醫(yī)院虛擬化系統(tǒng)安全防護(hù)解決方案介紹PPT課件

1、醫(yī)院虛擬化系統(tǒng)安全防護(hù)解決方案未雨綢繆 防護(hù)先行12345醫(yī)院信息化建設(shè)背景虛擬化技術(shù)在醫(yī)院的應(yīng)用虛擬化技術(shù)簡介虛擬化面臨的風(fēng)險虛擬化安全防護(hù)解決方案目錄CONTENTS醫(yī)院信息化建設(shè)背景醫(yī)院信息化建設(shè)醫(yī)院信息化系統(tǒng)建設(shè)，從以管理流程信息化為出發(fā)點(diǎn)的HIS（醫(yī)院信息系統(tǒng)），跨越到以圍繞患者診療流程信息化的CIS（臨床信息系統(tǒng)），再到連接院外區(qū)域性衛(wèi)生醫(yī)療信息互通，醫(yī)療信息化建設(shè)實(shí)現(xiàn)了從個體到整體、從局部到廣域的發(fā)展，內(nèi)涵與功能得到強(qiáng)化，服務(wù)范圍不斷延伸。醫(yī)院信息化發(fā)展的三大主要驅(qū)動力不斷增長的醫(yī)療服務(wù)需求信息醫(yī)療技術(shù)的發(fā)展國家醫(yī)療保健政策引導(dǎo)HIS醫(yī)院信息管理系統(tǒng)支持醫(yī)院的行政管理與事務(wù)處理業(yè)

2、務(wù)，輔助醫(yī)院管理，輔助高層領(lǐng)導(dǎo)決策，提高醫(yī)院的工作效率、效益。主要模塊門診系統(tǒng)物品和資產(chǎn)管理系統(tǒng) 住院系統(tǒng)管理和決策系統(tǒng)計價收費(fèi)信息系統(tǒng)財務(wù)核算管理系統(tǒng)藥房管理信息系統(tǒng)CIS醫(yī)院臨床信息系統(tǒng)CIS以患者為中心，以醫(yī)生臨床診療行為為導(dǎo)向，借助多種軟件應(yīng)用系統(tǒng)整合患者臨床診療數(shù)據(jù)，完成電子化匯總、集成、共享。主要模塊電子病歷系統(tǒng)住院醫(yī)生、護(hù)士工作站住院系統(tǒng)門急診醫(yī)生工作站系統(tǒng)重癥監(jiān)護(hù)信息系統(tǒng)手術(shù)麻醉信息系統(tǒng)LIS檢驗(yàn)實(shí)驗(yàn)室管理系統(tǒng)RIS放射科信息系統(tǒng)PACS影像存檔與通訊系統(tǒng)醫(yī)院除了HIS MIS LIS PACS等主要系統(tǒng)之外，還有大大小小60多種小的應(yīng)用系統(tǒng)醫(yī)院信息系統(tǒng)架構(gòu)標(biāo)準(zhǔn)規(guī)范體系信息安全

3、防護(hù)體系網(wǎng)絡(luò)通信平臺：有線網(wǎng)、無線網(wǎng)、設(shè)備網(wǎng)、布線、通信硬件平臺：服務(wù)器、存儲、備份、廣播、監(jiān)控、排隊叫號軟件平臺：操作系統(tǒng)、數(shù)據(jù)庫、中間件、開發(fā)工具、系統(tǒng)工具機(jī)房能源平臺：UPS(不間斷電源）、精密空調(diào)、動環(huán)監(jiān)控、門禁、防雷、消防醫(yī)院信息基礎(chǔ)設(shè)施平臺消息傳輸數(shù)據(jù)交換數(shù)據(jù)整合服務(wù)集成流程整合管理監(jiān)控醫(yī)院信息整合平臺信息目錄庫基礎(chǔ)信息庫業(yè)務(wù)信息庫臨床文檔庫ODS對外服務(wù)信息庫數(shù)據(jù)倉庫交換信息庫智能管理數(shù)據(jù)庫醫(yī)院信息資源中心電子病歷HISLISPACS全院級病人主索引服務(wù)OA系統(tǒng)醫(yī)院業(yè)務(wù)協(xié)同應(yīng)用醫(yī)院管理輔助決策支持臨床輔助決策支持區(qū)域衛(wèi)生應(yīng)用其他醫(yī)院信息應(yīng)用系統(tǒng)外網(wǎng)公眾服務(wù)門戶內(nèi)網(wǎng)信息門戶醫(yī)院門戶

