一、云平台安全痛点
一是传统网络安全威胁仍然存在,如SQL注入、越权访问、数据泄露、数据篡改、网页篡改、漏洞攻击等,依然需要按照等保合规要求对业务系统进行全面安全保障。二是网络与信息系统的边界划分和防护、云主机的安全防护、租户的安全隔离、云内带宽抢占等引入了新的威胁和风险。
二、云平台安全建设
一是通过建立云安全管理控制平台为用户提供便捷的统一管理实现安全产品的统一管理、统一运维、灵活编排、安全策略自动下发等,同时使用虚拟化技术,把物理资源虚拟化为安全资源池,实现计算资源、存储资源、网络资源共享,满足用户多样化的云安全需求。二是利用安全资源池将传统物理的安全设备,如防火墙、IPS、WAF等以虚拟安全设备的形式,如vFW、vIPS、vWAF等分配到各个租户区域并提供网络安全服务。三是在云平台安全建设中,从管理和技术层面创新性地实现了隐私保护。四是将密码作为一种服务,为系统提供支持,同时建立完善的密钥管理体系,对密钥管理系统的生成、存储、分发、导入、导出、使用、备份、恢复、归档等环节进行管理和策略制定,实现云平台应用的各种密钥全生命周期的集中管理。五是依照国家第六级容灾的建设标准,依托当地政府和运营商的云计算中心,实现“两地四中心”建设,即建设主中心、本地双活中心、同城备份中心以及异地灾备中心。六是对云平台和云租户进行基于安全大数据的多维度监测,感知云平台整体业务和安全风险,最终形成云平台整体安全态势。
(摘录:中国数字医学)
////////////////////////////////////专家点评////////////////////////////////////
沈沛,蚌埠医学院第一附属医院信息中心副主任,高级工程师。安徽省科技成果转化促进会智慧健康专业委员会常务委员。 |
本文通过分析卫生健康行业云的安全痛点,从云平台安全体系、架构等方面进行了探索,对我省医疗机构使用云平台的安全等方面提供了参考和借鉴。然而云平台易于异地访问的优点同样使其更容易成为受攻击的高价值目标和风险点,且复杂的网络架构也使得安全风险更难以被事前定位和事后追溯,需要进行完善的安全体系设计,包括:1.完善的安全管理制度和安全责任认定制度以及安全考评;2.完善的安全能力建设,在平台中部署态势感知系统,并在每个边界处建立安全资源池,部署防火墙等安全设备;3.按照信息系统密码应用安全等级要求,对数据传输进行加密,做好容灾备份等方面严格落实,才能提升和完善云平台的整体安全,从外部攻击防御到内部安全管控多方面提升云安全水平,打造网络、主机、应用、数据多层安全保障的云基础环境。