xx市医疗卫生专网解决方案.docx
- 文档编号:9681518
- 上传时间:2023-02-05
- 格式:DOCX
- 页数:11
- 大小:123.18KB
xx市医疗卫生专网解决方案.docx
《xx市医疗卫生专网解决方案.docx》由会员分享,可在线阅读,更多相关《xx市医疗卫生专网解决方案.docx(11页珍藏版)》请在冰豆网上搜索。
xx市医疗卫生专网解决方案
XX市医疗卫生专网
建设方案
一、需求概况
1.1.背景介绍
XX市卫计委是XX市卫生行业的主管部门,而XX市医疗专网云整体业务承载通过超融合一体机搭建,在医疗专网云平台上部署供下属医院的业务系统,如HIS、LIS、PACS等业务系统,并部署相应的安全设备保障医疗专网云平台的安全,以满足国家对医院业务的合规性要求;该医疗专网云通过超融合一体机承载搭建,能够给下属乡镇、社区医院提供的容量,足够满足乡镇、社区医院等的数据容量要求。
XX市卫计委下属中心医院、乡镇卫生院和村镇卫生所,下属医院卫生所需要与医疗专网互联。
为了保证每一层之间都能安全高效的传输数据,同时需要对数据和传输路径需要做加密出来,而下属单位外出人员有时也需要医疗专网,直接把资源放到公网上访问又面临着很大的风险,为了保证与每个子单位之间都安全、高效的传输数据,需要一套整体的解决方案,能够保证从发送、传输到接收端都是安全、快速、可靠、易管理的整体解决方案。
1.2.需求分析
随着业务的不断发展,IT运用与业务结合的不断深入,我们发现目前的网络状况已经不能很好的满足业务发展的需要,有如下问题需要解决:
网上业务的发展使得信息交互越来越频繁,重要的数据和信息在网络中的传输也越来越多,安全性要求也越来越重要。
为了实现人们的远程办公,需要保证人员外出时可以安全访问组织内部网络进行日常操作,并同时确保数据的安全。
因此必须在选择方法时,充分考虑多种接入方式以及各个接入方式的安全性。
1.2.1安全性问题
本次的网络建设是整个XX市医疗互联承载应用的基础支撑平台,安全是基本要求。
除了需要保障接入、传输、权限等安全性要求外,系统应能提供有效的安全手段防止外部人员的非法侵入。
结合客户的网络状况,我们看到有以下几个方面的问题亟需解决。
1、身份认证安全
现有采用的是较为单一的用户名密码认证方式,安全强度不高,极易遭到窃取、暴力破解造成重要应用系统的越权访问、强行攻破,导致核心数据的泄漏问题。
尤其是领导中享有较高级权限的帐号若是遭到盗窃所造成的损失将更为严重。
2、终端访问安全
一旦远程终端通过VPN接入到了中心的网络,云平台的安全域延伸到了远程终端。
虽然在中心网络中有一系列安全防御设备,但需要接入到总部的远程用户所使用的终端主机普遍安全防御水平都较低,而中心网络的防护设备又往往不能抵御VPN隧道中的威胁。
为了保证整体安全防御水平,就需要对接入的终端主机的安全水平采取一定的控制措施。
3、权限划分安全
中心内网中有众多的应用系统,若是没有采用合理的访问权限控制机制,将重要服务器暴露在所有内网甚至外网用户面前,容易因密码爆破、越权访问等行为导致系统内重要数据的泄漏,同时,开放的权限环境也将给重要的服务器开放了攻击通道,一旦遭到攻击后果将难以估量。
所以,对于不同的应用系统需要对访问人员做好细致的访问权限控制,
4、应用访问审计安全
为了避免重要的信息系统的访问安全风险,做到有据可查,同时也为了了解应用系统的使用情况,需要对应用的访问采取必要的审计措施,了解何时何地何人访问了哪些应用系统。
1.2.2远程访问速度性问题
影响用户远程办公的最主要因素就的访问速度问题,拖滞的访问速度将大大影响用户的访问体验及办公效率,网络状况、传输数据量及应用的交互方式等等都将影响着速度质量。
1、跨运营商访问问题
国内固网运营商为南电信北网通的格局,跨运营商访问时往往存在较为严重的丢包现象,一旦遇到丢包导致的频繁的重传将大大拖慢了访问速度。
尤其是对于遍布各地远程接入用户而言,线路的运营商环境也多种多样,需要寻求一种方式解决跨运营商高丢包导致的速度问题。
2、高丢包、高延时访问问题
无线、偏远地区等高丢包、高延时的恶劣网络环境下的接入速度异常的慢,严重影响了远程办公的效率。
如何在高丢包、高延时的网络环境下同样保证较高的访问质量提高工作效率?
