医疗行业网闸解决方案(2)
需求分析
医院信息化建设经历了单机操作、局部网络化、全院的网络信息化建设三个阶段。随着全球信息化的发展,医院信息化建设也赶上时代的步伐,从最初的小规模的尝试进入了大规模的铺开。医院内网有各种收费服务器、病区管理服务器和药房管理服务器,因此如何保护内网服务器的安全,合理规划医院各个科室人员使用网络,使医院的宏观管理更上一层楼,是目前凸显的一个重要问题。 医院各个部门如门诊收费人员、药房管理人员、医生和行政管理人员通过中心交换机实现网络的互联和对医院内部服务器的访问。门诊收费处通过DDN专线可以访问社保网。为了让病人可远程查询其病历及检查状况,病历服务器信息需对外公布,服务器的安全必须要保障。为了方便病人,很多医院开通了网上挂号,挂号服务器数据与办公内网业务系统数据通信,服务器的安全都需要保证。
方案设计
设计原则
高性价比原则:构建安全体系必须在性能和价格之间进行权衡。在方案的制定、产品的选型、服务的选择方面都尽可能体现高性能价格比的原则。 高效性:由于增加了安全产品,必将影响网络和系统的性能,包括对网络传输速率的影响,对系统本身资源的消耗等。因此需要平衡利弊,提出最为适当的安全解决建议。 简单性:尽力避免造成网络结构的复杂,操作与维护的困难。安全体系的建立不能对目前信息系统的结构做出根本性的修改。 可管理性:对于安全系统来说,要求提供方便、友好的图形化管理界面。对于网络系统来说,要求不影响原有业务的开展。 开放性:安全管理工具支持广泛的安全管理标准。提供的安全产品具有相应的接口,可以利于各种安全产品之间集成使用,并可以和其他信息产品高效结合。 根据对某医院网络建设需求分析,我们提出某医院网络隔离与信息建设方案。根据某医院的网络安全需求,我们在改变原结构情况下做统一平台管理规划。
我们把利谱TIPTOP物理隔离网闸内口联接中心交换机,网闸外网口连接对外服务部分交换机,对外服务交换机通过路由器和防火墙连接到社保网与互联网。通过网闸实现了某医院内部网络与互联网络和社保网的隔离,可以实现一定安全度上的数据交换。网闸实现对医院内部各部门上网身份认证与管理。 1、物理隔离网闸在保持某医院内外网络物理隔离的同时,进行适度的、可控的内外网络的数据交换。保护医院收费服务器、药房管理服务器及病区管理服务器等重要服务器的安全,实现隔离,防止外网黑客的攻击。 2、通过网闸对医院各个部门人员上网进行身份认证控制,并实现分组管理:
1)门诊收费用人员只允许访问内网服务器和社保网,禁止访问互联网。
2)护士站、药房管理人员只允许访问内网服务器,禁止上互联网。
3)医生及行政人员既可以访问内网服务器,也可以访问互联网。
4)互联网用户可远程挂号、查询病历。
改造后的总体网络拓扑结构图
|
|