随着医疗数字化建设的不断推进，医疗物联网（IoMT）技术广泛应用，医院网络空间中增加了诸多新型终端设备，从核磁CT、X光机到自助挂号支付一体机等，数量上已经丝毫不少于办公电脑终端。这些设备类型多样、型号各异，分布在不同科室，风险暴露面积大，给机构的网络安全管理带来诸多问题和挑战。

以江西省统计数字为例，虽然各级医院物联网设备部署覆盖率达90%，但三级医院业务上云的占比仅有35.6%，二级医院上云仅有21.7%。大量设备处在内网环境中，操作系统老旧、补丁更新不及时、防火墙能力不足等安全问题普遍存在。在这种网络环境下，医院既要保证正常与院外机构的信息交互（如卫健委、银联、社保等），又要保证医院内外网的信息共享（如HIS、PACS等系统集群），还要保障医护人员的办公上网和患者就诊的网络访问，包含安全隐患的环节非常多。

在这样的背景下，作为江西省三甲医院的南昌大学第一附属医院在网络安全管理上提出了崭新的思路。在目标管理上，院方率先明确了医院网络安全的6大隐患，分别是：1.勒索病毒威胁；2.数据资产泄露；3.医疗设备安全漏洞；4.医疗器械安全标准；5.医疗安全防护能力；6.医疗人员安全意识。

在信息安全建设模式上，南昌大学第一附属医院采用了全托管模式进行安全建设：将产品、服务及运维以整包方式，在院方指导下由供应商开展安全工作。这样做的好处有4点：1.工作效率提升；2.安全工作接口归并；3.资金投入更少；4.安全风险共担。

在院方的建设方针指导下，来自北京的终端安全防护专家“火绒安全”成功承担起了全院终端安全防护部署的重任。“火绒终端安全管理系统”部署之后，有效提升了院方对于网络攻击的动态防御能力，增强了对院内设备终端的管控能力，加强了内网整体的数据安全能力。

通过对院方网络环境的勘查，火绒安全发现如下安全痛点：1.各科室间网络设备众多，很难统一管理；2.U盘使用频繁，无法管理外联使用；3.内网杀毒杀不干净，病毒库/补丁升级困难；4.部分电脑配置较低，软件运行空间有限。

                                                院方网络环境示意图

南昌大学第一附属医院部署了“火绒终端安全管理系统”之后，院内网络设备的管理进一步加强，对来自各方的网络攻击都做到了周密的防护。除强力的防火墙部署以外，邮件监控、恶意网址拦截、软件安装拦截等功能可有效阻断钓鱼邮件、挂马网站的传播和不良第三方软件的侵害；横向渗透拦截、U盘查杀、设备控制功能可以有效阻断内网设备间的横向攻击和U盘攻击；终端动态认证和暴破攻击防护功能可成功抵御针对路由器的暴力破解威胁；对于勒索类攻击，黑客入侵拦截、终端动态认证和系统加固功能可以有效保证服务器的安全；系统中还特有僵尸网络防护功能，防止黑客的攻击数据回传。

                                             火绒安全产品防护部署示意图

对于院方来说，“火绒终端安全管理系统”的方案价值还包括：

具有科学、可视化的管理平台，可通过Web界面实行统一管理。

可实现对U盘禁用、U盘杀毒，对指定U盘进行加白名单操作。

火绒反病毒引擎具有强大的内网环境查杀能力，误报率低。

系统占用空间小，在各类终端设备上都能做到易用、高效。

火绒终端安全管理系统，已升级到2.0版本，自推出以来，已服务各行业数万家单位机构，更得到医疗卫生行业用户的广泛赞誉。