今日實作:用 Draw.io 畫簡圖
在醫院資訊室工作時,我常聽到一句話:「網路要分區,系統要隔離。」剛開始接觸的時候,我其實不太理解,覺得網路能通就好,為什麼還要刻意把它切成不同區塊?直到參與資安演練後,才真正體會到分區的重要性。
醫院是一個資訊流動量極大的環境,從掛號、病歷、檢驗到影像系統,每一個環節都需要網路連線。如果沒有分區,一旦某一台電腦中毒,病毒就可能迅速擴散到整個醫院。這就是為什麼資安專家會強調:網路分區是降低風險的基本手段。
網路分區(Network Segmentation)指的是將同一個網路切割成多個小區域,每個區域都有不同的存取限制。就像醫院的病房會區分隔離病房、加護病房、普通病房一樣,資訊網路也需要劃分。
常見的分區有:
以下是一個簡化的醫院網路分區架構:
[Internet]
|
[防火牆 FW]
|
-------------------------
| | |
[DMZ] [內網] [行政網]
Web伺服器 病歷系統 行政系統
挂號系統 檢驗/PACS 財務/人事
降低風險
如果病人掛號網站被攻破,駭客只能停留在 DMZ,不會直接影響病歷系統。
加強控管
各網段可以有不同的權限與監控機制,避免所有人隨意進入病歷資料。
符合法規
許多醫療資安規範(如 HIPAA、ISO 27001)都要求網路隔離,以確保敏感資料安全。
在一次模擬演練中,我們測試了若外部網站被入侵,能否直接影響到內部病歷系統。由於有防火牆與分區隔離,攻擊流量被擋在 DMZ,沒有辦法滲透到內網。
這次測試讓我很有感觸:如果沒有分區,整個醫院資訊可能一天內就會全面癱瘓。
醫院的網路就像人體的免疫系統,必須有分層防禦,才不會因為一次感染而全面失守。網路分區並不是多此一舉,而是保護病歷與醫療流程的重要基石。
我的心得是:網路分區不是讓事情變麻煩,而是讓醫院能在災難來臨時,還能繼續正常運作。