GIẢI PHÁP HẠ TẦNG SỐ TRONG BỆNH VIỆN I Hiện trạng hạ tầng số Bệnh viện Hệ thống máy chủ: • Hiện nay, thiết bị CNTT bệnh viện rải rác qua giai đoạn đầu tư tự chủ dự án tài trợ từ lâu nên hệ thống máy chủ, mạng nội (LAN) chưa quy hoạch tuổi đời cao (đa số > năm) • Các máy chủ chạy theo nhiều model khác nhau, không thiết kế chế chạy dự phịng có vấn đề cố xảy • Chưa triển khai hệ thống giám sát, phân quyền truy cập như: AD, NAC, Proxy, FTP,… không kiểm soát việc truy cập vào tài nguyên hệ thống mạng người dùng • Thiếu công cụ giám sát thiết bị mạng, máy chủ,… tập trung • Thiếu hệ thống chống cơng từ mơi trường mạng Internet • Chưa có hệ thống lưu trữ backup chuyên dụng cho phần mềm hoạt động TỔNG CÔNG TY GIẢI PHÁP DOANH NGHIỆP VIETTEL | I Hiện trạng hạ tầng số Bệnh viện Hệ thống mạng nội bộ: − Thiết bị sử dụng nhiều hãng đầu tư theo nhiều giai đoạn khác nhau: Cisco, TPLink, Planet… khó quản trị cấu hình − Chưa phân chia Vlan thiết bị switch nên phát sinh xung đột địa mạng, chưa quản lý việc truy nhập mạng theo zone dịch vụ nên phát sinh tượng nghẽn mạng cục − Các thiết bị chuyển mạch lớp truy nhập kết nối đơn giản, bắc cầu với nhau, khó khăn cho việc quản lý hệ thống, kết nối, dị tìm xử lý lỗi, nâng cấp, mở rộng hệ thống Thiết kế chưa có dự phòng kết nối switch với − Không quản lý, giám sát hệ thống cách dẫn đến trường hợp có cố khơng phát kịp thời TỔNG CƠNG TY GIẢI PHÁP DOANH NGHIỆP VIETTEL | I Hiện trạng hạ tầng số Bệnh viện An tồn thơng tin:  Chưa triển có giải pháp đảm bảo an tồn thơng tin hạ tầng mạng nội bộ: Chưa có phương án sử dụng thiết bị có chức tường lửa vùng mạng quan trọng; Chưa có giải pháp phát hiện, phịng chống xâm nhập chặn lọc phần mềm độc hại mạng Internet mạng bên trong; Chưa có phương án cân tải giảm thiểu công từ chối dịch vụ; Chưa có phương án giới hạn nguồn truy cập, quản trị thiết bị mạng…  Chưa có giải pháp đảm bảo an toàn bảo mật cho hệ thống máy chủ: Chưa có phương án quản lý xác thực tập trung, chống đăng nhập tự động; Chưa thiết lập quyền truy cập, quản trị, sử dụng tài nguyên phù hợp với nhiệm vụ, yêu cầu nghiệp vụ khác nhau; Chưa có phương án quản lý vá, nâng cấp phần mềm hệ thống tập trung; Chưa có phương án sử dụng tường lửa máy chủ nhằm thiết lập cho phép kết nối hợp pháp theo dịch vụ máy chủ cung cấp; Chưa có giải pháp đồng nhật ký máy chủ (hoạt động truy cập, quản trị, phát sinh lỗi…) với hệ thống giám sát an tồn thơng tin… TỔNG CƠNG TY GIẢI PHÁP DOANH NGHIỆP VIETTEL | I Hiện trạng hạ tầng số Bệnh viện An tồn thơng tin:  Chưa có giải pháp đảm bảo an tồn bảo mật cho ứng dụng Ví dụ: - Chưa có giải pháp chuyên dụng để quản lý tài khoản đặc