FY医疗行业信息安全解决实施方案.docx
《FY医疗行业信息安全解决实施方案.docx》由会员分享,可在线阅读,更多相关《FY医疗行业信息安全解决实施方案.docx(33页珍藏版)》请在冰豆网上搜索。
FY医疗行业信息安全解决实施方案
FY医疗行业信息安全解决方案
————————————————————————————————作者:
————————————————————————————————日期:
FY18医疗行业信息安全解决方案
Version1.0.0
WrittenByXXX
2020年04月
前言
随着医疗信息系统的深入发展,IT环境也变的越来越复杂。
不仅有不同厂家的存储、服务器、网络等硬件平台,还会有Oracle、SQLServer、MySql、中间件等异构的软件平台。
虽然异构为医院带来低成本和高适应性,但同时也会带来复杂性,引起性能和高可用性问题。
而近年来,各级医院为了提升竞争力、方便患者就医,逐步与银行、社保、新农保等单位互联互通,开始向患者提供互联网上的医嘱服务、病历调阅服务、检查检验报告的浏览服务,医院信息化在快速发展的同时,也逐渐暴露出了安全建设的不足。
另外,随着移动医疗和远程医疗的日趋广泛的应用,如何保障移动医疗和远程医疗的应用安全也是一个极其严峻的挑战。
任何的安全事件所导致的医院业务系统宕机,都会降低患者的就医满意度,损害医院的信誉,处理不当则可能会引起医患纠纷、法律问题甚至社会问题,和其他行业一样,医疗信息系统在日常运行中面临各种风险带来的应用服务停机和数据丢失或泄密。
综上所述,当前医院面临的主要问题有以下几个方面:
●网络病毒、攻击造成停机与数据丢失,黑客入侵造成信息泄密和服务器故障或交换机故障导致应用意外停机;
●医院信息系统互联互通的实现,使得医院信息系统面临更多来自外部的威胁;
●安全意识的淡薄以及管理制度的不完善,面临着来自内部的人为失误或蓄意破坏、信息窃取;
●各级医院拥有的患者信息、诊疗信息更加具有商业价值,渐渐得到灰色产业链的觊觎;
●医改对医院信息共享、远程医疗协助的政策导向,延伸出的信息安全保障;
●不可抗因素如火灾、地震等造成信息中心毁坏。
故本方案将从医疗信息系统的安全现状出发,讨论如何建立适应未来发展的信息系统安全和可用性架构,详见第一部分网络安全解决方案和第二部云化数据中心解决方案。
第一部分网络安全解决方案
一、安全体系建设分析
1.1安全防护体系建设框架
1.2安全防护体系整体规划
1、体系设计原则
●完整性
网络安全建设必需保证整个防御体系的完整性。
一个较好的安全措施往往是多种方法适当综合的应用结果。
单一的安全产品对安全问题的发现处理控制等能力各有优劣,从安全性的角度考虑需要不同安全产品之间的安全互补,通过这种对照、比较,可以提高系统对安全事件响应的准确性和全面性。
●经济性
根据保护对象的价值、威胁以及存在的风险,制定保护策略,使得系统的安全和投资达到均衡,避免低价值对象采用高成本的保护,反之亦然。
●动态性
随着网络脆弱性的改变和威胁攻击技术的发展,使网络安全变成了一个动态的过程,静止不变的产品根本无法适应网络安全的需要。
所选用的安全产品必须及时地、不断地改进和完善,及时进行技术和设备的升级换代,只有这样才能保证系统的安全性。
●专业性
攻击技术和防御技术是网络安全的一对矛盾体,两种技术从不同角度不断地对系统的安全提出了挑战,只有掌握了这两种技术才能对系统的安全有全面的认识,才能提供有效的安全技术、产品、服务,这就需要从事安全的公司拥有大量专业技术人才,并能长期的进行技术研究、积累,从而全面、系统、深入的为用户提供服务。
●可管理性
由于湖南省XXXX医院具有独有的管理特色,安全系统在部署的时候也要适合这种管理体系,如分布、集中、分级的管理方式在一个系统中同时要求满足。
●标准性
遵守国家标准、行业标准以及国际相关的安全标准,是构建系统安全的保障和基础。
●可控性
网络安全的任何一个环节都应有很好的可控性,它可以有效的保证系统安全在可以控制的范围,而这一点也是安全的核心。
这就要求对安全产品本身的安全性和产品的可客户化。
●易用性
安全措施要由人来完成,如果措施过于复杂,对人的要求过高,一般人员难以胜任,有可能降低系统的安全性。
2、体系建设方法
医院的工作场景是半开放式的,所以安保体系建设时需要进行区域防控、主动防御及纵深防御的复合模式。
医院数据中心的保护对象和保护层次由外而内(即:
业务流向为主导,以保障业务安全为目标)包括:
●边界网络:
加强访问控制、加强安全事件监控、加强抗强力攻击防护、加强WEB应用系统安全运行状态监控等;
●内部网络:
加强网络行为监控、操作监控、加强安全事件监控等;
●核心服务器主机:
加强对核心主机安全监控和检查,加强系统脆弱性及安全漏洞的扫描和发现等;
●网管维护终端系统(桌面PC):
加强统一的桌面管理,加强补丁升级管理,加强日常的安全管理和终端防病毒管理。
二、安全防护体系架构设计
2.1总体架构设计
2.2安全域的控制管理
1、外部边界安全防护:
通过专业的防火墙设备及网络防攻击设备一体机设备,同时具备上网行为管理功能,实现对外部网络的攻击防范以及从内部到外部的安全访问。
✧通过该设备可隔离出外网访问区域DMZ,使Web及Mail等对外服务置于安全的区域之内;同时该设备承担防攻击功能:
支持SYNFlood攻击防范;支持UDPFlood攻击防范;支持ICMPFlood攻击防范;支持ConnectionFlood攻击防范;支持各种分片报文攻击防范;支持各种畸形包攻击防范;支持各种扫描攻击防范;支持DNS攻击防范支持基于特征过滤的攻击防范;支持基于防护对象的精细化防护;支持抓包取证功能等;
✧通过网络侦测分析引擎,DPI技术,检测分析网络流量。
主要可针对非法报文攻击等Ddos攻击
✧通过上网行为管理,可以提供应用控制、带宽管理、URL过滤、恶意软件防护、数据防泄漏、行为审计等多项功能,为医院提升员工工作效率、营造安全办公环境、以及法规遵从提供了一体化的解决方案。
2、远程接入安全:
通过部署专业的VPN设备,可以使员工在Internet的任何地方,使用移动终端、PC、便携等终端,安全的接入到医院内部网络,轻松实现家庭办公、出差办公等带来的便利;
3、服务器安全(AD):
多套业务系统一套账户密码登录
PC终端的权限控制,防止木马植入跟人为安全隐患
域隔离可以防止区域之间的双向入侵感染,保证资料跟区域安全
构建内部文件服务器,可以定制权限,比如个人文件,部门文件,总文件以及临时文件等
提供地基式服务,为以后的各系统提供用户以及权限认证同时配合UMA的统一审计、防病毒系统的服务器防护等功能,实现对服务器的安全防护。
4、终端接入安全(NAP):
实现身份认证和访问控、接入安全检查和控制等功能。
该方案支持802.1x、MAC认证、Portal认证等多种网络访问控制方式,并可灵活部署在用户网络的接入交换机、汇聚交换机等多种网络设备上,配合NAC的终端代理和服务器共同完成NAC控制,为医院提供安全可靠的访问控制;同时,该解决方案配合Anti-Virus,可实现对员工终端电脑的防病毒扫描等。
跟AD集成,防止内部入侵,以及资料泄密
提供补丁服务,保证各个系统的补丁正常
实时监测各个系统是否安全
提供保安式服务,每个系统必须达到我们设定的要求才能访问单位网络
5、入侵扫描:
通过部署入侵防御系统(IPS),用来防御网络威胁影响其正常的业务。
NIP产品使用模块化引擎设计,利用多种先进的检测技术;实时采集网络系统中的信息数据,并通过综合分析和比较,判断是否有入侵和可疑行为的发生,并采用多种方式实时告警,记录攻击,阻断攻击者的进攻,从而保护医院网络和系统免受外部和内部的攻击。
6、网络安全管理,审计,监控等,主要包括以下安全防护手段:
✧通过部署统一运维审计系统:
作为各支撑系统维护的统一接入点,对维护操作进行集中管理,管理人员可以对支撑系统的用户和资源进行集中管理、集中授权、集中控制和集中审计,从技术上保证业务支撑系统安全策略的实施,保障业务支撑系统安全、高效的运行。
✧通过部署数据库审计系统,可以通过旁路侦听的方式对访问数据库的数据流进行采集、分析和识别。
实时监视数据库的运行状态,记录多种访问数据库行为,发现对数据库的异常访问,并对访问数据库的相关行为、发送和接收的相关内容进行存储、分析、排名和查询。
✧通过部署统一安全管控中心(以下简称iSOC)通过对IT设备和业务系统的日志集中采集、分类存储、关联分析,从海量安全事件中产生精确告警、定位安全问题,提升安全运维管理效率,并满足相关安全合规的要求。
项目安全防护系统主要设备通用配置清单如下:
建设阶段
项目名称
数量
备注
安全设备
服务器安全
2台
多套业务系统一套账户密码登录
PC终端的权限控制,防止木马植入跟人为安全隐患
域隔离可以防止区域之间的双向入侵感染,保证资料跟区域安全
构建内部文件服务器,可以定制权限,比如个人文件,部门文件,总文件以及临时文件等
提供地基式服务,为以后的各系统提供用户以及权限认证
外网边界防火墙
2台
用于外网边界出口上网防护。
万兆防火墙,10G吞吐量、大于400万并发连接数。
内外网网闸隔离防火墙
1台
用于外网边界出口上网防护。
万兆防火墙,10G吞吐量、大于400万并发连接数。
远程接入
1台
远程接入需求,比如分支机构接入、合作伙伴接入、客户接入、出差员工接入、远程办公接入等等
内网数据中心防火墙
2台
用于内网保护医院数据中心,万兆光纤上联核心,千兆光纤下联数据中心。
万兆防火墙,15G吞吐量、大于400万并发连接数。
外网数据库防火墙
1台
用于内网保护医院数据库。
万兆防火墙,10G吞吐量、大于400万并发连接数。
内网终端安全管理软件
1套
针对终端进行有线、无线认证审计,禁止外发、拷贝、等方式引发数据安全事故。
支持1500个终端用户防护。
外网终端安全管理软件
1套
跟AD集成,防止内部入侵,以及资料泄密
提供补丁服务,保证各个系统的补丁正常
实时监测各个系统是否安全
提供保安式服务,每个系统必须达到我们设定的要求才能访问单位网络
外网入侵防御系统
1台
提供虚拟补丁、Web应用防护、客户端应用防护、恶意软件防护、Anti-DDoS及应用感知控制等功能。
帮助组织保障业务的连续性,数据的安全性,提供对相关法律法规的合规性。
内网入侵防御系统
1套
提供虚拟补丁、Web应用防护、客户端应用防护、恶意软件防护、Anti-DDoS及应用感知控制等功能。
帮助组织保障业务的连续性,数据的安全性,提供对相关法律法规的合规性。
外网上网行为管理
1台
提供应用控制、带宽管理、URL过滤、恶意软件防护、数据防泄漏、行为审计等多项功能,有效控制QQ、MSN、P2P下载、在线视频、股票软件等上网行为,为企业机构提升员工工作效率、营造安全办公环境、以及法规遵从提供了一体化的解决方案。
内网堡垒机
1台
构建一个统一的IT核心资源运维管理与安全审计的平台。
通过对核心业务系统、操作系统、数据库、网络设备等各种IT资源的帐号、认证、授权和审计的集中管理和控制,实现了运维集中接入、集中认证、集中授权、集中审计功能,满足用户IT运维管理和IT内控外审的需求。
100台设备授权。
外网堡垒机
1台
构建一个统一的IT核心资源运维管理与安全审计的平台。
通过对核心业务系统、操作系统、数据库、网络设备等各种IT资源的帐号、认证、授权和审计的集中管理和控制,实现了运维集中接入、集中认证、集中授权、集中审计功能,满足用户IT运维管理和IT内控外审的需求。
100台设备授权
内网数据中心审计
1台
数据库审计系统,适用于ORACLE、SQLSERVER等多种数据库环境,是在充分了解客户和市场需求的基础上,通过专门细致的网络数据获取协议分析技术、数据存储技术、数据查询技术并配合完善的管理规则,实现对数据库的访问行为和内容进行审计、报警、过滤和分析,帮助用户应对数据库访问带来的风险和挑战。
