基于下一代網絡安全設備的醫院骨干網絡結構設計

虞宏達

（溫州醫科大學附屬眼視光醫院，浙江 溫州 325000）

骨干網絡基礎設施建設日趨綜合化、復雜化，網絡信息安全邊界日趨模糊。當前，信息化已經是順應時代發展和推動技術更新的必要階段，諸多新興技術如云平臺、物聯網、大數據和移動互聯的技術發展也為各大企業提供了活力。醫院信息化系統也飛速發展，它的安全性和平穩性直接關系到醫院工作的正常秩序和運行，一旦網絡發生故障，數據丟失或者中惡意病毒，會給醫院帶來風險。

1 傳統背景下醫院骨干網絡結構分析

1.1 醫院傳統骨干網絡結構分析

當前，隨著醫院信息系統數量和承載量不斷攀升，骨干網絡架構的規模雖也呈擴大趨勢，但是以往的骨干網絡核心設備性能已經負載飽和，轉發數據的能力也無法滿足和適應當今的業務需求，再加上醫院骨干網絡結構的可靠性問題，以及網絡冗雜性問題等，醫院骨干網絡結構需要進一步強化提升。

1.2 信息安全等級保護制度分析

當前，醫院網絡信息安全建設根據等級保護2.0要求，需要部署下一代網絡安全設備，如全網行為管理、態勢感知平臺、下一代防火墻、IPS 入侵防御檢測以及病毒規則庫等設備，醫院信息安全系統等級至少應達到二級或以上防護要求。因此設計安全穩定的骨干網絡結構刻不容緩。

1.3 醫院實際業務分析

醫院規模的擴大，會帶來更多的承載量，醫院的網絡是一個信息化系統和辦公系統相結合的網絡形式，作為一個信息化的醫院，除了要運行辦公的信息系統，還要結合醫院復雜的HIS、LIS、PACS 等信息系統，要求網絡必須能夠傳輸龐大數據業務，所以在這樣復雜的網絡上，要運用多種高帶寬性能的設備和防護設備來保證信息系統安全穩定地運行。因此，需要更加高性能的網絡核心設備支持。

2 醫院骨干網絡設計

本設計對醫院現有的業務進行梳理，設計對各個功能區進行劃分，本著安全、穩定、高性能的原則，在滿足信息等級保護制度的條件下，實現最流暢的、最安全的網絡體驗，讓網絡管理員獲得最有效的、最簡易的管理方式。根據以上幾點設計了多功能區域的醫院骨干網絡結構，如圖1 所示。

圖1 多功能區域的醫院骨干網絡結構

2.1 核心區域網絡設計

核心骨干網絡使用三層網絡結構，即為核心層-匯聚層-接入層形式的網絡架構。核心設備為雙冗余數據中心級核心交換機，樓層交換機和服務器區網關交換機為園區級的匯聚交換機，供設備接入的交換機為普通的萬兆交換機。如圖1 所示，兩臺核心交換機作虛擬化配置，同時連接一臺DHCP 服務器（可用匯聚交換機實現DHCP 功能），核心交換機虛擬化組連接數臺匯聚交換機，匯聚交換機再連接接入層交換機。交換機之間的路由協議，均采用自動收斂的Ospf路由協議。

2.2 互聯網區網絡設計

核心區域上聯為互聯網區，通過一個下一代防火墻進行互聯，該防火墻進行互聯網出口配置，包括nat映射、地址池、策略管理等。DMZ 區接在防火墻下聯。DMZ 區稱為隔離區。該區的功能簡單理解為醫院需要向外發布，或被外界訪問的服務，需要互聯網出口下一代防火墻對其業務進行映射配置。如醫院的支付系統、云桌面系統等等。DMZ 區服務器采用園區級三層交換機，上聯接某廠商互聯網出口下一代防火墻，下聯接各臺需要對外發布的服務器。

2.3 設備接入區網絡設計

核心區下聯就是各樓層、各門診、各病區等客戶端接入設備，配置數臺園區級匯聚交換機，下聯接接入交換機，它們之間通過二層協議透明傳輸，配置VLAN，生成樹協議（防環機制），以及DHCP 中繼協議，客戶端的默認網關均配置在此匯聚交換機下。如此結構，較好地保護了核心交換機的網絡性能，以及減少了其故障率。

