摘要:
随着信息化的快速发展,云计算技术给基础设施、应用、数据和 I 运营等方面带来了很大的革新。但单位原有的机房规划没有考虑到上云后的相关网络安全,云部署后资源集中使云平台更容易成为黑客攻击的目标,云上的安全问题也更加突出。2020 年上半年,本人作为某市三甲医院的信息科负责人参与了本院新建云 + 业务运营模式的云网络安全保护的规划和设计,为了保证云网络安全项目切实符合需求,针对云数据中心的安全防护问题,通过网络设备的虚拟化,网络区域的划分和部署相关安全管理设备等方案来解决,最后确定了约 120 万左右的项目预算,项目具体实施时间为两个月。具体的方案和部署方案包括云安全网络边界的划分和防护、安全控制措施选择和部署、网络攻击安全防护、相关的安全管理制度四个方面。项目实施后,取得了良好的效果。
正文:
随着信息化的快速发展,云计算技术给传统的 IT 基础设施、应用、数据和 IT 运营等方面带来了很大的变化,对于安全管理来说,有挑战也有机遇。传统云平台安全架构仅能够对用户提供通用的安全策略,不能适用于所有用户。在 2020 年上半年,本人作为某某市三甲医院的信息科负责人参与了本院新建云 + 业务运营模式的云网络安全保护的规划和设计。为了保证云网络安全项目切实符合需求,我和信息科同事前期做了大量的调研工作,资源集中使云平台更容易成为黑客攻击的目标,云上的安全问题也更加突出。目前在云网络安全方面的问题主要是从网络安全部分、主机安全部分、虚拟机资源安全部分、数据安全和备份恢复等几个方面考虑。最终结合当前的技术、业务和设备,确定了约 120 万左右的项目预算,项目的实施时间为 2 个月左右,具体为云安全网络边界的划分和防护、安全控制措施选择和部署、安全防护和相关的安全管理制度四个方面。
一、云网络安全域的划分
安全域是由一组具有相同安全保护需求,并相互信任的系统组成的逻辑区域,在同一个安全域中的所有系统共享相同的安全策略。我们通过安全域的划分,把本院原有的整体的大规模复杂系统的安全问题,划分成更小区域的安全保护问题,这样能够实现大规模复杂信息系统的有效安全保护。按照安全域的思想,从保障云计算业务安全为出发的和立足点,把网络系统划分成不同的安全区域,并且进行纵深防护。根据本院数据中心的实际情况以及安全等级防护要求,安全域的划分如下所示:
核心交换区:由两台同样型号的支持虚拟交换的华为 S7706 高性能交换机组成,先将两台华为 S7706 交换机虚拟化,负责本院整体的云计算系统内部网络信息的整体的通信交换。
核心业务生产区:主要由本院四台同样型号的 IBM3650X 服务器组成,通过裸金属架构,并且通过多虚多的方式,将服务器池分成本院主 HIS 服务器,社区卫生服务中心 HIS 服务器、LIS 服务器,PACS 服务区和本院内部 OA 服务器。并且根据保护等级的不同,将其细分成三个保护子区。本院 HIS 主服务器和社区卫生服务中心 HIS 服务器的要求保护等级最高,将这两个虚拟化服务器规划为保护等级最高的一级保护子区中;LIS 服务器和 PACS 服务器的要求保护等级其次,将这两个虚拟化服务器规划为保护等级其次的二级保护子区中;OA 服务器的保护要求最低,将 OA 服务器放入到三级保护子区中。另外,为了保证这几个不同等级的生产子区域的通信交换,单独划分了一个负责信息交换的数据交换子区域。
互联网交换接入区:主要包括了由两台华为 S7705 交换机、两台带路由器功能的深信服防火墙组成。并且对两台华为 S7705 交换机做了虚拟化设置,提升了交换机的性能,增加了整体外部网络的通信可靠性。两台带路由器功能的防火墙也做了虚拟化,整体互联网交换性能和防护性能也得到了提升,保证了本院外部网络通信的安全。
