医疗行业解决方案交流-统方安全与业务容灾

Symantec医疗行业解决方案,1,2,议程,3,议程,4,中国数字化医疗发展的趋势,以HIS为核心的医院信息系统已经基本完成,远程医院,VPN,5,信息系统扮演的角色越来越重要,6,信息系统的数据丢失或系统中断，将带来严重后果,门诊排队业务科室投诉来自上级主管部门的压力舆论/医院声誉手术停顿经济损失法律诉讼,信息中心责任重大！,7,议程,8,如何应对“统方”泄露,保证医院内部信息安全，杜绝信息泄漏风险需要从多个方面考量。涵盖终端存放的敏感数据、终端能够访问的资源、终端带出的数据、服务器安全、安全审计管理等多个方面。我们建议医院分六个步骤来考虑：第一步、终端安全第二步、数据防泄密第三步、关键服务器保护第四步、“统方”及其他安全事件审计,9,安全建设建议流程,10,识别目前安全现状，积极做好安全防范措施,11,终端安全,保证统方数据安全，终端安全首先需要考虑的事情：防病毒防间谍软件桌面防火墙桌面入侵保护系统应用程序控制硬件设备控制主要目的是保证医院终端的基础安全，增强对终端保护和安全管理，避免木马和恶意代码造成的泄露风险，管理外设、应用程序使用。建议使用Symantec SEP来达到第一步骤目标,12,SEP12.1重新定义终端安全防护的概念,Symantec 防病毒与先进的威胁防护技术结合起来单一的解决方案提供终端安全防护单代理、单控制台,结果:,13,在泄漏事件发生时，及时发现并阻止,14,信息防泄漏,从3方面来考虑信息泄露风险，保障企业核心信息安全1、由于统方信息大多情况是通过个人的终端传递出去，我们首先需要考虑的问题是，监测存放在终端上的医院敏感信息的复制、打印、刻录、邮件等行为，通过警讯提醒医务人员风险操作。并在需要的情况下实时阻止这些泄密行为2、考虑到医院内部通过网络的通信途径比较多，在网络层监测信息使用者敏感信息传递过程协议监控，包括 email, web, IM, FTP, PTP等。避免通过网络将信息传递出去3、所有的统方数据都通过HIS服务器获得，通过DLP监控医务人员对于HIS服务器的数据查询，及时发现统方查询和数据获得情况。并建立事件及时报警和审计。建议通过Symnatec DLP 解决方案来达到目标,15,MANAGE,发现,定义扫描目标运行扫描来发现存储和终端上的机密信息,启用或者自定义策略模板,响应和针对风险降低的报告,监控,1,2,3,保护,4,5,检查被发送的数据监控网络和终端的事件,阻止、移除或者加密隔离或者拷贝文件通知员工和上级经理,数据丢失防护 DLP（Data Loss Prevention）,16,17,18,在HIS服务器监测和保护“统方”查询,DLP Network Monitor全面检查医生工作站访问HIS服务器的通信信息，可检测医生工作站查询数据库的SQL语句，也可以检查医生工作站从HIS服务器上获得的信息。通过策略规则来确定是否存在信息泄露的行为，并及时向管理员报警,19,核心HIS、EMR服务器安全加固,医院HIS、EMR服务器安全极为重要，一旦HIS、EMR有安全风险，造成的后果不仅仅是数据丢失，而且会造成医院业务可用性故障。1、加固HIS、EMR等核心服务器的安全，避免服务器收到恶意内部或者外部人员的攻击。避免由于攻击行为而造成数据的泄露和服务器的停顿。2、考虑到医院内有很多的维护供应商，包括软件的和硬件以及业务维护人员。这些人员经常会进入到机房甚至操作服务器。这些人员无意思的操作风险或者有意识的渗透都会造成数据泄密和服务器停顿的风险。需要监控 这些人员在服务器上的操作，并在他们执行危险操作时阻止他们建议通过Symnatec SCSP 解决方案来达到目标,20,SCSP 关键系统多重防护功能,未授权的系统配置更改未授权的管理权限更改及滥用用户登录、退出，和失败登录操作命令和参数重要文件未授权访问、更改变更内容注册表的更改（针对Windows平台),Presentation Identifier Goes Here,21,21,数字化医院需要容灾，解决场地灾难带来的安全问题,什么是容灾？