浪潮数字医院数据中心安全解决方案

【摘要】浪潮安全产品为数字医院数据中心保驾护航。随着云计算和大数据技术的快速发展，数字计算对企业数据安全的挑战越来越大，信息安全的需求也随之水涨船高，特别是在一些诸如医疗、金融以及政府等关系到国计民生的关键性行业，更是如此。针对信息安全这一新兴市场，浪潮推出了自主研发的SS系列主机安全解决方案，打造“三点一面，纵深防御”的安全解决方案。

客户需求与挑战

　　从使用人群上分析，信息中心、其他业务处室、厂商开发运维人员能接触到数据库敏感信息的人员有数十人，其他医疗窗口及管理人员间接接触数据库敏感信息的人员有几百人，他们有不同的应用或数据库访问权限，存在越权查询敏感信息，批量查询和导出信息等风险情况。

　　从数据库访问行为控制分析，防高危操作，防SQL注入，对批量数据查询的实时告警，同时对数据库的恶意访问将记入审计日志，进行事后分析。具体的技术分析如下：

　　防止外部黑客攻击

　　威胁：黑客利用Web应用漏洞，进行SQL注入;或以Web应用服务器为跳板，利用数据库自身漏洞攻击和侵入。

　　防止内部高危操作

　　威胁：系统维护人员、外包人员、开发人员等，拥有直接访问数据库的权限，有意无意的高危操作对数据造成破坏。

　　防止敏感数据泄漏

　　威胁：黑客、开发人员可以通过应用批量下载敏感数据，内部维护人员远程或本地批量导出敏感数据。

　　审计追踪非法行为

　　威胁：业务人员在利益诱惑下，通过业务系统提供的功能完成对敏感信息的访问，进行信息的售卖和数据篡改。

　　从数据库自身安全加固的技术层面分析，在核心信息系统中至少存在以下重要数据库安全威胁，能够直接导致敏感信息泄密的发生：

　　系统维护人员导出或篡改数据

　　第三方人员直接接触敏感数据

　　因此，医院信息系统的数据库信息安全核心需求就是要重点解决以上三大数据库安全威胁。

业务应用分析

　　医院数字化信息系统的安全问题离不开网络的安全,网络防病毒策略是必不可少的。它主要包括被动防御和主动防御两部分。

　　被动防御主要是在整个医院的范围内来建立网络版卡巴斯基防病毒系统,防止工作站系统来感染病毒。设置一台DELL Power Edge 1950服务器主要用于卡巴斯基防病毒软件的服务器端,以此来实现对整个网内的计算机的保护和监控,还可以对卡巴斯基的管理控制台强制对远程的客户端制定客户端全盘扫描和病毒扫描计划等等。在服务器端的病毒代码库升级的同时客户端的病毒代码库也会进行同一时间的升级,保证网络上每台计算机都在最新的病毒代码库的监控下运行。

　　主动防御是将医院的内网按照地理位置的变化划分成采用基于交换机端口的划分方式5个Vlan,这样可以有效的防止病毒和蠕虫对计算机的攻击,木马程序通过在Vlan之间传播,以此来增强网络的安全性。

　　数据安全是整个医院数字化信息系统的核心部分,病毒入侵 、硬盘损坏 、自然灾害 、偶然或恶意的数据库破坏都有可能导致数据的丢失,因此就需要对数据进行备份。每隔5个小时想磁盘阵列备份数据,这样就可以保证整个医院信息系统数据的完整又可以使系统正常安全的运行。而且要采用异地备份的方式来保证数据库的安全。

　　在医院的计算机网络中,访问控制的主要目的是主体访问客体的权限受到控制。根据Windows NT和SQL Sever特性,使用应用软件和系统软件的相关功能,并合理的设置使用的权限。医院网络用户的特点主要是高度共享和分散处理,所使用的用户涉及到医疗技术、医生、管理人员、护士等等。因此,根据这些特点通过设置权限来控制用户对一些特定的数据的使用,使所有的用户在整个系统中具有唯一的账号和密码,这样既禁止用户对无关目录进行读写又方便灵活的操作了调用的数据。同时既防止了非法用户侵入网络又保证数据的安全和共享,确保网络运行的安全。

浪潮数字医院数据中心安全解决方案

　　浪潮通过提供SSA、SSR、SSC、SSM安全管理设备及软件，为用户提供安全可靠的数据中心方案。实现如下价值：

　　纵深防御体系

　　数据接入安全、可靠、可用

　　实现主动防御

　　安全可视化、可量化

　　规范管理员行为

整体方案介绍

　　浪潮数据中心安全整体安全解决方案，从业务数据流和管理数据流两个方面构建以SSA、SSR、SSM、SSC为核心的整体防御体系。

　　从业务数据流方面，数据从外部接入，采用服务器负载均衡技术和web数据过滤技术，保证数据高可用、更快速、更安全，保证服务器具备高性能、高扩展性；

　　在主机服务器层面，采用内核加固技术，构建安全内核模型，实现强制访问控制，保证服务器操作系统本身免疫一切外部和内部攻击，实现主动防御，保证业务不断、数据不丢，也从根本上避免了系统管理员超级权限丢失带来的风险；

　　从应用层面，对数据中心设备，包括服务器操作系统、中间件、数据库等进行统一的监控管理，做到安全可量化、可视化、可知化，实现安全事件监测、响应联动模式；

　　在系统运维方面，对系统管理员、系统运维人员、系统应用高权限用户、第三方厂商的维护人员以及其他临时高权限人员做到全方位的管理，整合账号管理、身份认证、授权管理和安全审计，实现数据中心运营集中集控。

　　以下为浪潮数据中心安全整体解决方案拓扑简图：

数据中心安全建设模拟拓扑

方案产品介绍

　　主机安全产品

　　浪潮SSR操作系统安全增强系统，是一款基于操作系统内核层开发的安全加固软件。

　　SSA安全应用交付系统、SSC运维安全管控系统、SSM应用监管系统、SSR操作系统安全增强系统。

　　浪潮SSA安全应用交付系统提供Web应用安全、负载均衡、应用加速、应用自动发布、智能扩展等功能。

　　浪潮SSC运维安全管控系统是一款面向内部IT运维人员的安全管理产品。

　　浪潮SSM应用监管系统是一套能够对基础IT 资源和业务支撑系统进行统一监控的业务监控管理平台。

浪潮解决方案优势与客户价值

　　浪潮是中国最早从事信息安全产品、技术研发与推广的厂商之一，浪潮秉承“自主可控 安全可靠”的技术发展理念，聚焦行业数据中心的主机安全，逐步形成以硬件、操作系统、安全软件三位一体的主机安全产品与解决方案。