致敬可爱的白衣天使,助力医疗信息化建设
疫情过后,最让全国人民敬佩的职业,莫过于医生,期间涌现出钟南山、李兰娟、张文宏等一大批受国民尊重的白衣天使。一场疫情,让人们认识到了国家医疗卫生事业的重要性。作为一名IT人,小月月怀着无比崇高的敬意,为大家介绍我们专为医疗行业信息化建设打造的,具有特色的现代化医疗网络信息化解决方案。希望在祖国医疗事业的飞速发展过程中,贡献出自己的绵薄之力。
区别于传统的医疗解决方案,今天介绍的解决方案更关注于以下几类问题:
问题
等保2.0建设过程中,预算不足怎么办?
等保或是信息化建设后,大量的服务器、应用无法统一监控怎么办?
故障出现时,判断不出故障范围,确定不了责任人怎么办?
每年投资建设的信息化工程,体现不了价值怎么办?
... ...
基于以上问题,我们今天主要介绍三种医疗行业的解决方案。
医院数据中心资产可视化
面临问题
随着我国医疗信息化建设规模逐年增长,医疗IT投入在全国卫生支出的占比也越渐增涨,整个医院的信息化建设进入了高速发展的阶段,医院信息中心负责管理的服务越来越多,如电子病历(EMR)、影像系统(PACS)、检验系统(LIS)、综合管理(OA\HRP)、手麻、OA、集成平台(HIP)、CDSS、大数据平台等等。
在如此庞大的核心业务的发展的背后,也逐渐暴露了新的问题,这些问题成为了医院信息化建设的巨大阻碍。
解决方案
资产的自动化学习
医院的数据中心不但为医院内部提供HIS、PACS等应用系统集群,还要为外网患者提供网站、预约挂号、移动支付等应用服务。在医院信息化高速发展的同时,有运维人员发现,数据中心实际存在的服务资产数量远比台账记录的要多,如何在数据中心中盘点清楚不同厂家的各类应用服务数量,并且及时发现异常的应用服务,成为了医院运维人员的重大难题。
派网专为医院打造的数据中心资产自动化学习系统,完美解决了以上问题,如下图所示:
资产自动化学习系统优势
完全自动化学习,无需过多人为干预,不必担心备案名单不准确;
对各个厂商的服务资产识别精细度高,尤其是伪装后的异常应用,支持自定义服务;
可对不同类型的资产执行不同策略,保障数据中心纯净的环境;
可对Windows等终端操作系统精准识别,备案内网中的漏洞主机。
资产动态监控平台
虽然医院的信息化建设非常迅速,但是相应的专业维护人员的投入,有时却捉襟见肘。让医院的运维人员同时监管各个厂家提供的不同种类的设备和应用服务,无疑是崩溃的。更多的时候要依赖厂商技术的支撑,但是却会严重影响使用体验和效率。派网的Server Monitor动态监控平台,帮助医院运维人员完美解决此问题,同时也为汇报工作提供了非常有价值的数据支撑。
如上图所示,通过Server Monitor动态监控平台,可实现对医院数据中心的资产数量、资产状态、用户访问情况以及资产安全防护等四个方面的统一监控。
数据中心违规应用监测
医院一直以来是黑客关注的重点目标之一,违规应用的出现可能是因为病毒入侵,也可能因为医院使用的应用服务本身存在问题。虽然这些违规应用不容易被运维人员发现,但细节的防护将成为医院信息建设的关键一步。
数据中心服务质量监控
当有患者抱怨想挂号的时候,打开医院官网网页一直无法弹出,且反应速度极慢。但到底是慢在哪里呢?在ServerMonitor大屏上可以看到数据中心或是内网被访问的服务器的应用时延,这样可以快速判断哪些服务器的自身响应出现了问题。
数据中心异常流量追踪
医院的数据中心涉及面之广,数据之巨大,必定会高概率成为网络攻击者的目标。Panabit提供流量态势感知防御系统,可识别网络中任意攻击流量,任何攻击者的伪装都无法逃过Panabit的火眼金睛。
专网异常分析
数据中心自动告警推送
目前派网为减轻运维人员的日常工作压力,特推出Server Monitor大屏和微信的智能告警推送功能,并且一旦出现网络攻击,运维人员可以使用微信小程序对网络攻击进行一键阻断。
方案优势
医院网络故障定位及责任界面划分
当前问题
医院网络数据的传输流动,就像心脏向全身血管输送新鲜的血液一样。必须永不停歇,才能支撑医院的核心业务有条不紊地运转。医疗网络的工作状态正常与否,轻则会影响到医院业务的正常开展,重则会关系到病患的生命健康。
所以对于医院来说,网络的运维工作事关重大,目前医院的网络中经常出现以下问题:
医院运维人员的压力是很大的,由于平时故障判断的周期和处理的周期都很长,导致领导问责时,根本没有解释的机会,而当有解释机会的时候,又没有办法提供有力的数据支撑,证明故障原因,所以经常出现不同部门之间互相推责的现象。
解决方案
派网专为医院信息化建设提供了一套网络业务质量感知系统,该系统分为性能采集模块、协议分析模块及可视化管理模块几个部分。
简单的来说,传统的主动测量手段,相当于路况检测,如下图所示:
全量留存会话日志
派网网络业务质量感知系统具备强大的性能处理单元,能够1:1记录和还原网络中发生每一件事。它可以完整记录每一条会话信息的协议类型、接口、访问时间、连接时间、源地址、目的地址、NAT地址、用户账号、域名信息、上下行流量、所属运营商、地理位置等信息。这就为故障回溯提供了最真实有效的依据,让一切只要发生过的问题都有迹可寻。
