Аспекты безопасности медицинской информационной инфраструктуры.

XIII ежегодная специализированная конференция и выставка
«Информационные Технологии
в Медицине»
Аспекты безопасности
медицинской
информационной
инфраструктуры.
Опыт внедрения.
Глеб Немковский
Москва, 12 октября 2012
О КОМПАНИИ KRAFTWAY
Kraftway — крупнейшая российская производственная компания в сфере информационных технологий. Успешно работая с
1993 г., Kraftway заслуженно пользуется репутацией одного из признанных технологических лидеров компьютерного рынка
России. Спектр выпускаемой продукции под торговой маркой Kraftway чрезвычайно широк и включает персональные
компьютеры для бизнеса и дома, рабочие станции, терминальные системы, серверы, системы хранения данных, активные
контрольно-кассовые машины, мониторы, компьютерную периферию.
Одна из крупнейших российских ИТ-компаний, фокусирующаяся на рынке B2B;
Работает с 1993 г.;
Сертификация по международному стандарту ISO 9001 с 1996 г.
Сертификация по международному стандарту менеджмента услуг ISO/IEC 20000-1:2005
Оборот 6 млрд. руб. (2011);
Свыше 700 сотрудников;
Штаб квартира – Москва;
Две производственные площадки: опытное производство в г. Москва, основное производство в г. Обнинск
Уникальные производственные мощности;
Большой опыт реализации крупных интеграционных проектов
2
XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине»
•••
Москва, 11-12 октября 2012
Объекты информатизации
Проект по внедрению современных автоматизированных
информационных систем в здравоохранение Камчатского края
105 объектов из них только 26 в г. Петропавловск-Камчатский
9 районов (Алеутский, Быстринский, Мильковский, Елизовский, Соболевский, УстьБольшерецкий, Усть-Камчатский, Тигильский, Карагинский, Олюторский, Пенжинский)
разработка концепции по внедрению автоматизированных
информационных систем в здравоохранение Камчатского
края;
разработка и поставка аппаратного обеспечения ПТК ЛПУ
и общесистемного программного обеспечения ПТК ЛПУ;
создание единой системы записи к врачу в электронном
виде,
персонифицированного
учета
оказанных
медицинских услуг;
создание единой централизованной системы обмена
телемедицинскими данными, хранения и обработки
диагностической информации.
3
XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине»
•••
Москва, 11-12 октября 2012
КЛЮЧЕВЫЕ ХАРАКТЕРИСТИКИ МИС
Доступ к программному обеспечению МИС осуществляется через Интернет;
Программное обеспечение МИС развертывается в едином центре (дата-центре) в виде единого
программного ядра, с которым работают все медицинские учреждения;
Сопровождение и поддержка программного обеспечения МИС («qMS») выполняется централизованно;
Стоимость сопровождения и поддержки включается в стоимость арендной платы;
Обучение пользователей возможно через Интернет.
Сервера работают под управлением Microsoft Windows Server® 2008
4
XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине»
•••
Москва, 11-12 октября 2012
ОБЩАЯ СХЕМА ВЗАИМОДЕЙСТВИЯ (ИТ БЕЗОПАСНОСТЬ)
Крипто
маршрутизатор
Крипто
маршрутизатор
5
XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине»
•••
Москва, 11-12 октября 2012
ПОДСИСТЕМА БЕЗОПАСНОСТИ
Подсистема обеспечения безопасности и шифрования данных передаваемых по
общедоступным каналам связи.
Защищенная соединение по публичному каналу обеспечивается VIP Net координаторами,
туннель точка-точка (1 лицензия на один ЛПУ).
По защищенному туннелю проходит только одно VPN соединение. Данное соединение
обеспечивает связь Site to Site между ЛПУ и ЦОД.
VPN server в ЦОД, на него сходятся все соединения из всех ЛПУ.
VIP Net администратор и удостоверяющий центр в ЦОД.
Данная подсистема обеспечивает независимость внутренней инфраструктуры от настроек
системы обеспечения безопасности.
