深信服智慧门诊安全解决方案帮助医院防御内外网打通引入的安全风险。随着内外网融合度越来越高,医院整个业务网络需要根据不同的功能严格划分区域,针对不同的区域设计相应的安全防护策略,才能使整个网络具备足够的灵活性来面对未来的安全风险。
◎ 业务系统设计
1、外网区域业务系统设计:外网区域直面外部用户,与互联网直接连接。该区域只部署代理服务器,通过部署业务系统的前置应用平台实现用户访问的代理和转发,避免外部用户直接访问内网业务系统。
2、内网区域前置业务系统设计:内网区域前置业务系统区域部署前置Web服务器,主要实现预约挂号及网上支付缴费功能。外网区域代理服务器所生成的访问请求通过网闸直接访问该前置服务器,并且只能访问前置服务器获取信息或数据。
3、内网区域超融合业务系统集群设计:内网区域所有关键业务系统均部署在该超融合集群上,提供HIS接口服务、网上支付接口服务、医保接口服务等相关业务服务。对外提供内网前置Web服务器预约挂号及网上支付所需要的业务支撑服务,对内实现与内网HIS等核心业务系统的数据同步。通过该区域的业务设计,实现内外网数据的一致性,确保所提供的预约挂号及网上支付所需要的数据与内网HIS系统能够实现同步,避免产生数据错误导致患者无法便捷地使用互联网服务。
◎ 安全系统设计
1、外网区域安全系统设计:部署下一代防火墙于外网业务区出口,可实现对外发布业务可能遭受到的风险过滤,如:服务器自身存在的漏洞被黑客利用产生攻击、应用软件或是应用协议都可能存在漏洞、Web应用层面的安全威胁、口令暴力破解、信息窃取、网站内容被篡改等,实现外网业务区L2-L7层完整的安全边界防御体系的建设,提供比同时部署传统防火墙、IPS和WAF等多种安全设备更强的安全防护能力,可以抵御来源更广泛、攻击更容易、危害更明显的应用层攻击。
2、外网区域与内网前置区域安全系统设计:部署网闸实现内外网物理隔离;通过网闸实现内外网数据链路层的隔离;通过白名单的方式只允许外网代理服务器与内网前置服务器进行通信,从而保障内外网交互的数据安全。
3、内网区域安全系统设计:在内网业务区边界部署下一代防火墙对内网业务进行防护,下一代防火墙能够双向分析网络流量的网络层、应用层和内容风险,提供比同时部署传统防火墙、IPS和WAF等多种安全设备更强的安全防护能力,可以抵御来源更广泛、攻击更容易、危害更明显的应用层攻击,实现L2-L7层周全的数据中心安全加固。相比传统堆叠式安全部署,解决了数据中心部署多台安全设备带来的单点故障、性能消耗、难以管理的问题。
4、超融合集群主机安全系统设计:终端检测响应平台(EDR)提供一种主机间的安全解决方案,该方案由轻量级的端点探针和云端的管理平台共同组成。轻量级的端点探针agent需要安装在所有的服务器上,包括所有的物理主机、虚拟机、云主机等。管理平台可以部署在本地,EDR端点探针记录大量主机和网络事件,并将这些数据发送到管理平台,然后由管理平台进行周全的安全分析,根据已知攻击指示器(IOC)、行为分析和机器学习等技术来检测安全攻击行为,并对这些攻击做出快速的响应动作。该解决方案将对主机进行持续的安全检测,并对发生的安全事件进行自动响应加固。EDR同时可实现恶意文件自动隔离响应、入侵行为主动封堵、应用角色访问访问控制加固、威胁情报智能关联检测等相关功能,保护业务主机及虚机的终端安全。
