虞宏達

（溫州醫(yī)科大學(xué)附屬眼視光醫(yī)院，浙江 溫州 325000）

骨干網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)日趨綜合化、復(fù)雜化，網(wǎng)絡(luò)信息安全邊界日趨模糊。當前，信息化已經(jīng)是順應(yīng)時代發(fā)展和推動技術(shù)更新的必要階段，諸多新興技術(shù)如云平臺、物聯(lián)網(wǎng)、大數(shù)據(jù)和移動互聯(lián)的技術(shù)發(fā)展也為各大企業(yè)提供了活力。醫(yī)院信息化系統(tǒng)也飛速發(fā)展，它的安全性和平穩(wěn)性直接關(guān)系到醫(yī)院工作的正常秩序和運行，一旦網(wǎng)絡(luò)發(fā)生故障，數(shù)據(jù)丟失或者中惡意病毒，會給醫(yī)院帶來風(fēng)險。

1 傳統(tǒng)背景下醫(yī)院骨干網(wǎng)絡(luò)結(jié)構(gòu)分析

1.1 醫(yī)院傳統(tǒng)骨干網(wǎng)絡(luò)結(jié)構(gòu)分析

當前，隨著醫(yī)院信息系統(tǒng)數(shù)量和承載量不斷攀升，骨干網(wǎng)絡(luò)架構(gòu)的規(guī)模雖也呈擴大趨勢，但是以往的骨干網(wǎng)絡(luò)核心設(shè)備性能已經(jīng)負載飽和，轉(zhuǎn)發(fā)數(shù)據(jù)的能力也無法滿足和適應(yīng)當今的業(yè)務(wù)需求，再加上醫(yī)院骨干網(wǎng)絡(luò)結(jié)構(gòu)的可靠性問題，以及網(wǎng)絡(luò)冗雜性問題等，醫(yī)院骨干網(wǎng)絡(luò)結(jié)構(gòu)需要進一步強化提升。

1.2 信息安全等級保護制度分析

當前，醫(yī)院網(wǎng)絡(luò)信息安全建設(shè)根據(jù)等級保護2.0要求，需要部署下一代網(wǎng)絡(luò)安全設(shè)備，如全網(wǎng)行為管理、態(tài)勢感知平臺、下一代防火墻、IPS 入侵防御檢測以及病毒規(guī)則庫等設(shè)備，醫(yī)院信息安全系統(tǒng)等級至少應(yīng)達到二級或以上防護要求。因此設(shè)計安全穩(wěn)定的骨干網(wǎng)絡(luò)結(jié)構(gòu)刻不容緩。

1.3 醫(yī)院實際業(yè)務(wù)分析

醫(yī)院規(guī)模的擴大，會帶來更多的承載量，醫(yī)院的網(wǎng)絡(luò)是一個信息化系統(tǒng)和辦公系統(tǒng)相結(jié)合的網(wǎng)絡(luò)形式，作為一個信息化的醫(yī)院，除了要運行辦公的信息系統(tǒng)，還要結(jié)合醫(yī)院復(fù)雜的HIS、LIS、PACS 等信息系統(tǒng)，要求網(wǎng)絡(luò)必須能夠傳輸龐大數(shù)據(jù)業(yè)務(wù)，所以在這樣復(fù)雜的網(wǎng)絡(luò)上，要運用多種高帶寬性能的設(shè)備和防護設(shè)備來保證信息系統(tǒng)安全穩(wěn)定地運行。因此，需要更加高性能的網(wǎng)絡(luò)核心設(shè)備支持。

2 醫(yī)院骨干網(wǎng)絡(luò)設(shè)計

本設(shè)計對醫(yī)院現(xiàn)有的業(yè)務(wù)進行梳理，設(shè)計對各個功能區(qū)進行劃分，本著安全、穩(wěn)定、高性能的原則，在滿足信息等級保護制度的條件下，實現(xiàn)最流暢的、最安全的網(wǎng)絡(luò)體驗，讓網(wǎng)絡(luò)管理員獲得最有效的、最簡易的管理方式。根據(jù)以上幾點設(shè)計了多功能區(qū)域的醫(yī)院骨干網(wǎng)絡(luò)結(jié)構(gòu)，如圖1 所示。

圖1 多功能區(qū)域的醫(yī)院骨干網(wǎng)絡(luò)結(jié)構(gòu)

