XX醫(yī)院機房改造方案

XX醫(yī)院

機房改造方案一.項目背景為了更好適應(yīng)時代發(fā)展，迎接網(wǎng)絡(luò)與信息技術(shù)快速發(fā)展創(chuàng)新帶來的安全新問題、新挑戰(zhàn)，保障單位關(guān)鍵信息基礎(chǔ)設(shè)施在新技術(shù)、新設(shè)施、新應(yīng)用為代表的新經(jīng)濟、新環(huán)境下的平穩(wěn)運行與數(shù)據(jù)安全，醫(yī)院根據(jù)監(jiān)管單位相關(guān)標準要求，以安全技術(shù)保障、安全管理運營、安全監(jiān)測預(yù)警、安全應(yīng)急響應(yīng)為核心，開展監(jiān)管體系卜機房建設(shè)整改，切實保障單位業(yè)務(wù)系統(tǒng)穩(wěn)定運作與網(wǎng)絡(luò)安全。機房建設(shè)需求分析應(yīng)用系統(tǒng)現(xiàn)狀醫(yī)院應(yīng)用系統(tǒng)數(shù)量較多，涉及HIS、LIS、PACS、健康體檢、掌上醫(yī)院、電子發(fā)票等多個系統(tǒng)。現(xiàn)階段互聯(lián)網(wǎng)前置機與內(nèi)網(wǎng)重要業(yè)務(wù)系統(tǒng)運行在同一安全域，未對內(nèi)外網(wǎng)應(yīng)用系統(tǒng)進行嚴格劃分，由于互聯(lián)網(wǎng)惡意攻擊多，易造成內(nèi)網(wǎng)HIS、LIS、PACS等系統(tǒng)的數(shù)據(jù)泄露或停止服務(wù)。因此本次改造是將內(nèi)網(wǎng)應(yīng)用與互聯(lián)網(wǎng)應(yīng)用進行嚴格劃分，將原有服務(wù)器用以承載健康體檢和掌上醫(yī)院等互聯(lián)網(wǎng)系統(tǒng)。采購新超融合服務(wù)器用以承載HIS、LIS、PACS等內(nèi)容應(yīng)用。網(wǎng)絡(luò)現(xiàn)狀分析醫(yī)院目前核心交換機暫時借用其他樓宇的匯聚交換機，網(wǎng)絡(luò)架構(gòu)需要優(yōu)化，并且核心交換處理性能要求較高，其主要的作用是快速轉(zhuǎn)發(fā)來自匯聚層的數(shù)據(jù)，核心交換機的端口要求數(shù)量多且?guī)捀?，具備更高的可靠性、冗余性、吞吐量等和相對較低的延時性。本次針對網(wǎng)絡(luò)交換改造如F：采購兩臺高性能核心交換機部署在內(nèi)網(wǎng)核心處,一臺交換機處理4聯(lián)網(wǎng)應(yīng)用系統(tǒng)的數(shù)據(jù)交換，一臺較高性能交換機處理內(nèi)網(wǎng)應(yīng)用系統(tǒng)的數(shù)據(jù)交換。安全現(xiàn)狀分析醫(yī)院現(xiàn)階段內(nèi)外網(wǎng)沒有進行嚴格劃分，容易遭受來自互聯(lián)網(wǎng)的惡意攻擊。例如：系統(tǒng)數(shù)據(jù)有可能被篡改，賬號及資金缺乏安全保障、服務(wù)器中勒索病毒等。邊界防護不完善：專線出口未采用入侵防御措施，存在較大的安全風險。缺失主機安全防護：服務(wù)器缺乏病毒檢測與查殺，一旦發(fā)生勒索事件，將造成巨大損失。缺少必要的審計手段：包括不限于上網(wǎng)行為日志，全網(wǎng)安全事件日志，數(shù)據(jù)庫操作審計，運維操作審計等，出現(xiàn)安全事件時，無法第一時間進行追溯，同時日志審計也是國家的法律《網(wǎng)絡(luò)安全法》的要求內(nèi)容之一。缺少數(shù)據(jù)庫安全防護：易出現(xiàn)對數(shù)據(jù)庫的攻擊從而導(dǎo)致數(shù)據(jù)泄露或丟失的風險。為保障醫(yī)院所有系統(tǒng)的安全穩(wěn)定運行，采用網(wǎng)閘設(shè)備對內(nèi)外網(wǎng)進行安全隔離,再采用防火墻、入侵防護設(shè)備部署在互聯(lián)網(wǎng)出口區(qū)，防火墻設(shè)備部署在內(nèi)網(wǎng)應(yīng)用服務(wù)器區(qū)、互聯(lián)網(wǎng)（前置）應(yīng)用服務(wù)器區(qū)。合理劃分安全域，保證各個區(qū)域安全穩(wěn)定運轉(zhuǎn)。三.整體架構(gòu)體系設(shè)計醫(yī)院信息系統(tǒng)外網(wǎng)建設(shè)外網(wǎng)信息系統(tǒng)需要建設(shè)的方面主要是：邊界防護、區(qū)域劃分、利舊服務(wù)器、新建網(wǎng)絡(luò)交換、主機安全。區(qū)域劃分：劃分互聯(lián)網(wǎng)出口區(qū)和互聯(lián)網(wǎng)應(yīng)用服務(wù)器區(qū)。邊界防護：采用防火墻和入侵防御系統(tǒng)部署在互聯(lián)網(wǎng)出UK,采用防火墻設(shè)備部署在互聯(lián)網(wǎng)應(yīng)用服務(wù)器區(qū)，對惡意流量進行識別和防護。采用上網(wǎng)行為管理對辦公上網(wǎng)用戶做安全管控與審計。