Аспекты безопасности медицинской информационной инфраструктуры. Глеб Немковский Москва, 12 октября 2012 XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине» Опыт внедрения.

2 О КОМПАНИИ KRAFTWAY Kraftway крупнейшая российская производственная компания в сфере информационных технологий. Успешно работая с 1993 г., Kraftway заслуженно пользуется репутацией одного из признанных технологических лидеров компьютерного рынка России. Спектр выпускаемой продукции под торговой маркой Kraftway чрезвычайно широк и включает персональные компьютеры для бизнеса и дома, рабочие станции, терминальные системы, серверы, системы хранения данных, активные контрольно-кассовые машины, мониторы, компьютерную периферию. Одна из крупнейших российских ИТ-компаний, фокусирующаяся на рынке B2B; Работает с 1993 г.; Сертификация по международному стандарту ISO 9001 с 1996 г. Сертификация по международному стандарту менеджмента услуг ISO/IEC :2005 Оборот 6 млрд. руб. (2011); Свыше 700 сотрудников; Штаб квартира – Москва; Две производственные площадки: опытное производство в г. Москва, основное производство в г. Обнинск Уникальные производственные мощности; Большой опыт реализации крупных интеграционных проектов XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине» Москва, октября 2012

3 Объекты информатизации Проект по внедрению современных автоматизированных информационных систем в здравоохранение Камчатского края 105 объектов из них только 26 в г. Петропавловск-Камчатский 9 районов (Алеутский, Быстринский, Мильковский, Елизовский, Соболевский, Усть- Большерецкий, Усть-Камчатский, Тигильский, Карагинский, Олюторский, Пенжинский) разработка концепции по внедрению автоматизированных информационных систем в здравоохранение Камчатского края; разработка и поставка аппаратного обеспечения ПТК ЛПУ и общесистемного программного обеспечения ПТК ЛПУ; создание единой системы записи к врачу в электронном виде, персонифицированного учета оказанных медицинских услуг; создание единой централизованной системы обмена телемедицинскими данными, хранения и обработки диагностической информации. XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине» Москва, октября 2012

4 КЛЮЧЕВЫЕ ХАРАКТЕРИСТИКИ МИС Доступ к программному обеспечению МИС осуществляется через Интернет; Программное обеспечение МИС развертывается в едином центре (дата-центре) в виде единого программного ядра, с которым работают все медицинские учреждения; Сопровождение и поддержка программного обеспечения МИС («qMS») выполняется централизованно; Стоимость сопровождения и поддержки включается в стоимость арендной платы; Обучение пользователей возможно через Интернет. Сервера работают под управлением Microsoft Windows Server ® 2008 XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине» Москва, октября 2012

5 ОБЩАЯ СХЕМА ВЗАИМОДЕЙСТВИЯ (ИТ БЕЗОПАСНОСТЬ) Крипто маршрутизатор Крипто маршрутизатор XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине» Москва, октября 2012

6 ПОДСИСТЕМА БЕЗОПАСНОСТИ Подсистема обеспечения безопасности и шифрования данных передаваемых по общедоступным каналам связи. Защищенная соединение по публичному каналу обеспечивается VIP Net координаторами, туннель точка-точка (1 лицензия на один ЛПУ). По защищенному туннелю проходит только одно VPN соединение. Данное соединение обеспечивает связь Site to Site между ЛПУ и ЦОД. VPN server в ЦОД, на него сходятся все соединения из всех ЛПУ. VIP Net администратор и удостоверяющий центр в ЦОД. Данная подсистема обеспечивает независимость внутренней инфраструктуры от настроек системы обеспечения безопасности. ЦОД и ЛПУ работают в одной подсети без привязки к физической топологии, серверы VipNET, в этом случае, обеспечивают защищенный канальный уровень. XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине» Москва, октября 2012

7 РЕГИОНАЛЬНЫЙ ЦОД Подсистемы обеспечения инфраструктуры: Подсистема обеспечения канала связи – VPN Server. Подсистема доменов и каталогов пользователей реализованная на базе Microsoft ® Active Directory Service Interfaces (ADSI). Подсистема мониторинга IT инфраструктуры реализованная на базе Kraftway System Manager. Подсистема обновления операционной системы Windows ® 7 Профессиональная реализованная на базе Windows Server Update Services. Подсистема обновления антивирусного ПО. Подсистема управления виртуальными машинами на базе Microsoft ® System Center Virtual Machine Manager. Подсистемы ИТ безопасности: Подсистема реализована на базе ПО Infotecs VipNet. VipNet Coordinator VipNet Administrator VipNet Administrator Удостоверяющий и ключевой центр (УКЦ) Подсистемы Медицинской информационной системы: База данных Cache Центральный сервер МИС «qMS» Подсистемы Радиологической информационной системы: База данных Microsoft ® SQL Server 2008 Центральный сервер распределенной PACS/RIS Система хранения данных распределенной PACS/RIS XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине» Москва, октября 2012

