数据中心医疗影像云云安全解决方案.docx
- 文档编号:24849043
- 上传时间:2023-06-02
- 格式:DOCX
- 页数:16
- 大小:561.13KB
数据中心医疗影像云云安全解决方案.docx
《数据中心医疗影像云云安全解决方案.docx》由会员分享,可在线阅读,更多相关《数据中心医疗影像云云安全解决方案.docx(16页珍藏版)》请在冰豆网上搜索。
数据中心医疗影像云云安全解决方案
第1章项目建设背景与方案设计原则2
第2章医疗影像云建设需求分析2
2.1云平台的基础安全保障2
2.2云环境下安全责任分类界定4
2.3云环境下引入的特有安全需求5
第3章医疗影像云云安全建设方案6
3.1平台安全架构设计6
3.2医院接入架构设计7
3.2.1前置机接入安全设计7
3.2.2专线接入安全设计7
3.3平台安全区域边界设计8
3.3.1网络接入域8
3.3.2内网业务区8
3.3.3安全管理区9
3.4平台安全设备汇总9
第4章医疗影像云云安全解决方案技术特点10
4.1部署架构10
4.1.1南北向安全服务流11
4.1.2东西向安全服务流11
4.2东西向安全服务设计11
4.2.1安全服务交付形式11
4.2.2安全服务交付内容12
4.3南北向安全服务交付设计12
4.3.1安全接入服务12
4.3.2安全防御服务13
4.3.3应用交付服务14
第1章项目建设背景与方案设计原则
◆统一规范
遵循在统一的框架体系下,参考国际国内各方面的标准与规范,严格遵从各项技术规定,做好整个医疗影像云系统的标准化设计与部署。
◆成熟稳定
本次建设方案采用的是成熟稳定的技术和产品,确保能够适应各方面的需求,并满足未来业务增长及变化的需求。
◆实用先进
为避免投资浪费,方案设计不仅要求能够满足目前业务使用的需求,还必须具备一定的先进性和发展潜力,具备纵向扩增以及平滑横向扩展的能力,以便IT基础架构在尽可能短的时间内与业务发展相适应。
◆安全可靠
由于医疗影像云属于对医疗系统提供公共服务的云平台,因此针对平台自身业务熟悉,结合国家对云平台的相关建设要求和标准,本次云平台安全体系建设参考和采用以下相关国家标准:
信息系统安全保护等级定级指南(GB/T22240-2008)
信息系统安全等级保护基本要求(GB/T22239-2008)
信息系统安全等级保护实施指南(国家标准报批稿)
信息系统安全等级保护测评准则(国家标准报批稿)
信息系统等级保护基本要求-云计算要求-标准草案
第2章医疗影像云建设需求分析
2.1云平台的基础安全保障
云平台的基础安全保障,是云服务方所需承担的基本、必须义务。
提供SAAS服务的云服务方,需保护的对象涵盖物理基础设施、服务器、网络和安全设备;虚拟化平台系统、资源池、云管平台,以及为租户提供的镜像、模板等。
如下图所示:
1)基础安全保障能力的形成,主要包括两个步骤:
a)根据系统等级属性、接入对象等,进行网络区域划分
b)根据网络区域划分,计算环境属性要求,进行安全措施部署
2)具体需求,包括:
a)在网络区域划分时,应参照云平台等级保护的相关指导标准规范,保障合规性;
b)在区域边界安全措施部署和保护时,应参照等级保护要求,达到相应能力要求;
c)区域边界的深度防御,不仅要形成传统的多防线的纵深防护,还应在防御的网络层次上涵盖2~7层,满足当下进阶的攻防态势需求;
d)持续性安全检测,应对传统的只在网络入口部署IPS、核心网络交换机处部署IDS模式进行扩展、加强,将威胁检测能力下沉到虚拟化网络,并上升借助外围安全大数据分析的安全服务云,形成全面、深入、持续的安全检测能力,抵御不断升级的APT攻击和突发安全事件;
e)需对虚拟化平台、虚拟机等进行主机加固,保障计算环境安全;
