医院安全隔离与信息交互建议方案.doc
《医院安全隔离与信息交互建议方案.doc》由会员分享,可在线阅读,更多相关《医院安全隔离与信息交互建议方案.doc(21页珍藏版)》请在冰点文库上搜索。
某某人民医院网闸使用建议方案
某某人民医院网络隔离与信息交换
推
荐
方
案
深圳市利谱信息技术有限公司
(2012年)
目录
一、 需求分析 3
1.1 概述 3
1.2 某某人民网络的网络现状 3
1.3 网络结构说明 4
1.4 某某人民医院网络隔离与信息交换建设需求 4
1.5 某某人民医院的网络的安全现状 4
二、 设计原则及技术、设备选型依据 8
2.1 设计原则 8
三、 建设方案 9
3.1 某某人民医院网络隔离与信息交换设计拓扑图 9
3.2 TIPTOP物理隔离网闸的选型与依据 9
3.3 某某人民网络隔离与信息交换系统的运行 14
四、 实施计划 15
4.1 项目建立 15
4.2 项目保障 15
4.3 应用实施 15
4.4 实施进度表 16
五、 服务计划和培训 18
5.1 售后服务支持 18
5.2 故障处理程序 19
5.3 培训 20
一、需求分析
1.1概述
医院信息化建设经历了单机操作、局部网络化、全院的网络信息化建设三个阶段。
随着社会的进步,医院信息化建设也赶上时代的步伐,从最初的小规模的尝试进入了大规模的铺开。
医院内网通常部署有各种收费服务器、病例资料管理服务器和药房管理服务器。
而近些年,人们越来越热衷于使用各种银行卡、信用卡、一卡通等电子货币媒介作为缴付医疗费用的方式。
政策方面,国家又推行了新农合、新农保等相关惠民政策,这些政策的实施,使得医院与银行、社保局等相关机构建立了越来越紧密的业务联系,所以这就要求医院进一步加强内部信息的安全管理。
只有保证病例档案、缴费系统、社会医疗等相关信息的真实性以及快速验证性,才能够在保证业务效率的同时,保障公民的切身利益。
因此,如何保护内部相关信息的安全,是目前的一个挑战性问题。
1.2某某人民网络的网络现状
某某人民网络现在的网络拓扑图:
1.3网络结构说明
医院各个部门如门诊收费人员、住院部人员、医生和行政管理人员通过中心交换机实现网络的互联和对医院内部服务器的访问。
门诊收费处通过DDN专线可以访问医保网,门诊收费处刷卡缴费系统通过互联网可以与银行进行信息交互。
1.4某某人民医院网络隔离与信息交换建设需求
鉴于现有的网络状况,依据我医院信息化建设的规划,此次建设应达到以下目标:
1、从管理和技术角度上,建立多层安全体系,保证医院网络信息和各个系统的安全性、保密性。
同时在保持医院医保、互联网和医院各个系统隔离的同时,进行适度的、可控的内外网络的数据交换。
保护医院各个系统网络的安全,实现隔离,防止外网黑客的攻击。
2、详细记录医院数据中心网络及医院文件交换及邮件传输日志,做到有案可查。
1.5某某人民医院的网络的安全现状
网络安全风险分析:
网络应用给人们带来了无尽的好处,但随某某人民医院网络应用规模的扩大,网络安全风险也变得更加严重和复杂。
下面从网络的技术模型并结合某某人民医院系统网络现状,分析网络安全风险存在的方面。
以下我们先对某某人民医院网络进行概要的分析。
(1)网络结构安全风险
Ø来自与公网互联的安全危胁
由于Internet的开放性、国际性与自由性,Internet已成为国家之间信息战的主要战场;商业间谍会利用Internet窃取企业、医院的机密数据;企业之间的竞争会导致竞争对手攻击本企业的网络;黑客也随时随地想攻入企业或医院等网络。
因此,只要与Internet相连,内部网络将面临着严重的安全危胁。
某某人民医院网络,直接与互联网相联,因此存在来自公网的安全威胁。
Ø与系统外网络互联的安全威胁
如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易造到来自外网一些不怀好意的入侵者的攻击。
如:
入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。
入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。
恶意攻击:
入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。
某某人民医院网络,与医保网络、居民健康档案等网络相连,而这些网络的连接范围非常广、使用人员复杂,因此也存在桌安全威胁。
Ø内部局域网的安全威胁
据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。
比如内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去。
某某人民医院网络各种应用系统较多、使用人员很多,多种因素都将对网络安全构成威胁。
(2)系统安全风险
系统安全是指主机操作系统的安全性问题。
任何操作系统都会有安全漏洞、缺陷和稳定性问题。
基于检查系统的安全漏洞、缺陷和稳定性问题,来攻击一个系统,达到控制系统的目的。
控制该系统之后,入侵者从一个不可信的主机转换为一个可信的主机,从而进行下一步的攻击。
目前,某某人民医院的各应用系统、数据库系统均建立在WindowsNT服务器之上,对于服务器来说,WindowsNT是安全性最差的操作系统,其漏洞最多,黑客对该系统也最熟悉,因此某某人民医院存在极大的系统安全威胁。
(3)应用安全风险
应用安全是指主机系统上应用软件层面的安全,如Web服务器、信息交易系统和数据库的安全问题等。
应用系统软件引入新的威胁,大部分Internet应用系统软件协议没有进行很好的安全性设计,且网络服务器程序经常用超级用户特权来执行,这便造成诸多安全问题。
如何防范应用系统软件引入的安全问题?
