Thông tin đề tài
Tên đề tài: Hoàn thiện công nghệ bảo mật hệ thống PACS (Picture Archiving and Communication System) ứng dụng chẩn đoán hình ảnh số tại Bệnh viện
Chủ nhiệm đề tài: ThS Nguyễn Chí Ngọc
Cơ quan chủ trì: Công ty Cổ phần Công nghệ Thông minh Ưu Việt
Thời gian thực hiện đề tài: 12 tháng
Kinh phí được duyệt: 560 triệu đồng (NSNN: 380 triệu đồng)
Giai đoạn 1: 190 triệu đồng theo TB số: 111/TB-SKHCN ngày 29/6/2015
Giai đoạn 2: 150 triệu đồng theo TB số: 11/TB-SKHCN ngày 03/3/2016.
Mục tiêu đề tài (Theo đề cương đã duyệt)
Vào năm 2013, đề tài “Ứng dụng thiết bị Tổng đài IP và Video Conference Bách Khoa phục vụ hội chẩn tại Bệnh viện Nhân dân 115” do iNext Technology chủ trì đã được Sở Khoa học Công nghệ TP.HCM hỗ trợ triển khai Đề tài này đã được Hội đồng khoa học nghiệm thu vào ngày 26/03/2014 với kết quả đạt loại Khá và hiện đang được Bệnh viện Nhân dân 115 ứng dụng vào hoạt động quản lý và đào tạo Trong quá trình thực hiện, iNext Technology đã tiến hành lắp đặt thiết bị tại bệnh viện.
Hệ thống BKPACS gồm 115 đơn vị, nhằm cung cấp hình ảnh số cho chẩn đoán y khoa trực tuyến, hỗ trợ đội ngũ y bác sĩ Việc chuyển đổi từ hình thức in phim truyền thống sang hình ảnh số không chỉ giúp tiết kiệm chi phí đáng kể cho bệnh viện mà còn góp phần bảo vệ môi trường.
Triển khai hệ thống BKPACS tại bệnh viện gặp phải thách thức lớn về bảo mật thông tin và hình ảnh chẩn đoán bệnh nhân Hệ thống này cần tương tác với nhiều hệ thống khác trong bệnh viện, bao gồm việc nhận dữ liệu từ các máy chẩn đoán hình ảnh của các nhà sản xuất, tiếp nhận thông tin bệnh nhân và chỉ định từ hệ thống HIS, cũng như trả dữ liệu hình ảnh DICOM đến các Work Station trong bệnh viện Đồng thời, việc xây dựng Web Viewer cho phép chẩn đoán hình ảnh số qua mạng cũng là một yếu tố quan trọng.
Mục tiêu của đề tài "Hoàn thiện công nghệ bảo mật hệ thống PACS ứng dụng chẩn đoán hình ảnh số tại Bệnh viện" là nâng cao bảo mật sản phẩm Bách Khoa PACS để đảm bảo an toàn thông tin khi kết nối với hệ thống HIS, các máy chẩn đoán hình ảnh, Work Station và dịch vụ Web Viewer Kết quả đạt được sẽ là điểm trình diễn thuyết phục các bệnh viện khu vực Tp Hồ Chí Minh áp dụng triển khai công nghệ này.
Công ty CP Công nghệ thông minh Ưu Việt không chỉ hoàn thiện sản phẩm mà còn xây dựng điểm trình diễn ứng dụng trong hệ thống y tế Đồng thời, công ty sẽ tích cực giới thiệu và hợp tác phát triển sản phẩm trong các lĩnh vực khác, đặc biệt là với các công ty bảo hiểm tại thành phố Hồ Chí Minh và các tỉnh lân cận.
Nội dung đề tài (Theo đề cương đã duyệt)
TT Các nội dung, công việc chủ yếu cần được thực hiện
1 Nghiên cứu kỹ thuật bảo mật dữ liệu nhằm lấy đúng và đủ dữ liệu từ các máy chẩn đoán hình ảnh (CT, MRI, DSA, X Quang,
Siêu âm) về hệ thống PACS
Dữ liệu truyền từ máy CĐHA với dung lượng lớn vừa phải đảm bảo tính an toàn thông tin, chính xác và real-time
2 Hoàn thiện kỹ thuật bảo mật khi chứng thực, truy vấn và xem dữ liệu chẩn đoán hình ảnh qua Internet (Web interface)
Hệ thống được bảo mật chứng thực đúng trang web truy cập, bảo mật OTP, bảo mật chống dò password, bảo mật chống SQL Injection
Hệ thống bảo mật truy vấn và xem dữ liệu chẩn đoán qua Web với chuẩn TLS
3 Hoàn thiện kỹ thuật bảo mật khi truy vấn và xem dữ liệu chẩn đoán hình ảnh qua các
DICOM Viewer tại bệnh viện
Có cơ chế chứng thực người sử dụng hoặc chứng thực IP cho các viewer khi truy cập vào PACS
Xây dựng mô hình bảo mật mạng: bảo mật VLAN, phân quyền truy cập qua tường lửa
4 Hoàn thiện bảo mật interface giao tiếp giữa PACS với phần mềm HIS (Hospital
Information System) tại bệnh viện tham gia đề tài nhằm phục vụ truy vấn và lấy dữ liệu từ
Bảo mật giao tiếp lấy thông tin bệnh nhân từ HIS qua PACS
Bảo mật giao tiếp lấy chỉ định bác sỹ từ HIS qua PACS
5 Triển khai thử nghiệm và đánh giá toàn bộ hệ thống tại bệnh viện tham gia đề tài
Hệ thống được triển khai thử nghiệm và đánh giá thực tế tại bệnh viện tham gia đề tài
Sản phẩm của đề tài
TT Tên sản phẩm Số lượng
Chỉ tiêu kinh tế - kỹ thuật Tình trạng
1 Phần mềm bảo mật tích hợp vào hệ thống Hội chẩn y tế trực tuyến Bách
Khoa đang ứng dụng tại bệnh viện tham gia đề tài
1 Đạt các chỉ tiêu kỹ thuật như ở phần nội dung thực hiện Đã hoàn thành
2 Mô hình kết nối hệ thống bảo mật mạng
1 Thể hiện rõ mô hình kết nối hệ thống phục vụ bảo mật mạng tại bệnh viện tham gia đề tài Đã hoàn thành 100% (giấy xác nhận của
3 Đăng ký Sở hữu trí tuệ/Bản quyền tác giả
4 Bài báo tại Hội nghị/Tạp chí khoa học uy tín trong nước
1 1 Thuong Le-Tien, Quoc Nguyen-Dang, Ngoc Nguyen-Chi, Phuc Nguyen, Bernhard Wirnitzer, “Mobile and Wireless Sensor
Healthcare Model based on Cloud Computing” trong tập san hội nghị quốc tế về Phát triển Kỹ thuật y sinh
(BME2016, IFMBE, trang 325-328) Đã hoàn thành 100% Bản sao bìa, mục lục và toàn văn bài báo đính kèm trong phụ lục minh chứng
5 Hướng dẫn 02 Sinh viên ngành ĐTVT/CNTT tốt nghiệp đại học
4 Chung Thế Hào Đã hoàn thành 200% (4 sinh viên, giấy xác nhận của Đại học Bách Khoa TpHCM)
NỘI DUNG NGHIÊN CỨU
Nội dung 01: Nghiên cứu kỹ thuật bảo mật dữ liệu nhằm lấy đúng và đủ dữ liệu từ các máy chẩn đoán hình ảnh (CT, MRI, DSA, X quang, Siêu âm) về hệ thống PACS
đủ dữ liệu từ các máy chẩn đoán hình ảnh (CT, MRI, DSA, X quang, Siêu âm) về hệ thống PACS
2.1.1 Chuyên đề 1: Phân tích các yêu cầu đặc trưng bảo mật dữ liệu cần thiết của các thiết bị chẩn đoán hình ảnh tại bệnh viện
2.1.1.1 Máy chẩn đoán hình ảnh CT
CT (Chụp cắt lớp vi tính) là một phương pháp tạo ra hình ảnh cắt lớp sắc nét nhờ vào sự hỗ trợ của máy tính Quá trình này được thực hiện thông qua việc tái tạo ảnh từ các hình chiếu, dựa trên các nguyên tắc toán học Hình 3 minh họa rõ nét cho kỹ thuật chẩn đoán hình ảnh bằng CT.
