- Где это Я ничего не имею в виду, просто так спрашиваю Это, в основном, дисци,
 Licha Morada (ok), 06:29 , 28-Апр-21 (1)
> Проблема: сеть защищена только паролем от вайфай, все устройства подключены к одной
> общедоступной сети. т.е к какой сети подключены вышеперчисленные устройства, к той
> же сети подключаются паиенты и сотрудники. В любой момент могут подключиться
> к принтеру и пустить печать бранных слов, или, чт еще хуже,
> получить доступ к файлам клиентов (информация, заключения и тд).Где это? Я ничего не имею в виду, просто так спрашиваю. (: > Так же
> проблема состоит в сотрудниках,точнеее в социальных сетях (фейсбук/инстаграм), в которых
> они любят сидеть, очень часто в рабочее время с пациентами. Это, в основном, дисциплинарными мерами надо решать. Вот уже больше 20-ти лет как менеджеры озабочены внедрением технических средств для отрезания сотрудников от порнухи, чатиков, вареза, мессенджеров, вот теперь и социальных сетей. И всё натыкаются на одни и те-же грабли, что либо меры неоправданно дороги в поддержке, либо катастрофически неэфекктивны. Мой совет - не связывайтесь с этой хотелкой, или будте готовы привинтить что-то исколючительно для галочки. > Так же в ближайшем будущем хотели бы организовать свой небольшой сервер для
> хранения медицинской документации (отказаться от облачных решений), необходимо еще думать
> об этом. Если компьютер врача один, то не надо сервер. Пусть только срач в файлах не устраивает, и бакапится регулярно. Например, на флешку.
> Собственно, вопрос - как защитить "корпоративные" устройства от взлома, заблокировать
> доступ к фейсбуку/инстаграму, при этом что бы была возможность организовать сервер?
Не стремитесь ко всему и сразу. Для начала, отгородитесь от дикой природы, чтобы снаружи кто попало не лез. Добудьте себе какой-нибудь простенький роутер класса "SOHO" (small office - home office) с портом WAN и портами LAN.
WAN воткните в ту общедоступную сеть, где пациенты и сотрудники, а в порты LAN втыкайте ваши диван, чемодан, саквояж и картонку.
Принтеру обрубите wifi нафиг, пусть с ним все по кабелю общаются.
Смарт-тв, если он только как телевизор используется, в сеть пускать вообще не надо, даже если он очень просится. Если критично надо, то тоже по кабелю.
Что с камерами, я ХЗ, зависит от технологии и задач которые они призваны решать. Частый ватриант, это N аналоговых камер воткнутых в один цифровой рекордер, таким образом в сети оно выглядит как один единственный хост. За SOHO роутером ему должно быть вполне уютно. > Буду рад за любую помощь. Не прошу сделать за себя, прошу лишь
> объяснить как это все можно сделать? Заранее извиняюсь, что мог поместить
> вопрос не в тот раздел. Раздел норм.
"как это все можно сделать" тема широкая, имеет смысл этим заниматься если вы собираетесь с этого кейса начать, и обучаться/развиваться как специалист по сетям, безопасности, системному администрированию и т.д. Если не собираетесь, то лучше сразу зовите специалиста за денежку. Если возникнет подозрение что специалист мудрит что-то не то, описывайте сюда решение которое он предложил/установил, мы с удовольствием его поругаем по существу.
