医院内外网双域隔离桌面云解决方案.docxVIP

PAGE 2 xx医院 内外网双域隔离桌面云解决方案 目 录 TOC \o 1-3 \h \z \u 第1章 场景现状 4 第2章 需求描述 4 第3章 深信服医疗行业内外网双域隔离桌面云解决方案 5 3.1 方案概述 5 3.1.1 方案总体拓扑设计 5 3.1.2 设计要点 7 3.2 技术优势与业务价值 8 3.2.1 内外网双域隔离保障数据安全 8 3.2.2 办公体验媲美PC 8 3.2.3 办公外设广泛兼容 8 3.2.4 办公桌面高效运维 9 3.2.5 办公桌面随身行 9 3.3 桌面云平台组件介绍 10 3.3.1 硬件平台 10 3.3.2 软件平台 11 3.3.3 投资回报分析 11 第4章 服务器、存储选型方案 12 第5章 解决方案设计思路 13 5.1 终端 13 5.2 服务器 14 5.3 存储 14 5.4 网络 15 第6章 深信服典型应用案例 15 6.1 整体市场表现 15 6.2 典型案例介绍 16 6.2.1 广州市第一人民医院 16 6.2.2 深圳市孙逸仙心血管医院 17 6.3 相关案例表（部分） 18  场景现状 随着网络安全法的实施，国家也越来越重视网络安全问题。医院的信息数据非常重要，涉及到国计民生。如果出现信息泄露后，将会带来很大的社会影响。目前医院的网络环境有两种场景，一是，内网和外网做了隔离的，安全风险相对较少，通过互联网进行数据泄密的途径比较繁琐。二是，医院的内网和外网进行了融合，没有明确的隔离措施，安全风险比较大。 目前xx医院网络中，内网和外网是融合的，没有做严格的物理隔离，内网通过ACL访问控制以及上网行为管理进行了逻辑隔离以及上网权限的控制，医院内部办公人员会在内网办公电脑上进行互联网访问，带来了安全隐患，即便在PC机上安装杀毒软件，但依然无法解决未知病毒感染和涉密信息主动/被动盗取的问题，比如：勒索病毒 WannaCry全球爆发，众多政府、企业、教育、医院受到攻击，数据被加密，无法恢复。这些攻击和外发风险都是来自于外网，其根源问题在于办公数据和个人数据没有隔离。当然，部分医院可能会引入专用的互联网电脑（比如，一个部门共享2-3台上网电脑），这样虽然在一定程度上可以解决病毒和互联网泄密问题，但是却加大了管理难度，而且与办公桌面的数据交互变得麻烦。 需求描述 提供便利、安全的医院办公办公人员的上网方案，要保障医院人员的内网办公数据和外网互联网上网数据能够相对隔离，上网安全问题不影响办公数据。 医院办公人员需要上网查询医学上的资料，上网所获取的文档或资料，能够安全且可溯源的方式导入办公桌面进行使用。 内网办公的数据可以通过管控策略的限制来避免办公数据外泄，解决互联网外发文件导致的信息泄密问题。 深信服医疗行业内外网双域隔离桌面云解决方案 方案概述 方案总体拓扑设计 xx医院使用深信服内外网双域隔离桌面云解决方案，采用将办公PC、笔记本与上网虚拟桌面逻辑隔离，原有PC、笔记本限制不能访问互联网，医院办公的医生和护士只能通过接入到桌面云平台在虚拟桌面上网，通过桌面云平台的安全限制策略，避免办公桌面感染病毒和涉密信息被恶意外发，同时内外网通过网闸构建逻辑的内外网数据隔离。 深信服内外网双域隔离桌面云设计如下图所示： - 业务网：虚拟桌面访问业务系统和互联网的网络，每个虚拟机（云桌面）都有一个IP地址，通过服务器业务口（红线）连接外部。 - 终端接入网：终端访问虚拟桌面的网络，通过连接服务器管理口（蓝线）来访问虚拟桌面，不需要依赖虚拟机IP。 - 存储网：分布式虚拟存储环境下，服务器进行多副本数据同步的网络。 上网桌面有2种模式：A、专有桌面；B、还原桌面； 专有桌面：一个用户对应一个独立的虚拟机，使用过程中会保留个性化配置、应用软件和个人数据，等同于一台电脑，适用于需要自主安装软件的上网环境。 还原桌面：一个用户对应一个独立的虚拟机，但与专有桌面不同的是，还原桌面每次关机重启只会保留桌面和D盘等个人数据，其他都会还原为初始状态，适用于标准化上网环境。 设计要点 上网桌面和办公桌面之间通过网闸进行逻辑隔离，只允许云桌面通讯协议通过，安全可靠。 上网桌面建议采用“还原桌面或池化+个人独享桌面桌面”模式,“ 还原桌面或池化”重启还原为初始状态。“个人独享桌面云”绑定个人所用，可以进行数据存储，软件安装。给用户使用的虚拟桌面跟使用传统电脑一样的体验。 上网桌面下载的数据，可通过安全通道单向导入办公桌面并且后端数据库进行审计记录，反向传输则禁止（策略控制），确保办公桌面数据不泄密，同时保证数据从互联网