如何更好地发挥应用软件的功能?
这是要解决的一个问题。
应用系统是动态的、不断变化的。
应用的安全性也是动态的。
这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
应用层面的安全风险包括如下方面:
Ø资源共享
某某人民医院内部必有自动化办公系统,而办公网络应用通常是共享网络资源,比如文件共、打印机共享等。
由此就可能存在着:
员工有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,因为缺少必要的访问控制策略。
Ø电子邮件系统
电子邮件为网系统用户提供电子邮件应用。
某某人民医院内部网用户可够通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因至素。
Ø病毒侵害
网络是病毒传播的最好、最快的途径之一。
病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。
因此,病毒的危害的不可以轻视的。
网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素
Ø 数据信息
数据安全对某某人民医院来说尤其重要,数据在广域网线路上传输,很难保证在传输过程中不被非法窃取,篡改。
现今很多先进技术,黑客或一些工业间谍会通过一些手段,设法在线路上做些手脚,获得在网上传输的数据信息。
也就造成的泄密。
(4)管理安全风险
内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。
机房重地却是任何都可以进进出出,来去自由。
存有恶意的入侵者便有机会得到入侵的条件。
内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。
利用网络开些小玩笑,甚至破坏。
如传出至关重要的信息、错误地进入数据库、删除数据等等。
这些都将给网络造成极大的安全风险。
管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。
责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
即除了从技术上下功夫外,还得依靠安全管理来实现。
二、设计原则及技术、设备选型依据
2.1设计原则
Ø高性价比原则:
构建安全体系必须在性能和价格之间进行权衡。
在方案的制定、产品的选型、服务的选择方面都尽可能体现高性能价格比的原则。
Ø高效性:
由于增加了安全产品,必将影响网络和系统的性能,包括对网络传输速率的影响,对系统本身资源的消耗等。
因此需要平衡利弊,提出最为适当的安全解决建议。
Ø简单性:
尽力避免造成网络结构的复杂,操作与维护的困难。
安全体系的建立不能对目前信息系统的结构做出根本性的修改。
Ø可管理性:
对于安全系统来说,要求提供方便、友好的图形化管理界面。
对于网络系统来说,要求不影响原有业务的开展。
Ø开放性:
安全管理工具支持广泛的安全管理标准。
提供的安全产品具有相应的接口,可以利于各种安全产品之间集成使用,并可以和其他信息产品高效结合。
三、建设方案
3.1某某人民医院网络隔离与信息交换设计拓扑图
根据对某某人民医院网络建设需求分析,我们提出某某人民医院网络隔离与信息建设方案。
根据某某人民医院的网络安全需求,我们在改变原结构情况下做统一平台管理规划。
改造后的总体网络拓扑结构图:
我们把TIPTOP物理隔离网闸内口联接通过医院的数据中心和办公网络,网闸外口连接某某人民医院医保,健康档案及互联网。
通过网闸实现了某某人民医院师数据中心与医保网络与互联网的隔离,但也可以实现一定安全度上的数据交换。
3.2TIPTOP物理隔离网闸的选型与依据
(1)TIPTOP物理隔离网闸优点
Ø固化单进程操作系统,确保系统本身不受黑客和病毒侵害;
Ø数据加密传送,保障内网数据不被窃取;
Ø专用物理隔离模块,确保内外网物理隔离;
Ø完善的身份认证体系,防止非法授权用户访问外网;
Ø完善的病毒查杀机制,防止病毒感染内部数据;
