目录第1章项目建设背景与方案设计原则 (2)第2章医疗影像云建设需求分析 (2)2.1云平台的基础安全保障 (2)2.2云环境下安全责任分类界定 (4)2.3云环境下引入的特有安全需求 (5)第3章医疗影像云云安全建设方案 (6)3.1平台安全架构设计 (6)3.2医院接入架构设计 (7)3.2.1前置机接入安全设计 (7)3.2.2专线接入安全设计 (7)3.3平台安全区域边界设计 (8)3.3.1网络接入域 (8)3.3.2内网业务区 (8)3.3.3安全管理区 (9)3.4平台安全设备汇总 (9)第4章医疗影像云云安全解决方案技术特点 (10)4.1部署架构 (10)4.1.1南北向安全服务流 (11)4.1.2东西向安全服务流 (11)4.2东西向安全服务设计 (11)4.2.1安全服务交付形式 (11)4.2.2安全服务交付内容 (12)4.3南北向安全服务交付设计 (12)4.3.1安全接入服务 (12)4.3.2安全防御服务 (13)4.3.3应用交付服务 (14)第1章项目建设背景与方案设计原则◆统一规范遵循在统一的框架体系下，参考国际国内各方面的标准与规范，严格遵从各项技术规定，做好整个医疗影像云系统的标准化设计与部署。

◆成熟稳定本次建设方案采用的是成熟稳定的技术和产品，确保能够适应各方面的需求，并满足未来业务增长及变化的需求。

◆实用先进为避免投资浪费，方案设计不仅要求能够满足目前业务使用的需求，还必须具备一定的先进性和发展潜力，具备纵向扩增以及平滑横向扩展的能力，以便IT基础架构在尽可能短的时间内与业务发展相适应。

◆安全可靠由于医疗影像云属于对医疗系统提供公共服务的云平台，因此针对平台自身业务熟悉，结合国家对云平台的相关建设要求和标准，本次云平台安全体系建设参考和采用以下相关国家标准：信息系统安全保护等级定级指南（GB/T 22240-2008）信息系统安全等级保护基本要求（GB/T 22239-2008）信息系统安全等级保护实施指南（国家标准报批稿）信息系统安全等级保护测评准则（国家标准报批稿）信息系统等级保护基本要求-云计算要求-标准草案第2章医疗影像云建设需求分析2.1云平台的基础安全保障云平台的基础安全保障，是云服务方所需承担的基本、必须义务。

提供SAAS服务的云服务方，需保护的对象涵盖物理基础设施、服务器、网络和安全设备；虚拟化平台系统、资源池、云管平台，以及为租户提供的镜像、模板等。

如下图所示：1)基础安全保障能力的形成，主要包括两个步骤：a)根据系统等级属性、接入对象等，进行网络区域划分b)根据网络区域划分，计算环境属性要求，进行安全措施部署2)具体需求，包括：a)在网络区域划分时，应参照云平台等级保护的相关指导标准规范，保障合规性；b)在区域边界安全措施部署和保护时，应参照等级保护要求，达到相应能力要求；c)区域边界的深度防御，不仅要形成传统的多防线的纵深防护，还应在防御的网络层次上涵盖2~7层，满足当下进阶的攻防态势需求；d)持续性安全检测，应对传统的只在网络入口部署IPS、核心网络交换机处部署IDS模式进行扩展、加强，将威胁检测能力下沉到虚拟化网络，并上升借助外围安全大数据分析的安全服务云，形成全面、深入、持续的安全检测能力，抵御不断升级的APT攻击和突发安全事件；e)需对虚拟化平台、虚拟机等进行主机加固，保障计算环境安全；f)应对通信网络采取国密/商密算法的加密措施，并部署多链路冗余和链路负载均衡措施，保障链路可用性，达到保障通信网络安全的目的；g)安全响应和处置，应不仅限于传统的人工设置访问控制策略和事后审计，还应与安全管理中心联动，形成整体安全可视、自动化的快速安全策略升级响应，缩短攻击窗口、切断攻击扩散的链条，尽力减少损失；h)通过专用通道，与外围专门的未知威胁风险云平台对接，实时获取未知威胁情报，保障云安全体系的持续动态安全能力。

2.2云环境下安全责任分类界定云计算安全措施的实施主体常常会有多个，各类主体的安全责任因不同的云计算服务模式而异；云服务方和云租户方的安全责任边界与其控制范围相关。

云计算服务模式与控制范围的关系如下图所示：云计算服务模式与控制范围的关系图示（摘自GBT31168-2014）本次医疗影像云属于SaaS模式建设，在等保2.0云等保相关草案中SaaS模式下云服务方与租户的责任划分如下：层面安全要求安全组件责任主体物理和环境安全物理位置选择数据中心及物理设施云服务方网络和通信安全网络结构、访问控制、远程访问、入侵防范、安全审计物理网络及附属设备、虚拟网络管理平台、虚拟网络安全域云服务方设备和计算安全身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像、虚拟机、虚拟网络设备、虚拟安全设备等云服务方应用和数据安全安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复云管理平台（含运维和运营）、镜像、快照等、应用系统及相关软件组件云服务方云租户应用系统配置、云租户业务相关数据等云租户安全管理机构和人员授权和审批授权和审批流程、文档等云服务方系统安全建设管理安全方案设计、测试验收、云服务商选择、供应链管理云计算平台接口、安全措施、供应链管理流程、安全事件和重要变更信息云服务方云服务商选择及管理流程云租户系统安全运维管理监控和审计管理监控和审计管理的相关流程、策略和数据云服务方2.3云环境下引入的特有安全需求在当前以SaaS层服务为主的云平台建设模式下，云环境下的特有安全风险大部分围绕着虚拟化而产生。

