数据中心--医疗影像云云安全解决方案
“影像云”数据安全解决方案
美创科技“影像云”数据安全解决方案看病也能“最多跑一次”!2018年5月,浙江省人民政府办公厅印发《浙江省医疗卫生服务领域深化“最多跑一次”改革行动方案》,将“最多跑一次”的理念和方法延伸到医疗卫生服务领域,提出了包括挂号、付费、检查、住院、急救等十方面改善医疗卫生服务项目。
浙江省各地医院纷纷加入了“最多跑一次”改革队伍中,从预约、就诊、检查等各个环节,实现服务流程的优化、服务方式的改进。
以医院影像为例,患者做完X光、CT、磁共振等检查,报告直接通过“影像云”实时查看、调用,不用再多跑一趟医院,取影像胶片,复诊时不必带胶片,也不用担心因胶片丢失需重复检查。
各地陆续出现的“影像云“,就是医疗卫生行业对“最多跑一次”政策的有效实践。
过去,医院数据量80%以上是影像数据。
因医院业务发展购置越来越多的先进设备,影像数据量随之飞速增长,医院每一两年就需要进行存储扩容。
传统的影像数据存储存在着三大难题:l影像数据爆发式增长,传统存储方式扩容不便l调用影像方式单一,一般只能在电脑终端上看l难以跨科室、跨院、跨区域集中共享同时,传统影像数据的管理和使用方式,给患者就医也造成了诸多不便。
患者用手机拍摄来的片子,常因图像质量不佳无法供医生诊断使用;或是,有患者拎着一袋胶片,东奔西跑,远赴上海、北京等地求医,却尴尬的发现带错或是少带了胶片。
“影像云”的出现,区域内的医疗机构可以建立共享的医疗影像资料档案库,解决过去影像使用的三大难题,同时实现:1)区域内医疗影像数据方便的扩容和永久保存2)随时随地不同终端随时调阅3)区域内医疗影像数据自由共享未来,随着影像云发展、普及,患者在下级医院就诊时需要上级医院提供影像资料会诊,或者远赴异地求医时,都可以直接通过互联网调取影像资料,患者少跑路了,医疗服务质量也提高了。
同时,影像云的普及,也提高了医院的科研能力、诊疗水平。
海量影像数据汇总集中,使大数据智能分析成为可能,可根据原始2D影像构建3D模型,实现3D打印,提供教学效率,增强教学效果,提高医院的竞争力。
医院医疗影像云解决方案
医院医疗影像云解决方案关键字: 医院、医疗、影像云、云计算、云存储一、业务场景为改变目前医院医疗影像为院内建设模式,把影像数据托管至云平台上,从而实现医疗影像的跨院、跨区域、跨个人以及更方便的电子化数据的互通与共享。
二、客户需求分析1、医院影像数据需要安全保存,实现异地冗余灾备。
2、跨院区影像需要集中存储,影像共享。
三、解决方案1、整体架构医疗影像云平台由上海基地负责影像云平台开发、PACS系统集成开发、影像应用产品迭代开发。
影像云的业务采用集中式的部署及管理,同时系统平台采用分布式架构,以实现负载均衡。
下图是整体业务逻辑架构:其中,院内的影像数据可以通过MPLS-VPN方式,通过前置机传输至影像云中心;同样,云中心亦可以通过MPLS-VPN方式把归档好的影像数据回传至院内PACS;当客户使用影像云诊断及应用工具时,则可以采用更为便捷的互联网方式进行随时随地的快速调阅和应用。
可以采用专线以及互联网的方式替代MPLS-VPN方式。
2、医院侧前端部署架构医院前置机部署于医院侧,是连接医院系统/设备和云存储中心系统的桥梁,只要遵循DICOM3.0协议标准的影像设备如DR,CT等以及院内PACS系统都可以接入云归档系统。
该前置主要实现功能如下:⏹根据Dicom标准协议从医院PACS系统或放射设备上获取影像信息;⏹根据Dicom标准协议从云端将归档影像信息传送到医院PACS系统或设备;⏹影像数据处理,包括入库、归档、加密、压缩等;⏹根据自定义协议发送影像信息到云影像中心应用集群;与云影像系统中心应用的协同业务处理;⏹路由网关安全控制,隔离医院内外部系统。
⏹统一标准PACS系统,支持C-MOVE,C-GET,C-FIND等指令。