2.4 服務器接入區網絡設計

此區域也在核心區域下聯，通過一個下一代防火墻進行互聯，有效地保護了客戶端與服務器之間的安全訪問。用一臺匯聚交換機做服務器網關，服務器網關不在核心交換機上。下聯多臺萬兆的服務器接入交換機，服務器、存儲陣列以及超融合服務器集群均接在此交換機上，以此來承載HIS、LIS、PACS、EMR 等各類業務系統。

2.5 專線接入區網絡設計

核心區下聯的專線接入區，是醫院各項業務相互訪問的區域。如農保、醫保、銀行、銀聯、市級預約、省級預約等線路，涉及眾多單位互聯的線路，信息安全威脅較大，惡意病毒感染率較高。因此，在線路接入到醫院機房時，架設一臺某廠商下一代防火墻進行威脅檢測，對流量進行甄別。之后通過前置機和匯聚交換機作前置機的網關，用一臺普通的某廠商防火墻和核心區互聯。防火墻所有的ACL 策略采用默認禁止、授權開放的模式，而且級別實現到金融級的端口級別，非常好地保護了專線和內網互訪的信息安全。

3 下一代網絡安全設備設計

3.1 交換機設備設計

核心區域采用某廠商高性能數據中心級別和園區級級別的交換機，核心交換機為CloudEngine 16804 型號，交換機容量最高為1 161 Tbps，包轉發率最大為115 200 Mpps。

匯聚交換機為CloudEngine S12700E-4，交換機容量最高為256 Tbps，包轉發率最大為48 000 Mpps。接入交換機采用S6720-SI 系列多速率萬兆交換機，交換容量為2.56 Tbps/23.04 Tbps，包轉發率為480 Mpps。骨干網絡搭建為，2 臺核心交換機做虛擬化配置，其中1 臺匯聚交換機做DHCP 服務器，其余做各樓層的匯聚交換機和服務器網關，設備接入使用萬兆交換機。交換機的各種性能如圖2 所示。

圖2 交換機的性能

3.2 下一代防火墻設計

外網防火墻、專線邊界防火墻、服務器區防火墻均采用某廠商AF 系列的下一代防火墻。使用防火墻均配置為透明傳輸模式。該系列產品是專注于安全攻防對抗的下一代防火墻，在下一代防火墻產品的基礎上集成豐富的實戰化安全創新技術，增強網絡邊界的安全檢測與防控能力，保護組織網絡免受日益復雜的威脅入侵，保障組織的業務安全性和可用性。配備了實時更新的入侵檢測和防病毒模塊，同時建立金融級別的ACL 策略。防火墻所有的ACL 策略采用默認禁止、授權開放的模式，而且級別實現到金融級的端口級別，非常好地保護了服務器互訪的信息安全，為服務器網絡提供了更深一層的保障，保障網絡更加平穩運行。防火墻的多種功能介紹如圖3 所示。

圖3 防火墻的多種功能介紹

3.3 全網行為管理設備設計

在各網絡區域之間，均使用某廠商全網行為管理設備進行透明傳輸，對用戶進行甄別和認證，對進出流量和行為進行有效地控制。行為管理的多種功能介紹如圖4 所示。

圖4 行為管理的多種功能

3.4 態勢感知平臺設計

某廠商態勢感知平臺（簡稱SIP）旁路在核心區，通過鏡像口連接，將核心交換機的數據全部完整地鏡像到SIP 中，以安全可視、智能檢測、協同聯動為核心，打造一套高效、精準、可持續優化的大數據安全分析平臺，讓安全可感知、易運營，變得更有價值。態勢感知的多種功能介紹如圖5 所示。

圖5 態勢感知平臺的多種功能

4 結束語

在醫療服務行業中，尤其是醫院的信息化建設過程中，骨干網絡建設雖是一個很基礎很底層的部分，但它的重要性不容忽視。安全高速的骨干網絡，是醫院的信息化建設的基礎，在數據傳輸和共享的過程中，網絡和數據必須安全平穩，這樣，醫院信息系統才能有效正常運行。骨干網絡的結構愈發完善可與醫院信息系統更好融合，可以進一步扎實推進醫院信息化建設。本文通過下一代網絡安全設備設計醫院骨干網絡體系，設計具有高帶寬的設備性能，實現金融級別的訪問策略，將醫院給業務功能分區管理，相互之間互不干擾，實現網絡一體化管理。希望為行業內的朋友提供借鑒和思路。