服务器、存储产品购买热线:400-860-6708 ERP、管理软件购买热线:400-658-6000云服务产品销售热线:400-607-6657
clear
您当前所在位置: 首页 > 解决方案 > 政府 > 医疗卫生  > 解决方案

医院数据中心主机安全解决方案

发布时间: 2014年09月03日

  一、需求与挑战

  为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,卫生部办公厅于2011年12月下发卫生部《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85号)(以下简称《指导意见》)。为贯彻《指导意见》,办公厅同时下发《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号)(以下简称《通知》),对卫生行业各单位提出如下要求:

  2012年5月30日前完成本单位信息系统的定级备案工作;

  根据信息系统定级备案情况开展等级测评工作,查找安全差距和风险隐患,并结合自身安全需求,制订安全建设整改方案;

  2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。

  《指导意见》根据《信息安全技术信息系统安全等级保护定级指南》(以下简称《定级指南》)、《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》),建议三级甲等医院的核心业务信息系统安全保护等级原则上不低于三级。各省卫生厅根据《指导意见》、《定级指南》、《基本要求》等相关规定,并结合本区域现状提出本区域内三甲医院定级要求,大部分省(市)定级要求如下:

序号

信息系统

可能侵害的客体

定级建议

1

HIS、门诊系统、LIS、PACS、电子病历等

社会秩序、公共利益、公民、法人和其他组织的合法权益

三级

2

OA、网站、邮件等

公民、法人和其他组织的合法权益

二级

  医院数据中心安全现状分析

  为帮助三甲医院落实国家信息安全等级保护制度与卫生部信息安全等级保护工作要求,浪潮从主机安全、应用安全、数据安全与安全管理等层面为三甲医院提供融合化的等级保护解决方案。

  医院网络一般分为两张物理网络:内网(业务网)和外网(办公网)。

  内网主要承载着HIS、LIS、PACS等医院三级信息系统,用于日常医疗信息交换、与医保等其他机构交换数据,核心是医院信息系统(Hospital Information System,HIS)的应用,包括实验室信息管理分系统(LIS)、医学影像存储与传输分系统(PACS)、新一代体检信息系统(PEIS)、医生工作站、护士工作站、门诊管理系统等组成。承担着为医院各部门提供病人诊疗信息和行政管理信息的收集、存储、处理、提取和数据交换等业务应用。

  外网主要承载医院OA、网站、mail等二级信息系统。目前为止大部分的应用是获取Internet信息资源,而服务器一般是托管到IDC机房,有部分大型医院承载着自己的Web门户服务应用,逐步开始提供网上预约挂号、远程专家会诊等网络化服务。

  此外,现阶段医院的医保网还是以自身的业务网为主要承载主体,没有与其它同级医院或者县级医院的医保网络有直接的连接;同级医院或者县级医院的医保网络、新农合等应用,更多是以终端信息结点的方式独门存在于业务之外,暂时没有实际网络连接的需求。以后,随着信息化建设的深入,网络之间数据传输通信与信息共享,将是发展的趋势。

  业务网承载着最核心HIS系统,整个安全建设将围绕保障业务系统的安全运行为重点目标。

  病毒扩散:严重威胁着广大终端和HIS业务系统的运行安全。

  终端运维:因医院网络规模较大,日常的管理维护工作量繁重。

  终端管理:终端系统管理、防病毒软件检查、外设接口控制、移动存储介质管理等,防止终端用户的误操作、非法拷贝、系统漏洞、非法程序等行为导致终端自身和HIS系统的非正常运行。

  非法接入:HIS系统自身信息的敏感性,使得如何外来人员的非法接入显得非常重要。需通过严格的接入身份认证,防止来自外部的安全威胁。

  数据传输:随着业务的发展,网上预约挂号,网上医疗,远程专家会诊等应用的深入,使得业务网与办公网的数据安全传输的需求也越来越突显出来。如何能保障信息安全的同时,实现信息共享是现在医院普遍面临的问题。

  业务监控:解决了各类安全威胁后,业务系统自身的运行状态还缺乏有效的监控。实时监控业务系统的CPU利用率、磁盘容量、数据库性能等健康状态,及时发现问题并报警提示,实现7*24小时的无人值守,同时为改善系统的能力提供依据。

  医院办公网,由于与业务网物理位置的差异,及与互联网传输信息的复杂性,导致办公网面临的威胁与风险大大增加。同时后续上网服务和门户网站的应用,使得办公网的建设需全面综合考虑。