4、平臺CIS醫(yī)院信息基礎(chǔ)架構(gòu)面臨的挑戰(zhàn)IT系統(tǒng)“煙囪式”建設(shè)一臺服務(wù)一個應(yīng)用，cpu內(nèi)存利用率不到30%，造成資源浪費(fèi)業(yè)務(wù)系統(tǒng)上線周期長新業(yè)務(wù)系統(tǒng)部署周期太長，難以適應(yīng)快速變化的醫(yī)院業(yè)務(wù)需求能耗問題日漸突出IDC研究表明，數(shù)據(jù)中心的電力與維護(hù)成本逐年增加，占總體IT預(yù)算的2/3機(jī)房機(jī)柜空間有限數(shù)據(jù)中心機(jī)房空間面積受限，業(yè)務(wù)擴(kuò)張困難專業(yè)運(yùn)維人員有限導(dǎo)致IT服務(wù)響應(yīng)緩慢，增加人員受編制和預(yù)算限制虛擬化技術(shù)在醫(yī)院的應(yīng)用醫(yī)院信息基礎(chǔ)架構(gòu)虛擬化降低投資成本虛擬化前虛擬化后節(jié)省大約30%70%的費(fèi)用提高服務(wù)器管理效率關(guān)鍵任務(wù)傳統(tǒng)方式虛擬架構(gòu)部署一個新的服務(wù)器3 - 10 天硬件采購1 - 4 小時 部署5

5、10分鐘部署新服務(wù)器（采用模板和部署向?qū)В┯布S護(hù)1 - 3小時維護(hù)窗口數(shù)天/周的變更管理準(zhǔn)備零宕機(jī)硬件升級（采用VMotion） 移動服務(wù)器優(yōu)化負(fù)載4 - 6小時 遷移所有維護(hù)窗口內(nèi)，服務(wù)中斷數(shù)天/數(shù)周的變更管理準(zhǔn)備2 5分鐘，無服務(wù)中斷（采用VMotion） 通過虛擬化確保系統(tǒng)高可用對所有的應(yīng)用實(shí)現(xiàn)了高可用性，并且成本很低不需要完全一致的重復(fù)硬件比傳統(tǒng)的集群有更高的成本優(yōu)勢，同時易于使用和操作虛擬化技術(shù)簡介虛擬化，是指通過虛擬化技術(shù)將一臺計算機(jī)虛擬為多臺邏輯計算機(jī)。在一臺計算機(jī)上同時運(yùn)行多個邏輯計算機(jī)，每個邏輯計算機(jī)可運(yùn)行不同的操作系統(tǒng)應(yīng)用程序都可以在相互獨(dú)立的空間內(nèi)運(yùn)行而互不影響，從而顯

6、著提高計算機(jī)的工作效率虛擬化使用軟件的方法重新定義劃分IT資源可以實(shí)現(xiàn)IT資源的動態(tài)分配、靈活調(diào)度、跨域共享，提高IT資源利用率使IT資源能夠真正成為社會基礎(chǔ)設(shè)施，服務(wù)于各行各業(yè)中靈活多變的應(yīng)用需求。什么是虛擬化技術(shù)虛擬化技術(shù)帶來的優(yōu)勢分區(qū)在一臺物理機(jī)上運(yùn)行多種操作系統(tǒng)充分利用服務(wù)器資源隔離和安全每個虛擬機(jī)都和其他的相互獨(dú)立操作系統(tǒng)、注冊信息、應(yīng)用程序和數(shù)據(jù)文件都完全的隔離資源優(yōu)化改變了游戲規(guī)則不間斷的優(yōu)化零宕機(jī)維護(hù)快速重置虛擬化關(guān)鍵技術(shù)CPU虛擬化在硬件層面，虛擬化的難點(diǎn)就在于CPU，CPU通過執(zhí)行指令來完成計算，而CPU虛擬化就要實(shí)現(xiàn)把虛機(jī)內(nèi)部的指令放到物理CPU中執(zhí)行內(nèi)存虛擬化把物理機(jī)的

