《互联网医疗健康惠民服务医院前置机说明——预约挂号直连、深度惠民服》由会员分享,可在线阅读,更多相关《互联网医疗健康惠民服务医院前置机说明——预约挂号直连、深度惠民服(13页珍藏版)》请在金锄头文库上搜索。
1、XX省互联网医疗健康惠民服务医院前置机说明预约挂号直连、深度惠民服务目 录1、前置机概述21.1网络安全2前置机的网络接入,通过基于COS的医疗智能集成安全网关接入医院内网系统,实现内外网隔离,前置机部署完成后,可以访问外网指定IP/端口的服务器,支持TCP/IP、FTP通讯协议。21.2应用安全41.3 数据安全62前置机各项安全指标72.1物理安全72.2网络安全82.3主机安全92.4应用安全102.5数据安全11131、前置机概述前置机主要是作为医院与掌上医院服务中心平台的数据通道,因目前医院一般不支持公网访问,而院内服务器可以访问指定端口的外网服务器,因此,前置机部署在医院内部,按照
2、医院的安全要求进行开发和部署,提供内外网访问的数据通道。1.1网络安全前置机的网络接入,通过基于COS的医疗智能集成安全网关接入医院内网系统,实现内外网隔离,前置机部署完成后,可以访问外网指定IP/端口的服务器,支持TCP/IP、FTP通讯协议。智能网关结构图如下:图1.1智能集成网关结构智能网关在医院端的部署结构如下所示:图1.2智能网关部署结构图其他网络安全:l 软硬件防火墙;多重结构,防止被攻击。l 通讯采用TCP/IP协议,保证信息的安全性,对通讯数据进行非对称加密。l 文件传输采用FTP协议,文件传输保证断点续传,文件传输为单向上传机制,防止公网用户拉取文件。l 网络单向访问,前置机
3、可以访问公网指定IP端口的服务器,公网无法访问前置机。1.2应用安全前置机与XX省惠民服务平台公网服务平台的通讯全部通过TCP/IP协议实现,前置机应用启动时,与公网服务平台建立长连接,并维持长连接,设计了有效的长连接维持机制,并采用MQ作为消息缓存组件,前置机的部署结构如下:图1.3 前置机系统通讯结构图l 身份认证,支持身份标识(AppKey),签名验证(Sign)。l 时效性控制,异步消息的时效为30s,超时则记录超时异常。l 多级IP鉴权,系统级/ APP级/ API级1.3 数据安全前置机访问的数据库为院内数据库,数据库多以中间库的方式部署在前置机服务器上,前置机也可访问医院内网服务
4、器,数据库对前置机的访问提供专门用户,并按照表权限为最小权限粒度,对前置机数据库用户进行权限设置,并区分读写权限。数据库的安全模型如下:图1.4 数据库安全模型l 数据安全等级标识,对关键数据表,设置表权限;并严格区分用户读写权限。l 数据隐私等级标识,隐私数据,需进行数据加盐加密处理。l 应答数据完整性保护,对返回结果签名,并返回数据长度,保证数据完整性。2前置机各项安全指标前置机各项安全指标符合医院服务接入的基本要求,各项安全指标的匹配如下文所述2.1物理安全测评指标测评项物理位置的选择a)前置机部署在医院的机房内,有完善的通风系统,保持常年恒温、恒湿。物理访问控制a)机架有专用钥匙,由机
5、房管理员管理,其他依赖医院机房条件。防盗窃和防破坏a)主要设备放置在医院机房制定机架上,依赖医院的保护措施。防雷击a) 服务器采用了ALT防雷击技术和IPT智能电源技术等高可靠设计,能够承受由雷击而造成的4000伏瞬时高压。防火a)依赖医院机房条件。防水和防潮a)依赖医院机房条件。防静电a)服务器采用接地防静电措施。b)机房采用防静电地板。温湿度控制a)依赖医院机房条件。电力供应a)接入机房供电线路上配置稳压器和过电压防护设备。d)接入医院备用UPS电源,提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求。电磁防护a)电源线和网线隔离接入服务器,防止电磁干扰。2.2网络安全测评
6、指标测评项结构安全a)医院网络访问控制,前置机可访问指定外网服务器,外网设备无法访问前置机服务器b)前置机网络稳定性及安全性依赖医院的内外网隔离措施。网络访问控制a)前置机可以访问外网指定服务器,外部网络不可访问前置机。b)前置机访问外网服务器固定端口,控制粒度为端口级;c)对前置机的通讯做限制,只允许TCP/IP、FTP通讯协议进行通讯;d)应在会话处于非活跃一定时间或会话结束后终止网络连接;e)前置机对通讯协议做修整补充,通讯的头部加入用户名密码校验,控制粒度为用户;f)重要网段应采取技术手段防止地址欺骗;g)其他访问控制依赖医院网络控制;边界完整性检查a)非法前置机用户密码将不能连接外网
7、服务器入侵防范a)前置机应用收到密集网络攻击将发出告警2.3主机安全测评指标测评项身份鉴别a)对登录操作系统和数据库系统的用户进行身份标识和鉴别,主机除了管理员用户,开设一个指定目录的访问用户,以便查看系统运行日志。b)操作系统和数据库系统管理用户身份标识使用复杂用户口令,字母+符号+数字,长度不小于10。c)启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施d)对服务器进行远程管理时,必须通过医联网络进行跳转,防止信息被窃听。e)为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性访问控制a)设置不同的用户访问权限,依据安全策略控制用户对资源的访问b)实
8、现操作系统和数据库系统特权用户的权限分离d)定期删除多余的、过期的帐户,避免共享帐户的存在安全审计a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;b)定期根据医院的安全审计标准对前置机服务器进行审计;入侵防范a)检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;b)服务器监控前置应用的完整性, 应用受到破坏时发出告警;c)操作系统遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。恶意代码防范a)服务器安装防恶意代码软件,并及时更新防恶意代码软件版本
9、和恶意代码库;c)服务器支持防恶意代码的统一管理。资源控制a)指定医联平台的服务器访问医院前置机;b)前置机设置登陆超时自动锁定;d)以文件夹访问权限为最小粒度,进行资源访问权限控制;2.4应用安全测评指标测评项身份鉴别a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别访问控制a)访问指定数据库,数据库做严格的权限控制b)访问指定的webservice,做端口访问控制c)与公网服务中心信息传递做用户名密码校验d)对公网平台接口采用权限控制,防止公网平台调用无权限接口 安全审计a)提供覆盖到公网服务平台的安全审计功能,对应用系统重要安全事件进行审计通信完整性a)采用校验码技术以及数据通讯包
10、长度校验技术保证通信过程中数据的完整性通信保密性a)前置机连接外网服务器前,进行用户名密码校验。b)对通讯过程中的敏感信息进行非对称加密处理抗抵赖a)不接受外网的请求软件容错a)提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求资源控制a)通信双方中的一方在30秒内未作任何响应,另一方自动结束会话b)对系统的最大并发会话连接数进行限制,最大连接数为10。c)应对一个时间段内可能的并发会话连接数限制为10个。d)服务器内存资源占用达到80%,服务器进行告警。2.5数据安全测评指标测评项数据完整性a)前置机业务数据传输过程根据长度进行完整性校验。数据保密性a)关键数据存储采用加密加盐的方式进行存储。备份和恢复a) 本地数据采用主备方式存储,1个小时数据同步一次;b) 本地数据库的备份数据自动上传至医院的备用服务器;