在最新的《信息系统安全等级保护基本要求第 2 部分：对采用云计算技术的信息系统的扩展安全要求（草案）》中，也围绕该问题提出了基本要求。

这些要求涵盖了虚拟化平台、虚拟化网络、虚拟化主机、特殊应用和数据等诸多层面。

虚拟化安全相关的主要问题，如下图所示：按照云等级保护草案框架划分，大致需求内容，包括：1)主机：宿主机、云平台加固、虚拟机加固、检测、审计等2)网络：虚拟化网络边界隔离、防护、检测、审计等3)应用：云管平台与业务应用防护、检测、加固、审计等4)数据：数据中心双活、灾备，镜像、快照安全等第3章医疗影像云云安全建设方案3.1平台安全架构设计一个好的安全技术体系框架落实，需要合理、合规、科学的网络安全规划与安全设备部署。

通过多年安全体系建设和云安全项目经验积累，根据富士康医疗影像云的实际情况，给出以下总体网络安全构架设计。

如下图所示：1)合规性满足：➢遵循等级保护标准，进行“一个中心，三重防护”设计和安全措施部署➢满足云安全专项标准中对安全责任的明晰，虚拟化安全措施部署和要求满足2)安全防护、检测、响应三个维度满足➢通过安全服务云的安全防护，以及部署边界安全防护措施，有效满足区域边界的访问控制、攻击防护和入侵防范；➢部署的下一代防火墙、威胁检测探针，均具备2~7层的双向安全威胁检测能力；➢可以和安全管理中心形成良好互动，保障快速响应能力。

3)对云环境下特有安全问题解决➢通过在虚拟化平台上部署云安全资源池（含虚拟防火墙、虚拟负载均衡、EDR、虚拟VPN等组件），并进行安全策略设置，保障虚拟化网络的可视、可控，虚拟化边界安全防御、检测和响应能力。

➢通过对云管平台、虚拟化平台、虚拟机的安全加固和安全审计等措施部署，保障云平台的安全，保障系统安全、持续、有序运转。

3.2医院接入架构设计3.2.1前置机接入安全设计部分医院采用前置机的方式接入医疗影像云平台，在这种部署模式下，可以直接在医院部署一台aBOS一体机，前置机应用系统可以部署在aBOS一体机上，aBOS一体机上还部署有下一代防火墙及VPN确保应用系统的安全。

部署模式如下：aBOS一体机序号产品型号性能数量备注1 aBOS一体机前置机前端防御3.2.2专线接入安全设计部分医院采用专线直连的方式接入医疗影像云平台，在这种部署模式下，专线需接入云平台安全资源池虚拟下一代防火vAF进行边界防护，针对每个医院独立虚拟出一台vAF。

部署模式如下：3.3平台安全区域边界设计3.3.1网络接入域3.3.1.1专网接入区1)本区说明：各医院通过专线由该区域接入医疗影像云数据中心，上传医疗影像数据。

2)存在风险：存在非法越权访问、网络攻击、病毒传播，以及带宽资源拥塞风险。

3)安全措施部署说明：在专线接入区出口双机部署下一代防火墙设备3.3.1.2互联网接入区1)本区域职能说明：各医院通过互联网接入该区域，访问存储在医疗影像云中的医疗影像数据。

2)存在风险：数量庞大的互联网访问有可能造成网络拥塞；与互联网对接，存在遭受DDoS攻击，以及其他网络层攻击和应用层攻击的风险；存在非法进入内网，进行窃取和破坏等风险。

3)安全措施部署说明：在互联网接入区双机热备模式串行部署防DDoS、链路负载均衡、下一代防火墙设备；在互联网接入专线网络核心区之间，双机热备、单臂部署SSL VPN设备提供远程接入运维服务。

3.3.2内网业务区1)本区域职能说明：利用虚拟化、资源池技术向各医院用户提供医疗影像资源。

2)存在风险：由于存在数量众多的医院用户共同使用内网业务区的计算、网络、虚机等IaaS资源，部署不同类别不同安全等级的系统，交换不同重要程度的数据；则存在虚拟安全加固不足；虚拟机间安全隔离、安全防护、资源控制和保障措施不足；从而导致多个虚拟机间的越权访问、资源争夺，以及某一虚机感染病毒、木马后跳板攻击和病毒蔓延。

3)安全措施部署说明：通过调用安全资源池各种安全组件为不同的业务系统提供安全防护和接入服务；主要包括vAF、EDR、SAVE防病毒引擎等功能组件3.3.3安全管理区1)本区域职能说明：作为整个云平台的管理运维“心脏”，通过专门的管理网络和管理交换机通道，进行云平台运维管理、安全设备的统一运维管理、SDN控制管理，以及防病毒管理、补丁升级管理和漏洞扫描服务。

2)安全措施部署说明：在安全管理区部署日志存储平台，统一存储全网所有设备日志。

同时部署一套SIP安全态势感知平台，对全网的安全态势进行监测和分析。

针对运维管理人员的运维需求，部署一套堡垒机实现对运维人员的操作审计，满足安全管理的需求。

3.4平台安全设备汇总9安全资源池（软件）CSSP-40含vAF、EDR组件共40套，用户可按需使用 1 内网业务区第4章医疗影像云云安全解决方案技术特点4.1部署架构安全资源池部署在核心交换机上，采用物理旁路，逻辑串联的方式，核心交换机采用策略路由的方式将云平台的业务流量引流到云安全资源池，通过安全资源池的云Web防护系统、云DDOS、云堡垒机、云数据库审计、云防火墙、云IPS、云VPN、云防病毒、云APT检测对数据量进行安全检测，检测完成后在返回给交换机到出口。