当发生灾难时有另一个IT系统继续支持业务的运行医院信息系统需要预防灾难带来的停机容灾的课题RPO/RTO容灾中心选择数据传送技术应用切换方式定期系统测试计划,应用服务器,应用后备服务器,双网络交换机,主中心,WAN/LAN,容灾中心,22,常用的HA结构,发生问题时转向替代服务器的切换过程：应用停掉存储Deport存储在备用服务器上Import启动应用,SAN,应用服务,备用机,数据,主机A,主机B,import,import,23,双击双柜，提高关键系统的可靠性,现有系统的隐患双机单柜构成传统的双机高可用方案单个的磁盘阵列是系统的单点物理盘阵的损坏会导致业务的中断优化方案引入另一磁盘阵列实施盘阵间的镜像消除存储单点隐患,VERITAS Storage Foundation HA,24,HIS容灾解决方案（1）,门诊楼,住院楼,GAB/LLT over Ethernet,VERITAS Volume,基于SAN门诊楼主机房，住院楼容灾机房将一对阵列和主机移到容灾机房集群逻辑不需要任何变动不需要增加任何软件此方案使用于任何有相似需求的应用环境,25,HIS容灾解决方案（2）,基于无共享盘模式门诊楼主机房，住院楼容灾机房利用主机上的高速SSD硬盘SFHA6.1的FSS可以在多服务器内置存储之间做镜像和级联(Raid0+1)，并运行CFS 集群逻辑不需要任何变动此方案适应无SAN共享存储，节点间有Infiniband/10Gb网络连接使用于任何相似要求的环境,26,门诊楼,住院楼,HIS容灾解决方案（3）,门诊楼,住院楼,GAB/LLT over Ethernet,VERITAS Volume Replicator,基于IP门诊楼主机房，住院楼容灾机房将一对阵列和主机移到容灾机房需要添加VVR在IP上复制数据集群逻辑不需要任何变动此方案适应任何距离的容灾使用于任何相似要求的环境,27,V I R T U A L I Z A T I O N,Symantec提供先进的集群与存储管理技术,SYMANTEC方案提供业界最先进的技术解决用户的问题,SAN交换机,共享存储池,热备机,28,Symantec为医院提供灵活的容灾方案,适应SAN或IP基础设施架构支持任何距离的数据复制集群软件支持本地或远程应用切换复制技术支持任何厂家的磁盘阵列完整的容灾自动测试技术,29,需要集中的数据备份管理,专业的备份/与恢复软件基于策略的自动化操作保证周期性地、全面的备份数据从客户端到服务器的保护设备共享，统一管理快速恢复操作系统快速恢复数据,SYMANTEC 是数据备份与恢复的专业厂家NetBackup: 异构环境下的数据备份与恢复市场占有率46%，遥遥领先占26%的第二位,31,数据备份与恢复的部署架构,前台客户端,PACS,OA,Symantec备份服务器,CRM,备份客户端软件,备份客户端软件,备份客户端软件,备份/恢复控制台,HIS,备份客户端软件,备份桌面端软件,介质服务器,32,Symantec数据备份与恢复方案特点,异构平台支持Unix/Windows/Linux/NetwareOracle/Sybase/Sql/Exchange集中管理与控制总控制台操作统一备份设备扩展性三层体系架构、SAN支持重复数据删除，虚拟机快速恢复与备份技术恢复数据与操作系统,控制服务器,介质服务器,应用服务器,33,NBU5230:稳定、可靠、高效,内置去重功能的NBU软件,优化后的操作系统,VERITAS Storage