利舊服務(wù)器：將原有服務(wù)器部署在互聯(lián)網(wǎng)應(yīng)用服務(wù)器區(qū)，承載健康體檢和學(xué)上醫(yī)院等互聯(lián)網(wǎng)系統(tǒng)。新建網(wǎng)絡(luò)交換：采用?臺交換機處理互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的數(shù)據(jù)交換。主機安全：通過給外網(wǎng)服務(wù)牌和終端電腦安裝終端安全管理軟件，對所有終端進行同一管理和殺毒，避免出現(xiàn)內(nèi)網(wǎng)被勒索、種馬等情況。醫(yī)院信息系統(tǒng)內(nèi)網(wǎng)建設(shè)內(nèi)網(wǎng)信息系統(tǒng)需要建設(shè)的方面主要是:邊界防護、區(qū)域劃分、新建應(yīng)用系統(tǒng)、新建網(wǎng)絡(luò)交換、主:機安全、安全管理。區(qū)域劃分：劃分內(nèi)網(wǎng)核心交換區(qū)和內(nèi)網(wǎng)應(yīng)用服務(wù)器區(qū)。邊界防護：采用防火堵部署在內(nèi)網(wǎng)應(yīng)用服務(wù)器區(qū)，對惡意流量進行識別和防護。新建應(yīng)用服務(wù)：采用新超融合服務(wù)器用以承我HIS、LIS、PACS等內(nèi)容應(yīng)用。新建網(wǎng)絡(luò)交換：采用兩臺高性能核心交換機部署在內(nèi)網(wǎng)核心處，采用一臺較高性能交換機處理內(nèi)網(wǎng)應(yīng)用系統(tǒng)的數(shù)據(jù)交換。新建安全管理區(qū)：采用日志審計和堡壘機部署在內(nèi)網(wǎng)核心處，通過日志審計對內(nèi)網(wǎng)網(wǎng)絡(luò)和安全設(shè)備進行口志統(tǒng)一收集和分析展示，通過堡壘機對內(nèi)網(wǎng)所有設(shè)備進行統(tǒng)?管理。主機安全：通過給外網(wǎng)服務(wù)器和終端電腦安裝終端安全管理軟件，對所有終端進行同?管理和殺毒，避免出現(xiàn)內(nèi)網(wǎng)被物索、種馬等情況。內(nèi)外網(wǎng)間數(shù)據(jù)交換設(shè)計嚴格劃分內(nèi)網(wǎng)信息系統(tǒng)和外網(wǎng)信息系統(tǒng)后，內(nèi)網(wǎng)系統(tǒng)數(shù)據(jù)庫與外網(wǎng)系統(tǒng)數(shù)據(jù)庫需要進行部分數(shù)據(jù)交換，因此需要考慮數(shù)據(jù)交換的安全穩(wěn)定。采用網(wǎng)閘設(shè)備部署在內(nèi)網(wǎng)核心交換機與互聯(lián)網(wǎng)交換機之間，網(wǎng)閘采用2+1架構(gòu)（兩個主機一個隔離硬件），對內(nèi)外網(wǎng)數(shù)據(jù)進行安全交換。機柜設(shè)計本次需要將以上設(shè)備使用新的機柜進行承載，本次采用標準機柜，要求能將新采購的設(shè)備放置完好。四、產(chǎn)品建設(shè)清單超融合平臺服務(wù)罌機柜1個標準機柜服務(wù)器2臺與之前采購的聯(lián)想服務(wù)器同型號和配置超融合軟件1套深信服超融合軟件，4節(jié)點網(wǎng)絡(luò)設(shè)備服務(wù)器交換機1臺需要?款華為有萬兆口的交換機機房核心交換機2臺目前用戶核心使用華為S7703,A前好像該型號沒有萬兆□，因此需要一款華為有萬兆□的交換機互聯(lián)網(wǎng)核心交換機1臺需要一款華為有萬兆□的交換機(性能比核心低)網(wǎng)絡(luò)安全設(shè)備隔離網(wǎng)閘1臺采用雙主機架構(gòu)，內(nèi)外網(wǎng)各6個千兆電口，內(nèi)外各2個擴展插槽，2個RJ45串口和4個USB3.0口，2U機箱，冗余電源，1Gbps吞吐量，含全部功能模塊。服務(wù)器防火墻1臺1U機型，含交流單電源，1*RJ45串口，1*RJ45管理口，2*1158接口,4*GE電口(2路bypass),1個接口擴展槽位,3Gbps吞吐量?；ヂ?lián)網(wǎng)出口防火墻1臺1U機型，含交流單電源，1*RJ45串口，1*RJ45管理口,2*USB接□,4*GE電口(2路bypass),1個接口擴展槽位，3Gbps吞吐量。前置業(yè)務(wù)防火墻1臺1U機型，含交流單電源，1*RJ45串口,1*RJ45管理口，2理SB接口,批注⑴:需要補充批注⑶:需要補充4*GE電口（2路bypass）,1個接口擴展槽位,3Gbps吞吐量。日志審計1臺1U,含交流冗余電源模塊，2*USB接口，TRJ45串口，1*GE管理口，4*千兆SFP插槽，6*GE電口,1個接口擴展槽位，1TBSATA硬盤。授權(quán)接入40個日志源。堡壘機1臺1U,交流單電源，4GCF卡，4TSATA硬盤，4G內(nèi)存，4"GE電口，2*USB接口，TRJ45串口，TGE管理口，1個接口擴展槽位。授權(quán)管理,50臺設(shè)備。殺毒軟件1套提供病毒防護、漏洞管理、邊界管理、軟件管理、IP/MAC管控、網(wǎng)絡(luò)管控、XP防護盾、流量管控等功能。上網(wǎng)行為管理1臺1U,含交流單電源模塊,10個「兆電口,4個千兆C