Hình 3 Chẩn đoán hình ảnh bằng kỹ thuật chụp CT
2.1.1.2 Máy chẩn đoán hình ảnh MRI
Chụp cộng hưởng từ (MRI) là một trong những kỹ thuật chẩn đoán hình ảnh tiên tiến, sử dụng từ trường mạnh và sóng radio để tạo ra hình ảnh chi tiết của các cơ quan trong cơ thể Phương pháp này an toàn cho bệnh nhân vì không sử dụng tia X, giúp chẩn đoán và điều trị bệnh hiệu quả MRI đặc biệt hữu ích trong việc chụp ảnh não và cột sống, cung cấp thông tin quý giá về vị trí thương tổn Với khả năng tạo ra hình ảnh 3 chiều, kỹ thuật này đã trở thành một phương pháp phổ biến và hiện đại trên toàn thế giới.
Hình 4 Mô hình hệ thống MRI
2.1.1.3 Máy chẩn đoán hình ảnh X quang
Máy chụp X quang là thiết bị thiết yếu trong chẩn đoán hình ảnh, sử dụng tia X để tái tạo hình ảnh cấu trúc bên trong cơ thể Những hình ảnh này cung cấp thông tin quan trọng cho việc chẩn đoán và điều trị bệnh, giúp bác sĩ thực hiện công việc một cách chính xác và nhanh chóng X quang được áp dụng trong nhiều lĩnh vực như khảo sát xương khớp, bụng, sọ não, cột sống, phổi, hệ tiết niệu, mạch, và dạ dày Thiết bị này hiện đang được sử dụng phổ biến tại các bệnh viện lớn và nhỏ trên toàn quốc.
Hình 5 Nguyên lý chụp X quang
2.1.1.4 Máy chẩn đoán hình ảnh Siêu âm
Siêu âm là một kỹ thuật chẩn đoán hình ảnh không xâm lấn phổ biến trong y tế, sử dụng sóng siêu âm để tạo ra hình ảnh về cấu trúc bên trong cơ thể Những hình ảnh này cung cấp thông tin quan trọng cho việc chẩn đoán và điều trị bệnh Với khả năng ghi nhận hình ảnh theo thời gian thực, siêu âm có thể hiển thị cấu trúc và chuyển động của các bộ phận bên trong, bao gồm cả dòng máu trong các mạch.
Hình 6 Một ca siêu âm thai
2.1.1.5 Máy chụp mạch máu xóa nền DSA
Kỹ thuật chụp mạch máu xóa nền DSA là một hệ thống chụp hình mạch máu tiên tiến sử dụng tia X, kết hợp giữa phương pháp chụp hình mạch máu truyền thống và công nghệ xử lý hình ảnh bằng máy vi tính Nguyên lý hoạt động của DSA là ghi lại hình ảnh mạch máu trước và sau khi bơm thuốc cản quang, giúp phát hiện sớm các bệnh lý nghiêm trọng liên quan đến mạch máu, đặc biệt là bệnh lý mạch vành Hình 7 minh họa một thiết bị chụp mạch.
2.1.1.6 Đặc trưng bảo mật dữ liệu của các thiết bị chẩn đoán hình ảnh
The Application Entity Title (AETitle) is a unique identifier for applications or devices within the DICOM standard In medical imaging machines, AETitles come in two forms: Storage AE and Workflow AE, each serving distinct functions.
Khi kích hoạt chức năng gửi ảnh để lưu trữ, Storage AE sẽ tạo hàng đợi cho việc "send image" Một yêu cầu kết nối được gửi đến AE đích, và sau khi hoàn tất các thủ tục cần thiết, quá trình gửi dữ liệu ảnh sẽ bắt đầu Nếu yêu cầu kết nối không thành công, một thông báo lỗi sẽ được gửi về, và kỹ thuật viên có thể kích hoạt lại kết nối thông qua giao diện điều khiển Mặc định, Storage AE sẽ tự động cố gắng thực hiện yêu cầu kết nối trong một số lần cho phép và sẽ chờ đợi phản hồi trong khoảng thời gian "time-out" đã được cài đặt.
Workflow AE có chức năng chính là cập nhật Worklist trên máy bằng cách tải Worklist từ một nút khác Khi cập nhật, bảng Worklist sẽ chuyển sang trạng thái mở và bộ đếm sẽ được khởi động Nếu đạt tới số lượng giới hạn theo cấu hình, yêu cầu sẽ bị hủy Kết quả sẽ được hiển thị trong danh sách riêng, và các ca đã hoàn thành sẽ bị xóa trong lần cập nhật tiếp theo.
Các trình tự thực hiện hai chức năng chính trên được cho bởi sơ đồ sau đây:
Hình 8 Trình tự thực hiện chức năng của các AE trên máy CĐHA
Để truyền nhận dữ liệu giữa hai Node Dicom, mỗi node cần nhận dạng node còn lại qua các thông số như AETitle, địa chỉ IP và port ứng dụng Quy trình gửi và nhận dữ liệu được minh họa qua hình 9, trong đó Storage AE gửi dữ liệu hình đến Remote AE khi kỹ thuật viên thực hiện thao tác gửi ảnh, có thể là gửi bằng tay các ca đã hoàn thành hoặc tự động khi kết thúc ca bệnh Khi thiết lập chế độ auto-send, dữ liệu ảnh sẽ được lưu trữ về BKPACS ngay khi ca bệnh được “đóng” Đồng thời, Workflow AE nhận thông tin từ remote Worklist khi kỹ thuật viên cập nhật Worklist, thực hiện truy vấn đến remote Worklist và gửi thông tin cần thiết cho yêu cầu truy vấn.
