医院内外网部署方案.docx
《医院内外网部署方案.docx》由会员分享,可在线阅读,更多相关《医院内外网部署方案.docx(11页珍藏版)》请在冰豆网上搜索。
医院内外网部署方案
iO医院版
内外网隔离安全方案
二〇一二年五月
第1章、医院信息化发展与网络安全现状
1.1医院信息化概述
目前在省立医院网络物理上为一张网,逻辑(比如通过VLAN等技术措施)上分为两部分,外部服务部分通常为办公,内部服务部分通常为医院业务系统。
对外运行的业务情况:
主要为OA系统,完成医院的行政办公、文件审批、邮件收发等业务流程。
医院网站系统,主要完成医院的宣传、论坛、网上挂号等业务。
随着业务的发展,在保证信息安全的前提下,网站上将提供更多的业务,比如:
将体检、影像等结果通过外网提供给病人。
对内运行的业务情况:
HIS系统:
该系统是医院的核心业务系统,医院信息系统对医院及其所属各部门对人流、物流、财流进行综合管理,对在医疗活动各阶段中产生的数据进行采集、存贮、处理、提取、传输、汇总、加工生成各种信息,从而为医院的整体运行提供全面的、自动化的管理及各种服务的信息系统。
医院信息应该以病人医疗信息为核心,采集、整理、传输、汇总、分析与之相关的财务、管理、统计、决策等信息。
其他业务系统:
PACS影像、检验系统、CIS电子病历、体检等系统(本部分还需做详细调研)
1.2现有安全风险简析
文件数据拷贝风险:
目前采用U盘拷贝两网的数据,拷贝的数据中可能存在恶意代码(如:
病毒、蠕虫、木马等),将外网的恶意代码扩散到内网的风险。
由于有业务联动的需求,如果在两网间部署网关类安全设备(如:
防火墙、UTM等),这存在外部黑客通过网关穿透到内部核心业务服务器的可能。
通过实验,目前的穿墙技术能穿过大部分国产防火墙。
应用和系统漏洞风险:
针对XXX医院的两网信息隔离交换需求,如果不是物理隔离方案,无论采用什么安全设备,都存在因为设备自身应用、操作系统、数据库的漏洞风险。
随着漏洞挖掘技术及漏洞提交机制的完善,将会有更多的安全漏洞将会公布于众,针对特定漏洞带来的定向攻击将会增加。
随着网络攻击技术的门槛不断降低,网络攻击工具使用不断简便,这种针对特定漏洞的攻击行为几乎每时每刻都会发生,再加上软件厂商更新不及时和经济利益的影响,所以针对这种漏洞的攻击防不胜防。
业务数据风险:
一但医院两网通过网关设备(而不是采用接近物理隔离)连接起来,内网数据的安全性得不到保障,很多安全事件发生于外部黑客发起攻击,窃取单位内部敏感数据。
医院内部HIS系统的数据库中存在医嘱数据、处方数据,一旦外泄对本医院损伤很大。
例如:
一些黑客组织把病毒木马等恶意软件的制作商业化,通过让特定需求者定购个性化的恶意软件并自动发送,来获得特殊利益,即MAAS(malwareasaservice,恶意软件即服务)。
进一步还可通过各种恶意软件控制的僵尸网络迅速大规模地对政府、企事业单位的基础网络设施进行攻击。
目前除了政府部分和金融服务业外,大多数行业对于这类攻击几乎毫无准备,其中包括医疗、电信、运输、服务业、化工和物流业。
第2章、内外网部署技术发展
2.1方案一:
继续物理隔离
采用人工拷贝方式进行两网的数据交换(文件和数据库),实际实施过程中存在以下几个问题:
1、不及时
2、效率低
3、很多医院要求对U盘杀毒,但操作人员因为繁琐未完全实施。
4、部分恶意代码是杀毒软件检测不到的。
2.2方案二:
采用网关设备
部分医院采用防火墙隔离两网,有的单位采用UTM。
防火墙产品主要包括包过滤防火墙,状态检测包过滤防火墙和应用层代理防火墙,采用此方案存在以下几个问题:
1、其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全。
2、不能防御绕过防火墙的攻击行为:
从根本上讲,防火墙是一种被动的防御手段,只能守株待兔式地对通过它的数据报进行检查,如果该数据由于某种原因没有通过防火墙,则防火墙就不会采取任何的措施。
