XXX医院防统方解决方案-医院等级保护解决方案_图文(精)

  • 格式:doc
  • 大小:32.50 KB
  • 文档页数:17

XXX医院

防统方解决方案

目录

第1章XXX医院业务现状及威胁分析 (1

第2章XXX医院防统方方案介绍 (1

2.1方案部署 (1

2.2方案设计 (2

第3章防统方设备选型 (4

3.1产品选型 (4

3.2产品功能列表 (4

第4章防统方价值优势 (8

第5章深信服科技介绍 (9

第1章XXX医院业务现状及威胁分析

东莞市XXX医院是一所集预防、医疗、保健、康复、科研、教学为一体的综合性二级甲等公立医院。医院拥有编制病床510张,占地面积2.64万㎡,建筑面积达5.26万㎡;更拥有一支作风优秀、技术过硬的医疗队伍,全院共有职工723人,其中各级各类卫生技术人员628人(其中高级职称57人,中级职称119人。近年来通过打造“院有优势、科有特色、人有专长”的发展模式,医院逐步在普外科、骨外科、妇产科、儿科等方面形成了自身特色。

而在信息化建设方面,XXX医院领导重视信息股的IT建设对医疗业务的推动作用,建立起以HIS系统、PACS系统、LIS系统、电子病历系统、医生工作站、护

士工作站、移动查房系统、敏感服务器等支撑的集中业务资源访问平台,以及OA系统、邮件服务器、文件服务器等办公系统访问平台,大大提高了医护人员在日常办公和医疗事务处理的工作绩效与水平。

然而,近年来统方信息泄露的行为屡有发生,越来越多的医院都面临着药品、耗材等使用信息、患者信息等的外发与泄露,给医院的管理和病患个人都造成了极大的困扰。无论是医护人员本身、第三方运维人员还是外部黑客入侵,面对规模之重的业务系统平台,统方的防泄漏难度可想而知。我们相信,XXX医院要想继续打造高优医院品牌,理应对防统方大加重视,防患于未然。

第2章XXX医院防统方方案介绍

2.1方案部署

根据与XXX医院信息股同事的交流沟通,考虑到贵单位既有的网络架构和防统方需求,我们推荐采用深信服为其设计的防统方解决方案,通过在集中业务资源访问平台前端部署深信服VSP设备,来达到防统方的良好效果。

下图为XXX医院防统方方案的部署拓扑图,对于需要进行防统方的服务器进行区域隔离,而其他如OA和邮件等可以直接放通用户访问。在HIS等系统服务器区前的交换机上旁路部署一台深信服VSP防统方网关设备,并在交换机上做访问控制,禁止直接的服务器访问请求,而只能由VSP设备做代理转发,对医护人员、维护人员和外部黑客等各种可能的统方泄密对象进行统一安全防护。

2.2方案设计

●服务器的安全隔离

在HIS等业务系统前端部署深信服VSP防统方网关设备,配合交换机的端口访问控制列表,XXX医院可实现对业务系统的隔离。所有用户只能通过VSP设备发布的443端口去间接访问后端的服务器业务系统,避免此类系统直接暴露在用户面前所带来的安全风险。

当VSP设备因意外事故出现运行故障时,XXX医院可根据自身需要,放通ACL列表保证系统的正常访问;或者出于安全性考虑,即便无法通过VSP访问业务系统,也要保证数据的不泄露。

●高强度身份认证

信息股的同事可以根据医院的需要,对不同级别的医护工作人员和第三方维护人员设定不同强度的认证方式,如用户名密码认证、USB-KEY认证、与第三方服务器的结合认证、短信认证、动态令牌认证、硬件特征码认证等,并且可以将不同的认证方式加以组合,避免单一身份认证带来的密码泄露风险。

VSP设备还可以支持设备登录账户与系统访问账户的定向绑定,避免系统的越权访问带来的风险,进一步提升身份鉴别的可靠性。

●资源划分与权限控制

VSP设备可以将XXX医院各个医护及其他工作人员,配置其各自相应的资源访问权限。

如医生会通过tcp的方式和安全桌面组合在一起进行访问医生工作站,护士通过tcp的方式和安全桌面组合在一起进行访问护士工作站,系统维护人员只能通过应用发布的方式进行访问和系统维护等。

通过独特的角色管理功能,VSP设备可为XXX医院提供细致到每个URL和不同应用的权限划分。通过给不同用户设置不同角色来分配访问授权,一个用户可以赋予多个角色以适合各种复杂的组织结构。同时,VSP系统基于角色的授权机制可结合对客户端安全检查结果的准入和授权,做到根据用户所属角色、用户登录时间、登录终端、终端安全检查结果的细致应用访问授权。

●虚拟安全桌面的使用控制

XXX医院的工作人员在成功登录VSP设备后,会由设备自动下发一个安全桌面控件到客户端,该客户端生成一个与本地桌面相同的却又相互独立的安全桌面。安全桌面会自动检测业务系统访问是否在安全桌面下进行,禁止本地桌面的直接访问;而在安全桌面下发起的访问,通过禁止与本地计算机的通信、与外设和第三方设备的通信、与外网的通信等,到达统方防泄漏的效果。

在安全桌面内可做到:

禁止与本计算机通讯:禁止安全桌面与默认桌面通信

禁止与本地网络通讯:安全桌面内禁止与内网内其他计算机通信。

禁止与外网通讯:安全桌面内禁止使用网络应用或将数据通过网络通信泄漏

禁止使用外设拷贝(USB,打印机,COM,CD-RW等

●传输加密与访问审计

客户端与业务系统的交互过程通过VSP设备进行SSL VPN的传输隧道加密,可有效避免不法人员对传输线路监听嗅探等造成的数据泄露,保证传输的完整保密性。

而所有人员对业务系统的访问,都将被记录在独立的日志中心上。用户的访问日志(用户IP地址、认证方式、访问资源和时间、用户的活跃程度和流量趋势等、资源的访问日志(资源的活跃程度、资源的无效统计、资源流量排行及查询等、管理员日志、安全日志和系统日志等,便于XXX医院管理人员的详细追查。

第3章防统方设备选型

3.1产品选型

根据XXX医院的用户数目及医疗业务系统访问量,考虑到后期XXX医院的发展规划,我们推荐使用深信服VSP-4050设备,具体性能和功能列表如下所示。

项目细节

设备型号VSP-4050

SSL最大加密流量400M

SSL并发用户数2600

每秒新建SSL用户数280

千兆电口WAN 4个

千兆电口LAN 1个

千兆DMZ口1个

千兆SFP光口2个

冗余电源可选

3.2产品功能列表

安全桌面启动、使用及注销

控制台

管理员可配置安全桌面名称

管理员可上传默认安全桌面壁纸(1张1MB以内的JPG 格式壁纸,使用压缩上传

管理员可下载查看当前上传的壁纸

管理员可配置是否允许客户端自定义壁纸

管理员可配置是否使用干净桌面

导航条

默认桌面、SD和VSP安全桌面都有导航条,SD与VSP 同时运行时默认桌面只有一个导航条

在任一个桌面的导航条上都支持切换到另外两个桌面

支持收缩锁定安全桌面导航条功能

安全桌面导航条提供导出文件功能

SD和VSP安全桌面内的导航条分别可以注销各自的安全桌面,默认桌面导航条可以注销指定的安全桌面,或同时

注销SD和VSP安全桌面

自定义壁

客户端可选择自定义本地壁纸(JPG或者BMP格式

客户端未自定义壁纸、服务端未上传或壁纸不存在,支持使用安全桌面默认壁纸

客户端支持下载自定义壁纸

安全桌面使用自定义壁纸

使用干净

桌面

策略配置“使用干净桌面”功能后,安全桌面只显示与默认桌面一致的系统相关图标

沙盒数据加控制台控制台可配置退出安全桌面数据处理方式“保留数据”

密保存或“删除数据”。

控制台可配置是否允许用户自定义退出安全桌面后数

据处理方式

支持后台配置128、192、256位AES密钥,默认使用

128位

后台可配重定向目录是否根据VPN用户名、WINDOWS

系统用户名和VPN用户创建时间来命名,默认根据VPN用

户名和用户创建时间来命名

支持用户独立的AES密钥使用AES文件数据加密方法

不同的SSLVPN用户,采用不同AES加密密钥新建用户的密钥生成

老版本升级到新版本,老用户的密钥生成

外部认证用户的密钥生成

用户密钥和重定向数据加密密钥一致性检查

重定向目

不同VPN用户在客户端对应不同的重定向目录

重定向文件删除工具仅提供给管理员或技术支持使用

运行时要求输入正确密码

支持删除全部重定向文件

支持选择删除具体一个用户的重定向文件

支持可选择的删除部分文件

支持按文件后缀过滤选择文件

支持根据文件后缀批量选择保存文件

支持异常情况下,选择保存的文件数据不丢失

AES密钥备份及恢复支持将AES密钥信息从VSP导出到备份配置文件支持将AES密钥信息从备份配置文件导入到VSP

用户密钥和登录/创建时间同步

支持双机、集群、分布式部署下,用户AES密钥、登录或者创建时间数据同步

文件明文导出

控制台

可配置是否允许导出文件

可配置允许导出的文件大小的最大值

可配置是否开启导出文件审计,文件上传至数据中心

支持从安

全桌面导出文

支持文件导出界面

支持只显示安全桌面内重定向文件

支持单个或多个文件的方式进行导出

支持用户可选择导出的保存目录路径

支持导出源目录及目的目录路径自动记忆功

支持文件导出过程有进度条显示,显示当前导出的文件和进度

支持导出过程可取消

支持文件明文导出

导出界面只显示安全桌面内的重定向文件,用户只能导出重定向的文件,不能导出与电脑桌面相同的文件

未配置导出审计文件内容时,只上传VPN用户名、文件名和文件MD5值到数据中心审计。

配置导出审计文件内容时,若选择导出文件大于配置的允许导出文件大小上限,则禁止导出

配置导出审计文件内容时,导出前需要上传VPN用户名、导出文件和文件MD5值到数据中心,审计成功后才允许导出,审计失败提醒用户并禁止导出

配置导出审计文件内容时,审计成功但导出失败,需要发送导出失败日志到数据中心。

支持文件导出时,文件重名情况下,文件自动重命名

服务端ssllog转发审计的文件

数据中心审计文件导出

导出前需要将用户名、导出明文文件发送到数据中心做审计,审计成功之后再执行文件导出

数据中心记录文件导出的用户行为日志

客户端导出文件大小有上限控制,超过配置的上限禁止导出

数据中心报表根据导出文件名或者用户名进行查询

数据中心支持下载审计的导出文件

插件代理安装控制台