医院数字化数据中心安全解决方案.ppt

1、万兆数据中心万兆数据中心 创新数字医疗创新数字医疗医院业务应用特点及新医院业务应用特点及新趋势趋势传统传统医院网络基础平台设计医院网络基础平台设计局限局限医院数据医院数据中心中心网络平台解决网络平台解决方案方案医院数据中心案例分享医院数据中心案例分享医院业务应用特点之一医院业务应用特点之一-信息集中访问信息集中访问以医院门诊系统为例以医院门诊系统为例:n门诊业务突发门诊业务突发1010：00001 13 3：0000门诊业务量大门诊业务量大1111：00001 12 2：0000业务量最大化业务量最大化n网络流量与门诊压力同步网络流量与门诊压力同步n针对超大突发流量，如何面对？针对超大突发流量

2、，如何面对？以调取PACS系统影像图片资料为例：以CT为例100M1000M10000M1名医生读取时间4s0.4s0.04s20名医生读取时间80s10s1-2s医院业务应用特点之二医院业务应用特点之二-响应要及时响应要及时n调取PACS系统影像资料n视频教学、IPTV、IP监控应用医院业务应用特点之三医院业务应用特点之三-多业务融合多业务融合业务融合业务融合网上预约网上预约挂号系统挂号系统区域医区域医疗系统疗系统对外互对外互联系统联系统临床信临床信息系统息系统管理信管理信息系统息系统视频教视频教学系统学系统物理隔离物理隔离or逻辑隔离？逻辑隔离？第一阶段第一阶段第二阶段第二阶段第三阶段第三

3、阶段第四阶段第四阶段医院信息化发展总体趋势医院信息化发展总体趋势单机应用管理信息系统临床信息系统区域医疗医院信息化发展趋势医院信息化发展趋势MISCISGIS信息化发展趋势信息化发展趋势-云式应用云式应用移动办公医院社保、卫生局等CloudCloud任何地点任何设备任何人云式应用成为趋势任何地点任何设备任何人医院业务应用特点及新医院业务应用特点及新趋势趋势传统传统医院网络基础平台设计医院网络基础平台设计局限局限医院数据医院数据中心网络平台解决方案中心网络平台解决方案医院数据中心案例分享医院数据中心案例分享传统医院数据中心设计局限传统医院数据中心设计局限-网络结构混乱网络结构混乱n 网络结构凌乱

4、，糖葫芦串连接形式n 引发的问题：引发的问题：单链路连接，缺乏冗余备份机制，可靠性得不到保证管理困难，一旦出现问题，故障定位十分麻烦呈糖葫芦串的连接方式，网络性能瓶颈节点明显网络不易扩展交换机交换机路由器路由器防火墙防火墙IPSIPSVPNVPN网关网关IDSIDS应用优化应用优化行为审计行为审计负载均衡负载均衡传统医院数据中心设计局限传统医院数据中心设计局限-可靠性设计复杂可靠性设计复杂n MSTP+VRRP组网设计链路交织，路由复杂n 节点、链路的故障均引发路由震荡n 故障恢复时间较长OSPFOSPFMSTP+VRRPMSTP+VRRP传统网络传统网络传统医院数据中心设计局限传统医院数据中

5、心设计局限-安全部署繁琐安全部署繁琐传统医院叠加式安全传统医院叠加式安全安安全全设设备备纵纵向向叠叠加加网络1网络2网络3安全设备简单叠加路由路由交换交换防火墙防火墙IPS负载负载均衡均衡防火墙IPSAVAFCACG安全功能传统安全措施网络隔离简单隔离终端管理无网络设备参与 无安全设备联动 无深度内容检测 无身份认证单纯认证网络准入无n二层二层VLANVLAN隔离隔离：二层隔离技术，在三层终结。不易扩展，MSTP维护复杂、难以管理和定位。n分布式分布式ACLACL隔离隔离：需要严格的策略控制，灵活性差，配置复杂，扩展性、管理性差。科室1VLAN 1VLAN 1科室2科室3VLAN 2VLAN

