医院全联接网络解决方案.pdfVIP

医院全联接网络解决方案 一、医院网络建设需求背景 随着互联网的发展，医院移动终端接入快速增长，极大的推动了骨干有线升级万兆网 络发展。 首先，对于医院网络而言，移动接入已成必然，需要满足实时实地网络设备自动化部 署；同时，随着物联网应用的兴起，多网关部署带来了重复建设和高成本；另外，终端的 不合规操作管控将是造成医院发生安全事故主要来源，外网访问频次增加，数据安全风险 加大；恶意攻击和入侵事件频发，网络安全风险加大。 对于国家出的医院等保 2.0 要求，医院需要在网络建设中考虑结构安全、访问控 制、安全审计、边界完整性检查、入侵防范、恶意代码防范、设备防护等技术规范，因此 传统的网络建设模型已无法满足医院对网络功能性多样化的需求。 二、医院网络建设面临的问题 1、新型在线诊疗技术兴起，网络带宽出现瓶颈； 2、网络结构复杂，传统设备管理模式运维不便； 3、恶意攻击和入侵事件频发，网络安全风险加大； 4、物联网技术普及，多网重复部署成本高。 三、信锐医院全联接网络解决方案 1）内外网网络解决方案 内网中包括数据中心和核心到各楼层科室的有线接入设备之间的连接，承载所有医疗 业务系统。外网主要指医院的互联网出口，为医患及各方 Internet 服务。内网和外网之间 采用网闸进行逻辑隔离，出口采用下一代防火墙保障内网安全性。 内外网有线网络中涉及的设备主要包括交换机（核心、汇聚、接入）、下一代防火 墙、网闸、出口路由器、数据中心服务存储、AC、IDS 和 IPS 等。核心交换机采用堆叠技 术，供经济、灵活、快速的网络管理，数据中心交换机采用 M-LAG 技术，为网络供设 备级可靠性。 2）设备网解决方案 设备网承载 IP 化的智能化弱电系统，包括安防视频监控、公共广播、门禁、楼控等 等多种设施，通常由医院的安保部门负责。从方便运维和管理角度出发，采用单独建设， 与内外网物理隔离。 对于设备网中大部分傻瓜式 IP 设备，安视交换机管理平台可实现全网扫、自动纳 管；对于各种情况导致的设备假死供自动检测，远程重启，减少运维工作量；安视交换 机的端口与 MAC 及设备类型绑定功能，杜绝私接仿冒、对风险终端进行识别阻断；对于违 规终端、下线隔离，加入黑名单。 3）网络设备管理方案 当前，医院的网络设备管理通常通过两种方式：远程集中管理平台和设备分散远程登 录管理。对于网络建设较早的医院，大多还使用后者，而目前主流管理方法还是通过 Telnet 远程管理。由于设备数量多，网络运维工程量巨大，维护工作的只能通过增加运维 人员的方式实现。因为设备采用分散登录，而运维人员数量有限，导致设备弱口令风险长 期广泛存在。 信锐推出完全可视化的集中网络管理平台，将现网识别 1:1 还原到控制平台，设备实 现即插即用，配置一键下发，有线无线、统一系统管理运维，告别传统远程登录和命令行 模式；网络运行质量图表化呈现；APP 和短信等多维远程告警；实现对网络的灵活可视化 管理，大大较低运维的复杂度和减少对网管人员的技术能力要求，为其管理供需要的效 率。 4）设备准入解决方案 作为一个开放的区域，进入医院的人员类型混杂，医院接入终端设备种类众多，接入 用户权限各异，信锐技术供多种接入认证方式，包括 802.1x、脸识识别、Portal、短信 认证、微信认证等多种方式，为不同的使用网络群体供适合的网络接入认证方式。另 外，终端地址绑定、终端位置绑定、终端类型跟踪等功能，可实现，私接仿冒自动识别阻 断；违规终端、下线隔离，为终端设备安全准入供强力基础。 5）内网信息安全防护 内网数据涉及患者生命安全，责任重大，内网安全越发重要，而近年来发生的网络攻 击、蠕虫病毒造成的网络瘫痪，数据劫持导致的数据泄密、修改等事件层出不穷；另外， 医院内部各种医疗设备联网较多，风险系数极高，信锐技术供完善的设备准入认证方 式、东西向流量安全防护，为网络供必要的安全策略，避免数据修改和泄漏，防止网络 攻击引起的网络瘫痪。 6）基于AP 的物联网扩展方案 随着医院物联网应用的不断普及，包括智慧病房、人员定位、资产定位、体征监测、 智能导航、婴儿防盗等场景的应用，出现了多系统重复建设的问题；信锐通过扩展 TCP