医疗智能网络架构

医疗智能网络架构 李中锋湖北华特信息技术有限公司

目录 • 华特公司简介 • 医疗智能网络架构 • 典型案例介绍 • 医疗智能无线架构 • 医疗运维管理平台

华特公司简介 HTSS:HuaTe SmartCare Service

华特公司的发展历程 2012年成立无线架构事业部通过思科Smart Care服务体系认证,打造专业的服务团队 2007年华特公司成立第一年 2011年以维保服务和软件应用为主导第五年 2008年客户以制造和政府行业为主第二年 2010年通过ISO9000认证十堰市多数医疗机构均采用华特的解决方案第四年 2009年扩展到医疗行业第三年

组织结构

成功客户名单 • 医疗：十堰市卫生局、十堰市太和医院、十堰市人民医院、十堰市中医医院、十堰市妇幼保健院、十堰市东风总医院、十堰市红十字会医院、武汉市妇女儿童医疗保健中心、武汉市亚洲心脏病医院、武汉市第一医院、襄阳市第一人民医院、襄阳市中心医院、郧县人民医院、郧西卫生局； • 大企业：武汉天河机场有限责任公司、东风汽车股份有限公司、东风裕隆汽车销售有限公司、东风康明斯发动机有限公司、东风俊风湖北汽车销售有限公司、北京福田康明斯发动机有限公司、康明斯燃油系统（武汉）有限公司、湖北金环股份有限公司、康明斯（中国）投资有限公司、武汉元丰汽车电控有限公司、襄樊德纳车桥有限公司、湖北省石花酿酒股份有限公司。

成功客户名单 • 政府：湖北楚才教育考试印务中心、湖北省档案馆、湖北省女子监狱、十堰市财政局、十堰市工商局、十堰市非税收入管理局、十堰市武当山财政局、十堰市地方税务局、十堰市白浪地方税务局、郧县地方税务局、郧西地方税务局。 • 其他：武当建国国际大酒店、湖北医药学院。

华特业务布局

医疗智能网络架构

医疗智能网络架构需求 • 医疗信息系统划分内外网，内外网物理隔离。之间互联通过部署防火墙严格策略访问。 • PACS组建独立的千兆接入的网络。 • 无线应用按内外网划分。内网提供无线查房应用、外网提供移动办公及互联网快速访问。 • 组建三层网络，全面提升分布层三层交换机性能；提高网络冗余能力，最大程度优化区域网络链路和设备布署。 • 网络出现环路后，自动断开。将影响限制到小范围内。 • 外来用户接入网络后不通。需求认证用户名和密码。 • 初步实施网络的统一管理和技术监控，建立集网络、系统、数据库和应用等为一体的企业管理平台。

网络安全域划分原则 • 等级划分原则：同一网络内，根据系统子网进行规划，并根据其所处的位置的重要性划分； • 安全隔离原则：对高风险的网络进行有效隔离，保证对核心区域网络之间的有效隔离控制； • 等级控制原则：对不同安全等级的网络采用必要的技术手段进行控制； • 深度防御原则：根据网络应用访问的顺序，逐层进行防御，保护核心应用的安全； • 可用性原则：安全措施的实施不能影响系统的可用性，并尽量少的影响业务服务。

数据中心安全区 • 数据中心区提供各应用系统的安全接入和保护。数据中心的设备主要包括服务器接入交换设备和汇聚交换设备。重要的服务器应该通过两块网卡分别连接到两台接入交换机，以消除单点故障，接入交换设备应该具有划分VLAN、PVLAN和子网之间隔离的基本功能。汇聚交换设备在汇聚接入交换设备的同时，提供服务器到核心路由区的连接，其应该具有第三层交换功能，并且应有冗余机制确保一台汇聚交换设备无法提供网络服务的情况下，能够有另外一台汇聚交换设备继续提供网络服务。另外，在冗余的汇聚交换设备之间应启用二层连接，以连接跨不同接入交换机的VLAN。数据中心的结构如下图所示：