  边界访问控制:对办公网安全域进行独立防护,对办公网与互联网的访问进行双向控制、对常见攻击行为进行防御。

  安全接入:对于网上应用业务,保证高效、安全的为用户提供医院业务。

  攻击防护:办公网提供对外门户服务,对于门户网站最大的威胁来自于恶意流量攻击,日益严重的分布式拒绝服务攻击(DDoS),是目前Web网站面临的首要问题。

  安全管理:管理所有安全设备;对安全设备进行统一管理、状态监控、策略下发、集中审计。

  对于办公网与业务网,两者之间即有类似的安全需求,又因所处物理位置的不同需采取不同的解决方案。

  二、浪潮医院数据中心主机安全解决方案

  《基本要求》 中规定不同安全保护等级的信息系统应该具备相应的基本安全保护能力,应满足相应的基本安全要求,根据实现方式的不同,基本安全要求分为技术要求和管理要求两大类。技术要求包含物理安全、网络安全、主机安全、应用安全和数据安全几个层面。本方案针对医院内外两张物理网络及其承载的信息系统,按照等保管理和技术要求,浪潮提出合理的医院数据中心等级保护建设方案。

  针对业务网、外网服务存在的安全风险及等级保护要求,规划如下:

  

  


  

安全需求

解决方案

主机安全

浪潮SSR主机安全增强系统

网络安全

浪潮SSA安全应用交付系统

应用和数据库安全

浪潮SSR主机安全增强系统

浪潮SSM应用监管系统

管理安全

浪潮SSM应用监管系统

浪潮SSC运维安全管控系统

  

  浪潮安全应用交付系统

  浪潮安全应用交付系统(简称“浪潮SSA”)系列产品是浪潮针对行业和大企业数据中心开发的新一代软硬件一体产品。作为企业级安全应用交付解决方案,该产品致力于解决客户的关键应用如何高效、安全、智能、可靠地发布到用户端,有效整合负载均衡、WEB应用安全、连接优化、应用加速等技术,能够在极大地提高数据中心核心业务系统的可用性、效率和安全性的同时,降低数据中心基础设施投资成本、维护复杂度和能源消耗。

  

  浪潮安全应用交付系统解决方案TOP

  浪潮安全应用交付系统提供高中低端产品,可以满足不同省市规模数据中心的要求,并且能够与传统数据中心、虚拟化数据中心和云计算基础设施无缝集成。浪潮SSA安全应用交付系统的4-7层负载均衡技术、WEB防护技术,保证数据能够安全可靠地交付到业务系统环节中。

  服务器负载均衡

  对于服务器的利用率和稳定性这两个至关重要的方面,业内有着全面、完善的解决方案。运用多台服务器集群的机制浪潮SSA系列应用交付设备能将所有真实服务器配置成虚拟服务来实现负载均衡,对外直接发布一个虚拟服务IP。当用户请求到达应用交付设备的时候,根据预先设定的基于多重四、七层负载均衡算法的调度策略,能够合理的将每个连接快速的分配到相应的服务器,从而合理利用服务器资源。不仅在减少硬件投资成本情况下解决单台服务器性能瓶颈,同时方便后续扩容,为大并发访问量的系统提供性能保障。通过对服务器健康状况的全面监控,浪潮SSA系列应用交付设备能实时地发现故障服务器,并及时将用户的访问请求切换到其他正常服务器之上,实现多台服务器之间冗余。从而保证关键应用系统的稳定性,不会由于某台服务器故障,造成应用系统的局部访问中断。此外,针对不同访问用户群的业务请求,应用交付设备也可通过商业智能分析提供商业决策依据。

  应用加速机制

  缓存技术:

  浪潮SSA内容缓存技术将应用服务器中的一些经常被用户访问的热点内容缓存在设备的内存中。当客户端访问这些内容时,负载均衡设备截获客户端请求,从缓存中读取客户端需要的内容并将这些内容直接返回给客户端。由于是直接从内存中读取,这种技术能够提高网络用户的访问速度,并大大减轻后端服务器的负载情况。

  SSL卸载功能:

  SSL卸载功能的浪潮SSA应用交付设备,可以充当起SSL代理服务器的角色,将专用的SSL应用程序置于网络服务器的前端,不影响后台服务器主机的CPU资源,从而全面卸除SSL数据处理的负荷,减少服务器端的性能压力,提升客户端的访问响应速度。

  应用安全检测

  浪潮SSA内置安全检测引擎,为客户提供最佳的应用漏洞和未知威胁防御能力。各检测引擎独立工作,又相互协同工作,可对HTTP/HTTPS和压缩数据流进行全面的分析,极大地提高应用安全防御能力和检测效率。有效解决了SQL注入、跨站脚本(XSS)、跨站请求伪造、拒绝服务攻击(DDOS)等常见的应用层安全威胁,保护Web应用服务安全,防止网页被篡改,敏感信息泄露。