3、手持移动终端访问问题
许多领导、员工已经采用PDA、智能手机等手持移动终端进行移动办公,但手持移动终端的受3G信号的制约,其访问速度往往不如有线网络。
对于手持移动终端使用的最多的是B/S架构的应用,但现在B/S架构往往是针对电脑进行设计的,一旦使用PDA、智能手机访问,往往出现页面变形、图像过大等现象,影响用户体验的同时,过大的页面冗余数据量也拖慢了用户的访问速度。
4、大量重复冗余数据量
应用系统的使用往往存在大量的冗余数据,如同样的页面、文件中的相同的元素、系统每次交互的相同数据,这些冗余数据量的传输占用了大量的带宽资源,拖慢应用响应速度,影响了工作效率。
5、微软RDP协议本身缺陷
随着BYOD的流行,越来越多的企业为了将业务迁移至智能终,采用远程应用发布的形式,其核心是基于微软RDP远程桌面协议,而RDP桌面协议本身固有的协议,以及对带宽大小的要求,导致智能终端通过3G进行移动办公时访问速度没有保障,如何避免采用远程应用发布时的RDP协议访问速度问题成为企业3A办公的瓶颈,也成为企业需要重点考虑的问题。
1.2.3使用者终端易用性问题
在考虑到安全接入方式的时候,尤其需要考虑到终端易用性问题。
需要接入到中心应用系统访问的人员普遍的IT水平都不高,复杂的软件端安装、参数调配都是非常不合适的。
同时,接入应用系统的核心为办公,就需要提供一种最便利、最简单的接入方式,最大的方便接入人员的办公。
在一体化办公平台有往往需要使用到多个应用系统进行办公,远程用户在面对众多的应用系统时就需要记忆众多的用户名密码并依次登录才能办公,效率低下的同时,还容易混淆。
企业业务系统迁移至智能终端时,企业为智能终端系统Android、iOS开发业务系统APP,能否将VPNSDK包直接嵌入业务系统中,避免拨号连接VPN,再次启动APP,提高用户办公效率。
1.2.4业务稳定性问题
远程发布的业务系统将直接关系到组织的业务能否正常运营、工作能否正常开展的问题,需要保证高可靠、高可用的稳定性。
而VPN作为发布业务系统的基础平台,同样需要保证高稳定的运行以支撑整个业务的持续稳定。
1.2.5管理便利性问题
本次项目涉及到XX市卫计委下属16个卫生院所需要接入到中心平台,网络组建及后续管理将采用XX市卫计委牵头协调、各下属单位进行配合的方式,必须保障整体配置上的协调统一才可保证VPN网络的稳定及高可用。
因此,本次的网络建设需要采用一套完善的管理机制,对整网的VPN设备进行统一管理、配置、升级等,并可对各点设备进行健康状况的实时监控、异常报警,并可进行远程维护,对VPN网络进行及时恢复。
二、VPN技术介绍
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。
同时,这将简化网络的设计和管理,加速连接新的用户和网站。
另外,虚拟专用网还可以保护现有的网络投资。
虚拟专用网至少应能提供如下功能:
A)加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露。
B)信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份。
C)提供访问控制,不同的用户有不同的访问权限。
VPN的分类
根据VPN所起的作用,可以将VPN分为三类:
VPDN、IntranetVPN和ExtranetVPN.
