醫(yī)院網(wǎng)絡安全問題涉及到醫(yī)院日常管理多個方面���,一旦醫(yī)院信息管理系統(tǒng)在正常運行過程中受到外部惡意攻擊,或者出現(xiàn)意外中斷等情況,都會造成海量醫(yī)療數(shù)據(jù)信息的丟失。由于醫(yī)院信息管理系統(tǒng)中存儲了大量患者個人信息和治療方案信息等,如果這些數(shù)據(jù)信息遭到篡改很容易導致醫(yī)療事故的發(fā)生�。因此��,鑒于醫(yī)院的特殊性質(zhì)����,在信息化建設中必須加強網(wǎng)絡安全防護工作,以完善的策略保護醫(yī)院網(wǎng)絡的安全穩(wěn)定運行��。
一�����、傳統(tǒng)醫(yī)院網(wǎng)絡安全架構簡介
國內(nèi)大部分醫(yī)院網(wǎng)絡一般分為三張網(wǎng)���,分別是內(nèi)網(wǎng)、外網(wǎng)和設備網(wǎng)�,三張網(wǎng)絡通過邏輯隔離��、物理隔離的方式進行隔離�����。
內(nèi)網(wǎng)����,主要承載醫(yī)院的醫(yī)療核心業(yè)務��,例如HIS��、LIS����、PACS、EMR等業(yè)務系統(tǒng)��,內(nèi)網(wǎng)承載數(shù)據(jù)傳輸?shù)娜蝿?���,要求高寬帶、大容量和高速率��,并需考慮未來擴容、帶寬升級��。因此是網(wǎng)絡建設的重點����。
外網(wǎng),可作為行政辦公���,也可承載對外發(fā)布�����、互聯(lián)網(wǎng)等業(yè)務���,隨著“互聯(lián)網(wǎng)+”以及智慧醫(yī)院等的發(fā)展,外網(wǎng)的建設也越來越受到醫(yī)院的重視����。外網(wǎng)穩(wěn)定性和保密性的要求一般低于內(nèi)網(wǎng),但是因為存在對外和互聯(lián)網(wǎng)互通��,因此十分注重安全��,且接入終端及數(shù)據(jù)流特點也更為復雜��,因此存在接入終端層面的安全管理需求�����。同時����,醫(yī)院外網(wǎng)是醫(yī)院對外的形象窗口,必須重視其建設規(guī)劃����。
設備網(wǎng),主要承載醫(yī)院視頻監(jiān)控�,門禁、IPTV等等業(yè)務�,對網(wǎng)絡要求低于內(nèi)網(wǎng),一般關注穩(wěn)定性����,通常可以采用二層組網(wǎng)�����。
二�����、穩(wěn)定高效的醫(yī)院三網(wǎng)整體設計
對于醫(yī)院內(nèi)網(wǎng),建議采用成熟的三層架構:接入�����、匯聚和核心���,通過出口網(wǎng)絡設備連接到院外�,實現(xiàn)互聯(lián)互通��。這種分層的網(wǎng)絡架構����,可以保證業(yè)務需求,分別對不同層次進行擴容����。內(nèi)網(wǎng)數(shù)據(jù)中心服務器區(qū)主要部署的是醫(yī)院的內(nèi)部業(yè)務,例如HIS��、PACS�、EMR、LIS等���。
整個網(wǎng)絡的重要特征是不存在網(wǎng)絡單點故障��,交換機設備和鏈路都存在冗余負載備份�,接入交換機與匯聚交換機通過雙鏈路連接�,匯聚交換機雙鏈路接入核心交換機,交換機之間采用鏈路捆綁保證鏈路級可靠性����,核心與匯聚設備之間通過網(wǎng)絡虛擬化技術+跨設備鏈路聚合技術保證設備級、鏈路級可靠性���。內(nèi)網(wǎng)有線組網(wǎng)拓撲如下:
對于醫(yī)院外網(wǎng)�,建議采用成熟的三層架構:接入���、匯聚和核心����。外網(wǎng)主要業(yè)務包括互聯(lián)網(wǎng)業(yè)務�、互聯(lián)網(wǎng)訪問、視頻會議等等�����,對性能要求不如內(nèi)網(wǎng)的要求高,外網(wǎng)組網(wǎng)圖如下:
對于醫(yī)院設備網(wǎng)��,主要承載的業(yè)務常見的包括視頻監(jiān)控���、門禁����、廣播等等��。設備網(wǎng)對通信業(yè)務性能的需求不大���,一般采用二層網(wǎng)絡即可(也可以采用3層組網(wǎng))���,即接入交換機直接上聯(lián)到核心交換機。其中接入交換機可采用百兆也可以采用千兆�。
三、打造醫(yī)院下一代云數(shù)據(jù)中心
通過構建基于超融合的云計算平臺��,打造醫(yī)院下一代數(shù)據(jù)中心���,一方面���,通過虛擬化技術提升基礎架構資源利用率��,另一方面����,通過統(tǒng)一運維管理平臺釋放人力物力�����,進一步聚焦關注信息化和業(yè)務結(jié)合的創(chuàng)新����,通過承載關鍵業(yè)務系統(tǒng)���,如HIS系統(tǒng)��、LIS系統(tǒng)��、PACS系統(tǒng)���、EMR系統(tǒng)等,并提供穩(wěn)定�、可靠和安全的運行保障,為業(yè)務快速發(fā)展提供基礎支撐�。
3.1 建設原則
根據(jù)數(shù)據(jù)中心發(fā)展的現(xiàn)狀�����,結(jié)合成熟可落地的新興IT技術�����,對于醫(yī)院云數(shù)據(jù)中心的總體建設原則如下:
(1)穩(wěn)定性
應采取各種必要技術措施�����,保證信息化云服務平臺具備有優(yōu)秀的穩(wěn)定性�,在保證性能的前提下�����,為主要業(yè)務提供持續(xù)的支撐服務���。
(2)安全性
平臺系統(tǒng)應能充分考慮用戶數(shù)據(jù)的安全���,避免用戶受到異常攻擊或敏感數(shù)據(jù)竊取。應能主動評估業(yè)務系統(tǒng)的安全狀況及提供彌補措施�����,并提供各種操作行為的可回溯能力。
(3)可擴展性
平臺應具備良好的擴展能力�,滿足數(shù)據(jù)中心長期發(fā)展的要求。根據(jù)業(yè)務的發(fā)展預測��,平臺系統(tǒng)定期按照適度預留的原則進行建設���,能在規(guī)定時間內(nèi)快速響應新業(yè)務和新需求的要求����。
(4)靈活的 IT 基礎架構
滿足資源隨時隨地按需分配��,需要建立一個靈活的硬件基礎架構���。硬件基礎架構通常由虛擬的服務器池、共享的存儲系統(tǒng)�、網(wǎng)絡和硬件管理軟件組成。
(5)自動化資源部署
云計算運行管理平臺的核心功能是自動為用戶提供服務器����、存儲以及相關的系統(tǒng)軟件和應用軟件。用戶����、管理員和其他人員能通過 Web 界面使用該功能�。自動化的部署流程不僅能做到“隨需應變”���,適應用戶的需求�����,而且能夠帶來以下好處:引入技術和創(chuàng)新的時間縮短�,設計�、采購和構建硬件和軟件平臺的人力成本降低,以及通過提高現(xiàn)有資源的利用率和復用率節(jié)省成本����。
(6)完善的資源監(jiān)控及故障處理手段
云計算服務管理平臺提供資源和服務的各種運維能力,可以監(jiān)控資源的使用情況��,對于平臺故障提供及時地預警報警��,保證云計算平臺的穩(wěn)定運行����。
(7)先進的容災備份機制
為了實現(xiàn)數(shù)據(jù)中心可靠穩(wěn)定,依照“本地備份����、異地容災”機制�,通過主備機房的建造��,實現(xiàn)主機房出現(xiàn)計劃外故障之后�,能夠在要求的RTO范圍內(nèi)迅速在異地機房拉起業(yè)務。
