医院网络安全架构

Posted 2023-03-31 Ricu_LiuJie

传统医院网络安全架构

国内大部分医院网络一般分为三张网，分别是内网、外网和设备网，
三张网络通过逻辑隔离、物理隔离的方式进行隔离。

内网，主要承载医院的医疗核心业务，例如HIS、LIS、PACS、EMR等业务系统，内网承载数据传输的任务，要求高宽带、大容量和高速率，并需考虑未来扩容、带宽升级。因此是网络建设的重点。

外网，可作为行政办公，也可承载对外发布、互联网等业务，随着“互联网+”以及智慧医院等的发展，外网的建设也越来越受到医院的重视。外网稳定性和保密性的要求一般低于内网，但是因为存在对外和互联网互通，因此十分注重安全，且接入终端及数据流特点也更为复杂，因此存在接入终端层面的安全管理需求。同时，医院外网是医院对外的形象窗口，必须重视其建设规划。

设备网，主要承载医院视频监控，门禁、IPTV等等业务，对网络要求低于内网，一般关注稳定性，通常可以采用二层组网。

稳定高效的医院三网整体设计

①内网

对于医院内网，建议采用成熟的三层架构：接入、汇聚和核心，
通过出口网络设备连接到院外，实现互联互通。
这种分层的网络架构，可以保证业务需求，分别对不同层次进行扩容。

内网数据中心服务器区主要部署的是医院的内部业务，例如HIS、PACS、EMR、LIS等。

整个网络的重要特征是不存在网络单点故障，交换机设备和链路都存在冗余负载备份，接入交换机与汇聚交换机通过双链路连接，汇聚交换机双链路接入核心交换机，交换机之间采用链路捆绑保证链路级可靠性，核心与汇聚设备之间通过网络虚拟化技术+跨设备链路聚合技术保证设备级、链路级可靠性。

内网有线组网拓扑如下：

②外网

对于医院外网，建议采用成熟的三层架构：接入、汇聚和核心。

外网主要业务包括互联网业务、互联网访问、视频会议等等，对性能要求不如内网的要求高，外网组网图如下：

③医院设备网

对于医院设备网，主要承载的业务常见的包括视频监控、门禁、广播等等。设备网对通信业务性能的需求不大，一般采用二层网络即可（也可以采用3层组网），即接入交换机直接上联到核心交换机。其中接入交换机可采用百兆也可以采用千兆。

打造医院下一代云数据中心

通过构建基于超融合的云计算平台，打造医院下一代数据中心，

一方面，通过虚拟化技术提升基础架构资源利用率，

另一方面，通过统一运维管理平台释放人力物力，进一步聚焦关注信息化和业务结合的创新，通过承载关键业务系统，如HIS系统、LIS系统、PACS系统、EMR系统等，并提供稳定、可靠和安全的运行保障，为业务快速发展提供基础支撑。

打造医院下一代云数据中心：建设原则

根据数据中心发展的现状，结合成熟可落地的新兴IT技术，对于医院云数据中心的总体建设原则如下：

(1)稳定性

应采取各种必要技术措施，保证信息化云服务平台具备有优秀的稳定性，在保证性能的前提下，为主要业务提供持续的支撑服务。

(2)安全性

平台系统应能充分考虑用户数据的安全，避免用户受到异常攻击或敏感数据窃取。应能主动评估业务系统的安全状况及提供弥补措施，并提供各种操作行为的可回溯能力。

(3)可扩展性

平台应具备良好的扩展能力，满足数据中心长期发展的要求。根据业务的发展预测，平台系统定期按照适度预留的原则进行建设，能在规定时间内快速响应新业务和新需求的要求。

(4)灵活的 IT 基础架构

满足资源随时随地按需分配，需要建立一个灵活的硬件基础架构。硬件基础架构通常由虚拟的服务器池、共享的存储系统、网络和硬件管理软件组成。

(5)自动化资源部署

云计算运行管理平台的核心功能是自动为用户提供服务器、存储以及相关的系统软件和应用软件。用户、管理员和其他人员能通过 Web 界面使用该功能。自动化的部署流程不仅能做到“随需应变”，适应用户的需求，而且能够带来以下好处：引入技术和创新的时间缩短，设计、采购和构建硬件和软件平台的人力成本降低，以及通过提高现有资源的利用率和复用率节省成本。

