医院网络安全建设:三网整体设计和云数据中心架构设计

医院网络安全问题涉及到医院日常管理多个方面,一旦医院信息管理系统在正常运行过程中受到外部恶意攻击,或者出现意外中断等情况,都会造成海量医疗数据信息的丢失。由于医院信息管理系统中存储了大量患者个人信息和治疗方案信息等,如果这些数据信息遭到篡改很容易导致医疗事故的发生。因此,鉴于医院的特殊性质,在信息化建设中必须加强网络安全防护工作,以完善的策略保护医院网络的安全稳定运行。

一、传统医院网络安全架构简介

图片

国内大部分医院网络一般分为三张网,分别是内网、外网和设备网,三张网络通过逻辑隔离、物理隔离的方式进行隔离。

内网,主要承载医院的医疗核心业务,例如HIS、LIS、PACS、EMR等业务系统,内网承载数据传输的任务,要求高宽带、大容量和高速率,并需考虑未来扩容、带宽升级。因此是网络建设的重点。

外网,可作为行政办公,也可承载对外发布、互联网等业务,随着“互联网+”以及智慧医院等的发展,外网的建设也越来越受到医院的重视。外网稳定性和保密性的要求一般低于内网,但是因为存在对外和互联网互通,因此十分注重安全,且接入终端及数据流特点也更为复杂,因此存在接入终端层面的安全管理需求。同时,医院外网是医院对外的形象窗口,必须重视其建设规划。

设备网,主要承载医院视频监控,门禁、IPTV等等业务,对网络要求低于内网,一般关注稳定性,通常可以采用二层组网。

二、稳定高效的医院三网整体设计

对于医院内网,建议采用成熟的三层架构:接入、汇聚和核心,通过出口网络设备连接到院外,实现互联互通。这种分层的网络架构,可以保证业务需求,分别对不同层次进行扩容。内网数据中心服务器区主要部署的是医院的内部业务,例如HIS、PACS、EMR、LIS等。

整个网络的重要特征是不存在网络单点故障,交换机设备和链路都存在冗余负载备份,接入交换机与汇聚交换机通过双链路连接,汇聚交换机双链路接入核心交换机,交换机之间采用链路捆绑保证链路级可靠性,核心与汇聚设备之间通过网络虚拟化技术+跨设备链路聚合技术保证设备级、链路级可靠性。内网有线组网拓扑如下:

图片

对于医院外网,建议采用成熟的三层架构:接入、汇聚和核心。外网主要业务包括互联网业务、互联网访问、视频会议等等,对性能要求不如内网的要求高,外网组网图如下:

图片

对于医院设备网,主要承载的业务常见的包括视频监控、门禁、广播等等。设备网对通信业务性能的需求不大,一般采用二层网络即可(也可以采用3层组网),即接入交换机直接上联到核心交换机。其中接入交换机可采用百兆也可以采用千兆。

图片

三、打造医院下一代云数据中心

通过构建基于超融合的云计算平台,打造医院下一代数据中心,一方面,通过虚拟化技术提升基础架构资源利用率,另一方面,通过统一运维管理平台释放人力物力,进一步聚焦关注信息化和业务结合的创新,通过承载关键业务系统,如HIS系统、LIS系统、PACS系统、EMR系统等,并提供稳定、可靠和安全的运行保障,为业务快速发展提供基础支撑。

3.1 建设原则

根据数据中心发展的现状,结合成熟可落地的新兴IT技术,对于医院云数据中心的总体建设原则如下:

(1)稳定性

应采取各种必要技术措施,保证信息化云服务平台具备有优秀的稳定性,在保证性能的前提下,为主要业务提供持续的支撑服务。

(2)安全性

平台系统应能充分考虑用户数据的安全,避免用户受到异常攻击或敏感数据窃取。应能主动评估业务系统的安全状况及提供弥补措施,并提供各种操作行为的可回溯能力。

(3)可扩展性

平台应具备良好的扩展能力,满足数据中心长期发展的要求。根据业务的发展预测,平台系统定期按照适度预留的原则进行建设,能在规定时间内快速响应新业务和新需求的要求。

(4)灵活的 IT 基础架构

满足资源随时随地按需分配,需要建立一个灵活的硬件基础架构。硬件基础架构通常由虚拟的服务器池、共享的存储系统、网络和硬件管理软件组成。

(5)自动化资源部署

云计算运行管理平台的核心功能是自动为用户提供服务器、存储以及相关的系统软件和应用软件。用户、管理员和其他人员能通过 Web 界面使用该功能。自动化的部署流程不仅能做到“随需应变”,适应用户的需求,而且能够带来以下好处:引入技术和创新的时间缩短,设计、采购和构建硬件和软件平台的人力成本降低,以及通过提高现有资源的利用率和复用率节省成本。