数据中心区执行的安全策略 • 数据中心区执行的安全策略应该包括： • 根据应用架构对服务器进行分层部署（如Web展现层、应用服务层、数据库服务层），通过划分不同的VLAN隔离各层之间的流量； • 在以应用架构层次划分的同一VLAN中，再通过划分不同的PVLAN隔离不同应用之间的流量； • 由汇聚层交换机对各VLAN的服务器之间的数据交换进行转发，同时在汇聚层交换机上部署共用的服务模块，提供访问控制、安全过滤、消息路由等服务； • 部署NIDS进行安全监控，提供有可能未被防火墙过滤掉的重要安全警报信息，提高对攻击类型的识别能力 • 在服务器的接入交换设备上应该部署Port Security、BPDU Guard、Root Guard等安全措施，防止非授权主机或网络设备接入；

有线接入区 • 经研究统计发现，企业绝大多数的数据丢失来源于内部网络的攻击，防火墙主要防备来源于外部的攻击，不能保护内部网络的安全，所以应采取重要措施来防止内部的攻击。在内部网络中针对用户的有线接入单独划出单独安全区域，并实施有效的安全控制手段能很好地抑制内部网络攻击。Ip arp inspection, ip dhcp snooping,IP sourd Guard. • 有线接入区主要有接入交换设备和汇聚交换设备。为确保有线接入区能够有效分析和控制试图访问公司网络的用户和设备，确保每个用户和终端设备都符合医疗信息系统的安全策略，在每个设备上都应完成一些安全控制。接入交换设备应该具有划分VLAN和子网之间隔离的基本功能；汇聚交换设备在汇聚接入交换设备的同时，提供用户到核心路由区的连接，其应该具有第三层交换功能，并且应有冗余机制确保一台汇聚交换设备无法提供网络服务的情况下，能够有另外一台汇聚交换设备继续提供网络服务。另外，为实现网络的快速收敛，冗余的汇聚交换设备之间应避免使用二层连接，尽可能实现三层路由功能。

有线安全区执行的安全策略 • 对于不能识别其身份的终端，应该禁止其接入到公司网络；对于能够识别其身份的终端，应该根据用户身份，将其分配到合适的接入网段；用户对网络的访问可以按照时间进行限制。通过有线接入区访问XXX网络的用户主要包括XXX自身员工、外包运维人员、外包工作人员、外来项目人员。 • 接入交换设备连接用户终端，直接将各种用户物理地接入到XXX网络，其应该能够主动向接入设备发出识别用户身份的请求，并能将用户的身份信息正确无误地转发给后面的鉴权服务器，基于身份的网络准入机制能很好地实现用户终端接入的安全防护； • 应该能够提供用户访问网络的详细记录，如什么时候连接、什么时候退出、连接时间、连接交换机的端口号等信息，在网络发生安全问题，能够提供线索以供审核。 • 对用户能够访问的内部网络资源，需在汇聚交换设备上进行严格的访问控制，并且应严格控制不同用户之间的访问，如果有需要，也应对于同一VLAN和子网用户之间的访问进行安全控制； • 对于运行不满足授权版本操作系统的终端，应该有相应的强制措施，使其在能够访问网络资源前，必须满足网络对终端操作系统的授权版本要求，比如：通过检查来查看操作系统是否安装了适当补丁，或完成了最新的热修复。 • 在终端接入到网络之前，应判断其是否安装了防病毒软件，并且打开并正运行要求的防病毒技术，是否带有最新的系列签名文件。 • 在终端接入到网络之前，应判断是否已安装并正确配置了个人防火墙、入侵防御或其他桌面系统安全软件。 • 在终端接入到网络之前，应检查接入设备的定制镜像是否已被修改或篡改。