影像传输流程,如下图所示:1)院内PACS可以通过Dicom的C-STORE协议主动发送影像数据到院内前置机影像交互模块或者在PACS上增加节点,院内前置机影像交互模块通过Dicom 的C-MOVE协议的方式来获取影像;2)索引处理:通过读取原始的DICOM影像数据,得出患者姓名、性别、检查编号等信息并进行记录管理;3)加密处理:支持DICOM TLS加密方式,将DICOM影像文件在传输过程的相关信息进行加密。
数据中心云安全建设方案
数据中心云安全建设方案在当今数字化时代,数据中心作为企业信息存储和处理的核心枢纽,其安全性至关重要。
随着云计算技术的广泛应用,数据中心的架构和运营模式发生了巨大变化,云安全问题也日益凸显。
为了保障数据中心在云环境下的安全稳定运行,制定一套全面有效的云安全建设方案势在必行。
一、云安全建设的背景和目标随着企业业务的快速发展和数字化转型,越来越多的应用和数据迁移到了云端。
数据中心云化带来了诸多优势,如灵活性、可扩展性和成本效益等,但同时也面临着一系列安全挑战。
黑客攻击、数据泄露、恶意软件感染等威胁不断增加,给企业的业务运营和声誉带来了严重风险。
云安全建设的主要目标是确保数据中心在云环境中的保密性、完整性和可用性。
具体包括保护企业的敏感数据不被未经授权的访问、篡改或泄露;确保云服务的持续稳定运行,避免因安全事件导致业务中断;以及满足合规性要求,遵守相关法律法规和行业标准。
二、云安全风险评估在制定云安全建设方案之前,需要对数据中心的云安全现状进行全面的风险评估。
这包括对云服务提供商的安全性评估、对企业自身的安全策略和流程的审查,以及对潜在威胁和漏洞的分析。
(一)云服务提供商评估评估云服务提供商的安全能力,包括其基础设施的安全性、数据保护措施、访问控制机制、合规性认证等。
了解云服务提供商的安全责任和义务,以及在发生安全事件时的响应和处理流程。
(二)企业自身安全评估审查企业内部的安全策略和流程是否与云环境相适应。
评估员工的安全意识和培训情况,检查网络架构、系统配置和应用程序是否存在安全漏洞。
同时,分析企业的数据分类和保护策略,确保敏感数据在云端得到恰当的保护。
(三)威胁和漏洞分析通过使用安全扫描工具、渗透测试等手段,对数据中心的网络、系统和应用进行全面的漏洞扫描和分析。
识别潜在的威胁,如网络攻击、恶意软件、内部人员违规等,并评估其可能造成的影响。
三、云安全架构设计基于风险评估的结果,设计合理的云安全架构是保障数据中心安全的关键。
医疗云解决方案
医疗云解决方案引言概述:医疗云解决方案是指利用云计算技术来提供医疗行业相关的解决方案。
随着云计算技术的发展,医疗云解决方案在提高医疗服务效率、降低成本、改善医疗质量等方面发挥了重要作用。
本文将从五个大点来阐述医疗云解决方案的具体内容。
正文内容:1. 医疗数据存储与管理1.1 云存储技术:医疗云解决方案利用云存储技术来存储大量的医疗数据,包括病历、影像、实验室结果等。
云存储技术具有高可靠性、可扩展性和安全性的特点,可以满足医疗机构对数据存储和管理的需求。
1.2 数据安全与隐私保护:医疗云解决方案通过采用数据加密、访问控制和身份认证等技术来保护医疗数据的安全性和隐私性。
同时,医疗云解决方案还符合相关的法规和标准,如HIPAA和GDPR等。
2. 医疗信息共享与协同2.1 云平台架构:医疗云解决方案通过建立云平台架构,实现医疗信息的共享和协同。
医疗机构可以将自己的数据上传到云平台,其他授权的机构可以通过云平台访问和共享这些数据,实现医疗信息的无缝对接。
2.2 远程会诊与远程监护:医疗云解决方案提供远程会诊和远程监护的功能,医生可以通过云平台进行远程诊断和监护,减少患者的就医压力和医疗资源的浪费。
2.3 多学科协作:医疗云解决方案还支持多学科协作,不同专业的医生可以通过云平台共同协作,提高医疗服务的质量和效率。