3、不能防御完全新的威胁:
防火墙只能防御已知的威胁,但是人们发现可信赖的服务中存在新的侵袭方法,可信赖的服务就变成不可信赖的了。
4、防火墙不能防御数据驱动的攻击:
虽然防火墙扫描分析所有通过的信息,但是这种扫描分析多半是针对IP地址和端口号或者协议内容的,而非数据细节。
这样一来,基于数据驱动的攻击,比如病毒,可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。
5、目前国内防火墙本身的软件、操作系统、数据库等方面有缺陷,通过实验,很多穿墙技术能穿过大部分国产防火墙。
2.3方案三:
采用前置机加交换系统
有少部分医疗机构在方案二的基础上再进行数据操作和数据交换进行检查过滤。
实现方式就是在两网前段加前置设备,同时通过应用开发商再开发交换数据接口(定义格式和API)在交换设备上安装交换系统实现内外网的交换。
该方案存在以下问题:
1、当业务扩充了,需要开发商支持
2、投入大,交换前置设备投入、软件开发投入
3、仍然没有从网络层面隔离,数据在两网的穿透仍然带有协议,协议本身就存在缺陷,存在安全风险。
2.4方案四:
采用接近物理隔离设备隔离两网
目前公安部门、保密部门已经将网闸定义为接近物理隔离的设备(备注:
传统的单部件网闸不合规,三部件被认为是接近物理隔离设备),允许采用到机密域、秘密域、非密域间的边界隔离。
该方案近几年也被一些医疗机构采用,就是在两网的边界采用网闸隔离,网络层面完全断开,通过摆渡完成两网的数据交换。
该方案优点是安全性大幅度提高,使用过程中也存在性能问题,因此在选购医院型号的时候,我们队两网交换的数据量大小进行了详细的分析。
第3章、内外网部署建议
基于前面的风险分析,我们在分析信息方便交换和信息安全方面进行权衡,在此采取一套“接近物理隔离的安全方案”本方案采用网闸来隔离两网。
3.1网闸方案
3.1.1核心思路
保证任何时间内外都是断开的,不存在直接的物理和链路层连接通路!
见下图:
中间这部分就代表网闸,当外部网摆渡数据到内部网:
1、电子开关接通外网
2、摆渡数据到交换池,数据还原为裸数据,并做安全性检查
3、电子开关接通内网,摆渡数据
可见,任何时刻电子开关不会让内外接通,对用户来讲,表面一样,好像直接连接一样。
由于半导体电子开关以纯物理方式实现了电路的导通与断开,与加/解密等逻辑断开方式不同,它具有固化的不可编程特性,不会因溢出等逻辑问题导致系统的崩溃,在最低层即物理层面上保证了网络断开功能的实现,具有最高的安全可靠性。
3.1.2隔离方案
通过前期的需求分析,我们建议采用如下的方案实施:
在内外网间部署网闸,完成内到外,外到内的数据交换。
例如:
当本院领导在家用PDA或笔记本远程使用医院业务系统时:
1、访问WEB,如需登录则登录
2、输入相关信息,形成表单提交。
(程序上体现为FormPOST操作)
3、外网的服务器发送操作请求到网闸(因为OA系统部署于医院内网中)。
4、网闸将请求(通常是TCP/IP协议的数据)由应用到物理层中层剥离,得到裸数据请求,并按隔离硬件中的配置格式(如:
XML格式)组织。
5、将该数据按私有的协议封装后摆渡到内网主机。
(注意:
我们的设备包括三部分,外网主机、内网主机、隔离硬件)
6、内网主机接收数据后,按对应格式向内部相应的服务器发起请求并返回结果,返回的数据按前面几步类似的流程摆渡到外网。
第4章、方案详述
下面将对前一章的方案进行展开阐述。
4.1产品内部架构
网闸交换系统的系统结构如下图表所示:
图表1安全隔离交换系统的隔离体系结构
网闸交换系统的所有控制逻辑由硬件实现的,不能被软件修改;安全隔离交换系统在内外安全主板上各设计了一个隔离开关,称反射GAP。
反射GAP实现内外网络之间的物理断开,但同时能交换数据的目的。
反射GAP使得内外网中继数据的速率达到物理连通状态的100%,从而消除了因物理断开内外网络而可能造成的通信瓶颈。
4.2网闸技术的优势