无线接入区 • 无线接入区是建立在有线接入网络的基础上，作为有线网络的拓展和补充，不仅为有线接入的用户提供无线访问的要求；同时，它也可以为外来非常驻人员提供临时性的Internet访问需求。无线接入区主要有无线AP设备和无线控制器。AP直接连接到有线接入的交换设备，无线控制器部署在Internet区的DMZ，以满足下列一些安全策略的要求。

无线安全区执行的安全策略 • 为了对无线接入设备进行很好的管理和安全控制，接入到医疗内部的所有无线设备均应该采用支持“瘦”AP架构的产品； • 对于所有的无线访问，应该在无线接入设备AP与无线控制器之间应该建立起一条安全的逻辑通道，使无线的数据流量能够与其它数据流量做到逻辑分离，并可实施单独的QoS和安全控制； • 应该考虑至少为每类用户建立单独的SSID,除有线接入区的自身员工、外包运维人员、外包工作人员、外来项目人员的用户外，还应该考虑为外来非常驻人员建立单独的SSID；并隐藏为有线用户提供无线拓展的SSID，公开为外来非常驻人员提供Internet访问的SSID； • 对于外来非常驻人员，无线网络应该仅允许其临时访问Internet，限制其访问的时间，除此之外，应该禁止其对医疗网络内部资源的访问； • 对于常驻人员，应遵守与有线接入同样的身份识别和健康检查机制，在允许其接入网络后，方可访问其授权的内部网络资源和Internet。另外，需要在无线接入区与其它区之间部署防火墙，即无线访问控制器与网络的连接处实施安全访问控制，根据应用的需要对无线接入用户访问内部网络资源和Internet进行严格的访问控制； • 无线信道应在终端支持的情况下，选用更为安全的加密方式；

网络管理区 • 网络管理区的是为医疗系统所有设备和主机提供安全管理、日志记录和报告。收集的网络管理信息从各个设备送到网络管理区内部的管理节点，设备的配置、以及新的软件从网络管理区内部的管理节点加载到每台设备。 • 网络管理区包括的主要设备有： • 网络管理主机——为设备提供SNMP管理 • 系统管理主机——为设备、主机等提供配置和软件更新服务 • 安全管理主机——收集汇总网络上NIDS、防火墙、IPS等所有安全设备发出的预警信息 • NIDS设备——对网络流量进行4层到7层的监控和分析 • Syslog主机——收集防火墙和NIDS主机的log信息 • 防火墙——提供管理主机和被管理设备之间的安全流控制 • L2交换机——确保被管理设备的数据只能送到防火墙 • 访问控制服务器——提供网络管理员的身份认证服务 • OTP服务器——为访问控制服务器提供一次性密码服务

网络管理区执行的安全策略 • 需要在网络管理区与网络接口的防火墙处，部署安全访问控制，过滤和阻止任何方向上与网络管理无关的非授权访问；比如，在防火墙上配置允许syslog、SNMP信息进入网络管理网络区，同样也允许从网络管理区内部发起的telnet、SSH和SNMP的应用。 • 在防火墙处需对RFC 2819和RFC 1918进行地址过滤，防止网络管理地址欺骗 • 在网络管理区内部的管理数据需要采取安全防护手段，防止实施中间人攻击，比如在L2交换及上针对管理终端、网络管理主机等实施PVLAN、Port Security等配置，使中间人攻击非常困难； • 出于用户口令安全方面的考虑，采用集中管理的方式，在各地网管中心配置安全访问控制服务器器，所有设备的用户名、口令、权限控制都统一管理，避免因分散式管理带来的安全漏洞和管理的复杂性； • 在安全访问控制服务器上可对进入到设备的管理用户分为多个级别，对不同级别的用户分配不同级别的访问权限。所有设备的管理用户均需通过访问控制服务器的身份验证，并可结合一次性密码系统，为每台设备提供更严格的身份认证控制；仅当访问控制服务器不可用时，方可通过设备本地认证的方式管理设备；

