概述
經(jīng)過(guò)近二十年的發(fā)展��,我國(guó)醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)建設(shè)已具規(guī)模���,并日趨完善���。信息系統(tǒng)的發(fā)展經(jīng)歷了從單機(jī)系統(tǒng)���、局部網(wǎng)絡(luò)系統(tǒng)到整個(gè)醫(yī)院信息系統(tǒng)的多個(gè)階段����。
隨著醫(yī)院信息化建設(shè)不斷發(fā)展和新業(yè)務(wù)的出現(xiàn),目前大多數(shù)醫(yī)院都建立了醫(yī)院信息系統(tǒng)(HIS)應(yīng)用系統(tǒng)���、檢驗(yàn)科信息系統(tǒng)(LIS)��、影像歸檔和通信系統(tǒng)(PACS)�、電子病歷系統(tǒng)等����,這些應(yīng)用構(gòu)成了醫(yī)院的核心業(yè)務(wù)應(yīng)用系統(tǒng)。
為了安全需要�,醫(yī)院的常規(guī)做法是將醫(yī)院的業(yè)務(wù)網(wǎng)絡(luò)與能夠訪問(wèn)Internet的辦公網(wǎng)絡(luò)進(jìn)行完全的物理隔離,使兩者之間沒(méi)有任何信息交換���,這樣做能夠避免信息外泄、網(wǎng)絡(luò)病毒����、非法訪問(wèn)和網(wǎng)絡(luò)攻擊等威脅,但由于外部辦公網(wǎng)絡(luò)與網(wǎng)絡(luò)醫(yī)院核心業(yè)務(wù)系統(tǒng)經(jīng)常有數(shù)據(jù)交換��,因此兩個(gè)網(wǎng)絡(luò)完全物理隔離���,給醫(yī)院正常的業(yè)務(wù)交換帶來(lái)了不便�。因此,如何解決兩個(gè)網(wǎng)絡(luò)之間的業(yè)務(wù)數(shù)據(jù)交換�����,又能很好的解決兩個(gè)網(wǎng)絡(luò)之間面臨的安全問(wèn)題����,是各個(gè)醫(yī)院亟須要解決的問(wèn)題。
另外�����,醫(yī)院的內(nèi)網(wǎng)還要和衛(wèi)生部等上級(jí)單位���、醫(yī)保��、農(nóng)合以及城市的智慧醫(yī)療系統(tǒng)網(wǎng)絡(luò)相連接���,要將相關(guān)數(shù)據(jù)報(bào)送給這些網(wǎng)絡(luò)系統(tǒng),如何能夠?qū)崿F(xiàn)醫(yī)院的內(nèi)網(wǎng)和這些網(wǎng)絡(luò)之間的安全隔離與數(shù)據(jù)交換����,也是各個(gè)醫(yī)院系統(tǒng)亟須要解決的問(wèn)題��。
網(wǎng)絡(luò)現(xiàn)狀
從XX醫(yī)院的網(wǎng)絡(luò)結(jié)構(gòu)上看����,只有業(yè)務(wù)內(nèi)網(wǎng)����,業(yè)務(wù)內(nèi)網(wǎng)中有部分終端可與互聯(lián)網(wǎng)相聯(lián)。具體如圖所示:
圖示:業(yè)務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D
XX醫(yī)院網(wǎng)絡(luò)中只有一臺(tái)核心交換機(jī)��,各樓宇辦公區(qū)通過(guò)接入層交換機(jī)與核心相連���,醫(yī)療相關(guān)信息系統(tǒng)集中放置在一起�����,外部主要與醫(yī)保網(wǎng)和軍網(wǎng)相聯(lián)����,網(wǎng)絡(luò)內(nèi)沒(méi)有部署相關(guān)安全防護(hù)設(shè)備�,存在極大的安全隱患���。
XX醫(yī)院業(yè)務(wù)內(nèi)網(wǎng)安全方案設(shè)計(jì)
整體建設(shè)示意圖
部署說(shuō)明:
1����、 為了實(shí)現(xiàn)網(wǎng)絡(luò)的高可用性和可靠性,核心交機(jī)��,原有醫(yī)療信息系統(tǒng)區(qū)域的交換機(jī)增加為雙機(jī)�,以雙機(jī)熱備的方式的部署;
2�����、 在網(wǎng)絡(luò)內(nèi)部署一套終端安全管理系統(tǒng)
3��、 在醫(yī)院醫(yī)療信息服務(wù)器區(qū)域部署兩臺(tái)防火墻�,加入侵防御系統(tǒng)模塊,實(shí)現(xiàn)訪問(wèn)控制和入侵防護(hù)的功能����;
4、 在醫(yī)保網(wǎng)和軍網(wǎng)邊界部署安全隔離網(wǎng)閘���,在物理斷開(kāi)的情況又能進(jìn)行相關(guān)數(shù)據(jù)的實(shí)時(shí)傳輸���。
5、 在核心交換機(jī)上部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)與堡壘機(jī)����,實(shí)現(xiàn)數(shù)據(jù)庫(kù)操作行為的安全審計(jì)與網(wǎng)絡(luò)操作管理員的操作運(yùn)維審計(jì)���,全面把握網(wǎng)絡(luò)內(nèi)的操作行為,控制風(fēng)險(xiǎn)�����。
6�����、 在網(wǎng)絡(luò)內(nèi)部署一套日志收集與審計(jì)系統(tǒng)���,對(duì)網(wǎng)絡(luò)內(nèi)的核心網(wǎng)絡(luò)設(shè)備�����、服務(wù)器��、安全設(shè)備進(jìn)行日志收集�,把控全網(wǎng)安全動(dòng)態(tài)�����。
7�、 建立數(shù)據(jù)容災(zāi)中心,對(duì)醫(yī)療信息系統(tǒng)的相關(guān)核心數(shù)據(jù)進(jìn)行實(shí)時(shí)備份����。