6、2科室4传统医院网络设计局限传统医院网络设计局限-业务隔离手段单一业务隔离手段单一传统医院网络设计问题总结传统医院网络设计问题总结1、不断增长的医院业务量需要高带宽。2、PACS系统影像传输需要高带宽。3、各种视频新业务需要高带宽1、构架不可靠-网络结构凌乱，呈“糖葫芦串”连接。2、设备不可靠单核心、单引擎、单电源3、链路不可靠缺乏新技术保障1、网络出现故障，不能及时准确定位。2、管理工具使用复杂，降低工作效率。3、管理软件繁多，缺乏统一管理工具。1、网络边界安全设计考虑不周全。2、内网用户接入安全防范薄弱3、数据中心安全保护有待提高4、各业务系统间需要隔离，控制互访可靠性差可靠性差带宽低带宽

7、低安全性差安全性差管理差管理差医院业务应用特点及新医院业务应用特点及新趋势趋势传统传统医院网络基础平台设计医院网络基础平台设计局限局限医院数据医院数据中心网络平台解决方案中心网络平台解决方案医院数据中心案例分享医院数据中心案例分享模块化模块化虚拟化虚拟化一体化安全一体化安全专业化管理专业化管理迪普迪普 数据中心级网络设计特点数据中心级网络设计特点更可靠、更高效、更安全、易管理的新一代业务数据中心网络平台可靠性-模块化分区设计思路WEB WEB WEBIP SANIP SANIP SANAPP APP APPDBDBDB管理管理f服服务器务器医医保保互互联联区区域域医医疗疗互互联联网网区区 门门

8、诊诊楼楼医院医院数据数据中心中心区区管理维护区管理维护区住住院院楼楼核核心心交交换换区区在线在线存储存储区区备份备份存储存储区区VSM VSM 部署简化网络架构部署简化网络架构 n传统方案二层环路nVRRP+MSTP导致设计复杂n链路交织，路由设计相对复杂n节点、链路的故障均引发路由动荡n数据中心大量链路被阻断n端到端堆叠虚拟化灵活支持二层在汇聚、核心终结n多个网络节点虚拟化为一个节点n链路交织被捆绑成单条逻辑链路n消除复杂VLAN+MSTP/VRRPnDC范围内路由&VLAN规划极大简化n单个物理节点、链路的故障不影响上层路由FFDRFFDR主控板主控板处理器处理器背板背板EMSEMSEMS

9、EMSEMSEMSFFDRFFDR处理器处理器主控板主控板EMSEMS设备可靠-创新的多级多平面交换架构独立的控制引擎独立的控制引擎独立的检测引擎独立的检测引擎独立的维护引擎独立的维护引擎独立的独立的交换网板交换网板多级多平面交换架构，采用了创新的硬件设计，通过独立的交换网板、独立的控制引擎、检测引擎、维护引擎为系统提供强大的控制能力和50ms的高可靠保障。一体化安全一体化安全-医院网络安全防护一体化医院网络安全防护一体化黑客攻击黑客攻击蠕虫、病毒蠕虫、病毒拒绝服务攻击拒绝服务攻击医院网站网页擅医院网站网页擅改改访问控制访问控制远程安全接入远程安全接入边界安全威胁边界安全威胁边界防火墙边界防火

10、墙边界边界IPS网络层攻击网络层攻击拒绝服务攻击应用层攻击应用层攻击蠕虫、病毒SQL注入后门木马数据擅改系统漏洞系统漏洞恶意攻击恶意攻击非法软件非法软件非法访问非法访问外来访客外来访客数据中心安全威胁数据中心安全威胁TACTAC内网接入用户威胁内网接入用户威胁迪普迪普 医院医院数据中心级网络设计特点总结数据中心级网络设计特点总结稳定稳定稳定稳定可靠可靠可靠可靠三层标准架构或二层扁平架构设计解决了医院网络结构混乱，架构不可靠问题。VSMVSM虚虚虚虚拟化拟化拟化拟化解决医院网络可靠性设计复杂问题，同时提高整网性能，可靠性倍增，管理更方便。一体化一体化一体化一体化安全安全安全安全解决传统安全简单叠

11、加，部署繁琐等问题，业务逻辑隔离虚拟设计解决医院多业务融合问题，保证了医院网络安全。智能智能智能智能管理管理管理管理解决传统网络粗放管理问题，实现精细化挂历，彻底结束医院“有工具，无管理”的局面。医院业务应用特点及新医院业务应用特点及新趋势趋势传统传统医院网络基础平台设计医院网络基础平台设计局限局限医院医院数据数据中心网络平台解决方案中心网络平台解决方案医院数据中心案例分享医院数据中心案例分享DPtech DPX8000+DPtech DPX8000+FW-blade+IPS-bladeFW-blade+IPS-blade+UAG-blade+UAG-blade专网专网各市药监局省卫生厅各市卫