身份识别和策略区 • 身份识别和策略区为医疗网络的各种用户提供安全的身份识别和认证，并对不同用户的不同访问方式强制采用规定的认证和授权机制。从用户的类别来看，医疗系统主要分为两种用户：内部用户和外部用户；用户访问网络的方式可分为本地访问和远程访问。 • 在用户的身份认证方面，有四种常用的认证方式，分别是： • 固定用户名/口令； • 时效用户名/口令； • 一次性口令； • 令牌卡/软令牌。

身份识别和策略区执行的安全策略 • 内部用户的本地访问 • 对于内部普通员工，本地访问需要对接入的网络终端进行基于用户身份的统一认证，并在接入终端的健康（防病毒、操作系统安全补丁、终端安全代理等）满足有线接入区、无线接入区的安全要求的情况下，才允许其访问DCEC内部资源；推荐的解决方案是集成在统一目录服务器上的网络准入机制。 • 对于网络管理员，严格限制网络管理的工作在物理上的网络管理区进行，如果需要在除网络管理区外的地方进行网络管理，需要在管理员终端建立IPSec VPN，VPN用户的身份认证可采用AAA+集成One Time Password的方式进行认证授权； • 内部用户的远程访问 • 对于内部普通员工，需要通过VPN拨号的方式接入到公司Internet区。对于内部普通员工的VPN认证需要在统一的目录服务器上进行或者采用其它认证服务器与其进行集成。在VPN认证成功后，仍需要进一步对其使用的终端进行网络健康检查，实行与其在本地一样的网络准入机制。 • 对于临时访客，禁止其通过有线方式接入网络访问内部资源；仅允许其通过无线方式，访问Internet。对于访客的身份认证，需要由管理员为访客在专门的Guest访问控制服务器上建立临时访问帐号，并严格限制其访问时间，在时间期满后，访客帐号自动回收。 • 外部用户的远程访问 • 对于外部常驻人员，需要执行与内部普统员远程地访问一样的安全策略。包括远程VPN的LDAP认证和网络准入机制。

核心路由区 • 核心路由区除连接本地各个安全区域外，仍连接各地的广域网络。本地各安全区域之间的流量以及各地之间的流量均需通过核心路由区的设备进行路由转发。核心路由区的设备主要有核心交换机和核心路由器：核心交换机负责本地各区域之间的流量转发；

核心路由区执行的安全策略 • 核心路由区的设备提供本地安全域之间以及各地之间的高速数据转发，在核心交换设备无需部署安全访问控制，可在核心路由设备上适当部署安全访问控制； • 与核心路由区核心交换机连接的所有物理链路应具有全网状的连接，并采用收敛快速的OSPF作为核心骨干区的路由协议，确保核心网络的路由快速收敛能力和高可用性；一旦各地的Internet出口发生故障，可路由本地Internet流量到其他地方的Internet出口，实现Internet的链路冗余； • 在核心路由设备上应该对各地的路由信息进行认证和加密，并通过访问控制，严格限制不必要的路由信息进入到本地的核心路由区。另外，也需要对本地路由信息进行汇总，防止不必要的路由信息流入到其它地方的核心路由区； • 如果条件许可，可在核心交换设备和核心路由设备之间加设防火墙，加强各地之间流量的访问控制力度；

Extranet区 • Extranet区的安全要求包括： • 针对不同类型防火墙的优缺点，需尽可能在Extranet区部署双层异构的防火墙设备，加强对内网的保护； • 部署NIDS进行安全监控，提供有可能未被防火墙过滤掉的重要安全警报信息，提高对攻击类型的识别能力； • 关闭所有防火墙的默认服务，开启必要的服务以确保防火墙设备自身的安全防护，比如：NTP、SYSLOG、SNMP等； • 根据访问权限设置严格的ACL访问控制列表，基于端口和IP地址将外部访问用户按照相应的访问权限指定至合法的VLAN区域； • Extranet的非军事区(DMZ)是指为不信任第三方系统提供服务的孤立网段，其目的是把敏感的内部网络和其他提供访问服务的网络分开，阻止内网和第三方网直接通信，以保证内网安全。