3.2 總體設計架構
傳統(tǒng)的數(shù)據(jù)中心建設中�����,通常而言都是三層網(wǎng)絡結(jié)構�����,這三層稱之為接入層(Access Layer)�����、匯聚層(Aggregation Layer)和核心層(Core Layer)����。接入層交換機一般會連接服務器�����,匯聚層交換機連接接入層的交換機,并且一般都會提供其他的服務�����,比如說防火墻�����、IPS�����、WAF等等���。一般而言匯聚層是L2和L3網(wǎng)絡的分界點�,匯聚交換機以下是L2網(wǎng)絡���,以上是L3網(wǎng)絡�����。核心層交換機一般為數(shù)據(jù)中心進出數(shù)據(jù)包提供高速轉(zhuǎn)發(fā)��,并同時為數(shù)據(jù)中心內(nèi)的多個匯聚交換機之間的通信提供轉(zhuǎn)發(fā)���。
隨著業(yè)務的增長��,傳統(tǒng)的三層架構只能通過增加物理設備來滿足業(yè)務發(fā)展�����,此時��,數(shù)據(jù)中心架構的可擴展性成為制約業(yè)務發(fā)展的關鍵要素���。同時隨著數(shù)據(jù)中心設備增多,系統(tǒng)的故障點也會增加���,導致整個平臺可靠性下降�。最后大量物理設備導致采購和項目上線周期變長��。
近年來隨著云計算的發(fā)展����,計算、存儲和網(wǎng)絡資源紛紛被池化��,軟件定義的思想開始重構傳統(tǒng)數(shù)據(jù)中心的建設����。通過計算虛擬化提供統(tǒng)一的計算資源池,每一臺X86服務器作為一個節(jié)點�����,基于分布式的架構�����,只需要幾臺服務器或者一體機就可以構建資源池��,并且后續(xù)該資源池可以根據(jù)需要按需擴容����;通過存儲虛擬化可以構建統(tǒng)一的存儲池,通過SSD分層和數(shù)據(jù)條帶化來提供高性能�����,并且采用副本和仲裁為數(shù)據(jù)提供高可用和高可靠����;通過網(wǎng)絡虛擬化來提供所畫即所得的網(wǎng)絡可編輯性,使得網(wǎng)絡拓撲的變更更加簡單便捷���,基于vXlan構建虛擬機東西向流量的承載通道�����。除此之外�����,通過各種容錯機制來保證系統(tǒng)的可靠性和業(yè)務的穩(wěn)定性�����,采用模塊化����、標準化的資源池,提供最好的靈活性來應對數(shù)據(jù)中心的各種變化��。
對于醫(yī)院下一代數(shù)據(jù)中心建設推薦企業(yè)級云方案��,即通過“云管平臺 + 超融合架構”方案�����,基于分布式云數(shù)據(jù)中心架構����,通過軟件定義的方式實現(xiàn)全新的IT基礎架構,通過服務器虛擬化將所有X86的計算資源池化����、通過網(wǎng)絡虛擬化構建出適合虛擬機遷移的大二層環(huán)境、最后通過存儲虛擬化實現(xiàn)存儲空間的融合�,同時提供完整的安全和容災備份方案。云數(shù)據(jù)中心總體架構包括基礎架構層�、超融合架構層、云服務層�。基礎架構層通過超融合一體機和通用交換機構成��。超融合架構層通過計算虛擬化�、存儲虛擬化、網(wǎng)絡虛擬化�����、安全虛擬化分別構建計算��、存儲��、網(wǎng)絡�����、安全資源池。云服務層包含眾多服務組件�,以此來保障業(yè)務系統(tǒng)更加可靠、穩(wěn)定的運行��。云管層實現(xiàn)了對于底層所有資源的調(diào)度���、編排��、管理�����,提供簡單易用的自動化運維手段和多層次監(jiān)控功能�。
