苏北人民医院信息安全等级保护之数据中心安全规划设计

毛睿+车永茂+谢世春

摘要：为贯彻落实国家信息安全等级保护制度，提升医院信息安全，我院进行了信息安全等级保护定级备案和差距测评工作，该文结合我院测评结果进行需求分析，对数据中心安全方案进行了整体规划设计。

关键词：信息安全等级保护；定级备案；差距测评；SQL注入；DDoS

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）06-0061-02

1 项目背景

依据《关于信息安全等级保护工作的实施意见》和《信息系统等级保护安全设计技术要求》等国家政策与标准规范，我院按要求积极开展信息安全等级保护工作，并根据定级备案和差距测评结果进行建设整改。

2 需求分析

? 本次数据中心安全项目将依据三级等保标准进行统一规划和设计。

? 针对外联区域，使用高性能的防火墙替换现有的防火墙。

? 针对服务器区域，整体考虑服务器区域安全访问控制，应用层攻击，web应用安全，虚拟化服务器安全等。

? 针对终端接入区域，要考虑终端准入和管理，防病毒等。

? 针对外网接入区域，本次考虑替换超期服役安全设备，以满足当前业务安全需求。

? 针对数据中心统一运维，要对医院网络、安全、计算、存储等设备进行统一入口管理以及安全审计，同时实现整个数据中心网络设备监控和运维。

? 整个规划要满足3到5年业务发展要求。

? 软硬件设备要稳定可靠。

3 数据中心安全方案整体规划设计

苏北人民医院数据中心安全方案依据等级保护三级规划设计，通过完善数据中心服务器区域、外联区域、终端接入区域，外网接入区域，统一运维规划，五个组成部分的安全规划，满足业务系统今后的安全访问。

3.1 服务器区域安全设计

服务器区域主要面临非法的业务访问，黑客攻击行为，WEB应用SQL注入，跨站攻击等恶意访问，另外云平台的安全访问和病毒入侵等等风险。针对这些的问题，我们采用下述方案解决该区域面临的风险。

1） 旁路部署2台数据中心防火墙，同时开启IPS功能，实现服务器区域各个应用系统的安全访问，通过IPS功能实现应用层安全防护。

2） 旁路部署2台服务器负载均衡设备，实现应用服务器负载均衡。

3） 在web服务器前端透明部署1台web应用防火墙，实现web服务器应用层防护，可以防止SQL注入， 跨站攻击等恶意访问。

4） 在服务器区域与外网之间部署两台安全隔离网闸，实现内外网文件安全交换和访问。

5） 针对物理机服务器部署1套网络版杀毒软件，实现物理服务器防病毒。

6） 在云平台上部署1套虚拟化版本防病毒软件，实现虚拟机防病毒。

7） 在云平台上部署1套虚拟化版本分布式防火墙软件，实现云平台流量可视化以及虚拟机之间安全隔离和管控。

3.2 外联区域安全设计

业务内网边界区域面临多业务链路接入和访问，业务非法访问等安全风险。针对这些问题，我们采用下述方案解决该区域面临的风险。

1） 部署2台边界防火墙做HA，实现医保，农合，洪泉医院，扬州二院等出口的安全访问控制。

2） 部署2台IPS，防止通过业务内网出口进行恶意攻击及入侵检测。

3.3 外网区域安全设计

1） 在出口部署2台链路负载均衡设备，同时开启防DDoS，可以实现多条电信线路outbound、inbound方向链路负载均衡及清洗异常攻击流量。

2） 串接部署2台边界防火墙，同时透明部署2台IPS设备，解决非法业务访问及应用层攻击。

3） 桥接部署1台上网行为管理设备，规范用户上网行为。该设备带2组bypass端口，即使设备断电或出现故障也不影响访问。

4） 部署1台SSL VPN设备，满足移动办公用户远程安全接入。

5） 在服务器区域与外网之间部署两台隔离网闸，实现内外网安全访问。

3.4 终端接入区域安全设计

终端接入区域有大量各种终端接入，该区域风险主要有病毒入侵，终端非法接入以及终端安全管理等，针对这些的问题，我们采用下述方案解决该区域面临的风险。

1） 部署1一套网络版杀毒软件，在每个终端安装客户端，实现终端防病毒。

2） 部署终端安全管理系统，包括终端准入控制，桌面管理、主机监控审计、上网行为控制与监控、补丁管理、远程协助、移动存储介质管理等11个主要功能，实现终端安全管理。

3.5 网络运维规划

目前网络运维面临安全设备管理，共享账号问题、非法访问、操作审计问题；网络设备运维和监控，信息安全事件孤岛、海量安全日志、安全趋势分析不全面以及数据库非法访问，操作审计问题。针对这些问题，我们采用下述方案解决网络运维面临的风险。

1） 旁路部署1台堡垒机提供运维唯一入口，实现数据中心网络设备安全访问以及账户审计溯源等。

2） 旁路部署1台数据库审计设备，实现数据库安全访问和审计。

3） 部署1台漏洞扫描设备，可支持对主机漏洞扫描、Web漏洞扫描、弱密码扫描。

4） 部署1套安全运维管理平台，不仅可以实现整个数据中心网络设备监控和运维，而且还可以收集、监视和报告企业中的防火墙、入侵防御系统、防病毒产品、访问控制审计产品等各种安全信息，并汇总到一起，然后通过大数据安全智能分析，迅速识别高危风险事件。

4 结束语

医院采取统一规划，分步实施来构建数据中心安全基礎架构，最终达到了信息安全等级保护三级评审要求。

参考文献：

[1] 黄海燕. 计算机网络技术与安全管理维护的研究[J]. 电脑知识与技术， 2013（11）： 2586-2588.

[2] 王红梅，宗慧娟，王爱民. 计算机网络信息安全及防护策略研究[J]. 价值工程， 2015（1）： 209-210.