利谱医疗行业网闸解决方案(2).pdfVIP

医疗行业网闸解决方案（2）

需求分析

医院信息化建设经历了单机操作、局部网络化、全院的网络信息化建设三个阶段。随着

全球信息化的发展，医院信息化建设也赶上时代的步伐，从最初的小规模的尝试进入了大规

模的铺开。医院内网有各种收费服务器、病区管理服务器和药房管理服务器，因此如何保护

内网服务器的安全，合理规划医院各个科室人员使用网络，使医院的宏观管理更上一层楼，

是目前凸显的一个重要问题。医院各个部门如门诊收费人员、药房管理人员、医生和行政

管理人员通过中心交换机实现网络的互联和对医院内部服务器的访问。门诊收费处通过DDN

专线可以访问社保网。为了让病人可远程查询其病历及检查状况，病历服务器信息需对外公

布，服务器的安全必须要保障。为了方便病人，很多医院开通了网上挂号，挂号服务器数据

与办公内网业务系统数据通信，服务器的安全都需要保证。

方案设计

设计原则

高性价比原则：构建安全体系必须在性能和价格之间进行权衡。在方案的制定、产品的选型、

服务的选择方面都尽可能体现高性能价格比的原则。高效性：由于增加了安全产品，必将

影响网络和系统的性能，包括对网络传输速率的影响，对系统本身资源的消耗等。因此需要

平衡利弊，提出最为适当的安全解决建议。简单性：尽力避免造成网络结构的复杂，操作

与维护的困难。安全体系的建立不能对目前信息系统的结构做出根本性的修改。可管理性：

对于安全系统来说，要求提供方便、友好的图形化管理界面。对于网络系统来说，要求不影

响原有业务的开展。开放性：安全管理工具支持广泛的安全管理标准。提供的安全产品具

有相应的接口，可以利于各种安全产品之间集成使用，并可以和其他信息产品高效结合。根

据对某医院网络建设需求分析，我们提出某医院网络隔离与信息建设方案。根据某医院的网

络安全需求，我们在改变原结构情况下做统一平台管理规划。

我们把利谱TIPTOP物理隔离网闸内口联接中心交换机，网闸外网口连接对外服务部分

交换机，对外服务交换机通过路由器和防火墙连接到社保网与互联网。通过网闸实现了某医

院内部网络与互联网络和社保网的隔离，可以实现一定安全度上的数据交换。网闸实现对医

院内部各部门上网身份认证与管理。1、物理隔离网闸在保持某医院内外网络物理隔离的同

时，进行适度的、可控的内外网络的数据交换。保护医院收费服务器、药房管理服务器及病

区管理服务器等重要服务器的安全，实现隔离，防止外网黑客的攻击。2、通过网闸对医院

各个部门人员上网进行身份认证控制，并实现分组管理：

1）门诊收费用人员只允许访问内网服务器和社保网，禁止访问互联网。

2）护士站、药房管理人员只允许访问内网服务器，禁止上互联网。

3）医生及行政人员既可以访问内网服务器，也可以访问互联网。

4）互联网用户可远程挂号、查询病历。

1/4

改造后的总体网络拓扑结构图

推荐型号：TIPTOPV2.0-G

序号功能模块功能描述

产品采用“2+1”（即双主机系统+DTP物理隔离通道控制系统）体系结构，具备DTP

物理隔离通道系统证书；主机采用专用安全操作系统及嵌入式程序控制（ASIC）

1系统架构确保系统本身免受攻击；采用特有控制逻辑和专用通讯协议完全控制数据的实时

交换，确保信任网络和非信任网络之间任何连接的断开，彻底阻断TCP/IP协议及

其他网络协议。

标准1U机架式机箱；内、外网各4个10/100M/1000M（千兆RJ-45接口）；内、

外网各1个独立HA口(RJ-45)；内、外网个一个console管理口；必须带液晶显

2物理参数

示屏，可显示内外网IP地址等整机信息，面板可操控整机复位、关机，具备网络

IP冲突监测报警功能。

数据传输数率≥850M；系统延时1ns；MTBF≥50,000小时；内部数据传输：5Gbps;

3硬件性能

最大并发连接数:1