Ø完善的系统审计日志,监控数据交换全过程。
(2)TIPTOP物理隔离网闸功能介绍
TIPTOPV2.0物理隔离网闸产品是运用国际上最先进物理隔离网络安全技术设计的安全网闸,能够保证内部可信网络与外部不可信网络的物理隔断,能够阻止各种已知和未知的网络层和操作系统层的黑客攻击,提供比防火墙、入侵检测和扫描等技术更好的安全保障,既为客户保证了网路边界的物理隔离,又实现了在线式实时访问不可信网络(如INTERNET)所必需的数据交换、应用服务访问等,通过强大的协议检查、内容审查、用户审计等手段来确保内外网资源、信息和数据的安全实时交换和访问。
TIPTOPV2.0物理隔离网闸产品是当今最安全、最多面手的网络安全隔离设备,凭借其具有的物理隔离、双向应用代理、细粒化的内容检测和过滤等功能和标配的10个10M/100M/1000M自适应以太网口,可以轻松地集成到政府、教育、军队、电力、交通、能源、金融和大型企业等不同的网络环境中。
为客户不仅提供提供物理隔离的安全,也提供接近线性的数据交换能力和惊人的最大并发连接数,最大并发连接数可达100000,,以满足客户对高安全、高性能、高可靠性的应用需求。
注:
以上仅为参考图,产品以实物为准
(3)主要特点
Ø高安全性
TIPTOPV2.0隔离网闸奉行“安全隔断、适度交换”的设计思想,采用最新数据通道控制技术,在保证内网系统和信息安全的前提下,实现了内外网之间数据的安全、快速交换。
由于采用多重安全机制、综合防范策略,彻底避免了来自操作系统、命令、协议的已知和未知的攻击,所以,它是目前所有安全产品中具有最高安全性的网络产品之一。
Ø高带宽
TIPTOPV2.0物理隔离网闸的最高带宽可以高达1G,很好解决了绝大部分物理隔离网闸存在的效率问题。
Ø低延时
TIPTOPV2.0隔离网闸采用了专用大规模集成电路芯片(ASIC)来控制内外端之间的数据交换,开关的转换速度在毫秒级之下,TIPTOPV2.0隔离网闸为内网用户提供浏览互联网络服务和文件交换速度之快,其延迟一般用户基本上是察觉不到的。
Ø高可用性
TIPTOPV2.0物理隔离网闸同时支持热备系统的双路通信功能,提供了极高的可用性。
另外系统本身还支持采用双电源,确保网络关键设备稳定和可靠的运行。
Ø真正物理隔离
TIPTOPV2.0物理隔离网闸真正提供了两个网络之间的物理隔离。
TIPTOPV2.0物理隔离网闸中断了两个网络之间的直接连接,所有的数据交换必须通过TIPTOPV2.0物理隔离网闸,网闸从网络的第七层将数据还原为原始数据或文件,然后以“摆渡文件”的形式来传递和交换数据。
没有任何的包、命令和TCP/IP协议可以穿透TIPTOPV2.0物理隔离网闸。
这同透明桥、混杂模式、IPoverUSB、以及通过开关方式来转发包有本质的区别,真正实现了网络之间的物理隔离。
Ø专用物理隔离硬件
TIPTOPV2.0物理隔离网闸是通过电子通道开关控制系统来实现的。
目前常见的物理隔离开关技术有三种:
实时开关(Real-TimeSwitch),单向连接(One-WayLink),和SCSI控制开关。
实时开关和单向连接的速度要快一些,SCSI控制开关的速度要慢一些。
人们普遍存在对开关速度的担忧,担心开关速度直接影响网络的性能。
如果开关的速度低,网络的性能肯定受到影响。
即使开关的速度高,网闸的性能也受主机性能的限制。
不管开关速度的高低,网闸的性能的上限都不会超过主机的上限。
SCSI控制开关是基于对存储介质的读写控制来完成数据的存储、转发功能。
由于受SCSI总线标准的限制,这种开关方式速度不高。
TIPTOPV2.0物理隔离网闸采用国际领先的DTPTM物理隔离通道控制系统,该硬件设备采用专用大规模集成电路芯片(ASIC)将数据传输控制逻辑固化,达到嵌入式控制目的,使得黑客无法更改、病毒无法破坏,彻底保障系统本身的安全。
开关功能在系统的内核中实现,成功的达到网闸的最高性能,优于常见的三种开关技术。
内核的效率要远远高于外设的效率。
Ø抗攻击内核
TIPTOPV2.0物理隔离网闸,采用固化的单进程操作系统,确保系统本身不受黑客和病毒侵害安全操作系统。
(4)主要功能
Ø提供互联网浏览服务
