方案讲解演示版_供应宝实施部署方案网闸.docx

《方案讲解演示版_供应宝实施部署方案网闸.docx》由会员分享，可在线阅读，更多相关《方案讲解演示版_供应宝实施部署方案网闸.docx（10页珍藏版）》请在第一文库网上搜索。

1、供应宝实施部署方案北京东软望海科技有限公司2016年10月一、实施背景1二、实施方案12.1 网络拓扑12.2 方案介绍12.3 软硬件需求22.4 安装及网络配置4三、望海供应保安全保障机制53.1 基础架构安全63.1.1 网络安全63.1.2 主机安全63.1.3 虚拟化安全63.2 应用安全73.2.1 发布控制73.2.2 异常检测73.2.3 DDoS防护73.3 身份/访问安全73.4 数据安全7一、实施背景供应宝是东软望海最新研发的一款打通耗材供应商与医院内部物流系统的产品，支持医院物资采购部门与供应商之间购销协同，物流协同，财务协同，保证信息传递的及时性，准确性，降低沟通成本

2、，提高供应链运营效率。二、实施方案2.1网络拓扑XXXX供应宝实施部署图前省机判供应宝：开放前置机(192.168.20.201)向供J宝Fmarthrpiom域名的80误口的访问授权.二供应宝到前置机：开放供应宝正式环境(60.205.9.154)及实施环境(60.205.130.133)向前(192.168.20.201)0981湍口的访问权限.三.前为机到内同Path(数据同步)：开放前置机Path组件(192.168.20.201)向内网Path组件(10.1.1.44)的1433信口的访问授权作数Ig同步.四、内网Path到前腾机微岖同步)开放内网PathS件(10.1.1.44)向

3、前置机PathS件(192.168.20.201)的1433端口的访问授权作数据同步.五、内网Path到前身机(文件同步)：开放内网Path向前机文件同步IK亮部(192.168.20231)的14100露口的访问授权.2.2 方案介绍整个部署方案涉及五部分，医院核心内网、网闸、医院数据交换区(DMZ)、医院外网防火墙、望海供应宝服务。为了实现医院核心内网与外网的安全数据传输，在院内网与医院数据交换区（DMZ）之间部署网闸，依托网闸的数据及文件复制功能，实现PATH内网交换平台与PATH外网交换平台进行数据交互。同时,通过配置防火墙IP白名单及数据加密传输的方式，与供应宝进行数据交互确保安全。

4、建立起核心内网与外网之间的可控数据安全传输通道。供应宝：供应宝是供应链协同管理的载体，其通过互联网技术打通医疗机构与供应商间的信息通道，实现供应链信息的高效协同，撮合供应链端信息交互和需求对接，降低沟通成本、保证信息的及时性、准确性，提高运营效率。供应商通过HTTPS安全加密访问望海供应宝与医院完成数据传输。并经过安全防护层过滤/保护，具体见安全保隙章节。医院外网防火墙：通过配置防火墙IP白名单策略，实现对PATH外网交换平台与供应宝的数据交换高安全性。PATH外网交换平台：其通过所在的前置机外网网卡与供应宝实现网络连接。PATH交换平台负责访问供应宝服务以及接收供应宝数据请求。同时通过网闸实

5、现与医院核心内网中的“PATH内网交换平台”进行数据及文件的同步。网闸：DMZ区前置机通过网闸物理隔离转换与医院核心内网中的PATH内网交换平台的数据交换。PATH内网交换平台：对接医院HRP院内物流系统数据交换，同时通过网闸实现与PATH外网交换平台数据及文件的同步。医院物流系统：物流系统除了原有物流相关功能外，再借助PATH交换平台与供应宝进行数据交换，增加供应商协同管理等相关功能。2.3 软硬件需求院方需要准备：1、1台前置机服务器2、1台网闸（目前建议用网闸，比较安全，我们也有成功案例）3、1个院内外网IP（院内通常有固定的院内外网IP）4、1台防火墙(院内通常会有防火墙)5、还有内外

6、网环境，网线，交换机等(通常医院具备这些条件)6、医院信息中心的全力配合具体设备清单:序号设备名称设备参数数量单位备注1应用防火墙IU机架式结构；默认包括1个可插拨的扩展槽和4个10/100/IOOOBASE-T接口；含1年特征库升级服务。内含WEB攻击防护模块、WEB漏洞扫描模块、DDOS攻击防护模块、网站应用交付模块、数据智能分析模块并发连接50万吞吐率800MbPS1台必须2前置机CPU：16核内存：32G硬盘：IT*3(Raid5)操作系统：Windows2008网卡：双网卡，千兆1台必须3网闸整体吞吐量：6(X)Mbps;系统内部延时：2ns；系统整体延时：40Us；物理架构：2+1

7、隔离架构，断开TCP/IP连接，隔离部件为基于ASIC设计的芯片1台必须4操作系统win2008R264位1套必须5微软数据库SQ1SERVER2008R21套必须6微软办公套件0ffice2007办公套件I套必须7其它外网IP一个、网线、交换机等若干必须公司需要准备：1、已经签约并回款的合同，如免费则不需要;2、准备供应宝PATH安装程序；3、指定项目经理，做项目实施预算，并提前联系院方准备【院方所需准备】的内容，待院方准备就绪后，即可到现场进行实施，包括软件部署，内外网联调，用户培训，系统上线使用；2.4 安装及网络配置以XXXX医院为例：A、硬件部分：硬件具体要求见上文配置清单表。B、网

