医院财务管理系统安全网络规划研究
2021-01-11殷蕾
殷蕾
摘要:医院财务系统安全是医院信息系统安全的重要组成部分,需要网络及信息中心机房等基础设施为其正常业务开展提供支撑。本文根据医院对财务系统专用网络的总体要求,提出了从网络,计算,存储等方面,全面做好网络安全规划设计,保障医院财务信息系统的安全、稳定、高速运行。
关键词:医院财务;网络安全;网络规划
医院财务管理系统是医院运营的关键,财务敏感数据泄露,数据被篡改、丢失,宕机造成业务中断等,都会影响医院财务工作并带来重大损失。因此,在网络规划设计时就要做好基础方案,从底层规划设计上保障医院财务管理系统的安全。为了实现该目标,在网络规划设计过程中从1、网络拓扑层次设计;2、服务器及存储虚拟化;3、IP地址合理规划;4、网络安全设计等方面,采取了相应的技术措施和手段,提高了财务内网的安全性及稳定性。
1、网络拓扑层次结构设计
利用网络设备虚拟化技术实现大二层网络,即接入层和核心层两层扁平化架构,实现设备的协同工作、统一管理,满足服务器动态迁移的需求。
核心层部署两台华为S12708,通过网络虚拟化技术,两台虚拟为一台逻辑交换机,对外配置管理都是一台交换机无单点故障,为财务内网提供快速的数据交换和高可用性,数据无阻塞高速转发。
接入层设备使用华为S5720-52X,通过两条万兆光纤链路聚合上行,分别和核心层两台核心交换互连,实现链路冗余负载分担。财务办公室信息点通过六类双绞线千兆接入交换机,并预留足够的空余端口,满足接入信息点扩展需求。
2、服务器及存储虚拟化
利用服务器虚拟化技术和存储虚拟化技术对信息中心机房进行升级改造,降低中心能源消耗的同时提高了网络和服务器的安全性、可靠性、扩展性。采用虚拟化技术将服务器物理资源抽象为逻辑资源,让CPU,内存,磁盘,I/O等硬件变成可以动态管理的“资源池”,提高资源利用率,简化系统管理。将多台物理服务器使用虚拟化软件虚拟为一台,为多台虚拟机服务器提供计算资源,在一台物理服务器无法工作时,其承载的虚拟机可以自动迁移到其他物理服务器上继续运行,保障了财务系统业务连续性。同时支持快速部署服务器,降低运维成本。
虚拟机文件放置在光纤共享存储上,多台虚拟机通过光纤通道接入SAN存储系统共享存储资源,进一步保障财务数据安全,后期也可以按需扩大容量。利用虚拟化存储网关,整合异构存储资源,简化存储管理,将不同厂商的存储阵列虚拟成一个“存储池”,这样做的好处是把许多零散的存储资源整合起来,从而提高整体利用率,同时降低系统管理成本。现有存储阵列使用的机械硬盘带来的延迟有性能瓶颈,SSD硬盘解决了机械硬盘的延迟问题。针对医院财务高负载数据库应用,采用闪存阵列提升性能,SSD提供高IOPS和低延时,实现了极佳的快速响应。存储资源池分为高性能、性能,以及容量三种资源池,通过存储自动分层技术,将“热”数据迁移到高速闪存SSD中,访问频率低的“冷”数据被迁移到低速存储介质SATA中,优化资源配置为整个存储层加速。
3、IP地址合理规划
IP地址规划是网络设计的重要环节,ip地址的规划好坏直接影响网络性能,管理,和扩展性,也影响网络应用进一步发展。财务专用网络必须对IP地址进行统一规划才能得到有效实施。IP地址空间分配要与网络拓扑层次结构相适应,我们把网络体系结构分成核心层(信息中心机房),接入层(行政楼,门诊楼,住院楼,检验楼,放疗中心等),按照楼层进行VLAN划分,缩小广播域避免广播风暴的形成,方便定位故障位置。对财务办公区静态分配IP地址,防止地址盗用,采用IP地址和MAC地址绑定,同时加强工作人员上网行为的教育和管理。为网络设备和服务器等配置静态IP地址,服务器区域配置专用VLAN,外网边界深信服防火墙配置地址翻译,保护内部地址不被暴露在公网上。
4、网络安全设计
安全方面要按照三级等保要求,在保证网络运行安全、主机安全、应用安全、数据安全的基础上,确保医院财务管理系统的安全性、可用性和高性能。在网络边界以双机模式部署2台防火墙,连接医保等专用网络。双机部署提高网络冗余能力,避免单点故障带来的业务不可用。防火墙可以进行访问控制和端口限制阻止外部入侵,但防火墙对内部用户的破坏没有办法,需另在核心旁路部署入侵检测系统,与防火墙联动,共同阻止内外部入侵者。
虚拟服务器集群需安装虚拟机安全防护软件,避免某台虚拟机被攻陷后,进一步横向攻击导致财务管理系统中断。使用亚信科技DS虚拟补丁,解决由于更新打补丁造成的财务系统业务中断和蓝屏现象,降低运维风险。同时支持虚拟机杀毒功能,防止病毒、木马等威胁造成财务数据丢失。
针对财务科内网接入的终端,部署一套终端安全管理与准入软件和一套网络版杀毒软件,实现内网终端的实时安全防护、USB接口管控、非法外联管控、高危漏洞检测等功能。部署1台安全隔离网闸,将财务内部网络和外部网络进行物理隔离。安全隔离网闸系统基于多核多线程专用安全操作系统,采用类似船闸摆渡的工作原理,在内、外主机之间摆渡应用数据,在安全隔离网络的同时,做实时的数据交换。
外网部署一台VPN网关,为员工和第三方人员远程进行运维或办公提供安全的接入方式,采用多因素认证连入VPN后,通过网闸、堡垒机访问到内网前置机进行远程工作。
医院财务核心业务服务的数据库中存放大量的财务信息等机密数据,这些信息各类用户可以通过浏览器或客户端软件来查询,因此需要长期稳定运行。综合考虑性价比,可选择热备容灾系统,平时数据从财务虚拟服务器同步到灾备系统上,一旦财务管理系统出现故障,可以临时切换到灾备服务器上,待原有业务系统恢复后,再将数据同步到财务虚拟服务器上。相对于双活方案,采用主备方式成本较低,在一定程度也能保障业务的连续性。
5、总结
医院财务系统安全是医院信息安全的建设重点,通过在网络规划设计阶段,本文从网络、计算、存储等方面做好方案,从底层规划设计上保障医院财务系统安全,并对今后各种新业务的开展具有较强适应力,扩展力。这样的安全网络建成,提高了财务管理系统业务的效率和处理能力,树立了医院良好形象,为未来发展奠定了坚实基础。在预算允许情况下,若接入交换机采用堆叠技术,可以大大提高网络的传输性能和运行的可靠性和扩展性。作为医院专用网络规划设计,未来将在数据安全与备份上进一步加强,不断提升医院财务管理系统的安全性。
參考文献:
[1]陈启岳.网络支付业务在医疗领域应用与服务思考[J].医学信息学杂志. 2019,40(06):36-38.
[2]郭慧.大数据时代的医院财务管理[J].解放军医院管理杂志. 2021,28(09):859-860.
[3]王玲.信息技术在医院财务管理中的应用[J].财会学习. 2021,(26):财会学习. 2021,(26).