l支持http/https应用
TIPTOPV2.0物理隔离网闸完全遵循互联网标准http/https,提供应用级的代理来实现各种互联网浏览和访问。
这种应用主要是为内部网络用户能够安全的访问互联网,用来浏览网站和查阅资料提供的。
访问外部网站可以不受限制,也可以进行限制。
只有被访问和被请求的信息经过安全检查后才可以交换到内部,完全禁止主动对内部网络的访问。
l提供网页和站点过滤功能
TIPTOPV2.0物理隔离网闸提供强大的过滤功能,可方便的通过协议、域名、文件类型、关键词等过滤条件设置安全策略,防止网络资源的非法使用。
可以提供协议命令过滤、关键词过滤、URL过滤、脚本过滤等,同时可根据需要定制每个用户的允许上网时间。
Ø提供电子邮件收发服务
支持标准的SMTP和POP3协议的电子邮件,可以配置安全可定制的地址内容检查、审核和控制。
Ø提供数据库交换服务
可提供内网数据库和外网数据库之间数据的实时交换。
目前可支持的应用数据库包括:
ORACLE、SYBASE、SQLSERVER、MYSQL、MSQL、ACCESS、ODBC等。
Ø提供文件交换服务
提供内外网间文件定时或实时的交换,可控制文件传输方向,提供单向或双向传输。
Ø提供视频点播服务
支持标准的MMS、RTSP协议的视频点播,可以配置提供点播外网视频影音文件。
Ø提供FTP文件传输服务
提供内网用户访问外网FTP服务器,支持FTP协议的文件上传、下载功能服务。
Ø支持病毒库升级
部署在业务网的病毒服务器,通过TIPTOP利谱安全隔离网闸的文件同步功能,根据TIPTOP利谱的解决方案,实现部署在办公网病毒升级服务器的病毒库升级文件,实时的同步至业务网的病毒升级服务器,满足业务网防病毒终端及时升级病毒库的要求;TIPTOP利谱文件同步功能满足用户实时同步增量文件,并提供不依赖于文件扩展名的格式检查,提供文件重名处理策略,提供丰富的文件同步策略,保障用户在网络间进行安全的文件交换。
3.3某某人民网络隔离与信息交换系统的运行
我们把TIPTOP物理隔离网闸内口连接通过医院数据中心和办公局域网络,网闸外网网口连接互联网和医保。
通过网闸实现某某人民医院数据中心与医保网络、互联网的隔离,医院办公网络与医保网络、互联网隔离,但隔离的同时在实现一定安全角度上的数据交换。
ØTIPTOP物理隔离网闸在保证某某人民医院与医保网络、互联网隔离的同时,进行适当的、可控的内外网络的数据交换。
保护两部分网络之间的安全,实现隔离,防止互联网黑客的攻击。
Ø通过网闸对某某人民医院各个部门人员文件交换进行身份认证控制,并实现分组管理。
Ø利用网闸详细记录某某人民医院每个员工通过网闸访问互联网、文件交换、邮件交换及文件交换日志,做到有按可查。
四、实施计划
4.1项目建立
我们深圳市利谱将全力配合某某人民医院网络中心人员,按照某某人民医院网络信息中心确定的时间表进行工作。
4.2项目保障
为了确保整个项目顺利进行,确保系统尽快投入生产,制定一个完整的项目计划是成功的关键。
(1).良好的组织,由某某人民医院网络中心人员与我公司组成项目小组,负责系统的实施和开发工作。
·项目领导小组
·技术支持小组:
由各方面的计算机,通信,网络安全技术专家组成。
·工程实施小组:
由我公司技术人员组成。
(2).严格的管理在项目实施的过程中,项目小组将严格控制协调实施的进度和质量,并确保项目实施的保密性,以确保整个项目按期完成。
(3).文挡的管理协调安装和调试的过程中,任何工作和修改都必须记录归档,以便日后查询与参考。
并严格作到保密。
4.3应用实施
(1).项目实施范围,某某人民医院网络中心物理隔离网闸的建设与安装使用。
(2).提供服务的内容,根据上述项目实施范围及工作实施内容,我公司将协助某某人民医院网络信息中心完成下列工作:
²网络安全系统需求分析
²网络安全系统客户化
²网络安全系统的测试
²网络安全系统的试运行
²网络安全系统的投产
网络安全系统需求分析:
此任务的主要目的是对某某人民医院网络信息中心的具体安全需求进行调查分析,如各业务系统的安全需求、性能需求和设计系统的前提并形成安全系统需求规格说明书。
