三甲医院网络架构与安全建设实战

一、设计目标

实现医疗业务网/卫生专网/互联网三网隔离

满足等保2.0三级合规要求

保障PACS影像系统低时延传输

实现医疗物联网统一接入管控

二、全网拓扑架构

三、网络分区与安全设计

1. IP/VLAN规划表
   

2. 核心业务配置（华为CE6865）

interface 100GE1/0/1  description PACS-CT-Modality  trust dscp 46  # 标记EF优先级  qos queue ef bandwidth 40%  # 保障带宽  # 堆叠配置  stack  member 1 priority 150  member 2 priority 100

3. 安全策略配置（启明星辰防火墙）

# 卫生专网访问控制  rule id 101  action permit  src-zone trust  dst-zone untrust  src-ip 10.100.0.0/24  dst-ip 172.18.100.50/32  service http  match application "医疗数据上报"  log enable  # 勒索软件防御策略  ips policy "Anti-Ransomware"  signature "Trojan/WannaCry" action block  signature "Exploit/EternalBlue" action block  apply-to zone all 

四、医疗物联网安全方案

1. 终端准入控制（华三IMC平台）

# 医疗设备指纹库  device-profile create "GE-监护仪"  match oui "00-0C-xx"  match dhcp-option 60 "Vendor/GE/PatientMonitor"  # 动态VLAN分配  portal rule "IoMT-Access"  if-match device-profile "GE-监护仪"  action vlan 300  action acl 3100  # 限制仅访问监护服务器

2. 无线探针定位（华为AC+AP）

wlan radio-2g-profile "Med-Location"  air-scan enable  terminal-positioning enable  # 定位服务器对接  terminal-positioning-server  ip-address 10.100.100.100  port 8000  

五、等保2.0合规关键配置

1. 安全审计（启明星辰泰合平台）

# 日志收集策略  collector add syslog 10.100.100.200  facility local5  severity info  include-regex "failed|deny"  # 数据库审计规则  audit policy "HIS-DB"  db-type oracle  risk-level high  action alert block  match-sql "DELETE FROM patient_info"

2. 数据安全防护

数据类型 保护措施 技术实现

电子病历 透明加密 天阗数据库防火墙加密网关

DICOM影像 数字水印 PACS系统集成水印SDK

患者隐私 数据脱敏 天清Web防火墙动态脱敏策略

六、灾备与运维设计

1. 双活数据中心架构

主数据中心 --[OTV专线]-- 备数据中心

| |

[华为OceanStor] [华为OceanStor]

| |

[PACS存储双活] [HIS数据库同步]

2. 安全运维流程

堡垒机登录（双因素认证）

自动备份配置（每天02:00）

漏洞扫描（每周日00:00）

安全事件响应（30分钟SLA）