医疗行业云安全解决方案

1、,医疗行业数据中心的安全解决方案,黎晓红4May2018,2,3,4,全球信息安全调查报告,2017年全国医疗行业信息安全调查报告,在4663个全国医疗执业单位互联网资产样本的风险检测中，风险排名前五位的依次是：域名信息泄露、恶意代码、异常流量、僵尸网络、IP被封。从外部威胁来看，65%的医疗执业单位认为网络被攻击，对外通信中断为最重大的安全风险；其次窃取患者身份、病例或治疗信息排名第2位。从内部威胁来看，68%的单位认为员工安全意识薄弱是目前最大的挑战，系统以及数据管理存在漏洞排名第2位，内容人员系统访问权限混乱位居第3位。面对新技术发展趋势，医疗机构将面临新的挑战，受访单位的安全期望前三位

2、依次是：76%的受访单位认为保证复杂的医疗事务大数据安全，60%认为保证智慧化医疗流程、结果、“物-物交互”的安全，57%认为需要标准化的安全控制指南,5,数据来源：东软对外发布数据至上，业务安全-2017年医疗行业信息安全调查报告,医疗行业相关信息安全规范管理,6,中华人民共和国网络安全法信息安全技术网络安全等级保护基本要求新版互联网医疗保健信息服务管理办法国际标准化组织（ISO）发布的ISO17090：2008卫生信息-公共要素信息结构,安全合规是虚拟化云计算场景首要考虑因素,应允许云服务客户设置不同虚拟机之间的访问控制策略；应保证当虚拟机迁移时，访问控制策略随其迁移；应提供开放接口或开放

3、性安全服务，允许云服务客户接入第三方安全产品或在云平台选择第三方安全服务。应实现不同云服务客户虚拟网络之间的隔离应具有根据云服务客户业务需求自主设置安全策略集的能力，包括定义访问路径、选择安全组件、配置安全策略；应能检测到云客户虚拟机发起的网络攻击行为,GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/T22239-XXXX信息安全技术网络安全等级保护基本要求适用范围：凡是承载等保业务的云平台均受约束,上升为法律:网络安全法网络安全法将网络安全等级保护变更为基本制度，基本国策，上升为法律。第二十一条国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度要求

4、，履行安全保护义务。第三十一条，国家对关键基础设施，在网络安全等级保护基础上，实行重点保护。,如何防御？,8,黑客发现漏洞,利用漏洞制作病毒，勒索软件,发起零日攻击,大规模感染，公众发现,安全厂家研制补丁和识别码,厂家发放布丁,用户安装补丁，识别码,DayZero,典型黑客攻击与防御,WindowofVulnerability安全真空期,9,9,SourcefromHongKongHospitalAuthority,11,攻击如何发生的？,UnconstrainedcommunicationLittleornolateralcontrolsinsideperimeter,Lowpriority

5、systemsaretargetedfirst.,Attackerscanmovefreelyaroundthedatacenter.,101101001101010010100000101001110010100,Attackersthengatherandexfiltratedataoverweeksorevenmonths.,Internet,DataCenterPerimeter,12,INTERNET,DATACENTER,DATACENTERPERIMETER,数据中心的安全威胁,Proliferationofdevicesaccessingthedatacenter,yetnot

6、allaresecured,移动用户,桌面工作站,虚拟桌面远程登录用户,MOBILEWORKERSHAVEBROADACCESSTODATACENTERRESOURCES,SECUREENDUSER,NSX实现软件定义数据中心云安全虚拟化平台CloudSecurity,14,INTERNET,DATACENTER,DATACENTERPERIMETER,虚拟机之间的“零信任”信息安全隔离,Extendmicro-segmentationouttosecuretheenduserdevice,Mobiledeviceinthefieldorathome,Laptopordesktopatwork

7、orhome,VDIatabranchorremotelocation,MICRO-SEGMENTATIONLIMITSDEVICEACCESSTOONLYWHATISNEEDED,SECUREENDUSER,15,面向业务的安全隔离Maintainthatlevelofconsistentsecurityacrossanentireapplication,MICRO-SEGMENTATION,Modernappstodayaredistributedinnature,WEB,DB,SecurityneedstoreachbeyondanindividualVM,EachVMistypical

8、lypartofalargerapplication,16,小王(财务部),小张(人事部),HRFinanceEmailSharePoint,ApplicationResources,HumanResources,Finance,虚拟桌面工作站,基于用户身份识别的信息安全隔离,BusinessvalueMoresecureand1/3thecostoflesssecureinfrastructure,建立前-中-后360度全方位立体防御,Deliveringinherentlysecureinfrastructure,DataCenterPerimeter,Internet,DMZ,Secur

9、eUserEnvironments,Securitypoliciessimplified,Logicalgroupsenabled,Threatscontained,ZeroTrustModel,DMZAnywhere,18,日常安全管理,19,做好三件事,端到端的可视化故障排除,实时的数据中心整体健康报告,基于业务安全微分段的分析，评估和策略,AcrossVirtual,PhysicalandCloud,20,主动式的监控管理,信息安全的监控与数据分析SecurityAnalyticandNetworkVisibilityforPhysicalandVirtualNetwork,21,Sou

10、rcefromHongKongHospitalAuthority,虚拟机服务器,传播途径,病毒恶意代码勒索软件,零信任安全模型,安全微分段,VMware数据中心安全方案Eco-SystemPartnerSolutions,安全监控与分析软件,面对未知的安全威胁防御方法,NSX架构扩展性：广泛的合作伙伴生态系统,基于NSXNETX集成的第三方分布式vNGFW实现,VMwareNSX分布式防火墙与非NSX技术对比,NSX分布式内核防火墙：分布式内核态，每主机20Gbps+无需引流，无网络hop，部署运维简单丰富的VM属性，简化Fw策略部署支持跨DC，VC，站点统一安全策略管理、部署、迁移NSX部署无拓扑依赖，ip可达即可NSX平台不仅安全，支持更多的使用场景,非NSXvm-based防火墙：虚拟机形态部署，vds夹层，性能低复杂的vlan及vds