2016-2-22省立医院服务器区安全加固及应用交付方案讲解.docxVIP

山东九州信泰信息科技股份有限公司 省立医院服务器区安全加固及应用交付方案 山东九州信泰信息科技股份有限公司 2016年2月  一、概述 山东省立医院始建于1897年，118年的岁月长河，省立医院在不同历史时期走在公益卫生事业前列，并已发展成为集医疗、科研、教学、预防保健和指导基层为一体的大型综合性三级甲等医院。现有职工5000余人，开放床位3456张，总诊疗人次达334.93万，出院病人12.29万人次，手术5.86万台次，平均住院日9.23天，门诊病人满意度97.05%，住院病人满意度98.8%，医疗服务能力连续多年居全省第一。 省立医院东院作为一家新型大型医院，承担了济南东部重要医疗就诊服务。省立医院东院目前采用思科6509核心交换进行数据交换，服务器区采用了大量虚拟化技术，部署了大量重要业务系统为全院提供服务。 本方案是针对省立医院东院服务器区安全解决方案。 ???、需求分析 2.1服务器区风险分析 目前省立医院东院构建以大型服务器区，部署了大量服务器系统，但是目前该系统未部署相应安全设备，主要存在以下需求： 服务器区缺少安全防护手段，不能防御针对服务器区各种威胁进行安全防护（南北防护）； 服务器区安全风险及威胁不能够可视化，无法实时了解服务器区各种安全状况； 针对服务器区混合型攻击，越权访问、蠕虫病毒、垃圾邮件、带宽滥用等安全威胁不再是单兵作战，而是经常一起进行混合攻击，单一的防护技术已根本无法应对。 等级保护对山东省立医院东院的合规性要求。 满足省立医院东院对服务器区安全设备高性能的安全要求。 2.2虚拟化风险分析 随着虚拟化技术的持续完善和发展，省立医院东院逐步把业务迁移至虚拟化平台中。云计算（虚拟化）在带来便捷、快速和灵活的同时， 也带来了新的安全挑战。这些安全挑战已成为制约云计算发展的瓶颈，同时也阻碍医院关键业务向云中迁移或使用。 在传统数据中心里，防火墙、入侵防御，以及防病毒等安全解决方案主要聚焦在内外网之间边界上通过的流量，一般叫做南北向流量或客户端服务器流量。 在今天的虚拟化数据中心里，像南北向流量一样，交互式数据中心服务和分布式应用组件之 间产生的东西向流量也对访问控制和深度报文检测有刚性的需求。云环境也需要隔离和向不同的应用不同的安全策略，这些虚拟机往往是装在同一台物理服务器里的。不幸的是，传统安全解决方案是专为物理环境设计的，不能将自己有效地插入东西向流量的环境中，所以它们往往需要东西向流量被重定向到防火墙、深度报文检测、入侵防御，以及防病 毒等服务链中去。这种流量重定向和静态安全服务链的方案对于保护东西向流量是效率很低的， 因为它会增加网络的延迟和制造性能瓶颈，从而导致应用响应时间的缓慢和网络掉线。 ● 云平台内部不可视，用户无法管控虚机上的流量和应用； ● 虚机之间缺乏威胁隔离机制，网络威胁一旦进入云平台内部，可以肆意蔓延； ● 云安全需要适应云平台的弹性扩展，能够动态部署和迁移。 2.3业务高可用需求分析 2.3.1外部环境描述 业务连续性 通过互联网向外部的用户发布各种业务应用，作为数据承载体尤为重要。由于省立医院服务器区有多台服务器，要求进行实时检测并智能切换，要保障业务连续性。负载均衡高可用性保障方案，某台服务器故障时及时检测并进行设备切换，保障业务连续性。 互联网及移动用户高速发展 目前中国已经成为全球第一大互联网用户国家，移动用户数量超过8亿，省立医院东院更多的业务要面向互联联网及移动用户，要求提高用户访问质量，保障业务系统连续性。 同时大量的手机用户利用移动设备进行网上就诊预约，要求能够提供针对移动用户特点的访问服务。 不断恶化的网络环境 目前针对业务系统的各种攻击及入侵事件屡见不鲜，特别是针对业务发现的各种拒绝、探测行为，要求负载均衡具备基本的安全防护能力。 并且支持能够扩展相应的防火墙、应用防护、流量管理等功能。 2.3.2内部需求描述 应用负载均衡 随着省立医院东院的不断发展，省立医院东院高度重视业务与数据安全，随着医院的发展，各项业务的医疗业务交易量不断升高，对业务系统的实时性、可靠性要求越来越高，为了提升业务系统的可用性，建立应用负载均衡系统。 越来越重要的业务系统 省立医院东院涵盖很多业务，其中以第三方支付为主，省立医院东院为用户提供在门户网站访问、就诊预约、医院信息管理、医院诊片等这些业务系统会变得越来越重要，需要数据中心提供安全、稳定、可靠的负载均衡服务。 访问体验 省立医院东院的业务访问时，也难免遇到业务的延迟问题，特别是手机作为移动终端，还面临窄带宽、访问抖动、突发流量等问题。 三、解决方案 本方案，考虑的是服务器区综合解决方案，不单纯考虑服务器南北流量防护，还考虑服务器区甚至是虚拟机之间的东西流量防护，不单纯考虑服务器的负载均衡，还考虑了虚拟机提供业