Hình 9 Sơ đồ dòng dữ liệu Dicom tổng quan
Trên các thiết bị chẩn đoán hình ảnh, việc khai báo được quy định nghiêm ngặt với chính sách riêng cho từng loại máy và hãng sản xuất Đối với máy CT của Toshiba, các node an toàn cần được cập nhật trong cơ sở dữ liệu Quá trình cập nhật chỉ được chấp nhận sau khi máy được khởi động lại theo quy trình của nhà sản xuất.
2.1.2 Chuyên đề 2: Nghiên cứu lấy dữ liệu chính xác từ API các máy chẩn đoán hình ảnh mà vẫn đảm bảo tốc độ truyền dữ liệu lớn và real-time
2.1.2.1 Công nghệ kết nối máy chẩn đoán hình ảnh CT
Các thành phần chính của hệ thống kết nối máy CT bao gồm DICOM Modality Worklist (MWL) và DICOM Image Storage MWL là dịch vụ DICOM quan trọng trong quản lý y tế, giúp giảm thiểu sai sót dữ liệu bệnh nhân thông qua hệ thống điện tử theo chuẩn HL7 Hiện nay, MWL trở thành tính năng thiết yếu cho các thiết bị chẩn đoán hình ảnh Trong khi đó, DICOM Image Storage là dịch vụ lưu trữ và truyền tải hình ảnh DICOM giữa các nút DICOM, thực hiện thông qua các thông điệp C-STORE SCU gửi yêu cầu C-STORE-RQ đến SCP, và SCP phản hồi bằng thông điệp C-STORE-RSP để thông báo kết quả giao tiếp.
Quá trình gửi ảnh DICOM từ máy CT đến bộ lưu trữ bao gồm các bước quan trọng: tạo ảnh DICOM, sử dụng giao thức C-STORE để gửi ảnh, kiểm tra lưu trữ qua giao thức Storage Commitment và chờ kết quả từ máy lưu trữ Hệ thống BKPACS thực hiện việc truyền nhận dữ liệu ảnh DICOM theo cách thức này.
Hình 10 Phương thức đối chiếu dữ liệu
2.1.2.2 Công nghệ kết nối máy chẩn đoán hình ảnh MRI
Các hãng sản xuất máy MRI như Siemens, GE, và Philips đều sử dụng phần mềm tạo ảnh và xử lý ảnh riêng, nhưng việc kết nối dữ liệu luôn tuân thủ chuẩn DICOM, dẫn đến sự tương đồng trong khai báo và cấu hình Để kết nối hệ thống MRI, cần thông tin mạng bệnh viện, thông số Local DICOM của máy MRI và thông số các nút remote DICOM Hệ thống HIS cung cấp thông tin bệnh nhân, chỉ định bác sĩ và tư thế chụp, sau đó trả về cho hệ thống PACS và truyền qua máy MRI thông qua chức năng Modality Work List Hình ảnh chụp được sẽ được lưu trữ trong hệ thống PACS.
Dữ liệu này được kiểm tra bằng mã CRC để đối chiếu độ chính xác so với dữ liệu trên máy MRI
Hình 11 Mô hình kết nối thử nghiệm hệ thống MRI
Hệ thống BKPACS tích hợp phương thức kiểm tra mất kết nối và cảnh báo khi truyền hình ảnh DICOM từ máy chụp đến PACS Nó so sánh thông tin bệnh nhân trên hệ thống HIS với thông tin từ máy MRI để ngăn ngừa sai sót trong quá trình truyền dữ liệu Bác sĩ có thể truy cập và xem lại hình ảnh từ các trạm làm việc khác nhau trong bệnh viện hoặc qua trang Web Viewer đi kèm.
Hình 12 Xử lý và chẩn đoán trên các Work Station và Web Viewer
2.1.2.3 Công nghệ kết nối máy chẩn đoán hình ảnh X quang, siêu âm và
Nội dung 02: Hoàn thiện kỹ thuật bảo mật khi chứng thực, truy vấn và xem dữ liệu chẩn đoán hình ảnh qua Internet (Web interface)
và xem dữ liệu chẩn đoán hình ảnh qua Internet (Web interface)
2.2.1 Chuyên đề 1: Khảo sát các chứng chỉ số của các công ty tại thị trường
Chứng chỉ số (Digital Certificate) là phương pháp mã hóa và bảo mật phổ biến nhất hiện nay, cho phép người dùng mã hóa thông tin hiệu quả, đảm bảo bí mật khi gửi và nhận dữ liệu trên mạng Nó giúp chống giả mạo bằng cách cho phép người nhận kiểm tra tính toàn vẹn của thông tin, xác thực danh tính người gửi và cung cấp bằng chứng để ngăn chặn việc chối cãi nguồn gốc tài liệu Ngoài ra, chứng chỉ số còn hỗ trợ việc thiết lập kênh liên lạc an toàn giữa người dùng và webserver, bảo vệ thông tin nhạy cảm trong quá trình trao đổi.
Chứng chỉ số là tệp tin điện tử xác minh danh tính cá nhân, máy chủ hoặc công ty trên Internet, nhằm nhận diện đối tượng trong giao dịch mạng Chứng chỉ này phải được cấp bởi Nhà cung cấp chứng thực số (CA), tổ chức có trách nhiệm xác nhận tính chính xác của thông tin CA có thể là bên thứ ba độc lập hoặc tổ chức tự vận hành phần mềm cấp chứng chỉ Các phương pháp xác định danh tính tùy thuộc vào chính sách của CA, đảm bảo quy trình cấp chứng chỉ đúng đắn, xác định đối tượng và mục đích sử dụng Trước khi cấp chứng chỉ, CA thường công bố các thủ tục cần thực hiện cho từng loại chứng chỉ số.
Chứng chỉ số chứa khóa công khai liên kết với tên duy nhất của đối tượng, như tên nhân viên hoặc server, giúp ngăn chặn giả mạo khóa công khai Chỉ khóa công khai được chứng thực bởi chứng chỉ số mới có thể tương tác với khóa riêng tương ứng của đối tượng được xác thực Ngoài khóa công khai, chứng chỉ số còn bao gồm tên đối tượng, hạn dùng, tên của CA cấp chứng chỉ, mã số thứ tự và thông tin khác Đặc biệt, chứng chỉ số luôn chứa chữ ký số của CA, giúp người sử dụng nhận biết và tin cậy vào tính hợp lệ của chứng chỉ.
