信息中心
內(nèi)網(wǎng)安全 TIPTOP網(wǎng)閘在醫(yī)療行業(yè)解決方案
一.需求分析
1概述
隨著全球信息化、數(shù)字化時代的到來,網(wǎng)絡(luò)技術(shù)已滲透到社會的每一個角落,網(wǎng)絡(luò)技術(shù)(尤其是Internet技術(shù))是一把雙刃劍,它在促進(jìn)一個國家國民經(jīng)濟(jì)建設(shè)、豐富人民物質(zhì)文化生活的同時,也對傳統(tǒng)的國家安全體系、企業(yè)安全體系提出了嚴(yán)峻的挑戰(zhàn),使得國家的機(jī)密、金融信息、企業(yè)、醫(yī)療機(jī)構(gòu)的生產(chǎn)運(yùn)行等面臨巨大的威脅。
醫(yī)院信息化建設(shè)經(jīng)歷了單機(jī)操作、局部網(wǎng)絡(luò)化、全院的網(wǎng)絡(luò)信息化建設(shè)三個階段。隨著全球信息化的發(fā)展,醫(yī)院信息化建設(shè)也趕上時代的步伐,從最初的小規(guī)模的嘗試進(jìn)入了大規(guī)模的鋪開。醫(yī)院內(nèi)網(wǎng)有各種收費(fèi)服務(wù)器、病區(qū)管理服務(wù)器和藥房管理服務(wù)器,因此如何保護(hù)內(nèi)網(wǎng)服務(wù)器的安全,合理規(guī)劃醫(yī)院各個科室人員使用網(wǎng)絡(luò),使醫(yī)院的宏觀管理更上一層樓,是目前凸顯的一個重要問題。
2.某醫(yī)院網(wǎng)絡(luò)的網(wǎng)絡(luò)現(xiàn)狀
某醫(yī)院網(wǎng)絡(luò)現(xiàn)在的網(wǎng)絡(luò)拓?fù)鋱D:
2.1 網(wǎng)絡(luò)結(jié)構(gòu)說明
醫(yī)院各個部門如門診收費(fèi)人員、藥房管理人員、醫(yī)生和行政管理人員通過中心交換機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)的互聯(lián)和對醫(yī)院內(nèi)部服務(wù)器的訪問。門診收費(fèi)處通過DDN專線可以訪問社保網(wǎng)。
3、某醫(yī)院網(wǎng)絡(luò)隔離與信息交換建設(shè)需求
鑒于現(xiàn)有的網(wǎng)絡(luò)狀況,依據(jù)我醫(yī)院信息化建設(shè)的規(guī)劃,此次建設(shè)應(yīng)達(dá)到以下目標(biāo):
1、從管理和技術(shù)角度上,建立多層安全體系,保證局域網(wǎng)信息和各應(yīng)用系統(tǒng)的安全性、保密性。同時在保持內(nèi)外網(wǎng)絡(luò)物理隔離的同時,進(jìn)行適度的、可控的內(nèi)外網(wǎng)絡(luò)的數(shù)據(jù)交換。保護(hù)醫(yī)院收費(fèi)服務(wù)器、藥房管理服務(wù)器及病區(qū)管理服務(wù)器等重要服務(wù)器的安全,實(shí)現(xiàn)隔離,防止外網(wǎng)黑客的攻擊。
2、對醫(yī)院各個部門人員上網(wǎng)進(jìn)行身份認(rèn)證控制,并實(shí)現(xiàn)分組管理:
A、門診收費(fèi)用人員只允許訪問內(nèi)網(wǎng)服務(wù)器和社保網(wǎng),禁止訪問互聯(lián)網(wǎng)。
B、護(hù)士站、藥房管理人員只允許訪問內(nèi)網(wǎng)服務(wù)器,禁止上互聯(lián)網(wǎng)
C、醫(yī)生及行政人員既可以訪問內(nèi)網(wǎng)服務(wù)器,也可以訪問互聯(lián)網(wǎng)
D、詳細(xì)記錄每個人員上網(wǎng)的日志,做到有案可查
二.設(shè)計原則及技術(shù)、設(shè)備選型依據(jù)
1、設(shè)計原則
? 高性價比原則:構(gòu)建安全體系必須在性能和價格之間進(jìn)行權(quán)衡。在方案的制定、產(chǎn)品的選型、服務(wù)的選擇方面都盡可能體現(xiàn)高性能價格比的原則。
? 高效性:由于增加了安全產(chǎn)品,必將影響網(wǎng)絡(luò)和系統(tǒng)的性能,包括對網(wǎng)絡(luò)傳輸速率的影響,對系統(tǒng)本身資源的消耗等。因此需要平衡利弊,提出最為適當(dāng)?shù)陌踩鉀Q建議。
