新形势下建立医院零信任网络安全的实践和思考_智慧医疗医院信息化经验交流分享课件

,5/8/2021,#,新形势下建立零信任网络安全 实践和思考,新形势下建立零信任网络安全 实践和思考,1,XX,自治区人民,医,院,Peoples,Hospital,of,XinjiangUygur Autonomous,Region,汇报大纲,简,介,医院信,息,安全实践,建立零信任安全网络的思考,XX自治区人民医 院 of XinjiangUygur Au,2,是,XX,地区最大的三级甲等综合医院之一，,编制床位2700,张，,年,门,诊,量220,万人，出院,量,16,万,人、手术（操作）,量9万人。,目前自治区人民医院信息系统100多个，云平台，,IB,M小型机6 台，两个虚拟化平台14节点、一个6节点超融合平台、,PC,服务器76 台，存储阵列柜12多台，终端电脑5000多台,(,内网,3000,多台）。,PDA,700,多台,，iPad,100,多台，在病区无线网络全覆盖的基础上，,通过,PDA,和,iPad,应用实现了所有核心医疗行为的闭环管理。,是XX地区最大的三级甲等综合医院之一，编制床位2700张,3,信息中心,25,人,信息中心组织架构,信息系统管理科,14,人,目标：精通业务，服务高效,网络安全管理科,7,人,目标：一流技术团队,医疗信息统计科,4,人,目标：数据分析专家,国家卫健委,六级电子病历,（2016）,互联互通四级甲等（2019）,等保三级,（2018）,HIC(,艾力比,),全国排名第16名(2020),信息中心介绍,Lorem,ipsum dolor sit amet,consectetuer,adipiscing,elit.,技术副主,任,1人,管理副主任,1人,信息中心信息中心组织架构信息系统管理科网络安全管理科 7人,4,网络安全大事记,1.2018,年开,始,全,国,数,量,庞,大,的系,统,中,勒,索,病,毒,，,其,中,包括,很,多,医,院,（,上,云,医,院,）,2.2018,年,比,特,币,2,万,人民,币,左右,，2021,年,4,月,比特,币,40,万,人,民币,一,家,单,位,22,个,ORACLE,数据库,同,时,坏,一,家,安,全做,的,很好,的,单位（,等,保,2.0，,专业,维,护团队,），,突,然几,台,服,务,器中勒,索,病,毒,密码滥,用,：,2020,年4,月,19,日，云,头,条,发,布新闻：,公,司夏某,工,程,师,因为,私,自,应,用三甲,医,院,数,据库,密,码,，,运行,开,发数,据,库监控,软,件,，,导,致,HIS,系,统2,小,时,无,法,正常,工,作,，,损失,近,800,万，,被,判5,年半,。,黑客入,侵,：,法,制,日,报,2017,年,披,露,:,某部,委,医,疗,服,务信,息,系,统,遭,“,黑,客,”,入,侵，,超,过,7,亿条,公民,信息,遭泄,露,，8000,余万,条,公民,信息,被贩卖,。,数据被,盗,：,2019,年央,视披,露，温,州,某,医,院被,外,部,人,员盗取,统,方,数,据，,通,过,U,盘等方,式,拷,走,。,网络安全大事记1.2018年开始全国数量庞大的系统中勒索病,5,当前网络安全形式,互,联,网,+,医,疗,、医,保,、,商,保等应,用,使,医,院内,网,不再,封,闭，医,院,相,对,银行,、,证券,、,保险等,行,业,，,信息,安,全投,入,不足，,技,术,力,量,相,对薄弱,，,并,且,医院,有,大量,有,价值的,数,据,，,这些,都,是不,法,分子攻,击,医,院,的重,要,因,素,HIS,、,LIS,、,PACS,、,EMR、,手,术麻醉,、,合,理,用药,、,院感,、,集成平,台,等,信,息系,统,越来,越,多，各,个,系,统,都互,相,联系,，,任何一,个,信,息系,统出问,题,都,可,能影,响,全院,信,息系统,的,稳,定,运行,，,甚至,造,成系统,瘫痪,信,息,技,术,越来,越,复杂,，服,务器、,存,储,、,交换,机,、云,平,台、虚,拟,化,、,集群,、,超融,合，,Linux,、,UNIX,、,Windows,现在,信,息,系,统,安,全性大,幅,提,高,，已,不,容易,出,事，但,出,事,就,是出,大,事，,且,问题很,难,处,理,。