- 2017-01-05 軟件定義的防火墻顛覆令人揪心的醫(yī)院傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)_第1頁(yè)
- 2017-01-05 軟件定義的防火墻顛覆令人揪心的醫(yī)院傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)_第2頁(yè)
- 2017-01-05 軟件定義的防火墻顛覆令人揪心的醫(yī)院傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)_第3頁(yè)
- 2017-01-05 軟件定義的防火墻顛覆令人揪心的醫(yī)院傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)_第4頁(yè)
- 2017-01-05 軟件定義的防火墻顛覆令人揪心的醫(yī)院傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)_第5頁(yè)
已閱讀5頁(yè),還剩7頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、提供的爬取軟件來(lái)源于:52夜泉 免費(fèi)下載使用 【黃瑜專欄】軟件定義的防火墻:顛覆令人揪心的醫(yī)院傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)原創(chuàng) 黃瑜 HIT專家網(wǎng)news HIT專家網(wǎng)news 微信號(hào) HIT180com功能介紹 HIT專家網(wǎng)(www.HIT180.com)是北京和思凱文化傳媒有限公司旗下專注醫(yī)療信息化(HIT)市場(chǎng)咨詢服務(wù)的信息交流平臺(tái),自2012年6月18日正式創(chuàng)建上線以來(lái),形成了專業(yè)的內(nèi)容服務(wù)、會(huì)議服務(wù)、咨詢服務(wù),致力推進(jìn)中國(guó)衛(wèi)生信息化!2017-01-05云南省紅河州滇南中心醫(yī)院信息中心主任 黃瑜7個(gè)月前,借助醫(yī)院機(jī)房搬遷,紅河州滇南中心醫(yī)院成功應(yīng)用了新一代網(wǎng)絡(luò)安全平臺(tái)。如果說(shuō)更換

2、核心服務(wù)器是一臺(tái)外科心臟手術(shù),對(duì)醫(yī)院網(wǎng)絡(luò)的全面調(diào)整和安全部署,則可以稱得上是對(duì)大腦和全身神經(jīng)系統(tǒng)同時(shí)動(dòng)手術(shù)!而這一切都是在信息中心全體同仁辛苦努力下自主規(guī)劃并實(shí)施完成的。受?chē)?guó)內(nèi)同行專家的啟發(fā)和鼓勵(lì),在此簡(jiǎn)要回顧這次大手術(shù)的幾個(gè)關(guān)鍵點(diǎn)。本文對(duì)于前期大量反復(fù)演練模擬,實(shí)施期間的通宵奮戰(zhàn),甚至在最后一刻差點(diǎn)放棄的痛苦煉獄過(guò)程,均一筆帶過(guò),重點(diǎn)闡述新一代醫(yī)院網(wǎng)絡(luò)安全平臺(tái)的實(shí)現(xiàn)步驟、方法及7個(gè)月來(lái)的應(yīng)用成效,旨在得到同行及專家的指正。令人揪心的醫(yī)院網(wǎng)絡(luò)安全隱患對(duì)醫(yī)院信息中心而言,網(wǎng)絡(luò)安全管理技術(shù)往往較為薄弱,一般依托專業(yè)廠商,通過(guò)在醫(yī)院網(wǎng)絡(luò)出入口處部署相關(guān)安全產(chǎn)品來(lái)達(dá)到網(wǎng)絡(luò)安全管理的基本要求,包括最流行