(6)完善的资源监控及故障处理手段

云计算服务管理平台提供资源和服务的各种运维能力,可以监控资源的使用情况,对于平台故障提供及时地预警报警,保证云计算平台的稳定运行。

(7)先进的容灾备份机制

为了实现数据中心可靠稳定,依照“本地备份、异地容灾”机制,通过主备机房的建造,实现主机房出现计划外故障之后,能够在要求的RTO范围内迅速在异地机房拉起业务。

3.2 总体设计架构

传统的数据中心建设中,通常而言都是三层网络结构,这三层称之为接入层(Access Layer)、汇聚层(Aggregation Layer)和核心层(Core Layer)。接入层交换机一般会连接服务器,汇聚层交换机连接接入层的交换机,并且一般都会提供其他的服务,比如说防火墙、IPS、WAF等等。一般而言汇聚层是L2和L3网络的分界点,汇聚交换机以下是L2网络,以上是L3网络。核心层交换机一般为数据中心进出数据包提供高速转发,并同时为数据中心内的多个汇聚交换机之间的通信提供转发。

随着业务的增长,传统的三层架构只能通过增加物理设备来满足业务发展,此时,数据中心架构的可扩展性成为制约业务发展的关键要素。同时随着数据中心设备增多,系统的故障点也会增加,导致整个平台可靠性下降。最后大量物理设备导致采购和项目上线周期变长。

近年来随着云计算的发展,计算、存储和网络资源纷纷被池化,软件定义的思想开始重构传统数据中心的建设。通过计算虚拟化提供统一的计算资源池,每一台X86服务器作为一个节点,基于分布式的架构,只需要几台服务器或者一体机就可以构建资源池,并且后续该资源池可以根据需要按需扩容;通过存储虚拟化可以构建统一的存储池,通过SSD分层和数据条带化来提供高性能,并且采用副本和仲裁为数据提供高可用和高可靠;通过网络虚拟化来提供所画即所得的网络可编辑性,使得网络拓扑的变更更加简单便捷,基于vXlan构建虚拟机东西向流量的承载通道。除此之外,通过各种容错机制来保证系统的可靠性和业务的稳定性,采用模块化、标准化的资源池,提供最好的灵活性来应对数据中心的各种变化。

对于医院下一代数据中心建设推荐企业级云方案,即通过“云管平台 + 超融合架构”方案,基于分布式云数据中心架构,通过软件定义的方式实现全新的IT基础架构,通过服务器虚拟化将所有X86的计算资源池化、通过网络虚拟化构建出适合虚拟机迁移的大二层环境、最后通过存储虚拟化实现存储空间的融合,同时提供完整的安全和容灾备份方案。云数据中心总体架构包括基础架构层、超融合架构层、云服务层。基础架构层通过超融合一体机和通用交换机构成。超融合架构层通过计算虚拟化、存储虚拟化、网络虚拟化、安全虚拟化分别构建计算、存储、网络、安全资源池。云服务层包含众多服务组件,以此来保障业务系统更加可靠、稳定的运行。云管层实现了对于底层所有资源的调度、编排、管理,提供简单易用的自动化运维手段和多层次监控功能。

云管理平台可以对基础架构资源池进行全面的管理,如实现应用迁移、全局可视、一键故障定位以及资源的所画即所得部署;并且当业务需求提升,需要进一步实现应用和云基础架构统一管理时,可以通过升级支持更多的服务,包括多租户管理、自助服务门户、多级流程审批以及异构虚拟化资源池,比如VMware、XenServer、Docker等构建的虚拟化资源,同时可以通过多数据中心的容灾方案为业务联系性和数据可靠性提供更高的保障。总而言之,采用云管平台能够实现超融合构建的企业级云基础架构和上层业务应用架构的紧密融合。

3.3 数据中心逻辑架构

图片

云数据中心主、备站点均使用池化的计算、网络、存储能力。如图所示,分为五个网络平面:

管理网:主要是集群内各主机间控制、配置,以及热迁移、导入导出等流量。

存储网:主要是集群内各主机上的虚拟存储读写流量。

业务网:虚拟机网口连接物理出口,主要是进出的业务流量。

数据通信网:集群内的虚拟机、虚拟网络设备之间的数据通行主要由这张网络平面完成。

容灾网:主要负责容灾数据、状态的传输和同步。

在以上的网络平面中,管理网与容灾网可以复用,在容灾的虚拟机RPO要求较高的时候,建议使用独立的容灾网口,实现LAN-Free方案,用以保证管理网络稳定可靠,不影响平台的正常运维工作。

