醫療行業網閘解決方案(2)
需求分析
醫院信息化建設經歷了單機操作、局部網絡化、全院的網絡信息化建設三個階段。隨著全球信息化的發展,醫院信息化建設也趕上時代的步伐,從最初的小規模的嘗試進入了大規模的鋪開。醫院內網有各種收費服務器、病區管理服務器和藥房管理服務器,因此如何保護內網服務器的安全,合理規劃醫院各個科室人員使用網絡,使醫院的宏觀管理更上一層樓,是目前凸顯的一個重要問題。 醫院各個部門如門診收費人員、藥房管理人員、醫生和行政管理人員通過中心交換機實現網絡的互聯和對醫院內部服務器的訪問。門診收費處通過DDN專線可以訪問社保網。為了讓病人可遠程查詢其病歷及檢查狀況,病歷服務器信息需對外公布,服務器的安全必須要保障。為了方便病人,很多醫院開通了網上掛號,掛號服務器數據與辦公內網業務系統數據通信,服務器的安全都需要保證。
方案設計
設計原則
高性價比原則:構建安全體系必須在性能和價格之間進行權衡。在方案的制定、產品的選型、服務的選擇方面都盡可能體現高性能價格比的原則。 高效性:由于增加了安全產品,必將影響網絡和系統的性能,包括對網絡傳輸速率的影響,對系統本身資源的消耗等。因此需要平衡利弊,提出最為適當的安全解決建議。 簡單性:盡力避免造成網絡結構的復雜,操作與維護的困難。安全體系的建立不能對目前信息系統的結構做出根本性的修改。 可管理性:對于安全系統來說,要求提供方便、友好的圖形化管理界面。對于網絡系統來說,要求不影響原有業務的開展。 開放性:安全管理工具支持廣泛的安全管理標準。提供的安全產品具有相應的接口,可以利于各種安全產品之間集成使用,并可以和其他信息產品高效結合。 根據對某醫院網絡建設需求分析,我們提出某醫院網絡隔離與信息建設方案。根據某醫院的網絡安全需求,我們在改變原結構情況下做統一平臺管理規劃。
我們把利譜TIPTOP物理隔離網閘內口聯接中心交換機,網閘外網口連接對外服務部分交換機,對外服務交換機通過路由器和防火墻連接到社保網與互聯網。通過網閘實現了某醫院內部網絡與互聯網絡和社保網的隔離,可以實現一定安全度上的數據交換。網閘實現對醫院內部各部門上網身份認證與管理。 1、物理隔離網閘在保持某醫院內外網絡物理隔離的同時,進行適度的、可控的內外網絡的數據交換。保護醫院收費服務器、藥房管理服務器及病區管理服務器等重要服務器的安全,實現隔離,防止外網黑客的攻擊。 2、通過網閘對醫院各個部門人員上網進行身份認證控制,并實現分組管理:
1)門診收費用人員只允許訪問內網服務器和社保網,禁止訪問互聯網。
2)護士站、藥房管理人員只允許訪問內網服務器,禁止上互聯網。
3)醫生及行政人員既可以訪問內網服務器,也可以訪問互聯網。
4)互聯網用戶可遠程掛號、查詢病歷。
改造后的總體網絡拓撲結構圖
|
|
資源大小:132.39 KB 
