網際網路+醫療健康服務是醫院應用網際網路等資訊科技擴充醫療服務空間和內容,構建覆蓋診前、診中、診後的線上線下一體化醫療服務模式。網際網路+醫療健康服務以實體醫院為基礎,在網路空間中擴充遠端預約掛號、遠端會診、線上複診、電子處方、護理服務等遠端服務。不但可滿足群眾多層次、多樣化、個性化的健康需求,也讓看病就醫更省心、省時、省力、省錢。
但由於“網際網路+醫療健康”服務存在因季節變化、流行性疾病、突發疫情等諸多因素而導致的訪問高峰期,在安全建設層面常面臨以下安全威脅與防護需求:
1.“網際網路+醫療健康”服務可用性需求
“網際網路+醫療健康”服務涉及線上診療、線上支付等功能,關乎公眾健康和醫院經濟利益,因此要保證線上業務應用的穩定性,防止因遭受DDoS攻擊而導致的業務癱瘓。
2. WEB攻擊防護需求
“網際網路+醫療健康”應用應能抵禦各類WEB安全威脅,保障應用免受干擾、破壞或者未經授權的訪問,防止因WEB攻擊導致的應用癱瘓和資料洩露。
3. 資料安全防護需求
“網際網路+醫療健康”應用面向網際網路,關乎患者的使用體驗和醫療資料的安全隱私,應採用更好的技術手段,防止因網路攻擊或誤操作而導致的資料丟失,同時須建立雲端與本地端資料備份機制。
三招助力提升“網際網路+醫療健康”業務場景網路安全
綠盟“網際網路+醫療健康”安全解決方案結合業務應用場景和安全需求,從公有云VPC邊界安全、VPC安全運維和安全SaaS服務三個方面設計:
1. 公有云VPC邊界安全
在VPC邊界,透過部署虛擬化的下一代防火牆和WEB應用防火牆,實現對“網際網路+”醫療應用的訪問控制和網路攻擊防護。
1) 下一代防火牆雲服務
在承載“網際網路+”醫療應用的VPC邊界以虛擬化形態部署下一代防火牆,作為VPC的唯一出口,管控所有進出VPC的流量。一方面基於傳統防火牆管道功能,實現VPC邊界內外網的邏輯隔離和訪問控制;另一方面透過內建的應用識別、入侵防禦、內容過濾、URL過濾等功能,可為“網際網路+”醫療應用提供L4-L7全面的安全服務。最後,利用下一代防火牆中整合的IPSec VPN功能,將醫院本地資料中心和VPC連線起來,實現安全通訊和資料備份傳輸。
2) 網站安全防護服務
以虛擬化形態在“網際網路+”醫療應用前端部署Web應用防火牆,從而全面抵禦OWASP Top 10等各類Web安全威脅。同時支援對HTTP、HTTPS協議防護,並可利用雲端的auto scaling服務來完成彈性擴充套件,透過監控流量和CPU的使用率,實現增加或減少vWAF的資源功能。
線上上診療過程中,對於使用者提交伺服器端的資料,WAF可以實時發現使用者提交資料中的惡意指令碼和問題程式碼/命令。並可進行必要的內容過濾,如惡意指令碼和程式碼、關鍵敏感字等,充分保障“網際網路+”醫療應用安全,同時避免應用伺服器端重要資訊的洩露。
2. VPC安全運維
在公有云VPC內建立安全運維子網,實現對“網際網路+”醫療應用的運維管理、操作審計和安全風險評估。
1) 資料庫審計雲服務
綠盟資料庫審計雲服務採用獨立於資料庫進行配置和部署的方式,將軟探針部署於WEB業務系統和運維終端的虛擬伺服器上,對軟探針實時採集的資料對資料庫活動進行多角度分析,並對異常的資料庫行為進行告警通知、審計記錄和事後追蹤分析。除了常規的風險行為審計功能之外,服務還內建資料庫漏洞攻擊行為和SQL隱碼攻擊行為模型,透過產品專項的安全審計策略,可針對應用端的惡意入侵行為進行審計和告警。
2) 堡壘機審計雲服務
在VPC的運維子網中部署虛擬化堡壘機,實現對醫療服務業務系統、作業系統、資料庫、網路裝置等各種IT資源的帳號、認證、授權和審計的集中管理和控制。運維人員必須透過堡壘機跳轉訪問網路的業務伺服器和網路裝置,實現對運維人員的集中訪問控制和運維過程的集中安全審計,建立面向醫院運維管理員的集中、主動的運維安全管控模式,降低人為安全風險,滿足合規要求。
3) 安全風險評估
在VPC的運維子網中部署虛擬化漏洞掃描系統,對“網際網路+”醫療業務系統進行定期掃描,高效、全方位的檢測VPC網路中的各類脆弱性風險,並提供專業、有效的安全分析和修補建議。同時可貼合安全管理流程對修補效果進行審計,最大程度減小 “網際網路+”醫療業務系統的受攻擊面。
3. 安全雲SaaS服務
從醫院管理使用者角度對“網際網路+”醫療業務系統進行安全防護和安全運維的同時,還需從網際網路側,利用綠盟雲的專業安全能力,遠端保障醫療應用的穩定執行。一方面採用黑洞雲清洗服務,抵禦DDoS攻擊;另一方面是從網際網路使用者的角度,多地區、多鏈路的監測“網際網路+”醫療應用的可用性和完整性。
綠盟黑洞雲清洗服務
綠盟黑洞雲清洗服務專門幫助“網際網路+”醫療服務應對大流量DDoS攻擊。當“網際網路+”醫療服務遭遇DDoS攻擊時,透過採用雲清洗服務,將攻擊流量牽引至綠盟雲清洗中心進行清洗,清洗後流量規模將大大縮小,當不再對VPC鏈路造成擁堵時,再將流量回注到對應的醫療業務系統中,保障線上醫療業務的正常開展。
黑洞雲清洗服務主要是透過修改DNS伺服器上域名IP資訊,將攻擊流量牽引到雲清洗中心進行清洗。黑洞雲清洗服務可高效防護各類基於網路層、混合型、連線耗盡型等的拒絕服務攻擊,如SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、ACK Flood/ DDoS等攻擊。
實施效果
綠盟“網際網路+醫療健康”安全解決方案,從安全防護、安全運維、安全監測多個維度保障“網際網路+”醫療服務的安全、平穩執行,可為醫院客戶提供如下安全價值:
· 提升“網際網路+醫療健康”應用的安全防護水平,可有效防禦大流量DDoS攻擊、WEB攻擊、系統漏洞攻擊;
·
透過對資料安全防護和資料操作的全面審計,保障“網際網路+醫療健康”應用的資料安全;
·
構建公有云環境下的安全運維管理體系,全面支撐安全運維管理工作;
·
多維監測“網際網路+醫療健康”應用的執行狀態,保障服務的可用性和連續性;
·
滿足等保2.0雲端計算安全擴充套件要求。