(1)单独数据同步和管理线路:机房链路满足大于10Gbps带宽、小于1ms的裸光纤互联,保证跨网络业务层流量的稳定传输。

(2)云管平台跨机房多集群纳管:分别在两机房组件完全独立的超融合集群,并通过云管平台统一纳管。

(3)主机房骨干网络双冗余:在异地容灾之前,主机房要先完成骨干网络双链路的建设,否则主机房很容易存在单点故障,导致发生业务切换。

(4)主机房一定要配置备份存储,且备份存储需要企业级存储,用来防止数据误删除或者遭遇勒索病毒等逻辑层面错误。

两边机房都要部署负载均衡,通过负载均衡设备来做VIP负载,实现更好的全局调度服务,若主站点数据彻底丢失,则在备站点备份池拉起“容灾备机”,负载均衡虚拟服务会自动完成网络访问切换。

四、总结

早在2014年,习总书记就明确提出“没有网络安全就没有国家安全,没有信息化就没有现代化”。医院信息化融合了我们全民医疗健康档案数据、病历数据、人口基本数据、卫生资源数据,医院网络安全就是保护医院这些数据安全的基本根基,作为一个医院信息化工作者做好医院的网络安全就是为国家安全付出力量,安全是底线思维,纵使短期能力做不到,也要在管理上时刻关照到,不可轻视,不能放松。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/631482.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【ArcGIS微课1000例】0088:计算城市建筑物朝向(矩形角度)

文章目录 一、实验描述二、实验数据三、角度计算1. 添加字段2. 计算角度四、方向计算一、实验描述 矩形要素具有长轴和短轴,其长轴方向也称为矩形面的主角度,可用于确定面要素的走向趋势。根据该方向参数,可以对具有矩形特征的地理对象进行方向分析,且适用于很多应用场景,…

什么是NodeJS

1、前言 接触 node.js 有好几年了,也开发了好几个项目了;但每次提起 node.js,始终不敢说自己入门了,归其原因,大概就是如下所示 为了进一步加强理解,系统的梳理相关知识以作备忘,本节将从以下…

视频转码实例:把MP4转为MKV视频,一键批量转换的操作方法

在数字媒体时代,视频格式的多样性是不可避免的。经常把MP4格式的视频转换为MKV格式。MKV格式有较高的音频和视频质量,能在其他设备或软件上播放视频。以下是云炫AI智剪如何把MP4视频转为MKV格式的一键批量转换操作方法。 已转码的mkv视频效果缩略图展示…

20240117在本地机器识别OCR法语电影的字幕效果PK

20240117在本地机器识别OCR法语电影的字幕效果PK 2024/1/17 11:18 1959 - Jirai Cracher Sur Vos Tombes [Gast, Vian].avi https://www.pianbar.net//drama/52892.html 1959[我唾弃你的坟墓]Jirai cracher sur vos tombes[BT下载/迅雷下载] magnet:?xturn:btih:7c9c99d9d048…

Elasticsearch各种高级文档操作

本文来记录下Elasticsearch各种文档操作 文章目录 初始化文档数据查询所有文档匹配查询文档关键字精确查询文档多关键字精确查询文档字段匹配查询文档指定查询字段查询文档过滤字段查询文档概述指定想要显示的字段示例指定不想要显示的字段示例 组合查询文档范围查询文档概述使…

微服务入门 | 项目分割 | 远程调度Feign | 用户中心erueka 和 nacos

认识微服务 微服务架构演变: 单体架构:所有功能集中在一个项目中开发,打成一个包部署 分布式架构:就是各功能模块的代码不在同一个项目中写了,到时候修改其中一个过能的代码,对另一个功能完全没有任何影响…

循环异步调取接口使用数组promiseList保存,Promise.all(promiseList)获取不到数组内容,then()返回空数组

在使用 vue vant2.13.2 技术栈的项目中,因为上传文件的接口是单文件上传,当使用批量上传时,只能循环调取接口;然后有校验内容:需要所有文件上传成功后才能保存,在文件上传不成功时点击保存按钮&#xff0c…

非常有趣的AI应用-用大语言模型来玩星际争霸2(附代码链接)

非常有趣的AI应用-用大语言模型来玩星际争霸2(附代码链接) 偶然看到的,比较有意思,分享一下: GitHub地址:Large-Language-Models-play-StarCraftII arxiv:Large Language Models Play StarCra…

ChatGPT 报:“Unable to load history…”如何处理?