云管理平臺可以對基礎架構資源池進行全面的管理���,如實現(xiàn)應用遷移��、全局可視���、一鍵故障定位以及資源的所畫即所得部署;并且當業(yè)務需求提升,需要進一步實現(xiàn)應用和云基礎架構統(tǒng)一管理時���,可以通過升級支持更多的服務�����,包括多租戶管理、自助服務門戶����、多級流程審批以及異構虛擬化資源池,比如VMware���、XenServer�����、Docker等構建的虛擬化資源���,同時可以通過多數(shù)據(jù)中心的容災方案為業(yè)務聯(lián)系性和數(shù)據(jù)可靠性提供更高的保障?���?偠灾捎迷乒芷脚_能夠?qū)崿F(xiàn)超融合構建的企業(yè)級云基礎架構和上層業(yè)務應用架構的緊密融合。
3.3 數(shù)據(jù)中心邏輯架構
云數(shù)據(jù)中心主���、備站點均使用池化的計算����、網(wǎng)絡��、存儲能力�����。如圖所示����,分為五個網(wǎng)絡平面:
管理網(wǎng):主要是集群內(nèi)各主機間控制、配置��,以及熱遷移��、導入導出等流量���。
存儲網(wǎng):主要是集群內(nèi)各主機上的虛擬存儲讀寫流量��。
業(yè)務網(wǎng):虛擬機網(wǎng)口連接物理出口�,主要是進出的業(yè)務流量。
數(shù)據(jù)通信網(wǎng):集群內(nèi)的虛擬機����、虛擬網(wǎng)絡設備之間的數(shù)據(jù)通行主要由這張網(wǎng)絡平面完成。
容災網(wǎng):主要負責容災數(shù)據(jù)�、狀態(tài)的傳輸和同步。
在以上的網(wǎng)絡平面中�,管理網(wǎng)與容災網(wǎng)可以復用,在容災的虛擬機RPO要求較高的時候��,建議使用獨立的容災網(wǎng)口���,實現(xiàn)LAN-Free方案,用以保證管理網(wǎng)絡穩(wěn)定可靠���,不影響平臺的正常運維工作���。
(1)單獨數(shù)據(jù)同步和管理線路:機房鏈路滿足大于10Gbps帶寬、小于1ms的裸光纖互聯(lián)�,保證跨網(wǎng)絡業(yè)務層流量的穩(wěn)定傳輸。
(2)云管平臺跨機房多集群納管:分別在兩機房組件完全獨立的超融合集群����,并通過云管平臺統(tǒng)一納管。
(3)主機房骨干網(wǎng)絡雙冗余:在異地容災之前,主機房要先完成骨干網(wǎng)絡雙鏈路的建設��,否則主機房很容易存在單點故障�����,導致發(fā)生業(yè)務切換����。
(4)主機房一定要配置備份存儲,且備份存儲需要企業(yè)級存儲����,用來防止數(shù)據(jù)誤刪除或者遭遇勒索病毒等邏輯層面錯誤。
兩邊機房都要部署負載均衡�,通過負載均衡設備來做VIP負載,實現(xiàn)更好的全局調(diào)度服務�����,若主站點數(shù)據(jù)徹底丟失�����,則在備站點備份池拉起“容災備機”���,負載均衡虛擬服務會自動完成網(wǎng)絡訪問切換��。
四����、總結(jié)
早在2014年,習總書記就明確提出“沒有網(wǎng)絡安全就沒有國家安全�����,沒有信息化就沒有現(xiàn)代化”����。醫(yī)院信息化融合了我們?nèi)襻t(yī)療健康檔案數(shù)據(jù)、病歷數(shù)據(jù)����、人口基本數(shù)據(jù)���、衛(wèi)生資源數(shù)據(jù)����,醫(yī)院網(wǎng)絡安全就是保護醫(yī)院這些數(shù)據(jù)安全的基本根基���,作為一個醫(yī)院信息化工作者做好醫(yī)院的網(wǎng)絡安全就是為國家安全付出力量��,安全是底線思維��,縱使短期能力做不到��,也要在管理上時刻關照到�,不可輕視,不能放松�。
