《医疗行业云安全解决方案》由会员分享,可在线阅读,更多相关《医疗行业云安全解决方案(27页珍藏版)》请在金锄头文库上搜索。
1、医疗行业数据中心的安全解决方案黎晓红4 May 2018234全球信息安全调查报告2017年全国医年全国医疗疗行行业业信信息息安安全全调调查查报报告告在4663个全国医疗执业单位互联网资产样本的风险检测中,风险排名前五位的依次是:域名信息 泄露、恶意代码、异常流量、僵尸网络、IP被封。从外部威胁来看,65%的医疗执业单位认为网络被攻击,对外通信中断为最重大的安全风险;其 次窃取患者身份、病例或治疗信息排名第2位。从内部威胁来看,68%的单位认为员工安全意识 薄弱是目前最大的挑战,系统以及数据管理存在漏洞排名第2位,内容人员系统访问权限混乱位 居第3位。面对新技术发展趋势,医疗机构将面临新的挑战
2、,受访单位的安全期望前三位依次是:76%的受 访单位认为保证复杂的医疗事务大数据安全,60%认为保证智慧化医疗流程、结果、“物-物交 互”的安全,57%认为需要标准化的安全控制指南5数据来源:东软对外发布数据至上,业务安全-2017年医疗行业信息安全调查报告医医疗疗行行业业相相关信息关信息安安全全规规范范管管理理6中华人民共和国网络安全法信息安全技术 网络安全等级保护基本要求新版互联网医疗保健信息服务管理办法国际标准化组织(ISO)发布的ISO17090:2008卫生信息-公共要素信息结构安全合规是虚拟化云计算场景首要考虑因素应允许云服务客户设置不同虚拟机之间的访问控制策略;应保证当虚拟机迁移
3、时,访问控制策略随其迁移;应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云平台选择第三方安全服务。应实现不同云服务客户虚拟网络之间的隔离应具有根据云服务客户业务需求自主设置安全策略集的能力,包括定义访问路径、选择安全组件、配置安全策略;应能检测到云客户虚拟机发起的网络攻击行为nGB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求 nGB/T 22239-XXXX 信息安全技术 网络安全等级保护基本要求n适用范围:凡是承载等保业务的云平台均受约束上升为法律上升为法律: 网络安全法网络安全法 网络安全法将网络安全等级保护变更为基本制度,基本国策,上升为法律
4、。 第二十一条第二十一条 国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务。 第三十一条第三十一条,国家对关键基础设施,在网络安全等级保护基础上,实行重点保护。如何防御?8黑客黑客发发现现漏洞漏洞利用漏利用漏洞洞制作制作 病毒,病毒,勒勒索索软软 件件发起零日攻击大大规规模模感感染,公染,公 众众发现发现安全厂安全厂家家研制研制补补 丁和丁和识识别别码码厂家厂家发发放放布丁布丁用户安装 补丁,识 别码Day Zero典型黑客攻击与防御Window of Vulnerability安全真空期99Source from Hong Kong Hospital
5、 Authority攻攻击击如何如何发发生的?生的?Unconstrained communicationLittle or no lateral controls inside perimeterLow priority systems are targeted first.Attackers can move freelyaround the data center.101101001101010010100000101001110010100Attackers then gather and exfiltrate data over weeks or even months.Intern
6、etData Center Perimeter11INTERNETDATA CENTERDATA CENTER PERIMETER数据中心的安全威胁Proliferation of devices accessing the data center, yet not all are secured移移动动用用户户桌面工桌面工作作站站虚虚拟拟桌桌面面远远程登程登录录用用户户MOBILE WORKERS HAVE BROAD ACCESS TO DATA CENTER RESOURCESSECURE END USER12NSX实现软件定义数据中心云安全虚拟化平台实现软件定义数据中心云安全虚拟化平台
7、 Cloud SecurityINTERNETDATA CENTERDATA CENTER PERIMETER虚拟机之间的“零信任”信息安全隔离Extend micro-segmentation out to secure the end user deviceMobile device in the field or at homeLaptop or desktop atwork or homeVDI at a branch orremote locationMICRO-SEGMENTATION LIMITS DEVICE ACCESS TO ONLY WHAT IS NEEDEDSECUR
8、E END USER14面向业务的安全隔离Maintain that level of consistent security across an entire applicationMICRO-SEGMENTATIONModern apps today are distributed in natureWEBDBSecurity needs to reach beyond an individual VMEach VM is typically part of a larger application15小王小王(财务部)小小张张(人事部)HRFinanceEmailSharePointAp
9、plication ResourcesHuman ResourcesFinance虚拟桌面工作站16基于用户身份识别的信息安全隔离Business valueMore secure and 1/3 the costof less secure infrastructure建立前建立前-中中-后后360度全度全方方位立位立体体防御防御Delivering inherently secure infrastructureData Center PerimeterInternetDMZSecure User EnvironmentsSecurity policies simplifiedLogica
10、l groups enabledThreats containedZero Trust Model, DMZ Anywhere日常安全管理日常安全管理18做好三件事做好三件事端到端的可视化故障排除实时的数据中心整体健康报告基于业务安全微分段的分析, 评估和策略Across Virtual, Physical and Cloud19主主动动式的式的监监控管理控管理20信息安全的监控与数据分析Security Analytic and Network Visibility for Physical and Virtual NetworkSource from Hong Kong Hospital
11、Authority虚拟机服务器传播途径病毒恶意代码 勒索软件零信任安全模型安全微分段VMware 数据中心安全方案Eco-System Partner Solutions安全监控与分析软件面面对对未未知的知的安全威安全威胁胁防御方法防御方法21NSX架构扩展性:广泛的合作伙伴生态系统基于NSX NETX集成的第三方分布式vNGFW实现VMware NSX分布式防火墙与非NSX技术对比NSX分布式内核防火墙:分布式内核态,每主机20Gbps+无需引流,无网络hop,部署运维简单丰富的VM属性,简化Fw策略部署支持跨DC,VC,站点统一安全策略管理、部署、迁移NSX部署无拓扑依赖,ip可达即可NSX平台不仅安全,支持更多的使用场景非NSX vm-based防火墙:虚拟机形态部署,vds夹层,性能低复杂的vlan及vds拼接引流,额外的故障点和维护点仅支持ip子网分组,或者基本的vm名称和端口组仅支持DC及站点内部vSOM防火墙部署无VMware官方support。仅vNGFW功能,无代理杀毒仍需第三方多租户,vDS,SDN兼容问题,额外的opexNSX实现软件定义数据中心云安全虚拟化平台 Cloud SecurityTHANK YOU