3. 医疗数据分析与挖掘3.1 大数据分析:医疗云解决方案利用大数据分析技术来挖掘医疗数据中的有用信息,帮助医疗机构进行疾病预测、药物研发和临床决策等方面的工作。
3.2 人工智能应用:医疗云解决方案结合人工智能技术,可以实现自动诊断、智能辅助决策等功能,提高医疗服务的准确性和效率。
3.3 数据可视化:医疗云解决方案通过数据可视化技术,将医疗数据以图表、报告等形式展现,使医生和患者更直观地理解和利用这些数据。
4. 移动医疗与远程监护4.1 移动应用:医疗云解决方案提供移动应用程序,患者可以通过手机或平板电脑随时随地获取医疗服务,如在线咨询、预约挂号等。
医疗行业医疗影像云服务方案
医疗行业医疗影像云服务方案第一章:引言 (2)1.1 行业背景 (2)1.2 服务概述 (2)1.3 目标客户 (3)第二章:服务架构 (3)2.1 总体架构 (3)2.2 数据存储与管理 (4)2.3 影像处理与分析 (4)第三章:云服务平台功能 (4)3.1 影像与存储 (4)3.1.1 影像 (4)3.1.2 影像存储 (5)3.2 影像管理与查询 (5)3.2.1 影像管理 (5)3.2.2 影像查询 (5)3.3 影像分析与诊断 (5)3.3.1 影像分析 (5)3.3.2 影像诊断 (6)第四章:安全性保障 (6)4.1 数据加密与防护 (6)4.2 用户权限管理 (6)4.3 安全审计与监控 (6)第五章:功能优化 (7)5.1 系统功能指标 (7)5.2 负载均衡与弹性伸缩 (7)5.3 网络优化 (7)第六章:用户体验 (8)6.1 界面设计 (8)6.2 操作流程简化 (8)6.3 客户服务与支持 (9)第七章:合规性 (9)7.1 医疗法规与标准 (9)7.2 数据隐私保护 (10)7.3 合规性认证 (10)第八章:实施与部署 (10)8.1 项目管理 (11)8.1.1 项目启动 (11)8.1.2 项目计划 (11)8.1.3 项目监控 (11)8.1.4 项目收尾 (11)8.2 系统部署 (11)8.2.1 硬件部署 (11)8.2.2 软件部署 (11)8.2.3 网络部署 (11)8.2.4 安全防护 (11)8.3 培训与支持 (12)8.3.1 培训计划 (12)8.3.2 培训内容 (12)8.3.3 培训方式 (12)8.3.4 培训效果评估 (12)8.3.5 技术支持 (12)第九章:案例分享 (12)9.1 成功案例一 (12)9.2 成功案例二 (13)9.3 成功案例三 (13)第十章:未来展望 (13)10.1 技术发展趋势 (13)10.2 行业应用拓展 (14)10.3 企业战略规划 (14)第一章:引言1.1 行业背景科技的发展,医疗行业逐渐成为数字化、信息化改革的重要领域。
医学影像大数据中心解决方案
医学影像大数据中心解决方案在当今医疗领域,医学影像数据的重要性日益凸显。
随着医疗技术的不断进步,各种影像设备如 X 射线、CT、MRI 等产生了海量的影像数据。
如何有效地管理、存储和利用这些医学影像大数据,成为了医疗行业面临的一个重要挑战。
为了解决这一问题,建立一个高效、可靠的医学影像大数据中心成为了关键。
医学影像大数据中心的建设需要综合考虑多个方面,包括硬件设施、软件系统、数据管理、安全保障以及人才队伍等。
首先,硬件设施是医学影像大数据中心的基础。
需要配备高性能的服务器、存储设备和网络设施。
服务器要具备强大的计算能力,以快速处理大量的影像数据。
存储设备则需要有足够的容量来存储海量的影像文件,同时要保证数据的可靠性和安全性。
网络设施要具备高速、稳定的特点,确保数据能够快速传输和共享。
在软件系统方面,需要选择适合医学影像处理和管理的专业软件。
这些软件应具备影像采集、存储、传输、处理、分析和检索等功能。
同时,软件要具备良好的兼容性和扩展性,能够与不同厂家的影像设备和医院的信息系统进行对接。
数据管理是医学影像大数据中心的核心任务之一。
