数据什么叫安全模式

南京军区"医云工秽,安全管理模式的研究与实践心自信旧林亚忠①韩雄吴光珍①许敏②马锡冲③陈一君④薛以锋⑤摘要目的针对军区医院"医云工程"的安全现状,探讨符合医院信息安全管理的新模式.
方法通过分析、比较传统与云平台不同环境下安全的差异性特点,总结医院云安全管理面临的新挑战.
结果建立以软件定义为主、硬件为辅的信息安全管理新模式,确保"医云工程"的信息安全.
结论建立符合云计算平台的安全管理模式是确保"医云工程"平稳落地的重要保证.
关键词云计算医云工程信息安全管理模式,一即.
一飞,,一,,一飞、,.
即缪、、一.
、一漩""丘飞一飞一丘一一"'`飞、飞、一、、、.
、缪`〕,,角一,、仁、、、、一、飞黔,二,,,缪,.
玛,,,飞,罗,民引言随着区域医疗及医院信息化建设的深入,传统架构相对医院对数据高可用性、服务高连续性、运维高效性需求,已力不从心,导致下资源不断向业务的后期维护倾斜,而较少用于支持信息化战略'生工作和创新.
"医云工程"通过对原有信息资源的优化整合,在提供业务系统的弹性需求和数据的动态存储等方面发挥明显优势,越来越受到认可和关注川.
而云平台下信息安全问题的解决直接关系到"医云工程"能否在医院扎根,制约着医院`医云工程'】的实施进程.
因此,如何确保云平台下包括服务器、网络、存储及数据的安全,将是现阶段医院云平台建设要解决的重要课题之一.
基金项目南京军区卫勤专项课题一基于云计算的医院信息技术平台的构建与研究编号《通讯作者南京军区联勤部卫生部信息中心高级工程师,,江苏省南京市明故宫号①解放军第医院信息科厦门大学附属东南医院信息科,,福建省津州市漳华中路号②厦门大学计算机与科学系,,福建省厦门市思明南路号③南京军区南京总院信息科,,江苏省南京市中山东路加号④解放军第医院信息科,,江苏省无锡市兴源北路号⑤解放军第医院信息科,,江苏省南京市马路街号"医云工程"信息安全特点及面临管理模式转变云计算通过对所有软件、数据进行整合和集成,对计算资源进行集中和优化,从而解决系统与软件间的兼容问题,使不同的业务系统更有效地分享服务器的尸、内存及带宽,提高医院信息化应用及管理水平,逐步实现向软件定义的数据中心转变.
这种转变一方面有利于信息资源的优化及调配,使信息安全管理从分散式向集中式转变另一方面也导致对系统的安全性、稳定性、完整性把握更为复杂,因此,对云平台安全管理模式的研究应根据该平台的安全特点展开,只有提供一个客观、可靠的安全保证,才能确保云平台在医院顺利实施.
云计算环境下的服务器安全特点传统模式下,医院信息系统通常是专机专用,一个系统往往由一台或多台服务器完成,这种模式下的安全故障仅影响该系统的局部业务.
而基于云平台的业务系统由于被迁入集群里,不管是单台物理主机还是虚拟主机出现故障,在冗余情况下一般不会对业务的连续性造成影响,一旦发生安全故障,影响却是致命的.
与之相对应,传统安全防护的一个重要原则是基于边界的安全隔离与访问控制,其很大程度依赖于各区域间有明显、清晰的区域边界,强调针对不同安全区域设置有差异化的安全防护策略在云平台下的防护,由于没有传统清晰的区域边界,取而代之的是存储和计算资源的高度整合,各种服务器都可能同存在一台宿主机上,使传统靠区域设备的安全防护在云平台下失去意义,因此传统的安全手段在云平台中的作用下降了.
另一方面,云环境下的安全也呈现一些新特点,如虚拟机逃逸和虚拟蔓延问题,攻击者只要利用分配的用户虚拟机,通过特殊指令即可获得整个虚拟化底层的根权限,甚至利用虚拟服务器关机状态下被感染或没被及时发现安全漏洞,对其他服务器进行感染.