8 ПОДСИСТЕМА ЛПУ Подсистемы обеспечения инфраструктуры: Подсистема обеспечения канала связи – VPN Client. Подсистема доменов и каталогов пользователей реализованная на базе Microsoft ® Active Directory Service Interfaces (ADSI). Подсистема мониторинга IT инфраструктуры реализованная на базе Kraftway System Manager. Подсистема группового управления терминальными станциями реализованная на базе Kraftway System Manager. Подсистема доступа терминальных серверов и балансирования нагрузки. Подсистема управления виртуальными машинами на базе Microsoft ® System Center Virtual Machine Manager. Подсистемы ИТ безопасности: Подсистема реализована на базе ПО Infotecs VipNet. VipNet Coordinator Подсистемы Медицинской информационной системы: База данных Cache Локальный сервер МИС «qMS» Подсистемы Радиологической информационной системы: База данных Microsoft ® SQL Server 2008 Локальный сервер распределенной PACS/RIS Система хранения данных локальной PACS/RIS XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине» Москва, октября 2012

9 ПОСТРОЕНИЕ СИСТЕМЫ (в зависимости от количества рабочих сессий) 150 сессий 50 сессий 100 сессий 20 сессий Варианты построения системы в зависимости от количества сессий (с возможностью поддержки удаленных пользователей). Варианты построения системы в зависимости от количества сессий (с возможностью поддержки удаленных пользователей). XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине» Москва, октября 2012

Представляет собой полноценную рабочую станцию в миниатюрном исполнении. Может также исполнять роль тонкого клиента, выполняя функции ввода информации и отображения рабочего стола. Пассивное охлаждение в защищенном металлическом корпусе при очень низком энергопотреблении было доведено до совершенства в собственном дизайнерском центре специалистами Kraftway. Тем не менее, модель VV20 выполнена на высокопроизводительном процессоре со встроенной графикой, что позволяет ей без труда исполнять роль универсального клиента. Доступность дополнительных внешних носителей определяется административными настройками BIOS. Оборудование: Kraftway Credo VV20 Операционная системаПодлинная Windows ® 7 Профессиональная Системная логикаIntel Atom Системная шина, FSB MHz1066 ПроцессорIntel Atom 450 1,66ГГц ПамятьDDR3, До 16GB. 2 SODIMM слота СетьGigabit Ethernet НакопителиDOM, SSD, HDD, ВидеоадаптерIntel GMA3150 (разрешение до 2048x1536) Звуковой контроллерRealtek ALC662 Блок питанияВнешний 150 Ватт Корпус202x52x133, экструдированный алюминий, с пассивным охлаждением, в комплекте крепление на заднюю стенку монитора. XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине» Москва, октября

Эта модель имеет хорошее соотношение цена/производительность, высокую функциональность и в то же время современный дизайн. ПК поддерживает многоядерные процессоры семейства Intel Core i3/i5 и память стандарта DDR3, он легко справится с различными ресурсоемкими приложениями. Модель Kraftway Studio KM5x оснащена интегрированным графическим адаптером Intel 2000/3000. Для подключения к корпоративной сети ПК оборудован сетевым адаптером Gigabit Ehternet. Оборудование: Kraftway Studio KM5 11 Операционная системаПодлинная Windows ® 7 Профессиональная Системная логикаIntel H61 Системная шина, FSB MHz1066,1333 ПроцессорIntel Core i3, Intel Core i5 ПамятьDDR3, До 16GB. 2 SODIMM слота СетьGigabit Ethernet НакопителиДо 2 HDD Оптический приводВстроенный DVDRW, опция Беспроводные сетиВстроенный модуль WiFi b/g/n, опция Блок питанияВнешний 150 Ватт КорпусНастольный моноблочный корпус с встроенным монитором с диагональю 21,5 XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине» Москва, октября

Специализированное решение для информатизации неподготовленных объектов. Высоко интегрированная серверная система в малошумящем исполнении. Функциональная насыщенность и высокая плотность вычислений делают Kraftway Express Blade BL11 отличным выбором практически для любых приложений малого и среднего бизнеса. Удобные инструменты администрирования, дополненные KVM over LAN, максимально облегчают эксплуатацию сервера. Оборудование: Kraftway Studio BL11 12 Операционная системаПодлинная Windows Server ® 2008 Системная логикаIntel H61 Системная шина, FSB MHz 1066,1333 ПроцессорDual-core Intel Xeon серии 5xxx до 3,33 ГГц. ПамятьDDR3, До 32GB. в каждом сервере СетьВстроенные Gigabit Ethernet коммутаторы НакопителиОбщая RAID СХД с системой резервирования Оптический приводDVDRW, опция УправлениеIPMI 2,0, KVM over IP, ODD over IP Блок питанияМодульная система с резервированием N+1 КорпусСтоечное или напольное размещение в звукоизолирующем корпусе. XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине» Москва, октября