存储接入区:本院的存储是由一台存储服务器和一个由 20 块 300G 的 SAS 硬盘存储的磁带库组成,为了提升数据的可靠性,我们对存储的磁盘阵列做了优化。对于本院的主要 his 服务器的存储,我们通过 raid10 的方式将 16 块硬盘组成磁盘阵列,在提升数据通信的性能的同时,也增加了其可靠性,另外对其配备了一块热备盘,在 raid10 组磁盘阵列出现问题时进行及时的替换。对于本院其他次要业务的存储,我们通过 raid5 的方式将三块硬盘组成磁盘阵列,在提升可靠性的同时,兼顾了性价比。
二、安全控制措施选择和部署
在完成整体的云平台的安全区域划分后,我们根据安全区域的划分结果,设计和部署了相应的安全机制和措施进行有效防护。为了保障云平台数据中心以及其承载的业务安全,分别根据网络所承载的数据的类型,进行单独的组网。
管理网络:本院的主要物理设备是承载虚拟机的基础资源,所以对其应该进行严格的管理控制,所以我们安装了独立的监控管理系统来保障物理设备的安全性。同时对整体的物理设备进行可视化的管理,在中心机房入口处配置了整体的硬件系统的运行情况可视化屏幕,可以对所有中心机房的物理设备进行监控,如果物理设备出现问题将会在屏幕上进行可视化的报警提醒,并且会有报警信息通过短信的形式分别发送的本院信息中心负责人和分管信息化的院长的手机中,及时通知问题的存在。
存储网络:对于数据存储,我们采用了 NAS 的方式进行数据传输,并将存储网络独立出来,与其他网络进行隔离。
迁移网络:虚拟机可以在不同的云计算节点或者主机之间进行迁移,为了保障进行迁移时的可靠性,我们也将迁移网络独立出来。
三、安全防护
根据本院云数据中心的部署规划,医院业务的特殊性,应用和业务量非常大也非常的丰富,这样必然会各种各样对信息系统的攻击,如 DDOS、木马和病毒和内部人员窃取信息等攻击行为。根据以上问题,本院配备了虚拟机防火墙保护虚拟主机的安全,并且在数据中心安装了异常流量分析设备来分析是否有异常流量的产生,并对其进行及时的报警。在本院汇聚交换机和所有业务主机上安装了基于 vxlan 的安全防护软件,对所有的主机 mac 地址进行认证,防止非法主机的接入,对业务主机进行 usb 端口的全关闭,防止有人通过 USB 接口入侵本院的网络系统。并且安装了企业级的杀毒软件每天定时进行杀毒并定时进行病毒库的更新。
四、安全管理制度
整体的云网络安全目标的实现,仅仅靠技术是不够的,先进的技术还需完善管理制度的配合。为了避免人为操作导致的网络安全事件的发生,我们制定了《关于 XX 市 XX 医院安全管理制度和操作流程》来杜绝人为因素给网络安全带来的隐患。通过完善机房管理制度、设备管理制度和弱电间及线路管理制度来保证物理设备的安全;通过制定系统运维制度来保证系统的持续稳定安全运行,并且通过权限管理制度保证责权到人。并且我们还定期开展安全教育,使本院所有医务人员具有安全意识和责任意识,确保各项规章制度的顺利执行。
五、总结
通过两个月的全面细致的设计部署,总工期两个月的云网络安全项目部署顺利通过相关专家组的验收,实施至今能够有效的保护云数据中心网络的安全。通过网络设备虚拟化,网络安全区域的划分,安装虚拟防火墙和通过 vxlan 技术保护院区主机设备等方法,避免内部虚拟化环境和内部网络环境受到外部的攻击,取得了很好的正面效果,并且在时间、成本、质控方面也达到了预期的效果。因为资金原因,在整体的网络安全规划与设计中,没有加入堡垒机和蜜罐设备应对外部网络的攻击,但是在整体规划中我们留下了扩展的空间,在未来的云网络安全项目实施中,在资金充足的情况下,我们打算对其进行补充。