精,通,这么,多,技术几,乎,不,可能,医,院,电,脑,、,PDA、,平,板,、手,机等终,端,设,备,越来,越,多，,信,息系统,也,越,来,越多,且,各个,系,统都互,相,关,联,，数,据,量越,来,越大，,这,些,因素,都会直,接,影,响,信息,系,统的,稳,定和安,全。,医,院,病,毒,越,来,越,多,，,破,坏,性也越,来,越,大,，,杀,毒,软,件,能,防,止一,些,病,毒,但,对,一,些,新,病,毒,却无,可,奈,何,，,同,时,杀,毒,软,件,可能,会,误,杀,一,些,文件，,造,成,系,统、,数,据库,、,或应用,程,序,不,可,用,信,息,系,统,流,程,优,化,是,每,家,医院都,很,重,视,的,工,作,，,伴,随,着,频繁,的,程,序,升,级,，,由,于,程,序,功能,繁,多,，,很,难,进,行,严,格,的,全面,程,序,测,试,。,升级也,会,导,致,信息,系,统无,法,正常使,用。,6,医院网络安,全,压力,医,院,是,真,正,7*24,小时不,间,断,运,行,的信息系统,互,联,网,+,医疗,、,智慧医,院,建,设,，,提,高患者,和,医,务,人,员,感受的,同,时,，,网,络,安,全,压,力,巨,大,医,院,信,息,安全,投,入、人,员,技,术,水,平,、责任,心,还,不,能,确,保网络,安全,传,统,网,络,安全,架,构已不,能,适,应,网,络,安全发,展,的,需,要,（,零信任,网,络,）,医院网络安全压力医院是真正7*24小时不间断运行的信息系统,7,网络安全现况,互联,网+,医疗开展医院有了很多互联网应用服务器，有的服务,器是第三方公司提供的、有的是银行提供、医院买,的,这些服务 器都是单点故障,网络安全环境混乱，医院有一堆小防火墙,，没有系统整体安全 防护,服务器上架没有整体规划，混乱，安全程度低，维护困难,网络安全规划,希,望,建立一个理论上硬件没有单点故障的安全网络环,境,并且通,过国家等保三级,201,8,年,信,息,规划,网络安全现况 2018年信息规划,8,2018-2020,安全计算环境,2018-2020安全计算环境,9,安全设备.防火墙,数据,从,Internet,经,过,防火,墙进入,业,务,内网,防火墙首先使,用,ACL进行数据包过滤，合规的数据,通过,进行严格状态化监控，主要,是,TCP、UDP、ICMP协议,利用互联网相关协议对数据包内容进行匹配，检查,数据是否合规,可以防止一些已知的威胁，不能保证网络绝对的安,全,防火墙工作在网络层,，,直接进行数据包转发,安全设备.防火墙数据从Internet经过防火墙进入业务内,10,安全设备.网闸,数据从,办,公,外,围,经,过,网,闸,进,入研,发,内,网,外网办公数据首先达到网闸外网处理单,元,被剥离,IP数据封,装,只留原始数据,通过防病毒、入侵检测模块对原始数据进行检查,通过预先设置白名单，过滤规则等安全策略进行检查,通过摆渡技术（类似U盘拷贝）把外网办公数据传送到,研发内网,网闸工作在应用层，所有数据需要落地转换，完全屏,蔽内部网络信息,；,安全设备.