SSL, hay Secure Sockets Layer, là tiêu chuẩn an ninh toàn cầu tạo ra liên kết mã hóa giữa máy chủ web và trình duyệt, đảm bảo mọi dữ liệu trao đổi đều an toàn và bảo mật Công nghệ này giúp bảo vệ tính riêng tư của thông tin, được sử dụng rộng rãi trên hàng triệu trang web để bảo vệ giao dịch trực tuyến Chứng chỉ số SSL được cài đặt trên website cho phép khách hàng xác minh tính xác thực và tin cậy của trang, đồng thời đảm bảo mọi thông tin trao đổi giữa website và khách hàng đều được mã hóa, giảm thiểu nguy cơ can thiệp.
Khi một website gửi chứng chỉ SSL cho trình duyệt, trình duyệt sẽ chuyển chứng chỉ này đến máy chủ lưu trữ các chứng chỉ số đã được phê duyệt, do các công ty uy tín như GlobalSign và VeriSign thiết lập.
SSL sử dụng mã hóa công khai để bảo mật thông tin giữa Website và Trình duyệt Kỹ thuật này cho phép hai bên thỏa thuận một bộ khóa dùng cho việc trao đổi dữ liệu, và bộ khóa này sẽ được thay đổi cho mỗi giao dịch Điều này đảm bảo rằng ngay cả khi dữ liệu của máy chủ lưu trữ chứng chỉ số bị rò rỉ, người khác cũng không thể giải mã thông tin.
2.2.1.1 Các loại chứng chỉ SSL
Chứng chỉ SSL DV (Domain Validated) là loại chứng chỉ có tốc độ cấp phát nhanh nhất, chỉ mất vài phút Loại chứng chỉ này rất phù hợp cho người dùng cá nhân, vì chỉ cần xác thực tên miền thông qua email là đủ để hoàn tất quá trình.
OV (Organization Validation) SSL là loại chứng chỉ dành cho tổ chức hoặc doanh nghiệp, yêu cầu không chỉ xác minh quyền sở hữu tên miền mà còn cần chứng thực doanh nghiệp thông qua các giấy tờ hợp lệ.
EV, hay Extended Validation, là loại chứng chỉ SSL dành riêng cho doanh nghiệp và tổ chức chính phủ có giấy tờ hợp lệ Quá trình cấp EV SSL yêu cầu CA phải xác minh giấy phép hoạt động và tuân thủ nghiêm ngặt các quy trình chứng thực để đảm bảo uy tín của tổ chức Mỗi chứng chỉ EV SSL chỉ có thời hạn tối đa là 2 năm.
32 vì sau mỗi 2 năm CA sẽ cần chứng thực lại và chắc chắn doanh nghiệp của bạn vẫn đang hoạt động
2.2.1.2 Các loại chứng chỉ từ các CA quốc tế a GeoTrust
GeoTrust là nhà cung cấp SSL hàng đầu thế giới với hơn 1 triệu tên miền được truy cập Hơn 1.000.000 khách hàng từ hơn 150 quốc gia tin tưởng vào giải pháp của GeoTrust để bảo vệ giao dịch trực tuyến Công ty cung cấp nhiều sản phẩm như xác nhận tên miền, xác nhận doanh nghiệp và chứng chỉ SSL nâng cao, hỗ trợ tên miền đơn, không giới hạn tên miền phụ và SAN Chứng chỉ số của GeoTrust là lựa chọn lý tưởng cho những ai muốn bảo mật giao dịch trực tuyến với chi phí hợp lý.
Mã hóa 256 bit 256 bit 256 bit 256 bit
Thông tin chi tiết chứng chỉ
1 Domain (FQDN) All Subdomain 1 Domain
(FQDN) Chứng thực Tên miền (DV) Tổ Chức(OV) Tổ Chức(OV) Mở rộng EV
Thời gian cấp 5-10 phút 1-2 ngày 1-2 ngày 5-10 ngày
Phí cài đặt 200.000 VNĐ 500.000 VNĐ 500.000 VNĐ 500.000 VNĐ Giá 1 năm 2.490.000 VNĐ 3.390.000 VNĐ 9.990.000 VNĐ 5.690.000 VNĐ
Chứng chỉ GeoTrust QuickSSL Premium SSL:
QuickSSL Premium thích hợp cho các site đặt bàn, đặt phòng, đặt vé trực tuyến, hổ trợ khách hàng cá nhân…
Chứng chỉ GeoTrust QuickSSL Premium SSL cung cấp bảo vệ cho thông tin quan trọng và bí mật, đặc biệt là trên các trang web thương mại điện tử nơi diễn ra các giao dịch thẻ tín dụng và thanh toán Điều này đảm bảo rằng thông tin cá nhân của khách hàng được bảo mật khi họ đăng nhập vào trang web.
Nhiều trang web yêu cầu người dùng đăng ký thông tin cá nhân để nhận bản tin, cảnh báo, và danh sách email Khách hàng thường phải nhập một số thông tin cá nhân vào hệ thống để sử dụng các ứng dụng này.
Tiết kiệm thời gian và tiền bạc với giá rẻ, dễ dàng và thuận tiện
Chứng chỉ GeoTrust QuickSSL Premium SSL được đảm bảo bởi một công ty bảo mật uy tín
Nhận được nhiều hơn cho tiền của bạn và giấy phép không giới hạn, tái bản miễn phí và uy tín GeoTrust
An ninh: xác nhận kiểm soát tên miền, mã hóa 256 bit mạnh mẽ, 2048 bit gốc
Tiện lợi ban hành trong vài phút, 1-4 năm tùy chọn hiệu lực
Hiệu quả chi phí: giấy phép máy chủ không giới hạn, tái bản miễn phí không giới hạn cho chứng chỉ
Phổ quát: hỗ trợ cho hơn 99% các trình duyệt và hầu hết các trình duyệt thiết bị di động
Đăng ký chứng chỉ GeoTrust QuickSSL Premium với www có thể sử dụng cho cả non-www
GeoTrust True BusinessID SSL Certificates
True BusinessID SSL thích hợp cho Sàn chứng khoáng, sàn vàng quy mô vừa và nhỏ…
Chứng chỉ SSL GeoTrust True BusinessID cung cấp bảo mật cho các giao dịch trực tuyến với mã hóa mạnh mẽ lên đến 256 bit, tương thích với cả trình duyệt web và thiết bị di động Đây là lựa chọn lý tưởng cho các ứng dụng ngân hàng và dịch vụ web có giao dịch thông tin tài chính, đồng thời phù hợp cho các trang web lớn với lưu lượng truy cập cao.