? 簡單性:盡力避免造成網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜,操作與維護(hù)的困難。安全體系的建立不能對目前信息系統(tǒng)的結(jié)構(gòu)做出根本性的修改。
? 可管理性:對于安全系統(tǒng)來說,要求提供方便、友好的圖形化管理界面。對于網(wǎng)絡(luò)系統(tǒng)來說,要求不影響原有業(yè)務(wù)的開展。
? 開放性:安全管理工具支持廣泛的安全管理標(biāo)準(zhǔn)。提供的安全產(chǎn)品具有相應(yīng)的接口,可以利于各種安全產(chǎn)品之間集成使用,并可以和其他信息產(chǎn)品高效結(jié)合。
2、某醫(yī)院網(wǎng)絡(luò)隔離與信息交換設(shè)計拓?fù)鋱D
(TIPTOP隔離網(wǎng)閘V2.0)
根據(jù)對某醫(yī)院網(wǎng)絡(luò)建設(shè)需求分析,我們提出某醫(yī)院網(wǎng)絡(luò)隔離與信息建設(shè)方案。根據(jù)某醫(yī)院的網(wǎng)絡(luò)安全需求,我們在改變原結(jié)構(gòu)情況下做統(tǒng)一平臺管理規(guī)劃。改造后的總體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖:
4、某醫(yī)院網(wǎng)絡(luò)隔離與信息交換系統(tǒng)的運(yùn)行
我們把TIPTOP物理隔離網(wǎng)閘內(nèi)口聯(lián)接中心交換機(jī),網(wǎng)閘外口分別連接社保網(wǎng)與互聯(lián)網(wǎng)。通過網(wǎng)閘實(shí)現(xiàn)了某醫(yī)院內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)和社保網(wǎng)的隔離,但也可以實(shí)現(xiàn)一定安全度上的數(shù)據(jù)交換。TIPTOP網(wǎng)閘實(shí)現(xiàn)對醫(yī)院內(nèi)部各部門上網(wǎng)身份認(rèn)證與管理。
(1)、Tiptop物理隔離網(wǎng)閘在保持某醫(yī)院內(nèi)外網(wǎng)絡(luò)物理隔離的同時,進(jìn)行適度的、可控的內(nèi)外網(wǎng)絡(luò)的數(shù)據(jù)交換。保護(hù)醫(yī)院收費(fèi)服務(wù)器、藥房管理服務(wù)器及病區(qū)管理服務(wù)器等重要服務(wù)器的安全,實(shí)現(xiàn)隔離,防止外網(wǎng)黑客的攻擊。
(2)、通過網(wǎng)閘對醫(yī)院各個部門人員上網(wǎng)進(jìn)行身份認(rèn)證控制,并實(shí)現(xiàn)分組管理:
A、門診收費(fèi)用人員只允許訪問內(nèi)網(wǎng)服務(wù)器和社保網(wǎng),禁止訪問互聯(lián)網(wǎng)。
B、護(hù)士站、藥房管理人員只允許訪問內(nèi)網(wǎng)服務(wù)器,禁止上互聯(lián)網(wǎng)
C、醫(yī)生及行政人員既可以訪問內(nèi)網(wǎng)服務(wù)器,也可以訪問互聯(lián)網(wǎng)
圖三 對醫(yī)院各部上網(wǎng)進(jìn)行分組管理
圖四 醫(yī)院各部上網(wǎng)控制示意圖
D、利用網(wǎng)閘詳細(xì)記錄醫(yī)院每個員工通過網(wǎng)閘訪問互聯(lián)網(wǎng)、郵件傳輸及文件交換日志,做到有案可查。
文章作者:國脈電子政務(wù)網(wǎng)
集成系統(tǒng)網(wǎng)絡(luò)情報信息數(shù)據(jù)庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數(shù)據(jù)建設(shè)方案案例庫
電子政務(wù)建設(shè)方案案例庫
互聯(lián)集成系統(tǒng)構(gòu)建方案案例庫
商務(wù)智能建設(shè)方案案例庫
系統(tǒng)集成類軟件信息研發(fā)企業(yè)名錄