  浪潮主机安全增强系统

  浪潮SSR主机安全增强系统(以下简称浪潮SSR)是基于先进的ROST技术理论从系统层对操作系统进行加固的系统安全解决方案。

  浪潮SSR通过安装在电力核心服务器之上,实现对电力调度实时数据、生产管理数据、通信监测数据等实时、准实时控制业务及管理信息等业务服务器底层OS(AIX、Solaris、Windows)保护。

  技术功能

  浪潮SSR主要原理是通过对文件、目录、进程、注册表和服务的强制访问控制,通过三权分立有效的制约和分散了原有系统管理员的权限,综合了对文件和服务的完整性检测、防缓冲区溢出等功能,能够把普通的操作系统从体系上升级,使其符合国家信息安全等级保护服务器主机安全增强的三级标准。

  此产品是完全独立自主开发,具有自主知识产权的专门针对系统层安全防护的安全产品,完全不同于防火墙、IDS、杀毒软件等作用在网络层的安全产品,防火墙、IDS、杀毒软件等都是一种“戴口罩”被动的安全防护理念。浪潮SSR就是要使操作系统本身达到一种自身的免疫,去掉口罩也能达到安全防护的目的。浪潮SSR是作用在系统层对网络核心的服务器操作系统进行安全加固,保护了系统中重要数据和应用的安全,从根本上免疫了目前各种针对操作系统的攻击行为,即使病毒木马或者入侵者获取系统管理员权限,也不能破坏系统和被保护的文件,彻底防止了病毒、蠕虫、黑客攻击等对操作系统和数据库的破坏。

  技术原理

  浪潮SSR根据国家三级的安全标识保护级别的标准,为系统中的信息交换的主客体分别加上安全标记,从而达到了强制访问控制(MAC),制约了操作系统原有的自主访问控制策略(DAC),从根本上控制了信息的交换,实现安全的信息交换的方法。

  ROST技术实际上是在驱动层加上安全内核模块,拦截所有的内核访问路径,从而达到三级的技术要求,达到的安全效果和重构操作系统原代码技术类似,好处是不会影响客户的业务连续性,甚至不需要客户重启系统,对上层的所有应用都支持,对下层所有系统都支持,而且能在操作系统粒度上保证上层应用的安全,是安全服务器标准的技术基础。

  两种访问控制模型示意图如下:

  

  图 浪潮SSR技术模型

  功能模块

  1)内核级文件强制访问控制模块

  允许对用户或进程以不同访问权限对文件/目录设制访问规则,并且可以对文件/目录和用户设定安全级别,按级别通过安全模型实施访问控制,任何用户(包括系统管理员Administrator、root)及其调用的进程对敏感文件或目录进行创建、删除、修改、读取等操作时,将根据SSR规则进行过滤(允许或拒绝)。

  2)内核级注册表强制访问控制模块

  允许对进程以不同访问权限对注册表项设制访问规则,任何用户(包括系统管理员Administrator)及其调用的非授权进程对SSR设置为“只读”或“禁止访问”的注册表项进行写操作将无条件拒绝。

  3)内核级服务强制访问控制模块

  该模块通过及时发现新增应用服务或驱动,并立即强行终止应用服务或驱动的注册,达到对服务进行访问控制的目的。

  4)内核级进程强制访问控制模块

  允许对进程以不同访问权限对进程设制访问规则,任何用户(包括系统管理员)及其调用的非授权进程都无权终止与操作受SSR保护的进程。

  5)进程保护机制

  SSR(UNIX系列)提供了一套进程保护机制,可以防止恶意用户杀掉重要的系统进程以及服务进程,从而保障系统的正常运转,这里客体是进程,即使是root用户也无法终止被保护的进程。

  通过在进程操作访问界面上,我们判断内存中的进程,和用户的标记,来判断是否有权限让该用户终止该进程。

  6)网络强制访问控制

  这里主体是用户,客体是网络资源,SSR把网络资源分为两类,一个是自主的绑定socket端口,另一种是远程连接网络资源,SSR默认情况下是禁止任何主体(用户)使用这两个网络资源的,也就是不允许所有用户绑定端口以及远程连接网络资源,这样可以防止非法取得DAC控制权限的黑客制造系统的隐蔽信道以及窃取网络资源等等。

