2019-5_医院虚拟化系统安全防护解决方案

,医院虚拟化系统安全防护解决方案,未雨绸缪防护先行,1,2,3,4,5,医院信息化建设背景,虚拟化技术在医院的应用,虚拟化技术简介,虚拟化面临的风险,虚拟化安全防护解决方案,目录CONTENTS,医院信息化建设背景,医院信息化建设,医院信息化系统建设，从以管理流程信息化为出发点的HIS（医院信息系统），跨越到以围绕患者诊疗流程信息化的CIS（临床信息系统），再到连接院外区域性卫生医疗信息互通，医疗信息化建设实现了从个体到整体、从局部到广域的发展，内涵与功能得到强化，服务范围不断延伸。,HIS医院信息管理系统支持医院的行政管理与事务处理业务，辅助医院管理，辅助高层领导决策，提高医院的工作效率、效益。主要模块门诊系统物品和资产管理系统住院系统管理和决策系统计价收费信息系统财务核算管理系统药房管理信息系统,CIS医院临床信息系统CIS以患者为中心，以医生临床诊疗行为为导向，借助多种软件应用系统整合患者临床诊疗数据，完成电子化汇总、集成、共享。主要模块电子病历系统住院医生、护士工作站住院系统门急诊医生工作站系统重症监护信息系统手术麻醉信息系统LIS检验实验室管理系统RIS放射科信息系统PACS影像存档与通讯系统,医院除了HISMISLISPACS等主要系统之外，还有大大小小60多种小的应用系统,医院信息系统架构,标准规范体系,信息安全防护体系,网络通信平台：有线网、无线网、设备网、布线、通信,硬件平台：服务器、存储、备份、广播、监控、排队叫号,软件平台：操作系统、数据库、中间件、开发工具、系统工具,机房能源平台：UPS(不间断电源）、精密空调、动环监控、门禁、防雷、消防,医院信息基础设施平台,消息传输,数据交换,数据整合,服务集成,流程整合,管理监控,医院信息整合平台,信息目录库,基础信息库,业务信息库,临床文档库,ODS,对外服务信息库,数据仓库,交换信息库,智能管理数据库,医院信息资源中心,电子病历,HIS,LIS,PACS,全院级病人主索引服务,OA系统,医院业务协同应用,医院管理辅助决策支持,临床辅助决策支持,区域卫生应用,其他,医院信息应用系统,外网公众服务门户,内网信息门户,医院门户平台,CIS,医院信息基础架构面临的挑战,虚拟化技术在医院的应用,医院信息基础架构虚拟化,降低投资成本,虚拟化前,虚拟化后,节省大约30%70%的费用,提高服务器管理效率,通过虚拟化确保系统高可用,对所有的应用实现了高可用性，并且成本很低不需要完全一致的重复硬件比传统的集群有更高的成本优势，同时易于使用和操作,虚拟化技术简介,虚拟化，是指通过虚拟化技术将一台计算机虚拟为多台逻辑计算机。在一台计算机上同时运行多个逻辑计算机，每个逻辑计算机可运行不同的操作系统应用程序都可以在相互独立的空间内运行而互不影响，从而显著提高计算机的工作效率虚拟化使用软件的方法重新定义划分IT资源可以实现IT资源的动态分配、灵活调度、跨域共享，提高IT资源利用率使IT资源能够真正成为社会基础设施，服务于各行各业中灵活多变的应用需求。,什么是虚拟化技术,虚拟化技术带来的优势,分区在一台物理机上运行多种操作系统充分利用服务器资源隔离和安全每个虚拟机都和其他的相互独立操作系统、注册信息、应用程序和数据文件都完全的隔离资源优化改变了游戏规则不间断的优化零宕机维护快速重置,虚拟化关键技术,虚拟化特性（vMotionvHAvDRS）,VMwareHA是什么?VMwareHA就是发生服务器故障是在其他的物理服务器上自动重启虚拟机客户优势对所有的应用实现了高可用性，并且成本很低不需要完全一致的重复硬件比传统的集群有更高的成本优势，同时易于使用和操作,VMotion是什么?通过VMwareVMotion可以实现虚拟机的动态迁移,而服务不中断客户优势零宕机时间:进行有计划的服务器维护和升级迁移工作负载，资源利用率最大化服务器的持续可用性,完整的交易集成支持FibreChannel和iSCSISAN环境以及NAS,DRS是什么?跨资源池动态平衡计算资源基于预先设定的规则智能分配资源对客户的优势基于业务优先级分配IT资源简化运行，大幅度提高系统管理员的生产率动态添加硬件资源而避免在繁忙时段服务器的过载动态硬件维护能力,主流虚拟化架构,ESXiHypervisorVMwareESXi是VmwareVsphere的嵌入式hypervisor。它是一种具有高级资源管理功能高效、灵活的虚拟主机平台。XenHypervisorXen是一个开放源代码虚拟机监视器，由剑桥大学开发，提供了一组特征集，可实现x86、PowerPC和其他CPU架构的虚拟化，以及包括Windows、Linux和其他各种客户操作系统。Hyper-VHypervisor微软的Hyper-V已经成为VMware的一个重要的竞争对手。Hyper-V缺少VMware丰富的产品线所提供的众多高级特性，但是其与Windows紧密集成。KVMHypervisor从Linux2.6.20开始内核中已经开始集成KVM。Linux2.6.20之后的Linux发行版本的内核中都将KVM作为基本的hypervisor，所以KVM在易用性和稳定性上更好。,虚拟化面临的风险,虚拟环境面临的威胁,虚拟化安全风险,传统安全手段无法应对虚拟化新兴威胁,虚拟化的安全风险90%跟虚拟主机有关,虚拟机对虚拟机进行攻击感染-恶意扫描-侧信道攻击-病毒木马感染,外界对虚拟主机开放接口进行攻击-WEB攻击、SQLInjet、XSS等-DDos攻击-暴力破解,虚拟机攻击虚拟化层，达到逃逸目的-逃逸攻击（毒液）-拒绝服务攻击-指令漏洞攻击,虚拟机自身的安全风险-病毒木马感染-系统、应用漏洞-安全配置缺陷,虚拟化安全防护解决方案,1,2,3,2,一体化客户端实现（主机防病毒、主机防火墙、主机入侵防御、webshell检测、安全基线、防暴力破解、虚拟化加固、主机流量统计等功能；,3,安全管理平台通过虚拟化平台导入平台内虚拟机资源进行统一安全管理和安全状态跟踪,一体化的虚拟主机安全解决方案,主机防病毒-云环境下的僵、木、蠕、毒的防护-系统关键位置保护-系统未知威胁的主动防御,主机防火墙-提供云主机间的访问控制-基于IP、端口、协议、方向的流量识别-实现主机的策略绑定，无视漂移,主机入侵防御-web攻击、SQL注入等攻击抵御-提供0-day漏洞快速防护-系统及主流应用漏洞防护,系统加固-检查云主机安全配置风险并修复-云主机安全基线评估-云主机系统防暴力破解-恶意虚拟化文件监控阻止,Webshell检测-主机的业务多引擎集成扫描-主机的恶意webshell、后门等检测,基于AGENT的高级安全防护方案,不只是基础安全：传统方案强调文件、网络的被动防御，而360虚拟化安全