Được xác nhận bởi tất cả các tổ chức
SSL mã hóa đến 256 bit
Phổ quát: hỗ trợ cho hơn 99% các trình duyệt và hầu hết các trình duyệt thiết bị di động
Giảm giá khi mua nhiều năm
Chính sách hoàn trả trong 30 ngày
Bảo mật cho www và non-www trong một chứng chỉ duy nhất
Hỗ trợ máy chủ không giới hạn (không có thêm chi phí)
Đăng ký chứng chỉ GeoTrust True BusinessID SSL Certificates với www có thể sử dụng cho cả non-www
True BusinessID EV SSL thích hợp cho ngân hàng điện tử, sàn chứng khoáng, sàn vàng…
Chứng chỉ True BusinessID EV SSL tối đa hóa bảo mật Internet, giúp tăng cường tiềm năng bán hàng trực tuyến với thanh địa chỉ xanh Với tính năng Extended Validation, người dùng trên các trình duyệt bảo mật cao sẽ thấy thanh địa chỉ chuyển sang màu xanh khi truy cập vào trang web của bạn Thanh địa chỉ không chỉ hiển thị màu xanh lá cây mà còn cung cấp tên chủ sở hữu chứng chỉ và tên nhà cung cấp Thanh trạng thái an ninh đảm bảo rằng giao dịch được mã hóa và doanh nghiệp đã được chứng thực theo tiêu chuẩn công nghiệp nghiêm ngặt nhất.
Được xác nhận bởi tất cả các tổ chức
SSL mã hóa đến 256 bit
Phổ quát: hỗ trợ cho hơn 99% các trình duyệt và hầu hết các trình duyệt thiết bị di động
Giảm giá khi mua nhiều năm
Chính sách hoàn trả trong 30 ngày
Bảo mật cho www và non-www trong một chứng chỉ duy nhất
Extended Validation với công nghệ thanh địa chỉ màu xanh lá cây
Hỗ trợ máy chủ không giới hạn (không có thêm chi phí)
Đăng ký chứng chỉ GeoTrust True BusinessID SSL Certificates với www có thể sử dụng cho cả non-www
True BusinessID Wildcard SSL thích hợp cho cổng TMĐT với nhiều sub domains
Để bảo vệ an ninh cho nhiều tên miền con với chỉ một chứng chỉ SSL, GeoTrust True BusinessID Wildcard SSL là sự lựa chọn tối ưu Chứng chỉ này có khả năng bảo vệ nhiều tên miền đầy đủ thuộc một tên miền cấp cao và có thể lưu trữ trên cùng một máy chủ vật lý.
“*youdomain.com” được đảm bảo cho các site dưới đây:
Được xác nhận bởi tất cả các tổ chức
SSL mã hóa đến 256 bit
Phổ quát: hỗ trợ cho hơn 99% các trình duyệt và hầu hết các trình duyệt thiết bị di động
Giảm giá khi mua nhiều năm
Chính sách hoàn trả trong 30 ngày
Bảo mật cho www và non-www trong một chứng chỉ duy nhất
Hỗ trợ máy chủ không giới hạn (không có thêm chi phí)
Đăng ký chứng chỉ GeoTrust True BusinessID SSL Certificates với www có thể sử dụng cho cả non-www b Thawte
Nội dung 03: Hoàn thiện kỹ thuật bảo mật khi truy vấn và xem dữ liệu chẩn đoán hình ảnh qua các DICOM Viewer tại bệnh viện
liệu chẩn đoán hình ảnh qua các DICOM Viewer tại bệnh viện
2.3.1 Chuyên đề 1: Khảo sát hạ tầng mạng tại bệnh viện tham gia đề tài và đề ra các nhược điểm bảo mật của hệ thống
2.3.1.1 Khái niệm các thiết bị mạng được sử dụng trong sơ đồ mạng
Máy chủ (server) là một thiết bị hoặc máy tính trên mạng, chịu trách nhiệm quản lý tài nguyên mạng Ví dụ, máy chủ dịch vụ tập tin lưu trữ các tập tin mà người dùng có thể truy cập Khác với máy tính thông thường, máy chủ có IP tĩnh và được thiết kế với khả năng lưu trữ và xử lý dữ liệu vượt trội Nó cài đặt phần mềm để phục vụ các máy tính con truy cập và yêu cầu dịch vụ Máy chủ không chỉ lưu trữ và xử lý dữ liệu trong mạng máy tính mà còn là nền tảng cho mọi dịch vụ Internet, vì mọi dịch vụ trực tuyến đều cần thông qua máy chủ để hoạt động.
Máy chủ thường được thiết kế chuyên dụng, tập trung vào việc thực hiện các nhiệm vụ dịch vụ cụ thể mà không đảm nhận các công việc khác Tuy nhiên, trên các hệ điều hành đa xử lý, một máy tính có khả năng xử lý nhiều chương trình đồng thời.
Có nhiều loại máy chủ có chứ năng chuyên dụng: máy chủ chứa dữ liệu, máy chủ web, máy chủ in, máy chủ proxy…
Hub là thiết bị mạng có từ 4 đến 24 cổng, thường được sử dụng trong các mạng 10BASE-T và 100BASE-T Trong cấu hình mạng hình sao (Star topology), Hub hoạt động như trung tâm, nhận thông tin từ một cổng và phân phối đến tất cả các cổng còn lại.
Hub được chia thành hai loại: Active Hub và Smart Hub Active Hub là loại phổ biến, yêu cầu nguồn điện khi hoạt động để khuếch đại tín hiệu và đảm bảo mức tín hiệu cần thiết cho các cổng còn lại Trong khi đó, Smart Hub (Intelligent Hub) không chỉ có chức năng giống như Active Hub mà còn tích hợp chip tự động dò lỗi, giúp phát hiện và xử lý sự cố trong mạng một cách hiệu quả.
Switch là thiết bị mạng tương tự như Bridge nhưng có nhiều cổng hơn, đồng thời cũng là thiết bị mở rộng mạng giống Hub nhưng thông minh hơn.
Hub, cùng một lúc mà các cổng truyền tải dữ liệu cho nhau thì nó có thể thực hiện một cách đồng thời mà không bị va chạm
Switch trong mạng hoạt động bằng cách nhận các gói tin từ các thiết bị kết nối Nó sử dụng thông tin này để xây dựng bảng Switch, giúp định tuyến các gói tin đến đúng địa chỉ đích.
Ngoài ra, một số sản phẩm switch như của Cisco còn có khả năng chia VLAN
Switch hoạt động ở lớp 2 nhưng đôi khi cũng có switch hoạt động ở lớp 3
Cáp quang được cấu tạo từ sợi thủy tinh hoặc plastic tinh chế, cho phép truyền tải tối đa tín hiệu ánh sáng Sợi quang được bọc một lớp lót để phản chiếu tốt tín hiệu ánh sáng và giảm thiểu tình trạng gãy gập của cáp.
Sợi quang được cấu tạo bởi ba thành phần:
Lớp phản xạ ánh sáng (cladding)
Lớp vỏ bảo vệ chính (primary coating hay còn gọi coating, primaty buffer)
Core được chế tạo từ sợi thủy tinh hoặc nhựa, có chức năng truyền dẫn ánh sáng Lớp cladding bao bọc core, được làm từ thủy tinh hoặc nhựa, giúp bảo vệ và phản xạ ánh sáng trở lại core Ngoài ra, lớp primary coating bằng nhựa PVC bảo vệ core và cladding khỏi bụi bẩn, độ ẩm và trầy xước.
