人民医院网站上云方案.docxVIP

一、项目综述 株洲市人民医院始建于1953年5月，位于市 荷塘区的繁华 闹市区，医院位于市中心繁华的新华西路，是集医疗、教学、科研、康复于一体的大型三级综合性医院，交通便利，是荷塘区医疗中心、河东地区主要医疗机构。随着株洲市人民医院（后简称为人民医院）的实力与口碑的不断提升，作为宣传窗口的门户网站对于医院的重要性不言而喻，同时公安部门也对于医疗系统的信息安全提出了更高的要求。人民医院计划将原本托管的门户网站迁移至云上，进一步提升网站的可扩展性及安全性，保障官网的稳定运行。而如何达到公安要求的等级保护三级水平，如何尽量减少网站迁移带来的业务中断，如何更新网站备案信息，本次方案将进行详细的阐述。 本方案针对人民医院的特点，提供一种完整、可靠、经济的云上部署方案。在中国联合网络通信有限公司（后简称联通）的行业云平台上为人民医院提供云计算服务，保证网站的顺利部署与运行；提供云存储服务来实现数据的实时存储与调用；提供虚拟路由、虚拟私有网络、云安全等服务进行数据分发、隔离与保护，保障业务的连续性；同时联通作为运营商，为人民医院提供最优质的网络资源。 二、需求分析 目前，人民医院已将网站托管至株洲在线的数据中心内，该数据中心已达到等保二级水准，离公安部门要求的等保三级还存在一定差距。由于等级保护额要求主要分为以下四个大类：系统安全、技术安全、管理安全及物理环境的安全，除去网站本身的系统安全外，湖南联通将为人民医院提供包括平台技术安全、管理安全及物理环境安全的一揽子方案。 三、具体方案 （1）云化优势 云通过虚拟化实现数据中心硬件资源的统一复用，依据云应用的资源情况，主动调整、调度资源分配，支持根据应用要求快速配置资源。同时，服务可扩展性优秀，既适应业务的扩展需求，也适应容量及用户的扩展需求。相较于紧耦合的、垂直化的应用系统采用的独占硬件资源、独占数据库系统、独占中间件系统的方式，云平台各业务系统共享硬件资源和软件资源，实现松耦合的架构，有效降低成本，同时减少兼容风险。同时，资源地理是分布式的，使用者获得的能力、服务与位置无关，同时接入的地域不受限制，接入的终端兼容性好，轻松实现广接入、广调用、广发布。 （2）云安全设计 为达到等保三级水准需要满足近290+条要求，包含且不限于以下标准（部分重点列出）： 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径。 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。 应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别。 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。 应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。； 故本方案在整体架构设计时，将在云安全放在重点规划的部分，通过详细比对等保三级要求，配置以下云安全产品组合： 大类 子类 类别 云安全 云防火墙 端口控制 云负载均衡 优先级控制 云堡垒机 访问控制 DDoS防御 抗DDoS 漏洞扫描 漏洞扫描 网页防篡改 Web防护 网站应用防护 Web防护 主机防御 IPS 杀病毒 趋势杀毒 VPN 安全访问 （3）管理安全设计 物理访问控制： 机房出入口应安排专人值守，控制、鉴别和记录进入的人员； 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围； 应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域； 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。 机房出入证 在严格物理访问控制的前提下，为人民医院方运维人员提供机房出入证，方便运维人员进、出机房。拥有畅通机房设备进出申请流程、人员进出申请流程，方便人民医院正常的机房建设、运维工作。 巡逻及监控 对非授权访问进行控制防护;对数据中心进行24小时保卫巡逻，机房内外进行7x24小时监控;采用先进的门禁系统对安全区域人员的进出实行集中监控。 防盗窃和防破坏 可以将设备与机柜进行固定，并设置明显的不易除去的标记。 各机柜应该有规范和安全的通信电缆管道。 设置监控报警系统和防盗报警系统。 日常隐患排查 通过IDC