A P P安全建设办法集团标准化小组:[VVOPPT-JOPP28-JPPTL98-LOPPNN]医院服务窗安全建设方案2014年9月目录一、医院服务窗背景介绍随着3G、4G时代的到来,大家越来越习惯使用智能手机来查询、和商户的互动。
来自中国互联网络信息中心(CNNIC)的《2013中国互联网络发展状况统计报告》显示,截至2013年底,中国手机网民规模达到约4.6亿人,占整体网民的比例达到78.5%。
而最近几年,互联网在快速颠覆和改变很多传统行业,包括零售、通讯、医疗等行业。
医院作为特殊的事业单位,涉及到13亿中国人的福祉,但一直存在“挂号难”“看病难、看病贵”“医生劳动与回报”突出的问题,之所以出现这种状态是由于两方信息的不对称,医患不融合。
我们知道,解决任何双方矛盾的根本是平台的建设,只有双方在一个平台中共同努力,协调利益,才能有效解决问题。
目前支付宝将对医疗机构开放自己的平台能力,包括账户体系、移动平台、支付及金融解决方案、云计算能力等,通过支付宝钱包中的服务窗可以提供患者与医院交流的一个公众服务平台。
这也就为医院提高就医体验,掌握病人就医行为提供了可能;也为医院将更优质的服务通过互联网提供给病人提供了可能。
医院服务窗正是基于支付宝钱包服务窗向患者提供的医疗服务平台。
在这个平台上患者及其家属可以通过服务窗自助完成预约挂号、诊间支付以及查看患者感兴趣的信息,使医院和患者之间就建立了一种信任关系,进一步增加了患者对医院的信赖感和黏度,从而达到和谐医患关系的目标。
二、医院服务窗网络安全解决方案医院服务窗的终端用户(病友及访客)是通过互联网来访问医院服务窗的IIS服务器获取信息,由于医院服务窗的IIS服务器位于医院内部网络且需要向医院的核心服务器HIS服务器提取相关数据,整个数据链路涉及内网及外网,为降低数据流被意外安全事件中断的机率,保证整个业务高效,流畅地运转,现为相关数据流设计如下网络安全防护体系。
下图是医院服务窗系统在应用过程中一个典型的安全防护设备部署拓补图。
医院服务窗的终端用户通过各种移动设备(智能手机、智能平板等)经过互联网向IIS服务器查询数据。
数据流会先经过安全设备的第一道门槛-防火墙,然后再经防病毒网关到达第二道门槛-WEB应用防护设备到达IIS服务器。
IIS服务器得到请求后会根据终端要求查询的内容向HIS核心服务器提取相关数据,这时数据流会经过安全防护设备的第三道门槛-网闸到达HIS服务器。
在医院内部核心交换机处还有一个安全防护设备-IDS来保证监视整个医院内部网络的攻击行为或异常现象为快速排错及故障定位提供保障。
以上提到的各种安全设备层层防护,相互补充,在最大程度上保证了整个医院服务窗及网络系统的安全应用。
各设备的具体防护功能及特性将在后面的章节详细介绍。
产品部署网络拓扑图如下:三、安全设备效果及性能简介3.1防火墙防火墙部署于医院内部网络与互联网边界处,是整个网络安全防护的基础实施。
主要对需要访问医院服务窗IIS服务器的外部用户经行访问控制,起到对于网络层数据流和攻击的防御。
同时在蠕虫病毒大爆发的时候可防止外部用户将其感染到本安全域之内,造成更大更严重的损失。
防火墙按性能可分为万兆、千兆、百兆三大类,其中千兆及百兆应用最为普遍。
万兆高端防火墙主要应用于ISP及大型骨干网中,中端千兆防火墙主要应用于企事业单位,百兆的低端防火墙主要针对桌面级应用。
如医院网络边界处已有防火墙设备则此处不用考虑。
3.1.1设备技术参数3.2网闸网闸的部署至关重要。
它部署在IIS服务器与HIS数据库之间。