Hai loại cáp phổ biến là GOF cáp làm bằng thủy tinh và POF cáp làm bằng plastic
Cáp thông tin tiêu chuẩn STP/UTP Cat-5 bao gồm 8 sợi xoắn thành 4 đôi màu: cam-trắng và cam, lục-trắng và lục, dương-trắng và dương, nâu-trắng và nâu Hai đầu của cáp được kết nối với Jack RJ-45 Dựa vào tiêu chuẩn màu sắc của hai đầu Jack RJ-45, cáp Cat-5 có thể được phân loại thành các loại khác nhau.
Cáp thẳng (straight-through cable) hai đầu sử dụng tiêu chuẩn T568B (hoặc T568A)
Cáp thẳng (crossover cable) một đầu sử dụng tiêu chuẩn T568A, một đầu sử dụng tiêu chuẩn T568B
Phân chia theo tốc độ: loại 3 (16Mbps), loại 4 (20Mbps), loại 5 (100Mbps), loại 5e (1000Mbps) chỉ có thể đi được 50m, loại 6 (1000Mbps) chỉ có thể đi được 100m
Khảo sát kết nối giữa các Hub tổng của các tầng trong tòa nhà, bao gồm tầng trệt, tầng 1, tầng 2, tầng 3 và tầng 4 Cần nắm rõ cách kết nối mạng từ Hub tổng lầu 4 xuống Hub tổng lầu 3, tiếp theo là từ Hub tổng lầu 3 xuống Hub tổng lầu 2, và từ Hub tổng lầu 2 xuống Hub tổng tầng 1 Tại mỗi tầng, từ Hub tổng sẽ phân chia mạng đến các phòng có nhu cầu sử dụng.
Hub tổng từ tầng 4 sẽ được nối với server ở tầng 1
Ngoài ra còn có một lớp mạng khác được nối từ server phòng máy tính xuống tầng trệt Lớp mạng ở tầng 4 ở khoa gan
Khảo sát sơ đồ hạ tầng bệnh viện để vẽ ra sơ đồ các phòng của bệnh viện
Những vấn đề đặt ra khi khảo sát chi tiết:
Hub được sử dụng trong mạng (số lượng, vị trí, )
Switch được sử dụng trong mạng (số lượng, vị trí, …)
Các lớp mạng có trong sơ đồ mạng
Các thiết bị đầu cuối (máy tính, máy in, …) khảo sát về địa chỉ IP, vị trí của từng thiết bị đầu cuối trong từng phòng
Khảo sát chi tiết phòng răng hàm mặt, cách kết nối giữa các thiết bị trong phòng này
Khảo sát chi tiết tại phòng máy chủ tầng 1 (phòng biên lai)
Khảo sát thêm các lớp mạng khác có trong bệnh viện
Vấn đề bảo mật của mạng bệnh viện
Các chương trình đang chạy trong mạng
2.3.1.4 Kết quả đạt được sau khi khảo sát chi tiết hạ tầng mạng bệnh viện
Switch: Số lượng 4, trong đó 3 switch được nối với nhau tại phòng biên lai tầng 1, 1 switch còn lại tại phòng răng hàm mặt tầng 4
Mô hình mạng có 4 lớp mạng:
Lớp mạng chính là từ hai server tại phòng biên lai tầng 1, địa chỉ IP 192.168.0.xx và 192.168.5.xx
Lớp mạng từ server trong phòng máy tính với địa chỉ ip 192.168.6.155
Lớp mạng tại khoa gan tầng 4 với địa chỉ ip 192.168.10.10
Các thiết bị đầu cuối (máy tính và máy in) chi tiết về địa chỉ IP của từng máy
Vị trí Địa chỉ ip
1 Máy tính Phòng tiểu phẩu 192.169.0.188
2 Máy tính Phòng răng hàm mặt 192.168.0.85
3 Máy tính Phòng thu phí 192.168.0.25
4 Máy tính Phòng siêu âm mạch máu, siêu âm gan 192.168.5.61
5 Máy tính Phòng siêu âm mạch máu, siêu âm gan 192.168.5.171
6 Máy tính Nhi khoa (phòng nhi khoa) 192.168.0.89
7 Máy tính Nhi khoa (phòng nội nhiễm) 192.168.0.87
8 Máy tính Nhi khoa (phòng ung bướu) 192.168.0.86
9 Máy tính Nhũ khoa (phòng 1) 192.168.5.111
10 Máy tính Nhũ khoa (phòng 2) 192.168.5.62
11 Máy tính Nhũ khoa (phòng 3) 192.168.5.113
12 Máy tính Nhũ khoa (phòng 4) 192.168.5.114
13 Máy tính Phòng khám nhũ khoa 192.168.0.91
14 Máy in màu (in qua mạng)
15 Máy tính Phòng phụ khoa 192.168.0.102
16 Máy tính Phòng khám chương trình (tiếp nhận hồ sơ) 192.168.5.187
17 Máy tính Phòng khám chương trình (tiếp nhận hồ sơ) 192.168.5.121
18 Máy tính Phòng khám chương trình (X-quang) 192.168.0.127
19 Máy tính Phòng khám chương trình (siêu âm nam) 192.168.5.178
20 Máy tính Phòng khám chương trình (siêu âm nữ) 192.168.5.181
21 Máy in màu (qua mạng)
Phòng khám chương trình (siêu âm nữ) 192.168.0.180
22 Máy tính Phòng khám chương trình (tai mũi họng) 192.168.0.94
23 Máy tính Phòng khám tổng quát 192.168.5.193
24 Máy tính Phòng cột sống 192.168.0.93
25 Máy tính Phòng lão hóa khoa 192.168.0.98
26 Máy tính Phòng loãng xương 192.168.0.41
27 Máy tính Phòng khám cao huyết áp 192.168.0.192
28 Máy tính Phòng khám chuyên khoa ngoại (1)192.168.0.106
30 Máy tính Tiểu đường-nội tiết 192.168.0.96
34 Máy tính Khu mạch máu 192.168.0.103
36 Máy tính Tai mũi họng-thi lực 192.168.0.45
37 Máy tính X-quang (phòng trả kết quả X-quang) 192.168.0.27
38 Máy tính X-quang (phòng tiếp nhận) 192.168.0.27
39 Máy tính Phòng tiếp nhận-hướng dẫn-thu phí 192.168.0.244
40 Máy tính Phòng tiêu hóa-gan mật 192.168.0.56
41 Máy tính Phòng hướng dẫn 192.168.0.58
42 Máy tính Phòng khám ngoài da 192.168.0.17
44 Máy tính Phòng khám mắt 192.168.0.49
45 Máy tính Phòng khám tiêu hóa (1)192.168.0.53
46 Máy tính Tiếp nhận hồ sơ 192.168.5.182
48 Máy tính Phòng khám tim (1)192.168.0.76
49 Máy tính Phòng ghi danh siêu âm 192.168.5.145
50 Máy in (in qua mạng)
Phòng ghi danh siêu âm (1)192.168.5.150
51 Máy tính Phòng ghi danh siêu âm (phòng siêu âm) (1)192.168.5.141
54 Máy tính Phòng nội soi EC 192.168.0.84
55 Máy tính Phòng khám phổi 192.168.0.181
56 Máy tính Đo điện tim ECG BS1:192.168.0.67
BS2:192.168.0.66 (1):192.168.0.61 (2):192.168.0.155 (3):192.168.0.63 (4):192.168.0.64 Máy chứa dữ liệu:
57 Máy tính Phòng tiếp nhận khám tổng quát 192.168.0.123
59 Máy tính Thu phí-tiếp nhận-ghi danh (1):192.168.0.32
60 Máy tính Quầy biên lai 192.168.0.43
63 Máy tính Siêu âm (phòng tiếp nhận) 192.168.5.58
192.168.6.177 (tiếp nhận-hồ sơ- trả kết quả) 192.168.6.31 192.168.6.144 192.168.6.234 (phòng thu phí) 192.168.6.78
68 Máy tính Khu chuẩn đoán hình ảnh 192.168.0.42
Tại phòng răng hàm mặt tầng 4 gồm 1 Switch sau đó nối ra các Hub kết nối mạnh cho tầng 4 cũng như các tầng dưới
Tại phòng biên lai tầng 1, hệ thống mạng gồm 2 server và 3 switch kết nối với nhau Mỗi server được cấu trúc với hai lớp mạng, trong đó server 1 sử dụng lớp chính 192.168.0.xx và lớp phụ 192.168.5.xx, trong khi server 2 có lớp chính 192.168.5.xx và lớp phụ 192.168.0.xx.