1、VPDN(VirtualPrivateDialNetwork)
在远程用户或移动雇员和公司内部网之间的VPN,称为VPDN.实现过程如下:
用户拨号NSP(网络服务提供商)的网络访问服务器NAS(NetworkAccessServer),发出PPP连接请求,NAS收到呼叫后,在用户和NAS之间建立PPP链路,然后,NAS对用户进行身份验证,确定是合法用户,就启动VPDN功能,与公司总部内部连接,访问其内部资源。
2、IntranetVPN
在公司远程分支机构的LAN和公司总部LAN之间的VPN.通过Internet这一公共网络将公司在各地分支机构的LAN连到公司总部的LAN,以便公司内部的资源共享、文件传递等,可节省DDN等专线所带来的高额费用。
3、ExtranetVPN
在供应商、商业合作伙伴的LAN和公司的LAN之间的VPN.由于不同公司网络环境的差异性,该产品必须能兼容不同的操作平台和协议。
由于用户的多样性,公司的网络管理员还应该设置特定的访问控制表ACL(AccessControlList),根据访问者的身份、网络地址等参数来确定他所相应的访问权限,开放部分资源而非全部资源给外联网的用户。
VPN的隧道协议
VPN区别于一般网络互联的关键于隧道的建立,然后数据包经过加密后,按隧道协议进行封装、传送以保安全性。
一般,在数据链路层实现数据封装的协议叫第二层隧道协议,常用的有PPTP、L2TP等;在网络层实现数据封装的协议叫第三层隧道协议,如IPSec;另外,SOCKSv5协议则在TCP层实现数据安全。
●优点:
PPTP/L2TP对用微软操作系统的用户来说很方便,因为微软已把它作为路由软件的一部分。
PPTP/L2TP支持其他网络协议,如Novell的IPX,NetBEUI和AppleTalk协议,还支持流量控制。
它通过减少丢弃包来改善网络性能,这样可减少重传。
●缺点:
PPTP和L2TP将不安全的IP包封装在安全的IP包内,它们用IP帧在两台计算机之间创建和打开数据通道,一旦通道打开,源和目的用户身份就不再需要,这样可能带来问题。
它不对两个节点间的信息传输进行监视或控制。
PPTP和L2TP限制同时最多只能连接255个用户。
端点用户需要在连接前手工建立加密信道。
认证和加密受到限制,没有强加密和认证支持。
PPTP和L2TP最适合用于远程访问虚拟专用网。
三、方案设计原则
2.
3.
3.1.安全性原则
VPN网络的运行基础是Internet,所有的数据也必须经过Internet进行交换,而这些数据都是组织机构的私密信息,不允许为无关人员所知。
同时VPN网络是在开放的Internet平台之上构建的虚拟网络,也必须保证没有获得授权的用户无法接入VPN网络。
综合考虑用户的具体应用和需求,VPN网络的安全性有五层含义:
一是用户身份的安全;二是接入终端的安全;三是数据传输的安全;四是权限访问安全;五是审计的安全;六是智能终端访问业务系统数据安全性,六大安全全面保障VPN的安全性。
3.2.高速性原则
远程办公最大的制约因素就是速度方面的问题,磕磕绊绊的访问速度大大拖滞了员工的办公效率。
网络速度低下的原因可分为以下几点:
跨运营商访问、传输数据量冗余、高丢包高延时的恶劣网络环境、手持移动终端的无线访问。
而从优化的层次来看,可分为线路、传输协议、数据、应用四个层次。
所以在设计接入方案的时候就需要从这四个层次入手解决远程办公速度低下的问题。
3.3.易用性原则
对于终端用户而言,如何保证VPN使用的简单易用是非常重要的一个方面。
终端用户普遍IT水平不高,其在使用VPN最核心的需求是为了接入到总部内网进行远程办公,在其接入和办公的过程中就需要最大程度的简化其复杂度,避免繁杂的客户端配置及操作,最大程度的提高用户的办公效率,从另一方面也大大降低了网络管理人员对整个VPN客户端维护工作量。
3.4.稳定性原则
VPN支撑着整个组织的应用远程发布,分支机构及移动办公人员都需要依靠VPN网络所承载的办公平台进行日常的办公和事物的紧急处理。
一旦VPN网络出现故障,将直接影响到其上所有人员的正常办公,严重的甚至将导致业务的中断酿成重大的网络事故,造成的损失将难以估量。
所以,对于VPN这张基础承载网络如何保持长时间高稳定的运行显得尤为的重要。
在方案设计中,将充分的考虑到整个网络、业务的稳定性问题。
3.5.合理、便利的管理
从IT部门工作的角度出发,除了需要保证应用的发布安全、用户的使用方便快捷、网络的稳定性之外,还需要考虑到网络管理的合理化,保证网络管理的有序性、安全性、便利性,提高管理效率,降低管理风险。
四、整体方案设计
4.