快速定位故障范围
Panabit的网络业务性能感知系统对比传统网络性能感知系统,在感知的深度、广度上都有很大提升。首先,在深度上对比网络层性能检测系统,Panabit检测的目标是会话级的,面向的是七层的应用。看到的更接近网络中实际发生的真相。除了可以识别出应用协议数据结构,还能看到应用协议的交互流程。
其次,在广度上可以实现单个协议时延、抖动等业务性能指标在时间维度、地区维度上的查询。可以实现多个协议和用户的交叉查询,监测异常情况,上报预警或告警。
派网网络业务质量感知系统可以区分医院信息化系统中每条业务的“客户侧时延”、“服务响应时延”和“应用时延”。
区分这些的好处是,当出现网络和业务问题时,可以依据此功能快速定位问题的出处,让问题定位更有针对性,更有效率。并且可清晰划分责任界面,究竟是网络问题还是服务器问题一目了然,避免了相关运维人员无休止的推责。
方案优势
医院等保2.0解决方案
面临问题
等保2.0是现在医疗行业必谈不可的一项,然而理想很丰满,现实却很骨感,各个医院在等保2.0建设过程中,出现了一些新的问题。
解决方案
精细化的日志分析
在互联网高度发达的今天,任何实体的人物都会构成他的互联网虚拟映象,如何把这些虚拟身份、位置、属性以IP和时间为索引统一收集,可以检索查询,是互联网身份锁定和舆情处置的首要任务。
在互联网网络态势分析系统中,我们追踪和记录了用户如下的主要数据:用户虚拟身份、无线身份、用户行为跟踪。
1、虚拟身份定位
以IP地址为索引,记录QQ、微信、微博、淘宝、百度、邮件等帐号的登录时间,完成时间-IP-身份的映射,达到任何时候可以根据虚拟身份锁定IP的目标。
例如:企业内网有人使用QQ号发布不正当言论,最终通过行为审计系统可以被快速定位。
2、无线身份记录
记录用户无线环境和手机身份,打通IP地址和用户无线身份的关系,记录包括家庭WiFi的SSID、MAC、手机MAC、手机IMSI和IMEI等信息,避免了手机切换到固网的数据盲区。
3、用户行为跟踪
事件日志是Panabit提供的第二种重要日志形式,包括URL、搜索引擎查询、DNS查询和用户认证等,其中最为重要的类型是URL日志、DNS查询日志以及用户画像。
URL日志既是执法部门常用的审计手段,又是监管部门衡量网络整体效率的依据。Panabit具有准确完善的URL分类库和强大的URL日志收集及加工能力,这些分类库是根据国内用户当前情况进行的合理采集和分类,符合我国用户的网络使用环境的需求,分类结果基本覆盖了在国内用户中有一定访问量的URL地址。
同时,使用Panabit作为行为审计设备具有如下优势:
部署位置无需改变原有网络拓扑;
有足够性能处理关键要素审计,不需要增加设备;
对应用协议分析透彻,分析协议可以涵盖邮件、即时通信、社交应用和游戏等;
重点是1:1全量会话日志的留存,这是行为审计的关键。
应用级的TAP分流器
很多三甲医院需要按照三级等保标准来进行等保建设,但是在实际实施过程中,如果是大流量场景,涉及的安全产品不但多,而且对性能要求非常高,往往超出用户的预算,导致最后无法顺利完成预期效果。并且由于安全设备太多,必须要进行旁路部署,但是核心交换机的镜像能力又显得很吃力。
为此,派网推出应用级网络分流器产品,与传统的安全设备做配合,在用户预算范围内,帮助用户完成等保2.0建设。
以Panabit应用级网络分流器串接到网络中为例,如下图所示:
流量按需分流
流量的按需分流,主要解决的是安全设备性能瓶颈问题,为安全设备将不必要的流量进行过滤上面已经提过了,派网是一家优秀的DPI厂商,所以在流量的按需分流方面,具有非常高的灵活性。
其中最具有优势的就是可实现基于应用的分流,举例说明:当Panabit将流量分流至WAF审计设备时,可根据应用选择相关的HTTP/HTTPS流量,并且将P2P下载等流量精准过滤,可精确至几kb级别。不仅如此,如果下联的WAF审计设备是集群,Panabit还可以实现负载均衡。
流量按需复制
Panabit在解决流量按流量调度策略筛选后,可将筛选后流量进行多出口复制,最多可达到15份无性能消耗的流量复制,目前最高形态的设备可支持的实际带宽单向可达40G,所以100G以内的网络场景,Panabit是可以轻松驾驭的。
全量的日志留存
Panabit可以全流量1:1记录网络中发生的所有会话记录,URL记录,用户虚拟身份日志,网络性能NPM日志等。有了全量的日志,可以做很多有意义的事情,比如数据分析、比如故障溯源、比如行为审计等等。
全量URL日志
原始数据包抓取
Panabit可以按管控策略和时间进行PCAP的数据包还原,用于问题和故障回溯,攻击溯源等。这点也是其它TAP分流器无法给用户带来的完美体验,当用户的网络遇到问题,不必惊慌,一切答案都记录在这些原始的数据包中,用户可以根据需要将流量按需留存,按需提取,有条不紊的快速找到用户要的答案。
方案优势
故事还没有讲完,我们下期继续讲,如何优化医院的办公外网,以及如何快速搭建医联体、医共体并且实现视频会议、HIS、PACS等系统的关键业务保障。
更多精彩: