重慶市某縣醫共體平臺網絡安全建設
作者:啟明星辰技術中心行業營銷部
2021-03-11
項目背景
落實《關于信息安全等級保護工作的實施意見》(公通字【2004】66號)和《關于開展信息系統安全等級保護基礎調查工作的通知》(公信安【2005】1431號)����,實施符合國家標準的安全等級保護體系建設�����,通過對“縣域醫共體”平臺的安全等級劃分��,合理調配財力資源���、信息科技資源��、業務骨干資源等��,重點確?!翱h域醫共體”平臺的核心信息資產的安全性��,從而使重要信息系統的安全威脅最小化����,達到“縣域醫共體”平臺網絡安全投入的最優化�。
1. 縣域醫共體平臺等保差距分析���,確定安全需求�����、設計合理滿足等保三級要求總體安全方案���,制定安全實施規劃��,以達到等保三級相關要求��;
2. 通過了解“縣域醫共體”平臺的相關業務系統�,滿足平臺未來的發展規劃�����,能夠應對5G�����、移動APP及虛擬化業務應用帶來的安全風險��。
解決方案
根據某縣“縣域醫共體”平臺各節點的網絡結構���、具體的應用以及安全等級的需求�����,按照技術體系中網絡安全規劃��,將某縣“縣域醫共體”平臺整體網絡系統劃分不同的安全域���。業務內網與外網通過數據交換系統進行物理隔離��。
“縣域醫共體”平臺根據應用���、數據��、用戶��、特定接入的不同安全需求劃分出不同的安全域��,分別是:
業務內網安全域包括:核心交換區域��、服務器區域�����、業務前置區域�����、生產外聯區域�����、運維管理區域����、各級衛生機構接入區域�;
公共服務安全域包括:互聯網接入區域�、核心交換區域�、服務器區域��、公眾服務前置區域����、運維管理區域�。
依據安全域劃分原則��,同一安全域擁有相同的安全等級和屬性�����,域內是相互信任的���,安全風險主要來自不同的安全域互訪����,需要加強安全域邊界的安全防護����。區域之間依據業務及安全的需要配置安全策略�����,有效實現信息系統合理安全域劃分�����。
生產外聯區域:“縣域醫共體”平臺的業務需要���,需要跟醫保專網���、社保專網等相關外聯連接�,為了避免外部的威脅���,本域的安全策略采用防火墻進行隔離���,并根據實際需要配置相關訪問控制策略�����。
核心交換區域:“縣域醫共體”平臺的網絡架構核心���,都是以核心交換機作為數據轉發和匯總�����,劃分出核心交換域保障業務數據的正常流轉���,實施VLAN���、ACL技術���,隔離相關的安全域�����,在安全方面主要部署入侵檢測系統和入侵防御系統�����,檢測與預警內網的安全狀況�。
服務器區域:內網規劃服務器域作為重點保障的區域�,部署了“縣域醫共體”重要應用業務系統和數據庫�,通過與其它安全域的安全隔離保證應用服務和業務數據的安全�����,主要采用防火墻�、數據庫審計等技術措施���,通過交換機鏡像數據到數據庫審計設備���,審計用戶網絡操作行為和數據庫操作行為�,達到對數據庫的訪問審計和入侵檢測�����。
運維管理區域:業務內網劃分出運維管理域��,主要承擔日常運維管理����、內網基礎設施監控����、安全監測中心的活動�����,為平臺的主機�、應用�、網絡����、數據提供統一收集���、監測���、日志審計���、管理����。
衛生機構接入區域:規劃為某縣各級醫療機構接入區域��,所有需要接入網絡的用戶都將按照本域的安全策略進行目標訪問����,任何越權訪問都將被隔離��,可以提高訪問的安全性�,避免用戶的惡意攻擊�。部署邊界防火墻進行有效隔離�。
公共服務區域:公共服務區域���,主要包括互聯網接入區域��、核心交換區域�����、服務器區域�、公眾服務前置區域�、運維管理區等��,通過采用數據交換系統等設備措施��,將整個網絡有效地進行安全域隔離��,可以實現所需要的安全控制��、防病毒�����、抗拒絕服務攻擊��,同時DMZ子域邊界部署Web應用防火墻(WAF)�����,保護服務器的安全���。
用戶收益
● 網絡架構更加優化��,區域劃分更加合理�����,按照功能將各部分區域進行有效隔離�����,可以有效制定邊界安全策略����;
● 便于安全產品部署�,提高網絡與信息系統防護能力�;
● 滿足未來發展需要�����,靈活性和擴展性更好�;
● 為將來的集中管理奠定技術基礎�。
京公網安備11010802024551號