8、络部分：1 .内网IP:10.1.1.44/255.255.255.02 .院内外网IP：192.168.20.201/255.255.255.0/172.16.1.1/DNS222.74.1.2003.公网IP：通过防火墙将院内外网IP-192.168.20.201映射到公网IP-1.180.53.*:812C、软件环境部分：1 .操作系统：win2008R264位2 .数据库：SQ1SERVER2008R23 .PATH程序：供应宝版本4 .Office2007办公软件、UE、QQ,远程控制软件5 .供应宝PATH【用于和供应宝云端链接与交互数据】【安装在DMZ区上】供应宝PATH安装路径

9、：D:PATH供应宝PATH数据库名：PATH_BTEFY用户名：sa密码：*用户名：sa1密码：*供应宝PATH登录地址:http1.180.53.*:812供应宝PATH程序登录：用户名：admin密码：*安装网闸如：【伟思信安安全隔离与信息交换系统V6.51配套的【伟思信安数据库同步系统】和【伟思信安文件同步管理器】，这二个系统的详细配置见厂商网闸操作手册。注意事项：1、【数据同步】分为4个方案：A内网到外网单向（源数据库由HRP服务器供应宝PATH向目标数据库前置机供应宝PATH）,B外网到内网单向（源数据库由前置机供应宝PATH向目标数据库HRP服务器供应宝PATH）,C内外网双向（

10、源数据库和目标数据库均可），D、2张表有主从关系的要单独建立同步方案（类似于A或B方案）。2、在创建源数据库与目标数据库时，创建数据和同步数据不能为同一个帐号，必须要在数据库中新建与SA有同样权限的用户（如SAI,SAGYB）03、在配置同步数据表时，必须要把表的主键做为同步的唯一标识。4、详细的配置见【伟思信安数据库同步程序操作手册】和【伟思信安文件同步服务程序使用说明书v10.5.1（1）1OD、医院内网HRP服务器上安装供应宝PAn1GYB【用于前置机的外网PATH和医院内网HRP服务器进行数据交换】内网PATH安装路径：E:GYBPATH内网PATH数据库名：PATH_GYB用户名：s

11、a密码：*用户名：sagyb密码：*内网PATH登录地址:http:192.168.1.*:812内网PATH程序登录：用户名：admin密码：*三、望海供应保安全保障机制供应宝是望海云平台之上的一个软件应用云服务，东软望海云服务平台基于阿里云构建，重视安全建设，在基础架构、应用系统、身份/访问、数据安全等方面建立了科学规范并行之有效的安全管理机制，重视软硬环境安全建设，并将持续投入以保障东软望海云服务的安全稳定运行。安全服务架构主要分为：a）基础架构安全；b）应用安全；c）身份/访问安全；d）数据安全；3.1 基础架构安全3.1.1 网络安全网络层面的安全控制包括网络访问控制（如防火墙），传

12、输数据加密（如SS1、IPSeC）,安全事件日志,基于网络的入侵检测系统/入侵防御系统（IDS/IPS）等。3.1.2 主机安全主机（服务器和存储）层面的安全控制包括主机防火墙、访问控制、安装补丁、系统巩固、强认证、安全事件日志、基于主机的入侵检测系统/入侵防御系统等终端安全控制包括BYOD设备分类、数据安全分级、访问控制策略和设备管理策略，保证任何时间和任何地点的安全接入和威胁防护。3.1.3 虚拟化安全虚拟化层面的安全控制提供包括虚拟机的安全隔离、虚拟机镜像安全管理、虚拟化环境下的通信安全、虚拟化和物理安全设备的统一管理等技术。东软望海云服务平台把对外提供服务的云服务网络和支撑云服务的物理

13、网络进行安全隔离。通过网络AC1确保云服务网络无法访问物理网络。东软望海云服务平台采取网络控制措施防止非授权设备私自联到云服务内部网络，并防止云服务物理服务器主动外联。3.2 应用安全3.2.1 发布控制东软望海云服务平台严格按照安全开发生命周期方法开发云平台及云服务产品，目标是将信息安全融入到整个软件开发生命周期中。只有经过安全测试，并且得到安全审核报告许可后，系统才能发布到线上环境，以防止产品携带安全漏洞在生产环境运行；发布过程按照安全上线规范对系统进行整体加固。3.2.2 异常检测东软望海云服务平台部署了WEB入侵异常检测引擎，可分析和识别各类已知和变形的应用攻击，实时查询安全态势，支持

14、部署灵活及虚拟补丁防护。3.2.3 DDoS防护东软望海云服务平台使用DDOS防护系统保护所有数据中心，自动检测、调度和清洗，保证云服务平台网络稳定。3.3 身份/访问安全东软望海云服务平台通过运维管理平台进行统一管理，采取严格的访问控制、职责分离、监控审计来确保账号安全。东软望海云服务平台使用统一的账号管理和身份认证系统管理员工账号生命周期。基于员工工作岗位和角色，遵循最小权限和职责分离原则，授予员工有限的资源访问权限。3.4 数据安全东软望海云数据安全体系从数据安全生命周期角度出发，采取管理和技术两方面的手段，进行全面、系统的建设。通过对数据生命周期（数据生产、数据存储、数据使用、数据传输、数据传播、数据销毁）各环节进行数据安全管理管控,实现数据安全目标。在数据安全生命周期的每一个阶段，都有相应的安全管理制度以及安全技术保障。运行在东软望海云服务平台上的开发者、公司、政府、社会机构的数据,所有权绝对属于客户；东软望海云服务平台不得将这些数据移作它用。平台方有责任和义务,帮助客户保障其数据的私密性、完整性和可用性。东软望海云服务运维人员未经客户许可,不得以任意方式访问客户未经公开的数据内容。东软望海云服务平台遵循生产数据不出生产集群的原则,从技术上控制了生产数据流出生产集群的通道,防止运维人员从生产系统拷贝数据。