V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
godleon
V2EX  ›  程序员

[数据安全] 请教一下医院项目老生常谈的如何保证“内网外数据传输安全问题”?

  •  
  •   godleon · 2023-05-15 16:47:54 +08:00 · 2165 次点击
    这是一个创建于 566 天前的主题,其中的信息可能已经有所发展或是发生改变。

    场景

    我们自己的系统,pc + app ,pc 是内网部署到医院服务器,然后 app 是患者在家就可以用,需要使用公网来调的接口传数据。

    需求

    1.怎么能够安全保证 app 的数据可以写入 /读取到医院内的服务;
    2.医院表示可以给开公网端口,但是要求给一个绝对安全的方案,(数据安全,服务器安全)要不然不让上;
    3.His 有这种场景吗? 怎么解决的。
    4.思考方向应该是 技术解决 还是 硬件解决?
    ps:网络上和硬件上是个小白~

    13 条回复    2023-11-01 11:35:26 +08:00
    small369
        1
    small369  
       2023-05-15 16:56:30 +08:00
    加硬件网闸,单向隔离
    maizero
        2
    maizero  
       2023-05-15 16:56:59 +08:00   ❤️ 1
    医疗相关系统如果涉及到患者数据,属于敏感个人信息了吧?这样的系统不得三级等保以上? 那不得有安全团队、安全产品、安全解决方案、安全运维?
    ilovey482i
        3
    ilovey482i  
       2023-05-15 17:14:55 +08:00
    绝对安全?凡事哪有绝对,苹果都还有很多漏洞
    iyiluo
        4
    iyiluo  
       2023-05-15 17:23:08 +08:00
    有标准的 DMZ 内外网交互平台,但是弄起来太麻烦了。小项目可以弄一个中转应用专门检测和放行应用数据,只允许白名单内的 url 通过,请求参数也要做校验
    retanoj
        5
    retanoj  
       2023-05-15 17:23:55 +08:00
    上云,交给云商解决
    lxh1983
        6
    lxh1983  
       2023-05-15 17:25:19 +08:00   ❤️ 1
    TLS1.2 以上,双向证书认证。现在 PLC 都这么玩了
    yinmin
        7
    yinmin  
       2023-05-15 19:08:39 +08:00 via iPhone
    医院有等保要求的,按照等保要求弄
    wolfmei
        8
    wolfmei  
       2023-05-15 22:00:17 +08:00
    没什么绝对安全吧,使用零信任网关可能是一个比较好的方案。
    cnevil
        9
    cnevil  
       2023-05-16 08:41:47 +08:00
    大致上应该是这样的:
    医院内外网物理(逻辑)隔离,通过网闸在内外网交互数据
    以我见过的几家医院,一般都是有前置机这种东西,内外网都有前置机,不管是反向代理还是什么样的方式去获取数据,这个交互就分成了外网前置机到你需要的公网内容,外网前置机到内网前置机、内网前置机到你的应用这三段,中间这一段是必须跟医院去协调的,比如前置机间访问的地址、端口等等
    至于你说的安全方案,你可以问问同样搞医院系统的同行朋友,基本每个医院都会有这样的需求,我以我的角度提个思路,假如你需要获取的数据在内网数据库,你通过内网一台服务器做前置机,获取到数据后同步到外网的前置机,然后通过医院提供的公网端口获取到外网前置机中的数据,中间用到的一些加密或者签名啥的手段应该就是可以体现出来的数据安全的方案,甚至包括脱敏啥的,先都扯上呗
    ww940521
        10
    ww940521  
       2023-05-16 09:48:16 +08:00
    感觉很难,如果 app 被逆向的话网关不知道能不能识别。
    buyerhou
        11
    buyerhou  
       2023-05-16 11:31:40 +08:00
    靠,跟我当时一模一样,当时没有什么好的解决办法,就给开了一个端口,内网穿透一类的实现,你这边有解决办法,请分享一下,不是啥大项目的话,弄个屁的 app 啊。多余的成本都大于软件了
    Yuan2One
        12
    Yuan2One  
       2023-05-16 16:57:48 +08:00
    用个交换机做个镜像端口映射, 然后 vvxlan 包一下到网关做解析,黑白名单拦截,不知道可行吗
    MEIXUAN
        13
    MEIXUAN  
       2023-11-01 11:35:26 +08:00
    我认识一些厂商做这块的,上面也有回复说零信任安全可以解决的。可以聊聊~
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2605 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 10:37 · PVG 18:37 · LAX 02:37 · JFK 05:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.