Goldstar networks医疗行业网络安全解决方案
1. 医疗行业信息化网络面临的问题
随着医院等医疗行业信息化的不断发展,数字化已经成为了发展目标,目的是实现整个内部流程管理系统的无纸化、无胶片等,全面加速医院的办公、医疗效率,提升患者满意度。同时,医院的患者电子病历信息需要被保存5-20年,然而随着医院各种信息的网络化,在提升医院工作效率的同时也给患者的各种电子病历信息、医院管理信息系统带来了极大的安全隐患。作为涉及患者个人隐私及医院核心资源的各种信息在网络中传播,如何保障患者的电子病历的信息安全、保障相关信息只被合法用户安全的查看,是当今信息化医院建设中要考虑的重要条件。
Goldstar networks医院的业务运行在StarOS行业的网络平台上,该平台涉及大量不能公开的重要信息,考虑随之而来的安全问题提出需求如下:
只允许指定IP地址访问SQL数据库
对尝试访问SQL数据库主机的请求记录日志
解决ARP欺骗攻击
能够处理几十个客户端的并发请求
为了配合应用系统的远程维护,需支持IPSec VPN
2. Goldstar Networks医疗行业解决方案
2.1 为医院网络提供安全防护
StarOS系统将复杂的防火墙配置易用化,即便医疗行业的普通电脑操作员也能轻松配置和管理设备,对于医院内部需要保护的SQL、Web等主机,只需配置允许访问的IP即可使其得到安全防护;IP/MAC绑定功能可防止客户端擅改IP地址。
强大的抗攻击能力:Goldstar SR系列安全路由器具备高性能的数据吞吐率和并发连接数,可有效抵御来自内部网络和互联网的SYN Flood、DDoS等攻击行为。
防火墙对通过设备的访问请求进行日志记录,方便管理员审查。
基于安全域的访问控制:设备每个LAN口都可作为一个安全域,不同安全域之间的数据传输通过防火墙策略进行访问控制。医院的网络一般分为核心服务器区、财务人事区、员工区、领导区等,在如下图方式部署Goldstar SR设备后,一台设备就可为四个区域提供安全防护,区域之间通过策略控制。例如只允许员工区某IP段访问核心服务器区的SQL数据库和只允许领导区某IP访问财务服务器等,其他访问请求均被拒绝。
2.2 彻底防御ARP攻击
MAC+IP+PORT 360°全方位绑定
ARP欺骗探测和可疑主机分析报表
主动发送正确的ARP信息和交换端口隔离功能
首创加密ARP协议,彻底解决ARP攻击:运行安全客户端的PC与Goldstar设备之间通过基于身份认证的私有ARP协议来保证PC获得网关认证过的MAC地址。该协议基于PKI,其强大的反伪造和防重放机制使系统免受各种ARP变种攻击。安全客户端可自动安装,而对于没有安装客户端的PC,管理员可设置禁止其访问网络。
2.3 高性能满足医院业务并发请求
对于大型医院100至300点客户端的网络环境,Goldstar SR系列能够提供高达48G的内部背板交换带宽及2Gbps的防火墙吞吐能力,同时每秒3万的新建会话数可满足上千台客户端同时访问的压力。对于医疗行业来说,如此高性能的设备不仅满足当前需求,更为日后网络升级预留了足够多的空间。
2.4 带宽管理、协议优化、URL过滤等优化网络
基于网络协议的QoS:StoneOS可对识别的100多种网络协议进行带宽管理和优化,比如为HTTP/POP/SMTP等协议分配较大带宽保障和提高处理优先级,而将BT/迅雷等协议的使用带宽进行限制、降低处理优先级。基于IP的QoS:可对指定IP地址段设定共享带宽,或为范围内每一IP地址(基于上行/下行)设定最大可用带宽。
基于会话数的管理:通过对IP的会话数进行限制,可有效抑制P2P等多线程下载工具和病毒、攻击爆发所带来的高会话数威胁。弹性QoS技术可充分利用网络带宽并保持不同带宽用户之间的比例平衡。同时可对P2P(BT、迅雷、eMule等)IM(QQ、MSN等)软件进行管理,限制其登录或允许聊天禁止传输文件。
URL过滤功能可限制用户只能访问某些URL地址,或禁止访问某些URL地址。例如某些医院限制内部用户只能访问指定的与医疗相关的资讯网站,而其他请求均被拒绝访问。
2.5 与IT服务提供商或合作伙伴建立VPN隧道
Goldstar SA系列产品提供基于通用标准的IPSec VPN解决方案, 灵活的星型、网型部署方便服务提供商快速、稳定的通过加密隧道访问内部网络,防火墙根据预设策略确定是否通过,同时VPN的日志系统记录详细的身份认证、访问记录,基于Remote Access方式的SSLVPN方便外出员工、合作伙伴及远程维护如图1所示。
图1 基于Remote Access方式的SSLVPN方便外出员工、合作伙伴及远程维护
2.6 更多功能
SA系列的双机热备功能可保障网络高可靠性运行,即使有一台设备出现故障也不会导致网络中断,故障设备的会话自动由另外一台接管,终端用户的连接不会因故障而中断。
支持VLAN,支持RIP/OSPF/BGP等动态协议
可扩展防病毒模块和IPS入侵防御模块
多种部署模式:NAT、路由、透明模式
详细的日志记录和分析报表功能
