背景简介
2017年11月26日,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,并发出通知,要求各地区各部门结合实际认真贯彻落实。行动计划旨在加快推进基于互联网协议第六版(IPv6)的下一代互联网规模部署,促进互联网演进升级和健康创新发展。
国家卫生健康委印发了《“十四五”卫生健康标准化工作规划》(以下简称《规划》)。《规划》明确,到2025年,基本建成有力支撑健康中国建设、具有中国特色的卫生健康标准体系,卫生健康服务标准化程度不断提升,卫生健康标准国际影响力显著增强。《“规划》中提出推进互联网、大数据、人工智能、区块链、5G、物联网、IPv6(互联网协议第6版)等新兴信息技术与卫生健康行业融合性标准的供给;
此外,江西省、江苏省、上海市、河北省卫健委均有发文通知推动数字医疗健康IPv6应用的建设,其中上海市委网络安全和信息化委员会办公室在五年计划(2021年-2025年)中提出:
1、本市医疗机构网站全面完成IPv6改造;2、推进远程医疗、医疗信息化、医疗公众服务平台、移动应用等升级支持IPv6;3、开展“IPv6+”在特定医疗服务场景的创新应用试点;4、构建IPv6网络安全防护体系;5、推动IPv6安全产品和服务发展:
建设需求
IPv4地址池不足
90年代,互联网进入中国,随后互联网设备量快速增长, 我国入网设备规模超60亿;且我国获得的IPv4地址无法满足现在的发展趋势;下一代互联网时代,物与物互联、网网互联,设备量预计将增长到数百亿台,物联网按数十万亿终端规划,必须舍弃IPv4,改造IPv6。
掌握“根服务器”主动权
全球有13个“根服务器”,有9个在美国,中国没有。自2016年始,我国开始建设属于自己的IPv6“根服务器”,现中国已经部署了四台IPv6服务器,全球最多。IPv6突破了互联网发展困局,是全球公认的、成熟的、最具可操作性的下一代互联网核心协议;我国IPv6规模部署和应用的推进,是向下一代互联网平滑升级的必要措施。
医疗物联网/智慧医疗相关业务需要
医疗物联网:无处不在的连接和控制是医疗物联网(MIoT)的基本要求,IPv6可以直接解决物联网设备地址不足的问题,保持网络互连透通性,降低网络互连复杂性和成本,更高效地保障网络传输,在物联网时代将扮演重要的角色。
远程医疗:建立基于 IPv6 协议的远程医疗系统,在CT、MRI、CR、B超等医疗设备上配置IPv6地址,,经 IPv6 网络将实时获取的各种信息,清晰、完整地传输给远端的诊断医生,解决因资源分布不平衡,,一些地区医务人员不足,技术水平不高的问题。
智慧社区医疗服务:基于IPv6的社区智慧医疗服务体系,可改善传统家庭医生上门服务所带来的不便,用户和医生通过采集健康数据的传感器即可实时检测并查看数据,省去了上门采集的烦琐,同时基于IPv6的APP和网站的开发,也简化了用户和医生的沟通渠道。
IPv6安全体系的建设
医院信息化建设离不开等级保护和《网络安全法》相关要求的约束,如何在IPv6改造时规划好安全体系建设,根据IPv6建立有效的安全技术保障体系,构建匹配业务发展的基于IPv6的“防御+检测+响应”的安全能力,既能满足等级保护要求,又能充分发挥安全技术体系的有效性,抵御新威胁,切实的解决安全问题,减少事故发生的概率,是需要重点关注的,符合IPv6的发展。
铭冠网安IPV6网络建设方案
建设按照“总体规划、分步实施”的总体原则,在信息基础设施的建设中应按照计划、分层次、分批地实施,因为医院业务系统IPv6改造复杂度高,仅改造出口需要考虑多种问题,因此设计三种方案,匹配不同的改造需求场景,具体设计如下:
数据中心改造_仅网络边界
部署AD做IPv6DNS域名解析;
在网络出口部署NAT设备,实现IPv6到IPv4转换,只需出口设备和NAT设备支持双栈协议即可;
NAT设备以下网络、安全设备以及业务系统无需调整。
方案特点:针对要快速完成IPv6改造,又不希望改动现有网络及安全设备的场景。无法溯源、流量审计存在较大隐患,防护层次被打破,运行监控体系无法发挥效果。
数据中心改造_改造至业务边界
通过负载均衡设备的NAT-PT功能,将IPv6访问请求转换为IPv4访问请求;
负载均衡设备以上网络、安全设备需支持双栈协议;
改造难度适中,业务系统无需调整;
安全防护层次未发生改变,满足端到端的安全性。
方案特点:关注IPv6安全建设,同时核心以上网络设备支持双栈,但是内网业务系统不希望做改动。需要评估现有网络环境设备对于IPv6的支持情况
数据中心改造_新增IPv6平面
运营商分别提供IPv4、IPv6接入,保持原有IPv4内网网络和应用不变;
新增IPv6转换设备提供IPv6接入后端复用IPv4现有的引用系统;
对目前已有IPv4网络和应用无任何改动;
复用现有的IPv4应用,流量会增加,相对于该方案改造费用更低一些。
方案特点:边界清晰,现有的IPv4网络架构和管理策略无需改变。改造的时间周期和设备采购成本会比较高。
IPv6改造内容及成本对比
方案优势
通过信通院官方检测,获得国家权威部门认可,满足监管要求;
IPv6天窗问题处理技术,负载厂商首家支持!保障页面和业务IPv6支持度,满足监管要求;
首页一页展示关键业务IPv4和IPv6运行状态和故障情况,业务状态、配置、策略可视,服务器资源节点状况情况可视,所见即所得的业务故障情况;
在外网流量分发、内网审计、特殊流量场景,支持全面的安全溯源;
基于全新应用层的内核架构,充分保障业务系统稳定性;服务器负载、链路负载主要特性已全面支持IPv6;
案例介绍
背景情况:
•2021年,上海XXX医院的创新应用案例:基于IPv6+5G技术的医院物流机器人运输平台的探索,入选“IPv6规模部署和应用100个优秀案例名单”,成为全国唯一一个入选的医疗案例。
•XXX医院采取物流机器人,把线下人工派单转为线上自动给物流机器人派单,探索出一套院内医疗物资机器运送服务全流程管理模式。
关键问题:
•物流机器人需要进行跨区域、跨楼层运输,对网络通信依赖性极强;
•Wi-Fi无线局域网漫游性能较差,信号覆盖盲区较多;
•IPv4协议未强制加密传输,数据安全存在隐患。
解决方案:
•采用“IPv4 源站+地址转换+IPv6边界安全防护”的技术方案,修改DNS指向,通过协议转换技术实现IPv6可达。
•边界防火墙全面支持IPv4/IPv6双协议,对双栈数据报文进行访问控制、路由转发、流量管理。
优势互补:
•5G低延迟、覆盖盲区少,辅以IPv6协议的简化路由表、优化数据包头部格式的特点,让机器人与服务器之间的数据传输效率和效果得到保障。
•IPv6协议对网络层数据加密和对数据报文效验,在数据安全性及完整性上有很大提升。
