可以高效运行在各类终端设备上；专业的内网查杀能力，能够处理顽固病毒、修复遗留漏洞；科学可视化的管理平台，让运维人员轻松掌握每一台终端的安全防御状况。

凭借强大的产品防护能力和负责的服务态度，火绒安全相继得到北京医院、新疆军区总医院、南昌大学第一附属医院，山东省肿瘤医院、郑州市中心医院等数千家三甲医院、区域卫生中心、医学科研机构、体检中心等的信任和青睐。

火绒安全始终致力于终端安全领域，认真打磨反病毒引擎、虚拟沙盒等自主研发技术，深入研究行业终端安全防护痛点、难点，结合用户的真实应用需求，不断推出新的使用功能和产品版本，如：今年推出“火绒终端安全管理系统V2.0”Linux终端与macOS终端，帮助企业解决不同系统终端的统一防护问题；与英特尔vPro平台合作，从硬件安全层面提高产品针对各类恶意程序的扫描效率和防御能力。

未来，火绒安全将继续围绕终端场景，拓展安全产品线，并持续发展前沿网络安全威胁防护技术，成为国内终端安全防护力量的中流砥柱。