1、新医疗 新网络安全等保&移动医护解决方案锐捷网络在医疗移动医护WLAN建设等级保护AWbstractords摘要等级保护等级保护国家政策 等级保护思想始于1994年发布的中华人民共和国计算机信息系统安全保护条例(国务院第147号令),其中明确提出了“计算机信息系统实行安全等级保护”。之后于1999年发布了计算机信息系统安全保护等级划分准则(GB 17859-1999)。等级保护工作推动取得突破性进展的标志是2003年发布国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)和2005年发布的关于信息安全等级保护的实施意见(公通字 2005 66号),确立了等级保护作为国家信息
2、安全保障的基本制度。等级保护制度是从国家的视角,依据信息系统被破坏后,对国家安全、社会秩序和公共利益造成的影响程度来划分系统的安全等级。等级保护制度充分体现了信息安全的国家意志。等级保护概述信息安全等级保护:l对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统实行分等级实行安全保护;l对信息系统中使用的信息安全产品实行按等级管理;l对信息系统中发生的信息安全事件实行分等级响应、处置。信息安全事件回顾6 一旦HIS系统服务器中病毒一旦HIS系统服务器被黑客破坏一旦HIS系统数据被非法篡改一旦HIS系统数据库被黑客破坏这时HIS系统不能正常运行,可能会发
3、生什么信息安全事件造成的事故卫生部文件卫生部关于印发卫生行业信息安全等级保护工作的指导意见的通知 卫办发201185号 各省、自治区、直辖市卫生厅局,新疆生产建设兵团及计划单列市卫生局,部直属各单位,部机关各司局:为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,按照公安部关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429号)要求,我部结合卫生行业实际,研究制定了卫生行业信息安全等级保护工作的指导意见。现印发给你们,请遵照执行。卫生部文件安全级别危害程度安全要求一级 信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国
4、家安全、社会秩序和公共利益。能够抵御来自个人的、拥有很少资源的攻击,防范一般的自然灾难、操作失误、技术故障等对关键资源造成的损害,在系统遭到损害后,能够恢复主要功能。二级信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。能够抵御来自外部小型组织的、拥有一定资源的攻击,防范一般的自然灾难、内部人员恶意行为、操作失误、技术故障等对重要资源造成的损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复主要功能。三级信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。能够在统一安全策
5、略下,抵御来自外部有组织的团体、拥有较为丰富资源的攻击,防范较为严重的自然灾难、内部人员恶意行为、操作失误、技术故障等对主要资源造成的损害,能够及时监测发现安全漏洞和安全事件;具有一定的备份恢复能力,在系统遭到损害后,能够较快恢复绝大部分功能。安全等保测评标准等保测评子模块物理安全物理位置的选择基本防护能力高层、地下室物理访问控制基本出入控制分区域管理在机房中的活动电子门禁防盗窃和防破坏存放位置、标记标识监控报警系统防雷击建筑防雷、机房接地设备防雷防火灭火设备、自动报警自动消防系统区域隔离措施防静电关键设备主要设备防静电地板电力供应稳定电压、短期供应主要设备冗余/并行线路备用供电系统电磁防护线
6、缆隔离接地防干扰电磁屏蔽防水和防潮温湿度控制网络安全结构安全关键设备冗余空间主要设备冗余空间访问控制访问控制设备(用户、网段)应用层协议过滤拨号访问限制会话终止安全审计日志记录审计报表边界完整性检查内部的非法联出非授权设备私自外联子网/网段控制核心网络带宽整体网络带宽重要网段部署路由控制带宽分配优先级端口控制最大流量数及最大连接数防止地址欺骗审计记录的保护定位及阻断入侵防范检测常见攻击记录、报警恶意代码防范网络边界处防范网络设备防护基本的登录鉴别组合鉴别技术特权用户的权限分离主机安全身份鉴别基本的身份鉴别访问控制安全策略管理用户的权限分离特权用户的权限分离安全审计服务器基本运行情况审计审计报表