网络安全系统客户化:
根据确定的安全系统需求分析,并结合所用的安全系统去实现这些需求的过程,将网络安全系统分解为几个子系统,描述每一个子系统的功能,处理流程,硬件间的接口。
网络安全系统的测试:
本测试内容主要针对网络安全系统的软硬件功能说明书进行测试。
网络安全系统的试运行:
我公司将从技术方面支持试运行的工作,某某人民医院网络中心共同制定运行方案,并根据试运行的结果(包括功能方面和性能方面)对安全系统进行必要的修正。
主要考虑是要考核系统是否达到某某人民医院网络信息中心网络安全系统的预定要求。
网络安全系统的正式运行:
当网络安全系统试运行期间所有产生的问题得到完全解决后,网络安全系统将进入正式运行阶段。
我公司与某某人民医院网络信息中心正式运行作好前期准备。
4.4实施进度表
任务
第一周
第二周
第三周
合同签定
设备定货
需求分析
文档编制
软硬件到货
系统安装调试
系统试运行
系统正式运行
培训
系统验收
注:
时间自合同签定之日起计算。
五、服务计划和培训
5.1售后服务支持
Ø售后服务包括硬件保修、软件升级和故障应急处理。
软件升级(按照报价体系执行服务收费和服务期限定义)。
Ø技术支持:
对于用户的任何技术问题,提供远程故障诊断、技术支持以及必要的现场技术支持。
技术支持包括:
Ø备件优先保修:
在利谱厂家确认故障后,将在3个工作日内提供相同型号或相近功能型号作为备件;坏件修好后将同时收回备件。
Ø全面的反应策略与流程
ü5天的现场事变反应预演
ü7*24的事件响应、处理及恢复服务
ü保证1小时内的电话响应,保证1小时内到达现场
ü提供安全响应工具箱
ü案例分析
ü资源库
ü代码与条例
ü2天的现场事件响应后的过程评审
ü为期3个月的跟踪服务
ü在线操作系统升级
ü在线故障诊断、排除
ü现场设备替代(只针对p1,p2故障)
当用户安全系统设备出现严重故障,业务无法正常进行时,可以派遣工程师,携带必要的设备、工具,到用户现场排除故障,恢复网络运行。
5.2故障处理程序
Ø故障分类
编号
故障级别
故障现象
P1
一级故障
现有的安全设备停机,或对最终用户的业务运作有严重影响
P2
二级故障
现有安全设备的操作性能严重下降,或由于网络性能明显下降,对最终用户的业务运作有重要影响
P3
三级故障
安全设备的操作性能受损或个别设备故障,只影响局部,不影响全局业务
P4
四级故障
安装、配置等技术难点,业务不受影响
Ø技术响应要求
故障级别
电话响应
解决方案实施落实
P1
<1小时
<8小时
P2
<1小时
<3天
P3
<1小时
<5天
P4
<1小时
<10天
Ø技术服务流程
各级技术服务中心接到用户报障信息,必须在1小时内响应用户,可自行解决的问题立即向用户提交可行的解决方案,并在4小时内落实实施方案,同时向技术顾问中心报备;不能马上自行解决的重大问题,立即向技术顾问中心报告,由技术顾问中心按照服务要求直接响应用户。
建议用户在向就近的工程技术人员发出服务请求的同时,也向利谱顾问中心报障。
Ø技术服务团队及工作职责
本公司技术支持服务的团队资源包括以下三方面:
团队级别及组成说明
工作职责范围
T1级:
利谱售前、售后工程师
电话:
0755-83209150,0755-83203372
Email:
nyl@
pxf@
电话或网上热线技术支持;P1类故障中重大技术问题的现场支持;授权合作伙伴售前、售后工程师培训。
T2级:
利谱授权技术服务中心
售前技术咨询、实施过程的电话在线参与和检查;P1、P2类中紧急现场技术支持和系统维护或恢复;技术改良方案的实施方案检查和指导;集成商售前、售后技术培训。
T3级:
授权项目集成商工程师
售前技术咨询、实施方案制定参与;实施现场技术支持;各类故障的紧急现场技术支持和系统维护或恢复;售后用户技术培训和技术咨询服务。
5.3培训
应用培训是帮助某某人民医院网络信息中心尽快熟悉新的网络安全系统,保证系统正常运行,掌握网络安全基本概念,日常操作和维护知识,以便在较短的时间内管理和使用网络安全系统,实施安全系统。
²培训内容:
1)网络安全基础知识培训:
2)安全产品使用培训:
TIPTOP物理隔离
升级会员 