(6)完善的资源监控及故障处理手段

云计算服务管理平台提供资源和服务的各种运维能力，可以监控资源的使用情况，对于平台故障提供及时地预警报警，保证云计算平台的稳定运行。

(7)先进的容灾备份机制

为了实现数据中心可靠稳定，依照“本地备份、异地容灾”机制，通过主备机房的建造，实现主机房出现计划外故障之后，能够在要求的RTO范围内迅速在异地机房拉起业务。

打造医院下一代云数据中心：总体设计架构

传统的数据中心建设中，通常而言都是三层网络结构，这三层称之为接入层、汇聚层和核心层。

接入层交换机一般会连接服务器，

汇聚层交换机连接接入层的交换机，并且一般都会提供其他的服务，比如说防火墙、IPS、WAF等等。一般而言汇聚层是L2和L3网络的分界点，汇聚交换机以下是L2网络，以上是L3网络。

核心层交换机一般为数据中心进出数据包提供高速转发，并同时为数据中心内的多个汇聚交换机之间的通信提供转发。

随着业务的增长，传统的三层架构只能通过增加物理设备来满足业务发展，此时，数据中心架构的可扩展性成为制约业务发展的关键要素。同时随着数据中心设备增多，系统的故障点也会增加，导致整个平台可靠性下降。最后大量物理设备导致采购和项目上线周期变长。

近年来随着云计算的发展，计算、存储和网络资源纷纷被池化，软件定义的思想开始重构传统数据中心的建设。

通过计算虚拟化提供统一的计算资源池，每一台X86服务器作为一个节点，基于分布式的架构，只需要几台服务器或者一体机就可以构建资源池，并且后续该资源池可以根据需要按需扩容；通过存储虚拟化可以构建统一的存储池，通过SSD分层和数据条带化来提供高性能，并且采用副本和仲裁为数据提供高可用和高可靠；通过网络虚拟化来提供所画即所得的网络可编辑性，使得网络拓扑的变更更加简单便捷，基于vXlan构建虚拟机东西向流量的承载通道。除此之外，通过各种容错机制来保证系统的可靠性和业务的稳定性，采用模块化、标准化的资源池，提供最好的灵活性来应对数据中心的各种变化。

对于医院下一代数据中心建设推荐企业级云方案，即通过“云管平台 + 超融合架构”方案，基于分布式云数据中心架构，通过软件定义的方式实现全新的IT基础架构，通过服务器虚拟化将所有X86的计算资源池化、通过网络虚拟化构建出适合虚拟机迁移的大二层环境、最后通过存储虚拟化实现存储空间的融合，同时提供完整的安全和容灾备份方案。云数据中心总体架构包括基础架构层、超融合架构层、云服务层。基础架构层通过超融合一体机和通用交换机构成。超融合架构层通过计算虚拟化、存储虚拟化、网络虚拟化、安全虚拟化分别构建计算、存储、网络、安全资源池。云服务层包含众多服务组件，以此来保障业务系统更加可靠、稳定的运行。云管层实现了对于底层所有资源的调度、编排、管理，提供简单易用的自动化运维手段和多层次监控功能。

云管理平台可以对基础架构资源池进行全面的管理，如实现应用迁移、全局可视、一键故障定位以及资源的所画即所得部署；并且当业务需求提升，需要进一步实现应用和云基础架构统一管理时，可以通过升级支持更多的服务，包括多租户管理、自助服务门户、多级流程审批以及异构虚拟化资源池，比如VMware、XenServer、Docker等构建的虚拟化资源，同时可以通过多数据中心的容灾方案为业务联系性和数据可靠性提供更高的保障。总而言之，采用云管平台能够实现超融合构建的企业级云基础架构和上层业务应用架构的紧密融合。

