业务背景
随着医院信息化系统的不断完善,多数二级以上尤其是三甲医院已建成覆盖全院各个部门的多应用系统,这些应用系统广义上可以分为对内对外两大类业务系统,其中对内的系统主要是以HIS、LIS、PACS、电子病历等为主的医院内网应用, 这些系统基本上都被严格隔离在医院内网上使用;另外以办公自动化OA系统为代表的对内系统主要完成医院的行政办公、公文办理、业务审批、流程协作、邮件收发等业务流程,这些系统一般不放在隔离程度较高的纯内网环境,为保证数据交流方便,要通过公网映射等方式与外网连接,以实现医院工作人员在家中或出差途中通过互联网或系统专属网络处理业务;医院的对外应用以医院门户网站为代表,主要完成医院的形象宣传、业务公告、学术论坛等业务。
但是,随着信息产业的发展和信息化意识的逐渐深入,公众对于医院医疗信息知情的需求不断增加,与此同时许多新的医疗信息化应用也在不断的推出,譬如网上预约、网上挂号、微信挂号平台、网上诊疗服务、检验检查结果网上查询等,这些新的需求和应用,在医院原有物理隔绝的网络环境下是无法实现的。
2020年,受新冠疫情影响,互联网医院这种模式因具有降低患者交叉感染、实现患者 “非接触看病”的特殊优势成为了“战疫先锋”,互联网医疗在疫情防控中所起到的积极作用,在2020年2月正值新冠肺炎疫情的高峰期,建立的互联网医院达到65家,据国家卫健委统计到今年10月底全国已建成900家互联网医院。
因此在如何保障网络和数据安全的情况下,通过互联网实现相应需求成为医院面临的新问题和新挑战。
安全需求
医院为保证应用运行的绝对安全,绝大多数是采用内外网物理隔离的方式,这种方式理论上确实把医院的核心应用最大限度的隔离开来,具有较高的安全性,但同时为数据交互加上了一层很难逾越的屏障,而今的医院已经无法单靠内部应用就可完成各个层面的需求,内外网进行必要的数据交互已经无法避免。近几年来,信息安全威胁开始逐步呈现出网络化和复杂化的态势,无论是从数量还是从形式方面,从前的安全威胁和恶意行为与现今相比早已是相形见绌。
由于医院内网的数据记录着大量居民真实的各类个人及诊疗信息、医院科研及运营管理数据等敏感信息。因此,在与其他网络进行信息共享的同时,必须能够保证医院内部网络数据的安全性,保证不会被非法窃取或破坏。这就需要在内外网络边界处建立相应的信息安全交换平台,作为内外网之间唯一的数据通道,实现统一管理,并建立完善的安全体系实现安全可控的跨网络信息共享。
解决方案
内网生产外联区:提供各院区、卫生专网、银行专线的安全接入,部署设备包含路由器、下一代防火墙(开启入侵防御和防病毒模块);
内网核心交换区:提供各安全区域连接和数据的快速转发,部署设备为两台核心交换机;
内网应用服务器区:集中部署应用服务器和存储设备;
内网运维管理区:集中部署旁路安全设备,包含安管平台、网络版杀毒软件、VPN、IDS、运维审计系统、漏洞扫描系统、数据库审计系统;
互联网接入区:提供各运营商互联网线路的安全接入,部署设备包含异常流量管理系统、链路负载均衡、WAF应用防火墙、入侵防御系统、下一代防火墙;
互联网核心交换区:提供各安全区域连接和数据的快速转发,部署设备为两台核心交换机;
互联网应用服务区:集中部署应用服务器和存储设备;
互联网运维管理区:集中部署旁路安全设备,包含网络版杀毒软件、运维审计系统、漏洞扫描系统、数据库审计系统;
内外网安全隔离区:提供专网与互联网两大区域之间的安全数据交互,部署设备包含安全数据交换系统和网闸;
方案涉及产品清单
序号 | 设备名称 | 部署方式 | 用途 |
1 | 安全数据交换系统 | 串接在互联网核心交换机和专网核心交换机之间,分别接在内外交换服务器上 | 专网与互联网区域之间的数据进行安全交换控制 |
2 | 数据交换系统-网闸 | 串接在数据交换系统的内外交换服务器之间 | 数据摆渡 |
方案优势
1. 安全性高:符合信息系统安全等级保护的要求,系统采用身份认证、数据加密、格式检查、病毒查杀、过滤、数据标记、私有格式转换、安全审计以及三权分立管理等安全机制。
2. 稳定性好:支持负载均衡和容错,具有异常处理功能,包括断网重连、故障恢复、故障报警;保证数据不丢失。
3. 功能强:支持异构数据库同步(所有主流数据库)、支持文件转数据库、数据库转文件、文件同步,具有请求命令与服务等多种接口。
4. 性能出众:系统依托高性能服务器架构能够满足多业务大并发量的数据交换需求。数据库同步100000条/s,文件同步可以达到8G。
Copyright © 启明星辰 版权所有 京ICP备05032414号 京公网安备11010802024551号