f)应对通信网络采取国密/商密算法的加密措施,并部署多链路冗余和链路负载均衡措施,保障链路可用性,达到保障通信网络安全的目的;
g)安全响应和处置,应不仅限于传统的人工设置访问控制策略和事后审计,还应与安全管理中心联动,形成整体安全可视、自动化的快速安全策略升级响应,缩短攻击窗口、切断攻击扩散的链条,尽力减少损失;
h)通过专用通道,与外围专门的未知威胁风险云平台对接,实时获取未知威胁情报,保障云安全体系的持续动态安全能力。
2.2云环境下安全责任分类界定
云计算安全措施的实施主体常常会有多个,各类主体的安全责任因不同的云计算服务模式而异;云服务方和云租户方的安全责任边界与其控制范围相关。
云计算服务模式与控制范围的关系如下图所示:
云计算服务模式与控制范围的关系图示(摘自GBT31168-2014)
本次医疗影像云属于SaaS模式建设,在等保2.0云等保相关草案中SaaS模式下云服务方与租户的责任划分如下:
层面
安全要求
安全组件
责任主体
物理和环境安全
物理位置选择
数据中心及物理设施
云服务方
网络和通信安全
网络结构、访问控制、远程访问、入侵防范、安全审计
物理网络及附属设备、虚拟网络管理平台、虚拟网络安全域
云服务方
设备和计算安全
身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护
物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像、虚拟机、虚拟网络设备、虚拟安全设备等
云服务方
应用和数据安全
安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复
云管理平台(含运维和运营)、镜像、快照等、应用系统及相关软件组件
云服务方
云租户应用系统配置、云租户业务相关数据等
云租户
安全管理机构和人员
授权和审批
授权和审批流程、文档等
云服务方
系统安全建设管理
安全方案设计、测试验收、云服务商选择、供应链管理
云计算平台接口、安全措施、供应链管理流程、安全事件和重要变更信息
云服务方
云服务商选择及管理流程
云租户
系统安全运维管理
监控和审计管理
监控和审计管理的相关流程、策略和数据
云服务方
2.3云环境下引入的特有安全需求
在当前以SaaS层服务为主的云平台建设模式下,云环境下的特有安全风险大部分围绕着虚拟化而产生。
在最新的《信息系统安全等级保护基本要求第2部分:
对采用云计算技术的信息系统的扩展安全要求(草案)》中,也围绕该问题提出了基本要求。
这些要求涵盖了虚拟化平台、虚拟化网络、虚拟化主机、特殊应用和数据等诸多层面。
虚拟化安全相关的主要问题,如下图所示:
按照云等级保护草案框架划分,大致需求内容,包括:
1)主机:
宿主机、云平台加固、虚拟机加固、检测、审计等
2)网络:
虚拟化网络边界隔离、防护、检测、审计等
3)应用:
云管平台与业务应用防护、检测、加固、审计等
4)数据:
数据中心双活、灾备,镜像、快照安全等
第3章医疗影像云云安全建设方案
3.1平台安全架构设计
一个好的安全技术体系框架落实,需要合理、合规、科学的网络安全规划与安全设备部署。
通过多年安全体系建设和云安全项目经验积累,根据富士康医疗影像云的实际情况,给出以下总体网络安全构架设计。
如下图所示:
1)合规性满足:
Ø遵循等级保护标准,进行“一个中心,三重防护”设计和安全措施部署
Ø满足云安全专项标准中对安全责任的明晰,虚拟化安全措施部署和要求满足
2)安全防护、检测、响应三个维度满足
Ø通过安全服务云的安全防护,以及部署边界安全防护措施,有效满足区域边界的访问控制、攻击防护和入侵防范;
Ø部署的下一代防火墙、威胁检测探针,均具备2~7层的双向安全威胁检测能力;