  这里的客体是网络资源,主体是用户,我们在相应的网络访问界面上,根据内存中的主客体的安全标记,来判断在该网络访问界面上该用户是否有权限使用网络资源。

  7)应用级文件完整性检测模块

  由用户指定需要建立校验信息的关键性只读目录及数据文件名称,检测程序自动记录目录中所有文件的基本属性及内容校验和。通过定期进行校验和的有效性检测,可以达到验证重要文件或目录完整性的目的。

  8)应用级服务完整性检测

  检测程序自动记录目录中所有服务的基本属性及内容校验和。通过定期进行校验和的有效性检测,可以达到验证服务完整性的目的。

  9)身份认证

  在尊重传统的身份认证下,运用硬件USB-KEY和密码分别对安全管理员及审计管理员进行双重身份认证。具有安全可靠性,为数据提供机密性、完整性、有效性提供保证。

  浪潮运维安全(浪潮运维安全管控系统、浪潮应用监管系统)

  提高在线分析预警、预控能力,适应调度大值班的要求;提高实时运行控制能力,适应国家电网一体化调度的要求。以上两条是建设电力系统的重点。

  电力应用系统通过整合多个业务系统,结合大运行体系建设,纵向安全贯通各级调度,支撑调度业务的一体化运作,提高调度驾驭大电网的能力,联合应对重大电网事故。

  浪潮SSM能够与智能电网调度技术支持系统中预警功能(实时监控与预警、调度计划、安全校核和调度管理)有效结合,完全按照业务特性,对业务系统中的基础资源进行安全状况监控,包括服务器基本资源、操作系统、数据库、中间件、虚拟机等。

  浪潮SSC在智能电网调度技术支持系统建设同时,通过4A技术保证内部管理人员、第三方开发人员授权、账户等的有效管理。

  

  浪潮运维安全管控

  技术原理

  浪潮SSC运维安全管控系统,以下简称SSC。浪潮SSC综合了运维管理和安全性的融合,切断了终端计算机对网络和服务器资源的直接访问,而是采用协议代理的方式,接管了终端计算机对网络和服务器的访问。形象地说,终端计算机对目标的访问,均需要经过SSC的认证授权。

  浪潮SSC采用操作还原等技术对系统运维人员、业务人员、第三方运维厂商的操作行为进行细粒度的访问控制,拦截非法访问,和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为。

  主要功能模块

  1)账号管理

  账号管理包含对所有服务器、网络设备账号的集中管理,账号和资源的集中管理是集中授权、认证和审计的基础。集中账号管理可以完成对账号整个生命周期的监控和管理,而且还降低了企业管理大量用户账号的难度和工作量。同时,通过统一的管理还能够发现账号中存在的安全隐患,并且制定统一的、标准的用户账号安全策略。通过建立集中账号管理,企业可以实现将账号与具体的自然人相关联。通过这种关联,可以实现多级的用户管理和细粒度的用户授权。而且,还可以实现针对自然人的行为审计,以满足审计的需要。

  2)身份认证

  内控堡垒主机为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理,而且能够采用更加安全的认证模式,提高认证的安全性和可靠性。

  集中身份认证提供静态密码、Windows NT域、Windows Kerberos、双因素、一次性口令和生物特征等多种认证方式,而且系统具有灵活的定制接口,可以方便的与第三方认证服务器之间结合。

  3)资源授权

  内控堡垒主机系统提供统一的界面,对用户、角色及行为和资源进行授权,以达到对权限的细粒度控制,最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断。在集中访问授权里强调的“集中”是逻辑上的集中,而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能,管理员也由各自的归口管理部门委派,但是这些管理员在极地银河内控堡垒主机系统上,可以对各自的管理对象进行授权,而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权,对某些应用还可以限制用户的操作,以及在什么时间进行操作这样应用内部的细粒度授权。

  4)安全审计

  操作审计管理主要审计人员的账号使用(登录、资源访问)情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的账号、资源进行标识后,操作审计能更好地对账号的完整使用过程进行追踪。内控堡垒主机系统通过系统自身的用户认证系统、用户授权系统,以及访问控制等详细记录整个会话过程中用户的全部行为日志。还可以将产生的日志传送给第三方产品。

  浪潮应用安全监管系统

  3技术原理

  浪潮SSM应用监管系统,以下简称SSM。SSM是浪潮依据多年IT系统运维管理经验,从客户角度出发推出的一款面向应用的监管系统,定位于对应用服务、网管系统、基础支撑系统等一系列资源的不间断监控,能够对业务应用支撑系统进行统一监控的应用监控管理平台。系统为客户提供直观、全面、多角度的视图,动态预测业务应用的发展,对影响正常运转的事件快速响应,帮助信息部门建立主动化管理模式,实现对IT 资源和运维资源的高效管理,提升业务服务质量,从而保障IT信息系统的可持续性发展。

