过去一年,医院自行规划和架设的新一代医院“智慧网络安全平台”发挥出了九大重要作用。
【黄瑜专栏】网络安全永远在路上,“智慧网络安全平台”上线一年显成效
云南省红河州滇南中心医院信息中心主任 黄瑜
一家医院信息化水平高低主要看软件的应用,因为软件能给使用者带来最直观的感受。CHIMA调查显示,美国医疗信息化的软件投入比硬件更多,我国则是硬件投入往往比软件多,甚至多好几倍。
回顾我院17年的信息化建设,软件投入比硬件更多,这与我院信息中心较早重视系统集成管理有密切关系。因此,希望医疗机构信息中心要敢于“开发”硬件,要研究较为新型、与众不同、资源高度整合的网络安全解决方案,来节约多环节(中心、汇聚、终端、安全设施)的巨额的硬件资金投入。通过我们的实例证明,这能带来更好的资金节约、智能化的运维管理、信息安全保障、核心技术掌握,为支撑智慧医疗打下长久的安全基础。
依托软件定义的功能,自主构建新一代医院“智慧网络安全平台”
2017年爆发的“勒索病毒”、“永恒之蓝”凶猛来袭,至今都让国内各界企事业单位的信息中心胆战心惊、心有余悸。因为这次病毒是直接攻击单位的内网环境,影响单位内部数据和应用,杀伤力、震慑力、破坏力、影响力都前所未有。特别是医疗单位,观念还比较落后,内网安全基本上处于不设防的状态。
我院一向对网络安全管理和网络交互原理的学习和实践非常重视。一直致力于不断摸索、研究和演练,早在2011年我院信息科就自行通过业界的安全产品,把一些应用架设至互联网,如网站OA等进行安全发布,积累了大量的网络安全策略和网络攻防管理经验。
随着“互联网+”时代的来临,网络安全时刻都是定时炸弹,一旦发生大面积的网络入侵和病毒泛滥,后果将不堪设想。因此在2016年7月,我院信息科率先前瞻性地依托软件定义的功能,以高度整合的软件防火墙为核心,实现了国内首家自主构建的新一代医院“智慧网络安全平台”,对过去传统网络进行彻底颠覆。关于新一代医院“智慧网络安全平台”的实践方法可以参考2016年我发表的文章:《软件定义的防火墙:颠覆令人揪心的医院传统网络安全架构》。
成效显现:“智慧网络安全平台”发挥九大重要作用
在这里要特别感谢院领导的信任和“放手”不放眼,使得信息科可以自行按照IT规律办事,能有所为有所不为。下面我归纳一下过去一年多,我院自行规划和架设的新一代医院“智慧网络安全平台”发挥的九大重要作用。
1.传统内网数据和应用安全得以全面加固。
传统内网应用(包括HIS、PACS、EMR等)以及医保、4G、银医等不再直接链接或通过路由器链接数据中心服务器,而是必须经过软件定义的防火墙验证才能完成会话及读写访问。经实测终端用户使用信息系统无任何迟钝延迟等现象,一些应用网络体验更佳。
2.摒弃核心交换机,不再更新和购买核心交换机。
取消核心交换机,由于网络结构彻底变化,今后医院已无需购买特别昂贵的核心交换机,仅需带宽达标的具备三层交换能力的交换机即可,后续我们也马上要完成新大楼的建设,医院网络建设也无需购买核心交换机,节约了昂贵的网络设备投资。取代核心交换机主要是运用网络结构原理,由软件定义的防火墙取代核心交换机原有的主干网络吞吐交互及冗余功效。
3.摒弃过时淘汰的物理隔离网络架构。
取消物理隔离网络,整个医院网络从核心交换机、汇聚无需两套网络,整合成一套,节约大量的终端信息点位、电脑及大量的交换机设备,按我院应用规模,节约达百万余元。
4.发挥软件定义的防火墙的最大功效。
无需购买网闸、上网行为管理、流量监测等多达9种硬件安全设施,直接使用功能高度整合的软件定义的网络安全防火墙产品。按我院应用规模,节约达百万余元。
5.抵御新型病毒效果明显。
2017年在爆发“勒索病毒”、“永恒之蓝”等针对企事业单位内网攻击的新型病毒时,我们在新一代智慧医院网络安全平台上,根据病毒特点,通过1分钟的安全策略设定即可保护整个医院数据中心免遭外部病毒攻击,效果明显,这在以往是完全做不到的。据了解,周边医院那几天都切断了互联网供应,我们则是持续在线。
6.鱼和熊掌可兼得,要方便也要安全。
所有医院终端按需要提供安全的网络资源,极大地方便了医护人员、患者获取医院信息系统资源及互联网资源,为医院推行互联网应用扫清障碍。
7.梳理和规范各类交互应用正当时。
取消类似于本地及互联网都有镜像的本地存储,节约硬件投入。如CHKD系统(中国医院数字图书馆),现我院每台不开通上网的终端均可通过新一代网络安全平台,直接由客户端发起,自动到互联网下载最新的医学期刊,信息安全及资源管控高度智能化。
8.数据中心日常运维更清晰。
借助新一代智慧安全网络平台,通过策略设置,我院运行在私有云平台上的核心服务器可随时进行OS等的安全更新,确保更新资源可靠,防止病毒攻击。
9.接入互联网+应用更轻松。
随着智慧医疗时代的到来,接入互联网+应用是随时都要面对的。我院在新一代智慧安全网络平台上,接连发布了包括医生移动查房APP、智能AI系统等应用,安全可靠。
【总结】
网络安全无小事,网络安全永远在路上!目前我们使用的软件定义的防火墙虽然已经暂时停止更新,但是其功能是目前市场上安全产品中较为领先的下一代防火墙。如果以后不再更新,或有更好的产品(如Forefront UAG或硬件防火墙),我们将适时取代,并不改变全局网络架构,该方案仍然将发挥同样的作用。
近期热门文章:【回顾展望】系列
HIT专家网∣最新鲜的医疗信息化资讯,不一样的专家视角
微信:HIT180com
投稿: public@hit180.com
商务合作:(010)82373062