ChatGPT界面出现:“Unable to load history…” 说明:无法加载历史记录。。。 原因: 一般是代理的问题,网络加载延迟严重,也可能是官方请求过多,造成响应不及时。 解决: 出现这个问题时&#…

新三板操作指南!哪家证券公司开通新三板交易佣金费率最低?

新三板操作指南:掌握规则,赢得先机! 随着中国资本市场的蓬勃发展,新三板市场日益成为投资者关注的焦点。然而,对于许多新手投资者来说,新三板市场的交易规则和流程可能较为陌生。本文将为您详细解读新三板…

移动端开发进阶之蓝牙通讯(一)

移动端开发进阶之蓝牙通讯(一) 移动端进阶之蓝牙通讯需要综合考虑蓝牙版本选择、协议栈使用、服务匹配、设备连接、安全性和硬件支持等方面。 一、蓝牙版本选择 根据实际需求和应用场景选择合适的蓝牙版本; 1.0,1M/s。 2.0EDR…

线程安全的集合类

Java中提供了许多集合类,其中有的是线程安全的,有的是线程不安全的。线程安全的集合类有: 1. Vector:Vector类实现了一个动态数组,与ArrayList相似,但Vector是同步访问的 2. Stack:Stack是Vec…

C++ 数论相关题目(约数)

1、试除法求约数 主要还是可以成对的求约数进行优化&#xff0c;不然会超时。 时间复杂度根号n #include <iostream> #include <vector> #include <algorithm>using namespace std;int n;vector<int> solve(int a) {vector<int> res;for(int i…

leetcode 每日一题 2024年01月18日 拿出最少数目的魔法豆

题目 给定一个 正整数 数组 beans &#xff0c;其中每个整数表示一个袋子里装的魔法豆的数目。 请你从每个袋子中 拿出 一些豆子&#xff08;也可以 不拿出&#xff09;&#xff0c;使得剩下的 非空 袋子中&#xff08;即 至少还有一颗 魔法豆的袋子&#xff09;魔法豆的数目 …

保证Kafka消息有序性

一、Kafka特性 写入同一个partion分区中的数据是一定有顺序的kafka中一个消费者消费一个partion的数据&#xff0c;消费者取出数据时&#xff0c;也是有顺序的 二、保证消息Kafka消息有序性 在生产者端&#xff0c;应保证消息被写入同一分区。可以在构造消息时指定消息的key…

如何将音频转文字?4个方法帮你轻松搞定!

如何将音频转文字&#xff1f;在日常生活中&#xff0c;将音频转换为文字的应用可以带来很多便利。例如&#xff0c;在会议、讲座、课堂等场合&#xff0c;我们可以使用识别软件将语音转换为文字&#xff0c;方便记录和整理。此外&#xff0c;在语言学习、语音翻译等领域&#…

基于springboot+vue的在线拍卖系统(前后端分离)

博主主页&#xff1a;猫头鹰源码 博主简介&#xff1a;Java领域优质创作者、CSDN博客专家、公司架构师、全网粉丝5万、专注Java技术领域和毕业设计项目实战 主要内容&#xff1a;毕业设计(Javaweb项目|小程序等)、简历模板、学习资料、面试题库、技术咨询 文末联系获取 项目背景…

预处理详解(#和##运算符、命名约定、#undef​​、命令行定义​、条件编译、头文件的包含​)

目录 一、#和## 1.1#运算符 1.2## 运算符​ 二、命名约定​ 三、#undef​ 四、命令行定义​ 五、条件编译​ 六、头文件的包含​ 4.1 头文件被包含的方式&#xff1a;​ 4.1.1 本地文件包含​ Linux环境的标准头文件的路径&#xff1a;​ VS环境的标准头文件的路径&…

Vue3在点击菜单切换路由时,将ElementPlus UI库中el-main组件的内容滚动恢复到顶部

功能&#xff1a;Vue3在点击菜单切换路由时&#xff0c;将页面el-main的内容滚动到顶部&#xff0c;布局如下&#xff0c;使用UI组件库为ElementPlus 在网上搜很多都是在route.js中的router.beforeEach中使用window.scrollTop(0,0) 或 window.scrollTo(0,0) 滚动&#xff0c;但…

如何用GPT 运行python?GPT4科研应用与AI绘图及论文高效写作

详情点击链接&#xff1a;如何用GPT 运行python&#xff1f;GPT4科研应用与AI绘图及论文高效写作 一OpenAI 1.最新大模型GPT-4 Turbo 2.最新发布的高级数据分析&#xff0c;AI画图&#xff0c;图像识别&#xff0c;文档API 3.GPT Store 4.从0到1创建自己的GPT应用 5. 模型…