医院全联接网络解决方案一、需求背景.PDFVIP

医院全联接网络解决方案 一、需求背景 随着互联网的发展，医院移动终端接入快速增长，极大的推动了骨干有线升级万兆网络 发展。首先，对于医院网络而言，移动接入已成必然，需要满足实时实地网络设备自动化部 署。同时，随着物联网应用的兴起，多网关部署带来了重复建设和高成本；另外，终端的不 合规操作管控将是造成 医院发生安全事故主要来源，外网访问频次增加，数据安全风险加大； 恶意攻击和入侵事件频发，网络安全风险加大。对于国家提出的医院等保 2.0 要求，医院需 要在网络建设中考虑结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代 码防范、设备防护等规范。因此传统的的网络建设模型已无法满足医院对网络功能性多样化 的需求。 二、面临问题 1、 新型在线诊疗技术兴起，网络带宽出现瓶颈 ； 2、 网路结构复杂，运维不便 ； 3 、 恶意攻击和入侵事件频发 ，网络安全风险加大。 4 、 物联网技术普及，多网重复部署成本高 三、解决方案 1. 内外网网络解决方案 内网中包括数据中心和核心到各楼层科室的有线接入设备之间的连接，承载所有医疗 业务系统。外网主要指医院的互联网出口，为医患及各方 Internet 服务。内网和外网之间采 用网闸进行逻辑隔离，出口采用下一代防火墙保障内网安全性。内外网有线网络中涉及的设 备主要包括交换机（核心、汇聚、接入）、下一代防火墙、网闸、出口路由器、数据中心服 务存储、AC 、IDS 和 IPS 等。核心交换机采用堆叠技术，提供经济、灵活、快速的网络管理， 数据中心交换机采用 M-LAG 技术，为网络提供设备级可靠性。 2. 设备网解决方案 设备网承载 IP 化的智能化弱电系统，包括安防视频监控 、公共广播、门禁、楼控等等 多种设施，通常由医院的安保部门负责。从方便运维和管理角度出发，采用单独建设，与内 外网物理隔离。 对于设备网中大部分傻瓜式 IP 设备，安视交换机管理平台可实现全 网扫描、自动纳管 ； 对于各种情况导致的设备假死提供自动检测，远程重启，减少运维工作量；安视交换机的端 口与 MAC 及设备类型绑定功能，杜绝私接仿冒、对风险终端进行识别阻断；对于违规终端、 下线隔离，加入黑名单。 3. 网络设备管理方案 当前，医院的网络设备管理通常通过两种方式 ：远程集中管理平台和设备分散远程登录 管理。对于网络建设较早的医院，大多还使用后者，而 目前主流管理方法还是通过Telnet 远 程管理。由于设备数量多 ，网络运维工程量巨大 ，维护工作的只能通过增加运维人员的方式 实现。因为设备采用分散登录，而运维人员数量有限，导致设备弱 口令风险长期广泛存在。 信锐推出完全可视化的集中网络管理平台，将现网识别 1:1 还原到控制平台，设备实现即插 即用，配置一键下发，有线无线、统一系统管理运维 ，告别传统远程登录和命令行模式 ；网 络运行质量 图表化呈现 ；APP 和短信等多维远程告警 ；实现对网络的灵活可视化管理，大大 较低运维的复杂度和减少对网管人员的技术能力要求 ，为其管理提供需要的效率 。 4. 设备准入解决方案 作为一个开放的区域，进入医院的人员类型混杂，医院接入终端设备种类众多，接入用 户权限各异，信锐技术提供多种接入认证方式，包括 802.1x 、脸识识别、Portal、短信认证 、 微信认证等多种方式，为不同的使用网络群体提供适合的网络接入认证方式。另外，终端地 址绑定、终端位置绑定、终端类型跟踪等功能，可实现，私接仿冒 自动识别阻断；违规终端、 下线隔离，为终端设备安全准入提供强力基础。 5. 内网信息安全防护 内网数据涉及患者生命安全，责任重大，内网安全越发重要，而近年来发生的网络攻击、 蠕虫病毒造成的网络瘫痪，数据劫持导致的数据泄密、修改等事件层出不穷；另外，医院内 部各种医疗设备联网较多 ，风险系数极高，信锐技术提供完善的设备准入认证方式 、东西向 流量安全防护，为网络提供必要的安全策略 ，避免数据修改和泄漏，防止网络攻击引起的网 络瘫痪。 6. 基于 AP 的物联网扩展方案 随着医