  SSM面向应用管理组织,从底层数据采集、数据处理、功能展现三个层次实现应用监测,进行应用的故障根源分析,真正实现业务应用视角进行实时监管。以下为浪潮SSM应用监管系统工作架构原理:

  

  主要功能模块

  1)网络安全设备管理

  全面支持CISCO、华为、中兴、北电、Foundry、Extreme、Avaya、H3C 、DLink等各种不同厂商、不同型号的网络与安全设备,提供各类设备的基本信息、CPU / MEM负载状况,设备可用状态、连续运行时间、响应延时、端口速率、ICMP连通性等设备属性与监测信息,亦可自定义SNMP监测内容。

  2)服务器系统管理

  管理和监测Windows、Linux、IBM AIX、AS/400、HP-UX、SUN Solaris、SCO Unix 、SGI、Tru64等不同操作系统的服务器或集群的运行状态和性能数据,包括服务器的基本信息、CPU负载、内存利用率、应用进程、文件系统、磁盘空间和吞吐、事件与错误日志等信息的分析与监视。帮助用户及早发现服务器系统的性能瓶颈与故障隐患。

  3)数据库及中间件管理

  根据预定义的监测项目对Oracle、SQL Server、Sybase、DB2、Informix 、MySQL等多种数据库,按照属性相关性分为数据库工作状态、数据库表空间的利用情况、数据文件和数据设备的读写命中率、数据碎片的情况、数据库的进程状态、数据库内存利用状态等属性监测组,分组监测数据库系统的性能、事务、连接等性能数据。

  4)基础应用平台及通用服务管理

  提供对IIS、Apache 、Exchange、Domino等基础应用平台的基础信息、连接测试、基本负载等重要信息的监测。有效实时地分析HTTP/HTTPS 、DNS、FTP、DHCP、LDAP等常见通用服务的运行状态和参数,深入分析服务响应速度变化的技术原因和规律,从根本上解决服务响应性能的问题。

  5)虚拟化平台监测

  对VMware等虚拟化平台实时监测,主要监测虚拟机常见的性能指标如CPU、内存、磁盘等。

  三、浪潮解决方案优势及价值

  浪潮主机安全建设方案保证数据在数据中心流程中的安全,从外部访问和内部访问、系统应用安全、主机安全的角度为客户打造了纵深的防御体系。在保证对外部用户提供高可用的应用时,同时还保证了数据中心安全服务器本身的安全,对内部用户实行集中管控机制,形成了对数据中心应用的实时监管,数据中心运行状况可视化的全方位的安全体系。

  面对海量的访问数据,本方案能够根据服务器状态,有效选择最优链路,访问响应最快的服务器提供服务。通过应用加速机制降低了服务器性能压力,使服务器更专注于处理计算,从而给用户更好的访问体验,实现快速、稳定。安全检测引擎,对web数据进行全面的分析和过滤,有效防止SQL注入、跨站脚本(XSS)、跨站请求伪造、拒绝服务攻击(DDOS)等常见的应用层安全威胁。

  通过对服务器设置访问控制规则,对系统内核层进行加固,保护系统中的重要数据和应安全。通过主机内核加固,添加白名单控制规则,从根本上免疫目前针对各类攻击,彻底防范病毒、木马对操作系统及业务平台的破坏,而且还透明提升到国家计算机等级保护三级标准。

  提供对于整个系统缺乏统一的安全监控,做到真正的做到事前防御、事中检查快速定位,事后找到解决办法。对数据中心整体安全状况进行全面实时监测,做到安全可视化、可量化,降低了故障发生率,提升故障解决率,同时也能为未来信息化建设提供数据依据。

  通过4A技术和三权分立技术,保证运维、操作人员的最小权限,保证运维过程中的安全和可信。通过流程化的资源管理,保证运维工作的正常、高效进行。对服务器的资源,尤其是业务信息系统资源实现细粒度的强制访问控制。任何非授权行为都不能对系统关键资源实施窃取、破坏等行为。

关于浪潮

集团简介 文化理念 资质荣誉 董事长致辞 新闻与公告 市场活动

探索浪潮

关键应用主机 通用服务器 浪潮云 浪潮云ERP 大数据资源与交易 智慧城市

支持服务

产品资料下载 查询服务进度 获取帮助 安全通告

联系浪潮

招聘 营销网络地图 联系我们

快速链接

ERP支持与服务 浪潮电子采购平台 投资者关系 投行项目 道德遵从

在社交媒体上关注我们

拨打咨询电话