7、真實(shí)內(nèi)存地址統(tǒng)一管理并包裝成多個虛擬的物理內(nèi)存，分別供多個虛機(jī)使用，使每個虛機(jī)擁有獨(dú)立的的內(nèi)存空間，要求VMM要掌握地址的轉(zhuǎn)換關(guān)系IO虛擬化I/O虛擬化使得I/O設(shè)備可以應(yīng)對虛擬化的使用場景，為不同的虛擬機(jī)提供驅(qū)動和通道網(wǎng)卡虛擬化CPU、I/O的虛擬化目的是讓不同的虛擬機(jī)共享服務(wù)器資源，而在使用上互相隔離。而網(wǎng)卡的虛擬化除了實(shí)現(xiàn)隔離，還要保證虛擬機(jī)的互通性。虛擬化特性（vMotionvHA vDRS）VMware HA是什么?VMware HA就是發(fā)生服務(wù)器故障是在其他的物理服務(wù)器上自動重啟虛擬機(jī)客戶優(yōu)勢對所有的應(yīng)用實(shí)現(xiàn)了高可用性，并且成本很低不需要完全一致的重復(fù)硬件比傳統(tǒng)的集群有更高的成本優(yōu)

8、勢，同時易于使用和操作資源池XVMotion是什么?通過VMware VMotion可以實(shí)現(xiàn)虛擬機(jī)的動態(tài)遷移, 而服務(wù)不中斷客戶優(yōu)勢零宕機(jī)時間: 進(jìn)行有計劃的服務(wù)器維護(hù)和升級遷移工作負(fù)載，資源利用率最大化服務(wù)器的持續(xù)可用性, 完整的交易集成支持Fibre Channel和iSCSI SAN環(huán)境以及NASx86 ArchitectureVMware ESX Serverx86 ArchitectureVMware ESX ServerVMotion遷移虛擬機(jī)SAN、iSCSI或NASDRS是什么?跨資源池動態(tài)平衡計算資源基于預(yù)先設(shè)定的規(guī)則智能分配資源對客戶的優(yōu)勢基于業(yè)務(wù)優(yōu)先級分配IT資源簡化運(yùn)行

9、，大幅度提高系統(tǒng)管理員的生產(chǎn)率動態(tài)添加硬件資源而避免在繁忙時段服務(wù)器的過載動態(tài)硬件維護(hù)能力資源池業(yè)務(wù)需求主流虛擬化架構(gòu)ESXi HypervisorVMware ESXi是Vmware Vsphere的嵌入式hypervisor。它是一種具有高級資源管理功能高效、靈活的虛擬主機(jī)平臺。Xen HypervisorXen是一個開放源代碼虛擬機(jī)監(jiān)視器，由劍橋大學(xué)開發(fā)，提供了一組特征集，可實(shí)現(xiàn)x86、 PowerPC 和其他CPU架構(gòu)的虛擬化，以及包括Windows、Linux和其他各種客戶操作系統(tǒng)。Hyper-V Hypervisor微軟的Hyper-V已經(jīng)成為VMware 的一個重要的競爭對手。H

10、yper-V缺少VMware豐富的產(chǎn)品線所提供的眾多高級特性，但是其與Windows緊密集成。KVM Hypervisor從Linux 2.6.20開始內(nèi)核中已經(jīng)開始集成KVM。Linux 2.6.20之后的Linux發(fā)行版本的內(nèi)核中都將KVM作為基本的hypervisor，所以KVM在易用性和穩(wěn)定性上更好。虛擬化面臨的風(fēng)險虛擬環(huán)境面臨的威脅感染虛擬機(jī)的病毒和漏洞相繼出現(xiàn)2012年7月，第一個可感染VMware的病毒Crisis出現(xiàn)。該病毒可以感染VMware的映像磁盤文件，通過VMware工具將自身復(fù)制到虛擬機(jī)中，劫持和竊取虛擬機(jī)數(shù)據(jù)。名為“毒液（VENOM）”的QEMU漏洞使數(shù)以百萬計的虛

11、擬機(jī)處于網(wǎng)絡(luò)攻擊風(fēng)險之中，該漏洞可以造成虛機(jī)逃逸。QEMU是一個指令級模擬器的自由軟件實(shí)現(xiàn)，被廣泛用于各大GNU/Linux發(fā)行版。傳統(tǒng)物理主機(jī)威脅“完美平移”至虛擬化中虛擬化技術(shù)改變了傳統(tǒng)的IT架構(gòu)，主機(jī)粒度從物理服務(wù)器為單位向虛擬機(jī)單位轉(zhuǎn)變- 虛擬機(jī)繼承物理主機(jī)應(yīng)有的所有服務(wù)屬性（計算、存儲、對外服務(wù)）- 虛擬機(jī)單位相比與物理主機(jī)，其數(shù)量呈指數(shù)級增長- 虛擬機(jī)“完美”保留物理主機(jī)上的所有安全威脅虛擬化技術(shù)的出現(xiàn)帶來全新的主機(jī)安全問題虛擬化技術(shù)優(yōu)化了相同硬件資源下的生產(chǎn)力，同時引入更多新型的威脅- 采用傳統(tǒng)的服務(wù)器主機(jī)安全方案已經(jīng)無法解決這類新型威脅- 傳統(tǒng)的服務(wù)器主機(jī)安全方案無法滿足虛擬化