quyền, tài khoản quản trị ứng dụng; Chưa có thiết lập tách biệt ứng dụng quản trị với ứng dụng cung cấp dịch vụ cho người sử dụng bảo đảm ứng dụng hoạt động với quyền tối thiểu hệ thống; Chưa có phương án kiểm tra, lọc liệu đầu vào từ phía người sử dụng, bảo đảm liệu không ảnh hưởng đến an tồn thơng tin ứng dụng  Chưa có giải pháp đảm bảo an tồn bảo mật liệu Ví dụ: - Chưa có giải pháp mã hóa liệu lưu trữ hệ thống lưu trữ/phương tiện lưu trữ; Chưa có giải pháp quản lý tính tồn vẹn liệu, đảm bảo liệu khơng bị thay đổi, chỉnh sửa…; Chưa có phương án tự động lưu dự phịng thơng tin/dữ liệu phù hợp với tần suất thay đổi liệu; Chưa có giải pháp chống thất liệu qua kênh thông tin khác (như emial, web…) TỔNG CÔNG TY GIẢI PHÁP DOANH NGHIỆP VIETTEL | II Yêu cầu kỹ thuật hạ tầng số Bệnh viện Yêu cầu - Hạ tầng kết nối mạng WAN phải sẵn sàng cho ứng dụng mở rộng tương lai truyền tải ứng dụng, xây dựng sách QoS linh hoạt, kết nối đến cloud, Tự động giám sát chất lượng đường truyền, tự động chuyển kênh đường truyền có chất lượng thấp - Mạng LAN/Wifi yêu cầu kết nối máy tính tốc độ 1G, kết nối Access Point tốc độ 5Gbps (đáp ứng chuẩn Wifi 6) đảm bảo nhu cầu truy cập ứng dụng, tìm kiếm tra cứu thơng tin nhanh chóng (mức 7, tiêu chí HTTT bệnh viện HIS) Hạ tầng cần đáp ứng số ứng dụng tương lai gần kê đơn, định máy tính bảng, đường; hỗ trợ hội chẩn, chẩn đốn hình ảnh qua mạng thiết bị di động, … - Hệ thống quản trị, giám sát mạng có dây khơng dây hỗ trợ công nghệ Software Defined Network (SDN), áp dụng Machine Learning nhằm cung cấp thông tin tổng hợp client nào, họ dùng thiết bị gì, có địa mac bao nhiêu, tình trạng sóng wifi nhận nào… bổ trợ, tối ưu, giúp nhân viên kỹ thuật trường nhanh chóng xử lý cố có phát sinh Hệ thống quản trị nâng cấp license, cấu hình tự động hố hồn tồn, áp dụng cơng nghệ AI/Machine learning, có lỗi thơng báo cho người quản trị chủ động đề xuất phương án khắc phục tốt TỔNG CÔNG TY GIẢI PHÁP DOANH NGHIỆP VIETTEL | II Yêu cầu kỹ thuật hạ tầng số Bệnh viện Tiêu chí thiết kế hạ tầng số - Thiết kế theo mơ hình phân lớp - Thiết kế phân vùng: Phân chia hệ thống mạng thành vùng riêng biệt phục vụ chức nhiệm vụ riêng, đảm bảo an tồn thơng tin phân vùng - Đảm bảo tính ổn định khả dự phịng theo công thức (1+1) mặt thiết bị vật lý lớp Core, dự phòng mức port lớp access - Đảm bảo mặt dung lượng sử dụng khả mở rộng phát triển đơn giản, dễ dàng - Đảm bảo khả an toàn, giám sát, quản trị bảo mật cao - Giám sát tổng thể hoạt động tồn hệ thống TỔNG CƠNG TY GIẢI PHÁP DOANH NGHIỆP VIETTEL | III Giải pháp hạ tầng số Bệnh viện Mơ hình tổng thể hạ tầng số Bệnh viện: TỔNG CÔNG TY GIẢI PHÁP DOANH