Foundation,优化的硬件配置,冗余的存储空间,系统加固及入侵防护,内置广域网传输优化,New!,New!,34,35,PACS的典型架构,磁盘存储,服务器,备份归档,PACS服务器及存储,DICOM兼容设备,影像诊断,影像阅片,临床浏览,影像工作站,RIS/HIS接口,PACS系统需要好的“数据生命周期管理”,有效降低数据存储硬件投资减小数据归档管理复杂程度提高海量数据访问效率保证法规遵从的实现,Symantec Enterprise Vault,Enterprise Vault:优秀的PACS数据管家,医疗仪器层（数据产生源）,数据存储/处理层（访问服务端）,影像工作站层（访问客户端）,光纤,SATA,磁带库,Enterprise Vault,典型的PACS归档方案,归档服务器Enterprise Vault,PACS服务器,全光纤磁盘阵列在线存储设备,大容量NAS近线存储设备,LAN,议程,39,赛门铁克在医院行业安装应用情况,40,最近2年，中国有近700家医院购买或续订了Symantec产品：228家:SFHA; 328家:Security; 253家:Backup大型的医院包括：,41,赛门铁克存储方案在医疗行业的广泛应用,42,赛门铁克存储方案在医疗行业的广泛应用,某省区域医疗管理平台选用赛门铁克全线方案(1),区域医疗平台业务范围涵盖基本药物使用、居民健康档案为基础的公共卫生服务、基本医疗服务、综合管理绩效考核等基本功能，与新农合、医保、药监等系统有效衔接的基层医疗卫生体系管理。信息系统架构省-市-县三级数据中心；覆盖全省4518个乡镇卫生院、395个社区卫生服务中心、179社区卫生服务站。,四川省基层医疗卫生机构信息系统项目汇报,该庞大网络信息系统的核心挑战是运维管理,工作终端范围广泛，网络出口众多，下面工作人员安全意识薄弱，安全管理十分复杂为了提高使用效率，减少带宽占用，县级卫生院、保健中心、防疫站等都放有本地服务器，数据安全、灾难恢复管理面临挑战十几个数据中心需要标准化数据保护，便于统一监控和审计地市技术人员匮乏，在满足需求的同时，简单易用 可靠是首要考虑的问题,四川省基层医疗卫生机构信息系统项目汇报,四川省基层医疗卫生机构信息系统项目汇报,采用赛门铁克端点安全与管理、关键服务器保护、数据中心保护,生产存储,备份存储,赛门铁克端点解决方案，集中远程维护管理,赛门铁克关键服务器保护方案， 预防攻击和未授权篡改,赛门铁克数据备份和恢复方案NetBackup, 保护所有数据中心的系统和数据,SEPAltirsSSR,SCSP,Presentation Identifier Goes Here,46,赛门铁克解决方案在医疗行业的广泛应用,北京大学人民医院，应用Symantec七套解决方案,终端安全防护(含病毒防护) Symantec SEP终端准入控制 Symantec SNAC桌面资产管理 Symantec AltirisWin数据备份 Symantec BE异构平台数据备份 Symantec NBUWin平台异机快速恢复 Symantec BESR服务器高可用性及存储管理软件 Symantec SFHA,47,赛门铁克安全、存储方案在医疗行业的广泛应用,无锡市人民医院(无锡医疗中心)，应用有Symantec八套解决方案Windows平台数据备份 Symantec Backup Exec异构平台数据备份 Symantec NetBackup服务器高可用性及存储管理软件 Storage Foundation HA系统快速恢复 Backup Exec Server RecoveryPACS归档软件 Enterprise Vault病毒防护 Symantec Antivirus Corporate Edition终端安全和网络准入控制 Sygate桌面管理 Altiris,Presentation Identifier Goes Here,48,医疗行业应用的赛门铁克数据可用性方案,无锡市人民医院服务器快速恢复方案：Backup Exec System Recovery