2.1 核心區(qū)域網(wǎng)絡(luò)設(shè)計

核心骨干網(wǎng)絡(luò)使用三層網(wǎng)絡(luò)結(jié)構(gòu)，即為核心層-匯聚層-接入層形式的網(wǎng)絡(luò)架構(gòu)。核心設(shè)備為雙冗余數(shù)據(jù)中心級核心交換機，樓層交換機和服務(wù)器區(qū)網(wǎng)關(guān)交換機為園區(qū)級的匯聚交換機，供設(shè)備接入的交換機為普通的萬兆交換機。如圖1 所示，兩臺核心交換機作虛擬化配置，同時連接一臺DHCP 服務(wù)器（可用匯聚交換機實現(xiàn)DHCP 功能），核心交換機虛擬化組連接數(shù)臺匯聚交換機，匯聚交換機再連接接入層交換機。交換機之間的路由協(xié)議，均采用自動收斂的Ospf路由協(xié)議。

2.2 互聯(lián)網(wǎng)區(qū)網(wǎng)絡(luò)設(shè)計

核心區(qū)域上聯(lián)為互聯(lián)網(wǎng)區(qū)，通過一個下一代防火墻進行互聯(lián)，該防火墻進行互聯(lián)網(wǎng)出口配置，包括nat映射、地址池、策略管理等。DMZ 區(qū)接在防火墻下聯(lián)。DMZ 區(qū)稱為隔離區(qū)。該區(qū)的功能簡單理解為醫(yī)院需要向外發(fā)布，或被外界訪問的服務(wù)，需要互聯(lián)網(wǎng)出口下一代防火墻對其業(yè)務(wù)進行映射配置。如醫(yī)院的支付系統(tǒng)、云桌面系統(tǒng)等等。DMZ 區(qū)服務(wù)器采用園區(qū)級三層交換機，上聯(lián)接某廠商互聯(lián)網(wǎng)出口下一代防火墻，下聯(lián)接各臺需要對外發(fā)布的服務(wù)器。

2.3 設(shè)備接入?yún)^(qū)網(wǎng)絡(luò)設(shè)計

核心區(qū)下聯(lián)就是各樓層、各門診、各病區(qū)等客戶端接入設(shè)備，配置數(shù)臺園區(qū)級匯聚交換機，下聯(lián)接接入交換機，它們之間通過二層協(xié)議透明傳輸，配置VLAN，生成樹協(xié)議（防環(huán)機制），以及DHCP 中繼協(xié)議，客戶端的默認網(wǎng)關(guān)均配置在此匯聚交換機下。如此結(jié)構(gòu)，較好地保護了核心交換機的網(wǎng)絡(luò)性能，以及減少了其故障率。

2.4 服務(wù)器接入?yún)^(qū)網(wǎng)絡(luò)設(shè)計

此區(qū)域也在核心區(qū)域下聯(lián)，通過一個下一代防火墻進行互聯(lián)，有效地保護了客戶端與服務(wù)器之間的安全訪問。用一臺匯聚交換機做服務(wù)器網(wǎng)關(guān)，服務(wù)器網(wǎng)關(guān)不在核心交換機上。下聯(lián)多臺萬兆的服務(wù)器接入交換機，服務(wù)器、存儲陣列以及超融合服務(wù)器集群均接在此交換機上，以此來承載HIS、LIS、PACS、EMR 等各類業(yè)務(wù)系統(tǒng)。

2.5 專線接入?yún)^(qū)網(wǎng)絡(luò)設(shè)計

核心區(qū)下聯(lián)的專線接入?yún)^(qū)，是醫(yī)院各項業(yè)務(wù)相互訪問的區(qū)域。如農(nóng)保、醫(yī)保、銀行、銀聯(lián)、市級預(yù)約、省級預(yù)約等線路，涉及眾多單位互聯(lián)的線路，信息安全威脅較大，惡意病毒感染率較高。因此，在線路接入到醫(yī)院機房時，架設(shè)一臺某廠商下一代防火墻進行威脅檢測，對流量進行甄別。之后通過前置機和匯聚交換機作前置機的網(wǎng)關(guān)，用一臺普通的某廠商防火墻和核心區(qū)互聯(lián)。防火墻所有的ACL 策略采用默認禁止、授權(quán)開放的模式，而且級別實現(xiàn)到金融級的端口級別，非常好地保護了專線和內(nèi)網(wǎng)互訪的信息安全。

3 下一代網(wǎng)絡(luò)安全設(shè)備設(shè)計

3.1 交換機設(shè)備設(shè)計

核心區(qū)域采用某廠商高性能數(shù)據(jù)中心級別和園區(qū)級級別的交換機，核心交換機為CloudEngine 16804 型號，交換機容量最高為1 161 Tbps，包轉(zhuǎn)發(fā)率最大為115 200 Mpps。