12、生局DPtech UMCDPtech UMC背景或客户需求：背景或客户需求：山西省基本药物采购结算平台系统以管理业务为基础，对现行的医药采购竞价和网上交易的业务进行规范和完善。用以提高信息的实用性和共享性为主要目标，最大限度满足各医疗单位、开发企业和监管单位三方的业务需要，提高药品采购的效率。DP优势或给客户的价值：优势或给客户的价值：为保证网络的高可用性、可控性、可靠性。迪普科技与山西省卫生厅合作，通过部署集业务交换、网络安全、应用交付三大功能于一体的两台DPX8000深度业务交换网关，提供应用防火墙、IPS、流控、等深度业务的线速处理的，帮助用户将网络与安全进行整合，并实现设备性能、业务、

13、安全功能的真正无缝式按需扩展。服务器区服务器区服务器区山西山西省基本药物采购结算平台项目省基本药物采购结算平台项目DMZDMZ区区FW1000FW1000其他分院其他分院InternetInternet各分院各分院各级医保各级医保本医院外网本医院外网核心交换机核心交换机网闸网闸网络出口网络出口DBDBAPPAPPWEBWEB防病毒防病毒ServerServer区区DPtech DPX8000 DPtech DPX8000 IPS-bladeIPS-blade+Nflow+Nflow防火墙防火墙浙江省人民医院浙江省人民医院背景或客户需求：背景或客户需求：按照区域医疗的发展和建设思路，医院需要和各

14、社区医院、地市/县人民医院、各级医保等单位进行业务的整合。医院网络的改造要考虑和各外单位的互连互通，同时要保证网络的安全性和独立性。这样，就涉及到外单位的安全接入、医院公网服务器的系统安全、内部业务系统与公网的安全互通、医院数据库的安全等。在此我们考虑部署防火墙、IPS、网闸，实现通过Internet与外单位的安全通信。DP优势或给客户的价值：优势或给客户的价值：基于全新多核处理器架构的下一代防火墙DPtech FW1000 系列应用防火墙。FW1000对网络层、应用层安全进行融合，并采用独有的“并行流过滤引擎”技术，全部安全策略可以一次匹配完成，即使在应用层功能不断扩展、特征库不断增加的情况

15、下，也不会造成性能的下降和网络时延的增加。DPX8000深度业务交换网关集成高性能FW插卡、NETFLOW插卡等各种插卡，具备分布式架构，业务功能和性能可随需扩展，是专为数据中心设计的一款高性能、虚拟化、一体化的安全网关。浙江省人民医院浙江省人民医院浙江义乌浙江义乌医院医院A区区B区区湘雅医院网络数据中心设计特点湘雅医院网络数据中心设计特点老院区老院区备用机房备用机房E区区D区区数据中心数据中心C区区核心交换核心交换安全交换网关HISPACS核心交换机1.全分布式转发2.全线速端口配置2.BFD，故障切换毫秒级3.最长匹配逐包转发，天然防护DOS攻击4.支持热补丁技术接入交换机1、插卡式，扩容

16、方便2、支持POE1、分模块设计2、全网运行OSPF协议，采用三层到桌面的设计3、骨干万兆、千兆到桌面先进设计3、双链路冗余保护4、全网支持MPLS VPN服务器区安全交换网关1、防火墙插卡，网络安全一体化2.全线速分布式转发3、支持VSM客户端部署准入控制系统实现对用户的认证和授权控制VSM汇聚交换iVS系统系统手术示教系统标准、易扩展的网络基础平台，全面支持新业务部署：1、IP 语音系统（呼叫中心）2、无线查房应用3、手术示教与记录系统4、高清远程医疗、远程会诊系统5、平安医院；6、数据中心平滑扩展升级（PACS/HIS存储）.汇聚交换汇聚交换汇聚交换汇聚交换汇聚交换汇聚交换把时间留给医生把时间留给医生把医生还给患者把医生还给患者