三、安全防护系统主要设备部署说明
3.1网络边界安全(防火墙)
1、防火墙系统的必要性
✧网络边界安全主要是要通过采用防火墙等安全网关设备来保障。
通过部署防火墙,能够达到以下防护目的:
●对重点服务器进行安全保护。
●对内部网络进行安全保护,阻止外部网络入侵。
●对内部重点网段(例如财务结算网段)进行安全保护,防止内部用户窃取机密数据。
3.2网络主动防入侵检测系统(IPS)
1、主动式入侵防御系统的必要性
主动式入侵防御系统能够及时阻止各种针对系统漏洞的攻击,屏蔽蠕虫、病毒和间谍软件,防御DOS及DDOS攻击,阻断或限制P2P应用,从而帮助信息部门完成应用系统、网络基础设施和系统性能保护的关键任务。
IPS采用了全新的硬件设计理念结合先进的软件特性,其即使在打开成千上万个攻击过滤器时,仍然能够支持限速的吞吐能力并保证微秒级的延时,不会成为网络处理的瓶颈。
IPS已为客户定制了上千个常见攻击过滤器而且支持即插即用模式,用户可以迅速将IPS部署在网络中,大大降低了IT人员的工作量也为企业争取了防御攻击的宝贵时间。
针对零时差攻击,提供数字疫苗服务,能够在攻击发生之前,将新的疫苗快速部署在IPS中,这些新的攻击过滤器实际起到了虚拟软件补丁的作用,客户不必为服务器打补丁就可以完成攻击防御,从而实现了系统正常运行时间的最大化。
3.3负载均衡系统
1、负载均衡系统的必要性
✧Internet出口是全院和外部互联网交流沟通的必由之路,关系到全院对外通信以及外出医疗人员接入,因此建设一个安全可靠、高效运行的INTERNET出口,对医院而言有着重要的意义。
能够达到以下防护目的:
●多ISP链路负载均衡
负载均衡设备可以根据用户的策略对于进出企业网的流量在多个ISP链路之间实现负载均衡,让企业所有的Internet出口全部利用起来,在增加Internet出口带宽的同时,提供负载均衡的功能。
●保证不中断的Internet访问负载均衡设备
连续监视每个Internet连接的状态。
它通过定时检测网络内部和外部节点的状态来检查每个路由器接入Internet的路径。
负载均衡设备还自动检测各种故障,如链路、路由器、DNS服务器和其它故障。
通过检查可以确保只使用那些高效运转的接入链路。
可以安装两台负载均衡设备设备实现冗余配置,从而保证即使主用设备发生故障的情况下也可以保证不中断的Internet链路流量管理。
●最快的内容传递
特有的即将获得专利的“优化的内容路由”技术能够确保通过最佳链路传递特定内容。
在决定哪条链路能够为特定内容提供最佳性能时,负载均衡设备会综合考虑与请求内容的网络就近性、链路的实时负载与链路的成本。
因此,最终用户将充分享受到经过优化的服务和极快的响应时间。
●具有最大限度的可扩展性
增加新的链路和路由器非常简单,只要求做很少的配置工作,并且不需要对网络进行大的改动。
3.4安全堡垒机系统
1、堡垒机防控部署的必要性
构建一个统一的安全管理平台,集中解决湖南省XXXX医院的敏感数据安全管理问题,同时兼顾后期向统一运维审计系平台建设的平滑过渡。
系统架构如下:
主要目标如下:
✧实现对业务支撑系统、DCN网运营管理系统以及操作系统、数据库、网络设备等各种IT资源的帐号、认证、授权和审计的集中控制和管理。
有效地保障业务支撑系统安全可靠地运行。
为业务支撑系统提供机制统一、多样化的认证与授权安全服务,实现平滑过渡并实现与其他统一运维审计系平台之间的数据交互。
✧实现集中化、基于角色的的主从帐号管理,实现角色属性级别的细粒度权限分配和管理。
自然人与其拥有的主帐号关联,统一规划用户身份信息和角色,对不同系统中的帐号进行创建、分配、同步,最终建立业务支撑系统中自然人的单一视图(主帐号管理)、建立业务支撑系统中资源的单一视图(从帐号管理)。
✧实现集中化的身份认证和访问入口。
