Форум регионального информационного ресурса

[KurganinskayaCRB]

В соответствии с руководящими документами по защите персональных данных запрещается подключение АРМ из сторонних сетей без обеспечения должного уровня защиты подключаемых АРМ. Для работы с МИС АРМ должна быть в защищённом сегменте сети согласно типовой схеме подключения оборудования.

Не определился в какой теме лучше задать вопрос, задам тут. Хочется услышать официальное мнение, с привязкой к схеме подключения так сказать, как можно и нельзя подключатся к БД САМСОН.

Схема 1.
АРМ пользователя - ОС Windows, компьютер имеет доступ в Интернет через шлюз (прокси), Win клиент САМСОН, IP компьютера 192.168.х.х
подключаемся с этого АРМ к БД

Схема 2.
АРМ пользователя - ОС Windows, подключение к терминальному серверу Windows, сервер без доступа к Интернет, на сервере Win клиент САМСОН, IP сервера 10.x.х.х
подключаемся с сервера к БД

Схема 3.
АРМ пользователя - ОС Windows, компьютер имеет доступ в Интернет через шлюз (прокси), NX клиент, IP компьютера 192.168.х.х, маршрутом прописываем проброс на Сервер терминалов САМСОН
подключаемся с сервера к БД

Схема 4.
АРМ пользователя - ОС Windows, компьютер имеет доступ в Интернет через шлюз (прокси), NX клиент, IP компьютера 10.х.х.х, подключаемся к Серверу терминалов САМСОН
подключаемся с сервера к БД

... Схем понятное дело может придумать больше, хотелось бы как "шпаргалку" определить как можно и нельзя подключаться с БД. Основные моменты, которые заставляют задуматься пользователю нужен интернет, пользователю нужно иметь доступ в ЛВС 192.168.х.х, большое кол-во терминальных пользователей "тормозит" систему (ну тут конечно и вопрос в железе)

[Administrator]

Одной из базового набора мер по обеспечению безопасности персональных данных в соответствии с приказом ФСТЭК №21 от 18.02.2013 является управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами (мера УПД 3).

Способом реализации данной меры может служить межсетевое экранирование через применение сертифицированных межсетевых экранов (МЭ).

Таким образом, взаимодействие между информационными системами и сервером БД МИС должно осуществляться только через межсетевые экраны, что и предусмотрено типовой схемой подключения оборудования (письмо от 08.02.2013 № 210-О).

Сценарии доступа изложены в теме: "Старая ЛВС и VPN MPLS"

Прошу учесть общие замечания к приведенным схемам:

1. взаимодействие между информационными системами и сервером БД МИС должно осуществляться только через межсетевой экран (координатор);
2. ко всем АРМ, подключающимся к МИС, должен быть обеспечен базовый набор мер из приказа ФСТЭК №21.
3. Тип и версия ОС не имеют принципиального значения с точки зрения защиты АРМ.

Если остались вопросы, пожалуйста, задавайте.

[MYZGP2SOCHI]