匯聚交換機為CloudEngine S12700E-4，交換機容量最高為256 Tbps，包轉(zhuǎn)發(fā)率最大為48 000 Mpps。接入交換機采用S6720-SI 系列多速率萬兆交換機，交換容量為2.56 Tbps/23.04 Tbps，包轉(zhuǎn)發(fā)率為480 Mpps。骨干網(wǎng)絡(luò)搭建為，2 臺核心交換機做虛擬化配置，其中1 臺匯聚交換機做DHCP 服務(wù)器，其余做各樓層的匯聚交換機和服務(wù)器網(wǎng)關(guān)，設(shè)備接入使用萬兆交換機。交換機的各種性能如圖2 所示。

圖2 交換機的性能

3.2 下一代防火墻設(shè)計

外網(wǎng)防火墻、專線邊界防火墻、服務(wù)器區(qū)防火墻均采用某廠商AF 系列的下一代防火墻。使用防火墻均配置為透明傳輸模式。該系列產(chǎn)品是專注于安全攻防對抗的下一代防火墻，在下一代防火墻產(chǎn)品的基礎(chǔ)上集成豐富的實戰(zhàn)化安全創(chuàng)新技術(shù)，增強網(wǎng)絡(luò)邊界的安全檢測與防控能力，保護組織網(wǎng)絡(luò)免受日益復(fù)雜的威脅入侵，保障組織的業(yè)務(wù)安全性和可用性。配備了實時更新的入侵檢測和防病毒模塊，同時建立金融級別的ACL 策略。防火墻所有的ACL 策略采用默認禁止、授權(quán)開放的模式，而且級別實現(xiàn)到金融級的端口級別，非常好地保護了服務(wù)器互訪的信息安全，為服務(wù)器網(wǎng)絡(luò)提供了更深一層的保障，保障網(wǎng)絡(luò)更加平穩(wěn)運行。防火墻的多種功能介紹如圖3 所示。

圖3 防火墻的多種功能介紹

3.3 全網(wǎng)行為管理設(shè)備設(shè)計

在各網(wǎng)絡(luò)區(qū)域之間，均使用某廠商全網(wǎng)行為管理設(shè)備進行透明傳輸，對用戶進行甄別和認證，對進出流量和行為進行有效地控制。行為管理的多種功能介紹如圖4 所示。

圖4 行為管理的多種功能

3.4 態(tài)勢感知平臺設(shè)計

某廠商態(tài)勢感知平臺（簡稱SIP）旁路在核心區(qū)，通過鏡像口連接，將核心交換機的數(shù)據(jù)全部完整地鏡像到SIP 中，以安全可視、智能檢測、協(xié)同聯(lián)動為核心，打造一套高效、精準、可持續(xù)優(yōu)化的大數(shù)據(jù)安全分析平臺，讓安全可感知、易運營，變得更有價值。態(tài)勢感知的多種功能介紹如圖5 所示。

圖5 態(tài)勢感知平臺的多種功能

4 結(jié)束語

在醫(yī)療服務(wù)行業(yè)中，尤其是醫(yī)院的信息化建設(shè)過程中，骨干網(wǎng)絡(luò)建設(shè)雖是一個很基礎(chǔ)很底層的部分，但它的重要性不容忽視。安全高速的骨干網(wǎng)絡(luò)，是醫(yī)院的信息化建設(shè)的基礎(chǔ)，在數(shù)據(jù)傳輸和共享的過程中，網(wǎng)絡(luò)和數(shù)據(jù)必須安全平穩(wěn)，這樣，醫(yī)院信息系統(tǒng)才能有效正常運行。骨干網(wǎng)絡(luò)的結(jié)構(gòu)愈發(fā)完善可與醫(yī)院信息系統(tǒng)更好融合，可以進一步扎實推進醫(yī)院信息化建設(shè)。本文通過下一代網(wǎng)絡(luò)安全設(shè)備設(shè)計醫(yī)院骨干網(wǎng)絡(luò)體系，設(shè)計具有高帶寬的設(shè)備性能，實現(xiàn)金融級別的訪問策略，將醫(yī)院給業(yè)務(wù)功能分區(qū)管理，相互之間互不干擾，實現(xiàn)網(wǎng)絡(luò)一體化管理。希望為行業(yè)內(nèi)的朋友提供借鑒和思路。