NGHIỆP VIETTEL | III Giải pháp hạ tầng số Bệnh viện Mơ hình logic hạ tầng số TỔNG CÔNG TY GIẢI PHÁP DOANH NGHIỆP VIETTEL | III Giải pháp hạ tầng số Bệnh viện Mơ hình chia VLAN: TỔNG CƠNG TY GIẢI PHÁP DOANH NGHIỆP VIETTEL | 10 III Giải pháp hạ tầng số Bệnh viện Mô tả  Lớp Ứng dụng - Kết nối trực tiếp tới hệ thống mạng Public thông qua kênh truyền WAN, Internet đặt TTDL - Dữ liệu nội truy nhập thông qua Gateway đặt Firewall  Lớp Firewall - Được dự phòng mặt thiết bị kết nối (Dự phịng 1+1) - Triển khai tính High Availability (Active – Standby) dự phòng tự động xuất cố - Quy hoạch Zone kết nối sau:  Zone Internet: Hướng Uplink kết nối trực tiếp tới mạng Internet  Zone Ứng dụng: Hệ thống ứng dụng nội Bệnh viện Bạch Mai  Zone Quản trị: Hệ thống giám sát, hệ thống AD, FTP, Antivirus,  Zone Wifi: Hệ thống Wiless Controller cung cấp kết nối tới hệ thống AP  Zone Người dùng: Kết nối lớp Access, máy tính người dùng TỔNG CÔNG TY GIẢI PHÁP DOANH NGHIỆP VIETTEL | 11 III Giải pháp hạ tầng số Bệnh viện Mô tả  Lớp Ứng dụng - Kết nối trực tiếp tới hệ thống mạng Public thông qua kênh truyền WAN, Internet đặt TTDL - Dữ liệu nội truy nhập thông qua Gateway đặt Firewall  Lớp Firewall - Được dự phòng mặt thiết bị kết nối (Dự phòng 1+1) - Triển khai tính High Availability (Active – Standby) dự phịng tự động xuất cố - Quy hoạch Zone kết nối sau:  Zone Internet: Hướng Uplink kết nối trực tiếp tới mạng Internet  Zone Ứng dụng: Hệ thống ứng dụng nội Bệnh viện Bạch Mai  Zone Quản trị: Hệ thống giám sát, hệ thống AD, FTP, Antivirus,  Zone Wifi: Hệ thống Wiless Controller cung cấp kết nối tới hệ thống AP  Zone Người dùng: Kết nối lớp Access, máy tính người dùng TỔNG CÔNG TY GIẢI PHÁP DOANH NGHIỆP VIETTEL | 12 III Giải pháp hạ tầng số Bệnh viện Mô tả  Lớp Switch Core - Dự phòng 1+1 mặt thiết bị (Sử dụng VRRP Stacking) - Là điểm gom kết nối tập trung chia VLAN cho phòng ban - Kết nối với Firewall giao diện 10Ge để đảm bảo khả mở rộng sau Kết nối Switch Access giao diện 10Ge - Việc định tuyến: Switch Core trỏ Default Route Firewall - Đóng vai trị kết nối tới máy chủ DHCP server, cung cấp địa IP private cho client mạng LAN/Wifi Tiêu chí lựa chọn Switch Core - Core Switch phải hỗ trợ tính định tuyến động, định tuyến tĩnh - Core Switch hỗ trợ tính bảo mật Layer Access Control List, … - Hỗ trợ tính dự phòng HSRP, VRRP, Stacking,… - Hỗ trợ tính phục vụ quản trị vận hành - Giám sát: Streaming telemetry, Network monitoring - Sẵn sàng tích hợp SDN: NETCONF, YANG, Python scripting, … - Thiết bị có kiến trúc module hố để có khả mở rộng tương lai - Hỗ trợ cổng tốc độ 1G, 10G, 40G TỔNG CÔNG TY GIẢI PHÁP DOANH NGHIỆP VIETTEL | 13 III Giải pháp hạ tầng số Bệnh viện Mô tả  Lớp Switch Access - Kết nối Client giao diện GigaEthernet, máy tính quy hoạch 01 port mạng - Kết nối trực tiếp máy tính, thiết bị AP (thiết bị mạng khác) gom lưu lượng để truyền tải lên lớp Core - Kết nối máy in, máy Scan, máy Photocopy & Camera Tiêu chí lựa chọn Switch Access - Cổng Downlink Uplink tốc độ 1G Switch đấu nối Wifi phải có cổng mGig, hỗ trợ tốc độ 1G, 2.5G, 5G Hỗ trợ bảo mật: 802.1X, DNS security intergration, DHCP Snooping Hỗ trợ cơng nghệ Stacking để tăng tính dự phịng Hỗ trợ giao thức chống Loop Layer (Spanning-Tree) Hỗ trợ quản trị qua SSH, SNMP Hỗ trợ open API: NETCONF, RESTCONF, YANG Một số tính layer bản: RIP, EIGRP Stub, OSPF - 1000 routes) Có khả nâp cấp thêm tính việc add license TỔNG CÔNG TY GIẢI PHÁP DOANH NGHIỆP VIETTEL | 14 III Giải pháp hạ tầng số Bệnh viện Mô tả  Hệ thống Wifi - Đáp ứng 25,000 thiết bị sử dụng đồng thời - Triển khai thiết bị máy chủ chuyên dụng cài đặt phần mềm AAA Wifi (Authentication, authorization, and accounting) để cung cấp chức xác thực, hỗ trợ giao thức Radius, SOAP/Rest với tính năng: Xác thực, thiết lập quản lý giới hạn (băng thơng, thời gian) quản lý sách; sinh CDR, voucher, quản lý tài khoản báo cáo - Triển khai phần mềm Wifi marketing chuyên dụng để thực việc: quảng cáo truyền thông, thu thập thông tin, khảo sát nhu cầu, lấy ý kiến người sử dụng - Có thể cấu hình, kiểm sốt truy cập tập trung Có khả roaming tầng - Có thể tạo nhiều SSID, SSID thiết lập sách truy cập riêng cho đối tượng người dùng (theo tốc độ, thời gian, địa đích truy cập…) TỔNG CƠNG TY GIẢI PHÁP DOANH NGHIỆP VIETTEL | 15 III Giải pháp hạ tầng số Bệnh viện Mô tả  Hệ thống quản lý người dùng tập trung - AD (Active Directory): - AD tự động xác thực mã hóa thơng tin, liệu truyền tải giao thức LDAP, việc xác thực giao thức nhằm đảm bảo thông tin gửi đến từ nguồn thức khơng bị giả mạo - Quản lý người dùng tập trung: quản lý theo nhóm phịng/ban đơn vị, thiết lập quyền admin, user Cho phép người dùng truy cập liệu từ nơi đâu, lúc - AD cung cấp nhiều chế xác thực Kerberos, Secure Socket Layer Transport Layer Security giúp cho việc bảo mật thông tin user xác thực thông tin truy xuất tài nguyên - Việc quản trị hệ thống mạng đảm bảo cách chắn thơng qua sách quản trị tài ngun, quyền truy xuất site, domain phịng ban bệnh viện TỔNG CƠNG TY GIẢI PHÁP DOANH NGHIỆP VIETTEL | 16 III Giải pháp hạ tầng số Bệnh viện Dịch vụ vận hành khai thác hệ thống: Viettel chịu trách nhiệm VHKT toàn trình cho ứng dụng CNTT với phạm vi cơng việc tương ứng theo Gói – VHKT tồn trình (Full O&M), tuân thủ bước theo 09 quy trình ITIL, bao gồm