要建立完善的数据管理体系,包括数据的采集、整理、标注、存储和更新。
在数据采集环节,要确保影像数据的准确性和完整性。
数据整理和标注则有助于提高数据的质量和可用性。
存储方面,要采用合适的数据存储架构,如分布式存储或云存储,以满足数据量不断增长的需求。
同时,要定期对数据进行更新和维护,确保数据的时效性。
安全保障是医学影像大数据中心建设不可忽视的重要环节。
医学影像数据涉及患者的隐私,必须采取严格的安全措施来保护数据的安全。
这包括网络安全防护、数据加密、访问控制、身份认证等。
要建立完善的安全管理制度,加强对员工的安全培训,提高安全意识,防止数据泄露和滥用。
此外,人才队伍建设也是至关重要的。
需要培养和引进一批具备医学知识、信息技术和数据分析能力的复合型人才。
他们能够熟练操作和维护医学影像大数据中心的硬件和软件系统,进行数据管理和分析,为医疗决策提供支持。
医疗云解决方案
医疗云解决方案一、医疗云的应用特征(一)技术优势突出依托腾讯的基础设施能力、人才优势与图像识别、大数据、人工智能等技术积累,助力医疗大健康产业智慧化升级。
(二)解决方案丰富整合腾讯云、微信、觅影、视频和支付等产品及合作伙伴的产品服务,提供全行业、全流程的医疗大健康解决方案。
(三)连接能力强大基于腾讯互联网技术与服务,建立机构与机构之间、机构与用户之间的强连接,助力全方位、全生命周期的大健康产业发展。
(四)产业生态健全打造开放平台,联合合作伙伴,构建覆盖医疗、康养、医药、器械、流通、保险、服务等全链条的医疗大健康生态。
二、医疗云的三大部署模式(一)公有云轻资产化运作,全部信息化基础设施使用腾讯公有云资源,包括云主机、云存储、云数据库等,真正做到省心、省力、省钱,安全稳定放心,您可将宝贵的资源和人力集中投入到专业业务发展建设中。
适用客户:民营医疗机构、医联体、医疗集团、影像中心、基因测序、体检机构、健康管理机构、养老机构、药企、器械企业、药械流通。
(二)专有云为满足医疗大健康客户的资源定制化需求,腾讯云提供专有物理隔离、独立网络核心的合规IDC及云平台,支持统一管控,共享腾讯网络基础设施及安全防护能力。
适用客户:公立医院、卫健委、医联体、医疗集团、影像中心、民营医疗机构、基因测序、体检机构、健康管理机构、养老机构、药企、器械企业、药械流通。
(三)混合云根据客户的业务需求,可实现部分数据、业务部署在公有云,部分数据和业务部署在专有云的混合云部署模式,并可通过统一的运管平台实行统一管控。
适用客户:公立医院、卫健委、医联体、医疗集团、影像中心、民营医疗机构、基因测序、体检机构、健康管理机构、养老机构、药企、器械企业、药械流通。
三、医疗云解决方案(一)智慧医疗云解决方案腾讯云为医疗机构提供集IaaS、PaaS和SaaS为一体的综合云服务解决方案,具有高稳定性、统一管理、可视化运营等特点,助力医疗机构构建稳定安全的云环境和健康的云生态。
医疗云解决方案
医疗云解决方案引言概述:随着信息技术的快速发展,医疗行业也开始逐渐引入云计算技术,以提高医疗服务的效率和质量。
医疗云解决方案是一种基于云计算的医疗信息管理系统,通过整合医疗资源,实现医疗数据的共享和交流,为医疗机构和患者提供更加便捷和高效的医疗服务。
一、数据存储与管理1.1 数据安全性医疗云解决方案采用高级加密技术,确保医疗数据的安全性。
通过数据备份和灾备机制,保证医疗数据的可靠性和可用性。
同时,医疗云解决方案还提供数据权限管理功能,只有授权人员才能访问和修改医疗数据,保护患者的隐私和医疗机构的利益。
1.2 数据共享与交流医疗云解决方案实现了医疗数据的共享与交流,医疗机构之间可以共享患者的病历、检查报告等信息,提高医疗服务的协同性和效率。
患者在就医过程中,可以将自己的医疗数据上传至云端,方便医生进行远程诊断和治疗。
同时,医疗云解决方案还支持与第三方医疗机构和医疗设备的对接,实现医疗资源的整合和优化。
