《方案讲解演示版_供应宝实施部署方案防火墙1.docx》由会员分享,可在线阅读,更多相关《方案讲解演示版_供应宝实施部署方案防火墙1.docx(8页珍藏版)》请在第一文库网上搜索。
1、供应宝实施部署方案北京东软望海科技有限公司2016年10月一、实施背景1二、实施方案12.1 网络拓扑12.2 方案介绍12.3 软硬件需求22.4 安装及网络配置3三、望海供应宝安全保障机制43.1 基础架构安全53.1.1 网络安全53.1.2 主机安全53.1.3 虚拟化安全53.2 应用安全53.2.1 发布控制53.2.2 异常检测63.2.3 DDoS防护63.3 身份/访问安全63.4 数据安全6VPc专有网络一、实施背景供应宝是东软望海最新研发的一款打通耗材供应商与医院内部物流系统的产品,支持医院物资采购部门与供应商之间购销协同,物流协同,财务协同,保证信息传递的及时性,准确性
2、,降低沟通成本,提高供应链运营效率。二、实施方案2.1 网络拓扑XXXX供应宝实施部署图望海供应宝XXXX医院-前置机到供应宝:开放前置机(192.168.20.201)向供应宝*域名的80SS口的访问授权.二供应宝到前置机:开放供应宝正式稗(60.205.9.154)及实施环境(60.205.130.133)向前置机(192.168.20.201)的812贷口的访问权限。三 .前置机到H-ERP:开放削国机PatMa件(192.168.20.201)向H-ERP(10.1.1.44)的1433摘口的访问授权.四 .HER吧!前JS机:开放H-ERP向前置机文件同步服务器(192.168.20
3、.201)的873端口的访问授权.2.2 方案介绍整个部署方案包含三部分,院内网,医院数据交换区(DMZ),望海供应宝服务。为了实现院内网与外网的安全数据传输,在医院数据交换区(DMZ)的前置机上部署PATH交换平台,建立院内网与外网之间的可控数据安全传输通道。前置机通过防火墙访问院内网的院内物流系统,通过配置IP白名单+数据加密的授信方式,与供应宝对接确保安全。供应商使用望海供应宝SaaS服务,通过Https安全加密访问望海供应宝与医院完成数据传输。并经过安全防护层过滤/保护,具体见安全保障章节。PATH交换平台(端口缺省为811):其通过所在的前置机外网网卡与供应宝实现网络连接。Path交
4、换平台同时访问供应宝端口以及接收供应宝请求。其服务端口缺省为811(可通过配置进行修改,需通过防火墙配置白名单向供应宝暴露该端口)。医院物流系统:物流系统除了原有物流相关功能外,再借助PATH交换平台与供应宝进行数据交换,增加供应商协同管理相关功能。供应宝:供应宝是供应链协同管理的载体,其通过互联网技术打通医疗机构与供应商间的信息通道,实现供应链信息的高效协同,撮合供应链端信息交互和需求对接,降低沟通成本、保证信息的及时性、准确性,提高运营效率。2.3 软硬件需求院方需要准备:1、1台前置机服务器2、1个院内外网IP(院内通常有固定的院内外网IP)3、2台防火墙(院内通常会有1台防火墙)4、还
5、有内外网环境,网线,交换机等(通常医院具备这些条件)5、医院信息中心的全力配合具体设备清单:序号设备名称设备参数数量单位备注1应用防火墙IU机架式结构;默认包括1个可插拨的扩展槽和4个10/100/IOOOBASE-T接口;含1年特征库升级服务。内含WEB攻击防护模块、1台必须WEB漏洞扫描模块、DDOS攻击防护模块、网站应用交付模块、数据智能分析模块并发连接50万吞吐率800MbPS2前置机CPU:16核内存:32G硬盘:1T*3(Raid5)操作系统:Windows2008网卡:双网卡,千兆1台必须3操作系统win2008R264位1套必须4微软数据库SQ1SERVER2008R21套必须
6、5微软办公套件0ffice2007办公套件1套必须6其它外网IP一个、网线、交换机等若干必须公司需要准备:1、已经签约并回款的合同;2、准备供应宝PATH安装程序;3、指定项目经理,做项目实施预算,并提前联系院方准备【院方所需准备】的内容,待院方准备就绪后,即可到现场进行实施,包括软件部署,内外网联调,用户培训,系统上线使用;2.4安装及网络配置以XXXX医院为例:A、硬件部分:硬件具体要求见上文配置清单表。B、网络部分:1 .内网IP:10.1.1.44/255.255.255.02 .院内外网IP:192.168.20.201/255.255.255.0/172.16.1.1/DNS222