ЦОД и ЛПУ работают в одной подсети без привязки к физической
топологии, серверы VipNET, в этом случае, обеспечивают
защищенный канальный уровень.
6
XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине»
•••
Москва, 11-12 октября 2012
РЕГИОНАЛЬНЫЙ ЦОД
Подсистемы обеспечения инфраструктуры:
Подсистема обеспечения канала связи – VPN Server.
Подсистема доменов и каталогов пользователей реализованная на базе Microsoft ® Active Directory Service
Interfaces (ADSI).
Подсистема мониторинга IT инфраструктуры реализованная на базе Kraftway System Manager.
Подсистема обновления операционной системы Windows® 7 Профессиональная реализованная на базе
Windows Server Update Services.
Подсистема обновления антивирусного ПО.
Подсистема управления виртуальными машинами на базе Microsoft ® System Center Virtual Machine Manager.
Подсистемы ИТ безопасности:
Подсистема реализована на базе ПО Infotecs VipNet.
VipNet Coordinator
VipNet Administrator
VipNet Administrator Удостоверяющий и ключевой центр (УКЦ)
Подсистемы Медицинской информационной системы:
База данных Cache
Центральный сервер МИС «qMS»
Подсистемы Радиологической информационной системы:
База данных Microsoft ® SQL Server 2008
Центральный сервер распределенной PACS/RIS
Система хранения данных распределенной PACS/RIS
7
XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине»
•••
Москва, 11-12 октября 2012
ПОДСИСТЕМА ЛПУ
Подсистемы обеспечения инфраструктуры:
Подсистема обеспечения канала связи – VPN Client.
Подсистема доменов и каталогов пользователей реализованная на базе Microsoft ® Active Directory Service
Interfaces (ADSI).
Подсистема мониторинга IT инфраструктуры реализованная на базе Kraftway System Manager.
Подсистема группового управления терминальными станциями реализованная на базе Kraftway System
Manager.
Подсистема доступа терминальных серверов и балансирования нагрузки.
Подсистема управления виртуальными машинами на базе Microsoft ® System Center Virtual Machine Manager.
Подсистемы ИТ безопасности:
Подсистема реализована на базе ПО Infotecs VipNet.
VipNet Coordinator
Подсистемы Медицинской информационной системы:
База данных Cache
Локальный сервер МИС «qMS»
Подсистемы Радиологической информационной системы:
База данных Microsoft ® SQL Server 2008
Локальный сервер распределенной PACS/RIS
Система хранения данных локальной PACS/RIS
8
XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине»
•••
Москва, 11-12 октября 2012
ПОСТРОЕНИЕ СИСТЕМЫ
(в зависимости от количества рабочих сессий)
100 сессий
150 сессий
Варианты построения
системы в
зависимости от
количества сессий
(с возможностью
поддержки
удаленных
пользователей).
50 сессий
20 сессий
9
XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине»
•••
Москва, 11-12 октября 2012
Оборудование: Kraftway Credo VV20
Представляет собой полноценную рабочую станцию в миниатюрном исполнении. Может также исполнять роль
тонкого клиента, выполняя функции ввода информации и отображения рабочего стола.
Пассивное охлаждение в защищенном металлическом корпусе при очень низком энергопотреблении было
доведено до совершенства в собственном дизайнерском центре специалистами Kraftway. Тем не менее, модель
VV20 выполнена на высокопроизводительном процессоре со встроенной графикой, что позволяет ей без труда
исполнять роль универсального клиента. Доступность дополнительных внешних носителей определяется
административными настройками BIOS.
Операционная система
Подлинная Windows® 7 Профессиональная
Системная логика
Intel Atom
Системная шина, FSB MHz
1066
Процессор
Intel Atom 450 1,66ГГц
Память
DDR3, До 16GB. 2 SODIMM слота
Сеть
Gigabit Ethernet
Накопители
DOM, SSD, HDD,
Видеоадаптер
Intel GMA3150 (разрешение до 2048x1536)
Звуковой контроллер
Realtek ALC662
Блок питания
Внешний 150 Ватт
Корпус
202x52x133, экструдированный алюминий, с пассивным
охлаждением, в комплекте крепление на заднюю стенку
монитора.