同传统的防火墙等逻辑隔离访问控制技术相比,隔离网闸独特的模型结构天然具有了一些其它安全技术难以达到的安全特性,主要包括以下几个方面:
1)对网络层/OS层已知和未知攻击的全面防护能力。
由于在网闸2+1隔离架构模型中内外网间实际上物理断开,所有访问被转化成应用层数据形式通过独立的存储介质在内外网移动,因此,移动的数据中并不包含相对低层的网络层/OS层控制信息,换句话说,隐藏在网络层/OS层的攻击行为根本没有进入受保护内网网络的可能,无论该攻击方式是已知的还是未知的。
而目前其它安全技术基本上还是基于特征匹配的方式过滤这些攻击行为,遗漏和处理不当都在所难免,并且对未知攻击毫无办法,对受保护网络造成严重安全隐患。
2)不再依赖操作系统的安全性。
目前所有安全技术的实现都必须依赖操作系统作为平台提供低层服务支持,操作系统的安全性实际上就影响到整个安全产品的安全性,目前主流的OS主要是微软和UNIX/Linux两大类,所有这些操作系统都具有一定数量的Bugs,这些漏洞也随之成为整个安全产品的漏洞。
而隔离网闸很好地解决了这个问题,其内网处理服务器上的操作系统完全不对外暴露,暴露在外的仅仅是负责外网处理的服务器,即使该服务器因操作系统Bugs被攻击,实际上也无法进一步影响内网处理服务器,因为内外网是物理断开的。
实际上,与防火墙等其它安全产品不同,黑客无法利用现有操作系统Bugs获得对隔离网闸结构的控制权。
3)强化安全决策过程的安全性。
安全决策是最重要和基础的安全防御手段之一,安全决策包括认证、访问控制列表(ACL)、内容过滤以及格式检查等一系列方式。
安全决策功能一旦失效,恶意访问将无阻碍地进入受保护网络(例如访问控制列表被更改,已禁止端口被开放等)。
目前的网络安全产品对决策模块的防护能力相对较弱,而隔离网闸则将所有安全决策过程置于中立的与内外网没有连接的隔离区内完成,且关键的策略库置于与被检查数据物理断开的受保护端(LAN)服务器上,因此,策略库和决策过程都十分安全,未经严格检查的数据将始终被隔离在受保护网络(LAN)以外,确保决策过程的安全。
4)数据静态化。
在隔离网闸中,所有进入网闸内的数据在传递过程中都是静态的,其内容不被任何程序执行,仅仅是对静态内容实施检查和决策,因此,这些数据本身携带的任何恶意代码都无法执行,也就无法危及系统的安全,整个系统安全可靠。
4.3网闸产品特点
●采用独特的“2+1”安全体系架构,通过基于ASIC芯片技术设计的专用隔离电子开关系统,实现用户关键网络及服务系统与外界的物理隔断,实现链路层与网络层的彻底断开。
●采用高性能和多条流水线设计的ASIC芯片为基础建立的全新硬件隔离架构,拥有全线速隔离交换性能,满足大型网络应用所面对大用户量、低延时访问的需求。
在核心的GAP电子开关隔离芯片上采用了含TRUELVDS功能强大的APXII系列EP2A70作为FPGA设计硬件基片,该芯片具有500万门电路以及多路Giga位的通道,支持内部高达1060个硬件I/Os通道,使得电子开关具有高速的数据传输能力和并发处理能力。
●充分考虑关键应用对可靠性、可用性的要求,独家采用负载均衡技术以及基于应用协议连接资源保护的QOS服务质量控制技术消除单点故障和网络实现对网络服务的高可靠性及可用性保证。
●采用无协议的“GAPReflective”,GAP隔离反射技术实现开放网络通讯协议的剥离与重组,有效阻断来自网络层及服务器OS层的各类已知/未知攻击,弥补其它安全技术对网络未知攻击的防御盲区。
●广泛支持各类通用应用协议(HTTP、FTP、SMTP、DNS、SQL等),包括支持视频会议、流媒体以及VPN等特殊应用代理以及用户定制协议,无需再进行二次开发或单独购买模块。
●采用专利技术的应用层安全防御系统,ViGap500特别针对广泛应用的WEB、EMAIL和FTP等服务采用专利技术WebApplication™,实现了全面应用层安全防护,可防止WEB溢出漏洞、Unicode漏洞、Inject攻击、
升级会员 