Ø可以和安全管理中心形成良好互动,保障快速响应能力。
3)对云环境下特有安全问题解决
Ø通过在虚拟化平台上部署云安全资源池(含虚拟防火墙、虚拟负载均衡、EDR、虚拟VPN等组件),并进行安全策略设置,保障虚拟化网络的可视、可控,虚拟化边界安全防御、检测和响应能力。
Ø通过对云管平台、虚拟化平台、虚拟机的安全加固和安全审计等措施部署,保障云平台的安全,保障系统安全、持续、有序运转。
3.2医院接入架构设计
3.2.1前置机接入安全设计
部分医院采用前置机的方式接入医疗影像云平台,在这种部署模式下,可以直接在医院部署一台aBOS一体机,前置机应用系统可以部署在aBOS一体机上,aBOS一体机上还部署有下一代防火墙及VPN确保应用系统的安全。
部署模式如下:
aBOS一体机
序号
产品型号
性能
数量
备注
1
aBOS一体机
前置机前端防御
3.2.2专线接入安全设计
部分医院采用专线直连的方式接入医疗影像云平台,在这种部署模式下,专线需接入云平台安全资源池虚拟下一代防火vAF进行边界防护,针对每个医院独立虚拟出一台vAF。
部署模式如下:
3.3平台安全区域边界设计
3.3.1网络接入域
3.3.1.1专网接入区
1)本区说明:
各医院通过专线由该区域接入医疗影像云数据中心,上传医疗影像数据。
2)存在风险:
存在非法越权访问、网络攻击、病毒传播,以及带宽资源拥塞风险。
3)安全措施部署说明:
在专线接入区出口双机部署下一代防火墙设备
3.3.1.2互联网接入区
1)本区域职能说明:
各医院通过互联网接入该区域,访问存储在医疗影像云中的医疗影像数据。
2)存在风险:
数量庞大的互联网访问有可能造成网络拥塞;与互联网对接,存在遭受DDoS攻击,以及其他网络层攻击和应用层攻击的风险;存在非法进入内网,进行窃取和破坏等风险。
3)安全措施部署说明:
在互联网接入区双机热备模式串行部署防DDoS、链路负载均衡、下一代防火墙设备;在互联网接入专线网络核心区之间,双机热备、单臂部署SSLVPN设备提供远程接入运维服务。
3.3.2内网业务区
1)本区域职能说明:
利用虚拟化、资源池技术向各医院用户提供医疗影像资源。
2)存在风险:
由于存在数量众多的医院用户共同使用内网业务区的计算、网络、虚机等IaaS资源,部署不同类别不同安全等级的系统,交换不同重要程度的数据;则存在虚拟安全加固不足;虚拟机间安全隔离、安全防护、资源控制和保障措施不足;从而导致多个虚拟机间的越权访问、资源争夺,以及某一虚机感染病毒、木马后跳板攻击和病毒蔓延。
3)安全措施部署说明:
通过调用安全资源池各种安全组件为不同的业务系统提供安全防护和接入服务;主要包括vAF、EDR、SAVE防病毒引擎等功能组件
3.3.3安全管理区
1)本区域职能说明:
作为整个云平台的管理运维“心脏”,通过专门的管理网络和管理交换机通道,进行云平台运维管理、安全设备的统一运维管理、SDN控制管理,以及防病毒管理、补丁升级管理和漏洞扫描服务。
2)安全措施部署说明:
在安全管理区部署日志存储平台,统一存储全网所有设备日志。
同时部署一套SIP安全态势感知平台,对全网的安全态势进行监测和分析。
针对运维管理人员的运维需求,部署一套堡垒机实现对运维人员的操作审计,满足安全管理的需求。
3.4平台安全设备汇总
序号
产品型号
性能
数量
备注
1
下一代防火墙
AF-
2
互联网接入区
2
下一代防火墙
AF-
2
专线接入区
3
负载均衡
AD-
2
互联网接入区
4
SSLVPN
SSL-
2
互联网接入区
5
抗DDos设备
2
互联网接入区
6
态势感知平台
SIS-2000
1
安全管理区
7
态势感知探针
STA-300
2
安全管理区
8
堡垒机
1
