医疗行业内外网分离建设解读
一、 建设现状
医院的无线网络兼有供医院内部使用的内网和供患者及家属使用的外网。在智慧医院的建设中,需要打通内网外网通道,让两网逐步趋于融合,以实现掌上医院预约挂号、就医导诊、叫号排队、移动支付等诸多新应用。但内外网融合的同时,安全隐患与管理难题也随之而来。
如何才能对内外网进行安全的隔离以规避风险,同时又支持内外网的融合与统一管理?对于这个问题,目前国内的华三和锐捷采取的措施是十分相似的,华三通信的医疗物联网AP是利用设备虚拟化技术将一个AP虚拟成逻辑上的两台设备,从而利用双网口、双AC控制器完成内外网数据的隔离,避免两套网络在使用过程中发生资源冲突。
华三官方宣传此内外隔离管理模式可以实现物理隔离,但是此隔离并非真正意义上的物理隔离,在一定程度上存在着安全问题。
二、 存在问题及说明
我们不妨先看一下目前业内应对内外网隔离的几种方案。
传统逻辑隔离
传统的逻辑隔离是通过一个AP,一个控制器AC,通过控制器内部的VLAN划分实现身份和访问权限的隔离,此隔离技术优点是成本低,但是由于内外网的接入控制器为一台,在两套网络使用时也容易造成资源混乱以及冲突,安全方面没有保障。
半物理半逻辑隔离
此技术为华三和锐捷在安全方面主打的内外隔离融合式管理,其原理为利用设备虚拟化技术将一个AP虚拟成逻辑上的两台设备,从而利用双网口、双AC控制器完成内外网数据的隔离,避免两套网络在使用过程中发生资源冲突。
但是由于内外网络接入点为一台AP,此处有几个问题需要我们去思考。
1、从技术角度分析,内部虚拟化技术是否成熟,是否可以将内外网访问资源清楚地划分并且不产生混乱和资源的冲突,其实际效果还有待验证。
2、从隔离角度分析,内网和外网通过一个AP接入后进行划分,内外网络有共通的接入端口,且内网的接入端口是暴漏在无线网络当中的,所以此方式不能称得上是完全物理隔离。
3、从安全角度分析,此隔离方式无论访问内网还是外网都需要接入了同一AP,内网的无线端空仍然暴露在空气中,而且设备虚拟化技术的成熟性以及安全性还有待考证,所以此隔离技术无法做到真正意义上的保护内网数据安全。
完全物理隔离
完全物理隔离则是采用了内外网络分别建设,从根本上实现内外网络的隔离,消除安全隐患。
而,信锐技术的内外网隔离建设正式采用完全物理隔离的方式,自成立以来,信锐技术一直秉承“无线解决一切”的愿景,产品功能不断满足用户的场景化需求,因此也在短短两年时间里跻身国内企业级无线市场前列,获得超过10000家企业级用户的认可。信锐技术在扩大服务领域的同时,也引领业界并提出下一代企业级无线。