因为用户通过IIS服务器向HIS数据库提取数据时,无论在安全性还是保密性的角度来看,网闸的部署进一步提升了安全的等级,到达物理隔离。
两个网络之间没有任何物理连接,没有任何网络协议可以直接穿透。
并可以实现“协议落地、内容检测”,这样,既从物理上隔离、阻断了具有潜在攻击可能的一切连接,又进行了强制内容检测,从而实现最高级别的安全。
有效的将两网之间实现了安全隔离与业务数据安全、可靠的交换。
通过这种部署方式,可以为访问提供更高的安全性保障。
确保核心数据库在对外提供数据时不被攻击、篡改、破坏。
安全隔离信息交换系统(网闸)该产品是利用网络隔离技术的访问控制产品,处于网络边界,连接两个或多个安全等级不同的网络,主要应用于对重点数据提供高安全隔离的保护。
国家保密局对安全隔离与信息交换类产品的应用也做了规定,规定安全隔离与信息交换系统在以下四种网络环境下应用:不同的涉密网络之间;同一涉密网络的不同安全域之间;与Internet物理隔离的网络与秘密级涉密网络之间;未与涉密网络连接的网络与Internet之间。
3.3入侵检测(IDS)在安全防护系统中,若不良来访者被允许访问,它会对用户网络做出令网络管理者无法控制的事情,如果系统配备了入侵检测(IDS),这种破坏性行为将被抑制。
我们知道,网络总是要提供服务的,对于一些常用的服务如浏览和E-mail收发等,防火墙只做到允许或者拒绝各种各样访问者访问这些服务,无法判定具有攻击行为的访问是否会摧毁防火墙。
这就好像门卫难以判定每个来访者是办事者还是偷窃者一样。
如果墙角(或其他什么位置)安装了微型摄像机,能够监视来访者的一举一动,保安人员便可以根据来访者的行为及时发现不法分子,及时报警,确保办公与居住人员的安全。
我们在核心交换区域部署IDS监听设备,在此位置,它在不影响整体网络业务性能的情况下,能监听到所有访问业务服务器区域和内网区域的所有行为举动,若有异常行为可联合防火墙等进行安全联动,阻断非法行为,同时为我们出现问题后的事后取证与行为还原提供了充分的依据。
3.3.1设备详细技术参数3.4Web应用安全防护——WAFWAF(WebApplicationFirewall)工作在应用层,提供专业的针对医院服务窗IIS服务器Web 应用的防护,提供Web应用交互内容以及Web页面中代码漏洞的检测防御和Web2.0时代动态网站的应用防护,通过执行应用会话内部的请求来处理应用层,它专门保护Web应用通信流和所有相关的应用资源免受利用Web协议或应用程序漏洞发动的攻击。
WAF可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击,一些强大的应用安全网关甚至能够模拟代理成为基于web的应用服务器接受应用交付,部署与所有基于web应用的服务器群签名,形象的来说相当于给原web应用服务器群加上了一个安全的绝缘外壳。
WAF针对常见的Web业务系统,提供综合的Web应用安全解决方案,确保用户Web业务风险最小化。
WAF通过对进出Web应用服务器的http流量相关内容的实时分析检测、过滤,来精确判定并阻止各种Web应用攻击行为,阻断对Web应用服务器的恶意访问与非法操作,如SQL注入、XSS、Cookie篡改以及应用层DoS攻击等,有效应对网页篡改、网页挂马、敏感信息泄露等安全问题。
系统使用主动实时监测过滤技术,将恶意代码、非授权篡改、应用攻击等众多威胁进行综合防范,从而做到对医院服务窗对外提供服务的IIS应用服务器的多重保护,确保IIS应用安全的最大化,充分保障IIS应用的高可用性和可靠性。