网闸数据从办公外围经过网闸进入研发内网,11,网络安全经验,广泛使,用,LINUX,操作,系统,及,功,能,WINDOWS,如果可能都换成LINUX,CS架构ORACLE数据库服务器,，,CS,两,层,架,构升,级,为,CS,三,层,架,构,（,性能,安,全大,幅,提升,）,LINUX,LVM,、,XFS,等功,能,应,用,网络安全经验广泛使用LINUX操作系统及功能,12,高性能平台HIS系统,性,能良,好,HIS,系,统,2004,年至,今,3T数,据,库,11G,RAC,+IBM,AIX,小,型,机平,台,2012,年,至,今,计划,2022,年迁,移,到,LINUX,高性能平台HIS系统性能良好HIS系统2004年至今 3T,13,201,2,年,201,8,年,EMC,VMAX10K,EMC,VNX5300,EMC,CX340,MS3020,IBM,DS5100,没有单点故障的高度安全网络环境,IBM,DS4700,Emc,vplex,Emc,vplex,国家授时服务器,（卫星）,自治区人民医院云平台,vSphere,esxi,vSphere,esxi,vSphere,esxi,vSphere,esxi,vSphere,esxi,vSphere,esxi,2012年 EMC VMAX10KEMC VNX5300E,14,云平台定义：是指基于硬件资源和软件资源的服务，提供计算、网络和存储能力,2012,年,医院建设第一个云平,台,VMWARE,2018,年,医院建设第二座云平台,VMWARE,目前平台资,源,14,台高,端,PC,服务,器,12T,内,存,12,台存,储,1500T,容量,（主要存储日立全闪存,、,EMC,VMAX10K、EMC,VNX,5300,、EMC,CX340,IBM,DS5100,IBM,DS4700,MS7000G2,MS3000G2,等）,核心内网业务,除,HIS,系统全在云平台上运行,云平台定义：是指基于硬件资源和软件资源的服务，提供计算、网,15,V,M,W,ARE,应用案例,云平台应用案列,Emc,vplex,Emc,vplex,vSphere,esxi,EMC,VMAX10K,宏衫,3020,EMC,CX340,vSphere,esxi,vSphere,esxi,两套,PACS,性能优化,业务连续性（,linu,x,免费 操作系统）,减少盘符，实现存储的 三级架构，且可以根据,需要动态扩展（lvm,xfs）,充分利用存储设备,vSphere,esxi,HDS,SSD,VMWARE云平台应用案列Emc vplexEmc vpl,16,互联网区超融合实践分享,资源池规模,：,8,节点，总共提供322vCPU，,4T,内存,，20TSSD,高速,缓,存空间，,100TSATA,存储（双副本）。,承载业务系统：,平安预约挂号、健康卡、微信,体检、银医二期、慢病管理等 336,套业务系统。,业务交换机,（双机）,管理交换机,（双机）,分布式存储交换机,（双机）,互联网区超融合虚拟化平台,外网核心交换机,千兆网线,万兆光纤,互联网区超融合实践分享资源池规模：承载业务系统：业务交换机管,17,核心业务机房,2019,年改造完成,DMZ,机房,核心业务机房2019年改造完成DMZ机房,18,VMWARE,H,C,L,HADOOP,2019,年改造完成,VMWAREHCLHADOOP2019年改造完成,19,备份平台,安全介绍,Lorem,ipsum dolor sit amet,consectetuer,adipiscing,elit.,备份平台安全介绍,20,安全介绍,Lorem,ipsum dolor sit amet,consectetuer,adipiscing,elit.,经过三年建,设,2018-2020,三区两道防线、三级等保,整个网络环境没有单点故障,网络已经很安全了吗？,安全介绍经过三年建设2018-2020,21,安全介绍,Lorem,ipsum dolor sit amet,consectetuer,adipiscing,elit.,业务人员、管理人员、开 发人员、运维人员、外包,运维、外包应用开发、单,位前员工、开发商前员工、运维再外包、,VPN,网络马奇诺防线：网络边界安,全,V,S,.,内部安全,安全介绍业务人员、管理人员、开 发人员、运维人员、外包 运维,22,安全介绍,Lorem,ipsum dolor sit amet,consectetuer,adipiscing,elit.,1,2,3,4,5