На словах - всё звучит красиво, да и написано в общем-то наверное правильно, с точки зрения закона и приказов. Вот только на деле всё как всегда не так.
Опишу нашу ситуацию, на сегодняшний день не имеющую решения, которое бы устраивало непосредственно пользователей "типовой схемы" подключения.
Имеем - 4 структурных подразделения ОДНОЙ ПОЛИКЛИНИКИ, расположенных в разных частях Адлерского района. Два крупных и два небольших. Речь пойдет о крупных.
В подразделении где стоит сервер - проблем нет, всё работает по локальной сети. В удаленное подразделение приобрели координатор (естественно у Росинтеграции), установили. Соединили его сотрудники Росинтеграции с удаленным "основным" координатором, расположенным в стойке с сервером БД Самсон. Мы расставили терминалки у врачей, и в регистратуре. В течении недели тестирования были прокляты все сотрудники АСУ и все участники этой "типовой схемы".
1. Связь между координатором и сервером осуществлена по интернету. Если он хоть на несколько секунд пропадает либо на сервере либо в удаленном структурном подразделении, всё виснет. Такое случается периодически - работа регистратуры парализована.
2. Печать. Это вообще не мыслимо. От нажатия на кнопку печать - до печати самой страницы проходит чуть более 50 секунд (в среднем). Это сильно тормозит работу регистратуры (напомню это крупная центральная поликлиника), в пике такого "торможения" было посчитано кол-во скопившихся в очереди пациентов = 78 человек (это не предел, зима близко), обвиняющих в отсутствии компетентности сотрудников регистратуры. работа регистратуры парализована
3. Периодически - раз в сутки, полное отключение интернета у координатора. Помогает только перезагрузка. Проблему служба тех поддержки Росинтеграции решить не смогла.
Почему же так происходит - одна из причин, по нашему мнению это то что канал связи идет через Краснодар. Т.е. регистратор на ТС в Адлере, отправляет документ на печать -> команда идет на координатор, далее на сервер в Краснодаре, далее возвращается в Адлер на удаленный координатор с него на НАШ сервер - > ну и по тому же пути обратно. Давать характеристику применения этой "типовой схемы" в данном случае я не буду.
Ответ Росинтеграции на всю ситуацию - "Ну другие же как-то работают". (Очень хотелось бы посмотреть как)
Висящие уже почти месяц номера заявок в Росинтеграции: 7959, 8120, 8126.
Итог: чтобы хоть как-то работать, организовано подключение к удаленным структурным подразделениям не совсем по "типовой схеме", так как выхода нет.
Я уже даже молчу про работу инфоматов. Пациентов бросает в ШОК, когда они видят список 20 терапевтов со всех структурных подразделений. Доходит до скандалов, так как человек записывается на прием к врачу, который территориально принимает в другом конце города а не в здании где расположен сам инфомат. Об этой проблеме сообщалось и в ООС и в МИАЦ. Да всем плевать. Давайте ежедневные отчеты о кол-ве записавшихся и работайте по "типовой схеме".
Простите, накипело просто.

[Administrator]

Позволю себе не комментировать Ваше сообщение по всем пунктам, а предложу разбить сообщения на более мелкие и предметные по соответствующим темам на форуме. Прокомментирую здесь только одну проблему (на мой взгляд проблему-первоисточник):

Почему же так происходит - одна из причин, по нашему мнению это то что канал связи идет через Краснодар. Т.е. регистратор на ТС в Адлере, отправляет документ на печать -> команда идет на координатор, далее на сервер в Краснодаре, далее возвращается в Адлер на удаленный координатор с него на НАШ сервер - > ну и по тому же пути обратно. Давать характеристику применения этой "типовой схемы" в данном случае я не буду.

Если оба координатора подключены через Интернет, то и взаимодействие между ними осуществляется напрямую, на центральном координаторе ГБУЗ МИАЦ они получают лишь справочную информацию.

Описанная выше Вами схема возможна только если координаторы подключены через сеть MPLS, а не через Интернет, или хотя бы один из координаторов подключён через MPLS. Тогда координаторы вынуждены общаться через центральный узел, т.к. на нём имеются выходы в обе сети. И это, конечно, приведет к увеличению кол-ва хопов и времени доставки пакетов. Рекомендуется пересмотреть возможность работы обоих координаторов через Интернет.

[Administrator]

Ответ Росинтеграции на всю ситуацию - "Ну другие же как-то работают". (Очень хотелось бы посмотреть как)
Висящие уже почти месяц номера заявок в Росинтеграции: 7959, 8120, 8126.

Заявки взял на контроль.

[Boroda]

Т.е. регистратор на ТС в Адлере, отправляет документ на печать -> команда идет на координатор, далее на сервер в Краснодаре, далее возвращается в Адлер на удаленный координатор с него на НАШ сервер - > ну и по тому же пути обратно. Давать характеристику применения этой "типовой схемы" в данном случае я не буду.
Ответ Росинтеграции на всю ситуацию - "Ну другие же как-то работают". (Очень хотелось бы посмотреть как)

У нас тоже есть некоторые проблемы в этом плане, но не все так страшно, как описано у Вас.
Два филиала работают через инет с помощью Випнета, команда печати выполняется секунд за 10-15, БД работает отлично, но иногда тормозит (думаю надо просто увеличить ширину канала интернета). Иногда пропадает связь с БД, по каким то причинам отваливается инет, но очень редко.

[MYZGP2SOCHI]

Рекомендуется пересмотреть возможность работы обоих координаторов через Интернет.

