三甲医院网络架构与安全建设实战

一、设计目标

实现医疗业务网/卫生专网/互联网三网隔离

满足等保2.0三级合规要求

保障PACS影像系统低时延传输

实现医疗物联网统一接入管控

二、全网拓扑架构

三、网络分区与安全设计

IP/VLAN规划表

核心业务配置（华为CE6865）

interface 100GE1/0/1 description PACS-CT-Modality trust dscp 46 # 标记EF优先级 qos queue ef bandwidth 40% # 保障带宽 # 堆叠配置 stack member 1 priority 150 member 2 priority 100 安全策略配置（启明星辰防火墙） # 卫生专网访问控制 rule id 101 action permit src-zone trust dst-zone untrust src-ip 10.100.0.0/24 dst-ip 172.18.100.50/32 service http match application "医疗数据上报" log enable # 勒索软件防御策略 ips policy "Anti-Ransomware" signature "Trojan/WannaCry" action block signature "Exploit/EternalBlue" action block apply-to zone all

四、医疗物联网安全方案

终端准入控制（华三IMC平台） # 医疗设备指纹库 device-profile create "GE-监护仪" match oui "00-0C-xx" match dhcp-option 60 "Vendor/GE/PatientMonitor" # 动态VLAN分配 portal rule "IoMT-Access" if-match device-profile "GE-监护仪" action vlan 300 action acl 3100 # 限制仅访问监护服务器 无线探针定位（华为AC+AP） wlan radio-2g-profile "Med-Location" air-scan enable terminal-positioning enable # 定位服务器对接 terminal-positioning-server ip-address 10.100.100.100 port 8000

五、等保2.0合规关键配置

安全审计（启明星辰泰合平台） # 日志收集策略 collector add syslog 10.100.100.200 facility local5 severity info include-regex "failed|deny" # 数据库审计规则 audit policy "HIS-DB" db-type oracle risk-level high action alert block match-sql "DELETE FROM patient_info" 数据安全防护

数据类型 保护措施 技术实现

电子病历 透明加密 天阗数据库防火墙加密网关

DICOM影像 数字水印 PACS系统集成水印SDK

患者隐私 数据脱敏 天清Web防火墙动态脱敏策略

六、灾备与运维设计

双活数据中心架构

主数据中心 --[OTV专线]-- 备数据中心

| |

[华为OceanStor] [华为OceanStor]

| |

[PACS存储双活] [HIS数据库同步]

安全运维流程

堡垒机登录（双因素认证）

自动备份配置（每天02:00）

漏洞扫描（每周日00:00）

安全事件响应（30分钟SLA）