7、剩余信息保护空间释放及信息清除组合鉴别技术敏感标记的设置及操作审计记录的保护入侵防范最小安装原则重要服务器:检测、记录、报警恶意代码防范主机与网络的防范产品不同资源控制监视重要服务器最小服务水平的检测及报警重要客户端的审计升级服务器重要程序完整性防恶意代码软件、代码库统一管理对用户会话数及终端登录的限制身份鉴别基本的身份鉴别访问控制安全策略最小授权原则安全审计运行情况审计(用户级)审计报表剩余信息保护空间释放及信息清除组合鉴别技术敏感标记的设置及操作审计过程的保护通信完整性校验码技术密码技术软件容错自动保护功能资源控制资源分配限制、资源分配优先级最小服务水平的检测及报警数据有效性检验、部分运行
8、保护对用户会话数及系统最大并发会话数的限制审计记录的保护通信保密性初始化验证整个报文及会话过程加密敏感信息加密抗抵赖应用安全数据完整性鉴别数据传输的完整性备份和恢复重要数据的备份各类数据传输及存储异地备份网络冗余、硬件冗余本地完全备份硬件冗余检测和恢复数据保密性鉴别数据存储的保密性各类数据的传输及存储每天1次备份介质场外存放 数据库安全保障u异常状态恢复u站点隐身u内置防毒墙 等功能(1)、网站类安全网站防护设备WG网站防护系统(2)、身份准入、最小授权安全SMP身份认证系统桌面审计组件:USB、键盘、鼠标、远程监控等堡垒机作为运维屏障(3)、应用访问控制u身份统一认证;u行为审计;u管理权限
9、自动划分;u日志自动管理;(4)、网络运维部分锐捷全系列安全产品均有符合三级等保的认证各楼层接入交换机核心交换机出口路由器汇聚交换机各楼层接入交换机楼层接入交换机楼层接入交换机中心机房服务器区汇聚接入区服务器接入三级等保拓扑图Web网站网站身份认证系统身份认证系统运运维管理系统维管理系统防火墙设备网站防护入侵检测系统防火墙办卡堡垒主机数据库审计移动医护WLAN建设移动医护 移动医护护士或者医生手持终端进行移动查房、病人病历调用、医嘱管理等业务 病房大概在20平方米左右,多为混凝土实体墙,信号衰减较严重 洗手间常位于进门的位置,存在镜子等高衰耗障碍物,而且走廊信号需经过多堵实体墙才能到达房间内部
10、 病房内部有套间,套间内信号一般不易覆盖住院环境分析业务:通过无线终端调出病人病历与基本信息等业务特点:在病房和走廊频繁移动后进行业务操作,业务和终端对丢包敏感度较高,不能因为位置移动发生无线漫游而使业务延迟或中断护士手持终端进行工作时,经常在病人床头进行移动医护,但由于一进门有卫生间,床头属于信号覆盖的死角位置同时在一个病区内开展业务的护士不超过6人无线医护的要求场景病房或走廊,护士手持移动终端进行工作业务需求非新建无线网络的医院,医护人员不希望无线的施工太繁杂,以免噪音大、施工周期长而影响病人休息当无线网络发生故障时能快速恢复,否则移动医护业务就无法开展,影响病人用药和病情查看医护人员会担
11、心大功率、高增益的无线设备会对病患带来健康威胁医院对无线网络的要求 为不影响正常业务,护士在移动过程不能因为无线漫游现象而使业务延迟或中断 在走廊和病房内部任何地方和角落都需要较强的信号 安装部署快捷,所有元器件都能够在发生故障时可快速定位,方便运维 绿色健康的无线网络,避免使用大功率、高增益的设备 需求总结传统移动医护WLAN解决方案放装式AP部署方案优势:楼道信号好;劣势:u 设备间信号干扰问题严重;u 病房内信号质量不佳;u 跨AP信号连接出现漫游,业务中断重启;室分部署方案优:无线信号覆盖全劣:u施工部署复杂,时间周期长u器件不美观,影响整体效果u放大功率影响健康环保u信号末端衰减锐捷
12、网络移动医护零漫游解决方案智分基站,实现了整个病区的无线数据的高效处理,双路射频的冗余设计更为客户提供了高可靠的无线网络覆盖走廊的吸顶天线和房间的美化天线,让整个病区都享有无线信号移动医护零漫游解决方案组件智分单元,不仅创新性的实现了远距传输的射频信号的还原优化,而且房间将优化后的优质无线信号均匀扩展成4路,无需使用外置功分器、耦合器简化部署,快速施工超柔馈线,弯曲任意角度,可以放置在走线天花板,部署美观便捷移动医护零漫游方案部署方式满格信号优、终端零漫游、业务无中断!智分单元超柔馈线美化天线护士站配药室值班室零漫游AP满格信号无处不在,移动医护顺畅开展智分单元将远距传输的基站无线信号优化扩展后,再通过超柔馈线传输至美化天线,将“满格”的优质无线信号均匀的覆盖到病区的每个角落,确保了移动医护业务的顺畅开展!对于墙体较厚或有大型套间的病房,可将信号延伸至病房内实现信号的满格覆盖!相对于室分方案不再使用大功率、高增益的室分专用元器件,为病患提供绿色健康的移动医护无线网络当无线网络出现故障时,能够精准定位每个无线支路故障节点,方便运维人员快速恢复无线网络只需要智分基站和智分单元即可完成整个病区的无线覆盖,降低了部署施工难度智分单元功分器干放耦合器
