摘 要:随着互联网技术的不断发展,医院的内外网物理隔离成为医院安全防护中的重要工作,这项安全防护工作不但能够保障医院的核心数据不被泄露,确保医院的各项工作顺利开展,同时也是对患者的生命健康负责。本文针对医院内外网融合的网络架构配置实践进行简单论述。
关键词:内外网融合;网络架构;配置实践
中图分类号:R197.323;TP393.08 文献标识码:A 文章编号:2096-4706(2018)09-0163-02
Abstract:With the continuous development of internet technology,the physical isolation of internal and external networks of hospitals has become an important task in the hospitals security protection. This security protection can not only ensure that the hospitals core data is not leaked,ensuring the smooth development of the hospitals work. It is also responsible for the patients life and health. This article briefly discusses the deployment of network architectures for intranet and extranet integration.
Keywords:internal and external network integration;network architecture;configuration practice
0 引 言
当前医院拥有的网络就是内网和外网,内网负责管理医院的内部数据,外网则是通过Internet进行网络访问,主要为医生的日常工作带来便捷。在医院的安全防护工作中,采用物理隔离将两者隔开,是为了避免相互之间的通信,但是医疗事业的不断发展,内网与外网之间的互动越来越频繁,如何能使其在交换过程中保持安全性原则,是我们要重视的问题。
1 医院内外网融合的网络架构的设计
当前,医院内外网融合所采用的网络架构是由安全网关+前置机+安全隔离网闸组成的,安全网关被放置在外网的边界处,对网络使用的行为、病毒防控、防火墙的检测等等进行实时监控,阻挡外界入侵以及未授权用户的访问,保障医院的网络安全。前置机处于内网与外网服务器之间,更像是两者之间的纽带,具有数据转换的作用。最后是安全隔离网闸,这是一种拥有控制作用的专用硬件,可以快速截断网络之间的连接,使内外网数据交换更安全。
2 医院内外网融合的网络架构配置实践方案
2.1 数据中心的融合
医院的“数据中心”一般是由机房中数十台服务器和数据库组成的,这些数据库以及服务器中大部分包含了大量的数据资源,以便医院内部在各项工作中能够有所借鉴与参考。有了“数据中心”的支持,医院内部很多业务能够方便快捷的解决,也有一小部分是与内外同时相连的双网卡,因此,首先要对这些网络区域进行划分:内网接入区域是由医院内部网络终端以及承载内网的交换机组成,其数据中心是由内网的服务器、数据库服务器以及相应承载的网络组成;而外网刚好相反,接入网区域是外部网络终端以及承载外网的交换机,数据中心是外网服务器以及相应的承载网络;除此之外,还有Internet区域。
现在很多医院会参考银行业务的安全防护机制,对于各个区域的边界进行安全保护,例如在Internet的出入口设置防火墙或网闸等,但对于内网数据中心与外网数据中心之间的防护,仍然有少数医院没注意到。医院的核心业务可能面临的风险主要有两类,一类是信息窃取,一类是拒绝服务。
信息窃取是外界通过破解权限得到医院的相关数据,拒绝服务是医院的核心业务不能正常工作,这两种安全风险的攻击对于医院的内外网安全来说都是非常严重的,不但使设备的性能下降,使服务器的可靠性变低,系统漏洞百出无法正常服务,而且可能由于信息泄露,给医院的患者以及医疗工作带来危害。
所以,边界防护非常重要,除了一般的防火墙、防毒墙等以外,内网与外网之间也要有防护,外网应用要访问内部数据时,需要通过内外网之间的边界防护的安全检查。并且,外网必须通过前置机或者应用服务器对内网数据进行访问,内网数据不可以直接对外网开放。