另外对虚拟化的权限管理、审计、终端防毒问题,都将消耗大量计算机资源,甚至出现风暴现象,影响系统性能和稳定.
云计算环境下网络安全特点云计算环境下服务器之间的网络交互都是通过虚拟交换机而非外接物理交换机,因此,传统的安全设备,如防火墙、入侵检测和审计系统都很难在云平台下实现访问控制、审计及攻击检测.
对云客户端接入集群服务器,如按传统模式进行安全设置,不仅需要大量的安全设备、设定复杂的防火墙规则,且伴随不少间盲区而采用软件定义的安全管理模式方便实现隔离,如使用基于软件的防火墙,保护虚拟数据中心应用程序免受网络攻击,控制虚拟机间的网络通信,保护网络边缘安全,隔离端口组中的虚拟化网络效果明显采用支持虚拟化的防毒软件将其代理任务转移到虚拟安全设备上,通过不断更新防病毒签名,为虚拟机提供持续保护利用管理程序从外部扫描客户机虚拟机,在优化内存情况下更有效地避免资源使用瓶颈等.
因此,可以认为传统网络安全手段在云安全中的作用下降了,而通过软件定义的安全却得到了增强.
云计算环境下数据安全特点传统医疗数据通常存放在各自物理服务器自带的存储空间上,通过安装备份代理软件实现对数据的备份,即使数据瘫痪也可对备份数据实施恢复,不易影响其它系统的正常运行.
云平台下所有数据全部存放到高性能的共享存储上,如存储瘫痪,将影响整个数据中心,巨文件内容已不再是原本的实体文件而是虚拟机文件,传统的备份手段将无法满足恢复要求.
因此,如何保护云数据中心的数据安全,建立一个完善的云数据备份机制,建立包括硬件物理容错和软件数据备份的云平台,在充分考虑跨系统的自动备份同时实现数据的零丢失,是当前"医云工程"安全管理的重中之重.
"医云工程"信息安全的实施与应用云平台下的信息安全呈现出与传统不同的特点,在安全部署方面,不仅要考虑传统的基础架构,更应考虑以虚拟化技术为支撑的信息安全来构建云安全防护体系.
安全保护的核心也逐步从基础的信息安全风险管理转向数据中心的安全管理,目由于云平台中计算池、存储池、安全池、桌面池的安全大部分可在数据中心的安全中体现,而数据中心的安全架构正逐步向以软件为主、硬件为辅的方向发展.
因此,云安全将集中在以虚拟化为基础、软件定义的云数据中心上.
云数据中心基础安全云数据中心的基础安全包括网络安全和架构安全.
其中,网络安全由、虚拟机防火墙、边界防火墙、防病毒虚拟机等组件完成.
这类安全从最底层的虚拟化软件防护做起,利用软件自带日丫防火墙实现自我保护,以免受玫击,且支持软件的在线升级通过实现网络跨越物理边界,无需配置底层物理硬件,无需规划闪及管理其数量的剧增问题通过虚拟机防火墙实现对虚拟机的隔离和保护,消除虚拟机监控盲区通过边界防火墙保护数据中心的边缘安全并提供网关服务通过防泄漏功能提供敏感数据的保护通过防病毒虚拟机集中调度扫描任务,避免杀毒风暴现象也可通过接口与第三方安全软件结合,共同组成云基础网络安全.
在架构安全方面,需考虑服务器、业务交换机、交换机及存储的冗余问题.
在设计云数据中心之初,不能简单地考虑需要多少资源就采购多少硬件,而要根据允许最大宕机数来计算实际物理服务器数,以确保平台的稳定性为防止业务交换机的单点故障,应至少采用两台交换机进行虚拟化,将其端口聚合后连接到核心交换机,以确保网络的稳定性和带宽为实现存储的多路径管理,应对交换机进行冗余,以确保服务器与存储可靠通讯.
