一、設計目標

實現醫療業務網/衛生專網/互聯網三網隔離

滿足等保2.0三級合規要求

保障PACS影像系統低時延傳輸

實現醫療物聯網統一接入管控

二、全網拓撲架構

三、網絡分區與安全設計

1. IP/VLAN規劃表
   

2. 核心業務配置（華為CE6865）

interface 100GE1/0/1  description PACS-CT-Modality  trust dscp 46  # 標記EF優先級  qos queue ef bandwidth 40%  # 保障帶寬  # 堆疊配置  stack  member 1 priority 150  member 2 priority 100

3. 安全策略配置（啟明星辰防火墻）

# 衛生專網訪問控制  rule id 101  action permit  src-zone trust  dst-zone untrust  src-ip 10.100.0.0/24  dst-ip 172.18.100.50/32  service http  match application "醫療數據上報"  log enable  # 勒索軟件防御策略  ips policy "Anti-Ransomware"  signature "Trojan/WannaCry" action block  signature "Exploit/EternalBlue" action block  apply-to zone all 

四、醫療物聯網安全方案

1. 終端準入控制（華三IMC平臺）

# 醫療設備指紋庫  device-profile create "GE-監護儀"  match oui "00-0C-xx"  match dhcp-option 60 "Vendor/GE/PatientMonitor"  # 動態VLAN分配  portal rule "IoMT-Access"  if-match device-profile "GE-監護儀"  action vlan 300  action acl 3100  # 限制僅訪問監護服務器

2. 無線探針定位（華為AC+AP）

wlan radio-2g-profile "Med-Location"  air-scan enable  terminal-positioning enable  # 定位服務器對接  terminal-positioning-server  ip-address 10.100.100.100  port 8000  

五、等保2.0合規關鍵配置

1. 安全審計（啟明星辰泰合平臺）

# 日志收集策略  collector add syslog 10.100.100.200  facility local5  severity info  include-regex "failed|deny"  # 數據庫審計規則  audit policy "HIS-DB"  db-type oracle  risk-level high  action alert block  match-sql "DELETE FROM patient_info"

2. 數據安全防護

數據類型 保護措施 技術實現

電子病歷 透明加密 天闐數據庫防火墻加密網關

DICOM影像 數字水印 PACS系統集成水印SDK

患者隱私 數據脫敏 天清Web防火墻動態脫敏策略

六、災備與運維設計

1. 雙活數據中心架構

主數據中心 --[OTV專線]-- 備數據中心

| |

[華為OceanStor] [華為OceanStor]

| |

[PACS存儲雙活] [HIS數據庫同步]

2. 安全運維流程

堡壘機登錄（雙因素認證）

自動備份配置（每天02:00）

漏洞掃描（每周日00:00）

安全事件響應（30分鐘SLA）