3、的“互聯(lián)網(wǎng)+應(yīng)用”的接入等。對(duì)醫(yī)保、銀醫(yī)、4G專網(wǎng)、區(qū)域衛(wèi)生平臺(tái)等大量需要與醫(yī)院進(jìn)行日常交互的外部網(wǎng)絡(luò)的接入,均缺乏基本的防護(hù),在醫(yī)院終端訪問(wèn)數(shù)據(jù)中心的通道則完全沒(méi)有安全防護(hù)。造成上述醫(yī)院信息網(wǎng)絡(luò)安全管理的困境,首要原因是醫(yī)院網(wǎng)絡(luò)架構(gòu)普遍采取傳統(tǒng)的物理隔離方式,浪費(fèi)了大量的網(wǎng)絡(luò)設(shè)備的投資。其次,醫(yī)院信息網(wǎng)絡(luò)安全規(guī)劃和技術(shù)應(yīng)用嚴(yán)重滯后,造成了安全防護(hù)特別脆弱,終端獲取資源也極不方便。而最讓人揪心的是:醫(yī)院數(shù)據(jù)中心和整個(gè)網(wǎng)絡(luò)安全狀況面臨巨大的風(fēng)險(xiǎn)。顛覆傳統(tǒng):?jiǎn)⒂密浖x的防火墻全新規(guī)劃經(jīng)過(guò)對(duì)軟件定義的防火墻技術(shù)的全方位考察調(diào)研,紅河州滇南中心醫(yī)院日前借助中心機(jī)房整體搬遷之機(jī),大膽創(chuàng)新,對(duì)醫(yī)院網(wǎng)絡(luò)從

4、結(jié)構(gòu)到安全,進(jìn)行了顛覆性改造:自主應(yīng)用軟件定義的防火墻產(chǎn)品,成功打造了新一代的醫(yī)院網(wǎng)絡(luò)安全平臺(tái)。這是一條不同尋常的網(wǎng)絡(luò)安全管理之路。以往,醫(yī)院一般是先把網(wǎng)絡(luò)構(gòu)建好,再進(jìn)行網(wǎng)絡(luò)安全部署。而我們的這次做法剛好相反,先對(duì)網(wǎng)絡(luò)安全進(jìn)行頂層設(shè)計(jì),再行網(wǎng)絡(luò)架構(gòu)。也就是說(shuō),網(wǎng)絡(luò)架構(gòu)不僅僅是承載整個(gè)醫(yī)院的信息系統(tǒng)應(yīng)用,更是安全服務(wù)的載體。新一代醫(yī)院網(wǎng)絡(luò)安全平臺(tái)應(yīng)讓網(wǎng)絡(luò)架構(gòu)發(fā)揮最大成效,不但要安全而且要方便,讓醫(yī)院輕松實(shí)現(xiàn)需要網(wǎng)絡(luò)資源的群體安全。我院剛好面臨全院大量增加終端、原使用了15年的中心機(jī)房必須搬遷、“互聯(lián)網(wǎng)+應(yīng)用”迫在眉睫等幾個(gè)棘手解決的問(wèn)題。因此重新梳理規(guī)劃顯得異常重要。事后也證明,做好規(guī)劃等于成功

5、了一半。規(guī)劃的重點(diǎn)是:顛覆傳統(tǒng)物理隔離網(wǎng)絡(luò)架構(gòu),在防火墻策略的保護(hù)下,使用全網(wǎng)邏輯隔離構(gòu)建全新網(wǎng)絡(luò),并對(duì)安全區(qū)域重新定義劃分。 過(guò)去我院采用傳統(tǒng)的物理隔離的方式,內(nèi)外網(wǎng)物理隔離,需要交互的直接通過(guò)DMZ區(qū)進(jìn)行交互。如圖一所示:圖一:醫(yī)院傳統(tǒng)內(nèi)外網(wǎng)物理隔離網(wǎng)絡(luò)架構(gòu)圖在此網(wǎng)絡(luò)結(jié)構(gòu)下,醫(yī)院從核心交換、匯聚及接入,均需要不同的網(wǎng)絡(luò)鏈接,來(lái)獲取被物理隔離的資源。這一網(wǎng)絡(luò)架構(gòu)主要存在問(wèn)題是:(1)從核心交換到匯聚到接入,三層交換設(shè)備各需要安裝2套;(2)獲取內(nèi)外網(wǎng)資源需要兩臺(tái)終端或兩條網(wǎng)絡(luò)線路;(3)DMZ區(qū)可同時(shí)鏈接內(nèi)外網(wǎng)資源,存在巨大安全漏洞和隱患;(4)作為醫(yī)院最重要的數(shù)據(jù)中心和內(nèi)網(wǎng)客戶端無(wú)法分離,