云数据中心容灾与备份数据中心的数据安全是云信息安全的核心,为应对不可抵抗的突发灾难,需对云数据中心做好异地容灾和备份.
容灾是确保即使一个数据中心遭受灾难后,其它数据中心能正常运行并自动接管所有业务,因此必须对包括网络、服务器、存储在内的所有信息资源进行适度容灾.
在云数据中心的设计上应立足长远、规划好建设目标,有计划、按步骤、分阶段实施.
在核心交换机的虚拟化方面,应对主、从机房的核心交换机进行虚拟化,使其逻辑上按一个交换机来管理应严格将每个楼宇的汇聚层交换机链路分别连接到生产和容灾机房的核心交换机上,且链路走向路径不同,以确保容灾效果,避免各种可能的意外,从而导致业务中断.
在服务器虚拟化方面,应充分考虑虚拟机的冗余度,虽然生产机房和容灾机房在正常情况下是通过各自数据中心的虚拟机达到负载均衡,实现对计算和旧承载的均摊,但容灾的目的是考虑到某个机房在突发情况下服务器宕机,或因其它因素导致服务器停止对外服务等极端情况下,所有业务能被其它机房的虚拟机正常接管并服务,因此虚拟机的冗余度应以单个机房虚拟机能独立承载所有业务的长期不中断为标准.
在存储虚拟化方面,可以利用存储网关技术,确保所有数据实时写入所有数据中心的存储上,由于这些存储上存放的数据一模一样,即使部分存储失效,对上层应用是透明的,不会对业务服务构成威胁.
这种云平台下的容灾建设,通过数据中心的负载平衡,替代传统冷热数据中心切换,实现了云平台的双活、多活数据中心,方便数据中心的自动灾难恢复.
容灾做到了数据中心的高可用性,而在应用中,由于种种原因导致数据的逻辑错误或误操作,仅靠数据中心的容灾是无法解决时间点的恢复问题,而应对数据中心进行备份.
可利用云数据中心自动免代理软件,实现备份重复数据删除,适时进行测试性的恢复,及时检查备份数据的有效性.
我院云数据中心的建设是分阶段实施.
起初只有一个中心机房,配置有日尸刀箱一个、一存储两个、核心交换机日一两个.
第一阶段,对核心交换机和刀片服务器进行虚拟化,利用底层旧日日任同步复制技术实现存储的镜像.
第二阶段,针对前阶段一旦主存储宕机后,需手动挂载备用存储到刀片服务器及切换时间过长等缺点,采购了第二刀箱,利用日技术实现备用刀箱自动挂载存储,节省停机时间.
第三阶段,建立容灾机房,利用尸技术实现异地的双活数据中心,利用四日实现数据中心备份,实现虚拟机异地的动态迁移和数据中心的负载均衡.
虚拟桌面的安全验证虚拟桌面的应用安全是云安全必须考虑的另一环节.
用户通过使用域集成的身份验证、动态密码机或智能卡完成身份验证后,根据证书、尸管理等策略分配用户使用权限.
在公网上,可利用安全加密链路技术、技术或网闸设备以强化用户的安全隔离与验证,也可利用软件的进行指纹验证,从而确保云桌面使用的安全.
我院虚拟桌面的安全管理在医院内网划分不同的安全等级,分别采用域集成的身份验证、丫登录验证及指纹验证,或其混合验证,从而保证医院不同用户使用虚拟桌面的合规性.
在内网安全的基础上,公网的安全增加和网闸,并部分结合基于值的软件控制等措施,实现公网访问医院内部数据的安全.
云安全的实时监控针对云平台中各类信息资源相对集中,界线模糊不清现状,给云数据中心的运维和管理带来困难和不利,利用插件三个独特的可视化维度指标,实时监控云数据中心的性能,全面、直观地把握云数据中心网络池、计算池、存储池等信息资源的使用情况及趋势,实现对跨虚拟机、集群和服务器的性能诊断,最终形成智能化的建议,以提升对云安全的主动管理能力.