nhóm cơng việc sau: (1) Quản lý kiện: Giám sát & cảnh báo 24/7 (2) Quản lý cố: Xử lý cố Lớp 1&2 (khi báo cho BV BẠCH MAI BV BẠCH MAI yêu cầu xử lý) (3) Quản lý tác động (4) Quản lý vấn đề (5) Quản lý bảo dưỡng (6) Khai thác Hiện trường (7) Quản lý Dung lượng & Hiệu năng: (8) Quản lý Phiên & Triển khai (9) Đáp ứng Yêu cầu TỔNG CÔNG TY GIẢI PHÁP DOANH NGHIỆP VIETTEL | 17 III Giải pháp hạ tầng số Bệnh viện Dịch vụ vận hành khai thác hệ thống: Toàn hệ thống chia thành 02 vùng mạng: (1) Vùng mạng Bệnh viện gồm toàn ứng dụng, CSDL, hạ tầng CNTT hệ thống giám sát (2) Vùng mạng Viettel hệ thống mạng để đảm bảo việc giám sát hệ thống, VHKT kiểm soát ATTT cho Bệnh viện từ xa thông qua công cụ VHKT giám sát ATTT đặt Viettel Dịch vụ VIETTEL SITE BV BẠCH MAI LƯU TRỮ Mơ hình vận hành giám sát Bệnh viện quản lý, vận hành ứng dụng kiểm sốt tồn q trình VHKT, tác động vào hạ tầng mạng Viettel thông qua DB Firewall (DB Firewall log toàn user truy cập, câu lệnh tác động vào CSDL) TỔNG CÔNG TY GIẢI PHÁP DOANH NGHIỆP VIETTEL | 18 III Giải pháp hạ tầng số Bệnh viện Dịch vụ giám sát an tồn thơng tin Viettel Cloudrity SOC Quốc gia xxxxxx.gov.vn Global Threat Intelligence DMZ SOC on Cloud Viettel (SIEM, SOAR, AMA) Email Security Gateway Email Server Firewall Web Zone Security Switch – L2 TT Giám sát ATTT - Viettel Forwarder Collector WAN Sensor APP Database Mgt TỔNG CÔNG TY GIẢI PHÁP DOANH NGHIỆP VIETTEL | 19 III Giải pháp hạ tầng số Bệnh viện Dịch vụ giám sát an tồn thơng tin - Dịch vụ đánh giá kiểm định ATTT cho ứng dụng, website - Triển khai dịch vụ bảo vệ website tảng điện toán đám mây để bảo vệ cho ứng dụng/website public - Triển khai dịch vụ giám sát ATTT 24/7 môi trường Cloud, bao gồm: + Giám sát lớp mạng + Tường lửa ứng dụng để bảo vệ cho ứng dụng Web trước loại công vào lớp ứng dụng, + Hệ thống giám sát quản lý kiện an ninh SIEM + Điều tra xử lý cố ATTT + Kiểm tra, đánh giá ATTT định kỳ + Thu thập mối nguy ATTT thông minh + Giám sát ATTT 24/7 (tại chỗ đơn vị chuyên nghiệp) + Kết nối chia sẻ tình hình mã độc chia sẻ tình hình ATTT (SOC) với hệ thống kỹ thuật mã độc hệ thống SOC quốc gia TỔNG CÔNG TY GIẢI PHÁP DOANH NGHIỆP VIETTEL | 20 III Giải pháp hạ tầng số Bệnh viện Dịch vụ lưu trữ backup liệu Backup onsite: hệ thống lưu đặt vị trí với hệ thống Backup offsite: hệ thống lưu đặt vị trí khác với hệ thống TỔNG CƠNG TY GIẢI PHÁP DOANH NGHIỆP VIETTEL | 21 III Giải pháp hạ tầng số Bệnh viện Dịch vụ lưu trữ backup liệu “Dịch vụ lưu liệu trực tuyến tảng điện tốn đám mây” TỔNG CƠNG TY GIẢI PHÁP DOANH NGHIỆP VIETTEL | 22 TRÂN TRỌNG CẢM ƠN! TỔNG CÔNG TY GIẢI PHÁP DOANH NGHIỆP VIETTEL BU KHÁCH HÀNG Y TẾ