1.3 数据分析与挖掘医疗云解决方案通过数据分析和挖掘技术,可以对大量的医疗数据进行深度挖掘和分析,从而发现潜在的疾病规律和治疗方法。
医疗机构可以通过分析患者的医疗数据,提前预测疾病的发展趋势,为患者提供个性化的诊疗方案。
此外,医疗云解决方案还可以为医疗机构提供统计分析和决策支持,帮助医疗机构提高管理水平和服务质量。
二、远程医疗与健康管理2.1 远程诊断与治疗医疗云解决方案支持远程医疗服务,患者可以通过云平台与医生进行视频会诊,减少患者的就医时间和费用。
医生可以通过远程医疗平台观察患者的病情,制定治疗方案,并进行远程指导。
同时,医疗云解决方案还支持远程手术和远程监护,提供更加便捷和高效的医疗服务。
2.2 健康监测与管理医疗云解决方案还提供健康监测与管理功能,患者可以通过智能医疗设备将生理参数上传至云端,医生可以实时监测患者的健康状况,并提供个性化的健康管理建议。
此外,医疗云解决方案还支持健康档案的管理,患者可以随时查看自己的健康数据和就医记录,方便日常健康管理和疾病预防。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目录第1章项目建设背景与方案设计原则 (2)第2章医疗影像云建设需求分析 (2)2.1云平台的基础安全保障 (2)2.2云环境下安全责任分类界定 (4)2.3云环境下引入的特有安全需求 (5)第3章医疗影像云云安全建设方案 (6)3.1平台安全架构设计 (6)3.2医院接入架构设计 (7)3.2.1前置机接入安全设计 (7)3.2.2专线接入安全设计 (7)3.3平台安全区域边界设计 (8)3.3.1网络接入域 (8)3.3.2内网业务区 (8)3.3.3安全管理区 (9)3.4平台安全设备汇总 (9)第4章医疗影像云云安全解决方案技术特点 (10)4.1部署架构 (10)4.1.1南北向安全服务流 (11)4.1.2东西向安全服务流 (11)4.2东西向安全服务设计 (11)4.2.1安全服务交付形式 (11)4.2.2安全服务交付内容 (12)4.3南北向安全服务交付设计 (12)4.3.1安全接入服务 (12)4.3.2安全防御服务 (13)4.3.3应用交付服务 (14)第1章项目建设背景与方案设计原则◆统一规范遵循在统一的框架体系下,参考国际国内各方面的标准与规范,严格遵从各项技术规定,做好整个医疗影像云系统的标准化设计与部署。
◆成熟稳定本次建设方案采用的是成熟稳定的技术和产品,确保能够适应各方面的需求,并满足未来业务增长及变化的需求。
◆实用先进为避免投资浪费,方案设计不仅要求能够满足目前业务使用的需求,还必须具备一定的先进性和发展潜力,具备纵向扩增以及平滑横向扩展的能力,以便IT基础架构在尽可能短的时间内与业务发展相适应。
◆安全可靠由于医疗影像云属于对医疗系统提供公共服务的云平台,因此针对平台自身业务熟悉,结合国家对云平台的相关建设要求和标准,本次云平台安全体系建设参考和采用以下相关国家标准:信息系统安全保护等级定级指南(GB/T 22240-2008)信息系统安全等级保护基本要求(GB/T 22239-2008)信息系统安全等级保护实施指南(国家标准报批稿)信息系统安全等级保护测评准则(国家标准报批稿)信息系统等级保护基本要求-云计算要求-标准草案第2章医疗影像云建设需求分析2.1云平台的基础安全保障云平台的基础安全保障,是云服务方所需承担的基本、必须义务。
提供SAAS服务的云服务方,需保护的对象涵盖物理基础设施、服务器、网络和安全设备;虚拟化平台系统、资源池、云管平台,以及为租户提供的镜像、模板等。