Да, возможно это поможет. Только как это сделать, учитывая что доступа к настройкам координатора нет, да и знаний вероятно не хватит сделать это без участия Росинтеграции...?
А на прямую просьбу убрать "петлю через Краснодар" - представитель Росинеграции (по её словам после переговоров с МИАЦ) четко сказала что это не возможно сделать.

У нас тоже есть некоторые проблемы в этом плане, но не все так страшно, как описано у Вас.
Два филиала работают через инет с помощью Випнета, команда печати выполняется секунд за 10-15, БД работает отлично, но иногда тормозит (думаю надо просто увеличить ширину канала интернета). Иногда пропадает связь с БД, по каким то причинам отваливается инет, но очень редко.

У Вас подключение организовано на обоих координаторах через интернет? Как и кто помогал в настройке? Какой провайдер?
У нас в корпусе с сервером САМСОН, оператор Билайн (оптика) 15 Мбит/с, в удаленном корпусе тоже Билайн только 5 Мбит/с.
Правда получается, что координатор основной работает через MPLS... А тот канал крайне не стабилен, судя по работе Паруса.

[Boroda]

Рекомендуется пересмотреть возможность работы обоих координаторов через Интернет.

Да, возможно это поможет. Только как это сделать, учитывая что доступа к настройкам координатора нет, да и знаний вероятно не хватит сделать это без участия Росинтеграции...?
А на прямую просьбу убрать "петлю через Краснодар" - представитель Росинеграции (по её словам после переговоров с МИАЦ) четко сказала что это не возможно сделать.

У нас тоже есть некоторые проблемы в этом плане, но не все так страшно, как описано у Вас.
Два филиала работают через инет с помощью Випнета, команда печати выполняется секунд за 10-15, БД работает отлично, но иногда тормозит (думаю надо просто увеличить ширину канала интернета). Иногда пропадает связь с БД, по каким то причинам отваливается инет, но очень редко.

У Вас подключение организовано на обоих координаторах через интернет? Как и кто помогал в настройке? Какой провайдер?
У нас в корпусе с сервером САМСОН, оператор Билайн (оптика) 15 Мбит/с, в удаленном корпусе тоже Билайн только 5 Мбит/с.
Правда получается, что координатор основной работает через MPLS... А тот канал крайне не стабилен, судя по работе Паруса.

У нас всего один координатор в основном здании, в другом филиале просто 3 терминальных станции. Настройку помогали РосИнт-ы в частности Анастасия-Роман-Александр.
Провайдер у нас местный, на ТС приходит 6 мб/с всего, а в другом филиале 1 или 2 мб/с от того же провайдера.
МПЛС от Вас к МИАЦУ скорее всего работает стабильно, а вот ширина МИАЦ и ТФОМС очень забита, по этому часто слетает Парус и может долго идти проверка полиса и так далее, соответственно если Ваш координатор основной по этому каналу связывается с центральным координатором МИАЦ, печать может выходить долгой.
Но это только мои догадки, как дела обстоят в действительности, не имею понятия.

[Administrator]

Рекомендуется пересмотреть возможность работы обоих координаторов через Интернет.

Да, возможно это поможет. Только как это сделать, учитывая что доступа к настройкам координатора нет, да и знаний вероятно не хватит сделать это без участия Росинтеграции...?

На координатор канал связи (Интернет или MPLS) раздает маршрутизатор SRX-100, вот его и необходимо перенастраивать. Это можно сделать самостоятельно. В случае трудностей, можно обратиться за консультацией в отдел технического оснащения и телекоммуникаций ГБУЗ МИАЦ. Перенастройка координатора при этом не требуется.

А на прямую просьбу убрать "петлю через Краснодар" - представитель Росинеграции (по её словам после переговоров с МИАЦ) четко сказала что это не возможно сделать.

Об этих переговорах у меня нет данных.

[Grey]

«МПЛС от Вас к МИАЦУ скорее всего работает стабильно, а вот ширина МИАЦ и ТФОМС очень забита, по этому часто слетает Парус и может долго идти проверка полиса и так далее, соответственно если Ваш координатор основной по этому каналу связывается с центральным координатором МИАЦ, печать может выходить долгой.»