安全管理区
9
安全资源池(软件)
CSSP-40
含vAF、EDR组件共40套,用户可按需使用
1
内网业务区
第4章医疗影像云云安全解决方案技术特点
4.1部署架构
安全资源池部署在核心交换机上,采用物理旁路,逻辑串联的方式,核心交换机采用策略路由的方式将云平台的业务流量引流到云安全资源池,通过安全资源池的云Web防护系统、云DDOS、云堡垒机、云数据库审计、云防火墙、云IPS、云VPN、云防病毒、云APT检测对数据量进行安全检测,检测完成后在返回给交换机到出口。
完成整个数据流的安全防护,实现了南北向和东西向纵深防护体系。
以上落实到实际效果主要体现在两个部分:
一部是为租户提供了合规安全保障体系,一部分是实现了安全需求服务化交付,具体如下:
Ø实现租户VPC边界防护,虚拟机间的边界防护,形成了纵深多维度防护体系;
Ø通过安全需求服务化交付,实现了租户安全需求按需服务,根据租户需求实现弹性扩展,提供WAF、IPS、FW、APT、VPN、APT等丰富的增值服务内容,满足租户合规需求;
Ø通过安全云,实现未知威胁发现、Web业务系统漏洞扫描和安全监测,动态感知安全威胁,提前预警和防护;
Ø通过云安全资源池管理平台,实现全网态势感知动态展示、策略下发、安全事件实时处置;
Ø与安全云联动,实现安全威胁情报协同,突发安全事件在线应急响应。
4.1.1南北向安全服务流
南北向安全服务流即外网——数据中心侧业务(比如web业务)访问流向,数据中心侧业务南北向安全风险与原有线下安全风险类似,例如web业务需要实现入侵防护、web安全防护、VPN安全接入等功能。
南北向防护安全,主要通过安全资源池平台上包含的各类安全组件来实现防护。
4.1.2东西向安全服务流
东西向安全服务流即不同云主机、数据库之间的访问引入的安全服务流。
4.2东西向安全服务设计
东西向安全流量的设计,采用公司提供的终端检测响应平台(EDR)方案,方案由轻量级的端点探针和管理平台共同组成。
轻量级的端点探针agent需要安装在用户的云服务器上,管理平台可以部署在云平台内部或使用Sangfor的SaaS服务云。
4.2.1安全服务交付形式
租户上云后,租户除了关注终端检测响应平台(EDR)是端点探针记录大量主机和网络事件,并将这些数据发送到管理平台,然后由管理平台进行全面的安全分析,根据已知攻击指示器(IOC)、行为分析和机器学习等技术来检测安全攻击行为,并对这些攻击做出快速的响应动作。
解决方案将对主机进行持续的安全检测,并对发生的安全事件进行自动响应加固
4.2.2安全服务交付内容
4.2.2.1恶意文件自动隔离响应
端点探针部署在服务器终端上,在操作系统用户态稳定运行,轻量级无感知,实时采集部署环境的安全相关数据,全面探测服务器主机和网络上的威胁活动,通过文件信誉库或相似库来防止已知的威胁文件运行,并对已知恶意文件进行自动隔离的响应处理。
4.2.2.2入侵行为主动IP封堵
端点探针实时感知网络威胁活动,对远程攻击的入侵者,可对入侵源进行IP封堵处理,并主动把入侵源加入IP黑名单,实时响应缓解攻击,持续进行安全加固,减少攻击对业务资产运营的影响。
4.2.2.3应用角色访问控制加固
在虚拟化云环境中,可对服务器应用角色之间的东西向流量进行访问控制策略配置,提供对业务安全域之间、业务安全域内不同应用角色之间、业务安全域内相同应用角色之间的访问控制策略配置,提供简单的安全访问策略配置,提高了安全管理的效率。
4.2.2.4威胁情报智能关联检测
的安全云平台通过端点返回的事件信息,关联在线数十万台安全设备的云反馈威胁情报数据,以及第三方合作伙伴交换的威胁情报数据,智能分析精准判断,超越传统的黑白名单和静态特征库,为已知/未知威胁检测提供有力支持。
