醫院遠程運維整體解決方案

一、醫院遠程運維的痛點：

目前遠程運維，均需要通過第三方軟體（如TeamViewer、QQ遠程等），存在的諸多限制和安全隱患如下：

1、時效限制：必須有人在信息科或機房現場開啟遠程軟體，才能進行遠程運維，人不在、下班後、節假日期間不易開啟遠程運維，不能進行業務系統的實時故障解決；

2、安全風險：進行業務系統的實時故障解決，傳統的方式是固定一台電腦通過雙網卡實現內網外互聯進行遠程運維，安全風險極大，易造成攻擊、不可控、無序接入醫院內網。

3、泄密風險：傳統的方式通過互聯網遠程時，傳輸的數據均是客戶內網的私密數據，數據在互聯網傳輸的安全無法保障，易造成泄密風險。

4、審計限制：遠程運維人員在無審計、無監控情況下進行運維，如果出現非法統方，竊取數據、刪除數據、造成誤操作等行為均無法追責。

二、安全可控整體解決方案

架構圖

使用SSL VPN加密遠程運維設備，運維人員可隨時通過（簡訊認證、主從賬號綁定、硬體特徵碼綁定）等多種靈活認證方式接入網路，從而實現了運維人員和其需要維護的系統和設備建立了一個及時、高效、安全、可視、可控的運維平台。

接入醫院內部網路後，可與醫院內部的安全設備（堡壘機、網閘、防火牆等）進行聯動，保障遠程運維的安全性，可回溯性。

三、方案優勢

讓業務系統的接入更加安全：

1、 提升黑客仿冒身份成本：提供8種身份認證方式，您可以根據業務需求，採用3種以上的組合身份認證方式，如用戶名/密碼+終端特徵碼+簡訊驗證碼認證等

2、 防止黑客控制終端：提供PC端安全檢查機制，PC不符合安全規定則禁止接入網路；提供全院的移動管理解決方案，檢查終端的安全狀態，並根據判定的結果對移動終端進行遠程鎖定或者數據擦除

3、 訪問許可權最小化：提供基於URL授權的細粒度訪問許可權控制，讓用戶只能訪問同一台Web伺服器上的有限頁面，防止非法接入用戶找到SQL注入漏洞頁面；

4、 行為記錄、展示及回溯：詳細記錄接入用戶的訪問行為，確保用戶的訪問過程可追溯

5、 加密演算法有效性：根據不同業務的安全級別，提供AES、3DES、RSA、RC4、MD5及國密SM1、SM2、SM3、SM4等加密演算法進行選擇，保障數據的安全性。

讓運維過程可視化

1、 同時提供統一字元終端管理平台、統一圖形終端管理平台、統一帶外運維平台、統一WEB運維平台、統一資料庫運維平台、統一企業應用運維平台；

2、 滿足數字化醫院評審、等保、IT內控、SOX、COBIT等法案法規合規性要求；

3、 規範管理，梳理管理數據流和業務數據流，做到對管理數據流進行操作審計，解決安全管理領域「人」的問題。

4、 解決操作管理、重要應用、機密資料安全審計難題，通過「操作機」將使用者電腦變為「瘦客戶機」，避免使用者電腦通過網路直接接觸重要應用和機密資料，降低木馬、間諜、內部安全威脅。

5、 建立統一資源操作管理平台，完成伺服器集群統一操作管理。管理行為不再「隨時隨地」，操作審計不再「若有若無」，用戶行為不再「無法無天」，管理員從此擺脫網路管理「黑匣子」時代，對伺服器上管理行為「瞭然於胸」。

6、 操作審計方案完備，解決審計「死角」，解決圖形審計難題，解決伺服器間跳轉操作（WINDOWS跳轉到UNIX）進而逃避審計行為，不留審計漏洞，惡意用戶無法逃避監控。

7、 支持多種認證方式，本地認證、AD域認證、Radius認證、數字證書等；支持對高危操作命令的阻斷和告警，有效控制運維操作帶來的風險；設置用戶的系統登錄策略，包括限制登錄IP、登錄時間段、埠、賬號等策略，以確保可信用戶可訪問其擁有許可權的後台資源，實現對運維行為的控制。完成對第三方代維、系統集成商現場施工的規範化管理，防範外來風險

8、 如果發生事故，快速、準確的進行責任鑒定和安全事件追溯，採取補救措施

9、 準確審計資料庫SQL操作語句，防範ORACLE、SYBASE、MS SQL、INFORMIX、DB2等資料庫安全風險

作者：四川博世科技信息產業有限公司-信息安全技術中心

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！