APP安全建设办法修订版

A P P安全建设办法

集团标准化小组：[VVOPPT-JOPP28-JPPTL98-LOPPNN]

医院服务窗

安全建设方案

2014年9月

目录

一、医院服务窗背景介绍

随着3G、4G时代的到来，大家越来越习惯使用智能手机来查询、和商户的互动。来自中国互联网络信息中心（CNNIC）的《2013中国互联网络发展状况统计报告》显示，截至2013年底，中国手机网民规模达到约4.6亿人，占整体网民的比例达到78.5%。

而最近几年，互联网在快速颠覆和改变很多传统行业，包括零售、通讯、医疗等行业。医院作为特殊的事业单位，涉及到13亿中国人的福祉，但一直存在“挂号难”“看病难、看病贵”“医生劳动与回报”突出的问题，之所以出现这种状态是由于两方信息的不对称，医患不融合。我们知道，解决任何双方矛盾的根本是平台的建设，只有双方在一个平台中共同努力，协调利益，才能有效解决问题。

目前支付宝将对医疗机构开放自己的平台能力，包括账户体系、移动平台、支付及金融解决方案、云计算能力等，通过支付宝钱包中的服务窗可以提供患者与医院交流的一个公众服务平台。这也就为医院提高就医体验，掌握病人就医行为提供了可能；也为医院将更优质的服务通过互联网提供给病人提供了可能。

医院服务窗正是基于支付宝钱包服务窗向患者提供的医疗服务平台。在这个平台上患者及其家属可以通过服务窗自助完成预约挂号、诊间支付以及查看患者感兴趣的信息，使医院和患者之间就建立了一种信任关系，进一步增加了患者对医院的信赖感和黏度，从而达到和谐医患关系的目标。

二、医院服务窗网络安全解决方案

医院服务窗的终端用户（病友及访客）是通过互联网来访问医院服务窗的IIS服务器获取信息，由于医院服务窗的IIS服务器位于医院内部网络且需要向医院的核心服务器HIS服务器提取相关数据，整个数据链路涉及内网及外网，为降低数据流被意外安全事件中断的机率，保证整个业务高效，流畅地运转，现为相关数据流设计如下网络安全防护体系。

下图是医院服务窗系统在应用过程中一个典型的安全防护设备部署拓补图。医院服务窗的终端用户通过各种移动设备（智能手机、智能平板等）经过互联网向IIS服务器查询数据。数据流会先经过安全设备的第一道门槛-防火墙，然后再经防病毒网关到达第二道门槛-WEB应用防护设备到达IIS服务器。IIS服务器得到请求后会根据终端要求查询的内容向HIS核心服务器提取相关数据，这时数据流会经过安全防护设备的第三道门槛-网闸到达HIS服务器。在医院内部核心交换机处还有一个安全防护设备-IDS来保证监视整个医院内部网络的攻击行为或异常现象为快速排错及故障定位提供保障。以上提到的各种安全设备层层防护，相互补充，在最大程度上保证了整个医院服务窗及网络系统的安全应用。各设备的具体防护功能及特性将在后面的章节详细介绍。产品部署网络拓扑图如下：

三、安全设备效果及性能简介

3.1防火墙

防火墙部署于医院内部网络与互联网边界处，是整个网络安全防护的基础实施。主要对需要访问医院服务窗IIS服务器的外部用户经行访问控制，起到对于网络层数据流和攻击的防御。同时在蠕虫病毒大爆发的时候可防止外部用户将其感染到本安全域之内，造成更大更严重的损失。

防火墙按性能可分为万兆、千兆、百兆三大类，其中千兆及百兆应用最为普遍。万兆高端防火墙主要应用于ISP及大型骨干网中，中端千兆防火墙主要应用于企事业单位，百兆的低端防火