7、.74.1.2003.公网IP:通过防火墙将院内外网IP192.168.20.201映射到公网IP-1.180.53.*:812C、软件环境部分:1 .操作系统:win2008R264位2 .数据库:SQ1SERVER2008R23 .PATH程序:供应宝版本4 .OffiCe2007办公软件、UE、QQ、远程控制软件5 .供应宝PATH【用于和供应宝云端链接与交互数据】【安装在DMZ区上】供应宝PATH安装路径:D:PATH供应宝PATH数据库名:PATH_BTEFY用户名:sa密码:*用户名:sa1密码:*供应宝PATH登录地址:http1.180.53.*:812供应宝PATH程序登录:
8、用户名:admin密码:*三、望海供应宝安全保障机制供应宝是望海云平台之上的一个软件应用云服务,东软望海云服务平台基于阿里云构建,重视安全建设,在基础架构、应用系统、身份/访问、数据安全等方面建立了科学规范并行之有效的安全管理机制,重视软硬环境安全建设,并将持续投入以保障东软望海云服务的安全稳定运行。安全服务架构主要分为:a)基础架构安全;b)应用安全;c)身份/访问安全;d)数据安全;3.1 基础架构安全3.1.1 网络安全网络层面的安全控制包括网络访问控制(如防火墙),传输数据加密(如SS1、IPSec),安全事件日志,基于网络的入侵检测系统/入侵防御系统(IDS/IPS)等。3.1.2
9、主机安全主机(服务器和存储)层面的安全控制包括主机防火墙、访问控制、安装补丁、系统巩固、强认证、安全事件日志、基于主机的入侵检测系统/入侵防御系统等终端安全控制包括BYOD设备分类、数据安全分级、访问控制策略和设备管理策略,保证任何时间和任何地点的安全接入和威胁防护。3.1.3 虚拟化安全虚拟化层面的安全控制提供包括虚拟机的安全隔离、虚拟机镜像安全管理、虚拟化环境下的通信安全、虚拟化和物理安全设备的统一管理等技术。东软望海云服务平台把对外提供服务的云服务网络和支撑云服务的物理网络进行安全隔离。通过网络AC1确保云服务网络无法访问物理网络。东软望海云服务平台采取网络控制措施防止非授权设备私自联到
10、云服务内部网络,并防止云服务物理服务器主动外联。3.2 应用安全3.2.1 发布控制东软望海云服务平台严格按照安全开发生命周期方法开发云平台及云服务产品,目标是将信息安全融入到整个软件开发生命周期中。只有经过安全测试,并且得到安全审核报告许可后,系统才能发布到线上环境,以防止产品携带安全漏洞在生产环境运行;发布过程按照安全上线规范对系统进行整体加固。3.2.2 异常检测东软望海云服务平台部署了WEB入侵异常检测引擎,可分析和识别各类已知和变形的应用攻击,实时查询安全态势,支持部署灵活及虚拟补丁防护。3.2.3 DDoS防护东软望海云服务平台使用DDoS防护系统保护所有数据中心,自动检测、调度和
11、清洗,保证云服务平台网络稳定。3.3 身份/访问安全东软望海云服务平台通过运维管理平台进行统一管理,采取严格的访问控制、职责分离、监控审计来确保账号安全。东软望海云服务平台使用统一的账号管理和身份认证系统管理员工账号生命周期。基于员工工作岗位和角色,遵循最小权限和职责分离原则,授予员工有限的资源访问权限。3.4 数据安全东软望海云数据安全体系从数据安全生命周期角度出发,采取管理和技术两方面的手段,进行全面、系统的建设。通过对数据生命周期(数据生产、数据存储、数据使用、数据传输、数据传播、数据销毁)各环节进行数据安全管理管控,实现数据安全目标。在数据安全生命周期的每一个阶段,都有相应的安全管理制度以及安全技术保障。运行在东软望海云服务平台上的开发者、公司、政府、社会机构的数据,所有权绝对属于客户;东软望海云服务平台不得将这些数据移作它用。平台方有责任和义务,帮助客户保障其数据的私密性、完整性和可用性。东软望海云服务运维人员未经客户许可,不得以任意方式访问客户未经公开的数据内容。东软望海云服务平台遵循生产数据不出生产集群的原则,从技术上控制了生产数据流出生产集群的通道,防止运维人员从生产系统拷贝数据。