医院网络安全建设:三网整体设计和云数据中心架构设计

医院网络安全问题涉及到医院日常管理多个方面,一旦医院信息管理系统在正常运行过程中受到外部恶意攻击,或者出现意外中断等情况,都会造成海量医疗数据信息的丢失。由于医院信息管理系统中存储了大量患者个人信息和治疗方案信息等,如果这些数据信息遭到篡改很容易导致医疗事故的发生。因此,鉴于医院的特殊性质,在信息化建设中必须加强网络安全防护工作,以完善的策略保护医院网络的安全稳定运行。

一、传统医院网络安全架构简介

图片

国内大部分医院网络一般分为三张网,分别是内网、外网和设备网,三张网络通过逻辑隔离、物理隔离的方式进行隔离。

内网,主要承载医院的医疗核心业务,例如HIS、LIS、PACS、EMR等业务系统,内网承载数据传输的任务,要求高宽带、大容量和高速率,并需考虑未来扩容、带宽升级。因此是网络建设的重点。

外网,可作为行政办公,也可承载对外发布、互联网等业务,随着“互联网+”以及智慧医院等的发展,外网的建设也越来越受到医院的重视。外网稳定性和保密性的要求一般低于内网,但是因为存在对外和互联网互通,因此十分注重安全,且接入终端及数据流特点也更为复杂,因此存在接入终端层面的安全管理需求。同时,医院外网是医院对外的形象窗口,必须重视其建设规划。

设备网,主要承载医院视频监控,门禁、IPTV等等业务,对网络要求低于内网,一般关注稳定性,通常可以采用二层组网。

二、稳定高效的医院三网整体设计

对于医院内网,建议采用成熟的三层架构:接入、汇聚和核心,通过出口网络设备连接到院外,实现互联互通。这种分层的网络架构,可以保证业务需求,分别对不同层次进行扩容。内网数据中心服务器区主要部署的是医院的内部业务,例如HIS、PACS、EMR、LIS等。

整个网络的重要特征是不存在网络单点故障,交换机设备和链路都存在冗余负载备份,接入交换机与汇聚交换机通过双链路连接,汇聚交换机双链路接入核心交换机,交换机之间采用链路捆绑保证链路级可靠性,核心与汇聚设备之间通过网络虚拟化技术+跨设备链路聚合技术保证设备级、链路级可靠性。内网有线组网拓扑如下:

图片

对于医院外网,建议采用成熟的三层架构:接入、汇聚和核心。外网主要业务包括互联网业务、互联网访问、视频会议等等,对性能要求不如内网的要求高,外网组网图如下:

图片

对于医院设备网,主要承载的业务常见的包括视频监控、门禁、广播等等。设备网对通信业务性能的需求不大,一般采用二层网络即可(也可以采用3层组网),即接入交换机直接上联到核心交换机。其中接入交换机可采用百兆也可以采用千兆。

图片

三、打造医院下一代云数据中心

通过构建基于超融合的云计算平台,打造医院下一代数据中心,一方面,通过虚拟化技术提升基础架构资源利用率,另一方面,通过统一运维管理平台释放人力物力,进一步聚焦关注信息化和业务结合的创新,通过承载关键业务系统,如HIS系统、LIS系统、PACS系统、EMR系统等,并提供稳定、可靠和安全的运行保障,为业务快速发展提供基础支撑。

3.1 建设原则

根据数据中心发展的现状,结合成熟可落地的新兴IT技术,对于医院云数据中心的总体建设原则如下:

(1)稳定性

应采取各种必要技术措施,保证信息化云服务平台具备有优秀的稳定性,在保证性能的前提下,为主要业务提供持续的支撑服务。

(2)安全性

平台系统应能充分考虑用户数据的安全,避免用户受到异常攻击或敏感数据窃取。应能主动评估业务系统的安全状况及提供弥补措施,并提供各种操作行为的可回溯能力。

(3)可扩展性

平台应具备良好的扩展能力,满足数据中心长期发展的要求。根据业务的发展预测,平台系统定期按照适度预留的原则进行建设,能在规定时间内快速响应新业务和新需求的要求。

(4)灵活的 IT 基础架构

满足资源随时随地按需分配,需要建立一个灵活的硬件基础架构。硬件基础架构通常由虚拟的服务器池、共享的存储系统、网络和硬件管理软件组成。

(5)自动化资源部署

云计算运行管理平台的核心功能是自动为用户提供服务器、存储以及相关的系统软件和应用软件。用户、管理员和其他人员能通过 Web 界面使用该功能。自动化的部署流程不仅能做到“随需应变”,适应用户的需求,而且能够带来以下好处:引入技术和创新的时间缩短,设计、采购和构建硬件和软件平台的人力成本降低,以及通过提高现有资源的利用率和复用率节省成本。