墙主要针对桌面级应用。如医院网络边界处已有防火墙设备则此处不用考虑。

3.1.1设备技术参数

3.2网闸

网闸的部署至关重要。它部署在IIS服务器与HIS数据库之间。因为用户通过IIS服务器向HIS数据库提取数据时，无论在安全性还是保密性的角度来看，网闸的部署进一步提升了安全的等级，到达物理隔离。两个网络之间没有任何物理连接，没有任何网络协议可以直接穿透。并可以实现“协议落地、内容检测”，这样，既从物理上隔离、阻断了具有潜在攻击可能的一切连接，又进行了强制内容检测，从而实现最高级别的安全。有效的将两网之间实现了安全隔离与业务数据安全、可靠的交换。通过这种部署方式，可以为访问提供更高的安全性保障。确保核心数据库在对外提供数据时不被攻击、篡改、破坏。

安全隔离信息交换系统（网闸）该产品是利用网络隔离技术的访问控制产品，处于网络边界，连接两个或多个安全等级不同的网络，主要应用于对重点数据提供高安全隔离的保护。

国家保密局对安全隔离与信息交换类产品的应用也做了规定，规定安全隔离与信息交换系统在以下四种网络环境下应用：

不同的涉密网络之间；

同一涉密网络的不同安全域之间；

与Internet物理隔离的网络与秘密级涉密网络之间；

未与涉密网络连接的网络与Internet之间。

3.3入侵检测（IDS）

在安全防护系统中，若不良来访者被允许访问，它会对用户网络做出令网络管理者无法控制的事情，如果系统配备了入侵检测（IDS），这种破坏性行为将被抑制。我们知道，网络总是要提供服务的，对于一些常用的服务如浏览和E-mail收发等，防火墙只做到允许或者拒绝各种各样访问者访问这些服务，无法判定具有攻击行为的访问是否会摧毁防火墙。这就好像门卫难以判定每个来访者是办事者还是偷窃者一样。如果墙角(或其他什么位置)安装了微型摄像机，能够监视来访者的一举一动，保安人员便可以根据来访者的行为及时发现不法分子，及时报警，确保办公与居住人员的安全。我们在核心交换区域部署IDS监听设备，在此位置，它在不影响整体网络业务性能的情况下，能监听到所有访问业务服务器区域和内网区域的所有行为举动，若有异常行为可联合防火墙等进行安全联动，阻断非法行为，同时为我们出现问题后的事后取证与行为还原提供了充分的依据。

3.3.1设备详细技术参数

3.4Web应用安全防护——WAF

WAF（WebApplicationFirewall）工作在应用层，提供专业的针对医院服务窗IIS服务器Web 应用的防护，提供Web应用交互内容以及Web页面中代码漏洞的检测防御和Web2.0时代动态网站的应用防护，通过执行应用会话内部的请求来处理应用层，它专门保护Web应用通信流和所有相关的应用资源免受利用Web协议或应用程序漏洞发动的攻击。WAF可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击，一些强大的应用安全网关甚至能够模拟代理成为基于web的应用服务器接受应用交付，部署与所有基于web应用的服务器群签名，形象的来说相当于给原web应用服务器群加上了一个安全的绝缘外壳。WAF针对常见的Web业务系统，提供综合的Web应用安全解决方案，确保用户Web业务风险最小化。

WAF通过对进出Web应用服务器的http流量相关内容的实时分析检测、过滤，来精确判定并阻止各种Web应用攻击行为，阻断对Web应用服务器的恶意访问与非法操作，如SQL注入、XSS、Cookie篡改以及应用层DoS攻击等，有效应对网页篡改、网页挂马、敏感信息泄露等安全问题。系统使用主动实时监测过滤技术，将恶意代码、非授权篡改、应用攻击等众多威胁进行综合防范，从而做到对医院服务窗对外提供服务的IIS应用服务器的多重保护，确保IIS应用安全的最大化，充分保障IIS应用的高可用性和可靠性。

通过部署一台WAF管理多个独立的Web应用，各Web应用可采用不同的安全策略，可以在不修改用户网络架构的情况下增加新的应用，为多元化的Web业务运营机构提供显着的运营优势与便利条件，可以实时配置修改多个后台Web系统，而无需让Web系统下线。

3.4.1设备技术参数