通过部署一台WAF管理多个独立的Web应用,各Web应用可采用不同的安全策略,可以在不修改用户网络架构的情况下增加新的应用,为多元化的Web业务运营机构提供显着的运营优势与便利条件,可以实时配置修改多个后台Web系统,而无需让Web系统下线。
3.4.1设备技术参数3.5防病毒网关在网络边界部署防病毒网关,采用高检测度接入方式,在最接近病毒发生源安全边界处进行集中防护,对夹杂在网络交换数据中的各类网络病毒进行过滤,可以对网络病毒、蠕虫、混合攻击、端口扫描、间谍软件、P2P软件带宽滥用等各种广义病毒进行全面的拦截。
阻止病毒通过网络的快速扩散,将经网络传播的病毒阻挡在外,可以有效防止病毒从其他区域传播到内部其他安全域中。
通过部署防病毒网关,截断了病毒通过网络传播的途径,净化了网络流量。
如医院网络边界处已有防火墙设备则此处不用考虑。
3.5.1设备技术参数四、安全设备架构建议医院服务窗系统安全防护建设本着信息安全建设四原则进行,即:“全面保障”原则:信息安全风险的控制需要多角度、多层次,从各个环节入手,全面的保障。
“整体规划,分步实施”原则:对信息安全建设进行整体规划,分步实施,逐步建立完善的信息安全体系。
“同步规划、同步建设、同步运行”原则:安全建设应与业务系统同步规划、同步建设、同步运行,在任何一个环节的疏忽都可能给业务系统带来危害。
“适度安全”原则:没有绝对的安全,安全和易用性是矛盾的,需要做到适度安全,找到安全和易用性的平衡点。
在实施过程中基于以上四原则在安全设备的配置部署上也因医院具体情况而定,下面给出本方案中安全设备在几种常见情况下的配置组合为用户提供参考。
对于威胁的防护,可分为三个防护等级:基础防护:通过防火墙设置网络安全策略,限制对IP地址及Port的访问,并采用入侵检测系统(IDS)对异常网络行为及攻击手段进行监测和日志记录。
该防护等级可阻止大部分已知攻击行为,但对内容不能进行检测,对系统漏洞的防护力较弱。
防护效果:★★★☆☆所需安全设备:防火墙、入侵检测系统主动防护:在基础防护等级的基础上,采用Web应用安全防护系统可重点针对系统应用服务器进行保护,对进出服务器数据的协议和内容进行分析,并对应用流程进行限定,对于内容包含威胁或不符合协议和应用流程的行为进行阻断。
同时增加防病毒安全网关(AV)对网络病毒进行查杀。
该防护等级可阻止绝大部分网络攻击及病毒传播。
防护效果:★★★★☆所需安全设备:防火墙、入侵检测系统、Web应用安全防护系统、防病毒安全网关(AV)物理隔离:在主动防护等级的基础上,利用完全隔离与信息交换系统(网闸)对内网和外网进行物理隔离,同时实现指定业务数据的高等级安全交换。
该防护等级可阻止所有未经授权的网络操作和数据传递,杜绝外网对内网的所有安全威胁。
防护效果:★★★★★所需安全设备:防火墙、入侵检测系统、Web应用安全防护系统、防病毒安全网关(AV)、完全隔离与信息交换系统(网闸)五、安全设备部署实施时间计划表六、安全设备厂商及产品选择参考在明确了我们信息安全防护的目的及重点后,我们建议从以下几个方面去考虑对安全产品品牌及厂商的选择。
1、本土化因为安全产品的特殊性及敏感性,建议在品牌及厂商选择上尽量选择国内的厂商。
信息安全领域行业在国内已经发展的十分成熟,国内的安全厂商与国外的安全厂商从技术上讲不存在什么差距,产品质量上也没有什么明显的差距不必盲目迷信国外厂商。
且国内厂商更熟悉国情及国人的使用习惯。
2、拥有自主知识产权的一线品牌厂商鉴于安全本身是一个相对动态的服务,只有拥有自主知识产权厂商的产品的工艺流程能保障更好的产品质量,其拥有强大的研发团队及服务团队更能保证产品软件系统的延续及升级,保障相关特殊码及病毒库的及时更新。