醫療云網絡構建及其安全方案研究

銀 琳 范年豐 凌 翔

(中山大學附屬第三醫院信息科 廣州510630)

1 引言

隨著云計算技術的日漸成熟與普及，一些具有多年信息化基礎的大中型醫院根據自身信息化建設的發展規劃，逐步將應用系統遷移到云平臺[1]。中山大學附屬第三醫院是國家衛健委部屬直管的綜合性三級甲等醫院，在廣州分兩個院區，隨著醫院信息化建設的不斷深入，業務系統的不斷上線和完善，醫院數據中心建設面臨諸多問題，如系統需求響應慢、硬件設備不斷增加、IT建設成本較高、運維壓力日漸增大、院區分散管理困難、數據孤島難以共享等[2]。醫院與專業云的服務商合作，正逐步建立專有信息化云平臺。而醫療云中的網絡建設更是保證系統穩定安全運行的基石。本文通過醫療云在醫院的逐步實施，探討醫療云網絡及其安全設計方案的可行性。

2 新舊網絡拓撲架構對比

2.1 舊網絡架構

醫院舊網絡架構是傳統的業務網和外網完全物理隔絕，內外網架構各自都有核心、匯聚、接入3層。內網核心交換機為CiscoNexus7010，采取雙機熱備份路由協議(Hot Standby Router Protocol，HSRP)模式；終端分別通過接入交換機接入內網訪問網絡資源，其網絡拓撲，見圖1。醫院外網主要提供因特網訪問，通過防火墻進行策略訪問控制，僅部署網閘、防火墻、流量防御系統、防病毒設備以及流量控制設備等安全設備。傳統的網絡架構存在許多問題。在網絡安全方面缺乏完善的安全防護措施及數據安全保障。網絡中無安全準入系統，存在終端安全隱患。在網絡拓撲結構方面，網絡可拓展性差，主交換機雙機熱備，切換過程復雜。在網絡硬件方面，設備使用年限長，性能不穩定，故障多發且無自動化運維工具。

2.2 基于醫療云的新網絡架構

2.2.1 架構圖 醫院信息化建設需從實際需求出發，降低成本增加效益；以行業要求為標準，遵從規范；以成熟穩定為原則，適當超前，充分利用云技術來解決傳統網絡架構存在的問題。首先，根據醫院業務需求對應于醫療云平臺的實際配置和資源需求情況，擬構建兩地三中心的框架，包括一個生產中心(在廣州市內)，一個異地災備中心(除廣州市外的廣東省其他城市內)，改造本地中心機房的數據中心作為應急災備機房(全量業務系統)，擬在云平臺失效特殊情況下半小時內能夠臨時接管醫院全量業務系統，保證醫院信息系統(Hospital

Information System，HIS)不中斷，通過數據庫同步技術保障業務數據與云平臺的完整性和一致性，以實現主備容災。醫療云網絡架構，見圖2。

圖1 醫院舊網絡拓撲

圖2 醫療云網絡架構

2.2.2 架構分析 首先醫院本地數據中心通過1條光纖鏈路和1條1GB的多業務傳送平臺(Multi Service Transfer Platform，MSTP)專線將完全不同的物理路徑和云服務商市內異地數據中心互聯，同時對原核心交換機做虛擬化改造，實現兩條電路捆綁聚合，兩條電路互為主備，相互負載。醫院核心交換機的專線端口從兩層到云平臺的虛擬可擴展局域網(Virtual Extensible Local Area Network，VXLAN)，再由VXLAN連接云平臺，云端主機使用的IP地址段的網關設置在醫院本地或者云端。由于整體網絡采用大兩層的方式，不會引起IP地址的沖突問題，且醫院業務達到安全隔離的目標，另外在本地機房新增兩臺接入交換機，對外連接均接入交換機互聯，分擔核心壓力，且有利于后續拓展。其次醫院本地數據中心通過1條1G MSTP專線和云服務商省內市外異地數據中心互聯作為災備使用。再次分院區各通過1條500M MSTP專線和云服務商市內異地數據中心互聯作為災備使用。

3 醫院云平臺網絡設計方案

3.1 概述

針對目標與需求，醫療云平臺網絡建設通過租用云服務商的專網鏈路的方法組建醫療業務網絡，根據業務需求彈性增加。醫療云的網絡整體設計方案研究內容分為醫院和云服務商數據中心內部的業務網絡，醫院內部的業務網絡結構以及網絡層的安全策略3部分。

3.2 醫院和云服務商之間數據中心網絡結構及涉及技術

醫院和云服務商之間的網絡連接由兩條不同物理路由專線接入生產中心，同時1條專線接入災備數據中心，3條專線的冗余保護物理路徑的光纖鏈路承載，直達云平臺核心交換機，避免經過不安全的互聯網，專網專用最大程度上保證醫院通信安全。這3條專線采用鏈路聚合的方式實現互為主備、相互負載，從而提高鏈路的高可靠性和利用效率。數據中心之間的網絡需要實現數據的高速互聯同步，雙鏈路且互為災備。由于要達到雙活數據中心，同一個業務通常會在兩個數據同時部署，這時數據中心間需要兩層互聯。在業務遷移期間，為保證業務連續性需建立跨中心的服務器集群，構建跨越中心的兩層互聯網絡實現服務器平滑遷移。結合醫院業務需求，首選基于裸光纖的虛擬化技術，其次選擇L2GRE互聯。采用裸光纖快速切換的兩層互聯技術，在核心交換機上開啟遠程虛擬化實現200毫秒的快速切換。

3.3 醫院內部業務網絡結構及涉及技術

醫院內部工作站之間采用光纖互連，工作站和網絡之間通過多網絡、多鏈路技術保證應用系統的計算和交換帶寬。醫院內部網絡需具備高吞吐量和高可擴展的能力，也是滿足醫療云平臺后期業務增長的需要。內網所有網絡設備、服務器網卡和連接需采用冗余架構，任意網絡設備或鏈路故障不影響業務使用；每臺虛擬化服務器需配置萬兆接口用于南北流量訪問(外部訪問業務系統)；虛擬化服務器連接網絡采用虛擬局域網(Virtual Local Area Netwrok，VLAN)隔離，上聯端口啟用Trunk；連接虛擬化服務器的物理交換機MTU調整為1 600；全網需啟用動態路由協議，以適應虛擬化網絡創建[3-4]；另外網絡功能需減少對單一設備提供商的功能依賴，構建通用化網絡架構。本方案擬利用網絡虛擬化軟件重新設計虛擬機網絡，在原有的物理VLAN上構建全新的VXLAN，為每套業務系統創建獨立隔離網絡，且多層應用架構中每個應用也應具備獨立網絡。醫療云平臺利用與網絡虛擬化管理程序的功能可在軟件中重現第2～7層的整套網絡服務(如交換、路由、訪問控制、防火墻、QoS和負載平衡)。可通過編程方式任意組合這些服務與策略，經過數秒的設置即可生成獨一無二的隔離式虛擬網絡，從而輕松快捷地實現主機和主機之間、相對獨立應用系統之間、租用單位之間的橫向隔離和訪問控制。VXLAN原則上可提供上萬個隔離子網，滿足細粒度隔離及醫院系統應用需求，如醫院財務核算、倉庫管理、后勤管理系統等，與醫院業務系統相對獨立時需構建獨立子網，僅授權財務部、倉管部、后勤部門等各自局域網內部訪問權限。其次全新的VXLAN網絡不僅實現每套業務系統均具備最小廣播域，還可以避免廣播風暴風險；同時利用網絡虛擬化平臺的分布式路由功能實現流量的最短路徑，提高訪問效率。最后結合邊界網關服務可實現客戶端到服務器端的網絡訪問控制，利用分布式防火墻完成單業務系統內部之間的訪問控制。

3.4 網絡環境安全策略

3.4.1 概述 利用路由器、交換機和相關網絡設備建成，用于在本地或遠程傳輸數據的網絡環境中，在安全策略中，網絡層中進行的各類傳輸活動的安全都應加以關注[5]。現有的大部分攻擊行為包括病毒、蠕蟲、遠程溢出、口令猜測等都可以通過網絡實現。網絡層主要考慮的技術包括結構安全與網段劃分、網絡訪問控制、網絡安全審計、邊界完整性檢查、網絡入侵防范等[6]。

3.4.2 DMZ網絡鏈接區設立 醫院核心交換機的專線端口由VXLAN網絡連接醫療云平臺，云端主機使用的IP地址段的網關設置在醫院本地。由于整體網絡采用大兩層的設計方式，不會引起IP地址的沖突問題，從而醫院的業務不允許外部訪問，達到安全隔離的目的。但醫院部分業務系統需要訪問公網，因此在醫療云資源池專門設置非軍事區(Demilitarized Zone，DMZ)網絡鏈接區，將醫院Web、Mail、文件傳輸協議(File Transfer Protocol，FTP)等允許外部訪問的端口單獨接在該區端口，使整個需要保護的內部網絡接在信任區端口，不允許外部訪問，實現內外網分離，達到安全要求。

3.4.3 訪問控制設計 在醫院云網絡各區域邊界中，采用邊界訪問控制技術，防止未授權訪問發生。通過防火墻設備和VLAN劃分配置予以實現。根據醫院網絡的實踐情況，在互聯網出口區域邊界利用防火墻設備的入侵防護實現各區域之間的訪問控制，而對于其他醫院物理區域內部的不同網段之間的邊界，則采用VLAN劃分結合訪問控制列表(Access Control List，ACL)的方法予以隔離。

3.4.4 帶寬管理 醫院信息系統設定網絡帶寬策略。對于醫院重點業務系統的應用或協議應分配更多的帶寬資源；針對輔助業務應用，可限制其流量，以保證重點業務的可用性，也可以通過限制協議的方式保證主要協議的可用性。帶寬管理可利用專業的流量管理設備或網絡設備的服務質量(Quality of Service，QOS)策略配置來實現。

3.4.5 網絡入侵防范 醫院網絡安全的重要保證，其提供主動實時的防護，對醫院信息系統連接和訪問的合法性進行控制，監測網絡攻擊事件等，自動對各類攻擊性的流量，尤其是應用層的威脅進行實時阻斷，而不是簡單地在監測到惡意流量時或之后才發出告警，滿足醫院24小時網絡安全要求。一方面，網絡入侵保護系統檢測到醫院內部業務網絡接收到惡意數據流量時會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，而不是將攻擊流量放進內部網絡導致業務系統緩慢；另一方面，入侵檢測系統的部署可將醫院信息系統內部交互的流量鏡像到網絡入侵檢測系統，可隨時監測醫院信息系統的流量是否異常。

3.4.6 網絡安全審計 監控網絡邊界中進出的內容和已授權的正常內部網絡訪問行為，可通過安全審計系統的部署來解決。通過連接云平臺上的安全審計系統實現對服務器區域訪問的全面細粒度審計。審計內容包括FTP、TELNET、SMTP、POP3、數據庫訪問、運維人員運維過程等，這樣在遇到緊急事件后可以有效追查和問責。

4 結語

本方案以統一的技術架構為約束，采用適度超前的技術，如網絡虛擬化、訪問網絡監控平臺等，根據醫院業務平臺特點，分類規劃設計醫院業務平臺面向兩地3中心的部署模式。醫院醫療云的網絡架構在不斷修正中已基本構建完成，其安全策略正在逐步實施過程中。此模式為實現更高的資源利用率，更短的業務中斷時間，更好的恢復點目標(Recovery Point Objective，RPO)和恢復時間目標(Recovery Time Objective，RTO)，更加敏捷的業務部署以及自動化的容災流程等提供可能。但同時值得注意的是方案需根據醫院自身業務多場景的需求合理規劃云服務內容，盡量采用松耦合架構，不要片面追求上云帶來的成本下降，需從長遠運營角度來核算成本。