一、设计目标
实现医疗业务网/卫生专网/互联网三网隔离
满足等保2.0三级合规要求
保障PACS影像系统低时延传输
实现医疗物联网统一接入管控
二、全网拓扑架构
三、网络分区与安全设计
-
IP/VLAN规划表
-
核心业务配置(华为CE6865)
interface 100GE1/0/1
description PACS-CT-Modality
trust dscp 46 # 标记EF优先级
qos queue ef bandwidth 40% # 保障带宽
# 堆叠配置
stack
member 1 priority 150
member 2 priority 100
- 安全策略配置(启明星辰防火墙)
# 卫生专网访问控制
rule id 101
action permit
src-zone trust
dst-zone untrust
src-ip 10.100.0.0/24
dst-ip 172.18.100.50/32
service http
match application "医疗数据上报"
log enable
# 勒索软件防御策略
ips policy "Anti-Ransomware"
signature "Trojan/WannaCry" action block
signature "Exploit/EternalBlue" action block
apply-to zone all
四、医疗物联网安全方案
- 终端准入控制(华三IMC平台)
# 医疗设备指纹库
device-profile create "GE-监护仪"
match oui "00-0C-xx"
match dhcp-option 60 "Vendor/GE/PatientMonitor"
# 动态VLAN分配
portal rule "IoMT-Access"
if-match device-profile "GE-监护仪"
action vlan 300
action acl 3100 # 限制仅访问监护服务器
- 无线探针定位(华为AC+AP)
wlan radio-2g-profile "Med-Location"
air-scan enable
terminal-positioning enable
# 定位服务器对接
terminal-positioning-server
ip-address 10.100.100.100
port 8000
五、等保2.0合规关键配置
- 安全审计(启明星辰泰合平台)
# 日志收集策略
collector add syslog 10.100.100.200
facility local5
severity info
include-regex "failed|deny"
# 数据库审计规则
audit policy "HIS-DB"
db-type oracle
risk-level high
action alert block
match-sql "DELETE FROM patient_info"
- 数据安全防护
数据类型 保护措施 技术实现
电子病历 透明加密 天阗数据库防火墙加密网关
DICOM影像 数字水印 PACS系统集成水印SDK
患者隐私 数据脱敏 天清Web防火墙动态脱敏策略
六、灾备与运维设计
- 双活数据中心架构
主数据中心 --[OTV专线]-- 备数据中心
| |
[华为OceanStor] [华为OceanStor]
| |
[PACS存储双活] [HIS数据库同步]
- 安全运维流程
堡垒机登录(双因素认证)
自动备份配置(每天02:00)
漏洞扫描(每周日00:00)
安全事件响应(30分钟SLA)
