项目背景

随着现代信息技术的不断发展，我国医院逐步实现管理信息化、自动化，有效提高了医疗业务工作效率。同时，由于网络环境本身具有的复杂性和特殊性，医院信息化的建设和发展也有必要同步进行网络安全防护建设，以完善的策略应对新形势下网络安全威胁与挑战。

一、建设目标

御安信息根据国家及部委对医疗卫生机构网络安全管理的要求，并结合该医院实际面临的网络安全风险现状，部署御安元鉴流量威胁监测平台。通过该平台威胁事件检测与大数据分析技术，实现对多源异构威胁数据的检测、收集、理解、分析和整合，为该医院安全运营提供事前积极预防、事中快速检测、事后溯源取证的一体化威胁监测能力，切实保障医院信息系统的安全稳定运营。

网络威胁检测分析

针对网络流量元数据进行采集，实现L2-L7层协议解析，还原多类型文件并进行深入挖掘，实现对鱼叉邮件、DDoS、木马植入、蠕虫传播、Web攻击等基础网络威胁的监测。

恶意代码综合分析

集成多种功能恶意代码检测引擎，通过静（动）态分析、风险点归纳，对常规恶意代码与高级威胁进行有效识别，对已知威胁、威胁变种、未知威胁进行识别。基于恶意代码动静态分析数据、微蜜罐数据构建强大的威胁情报生产能力，支撑网安业务分析。

数据融合关联分析

通过威胁情报，构建层层递进的纵深检测和关联分析能力，实现对高级威胁与未知威胁的监测识别。攻击链检测可以提供关于攻击者的样本、恶意行为、武器信息、C&C信息等关键信息，从而分析网络攻击的整个链条以及各个阶段的相关信息。同时，基于全源数据资源的关联融合分析，构建网安资源库、业务库、知识库，实现网安价值数据的长期留存。

二、方案优势

丨有效发现高级与未知威胁

◾ 通过启发式检测及资源智能调度技术，优化检测机制，大幅提高威胁检测效率。

◾ 通过沙箱动态检测技术，有效识别未知威胁，消除网络中的安全隐患。

丨深入构建威胁信息资源池

◾ 通过对文件的全面分析并记录所有异常行为，为威胁判定提供充分证据信息，基于全源攻击链信息汇聚，构建本地特色威胁信息资源池。

三、应用成效

在该院流量出入口汇聚节点部署御安元鉴流量威胁监测平台后，实现平均流量监测2.92GB/S，平均每周检测出威胁告警411200+条、处理日志数量200W+、动态文件分析数1000+，有效提升该医院威胁检测和分析能力。