(6)完善的资源监控及故障处理手段

云计算服务管理平台提供资源和服务的各种运维能力,可以监控资源的使用情况,对于平台故障提供及时地预警报警,保证云计算平台的稳定运行。

(7)先进的容灾备份机制

为了实现数据中心可靠稳定,依照“本地备份、异地容灾”机制,通过主备机房的建造,实现主机房出现计划外故障之后,能够在要求的RTO范围内迅速在异地机房拉起业务。

3.2 总体设计架构

传统的数据中心建设中,通常而言都是三层网络结构,这三层称之为接入层(Access Layer)、汇聚层(Aggregation Layer)和核心层(Core Layer)。接入层交换机一般会连接服务器,汇聚层交换机连接接入层的交换机,并且一般都会提供其他的服务,比如说防火墙、IPS、WAF等等。一般而言汇聚层是L2和L3网络的分界点,汇聚交换机以下是L2网络,以上是L3网络。核心层交换机一般为数据中心进出数据包提供高速转发,并同时为数据中心内的多个汇聚交换机之间的通信提供转发。

随着业务的增长,传统的三层架构只能通过增加物理设备来满足业务发展,此时,数据中心架构的可扩展性成为制约业务发展的关键要素。同时随着数据中心设备增多,系统的故障点也会增加,导致整个平台可靠性下降。最后大量物理设备导致采购和项目上线周期变长。

近年来随着云计算的发展,计算、存储和网络资源纷纷被池化,软件定义的思想开始重构传统数据中心的建设。通过计算虚拟化提供统一的计算资源池,每一台X86服务器作为一个节点,基于分布式的架构,只需要几台服务器或者一体机就可以构建资源池,并且后续该资源池可以根据需要按需扩容;通过存储虚拟化可以构建统一的存储池,通过SSD分层和数据条带化来提供高性能,并且采用副本和仲裁为数据提供高可用和高可靠;通过网络虚拟化来提供所画即所得的网络可编辑性,使得网络拓扑的变更更加简单便捷,基于vXlan构建虚拟机东西向流量的承载通道。除此之外,通过各种容错机制来保证系统的可靠性和业务的稳定性,采用模块化、标准化的资源池,提供最好的灵活性来应对数据中心的各种变化。

对于医院下一代数据中心建设推荐企业级云方案,即通过“云管平台 + 超融合架构”方案,基于分布式云数据中心架构,通过软件定义的方式实现全新的IT基础架构,通过服务器虚拟化将所有X86的计算资源池化、通过网络虚拟化构建出适合虚拟机迁移的大二层环境、最后通过存储虚拟化实现存储空间的融合,同时提供完整的安全和容灾备份方案。云数据中心总体架构包括基础架构层、超融合架构层、云服务层。基础架构层通过超融合一体机和通用交换机构成。超融合架构层通过计算虚拟化、存储虚拟化、网络虚拟化、安全虚拟化分别构建计算、存储、网络、安全资源池。云服务层包含众多服务组件,以此来保障业务系统更加可靠、稳定的运行。云管层实现了对于底层所有资源的调度、编排、管理,提供简单易用的自动化运维手段和多层次监控功能。

云管理平台可以对基础架构资源池进行全面的管理,如实现应用迁移、全局可视、一键故障定位以及资源的所画即所得部署;并且当业务需求提升,需要进一步实现应用和云基础架构统一管理时,可以通过升级支持更多的服务,包括多租户管理、自助服务门户、多级流程审批以及异构虚拟化资源池,比如VMware、XenServer、Docker等构建的虚拟化资源,同时可以通过多数据中心的容灾方案为业务联系性和数据可靠性提供更高的保障。总而言之,采用云管平台能够实现超融合构建的企业级云基础架构和上层业务应用架构的紧密融合。

3.3 数据中心逻辑架构

图片

云数据中心主、备站点均使用池化的计算、网络、存储能力。如图所示,分为五个网络平面:

管理网:主要是集群内各主机间控制、配置,以及热迁移、导入导出等流量。

存储网:主要是集群内各主机上的虚拟存储读写流量。

业务网:虚拟机网口连接物理出口,主要是进出的业务流量。

数据通信网:集群内的虚拟机、虚拟网络设备之间的数据通行主要由这张网络平面完成。

容灾网:主要负责容灾数据、状态的传输和同步。

在以上的网络平面中,管理网与容灾网可以复用,在容灾的虚拟机RPO要求较高的时候,建议使用独立的容灾网口,实现LAN-Free方案,用以保证管理网络稳定可靠,不影响平台的正常运维工作。