6、混雜在一個(gè)網(wǎng)絡(luò)內(nèi),無(wú)法解決內(nèi)網(wǎng)自身的不安全問(wèn)題。針對(duì)以上問(wèn)題,我們對(duì)網(wǎng)絡(luò)及安全管理作了如圖二(醫(yī)院現(xiàn)網(wǎng)絡(luò)安全架構(gòu))的規(guī)劃:圖二:全網(wǎng)邏輯隔離的醫(yī)院網(wǎng)絡(luò)安全架構(gòu)在規(guī)劃中可以清晰地看到:整個(gè)醫(yī)院網(wǎng)絡(luò)架構(gòu)分成了3個(gè)區(qū)域。其中,軟件邊緣防火墻和硬件防火墻把“互聯(lián)網(wǎng)+”及第三方應(yīng)用隔離在外面。醫(yī)院傳統(tǒng)的內(nèi)外網(wǎng)合并成全網(wǎng)邏輯隔離區(qū)域,該區(qū)域與外界交互必須經(jīng)過(guò)軟件邊緣防火墻和硬件防火墻。最核心的醫(yī)院數(shù)據(jù)中心區(qū)域架設(shè)了軟件后端防火墻陣列。在此架構(gòu)下,當(dāng)一臺(tái)防火墻有自身環(huán)境故障,陣列將發(fā)揮冗余作用,無(wú)故障時(shí)防火墻負(fù)載均衡,網(wǎng)絡(luò)安全處理能力理論上提升雙倍。顯然,凡是和醫(yī)院數(shù)據(jù)中心服務(wù)器區(qū)進(jìn)行交互,必須經(jīng)過(guò)3道防火

7、墻的隔離和驗(yàn)證。把醫(yī)院內(nèi)外網(wǎng)物理隔離合并成邏輯隔離,并且和醫(yī)院數(shù)據(jù)中心區(qū)域進(jìn)行了嚴(yán)格的劃分。由于網(wǎng)絡(luò)規(guī)則的定義及運(yùn)用非常嚴(yán)密,且醫(yī)院終端接入?yún)^(qū)域和數(shù)據(jù)中心嚴(yán)格劃分,用軟件隔離,因此,網(wǎng)絡(luò)核心交換機(jī)、匯聚交換機(jī)、接入交換機(jī)均直接邏輯隔離。實(shí)現(xiàn)傳統(tǒng)網(wǎng)絡(luò)架構(gòu)到新布局的切換按照以上規(guī)劃,要將傳統(tǒng)網(wǎng)絡(luò)架構(gòu)切換到整個(gè)新布局。切換的難點(diǎn)在于:網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)原理及網(wǎng)絡(luò)配置的運(yùn)用和對(duì)軟件防火墻安全策略的熟練掌握上。結(jié)合網(wǎng)絡(luò)構(gòu)建,全網(wǎng)VLAN劃分為8大區(qū)域。兩臺(tái)防火墻服務(wù)器均啟用4塊網(wǎng)卡,負(fù)責(zé)網(wǎng)絡(luò)安全定義允許的各協(xié)議網(wǎng)絡(luò)數(shù)據(jù)流,啟用DNS服務(wù)器配合防火墻對(duì)醫(yī)院所有接入終端進(jìn)行命名、登記及尋址。在醫(yī)院網(wǎng)絡(luò)不斷網(wǎng)的情

8、況下,搬遷冗余核心交換機(jī)中的一臺(tái)到新機(jī)房,對(duì)網(wǎng)絡(luò)協(xié)議配置進(jìn)行調(diào)整,配置好鏈接核心的后端防火墻策略。這是一次革命性的改變,在傳統(tǒng)的內(nèi)網(wǎng)終端訪問(wèn)數(shù)據(jù)中心HIS、LIS、PACS、EMR等所有數(shù)據(jù)庫(kù),都將先經(jīng)過(guò)防火墻驗(yàn)證。調(diào)整完畢后,即停止未搬遷的核心交換機(jī),醫(yī)院網(wǎng)絡(luò)全網(wǎng)停止服務(wù)。然后啟用搬遷的核心交換機(jī),在防火墻策略的配合下,在核心交換機(jī)上刪除DMZ區(qū)、原外圍隔離區(qū)VLAN,防火墻上設(shè)置全網(wǎng)不允許外圍網(wǎng)絡(luò)訪問(wèn),增加新規(guī)劃的VLAN及相關(guān)路由。測(cè)試終端鏈接情況,很快HIS終端報(bào)告鏈接成功、LIS成功.接著配置邊緣防火墻,啟用各種訪問(wèn)策略,允許與外界交互的包括互聯(lián)網(wǎng)、新農(nóng)合、醫(yī)保、4G應(yīng)用均分別一一成

9、功。至此整個(gè)網(wǎng)絡(luò)安全平臺(tái)架構(gòu)完成切換。需要強(qiáng)調(diào)的是,耗時(shí)6小時(shí)的正式切換工作,離不開(kāi)大量前期反復(fù)模擬演練和方案完善過(guò)程?;谲浖阑饓Φ膽?yīng)用實(shí)例以下以軟件定義的防火墻輕松實(shí)現(xiàn)硬件安全設(shè)備的產(chǎn)品功能進(jìn)行部分舉例,訪問(wèn)策略針對(duì)網(wǎng)絡(luò)邊界的清晰劃分,在邊緣防火墻和后端防火墻上輕松設(shè)定相關(guān)安全策略。1、入侵檢測(cè)功能應(yīng)用,見(jiàn)圖三。圖三:入侵防御系統(tǒng),取代硬件入侵檢測(cè)設(shè)備。2、出入口控制功能應(yīng)用,見(jiàn)圖四。圖四:出入口控制一目了然,代替出入口控制相關(guān)設(shè)備3、上網(wǎng)行為管理功能應(yīng)用(1)設(shè)置邊緣防火墻允許的上網(wǎng)時(shí)段,如下圖設(shè)置工作時(shí)間,藍(lán)色區(qū)域?yàn)楣ぷ鲿r(shí)段,星期一至星期五每天8:00-12:00 13:00-17:

10、00,星期六8:00-12:00,見(jiàn)圖五。圖五:限定IP或某個(gè)組群的上午時(shí)限(2)限制只能上某些網(wǎng)址,新建域名集,加入允許訪問(wèn)的網(wǎng)址,見(jiàn)圖六。圖六:限制終端范圍非經(jīng)允許的網(wǎng)站4、web智能篩選應(yīng)用在軟件防火墻里設(shè)置Web訪問(wèn)策略,見(jiàn)圖七。七:可以允許哪種類型的圖片傳輸,可按文件的內(nèi)容進(jìn)行過(guò)濾。5、網(wǎng)閘功能,見(jiàn)圖八。圖八:端口任意映射和隱藏,輕松實(shí)現(xiàn)網(wǎng)閘功能。6、互聯(lián)網(wǎng)+應(yīng)用在兩個(gè)軟件防火墻的保護(hù)下,應(yīng)用的數(shù)據(jù)流走向示意圖,安全可靠,見(jiàn)圖九。圖九:互聯(lián)網(wǎng)+應(yīng)用數(shù)據(jù)流從以上功能實(shí)現(xiàn)看,軟件定義的防火墻功能確實(shí)十分強(qiáng)大。更多功能的應(yīng)用,我們還在發(fā)掘探索中。其他包括身份認(rèn)證、VPN、反惡意軟件檢測(cè)等應(yīng)

11、用,這里就不再一一列舉。新一代軟件防火墻,功能覆蓋了OSI 7層模型中的上5層,即網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層、應(yīng)用層,而這5層涵蓋了醫(yī)院網(wǎng)絡(luò)應(yīng)用的所有場(chǎng)景。限于篇幅防火墻的部署不再贅述。經(jīng)策略部署,僅軟件后端防火墻即有七道防線保護(hù)著醫(yī)院信息系統(tǒng)和數(shù)據(jù)中心的安全:1、邊界安全防護(hù)(可以通過(guò)設(shè)置防火墻策略來(lái)控制客戶端的網(wǎng)絡(luò)訪問(wèn),如自定義用戶能否訪問(wèn)、何時(shí)訪問(wèn)、訪問(wèn)什么、怎樣訪問(wèn)等等);2、關(guān)鍵路徑防護(hù)(在關(guān)鍵位置增加軟件,如外圍與內(nèi)網(wǎng)連接處、內(nèi)網(wǎng)與服務(wù)器群連接處); 3、應(yīng)用行為防護(hù)(軟件有很強(qiáng)的日志記錄與自定義查詢,以及實(shí)時(shí)會(huì)話監(jiān)控功能);4、Web應(yīng)用防護(hù)(軟件 提供防范最新的基于 Web