2.2 用户终端的网络融合
随着医院业务的增多,终端设备的内外网接入可以由用户自行选择,于是,内外网融合的作用就凸显出来。告别了过去采用两台终端设备分别接入的办法,而是将基础网络连通,但终端访问权限是受到控制的,用户要自己选择进入外网还是内网,网管也可以控制是否准许用户进入内外网。
医院过去对于内外网融合的网络架构用的是三层交换,这与现在的路由器在架构上是有区别的,两者的芯片不同,导致所擅长的功能也不同,前者擅长模式化的转发,而后者则更侧重于计算。过去由于核心路由器的价格要高一些,所以碍于成本问题,医院选择了三层交换机,但随着科学技术的不断进步,现在的路由器成本已经变得能够接受了。
将用户终端进行网络融合,采用的路由器的核心功能就是提供用户认证授权、计费以及审计,这样用户在使用网络的时候就要进行登录认证,在登录认证时,数据中心或者Internet的连接根据身份认证进行选择,内网的登录凭证是MAC地址,外网则是用户名和口令,通过这样的网络架构,使用户终端的内外网融合,方便了终端用户的使用。
这其中路由器所用的主要功能是BRAS功能,BRAS是Broadband Remote Access Server的简称,其工作原理是BRAS在收到终端MAC地址信息或者用户口令时,将其发送给AAA服务器,服务器根据预先的设置,给予BRAS相应的权限,BRAS在接受相应的权限以后,对于用户的访问权限进行控制访问,以此循环,可见,BRAS是用户终端融合中的核心功能。值得一提的是,在BRAS中,医院对于最大的接入交换机的选择不必太严格,选择最普遍的交换机类型即可。
3 内外网融合配置实践的优势
3.1 满足不同用户需求
内外网融合方案有很多优势,首先通过融合能够满足不同用户的需求,在路由器的使用方面,可以支持两个用户通过同一个路由器上网,并且处于不同的区域。这表示,即使是通过同一个路由器,不同用户也是一个独立的个体,其网络所在的区域是独立的,不被共享的,所以,提高了医院内外网的安全性。
3.2 实现内网终端权限的灵活定义
在内外网融合的方案下,实现了内网终端权限的灵活定义,这其中包括,只允许内网终端对内网进行访问,内网终端无法对外网进行访问,指定的内网终端可以访问外网,并且在访问外网时,是同时访问内网和外网,还是切断内网只访问外网。总之,对于内网终端的权限设置,可以根据用户的需求进行灵活设置调整。
3.3 解决一系列网络顽症
通过融合方案解决了很多网络顽症,对医院的安全防护工作带来了积极的影响,大大提升了防护工作的效率,例如,由于内外网融合的网络架构配置实践,解决了IP地址的冲突问题,由网络环路引起的广播风暴问题,ARP欺骗导致大面积用户受影响的问题,还有一些私自接路由器导致网络病毒的传播与感染问题,这些问题的解决,为用户带来了一个安全的网络环境,为医院的工作的顺利开展奠定了基础,对医院的核心数据进行了保护,同时又为医生的办公提供了良好的条件。
4 医院网络安全防护工作的重要性
医院的网络安全防护工作是医院工作的重点之一,随着现代科学技术的不断发展,我们用到网络的地方越来越多,不能否认的是互联网给我们的生活带来了诸多便利,医院的工作千头万绪,良好的网络安全对医院工作非常重要,所以,加强医院网络安全的防护工作,采用像内外网融合等适当的手段对网络安全进行防护,对于医院的整体工作有重要意义。
5 结 论
医院是一个神圣的地方,这里每时每刻都在于死神赛跑,所以,速度就是生命。采用上述方案促进了内外网之间的融合,改善了过去内外网中可能存在的安全问题,保障医院的工作效率,但是这并不是一劳永逸的,在内外网融合以后,仍然要注意到网络的安全防护问题,对于网络中检测病毒、木马等软件进行及时更新,采取多种措施对网络中的安全风险进行防护,保障医院安全管理的工作质量。
参考文献:
[1] 贾世超.医院内外网融合的网络架构配置分析 [J].信息与电脑(理论版),2018(5):174-175+178.
[2] 李娜娜,吴响,胡俊峰.基于MPLS技术的医院内外网融合网络架构研究与仿真设计 [J].科技创新与应用,2017(33):21-22+24.
[3] 程方慧,孟冬青.医院内外网融合的网络架构配置实践 [J].通讯世界,2017(18):81.
[4] 俞华.医院内外网融合的网络架构配置实践 [J].中国数字医学,2017,12(3):94-96.
作者简介:王上林(1992.12-),男,汉族,江苏金湖人,助理工程师,本科。研究方向:计算机软硬件及网络安全管理。