(1)单独数据同步和管理线路:机房链路满足大于10Gbps带宽、小于1ms的裸光纤互联,保证跨网络业务层流量的稳定传输。

(2)云管平台跨机房多集群纳管:分别在两机房组件完全独立的超融合集群,并通过云管平台统一纳管。

(3)主机房骨干网络双冗余:在异地容灾之前,主机房要先完成骨干网络双链路的建设,否则主机房很容易存在单点故障,导致发生业务切换。

(4)主机房一定要配置备份存储,且备份存储需要企业级存储,用来防止数据误删除或者遭遇勒索病毒等逻辑层面错误。

两边机房都要部署负载均衡,通过负载均衡设备来做VIP负载,实现更好的全局调度服务,若主站点数据彻底丢失,则在备站点备份池拉起“容灾备机”,负载均衡虚拟服务会自动完成网络访问切换。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/243358.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

unity 单例模式(实例详解)

文章目录 在Unity中,单例模式是一种常用的编程设计模式,用于确保在整个应用程序生命周期中,只有一个类的实例存在。这样可以保证数据的全局唯一性和共享性,例如游戏场景中的资源管理器、游戏控制器、事件管理器等。 以下是一个简单…

C++11手撕线程池 call_once 单例模式 Singleton / condition_variable 与其使用场景

一、call_once 单例模式 Singleton 大家可以先看这篇文章&#xff1a;https://zh.cppreference.com/w/cpp/thread/call_once /*std::call_oncevoid call_once( std::once_flag& flag, Callable&& f, Args&&... args ); */ #include <iostream> #i…

C# 使用System.Threading.Timer 实现计时器

写在前面 以往一般都是用 System.Timers.Timer 来做计时器&#xff0c;而 System.Threading.Timer 也可以实现计时器功能&#xff0c;并且还可以配置首次执行间隔&#xff0c;在功能上比System.Timers.Timer更加丰富&#xff1b;根据这个特性就可以实现按指定时间间隔对委托进…

2023年上半年网络工程师真题(1/3)

1.固态硬盘的存储介质是&#xff08;B&#xff09;。 A.光盘 B.闪存 C.软盘 D.磁盘 SSD存储介质是FLASH(一块块的存储芯片)&#xff0c;HDD(机械硬盘)存储介质是磁盘(机械臂和盘道)&#xff0c;补充:U盘的存储介质也是FLASH闪存。 2.虚拟存储技术把&#xff08;A&#xf…

小封装高稳定性振荡器 Sg2520egn / sg2520vgn, sg2520ehn / sg2520vhn

描述 随着物联网和ADAS等5G应用的实施&#xff0c;数据流量不断增长&#xff0c;网络基础设施变得比以往任何时候都更加重要。IT供应商一直在快速建设数据中心&#xff0c;并且对安装在数据中心内部/内部的光模块有很大的需求。此应用需要具有“小”&#xff0c;“低抖动”和“…

Linux_清理docker磁盘占用

文章目录 前言一、docker system 命令1. docker system df&#xff08;本文重点使用&#xff09;2. docker system prune&#xff08;本文重点使用&#xff09;3. docker system info4. docker system events 二、开始清理三、单独清理Build Cache四、单独清理未被使用的网络 前…

特征融合篇 | YOLOv8 引入长颈特征融合网络 Giraffe FPN

在本报告中,我们介绍了一种名为DAMO-YOLO的快速而准确的目标检测方法,其性能优于现有的YOLO系列。DAMO-YOLO是在YOLO的基础上通过引入一些新技术而扩展的,这些技术包括神经架构搜索(NAS)、高效的重参数化广义FPN(RepGFPN)、带有AlignedOTA标签分配的轻量级头部以及蒸馏增…

一文详解 Berachain 测试网:全面介绍与教程,bitget wallet教程

什么是Berachain&#xff1f; Berachain&#xff08;web3.bitget.com/zh-CN/assets/berachain-wallet&#xff09;是一种尖端区块链技术&#xff0c;使用 Cosmos SDK 构建的 Layer-1&#xff0c;兼容以太坊虚拟机&#xff08;EVM&#xff09;。它基于一种独特的概念&#xff0c…

Unity编程#region..#endregion以及面板提示语标签[Tooltip(““)]

C#中的#region..#endregion 在Unity中&#xff0c;#region和#endregion是用于代码折叠的预处理指令。它们并不是Unity特有的&#xff0c;而是C#语言本身提供的功能。 #region用于标记一段代码的开始&#xff0c;而#endregion用于标记一段代码的结束。在编辑器中&#xff0c;可…