Что касается MPLS канала со стороны МИАЦ - средняя загрузка колеблется в районе 20%. Что происходит с каналом ТФОМС`а не знаю.
Если основной координатор ЛПУ работает через MPLS, а удаленный - через Интернет, то задержки при печати и обращении к БД вполне объяснимы, петля через Краснодар скорости не добавит. Либо просадка может быть со стороны ЛПУ.

to MYZGP2SOCHI - уточните, пропускную способность MPLS канала с вашей стороны.
Имеет смысл попробовать связать удаленные корпуса через сеть Интернет. Для настройки доступа координатора в сеть Интернет рекомендую ознакомиться с темой Настройка Juniper SRX100.

[MYZGP2SOCHI]

«МПЛС от Вас к МИАЦУ скорее всего работает стабильно, а вот ширина МИАЦ и ТФОМС очень забита, по этому часто слетает Парус и может долго идти проверка полиса и так далее, соответственно если Ваш координатор основной по этому каналу связывается с центральным координатором МИАЦ, печать может выходить долгой.»

Что касается MPLS канала со стороны МИАЦ - средняя загрузка колеблется в районе 20%. Что происходит с каналом ТФОМС`а не знаю.
Если основной координатор ЛПУ работает через MPLS, а удаленный - через Интернет, то задержки при печати и обращении к БД вполне объяснимы, петля через Краснодар скорости не добавит. Либо просадка может быть со стороны ЛПУ.

to MYZGP2SOCHI - уточните, пропускную способность MPLS канала с вашей стороны.
Имеет смысл попробовать связать удаленные корпуса через сеть Интернет. Для настройки доступа координатора в сеть Интернет рекомендую ознакомиться с темой Настройка Juniper SRX100.

Здравствуйте!
Совместно со специалистами из МИАЦ перенастроили Juniper на работу не через MPLS а через интернет. В итоге Росинтегреция не смогли релизовать рекомендацию, написанную Выше представителем МИАЦ: Рекомендуется пересмотреть возможность работы обоих координаторов через Интернет. Резюме: Это не возможно

To Grey - MPLS канал подключение до 2 Мбит/с по АДСЛ. А внешний канал интернета по оптике до 15 Мбит\с - который и хотим задействовать для связи удаленных структурных подразделений.
Ваш топ по настройке читал, но сделать этого не можем из-за отсутствия паролей к Juniper (да и опыта).
Пожалуйста, помогите связать удаленные корпуса через сеть Интернет.

[Grey]

Увы, в настройке координатора помочь не могу. Возможно SLyskov сможет прояснить какие, затруднения возникли у РосИнтеграции при настройке.

Хотелось бы уточнить вот что - IP на канале билайн из публичного диапазона? статика?

[MYZGP2SOCHI]

Увы, в настройке координатора помочь не могу. Возможно SLyskov сможет прояснить какие, затруднения возникли у РосИнтеграции при настройке.

Хотелось бы уточнить вот что - IP на канале билайн из публичного диапазона? статика?

На канале Билайн - в основном корпусе поликлиники (где сервер) белый и статика.
В удаленном здании белый и динамический IP, мы используем dyndns для простоты.

[Administrator]

Совместно со специалистами из МИАЦ перенастроили Juniper на работу не через MPLS а через интернет. В итоге Росинтегреция не смогли релизовать рекомендацию, написанную Выше представителем МИАЦ: Рекомендуется пересмотреть возможность работы обоих координаторов через Интернет. Резюме: Это не возможно
Пожалуйста, помогите связать удаленные корпуса через сеть Интернет.

Свяжитесь со мной по телефону 2797078*137 для выяснения всех деталей проведённых работ и сложившихся обстоятельств или хотя бы укажите номер заявки в РИ.

[MYZGP2SOCHI]

Добрый день!
По нашей просьбе, специалистами МИАЦ оборудование было перенастроено на работу на прямую друг с другом, минуя Краснодар.
Объективно стало работать чуть быстрее. Однако пинг между координаторами 90-105 мс, в отличие от роутеров, от которых берут интернет эти же координаторы 2-5 мс.
Также объективно с имеющимися подтормаживаниями при такой связи (90-105 мс), например врач талон забить может, но регистратору при большом объёме посещений работать сложно.