12、 的威脅,包括 URL 過(guò)濾、反惡意軟件檢測(cè)和入侵預(yù)防等);5、邏輯隔離區(qū)域防護(hù)(多層防火墻的設(shè)置讓核心區(qū)堅(jiān)不可摧);6、數(shù)據(jù)安全防護(hù);7、管理安全防護(hù)(這些功能均集成到一個(gè)統(tǒng)一、易于管理的網(wǎng)關(guān)中,從而降低 Web 安全的成本和復(fù)雜程度)。新一代醫(yī)院網(wǎng)絡(luò)安全平臺(tái)效果分析通過(guò)近7個(gè)月的應(yīng)用,目前未出現(xiàn)網(wǎng)絡(luò)安全問(wèn)題。因無(wú)需內(nèi)外網(wǎng)物理隔離,網(wǎng)絡(luò)設(shè)備投入減少一半。尤其在核心交換、樓層匯聚方面的網(wǎng)絡(luò)設(shè)備投資顯著減少。因使用軟件定義的防火墻,無(wú)須購(gòu)買(mǎi)大量的網(wǎng)絡(luò)安全產(chǎn)品,前后節(jié)約近百萬(wàn)元。而最大的功效是,醫(yī)院信息中心通過(guò)自行部署,對(duì)整個(gè)醫(yī)院網(wǎng)絡(luò)安全的把控能力得到前所未有的提升,信息科團(tuán)隊(duì)的安全運(yùn)維能力將會(huì)發(fā)

13、揮越來(lái)越顯著的作用。作為醫(yī)療機(jī)構(gòu),圍繞醫(yī)療服務(wù)過(guò)程中產(chǎn)生的資源,醫(yī)護(hù)及患者需要獲取的信息都能極其便捷、智能、安全的獲取。如果說(shuō)硬件的安全防護(hù)設(shè)備更多的是針對(duì)網(wǎng)絡(luò)的限制部署,而軟件則能做到按資源獲取的需要來(lái)個(gè)性化配置。網(wǎng)絡(luò)安全永遠(yuǎn)在路上網(wǎng)絡(luò)安全無(wú)小事,在普遍的依賴廠商提供的解決方案的現(xiàn)狀下,醫(yī)院自身更多的是被動(dòng)式接受安全方案,醫(yī)院自身缺乏對(duì)方案的可靠性、經(jīng)濟(jì)性及后續(xù)運(yùn)維復(fù)雜性的評(píng)判和合理定位。通過(guò)這次升級(jí)實(shí)踐,我們探索了一條立足自身規(guī)劃和實(shí)施的醫(yī)院網(wǎng)絡(luò)安全建設(shè)之路。緊密結(jié)合和圍繞醫(yī)院信息化的各種應(yīng)用,在遵循網(wǎng)絡(luò)原理的基礎(chǔ)上,研究醫(yī)療信息化的共享交互規(guī)律。雖然取得了一些寶貴的經(jīng)驗(yàn),獲得了較好的經(jīng)濟(jì)效益,但是依然存在一些問(wèn)題,如軟件防火墻后續(xù)版本目前更新緩慢,軟件防火墻陣列的NLB功能未成功應(yīng)用。因此,沒(méi)有絕對(duì)安全的網(wǎng)絡(luò),管理制度的完善,日常的巡查以及安全方案運(yùn)行中的不斷完善調(diào)整,都是未來(lái)需要常抓不懈的?!咀髡吆?jiǎn)介】黃瑜,初入HI

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論