12、環(huán)境對性能、對調(diào)度的嚴(yán)苛要求- 虛擬化安全技術(shù)的研究滯后于虛擬化生產(chǎn)力技術(shù)的發(fā)展和應(yīng)用虛擬化安全風(fēng)險病毒木馬破壞感染虛擬機(jī)傳統(tǒng)殺毒軟件導(dǎo)致性能黑洞虛擬機(jī)漏洞被黑客入侵利用基于實(shí)體補(bǔ)丁的漏洞修復(fù)時常引起業(yè)務(wù)中斷淪陷虛擬機(jī)感染其它虛擬機(jī)大部分攻擊蔓延都來自虛擬機(jī)之間的互相攻擊“灰色地帶”的東西向流量傳統(tǒng)邊界設(shè)備無法感知虛擬機(jī)之間的流量異常異構(gòu)型虛擬化平臺統(tǒng)一監(jiān)管難多個平臺多套管理手段導(dǎo)致內(nèi)部安全基準(zhǔn)不統(tǒng)一裸奔的虛擬化層易受攻擊黑客已經(jīng)將觸手伸到虛擬化層，而我們還在裸奔虛擬化安全風(fēng)險傳統(tǒng)安全手段無法應(yīng)對虛擬化新興威脅虛擬化的安全風(fēng)險90%跟虛擬主機(jī)有關(guān)Host serverServiceHOSTHy

13、pervisorAPPVMWindowAPPLinux對外業(yè)務(wù)接口虛擬機(jī)對虛擬機(jī)進(jìn)行攻擊感染 - 惡意掃描 - 側(cè)信道攻擊 - 病毒木馬感染外界對虛擬主機(jī)開放接口進(jìn)行攻擊 - WEB攻擊、SQL Injet、XSS等 - DDos攻擊 - 暴力破解虛擬機(jī)攻擊虛擬化層，達(dá)到逃逸目的 - 逃逸攻擊（毒液） - 拒絕服務(wù)攻擊 - 指令漏洞攻擊虛擬機(jī)自身的安全風(fēng)險 - 病毒木馬感染 - 系統(tǒng)、應(yīng)用漏洞 - 安全配置缺陷虛擬化安全防護(hù)解決方案Host serverServiceHOSTHypervisorAPPWindowAPPLinuxAPPWindow防病毒防火墻入侵防御安全基線防暴力 破解Webs

14、hell檢測主機(jī)流量統(tǒng)計虛擬化加固一體化客戶端虛擬化安全管理平臺1231 安全管理平臺遠(yuǎn)程安裝客戶端至虛擬主機(jī)上，客戶端拉取控制中心策略，并上載日志2 一體化客戶端實(shí)現(xiàn)（主機(jī)防病毒、主機(jī)防火墻、主機(jī)入侵防御、webshell 檢測、安全基線、防暴力破解、虛擬化加固、主機(jī)流量統(tǒng)計等功能；3 安全管理平臺通過虛擬化平臺導(dǎo)入平臺內(nèi)虛擬機(jī)資源進(jìn)行統(tǒng)一安全管理和安全狀態(tài)跟蹤一體化的虛擬主機(jī)安全解決方案主機(jī)防病毒 - 云環(huán)境下的僵、木、蠕、毒的防護(hù) - 系統(tǒng)關(guān)鍵位置保護(hù) - 系統(tǒng)未知威脅的主動防御主機(jī)防火墻 - 提供云主機(jī)間的訪問控制 - 基于IP、端口、協(xié)議、方向的流量識別 - 實(shí)現(xiàn)主機(jī)的策略綁定，無視漂移主機(jī)入侵防御 - web攻擊、SQL注入等攻擊抵御 - 提供0-day漏洞快速防護(hù) - 系統(tǒng)及主流應(yīng)用漏洞防護(hù)系統(tǒng)加固 - 檢查云主機(jī)安全配置風(fēng)險并修復(fù) - 云主機(jī)安全基線評估 - 云主機(jī)系統(tǒng)防暴力破解 - 惡意虛擬化文件監(jiān)控阻止Webshell檢測 - 主機(jī)的業(yè)務(wù)多引擎集成掃描 - 主機(jī)的惡意webshell、后門等檢測基于AGENT的高級安全防護(hù)方