总结"医云工程"在提升医院信息化管理及应用水平同下转第页,程,是护理管理者应该思考和落实的问题.
小结移动护理系统的应用使护理管理更加严谨规范,由定性管理向定量管理转变,由经验管理向科学管理转变,以数据资料为依据,实行对个人、科室、全院护理工作绩效考评,合理调配人力资源',充分体现了现代护理管理的水平.
然而,移动护理信息系统在国内医院应用刚刚起步,各家医院根据各自需求和信息开发情况不同所应用的领域各不相同,导致不同医院应用移动护理信息系统没有统一、固定的模式,没有标准的护理程序,而护士对使用的具体感受和体验也不得而知.
这些问题需要护理管理者在今后的工作中逐一解决,使移动护理信息系统更好地服务临床,节省护理资源,提高护士工作效率.
令参考文献一一一碳彗张海川,王盼卿,陈家文,等基于的装备保障领域信息系统集成研究微计算机信息,,分一张翠霞移动护理系统质量控制的方法与体会川护理学报,,哟一曲华,宋振兰,朱永健,等移动护士工作站在手术室护理工作站中的应用中华护理杂志,川以一日陈英,陈丽君,彭伟萍,等掌上电脑在护理工作中的应用护士进修杂志阳,一李志悦手持设备在临床移动信息系统的应用田医学信息,,一`囚李丽,冯威,苏晓静掌上电脑在医院信息系统中护理工作的作用现代护理,场,一李众移动护士工作站临床工作管理与效果田华北国防医药,〔,'一朱士俊一医疗质量管理发展现状及展望叶解放军医院管理杂志,,川加一网陈君英,章雅杰信息系统促进护理质量持续改进的研究与应用田中华护理杂志,,一川陈君英,马红丽,丁稚芳计算机在护理质量管理中的应用现代护理,理,一】陈君英,马红丽网络化护士长手册的应用中华护理杂志,一阴张军红、顾超基于移动数字技术的病区护理管理解放军医院若理杂志,加乃一弓李苏红,任爱玲,薛晓英,等与移动护士工作站在临床护理工作中的应用与发展川,护理学杂志,加一叫曾霓,吴欣娟,李包罗,等,用于病人床旁的信息采集田中华医院份理杂志,》,`,三一,习刘理燕例涉及医患纠纷争议案的原因分析中国实用护理杂志,,,川王玲勉、孙娟、薛晓英,等移动护士工作站在临床护理工作中的开发与应用川中华护理杂志,,一张晓华,吕艳,郊春芳移动护士作站在临床护理工作中的应用川全科护理,,`一樊小玲护理管理与医院信息化建设川护理管理杂志,,一丘付丽华,王燕,张慧茄,等实施移动护理工作站的实践与思考护理研究,州,三一【收稿日期一一】责任编样赵士洁上接第页时,也冲击医院传统的信息安全.
通过分析、比较云平台下的安全特点,探讨并建立以软件的定义为主、硬件为辅的信息安全管理新模式,指导对数据中心和虚拟桌面的安全建设,有利于军区医院'`医云工程"顺利开展.
令参、脚—飞易马锡冲韩雄,史兆荣,等南京军区医云工程"建设需求分析中国数字医学,一林亚忠,吴光珍,许敏,等南京军区"医云工程"实施中的问题与对策田中国数字医学,,一董建锋,装立军,王兰英云计算环境下信息安全分级防护研究口信息网络安全,一斗,,,一,.
.
、.
飞.
.
.
虚拟数据中,`构建指南叫姚军,译北京机械工业出版社加【别张小平,李纪真,张凤琴等基于云计葬的数据中心安全体系研究与买现计算机工程与设计,川,`,三一`,,陈一君、韩雄,马锡冲南京军区"医云工程"技术架构体系引中国数字医学,,州助一获【比稿日川一一洲责任编辑赵士洁