SISTEMI RIS/PACS: AGGIORNAMENTI SUL TEMA Sicurezza Network, hardware e software Claudio Giovanzana Direzioni Sistemi Informativi Ospedale H San Raffaele Milano, 18 gennaio 2007 1
Sicurezza: Definizione L insieme dei concetti, tecnologie e misure tecniche e amministrative impiegate per proteggere le informazioni da: azioni, intenzionali o non, che possano portare ad una non autorizzata acquisizione, danneggiamento, divulgazione, manipolazione, modifica o, in generale, utilizzo, dell informazione. malfunzionamenti che non permettano l accesso o addirittura la perdita delle informazioni. 2
Sicurezza: Requisiti Disponibilità: Integrità: Riservatezza: Non Ripudio: L informazione deve essere costantemente disponibile a tutti gli autorizzati L informazione deve essere protetta da modifiche non autorizzate L informazione deve giungere al destinatario senza che possa essere intercettata da altri L autore e chiunque effettua modifiche sull informazione deve essere correttamente rintracciabile 3
Sicurezza: Strumenti Standard / Regole / Modalità di approccio definite a livello internazionale, che vengono continuamente aggiornati in funzione della crescita della complessità dei sistemi informatici La sicurezza delle informazioni e delle reti è richiesta secondo alcuni standard per legge Es. di standard: BS7799 - ISO27001(2) - ITIL - ITSEC - Orange Book - Basilea II Best Practice 4
Sicurezza: Best Practice Regole Pratiche per : Gestione credenziali di accesso Sensibilizzazione degli utenti Controllo nell Installazione di sw non autorizzato Installazione / aggiornamento di sistemi Antivirus Antispam.. Gestione di meccanismi di Firewall Controllo Accesso remoto Continuità di funzionamento nell erogazione dei servizi Isolamento di sottosistemi con problemi che potrebbero influenzare il funzionamento globale del servizio Sistemi (server) ridondati in tutte le componenti Aggiornamento dei sistemi (patching) Sicurezza fisica dei locali che ospitano la server farm Sistemi di Backup Costante controllo e manutenzione di tutti i sistemi 5
Sicurezza Network RIS/PACS: situazione reale Ambiente eterogeneo Ogni sistema di diagnostica presenta tecnologie di connettività e di configurabilità differenti Obiettivi della la rete RIS/PACS : Garantire continuità di servizio Circoscrivere problemi di malfunzionamento Connettere tutti i sistemi di diagnostica e gestione Consultazione archivio da parte dei medici di reparto Consultazione immagini da remoto da parte di medici Controllo e manutenzione dei sistemi da parte dei tecnici Accessibilità delle diagnostiche da parte dei fornitori Esistono sempre delle eccezioni da gestire ad hoc 6
Sicurezza network: Logica Obbiettivo:Consentire ad ogni sistema (diagnostica, ws di refertazione, printer, ris.) di interagire con il sistema centrale di RIS/PACS in modo da rendere minimi gli eventuali disservizi causati da malfunzionamenti dovuti al singolo sistema o alla rete stessa. Diag.1 Printer Diag. 2 Server Farm del Sistema RIS/PACS Rete Ospedaliera Workstations Diagnostiche Eccezioni possono essere implementate per ovviare ad alcuni limiti imposti dai sistemi 7
Sicurezza network: Logica Separazione del traffico da e verso il sistema centrale di ogni entita Isolamento eventuali problemi Controllo della tipologia di traffico Le logiche di interazione tra le varie aree sono definite e controllate Solo la server farm puo interagire direttamente con i servizi ospedalieri Connessione di Sistemi con sw applicativi che non permettono l aggiornamento di sistema (patching) Connessione di Sistemi con sw applicativi che non permettono l installazione di sistemi antivirus 8
Tecnologie utilizzate: Switch Layer 2/3 Apparati di rete utilizzati nei reparti Lan Switch Apparati di rete centrali Core Switch 9
Tecnologie utilizzate: Switch Layer 2/3 Network Layer Data Link Layer Broadcast Domains Workstation RIS/PACS Diag. 1 Diag. 2 Physical Layer LAN Switch Human Layer Connessione ai sistemi Più apparati possono partecipare alla stessa Lan 10
Sicurezza Network: Architettura fisica Printer Diagnostiche Diagnostiche Stazioni RIS e WorkSattion di Refertazione Apparati che implementano le logiche di controllo del traffico di rete Sistemi RIS/PACS CD Printer Diagnostica Printer Stazioni RIS e WorkSattion di Refertazione Apparati Rete Ospedaliera 11
Sicurezza: fuori dalla rete RIS/PACS Sistemi RIS/PACS Rete RIS/PACS Firewall Router connessione a Internet Rete Ospedaliera Internet VPN Concentrator Reparti 12
Conclusioni Sicurezza Network Raggiunta una estensione ed una stabilità della rete più che soddisfacente (disservizi avuti minimi) L architettura logica implementata non ha mai portato alla creazione di colli di bottiglia nella implementazione fisica Architettura e tecnologie utilizzate permettono una notevole flessibilità strutturale nel tempo Ridotti costi di esercizio Con la stessa logica, il servizio e stato esteso a reparti di diagnostica, fisicamente remoti Possibilita di gestire eccezioni Ad oggi abbiamo implementato un network per la rete RIS/PACS, basato su piu di 45 reti separate, con piu di 250 dispositivi di rete collegati 13
14
HARDWARE and SOFTWARE SECURITY: Business continuity Disaster Recovery Access Control 15
BUSINESS CONTINUITY Capacità di un sistema di sopportare eventi imprevisti e dannosi per il funzionamento, mantenendo la continuità del servizio offerto. 16
FAULT TOLERANCE Ogni server è ridondato in tutti i componenti hardware vitali: Doppio processore Doppio stadio di alimentazione e di raffreddamento Doppia scheda di rete Sottosistema di dischi in RAID 17
RAID CONFIGURATION 18
CLUSTERING Disponibilità elevata Scalabilità Gestibilità 19
SERVER FARM SECURITY Accesso Impianto elettrico Impianto condizionamento Impianto anti-incendio Agenti esterni (crollo, allagamento) 20
DISASTER RECOVERY Stategia studiata in previsione di un qualsisi evento tecnico o di altra natura in grado di mettere in crisi un sistema informatico compromettendone il corretto funzionamento. OBIETTIVO: il più rapido e completo possibile ripristino delle funzioni e dei dati presenti nel sistema. 21
DISASTER RECOVERY BACKUP LIVELLI DI ARCHIVIAZIONE 22
ACCESS CONTROL Sistema di credenziali e privilegi Sicurezza del Sistema Integrità dei dati 23
FUTURO Business continuity secondo gli ultimi standard definiti Sistemi di accesso più sicuri Controllo automatico dei sistemi 24