Extranet的DMZ应执行的安全策略 • DMZ区的不同服务器之间尽可能限制互相访问，确保相互之间不会受到广播的影响，实现安全隔离，如对各DMZ内的服务器（互相不需要连接）进行Private VLAN划分； • 设置内部的防火墙，根据双方访问需要，实现内网用户可以访问第三方网络，内网用户也可以访问DMZ内的数据交换服务器，如确保内网授权用户访问DMZ中的日产服务器； • 设置外部的防火墙，实现第三方不能直接访问内部网络，但第三方可以访问DMZ区内的服务器和应用。 • 设置内部的防火墙，除了一些特定应用外，DMZ区不能访问内网。

Internet的DMZ应执行的安全策略 • DMZ区的不同服务器之间尽可能限制互相访问，确保相互之间不会受到广播的影响，实现安全隔离，如对各DMZ内的服务器（互相不需要连接）进行Private VLAN划分； • 设置内部的防火墙，实现内网用户可以访问外网，内网也可以访问DMZ，以确保内网用户使用和管理DMZ中的服务器； • 设置外部的防火墙，实现外网不能直接访问内网，但外网可以访问DMZ区内的服务器和应用； • 设置内部的防火墙，除了通过无线接入和远程VPN接入的内部用户以及一些特定应用外，DMZ区不能访问内网；

思科统一无线网络架构 NCS一体化网络管理无线控制器直观的图形化界面简化配置, 监视, 和故障排查 • 可扩充性架构 • 减少管理点 • NCS 统一网管 • ISE 统一策略 • 无线控制器通过CAPWAP 隧道管理配置无线接入点 • 支持lightweight 和 standalone两种架构的无线接入点 SNMP ISE一体化网络策略 CAWAP 业界领先的内容感知的有线+无线+VPN 策略管理 NMSP 移动服务引擎室外无线接入点对客户端, 资产标签, 和非法无线设备进行高精度定位追踪室内无线接入点

思科统一无线网络无线控制器产品定位 Flex 7500 WiSM 2 性能/功能 5508-250/500 5508-12/25/50/100 2500/WLCM2

思科统一无线网络无线接入点产品定位 OEAP 600 3600e/i 3500e/i/p 1260N 1140N INDOOR 802.11n 1040N 性能/功能 1240AG INDOOR 802.11abg 1130AG OutDoor 802.11N 1550 OutDoor 802.11abg 1310/1410 1522/1524

思科802.11n 无线接入点产品线定位 商业无线网络 Business Mobility Rich Media 富媒体应用关键业务

思科无线控制器产品定位 大型园区运营商 WISM2 5508 8500 • 300 to 6000 APs • 64,000 clients • 10 Gbps • 100 to 1000 APs • 15,000 clients • 20 Gbps • 12 to 500 APs • 7000 clients • 8 Gbps 中小园区大量分支 (零售, 连锁, 中小学) 运营商 Management Service 2500 WLCM2 VirtualController Flex 7500 • 300 to 6000 APs • 64,000 clients • 1 Gbps • 5 to 75 APs • 1000 clients • 1 Gbps • 5 to 200 APs • 3000 clients • 500 Mbps

思科无线控制器产品线定位

1.运维功能介绍

网络监控系统介绍 报表管理故障管理性能管理运维管理用户管理资产管理安全管理 • 网络 • 管理 • 网络 • 监控

功能一览 设备监控服务器监控应用监控线路监控网络监控管理统计报表管理用户监控历史分析网络一览定位隔离故障报警备份和恢复集中管理

网络用户服务统览报表安全设备、线路、出口监控

用户网络服务统览报表安全用户链路地址监控

医疗智能网络架构

医疗智能网络架构

Presentation Transcript