71 lớp mạng này điều được nối các switch, từ switch sẽ nối lên swtch tầng 4 và một số phòng tại của tầng 1
Mô hình mạng của bênh viện không có bảo mật
Mạng chỉ chạy web Browser (Firefox, Chrome), đặt MySQL tại các phòng thu phí, X-quang, siêu âm, phòng khám
Mô hình mạng khá phức tạp với số lượng thiết bị cũng như máy in được sử dụng khá nhiều
Mô hình mạng sử dụng quá nhiều Hub để kết nối giữa các phòng có thể gây ra nhiều vấn đề Hub chỉ khuếch đại tín hiệu mà không thể quản lý lưu lượng, dẫn đến việc tạo ra nhiều broadcast domain và collision domain Những vấn đề này không chỉ làm giảm tốc độ mạng mà còn giảm băng thông, khiến mạng hoạt động chậm hơn Hơn nữa, sự tồn tại của broadcast domain có thể làm cho mạng bị đứng, ảnh hưởng đến hiệu suất chung.
Từ server tầng 1 đến switch tầng 4 chỉ có một đường dây quang, do đó, nếu đường dây này bị đứt, toàn bộ mạng sẽ gặp sự cố Hệ quả là hầu hết máy tính sẽ không thể truy cập vào mạng.
Tất cả các mạng ở 4 tầng đều phụ thuộc vào thiết bị switch tại tầng 4; nếu thiết bị switch này gặp sự cố và ngừng hoạt động, toàn bộ mạng phía sau sẽ không thể hoạt động.
Mỗi tầng trong mạng đều kết nối qua một Hub tổng, từ đó mạng được phân chia cho từng tầng cụ thể Nếu Hub tổng này ngừng hoạt động, toàn bộ mạng phía sau sẽ không còn hoạt động.
Nội dung 05: Triển khai thử nghiệm và đánh giá toàn bộ hệ thống tại bệnh viện
bệnh viện tham gia đề tài
2.5.1 Chuyên đề 1: Triển khai thử nghiệm nâng cao bảo mật hệ thống mạng cho DICOM Viewer trong phạm vi bệnh viện
Giao thức truyền nhận dữ liệu DICOM sử dụng dịch vụ C-MOVE để chuyển giao hình ảnh y tế giữa các máy CĐHA và hệ thống BKPACS Dịch vụ C-MOVE cho phép BKPACS chỉ xử lý và gửi trả hình ảnh y tế về các trạm làm việc (Work Station) đã được khai báo trong bộ nhận dạng của BKPACS Điều này có nghĩa là một Work Station muốn nhận dữ liệu ảnh DICOM từ BKPACS cần phải khai báo thông tin chứng thực như AETitle, hostname và port, và các thông tin này phải được cập nhật bởi người quản trị trong bộ nhận dạng của BKPACS.
Hình 42 C-Move chặn các WS chưa khai báo
Cơ chế xác thực tính an toàn của dữ liệu lưu trữ: kích hoạt cơ chế
SCM (Storage Commitment) là cơ chế kiểm tra và xác minh việc lưu trữ dữ liệu tại server BKPACS Quá trình truyền nhận hình ảnh từ máy CĐHA đến BKPACS chỉ được coi là hoàn tất khi nhận được thông báo "Success" tại vị trí lưu trữ.
Bảo mật VLAN và sử dụng FireWall cho các mục tiêu bảo mật mạng: Thiết kế VLAN cho các mục tiêu bảo mật mạng tại Medic Hòa Hảo:
Hệ thống mạng Local Medic ban đầu:
Mô hình mạng phức tạp với gần 300 máy tính và máy in, được tổ chức trên 6 tầng Phòng máy chủ nằm ở tầng 1, sử dụng 3 thiết bị Switch Cisco Hệ thống mạng được phân bố theo dạng topologi tuyến tính, kết nối các tầng bằng các hub D-Link và Tenda.
8 port và một số switch cisco 16 port loại thường được đấu nối với nhau theo dạng Line đến các tầng và từng phòng
Hệ thống mạng được phân cấp theo IP tĩnh với các lớp 192.168.0.XX, 192.168.2.XX, 192.168.5.XX và 192.168.6.XX chạy trên các Switch không có sự chia Vlan
Nhược điểm hệ thống mạng Local ban đầu:
Hệ thống nhiều hub, nhiều lớp mạng chạy trên cùng 1 switch sẽ có sự ùn tắc giao thông-collision domain khi di chuyển dữ liệu với lưu lượng lớn
Hệ thống không được phân chia VLAN, dẫn đến tình trạng Broadcast domain xảy ra thường xuyên với mật độ lớn, gây ùn tắc và giảm hiệu suất của mạng LAN.
Kết nối các hub theo dạng line topology khi có sự hỏng hóc ở đoạn nào đó thì rất khó phát hiện
Một sự cố ngừng hoạt động trên đường dây sẽ làm ngừng toàn bộ hệ thống
Giới hạn số lượng máy tính, hiệu năng sẽ giảm khi thêm máy tính vào
Quản lý IP tĩnh trở nên khó khăn khi số lượng đầu cuối tăng cao, đặc biệt trong hệ thống mạng lưới bệnh viện với hàng trăm máy Do đó, cần xem xét giải pháp chuyển đổi sang IP động để đơn giản hóa quá trình quản lý.