打造医院下一代云数据中心：数据中心逻辑架构

云数据中心主、备站点均使用池化的计算、网络、存储能力。如图所示，分为五个网络平面：

管理网：主要是集群内各主机间控制、配置，以及热迁移、导入导出等流量。

存储网：主要是集群内各主机上的虚拟存储读写流量。

业务网：虚拟机网口连接物理出口，主要是进出的业务流量。

数据通信网：集群内的虚拟机、虚拟网络设备之间的数据通行主要由这张网络平面完成。

容灾网：主要负责容灾数据、状态的传输和同步。

在以上的网络平面中，管理网与容灾网可以复用，在容灾的虚拟机RPO要求较高的时候，建议使用独立的容灾网口，实现LAN-Free方案，用以保证管理网络稳定可靠，不影响平台的正常运维工作。

(1)单独数据同步和管理线路：机房链路满足大于10Gbps带宽、小于1ms的裸光纤互联，保证跨网络业务层流量的稳定传输。

(2)云管平台跨机房多集群纳管：分别在两机房组件完全独立的超融合集群，并通过云管平台统一纳管。

(3)主机房骨干网络双冗余：在异地容灾之前，主机房要先完成骨干网络双链路的建设，否则主机房很容易存在单点故障，导致发生业务切换。

(4)主机房一定要配置备份存储，且备份存储需要企业级存储，用来防止数据误删除或者遭遇勒索病毒等逻辑层面错误。

两边机房都要部署负载均衡，通过负载均衡设备来做VIP负载，实现更好的全局调度服务，若主站点数据彻底丢失，则在备站点备份池拉起“容灾备机”，负载均衡虚拟服务会自动完成网络访问切换。

医院三层网络架构设计及网络设备选型指引

一、医院的三层网络架构设计

1.接入层设计

接入层是医院信息平台上所有设备的边缘接入网络，是将终端接入网络的边缘，也是对终端用户进行访问控制和隔离的边缘，是网络安全边缘前移和全局网络安全的基础。

接入层网络设备主要由二层以太网交换机和无线接入点等设备组成，其中二层以太网交换机主要是为有线设备提供网络控制和接入。

接入层的设计需要充分考虑设备的稳定性、安全性、冗余性和高性能，上联至数据中心的链路尽量使用双链路上联，通过生成树协议生成无环拓扑，避免广播风暴，保证终端设备稳定，安全，高速的接入医院信息网络平台。

2.汇聚层设计

汇聚层是连接接入层与核心层之间的网络层，为接入层提供数据的汇聚，传输，管理，分发处理，集中接入层流量，再转发至核心层的功能，是局域网中隔离动荡的控制点，也是区域网络流量上收的关键点。

汇聚层设计为连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能。汇聚层设备一般采用可管理的三层交换机或堆叠式交换机以达到带宽和传输性能的要求。其设备性能较好，但价格高于接入层设备，而且对环境的要求也较高，对电磁辐射、温度、湿度和空气洁净度等都有一定的要求。

汇聚层设备之间以及汇聚层设备与核心层设备之间多采用光纤互联，以提高系统的传输性能和吞吐量。

3.网络核心层

网络核心层是医院信息平台网络数据的骨干交换区域，各接入层数据经汇聚层汇聚后集中转发至核心层进行高速交换。

核心层的主要职为负责整个医院信息平台数据的高速转发，相关的策略应该尽量较少。

核心层由于是整个网络的核心，从设备上来讲，需要在考虑高性能，高稳定性的同时，充分考虑设备引擎、业务线卡、电源、风扇等的冗余，同时需要具备的一定的抗攻击能力，如中央处理器保护能力，基础网络保护能力。