1
0
XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине»
•••
Москва, 11-12 октября 2012
Оборудование: Kraftway Studio KM5
Эта модель имеет хорошее соотношение цена/производительность, высокую функциональность и в то же время
современный дизайн. ПК поддерживает многоядерные процессоры семейства Intel Core i3/i5 и память стандарта
DDR3, он легко справится с различными ресурсоемкими приложениями. Модель Kraftway Studio KM5x оснащена
интегрированным графическим адаптером Intel 2000/3000. Для подключения к корпоративной сети ПК оборудован
сетевым адаптером Gigabit Ehternet.
Операционная система
Подлинная Windows® 7 Профессиональная
Системная логика
Intel H61
Системная шина, FSB MHz
1066,1333
Процессор
Intel Core i3, Intel Core i5
Память
DDR3, До 16GB. 2 SODIMM слота
Сеть
Gigabit Ethernet
Накопители
До 2 HDD
Оптический привод
Встроенный DVDRW, опция
Беспроводные сети
Встроенный модуль WiFi 802.11 b/g/n, опция
Блок питания
Внешний 150 Ватт
Корпус
Настольный моноблочный корпус с встроенным
монитором с диагональю 21,5”
11
XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине»
•••
Москва, 11-12 октября 2012
11
Оборудование: Kraftway Studio BL11
Специализированное решение для информатизации неподготовленных объектов.
Высоко интегрированная серверная система в малошумящем исполнении.
Функциональная насыщенность и высокая плотность вычислений делают Kraftway Express Blade BL11 отличным
выбором практически для любых приложений малого и среднего бизнеса. Удобные инструменты
администрирования, дополненные KVM over LAN, максимально облегчают эксплуатацию сервера.
Операционная система
Подлинная Windows Server® 2008
Системная логика
Intel H61
Системная шина, FSB
MHz
1066,1333
Процессор
Dual-core Intel Xeon серии 5xxx до 3,33 ГГц.
Память
DDR3, До 32GB. в каждом сервере
Сеть
Встроенные Gigabit Ethernet коммутаторы
Накопители
Общая RAID СХД с системой резервирования
Оптический привод
DVDRW, опция
Управление
IPMI 2,0, KVM over IP, ODD over IP
Блок питания
Модульная система с резервированием N+1
Корпус
Стоечное или напольное размещение в
звукоизолирующем корпусе.
12
XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине»
•••
Москва, 11-12 октября 2012
12
ОПИСАНИЕ ВНЕДРЕННОГО РЕШЕНИЯ С ПОДКЛЮЧЕНИЕМ К
ЦЕНТРАЛИЗОВАННЫМ МЕДИЦИНСКИМ СЕРВИСАМ С ПРИМЕНЕНИЕМ
ОБЛАЧНЫХ ТЕХНОЛОГИЙ.
13
XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине»
•••
Москва, 11-12 октября 2012
13
PACS/RIS
Основное взаимодействие осуществляется между серверами PACS/RIS .
Локальные PACS/RIS сервера ЛПУ передают все данные о новых исследованиях в
центральный сервер. Более детально передачу данных можно рассматривать как
одностороннюю синхронизацию баз данных серверов и передачу информации хранящейся в
файлах (изображения, другие файлы данных полученные с оборудования, документы
заключений и т.д.).
Передача данных в ЛПУ из центрального сервера может осуществляться двумя путями.
Первый путь подразумевает, что PACS/RIS содержит только радиологическую информацию о
проведенных исследованиях, поэтому размеры базы данных центрального сервера PACS/RIS
не велики. Таким образом, если политика прав доступа к информации допускает, возможна
полная синхронизация базы данных PACS/RIS ЛПУ с центральной базой данных ЛПУ. Это
уменьшит задержки в получении информации при необходимости провести обследование в
ЛПУ, к которому пациент не прикреплен или не обследовался ранее.