基于YOLOv5、v7、v8的竹签计数系统的设计与实现

文章目录 前言效果演示一、实现思路① 算法原理② 程序流程图 二、系统设计与实现三、模型评估与优化① Yolov5② Yolov7③Yolov8 四、模型对比 前言 该系统是一个综合型的应用&#xff0c;基于PyTorch框架的YOLOv5、YOLOv7和YOLOv8&#xff0c;结合了Django后端和Vue3前端&am…

C内存对齐问题

一、主要参考&#xff1a; C/C编程笔记&#xff1a;C语言对齐问题【结构体、栈内存以及位域对齐】_二进制异常退出,栈对齐-CSDN博客 其中关于内存对齐&#xff0c;讲了结构体以及位域&#xff0c;以及一些容易出错的地方&#xff0c;非常好。 结构体对齐&#xff1a; 下面提…

项目风险管理

风险分类&#xff1a; 分类性质&#xff1a;纯粹风险&#xff0c;投机风险---对应火灾&#xff0c;股票买卖 产生原因&#xff1a;自然&#xff0c;社会&#xff0c;政治&#xff0c;经济&#xff0c;技术 风险性质&#xff1a;客观性&#xff0c;偶然性&#xff0c;相对性&a…

MySQL---多表等级查询综合练习

创建emp表 CREATE TABLE emp( empno INT(4) NOT NULL COMMENT 员工编号, ename VARCHAR(10) COMMENT 员工名字, job VARCHAR(10) COMMENT 职位, mgr INT(4) COMMENT 上司, hiredate DATE COMMENT 入职时间, sal INT(7) COMMENT 基本工资, comm INT(7) COMMENT 补贴, deptno INT…

锂电池SOC估计 | PatchTST时间序列模型锂电池SOC估计

目录 预测效果基本介绍程序设计参考资料 预测效果 基本介绍 锂电池SOC估计 | PatchTST时间序列模型锂电池SOC估计 采用新型PatchTST时间序列模型预测锂电池SOC&#xff0c;送锂电池数据集 可替换数据集&#xff0c;实现负荷预测、流量预测、降雨量预测、空气质量预测等其他多种…

[足式机器人]Part2 Dr. CAN学习笔记- 最优控制Optimal Control Ch07-2 动态规划 Dynamic Programming

本文仅供学习使用 本文参考&#xff1a; B站&#xff1a;DR_CAN Dr. CAN学习笔记 - 最优控制Optimal Control Ch07-2 动态规划 Dynamic Programming 1. 基本概念2. 代码详解3. 简单一维案例 1. 基本概念 Richoard Bell man 最优化理论&#xff1a; An optimal policy has the …

Spring-配置文件

一、引子 了解完Spring的基本概念后&#xff0c;我们紧接着来了解Spring中的核心文件--Spring配置文件。 二、配置Bean 我们在上一节Spring的基本概念中快速使用了一下Spring&#xff0c;其中我们在配置文件中主要涉及到就是Bean标签的配置&#xff1a;主要的配置字段有id, …

【漏洞攻击之文件上传条件竞争】

漏洞攻击之文件上传条件竞争 wzsc_文件上传漏洞现象与分析思路编写攻击脚本和重放措施中国蚁剑拿flag wzsc_文件上传 漏洞现象与分析 只有一个upload前端标签元素&#xff0c;并且上传任意文件都会跳转到upload.php页面&#xff0c;判定是一个apache容器&#xff0c;开始扫描…

Windows 下ffmpeg安装及实践

Windows 下ffmpeg安装及实践 背景安装实践其他 背景 最近负责音频文件处理相关的业务&#xff0c;涉及到 ffmpeg 对一些音频文件格式的校验&#xff0c;记录一下安装过程及踩坑过程。 安装 如图1所示&#xff0c;进入官网&#xff0c;在windows下任选一个文件&#xff1a;h…

【笔记】Blender4.0建模入门-3物体的基本操作

Blender入门 ——邵发 3.1 物体的移动 演示&#xff1a; 1、选中一个物体 2、选中移动工具 3、移动 - 沿坐标轴移动 - 在坐标平面内移动 - 自由移动&#xff08;不好控制&#xff09; 选中物体&#xff1a;右上的大纲窗口&#xff0c;点击物体名称&#xff0c;物体的轮…

大模型笔记【3】 gem5 运行模型框架LLama

一 LLama.cpp LLama.cpp 支持x86&#xff0c;arm&#xff0c;gpu的编译。 1. github 下载llama.cpp https://github.com/ggerganov/llama.cpp.git 2. gem5支持arm架构比较好&#xff0c;所以我们使用编译LLama.cpp。 以下是我对Makefile的修改 开始编译&#xff1a; make UNAME…