ОПИСАНИЕ ВНЕДРЕННОГО РЕШЕНИЯ С ПОДКЛЮЧЕНИЕМ К ЦЕНТРАЛИЗОВАННЫМ МЕДИЦИНСКИМ СЕРВИСАМ С ПРИМЕНЕНИЕМ ОБЛАЧНЫХ ТЕХНОЛОГИЙ. 13 XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине» Москва, октября

14 PACS/RIS Основное взаимодействие осуществляется между серверами PACS/RIS. Локальные PACS/RIS сервера ЛПУ передают все данные о новых исследованиях в центральный сервер. Более детально передачу данных можно рассматривать как одностороннюю синхронизацию баз данных серверов и передачу информации хранящейся в файлах (изображения, другие файлы данных полученные с оборудования, документы заключений и т.д.). Передача данных в ЛПУ из центрального сервера может осуществляться двумя путями. Первый путь подразумевает, что PACS/RIS содержит только радиологическую информацию о проведенных исследованиях, поэтому размеры базы данных центрального сервера PACS/RIS не велики. Таким образом, если политика прав доступа к информации допускает, возможна полная синхронизация базы данных PACS/RIS ЛПУ с центральной базой данных ЛПУ. Это уменьшит задержки в получении информации при необходимости провести обследование в ЛПУ, к которому пациент не прикреплен или не обследовался ранее. Второй путь предполагает, что центральный сервер получает команду на перемещения данных пациента в базу данных локального PACS/RIS по команде. Команда может быть сформирована на основании наличия назначения на исследование в рассматриваемый ЛПУ или в результате запроса из ЛПУ. Кроме этого при наличии соответствующих прав, врач ЛПУ может получить доступ к данным всех исследований пациента через клиентское приложение запускаемое в WEB-браузере. XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине» Москва, октября 2012

15 МИНЗРАВ. МОДЕРНИЗАЦИЯ. ОПЫТ и ПРИЗНАНИЕ. Созданное в компании универсальное масштабируемое инфраструктурное решение предназначено для комплексной автоматизации ЛПУ и служит инфраструктурной подосновой для различных медицинских информационных систем, хранения медицинских данных, визуализации результатов функциональных исследований, внедрения электронного документооборота. Использование решения Kraftway позволяет быстро автоматизировать рабочие места медработников. Обкатка и оптимизация разработанного комплекса проходят на опытных площадках в крупнейших учреждениях здравоохранения совместно с ведущими разработчиками медицинских информационных систем (МИС). В настоящее время в Министерстве здравоохранения и социального развития завершается процедура регистрации комплекса Kraftway как изделия медицинского назначения. Программно-аппаратный комплекс получил высокую оценку специалистов на состоявшейся в Москве специализированной выставке «Medsoft-2011». Заместитель министра здравоохранения РФ В.И. Скворцова вручила Kraftway почетный диплом XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине» Москва, октября 2012

16 XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине» Москва, октября 2012

17 Особенности Kraftway BIOS Невозможность перезаписи неразрушающими методами: кода BIOS установок CMOS MBR накопителя Исключение области содержащей МДЗ из общего адресного пространства (после загрузки ос нет доступа) Запуск МДЗ до запуска функции поиска загрузочного устройства (INT19) Контроль состава оборудования (аппаратная целостность) Проверка контрольной суммы BIOS Интегрированный сторожевой таймер Хранение журнала событий в закрытой области XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине» Москва, октября 2012

18 Серия защищённых материнских плат Kraftway Характеристика KWG43 Intel G43) KWN10 / KWN10D (Intel NM10) KWQ67 (Intel Q67) Тип BIOSPhoenix - Award UEFI - Inside Русская локализация Защита от перезаписи Сторожевой таймер Контроль BIOS и состава аппаратуры Блокировка Intel Management Engine -- Встроенный МДЗ Trusted Security Module (v. 1.0/2.0) AMI BIOS Kraftway (в разработке) Дистанционное управление МДЗ --Kraftway System Manager XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине» Москва, октября 2012

19 ПЛАНЫ ….ЧТО МЫ ДЕЛАЕМ С ТЕМОЙ безопасности? 1.Лицензирование AMI UEFI 2.Портирование AMI UEFI Kraftway на KWQ67, KWH77, VV22, VVxx 3.Разработка Kraftway Security Shell 4.Разработка и сертификация АПМДЗ Kraftway 5.Интеграция АПМДЗ Kraftway и KSS в десктопы, ноутбуки и серверы Fujitsu 6.Интеграция средств защиты третьих компаний в KSS: Касперский, Dr.Web, Информзащита, Инфотекс, S-Terra, Фактор-ТС 7.НИР и ОКР по защищённым ПК в интересах госорганов и крупных заказчиков.

20 XIII ежегодная специализированная конференция и выставка «Информационные Технологии в Медицине» Москва, октября 2012