如下图所示:1)基础安全保障能力的形成,主要包括两个步骤:a)根据系统等级属性、接入对象等,进行网络区域划分b)根据网络区域划分,计算环境属性要求,进行安全措施部署2)具体需求,包括:a)在网络区域划分时,应参照云平台等级保护的相关指导标准规范,保障合规性;b)在区域边界安全措施部署和保护时,应参照等级保护要求,达到相应能力要求;c)区域边界的深度防御,不仅要形成传统的多防线的纵深防护,还应在防御的网络层次上涵盖2~7层,满足当下进阶的攻防态势需求;d)持续性安全检测,应对传统的只在网络入口部署IPS、核心网络交换机处部署IDS模式进行扩展、加强,将威胁检测能力下沉到虚拟化网络,并上升借助外围安全大数据分析的安全服务云,形成全面、深入、持续的安全检测能力,抵御不断升级的APT攻击和突发安全事件;e)需对虚拟化平台、虚拟机等进行主机加固,保障计算环境安全;f)应对通信网络采取国密/商密算法的加密措施,并部署多链路冗余和链路负载均衡措施,保障链路可用性,达到保障通信网络安全的目的;g)安全响应和处置,应不仅限于传统的人工设置访问控制策略和事后审计,还应与安全管理中心联动,形成整体安全可视、自动化的快速安全策略升级响应,缩短攻击窗口、切断攻击扩散的链条,尽力减少损失;h)通过专用通道,与外围专门的未知威胁风险云平台对接,实时获取未知威胁情报,保障云安全体系的持续动态安全能力。
2.2云环境下安全责任分类界定云计算安全措施的实施主体常常会有多个,各类主体的安全责任因不同的云计算服务模式而异;云服务方和云租户方的安全责任边界与其控制范围相关。
云计算服务模式与控制范围的关系如下图所示:云计算服务模式与控制范围的关系图示(摘自GBT31168-2014)本次医疗影像云属于SaaS模式建设,在等保2.0云等保相关草案中SaaS模式下云服务方与租户的责任划分如下:层面安全要求安全组件责任主体物理和环境安全物理位置选择数据中心及物理设施云服务方网络和通信安全网络结构、访问控制、远程访问、入侵防范、安全审计物理网络及附属设备、虚拟网络管理平台、虚拟网络安全域云服务方设备和计算安全身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像、虚拟机、虚拟网络设备、虚拟安全设备等云服务方应用和数据安全安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复云管理平台(含运维和运营)、镜像、快照等、应用系统及相关软件组件云服务方云租户应用系统配置、云租户业务相关数据等云租户安全管理机构和人员授权和审批授权和审批流程、文档等云服务方系统安全建设管理安全方案设计、测试验收、云服务商选择、供应链管理云计算平台接口、安全措施、供应链管理流程、安全事件和重要变更信息云服务方云服务商选择及管理流程云租户系统安全运维管理监控和审计管理监控和审计管理的相关流程、策略和数据云服务方2.3云环境下引入的特有安全需求在当前以SaaS层服务为主的云平台建设模式下,云环境下的特有安全风险大部分围绕着虚拟化而产生。
在最新的《信息系统安全等级保护基本要求第 2 部分:对采用云计算技术的信息系统的扩展安全要求(草案)》中,也围绕该问题提出了基本要求。
这些要求涵盖了虚拟化平台、虚拟化网络、虚拟化主机、特殊应用和数据等诸多层面。
虚拟化安全相关的主要问题,如下图所示:按照云等级保护草案框架划分,大致需求内容,包括:1)主机:宿主机、云平台加固、虚拟机加固、检测、审计等2)网络:虚拟化网络边界隔离、防护、检测、审计等3)应用:云管平台与业务应用防护、检测、加固、审计等4)数据:数据中心双活、灾备,镜像、快照安全等第3章医疗影像云云安全建设方案3.1平台安全架构设计一个好的安全技术体系框架落实,需要合理、合规、科学的网络安全规划与安全设备部署。
通过多年安全体系建设和云安全项目经验积累,根据富士康医疗影像云的实际情况,给出以下总体网络安全构架设计。
如下图所示:1)合规性满足:➢遵循等级保护标准,进行“一个中心,三重防护”设计和安全措施部署➢满足云安全专项标准中对安全责任的明晰,虚拟化安全措施部署和要求满足2)安全防护、检测、响应三个维度满足➢通过安全服务云的安全防护,以及部署边界安全防护措施,有效满足区域边界的访问控制、攻击防护和入侵防范;➢部署的下一代防火墙、威胁检测探针,均具备2~7层的双向安全威胁检测能力;➢可以和安全管理中心形成良好互动,保障快速响应能力。
