案例精选 | 某省级第二人民医院恶意外连监测与治理项目

某省级第二人民医院，是某省卫健委直属三级甲等医疗机构，一所集医疗、科研、教学、预防、保健为一体的大型现代化综合医院。医院设施设备先进，‌技术服务领先，‌现有开放床位1400余张，临床医技科室90余个。并且，医院耳鼻喉学科连续多年位居复旦大学全国最佳专科声誉排行榜前十名。

近年来，医院紧跟数字化转型步伐，不断推进信息化系统的升级与改造，高度重视信息安全防护与数据保密工作，致力于构建智慧医疗体系。

项目建设背景

随着信息化的快速发展，某省级第二人民医院的信息系统规模不断扩大，安全监管的要求也越来越高。面对日益增多的恶意网络攻击事件，医院亟需构建一套高效的安全防护体系，具体需求如下：

1、对全网流量实时进行威胁感知及可疑流量分析，确保在挖矿、勒索等威胁入侵的初期阶段即能敏锐察觉和及时止损。
2、具备全流量数据留存能力，便于在发生安全事件后进行详细的溯源取证和损失评估。
3、基于关联分析和行为分析的技术，为医院运维团队提供智能化的方法，以应对复杂多变的网络攻击。

建设效果

针对某省级第二人民医院的安全建设需求，聚铭网络提出了在其内网部署聚铭网络流量智能分析审计系统-挖矿防护版（IMPS）的解决方案。值得注意的是，该系统并非部署在DMZ区，而是部署在传统安全设备难以有效管控的WiFi区域——即允许用户随意接入互联网的地方。

在“本地平台+运营服务”的模式下，该方案通过常态化的安全运营监控服务，针对医院的行业属性，云端专家团队通过分析医院的业务特性，定制包括安全分析策略、响应策略等，并结合系统采取特征化异常流量分析等手段，在不影响正常业务请求的前提下实现在线检测。即使在无API接口的情况下，也能基于用户行为模拟的方式进行异构融合联动边界防火墙，实时拦截封禁恶意外联、挖矿病毒等风险威胁，实时发现公网主机的异常行为，精准定位真实失陷主机，提升取证溯源效率。

方案优势：

01
恶意加密流量检测技术

利用机器学习能力和TLS/SSL特征，结合DNS请求综合研判恶意软件的活动，明显提升加密流量检测能力，通过千万级的恶意样本验证，将恶意加密流量的检测准确率提升至99.8%。

02
DNS代理穿透技术

通过全流量还原对异常流量特征化，利用AI加密流量分析引擎等技术，锁定主机横向渗透与失陷破坏行为，精准定位真实失陷主机，彻底解决DNS代理误报导致的用户溯源定位难问题，提升取证溯源效率。

03
挖矿在线阻断技术

动态阻断策略，仅阻断与挖矿相关的请求，在不影响正常业务的前提下，对挖矿应用流量实现阻断，阻断成功率可达100%，并且在客户内网即可实现阻断， 真正做到挖矿流量不出网。

04
恶意软件定向抓捕技术

通过深度分析失陷主机的异常流量行为，无需安装agent，使用绿色版抓捕工具，即可在失陷主机上对挖矿、木马软件、病毒程序进行精准抓捕，让恶意软件无处遁形。

客户反馈

“经过一段时间的运行，系统已自动阻断拦截包括挖矿在内的数百起恶意外联行为，成功帮助我们溯源分析定位到问题主机。同时，也为医院网络管理人员建立了全方位视角，包括外部威胁、外连威胁、内部互连威胁三个方面，实时监控网络安全态势，纵观网络的状况与趋势变化，极大提高了我们医院的网络安全防护水平和应急响应敏捷性！”

——某省级第二人民医院信息中心主任