并且可与产品进行自动化联动检测和防护,形成应对威胁的云管端立体化纵深防护闭环体系。
4.3南北向安全服务交付设计
4.3.1安全接入服务
a)包含服务:
SSLVPN/IPSECVPN
安全策略
内部业务系统如果直接通过公网访问,部分数据在公网可能被人劫持、利用、篡改,同时如果在公网传输的数据是明文传输的,风险会更大,所以可以利用VPN功能(SSLVPN与IPSECVPN),对公网传输的数据进行加密,构建VPN隧道,避免在访问内部业务系统过程中数据被窃取、篡改。
4.3.2安全防御服务
a)包含服务:
基础防御服务
涉及具体功能为应用控制、应用防火墙、IPS功能
WEB安全增强服务
涉及具体功能为:
WAF、防篡改、数据防泄密功能
b)安全策略
针对操作系统漏洞(windows漏洞)、应用系统漏洞(apache漏洞、IIS漏洞、FLASH漏洞等)提供防护措施,避免因为未及时更新补丁造成的漏洞被恶意分子利用,对操作系统、应用系统进行恶意修改,比如增加一个操作系统管理员,对操作系统进行修改,达到恶意利用的目的。
WAF功能,又称为WEB防火墙功能,只要在云上有web系统对外发布的场景,建议部署WAF服务,web攻击因其攻击手段的多样化,已经成为目前主流攻击形式。
一个web系统可以被插入恶意代码,引导用户点击并窃取用户核心信息,也可以通过恶意的数据库请求对数据库进行非法操作,也可以劫持用户浏览器数据,获取后台管理密码等。
以上攻击,由于业务系统在开发时对代码检测力度不够以及web攻击不断演变,如果有web系统,一定需要提供对外web系统的web应用防护(WAF防护功能)。
防篡改功能,避免网页(门户网站等)被恶意人员篡改,比如网站首页图片被恶意替换、内容被恶意替换,从而给单位带来极其恶略的影响。
适用于对外发布网站(门户网站、有web页面的业务系统):
适用于单位对外发布业务的网站篡改监测与保护,通过在网站服务端安装防篡改软件,避免页面被恶意篡改。
病毒网关功能,通过在上网/下载流量的出入口提供防病毒网关服务,对服务器外发、用户上传的文件进行病毒识别、查杀,避免用户主动上传/服务器端主动下载的文件中包含各类病毒。
用户端无需安装终端软件,不会带来终端CPU、内存资源消耗,也实现了轻量化的防病毒功能。
数据防泄漏功能,针对敏感信息批量外发进行保护,如186、139等有特征的11位的手机号码、18位身份证号,有标准特征的@邮箱等有特征数据进行识别,同时可以针对自身业务系统关键数据进行配置,比如社保卡号,避免服务器被攻击后黑客批量外发敏感数据,该模块可以阻断敏感信息的泄漏。
有防护了各单位、政府敏感泄漏的风险。
4.3.3应用交付服务
a)包含服务:
应用负载、SSL卸载服务
b)安全策略
应用交付服务支持基于IP地址、应用类型和内容等因素实现流量负载。
通过这种方式可以为不同类型的应用类型分配不同的服务器资源。
应用类型调度支持基于不同协议上的多种应用,包括TCP、UDP、IP、DNS、E-mail、FTP、HTTP、RADIUS等等。
在实现L4服务器负载均衡的场景中,应用交付服务负责将客户端的请求转发给服务器,然后客户端与服务器之间建立TCP连接,基于七层内容的调度机制,使得管理员可以通过应用层的内容交换来分配服务器资源,以实现用户请求调度的多元化和个性化,业务应用的场景十分广泛。
例如,基于URI、HOST、COOKIE、USER_AGENT等HTTP头部内容的匹配策略来选择服务器,或者通过对HTTP头部进行请求改写和应答改写,执行页面跳转和丢弃等操作,实现不同业务系统之间的交互联动
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据中心 医疗 影像 云云 安全 解决方案