Thiết kế hệ thống mạng Medic-Hòa Hảo mới:
Cơ sở hạ tầng bệnh viện hiện tại có nhiều thiết bị mạng phân bố rải rác tại các phòng khám, với mỗi phòng thường có từ 1 đến 2 máy, thậm chí có phòng lên đến hàng chục thiết bị Để dễ dàng quản lý và thi công, các thiết bị cần được tập trung tại một điểm chính Medic đang triển khai một hệ thống phòng máy chủ tập trung, từ đó phân bố ra các điểm chính ở các tầng, và từ các điểm này sẽ kéo đến từng máy ở từng phòng Mô hình Star topology được xem là phù hợp nhất so với các dạng Ring topology hay Bus topology.
Hệ thống Router-Switch và các thiết bị được mô tả theo hình dưới:
Hình 43 Mô hình mạng tượng trưng cho mạng Medic
Theo mô hình Medic hiện tại trên các switch được chia ra 4 Vlan cho 4 lớp mạng
VlanBL - thuộc biên lai – lớp mạng 192.168.2.XX, Gateway: 192.168.2.1
VlanMD - thuộc Siêu âm, nội soi, khu khám chuyên khoa, khu khám tổng quát,… - lớp mạng 192.168.5.XX, Gateway: 192.168.5.1
VlanHA - thuộc các khu CT-MRI-X.Quang - lớp mạng 192.168.0.XX, Gateway: 192.168.0.1
VlanXN - thuộc khu xét nghiệm – lớp mạng 192.168.1.XX, Gateway: 192.168.1.1
Trên các switch Cisco chính trong tủ Rack, được cấu hình thành 4 VLAN Khi số lượng thiết bị mạng trong tủ vượt quá số lượng cổng, sẽ cần thêm thiết bị mở rộng.
1 hay 2 switch cisco 24 hay 16 port điện sẵn có của Medic để giảm chi phí
Tại phòng máy chủ, có hai switch trung tâm kết nối với các switch ở các tầng khác Mỗi switch chính ở các tầng được nối đến hai switch trung tâm qua một đường chạy chính và một đường dự phòng, tuân theo chuẩn Spanning Tree Protocol.
Router trong mô hình có nhiệm vụ định tuyến cho các VLAN trong hệ thống mạng và quản lý danh sách kiểm soát truy cập (ACL) Theo yêu cầu của Medic, chỉ có ba máy chủ (Server) được phép định tuyến giữa các lớp mạng, trong khi các thiết bị còn lại chỉ hoạt động trong nội bộ VLAN Nhờ đó, hiện tượng thắt cổ chai giữa Router và Switch sẽ được hạn chế, vì lưu lượng truy cập không quá lớn.
ServerBL (VlanBL) và ServerXN (VlanXN) sẽ được định tuyến qua một máy thuộc VlanMD, trong khi các thiết bị khác trong các Vlan sẽ bị từ chối định tuyến thông qua chức năng tường lửa dựa trên cấu hình ACL của Router Mô hình kết nối Star topology mang lại nhiều ưu điểm cho Medic trong việc quản lý và bảo mật mạng.
Không gây đụng độ ách tắc trên đường truyền, do mỗi cổng của switch là một collision
Hoạt động theo nguyên lý nối song song nên nếu có một thiết bị nào đó ở một nút thông tin bị hỏng thì mạng vẫn hoạt động bình thường
Cấu trúc mạng đơn giản và các thuật toán điều khiển ổn định, dễ dàng kiểm soát và khắc phục sự cố
Mạng lắp đặt đơn giản có thể mở rộng hoặc thu hẹp tuỳ theo yêu cầu của người sử dụng
Sử dụng Firewall cho các mục tiêu bảo mật mạng tại Medic Hòa Hảo
Phân tích lựa chọn thiết bị Firewall:
Có nhiều loại Firewall như Firewall phần mềm cho Windows NT, Unix, Firewall tích hợp trên Router và Firewall phần cứng Việc lựa chọn Firewall phù hợp cho hệ thống là rất quan trọng, đảm bảo khả năng hoạt động mạnh mẽ, an ninh, độ tin cậy cao và khả năng mở rộng trong tương lai.
Sản phẩm Firewall được biết đến là một trong 4 sản phẩm Firewall phổ biến nhất hiện nay là: firewall ASA của Cisco, Checkpoint, Sonicwall, Sidewinder G2
Cisco ASA là giải pháp bảo mật đầu cuối hàng đầu của Cisco, nổi bật với hiệu năng vượt trội và các mô hình phù hợp cho doanh nghiệp Sản phẩm này tích hợp giải pháp bảo mật mạng, khẳng định vị thế dẫn đầu trên thị trường Với thương hiệu uy tín lâu đời, thiết bị Cisco đảm bảo hoạt động ổn định và hiệu quả.
ASA là sản phẩm ra mắt vào tháng 5 năm 2005 cùng với phiên bản 7.0 của hệ điều hành Kể từ đó, dòng sản phẩm đã mở rộng với ba mẫu mới: 5505, 5550, và 5580, cùng bốn phiên bản phần mềm 7.1, 7.2, 8.0, và 8.1 Ban đầu, ASA được thiết kế dựa trên kiến trúc PC-server Intel, nhưng đã chuyển sang kiến trúc phần cứng độc quyền.
Dòng sản phẩm ASA 55xx của Cisco System là Firewall Next Generation mới, kế thừa các tính năng ưu việt từ các sản phẩm bảo mật trước đó Với khả năng bảo mật hàng đầu và dịch vụ VPN, ASA 55xx mang lại những đổi mới trong kiến trúc AIM (Cisco Adaptive Identification and Mitigation) Được thiết kế như một thiết bị lõi trong Self-Defending Network, ASA 55xx có khả năng phòng chống và ngăn ngừa các mối đe dọa đối với hệ thống mạng, kiểm soát hoạt động và lưu lượng ứng dụng hiệu quả.
107 đồng thời mang lại cho người dùng các kết nối VPN một cách linh hoạt và mềm dẻo
Cisco ASA (Adaptive Security Appliance) kết hợp chức năng của tường lửa, hệ thống IDS/IPS và VPN, mang đến giải pháp an ninh mạng toàn diện trong một sản phẩm duy nhất Với khả năng giám sát liên tục các cuộc tấn công, Cisco ASA thông báo cho người quản trị trong thời gian thực Sự tích hợp với Cisco IPS phiên bản 5.x cho phép ASA tự động loại bỏ các thiết bị có mã độc Hơn nữa, Cisco ASA hỗ trợ gói reassembly, giúp phát hiện các cuộc tấn công ẩn trên các gói dữ liệu bị phân mảnh Bên cạnh đó, nó cũng cung cấp giải pháp VPN site-to-site và VPN remote.
Access Một trong những lợi thế lớn nhất của Cisco ASA là tiết kiệm chi phí và tăng hiệu suất hoạt động của hệ thống