根据安全需要选择不同的身份认证方式,在不更改或只对应用进行有限更改的情况下,即可在原来只有弱身份认证手段的应用上,增加强身份认证手段。
最终实现认证手段和应用的相对隔离和灵活使用。
✧实现集中访问授权,基于集中管控安全策略的访问控制和角色的授权管理。
对用户使用业务支撑系统中资源的具体情况进行合理分配,实现不同用户对不同部分实体资源的访问。
最终建立完善的资源对自然人的授权管理。
实现集中安全审计管理,收集、记录用户对业务支撑系统关键重要资源的使用情况。
便于统计自然人对资源的访问情况,在出现安全事故时,可以责任追踪。
对人员的登录过程、操作行为进行审计和处理。
最终建立完善针对“自然人→资源”访问过程的完整审计。
3.5终端安全管理与审计系统
1、终端安全管理的必要性
通过建立终端安全管理与审计系统,对接入到网络中的计算机提供正常的标准的办公环境,减少工作人员为安装操作系统和应用软件而耗费大量的精力和时间,同时又可以限制用户软件的安装;降低发生病毒感染的机会;能对网络行为审计和控制。
✧实现非法内联监控,非法的外来电脑接入网络,影响内部网络的安全;
✧违规外联监控,防止内网终端联接互联网;
✧感染病毒、木马的桌面电脑和笔记本电脑直接接入内部网络,影响网络的正常运行;
✧接入网络的客户机不能符合安全管理要求;
✧安全管理员无法解决内部用户私自接HUB、无线AP等不安全行为;
✧为有效解决以上安全问题,建立网络控制系统显得非常必要。
3.6上网行为审计系统
1、上网行为审计的必要性
上网行为审计系统能够起到以下作用:
✧能直接反映或阻止用户在使用网络过程中的失泄密行为,可通过关键词(组)识别和控制可能向外发送涉及企业秘密的信息;
✧可以及时发现利用Internet进行犯罪的情况;
✧能够反映本单位对网络信息的利用情况;
✧可对用户使用网络的情况进行统计,以了解用户上网情况;
✧可对网络用户各种可能的违规行为起到很强的威慑、约束作用。
3.7数据库安全审计系统
1、数据库审计的必要性
数据库信息的价值及可访问性得到快速提升的同时,数据库信息资产面临有严峻的挑战,伴随着数据库信息价值以及可访问性提升,使得数据库面对来自内部和外部的安全风险大大增加,如违规越权操作、恶意入侵导致机密信息窃取泄漏,但事后却无法有效追溯和审计。
概括起来主要表现在以下三个层面:
✧管理层面:
主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,第三方维护人员的操作监控失效等等,致使安全事件发生时,无法追溯并定位真实的操作者。
✧技术层面:
现有的数据库内部操作不明,无法通过外部的任何安全工具(比如:
防火墙、IDS、IPS等)来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。
✧审计层面:
现有的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如:
数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险,难于体现审计信息的真实性。
3.8WEB应用安全防护系统
1、WAF系统的必要性
(1)WAF工作特性的要求:
随着互联网技术的迅猛发展,许多政府和企业的关键业务活动越来越多地依赖于WEB应用,在向客户提供通过浏览器访问企业信息功能的同时,企业所面临的风险在不断增加。
主要表现在两个层面:
一是随着Web应用程序的增多,这些Web应用程序所带来的安全漏洞越来越多;二是随着互联网技术的发展,被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗,组织性和经济利益驱动非常明显。
所以需要基于应用层的安全防护体系。
3.9VPN远程接入系统设计
1、远程接入VPN系统的必要性