Второй путь предполагает, что центральный сервер получает команду на перемещения
данных пациента в базу данных локального PACS/RIS по команде. Команда может быть
сформирована на основании наличия назначения на исследование в рассматриваемый ЛПУ
или в результате запроса из ЛПУ.
Кроме этого при наличии соответствующих прав, врач ЛПУ может получить доступ к данным
всех исследований пациента через клиентское приложение запускаемое в WEB-браузере.
14
XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине»
•••
Москва, 11-12 октября 2012
МИНЗРАВ. МОДЕРНИЗАЦИЯ. ОПЫТ и ПРИЗНАНИЕ.
Созданное в компании универсальное масштабируемое инфраструктурное решение предназначено для
комплексной автоматизации ЛПУ и служит инфраструктурной подосновой для различных медицинских
информационных систем, хранения медицинских данных, визуализации результатов функциональных
исследований, внедрения электронного документооборота.
Использование решения Kraftway позволяет быстро автоматизировать
рабочие места медработников.
Обкатка и оптимизация разработанного комплекса проходят на
опытных площадках в крупнейших учреждениях здравоохранения
совместно
с
ведущими
разработчиками
медицинских
информационных систем (МИС).
В настоящее время в Министерстве здравоохранения и социального
развития завершается процедура регистрации комплекса Kraftway как
изделия медицинского назначения.
Программно-аппаратный комплекс получил
высокую
оценку
специалистов
на
состоявшейся в Москве специализированной
выставке «Medsoft-2011».
Заместитель министра здравоохранения РФ
В.И. Скворцова вручила Kraftway почетный диплом
15
XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине»
•••
Москва, 11-12 октября 2012
16
XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине»
•••
Москва, 11-12 октября 2012
Особенности Kraftway BIOS
Невозможность перезаписи неразрушающими методами:
кода BIOS
установок CMOS
MBR накопителя
Исключение области содержащей МДЗ из общего адресного
пространства (после загрузки ос нет доступа)
Запуск МДЗ до запуска функции поиска загрузочного устройства
(INT19)
Контроль состава оборудования (аппаратная целостность)
Проверка контрольной суммы BIOS
Интегрированный сторожевой таймер
Хранение журнала событий в закрытой области
17
XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине»
•••
Москва, 11-12 октября 2012
Серия защищённых материнских плат Kraftway
Характеристика
Тип BIOS
Русская локализация
Защита от перезаписи
Сторожевой таймер
Контроль BIOS и состава
аппаратуры
Блокировка Intel
Management Engine
Встроенный МДЗ
KWG43
Intel G43)
KWN10 / KWN10D
(Intel NM10)
KWQ67
(Intel Q67)
Phoenix - Award
Phoenix - Award
UEFI - Inside
P
P
P
P
-
Trusted Security Module
(v. 1.0/2.0)
P
P
P
P
P
P
P
P
P
-
Trusted Security Module
(v. 1.0/2.0)
AMI BIOS
Kraftway
(в разработке)
Дистанционное
управление МДЗ
-
-
Kraftway System
Manager
18
XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине»
•••
Москва, 11-12 октября 2012
ПЛАНЫ
….ЧТО МЫ ДЕЛАЕМ С ТЕМОЙ безопасности?
1. Лицензирование AMI UEFI
2. Портирование AMI UEFI Kraftway на KWQ67, KWH77,
VV22, VVxx
3. Разработка Kraftway Security Shell
4. Разработка и сертификация АПМДЗ Kraftway
5. Интеграция АПМДЗ Kraftway и KSS в десктопы, ноутбуки
и серверы Fujitsu
6. Интеграция средств защиты третьих компаний в KSS:
Касперский, Dr.Web, Информзащита, Инфотекс, S-Terra,
Фактор-ТС
7. НИР и ОКР по защищённым ПК в интересах госорганов и
крупных заказчиков.
19
20
XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине»
•••
Москва, 11-12 октября 2012