4.1.架构图与说明
根据本次XX市医疗卫生专网网络建设推荐采用SSLVPN组网解决方案实现整网快速组网、应用提速,另外,使用VPN组网,可为后期横向或者纵向拓展预留借口,实现统一管理和配置。
部署说明:
1、在中心网络中部署2台设备,2台设备做主备模式以保证设备中心网络能高效稳定的对下属机构提供高可靠的网络服务。
2、各乡镇卫生院、卫生所各部署一台VPN设备与中心VPN设备互联,实现乡镇卫生院所访问集中医疗专网云平台。
3、对于拥有比较高的应用权限、安全性要求比较高的乡镇卫生院,设置不同是的权限策略。
4.2.方案优势
4.2.1.高安全性
通过VPN的多种认证方式、多重安全机制保障了内部重要应用既实现了信息平台的共享,又实现了从应用发布、用户认证、用户接入乃至断开连接的一整套的高安全性。
消除了企业信息平台共享的安全风险。
4.2.2.高稳定性
中心网络部署2台VPN设备,做主备模式。
提高了网络的可靠性。
同时本次产品经过了公安部和国家保密局的严格测试,是国家VPN标准的制定者,并与国际领先的测试方案提供商思博伦(Spirent)合作,进行设备的高强度全面测试以保证设备稳定性。
4.2.3.高速接入体验
本次方案建设采用的SSLVPN设备,融入了广域网加速的功能。
在完成基本的VPN通路建设后,对通路的质量进行了保障及优化,相对于互联网直接访问、普通VPN构建等场景对应用系统进行大幅提速。
原先采用互联网直接访问或是部署普通VPN,传输一个设计文件需要几十分钟,打开订单系统页面需要等待十几秒钟,而完成单条订单的录入则需要等待十分钟,在完成加速VPN部署之后,将大大提高各种业务应用的访问效果、网间文件来往的传输速度,进而提升员工的办公效率。
4.2.4.便捷经济性
采用VPN产品实现远程安全快速的内网接入,提高了网络的可用性,相对于专线高昂的费用节约了大量运营成本。
部署方便、使用便利的特点,方便网络部门进行管理维护的同时,大幅提升用户的访问体验。
4.2.5.方便扩容、平滑升级
本次产品VPN扩容便利,新增用户只需要在设备用户数支持范围之内再开通授权即可。
特有的集群技术,对于新增用户数超出设置支持的情况,只要再购买满足日后扩容需要的设备,即可通过集群实现设备之间支持用户数的叠加,很好的保护了原有设备的投资。
4.3.VPN组网带来的价值
4.3.1.让数据整合成为可能
使用VPN组网方案实现“数据整合”的四个方面均能够体现其价值:
逻辑集中:
可以做到纯透明部署,对用户原有的软、硬件没有任何影响。
物理集中:
对数据削减和协议优化能够使得原来孤立的系统能够整合在一起,提高了系统的可用性和可靠性。
避免了基础网络设施的重复建设,以及相应的网络维护成本。
数据集中:
使原本各自独立的应用系统在数据上可以互通共享,提高数据的可用性,同时也提高了数据的安全性。
业务应用整合:
通过对企业数据的物理集中和数据集中,是系统应用达到最优状态。
4.3.2.提高业务效率
带给用户最直观的感受就是,收发邮件快,ERP系统响应时间缩短,远程文件共享上传下载体验好。
事实上,广域网上所有基于TCP的应用都能在不同程度上相对以前有所加速,而这一切都是因为提高了深信服VPN组网方案从链路、数据、应用的提速所带来的好处。
4.3.3.高性价比组网、扩容方便
SSLVPN的建设仅需要基于普通的互联网链路,只需要在总部部署一台SSLVPN设备即可提供安全的接入服务。
无须支付如同专线每月高昂的租用费用,即可完成高性价比的组网。
尤其是多分支、小分支、专线无法涉及的区域的接入服务,SSLVPN的性价比优势尤为凸显。
SSLVPN扩容方便,当有新分支、新用户需要使用SSLVPN,在设备本身的性能范围内仅需要增开移动用户授权即可。
若新增的用户数已超过设备本身的性能,仅需要根据新增的用户数购置一台新SSLVPN设备,通过集群技术共同提供SSLVPN接入服务,在保证了客户原有投资的同时实现性能的平滑扩充。
五、配置清单
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- xx 医疗卫生 解决方案