3)对云环境下特有安全问题解决➢通过在虚拟化平台上部署云安全资源池(含虚拟防火墙、虚拟负载均衡、EDR、虚拟VPN等组件),并进行安全策略设置,保障虚拟化网络的可视、可控,虚拟化边界安全防御、检测和响应能力。
➢通过对云管平台、虚拟化平台、虚拟机的安全加固和安全审计等措施部署,保障云平台的安全,保障系统安全、持续、有序运转。
3.2医院接入架构设计3.2.1前置机接入安全设计部分医院采用前置机的方式接入医疗影像云平台,在这种部署模式下,可以直接在医院部署一台aBOS一体机,前置机应用系统可以部署在aBOS一体机上,aBOS一体机上还部署有下一代防火墙及VPN确保应用系统的安全。
部署模式如下:aBOS一体机序号产品型号性能数量备注1 aBOS一体机前置机前端防御3.2.2专线接入安全设计部分医院采用专线直连的方式接入医疗影像云平台,在这种部署模式下,专线需接入云平台安全资源池虚拟下一代防火vAF进行边界防护,针对每个医院独立虚拟出一台vAF。
部署模式如下:3.3平台安全区域边界设计3.3.1网络接入域3.3.1.1专网接入区1)本区说明:各医院通过专线由该区域接入医疗影像云数据中心,上传医疗影像数据。
2)存在风险:存在非法越权访问、网络攻击、病毒传播,以及带宽资源拥塞风险。
3)安全措施部署说明:在专线接入区出口双机部署下一代防火墙设备3.3.1.2互联网接入区1)本区域职能说明:各医院通过互联网接入该区域,访问存储在医疗影像云中的医疗影像数据。
2)存在风险:数量庞大的互联网访问有可能造成网络拥塞;与互联网对接,存在遭受DDoS攻击,以及其他网络层攻击和应用层攻击的风险;存在非法进入内网,进行窃取和破坏等风险。
3)安全措施部署说明:在互联网接入区双机热备模式串行部署防DDoS、链路负载均衡、下一代防火墙设备;在互联网接入专线网络核心区之间,双机热备、单臂部署SSL VPN设备提供远程接入运维服务。
3.3.2内网业务区1)本区域职能说明:利用虚拟化、资源池技术向各医院用户提供医疗影像资源。
2)存在风险:由于存在数量众多的医院用户共同使用内网业务区的计算、网络、虚机等IaaS资源,部署不同类别不同安全等级的系统,交换不同重要程度的数据;则存在虚拟安全加固不足;虚拟机间安全隔离、安全防护、资源控制和保障措施不足;从而导致多个虚拟机间的越权访问、资源争夺,以及某一虚机感染病毒、木马后跳板攻击和病毒蔓延。
3)安全措施部署说明:通过调用安全资源池各种安全组件为不同的业务系统提供安全防护和接入服务;主要包括vAF、EDR、SAVE防病毒引擎等功能组件3.3.3安全管理区1)本区域职能说明:作为整个云平台的管理运维“心脏”,通过专门的管理网络和管理交换机通道,进行云平台运维管理、安全设备的统一运维管理、SDN控制管理,以及防病毒管理、补丁升级管理和漏洞扫描服务。
2)安全措施部署说明:在安全管理区部署日志存储平台,统一存储全网所有设备日志。
同时部署一套SIP安全态势感知平台,对全网的安全态势进行监测和分析。
针对运维管理人员的运维需求,部署一套堡垒机实现对运维人员的操作审计,满足安全管理的需求。
3.4平台安全设备汇总9安全资源池(软件)CSSP-40含vAF、EDR组件共40套,用户可按需使用 1 内网业务区第4章医疗影像云云安全解决方案技术特点4.1部署架构安全资源池部署在核心交换机上,采用物理旁路,逻辑串联的方式,核心交换机采用策略路由的方式将云平台的业务流量引流到云安全资源池,通过安全资源池的云Web防护系统、云DDOS、云堡垒机、云数据库审计、云防火墙、云IPS、云VPN、云防病毒、云APT检测对数据量进行安全检测,检测完成后在返回给交换机到出口。