从架构上来讲，需要充分考虑核心层设备间的冗余备份和负载均衡，利用MSTP/RSTP+VRRP 技术，自愈环网技术，或者是通过更好的核心层设备的硬件虚拟化技术，实现设备级的冗余备份，同时，在设计时还应充分考虑网络链路的冗余性和可靠性，提高网络防灾能力。

二、具体的设备选型如下：

1. 核心层设备建议选用高性能的万兆三层交换机，通过千兆链路与汇聚层设备相连，通过万兆链路进行核心层互联。

在设备选择上，应充分考虑设备自身的冗余性，如电源冗余、引擎冗余、业务线卡冗余、所有线卡及电源支持热拔插，同时应具备一定的自我保护机制，如中央处理器保护机制，基础网络保护机制等。

在网络规划时，应充分考虑网络架构的冗余性设计，建议采用两台或两台以上组成双核心或多核心环网，核心之间可进行冗余互备以及负载分担，减小由于单核心造成的设备压力及单点故障。

2. 汇聚层设备建议选用性能较高，且具备丰富安全功能的全千兆三层交换机，通过千兆与接入交换机以及核心交换机相连，同时汇聚交换机建议具备万兆扩展能力，方便后续网络升级。

汇聚层设备需具备一定的稳定性，门诊区域建议采用双汇聚设备，保证网络高可靠。

3. 接入层设备。建议内网中心服务器区、外网中心服务器区、安全网络控制区、数据灾备区、医技终端接入区、无线终端接入区采用全千兆二层交换机作为接入设备，其他接入区域采用百兆二层交换机，千兆上联。

接入层交换机还应具备良好的防雷击特性，由于医院信息平台对网络稳定性要求的特殊性，建议以太网接口具备高于国家标准的防雷击能力。同时能在一定程度上抵抗网络攻击，如中央处理器保护，基础网络保护等。

4. 出口设备应选择高性能路由器或专用出口设备作为网络出口，并添加防火墙进行域间网络访问控制。路由器应具备大容量、高性能的NAT转换能力，能够进行智能选路，并提供丰富的广域网接口。除此之外，路由器还应具备较高的冗余性和抗网络攻击能力。防火墙作为域间网络隔离点，需支持多种访问控制策略的制定，以及高性能的数据转发能力，避免成为网络性能瓶颈。

出口设备应包含整合出口路由，防火墙，VPN，流控设备，上网行为管理的单一设备，或部分整合设备。

出口设备也可以使路由器，防火墙，VPN，流控设备，上网行为管理设备的组合。

出口路由应高性能路由器，保证院内终端对互联网的高速访问，同时为外网访问内网WEB 服务器提供高速链路通道。

防火墙设备作为局域网和广域网的分割点，其访问控制功能至关重要，故防火墙需支持类型丰富的网络访问控制策略设置。

VPN 设备应选用可支持IPSECVPN和SSLVPN 的设备，保证VPN 接入方式的灵活性。流控设备应具备较高且较为精细的流量识别功能，可基于流量识别对网络流量进行控制，保证网络带宽充分有效的利用。

上网行为管理设备，主要是通过URL 过滤库的设置，规范员工上网行为，保证网络安全，提升工作效率。

  往  期  回  顾

弱电笔记的朋友们，感谢您的阅读、点赞和转发，非常感谢，鞠躬！

“弱电笔记”发布的文章有整合的，有转载的，也有自己写的，水平参差不齐，还有的文章也很尬。我有强迫症，文章不管好与滥，一定要自己看的过去觉得有用才会发布，所以产量较低，没办法，我的初心暂时还没有改变。

历史文章，都已分门别类的整理好了，收录在底部菜单里。想看更多内容，请使用底部菜单导航，如下图所示：

弱电笔记也有微信群20余个，想加入微信群，请加大白微信好友58720961，注明“弱电笔记”。大家在群里交流，多结识些人脉，互帮互助，我也会不定期的分享各种文档和图纸等资料。