湖南省XXXX医院未来需要开展的远程会诊、在线医生值班及移动用户办公业务等的远程连接访问是十分必要的,技术上总称为VPN加密通道技术。
建立在该体系架构之上,通过为通信双方建立一个安全隧道来保障通信安全。
其中IPSecVPN的设计初衷是用于可靠网络之间的互联(即提供一个虚拟的IP网),适用于固定的远程安全接入。
相对于网络层的IPSec,基于SSL(安全套接层)协议的SSLVPN可以提供基于应用层的访问控制,具有数据加密、完整性检测和认证机制,而且客户端无需特定软件的安装,更加容易配置和管理等特点,因而更适合于远程用户的安全接入。
IPSecVPN和SSLVPN是两种不同的VPN架构,IPSecVPN是工作在网络层的,提供所有在网络层上的数据保护和透明的安全通信,而SSLVPN是工作在应用层(基于HTTP协议)和TCP层之间的,从整体的安全等级来看,两者都能够提供安全的远程接入。
但是,IPSecVPN技术是被设计用于连接和保护在信任网络中的数据流,因此更适合为不同的网络提供通信安全保障,而SSLVPN因为以下的技术特点则更适合应用于远程分散移动用户的安全接入。
对于用户来说,理想的方式是将SSLVPN和IPSecVPN结合起来使用。
一方面为数量有限的用户提供IPSecVPN连接,使其能够访问湖南省XXXX医院内网的相关授权资源;另一方面为多数用户提供SSLVPN连接,使其可以访问基于Web业务应用。
四、安全服务方案
4.1服务目标
安全服务是以建设用户信息安全的总体框架为基础、以安全策略为指导,结合先进的技术平台、经验丰富的安全运维团队、成熟的服务管理体系,旨在协助用户规划其信息系统的安全体系,分析用户信息系统的安全状况和面临的信息安全威胁和风险,协助用户健全制度,明确责任,建立常态化安全运维机制,致立于通过持续的、循环改善,切实提高用户信息安全水平,保证信息系统的保密性、完整性、真实性、可用性和可控性,以减少安全事件的发生,从而保障用户的安全系统的正常运行和持续优化。
4.2服务内容
根据建立的信息安全服务体系对客户的信息安全系统进行实时的维护管理,针对客户信息安全软、硬件提供全面的安全服务。
结合用户实际需求,通过提供一些配套的专业服务,为其信息安全整体建设工作提供帮助。
针对用户的信息安全需求,针对用户所面临的问题及实际需求,定制了一套安全服务保障体系深入解决用户信息系统存在的问题。
1、系统和资产梳理
1)绘制最新的网络拓扑图
协助用户梳理网络结构情况,包括网络功能区域划分情况、各个区域的主要功能和作用、网络区域之间的互联情况、系统外联情况(外联单位的名称、外联线路连接的网络区域、接入线路的种类、线路的传输速率(带宽)、外联线路的接入设备以及外联线路上承载的主要业务应用等),绘制最新网络拓扑图,并保证网络拓扑图清晰地标示出网络功能区域划分、网络与外部的连接、网络设备、服务器设备和主要终端设备等情况。
2)编制系统资产清单
对用户设备资产(包括服务器、网络设备、安全设备等)进行重新梳理,包括设备名称、型号、物理位置、所在的网络区域、IP地址/掩码/网关、系统版本/补丁、安装的应用系统软件、涉及的业务数据等。
)
3)编制系统说明书
协助用户梳理应用系统和业务数据,包括业务(服务)的名称、业务的主要功能、业务处理的数据、业务应用的用户数量、用户分布范围、业务采用的应用系统软件名称、应用系统的开发商等。
重要数据名称、数据保护要求、数据的备份周期、数据是否异地保存、数据的重要程度等。
4)协助制定岗位职责说明书
了解信息系统的管理情况,包括管理机构的设置情况、人员职责的分配情况、各类管理制度的名称、各类设计方案的名称等,协助用户明确安全管理相关人员的分工和责任。
2、系统定级备案
信息安全等级保护工作的第一个环节是系统定级。
对信息系统进行定级是等级保护工作的基础,信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程
升级会员 