- Украина, центр Ниша - узкоспециализированная, лечение спины и травм позвоночник, artorius (ok), 16:58 , 28-Апр-21 (3)
> Где это? Я ничего не имею в виду, просто так спрашиваю. (: Украина, центр. Ниша - узкоспециализированная, лечение спины и травм позвоночника. > Если компьютер врача один, то не надо сервер. Пусть только срач в
> файлах не устраивает, и бакапится регулярно. Например, на флешку. хаха, смешно. как раз с этим ведется активная борьба. пока, не очень успешно. > Не стремитесь ко всему и сразу. Для начала, отгородитесь от дикой природы,
> чтобы снаружи кто попало не лез. то и пытаюсь сделать. но главное требование - что бы было беспроводное. и тут камень преткновения - либо безопасность и провода, либо не безопасно и потеря данных. а это репутация, и вполне возможна потеря лицензии на мед практику. но пока не случится - "кто нас может взломать?" по поводу сервера - согласен, можно даже локалку кинуть и будет общ доступ к файлам как от админа, так и от доктора. полноценный сервер - это я задумал титаник для двух человек сделать. то, чем раньше пользовались (ацес), не устроивало по дизайну и совместному использованию. то, что сейчас - хелпдеском (верее, полным отсутствием). сейчас переходим на банальный эксель в самом элементарном виде. но за месяц-два нужно что то сделать нормальное, "свое" (как требуют). думал за sql-сервер и какую-нить оболочку для него написать, что бы было юзабельно и понятно (благо руки растут из нужного места, но знаний мало). плюс, если придут проверки МОЗовские, что бы была возм все быстро напечатать и показать им.
- Если очень приспичело, начните не с сервера, а с аппаратного NAS-а По цене буде, Licha Morada (ok), 22:06 , 28-Апр-21 (4)
>> Если компьютер врача один, то не надо сервер. Пусть только срач в
>> файлах не устраивает, и бакапится регулярно. Например, на флешку.
> хаха, смешно. как раз с этим ведется активная борьба. пока, не очень
> успешно.Если очень приспичело, начните не с сервера, а с аппаратного NAS-а. По цене будет примерно то-же самое (если с сервером на базе б/у PC не сравнивать, это вне конкуренции), а разница в простоте настройки и администрирования будет очень существенна.
Берите из известных брендов которые подешевле. Qnap, Synology, Seagate, Western Digital.
Если потом всё-таки заведёте сервер, то NAS всё рвно пригодится, бакапы на него будете сливать. >> Не стремитесь ко всему и сразу. Для начала, отгородитесь от дикой природы,
>> чтобы снаружи кто попало не лез.
> то и пытаюсь сделать. но главное требование - что бы было беспроводное.
> и тут камень преткновения - либо безопасность и провода, либо не
> безопасно и потеря данных. а это репутация, и вполне возможна потеря
> лицензии на мед практику. но пока не случится - "кто нас
> может взломать?" Безпроводное тоже можно сделать безопасным, но это ощутимо дороже. И требует большего скилла не только от исполнителя, но и от заказчика, чтобы распознать туфту. Кто вас может взломать? Кофеварка заражённая мальварью, мимокрокодил с затрояненным телефоном, менты или регуляторы в надежде срубить лишнюю палку, скучающий/обозлённый пациент, мамкин хакер из дома напротив...
Напомните заказчику что безопасность, это не только про "чтоб не взломали", но ещё и про доступность услуги. Провода помогают не заисеть от степени засранности эфира или от режима работы микроволновой печи у соседей. > по поводу сервера - согласен, можно даже локалку кинуть и будет общ
> доступ к файлам как от админа, так и от доктора. полноценный
> сервер - это я задумал титаник для двух человек сделать. то,
> чем раньше пользовались (ацес), не устроивало по дизайну и совместному использованию.
> то, что сейчас - хелпдеском (верее, полным отсутствием). Это место непонятно совсем. > сейчас переходим на
> банальный эксель в самом элементарном виде. но за месяц-два нужно что
> то сделать нормальное, "свое" (как требуют). думал за sql-сервер и какую-нить
> оболочку для него написать, что бы было юзабельно и понятно (благо
> руки растут из нужного места, но знаний мало). плюс, если придут
> проверки МОЗовские, что бы была возм все быстро напечатать и показать
> им. Рекомендую поискать готовое решение. Посмотрите, чем пользуются коллеги и конкуренты.
Заниматься написанием, и главное, поддержкой решения в одно рыло, тем более паралельно с сетью, сервером и техподдержкой пользователей, удовольствие ниже среднего. И для исполнителя, и для его непосредственных клиентов.
Не факт, что специализированное решение будет лучше банального экселя.
- спасибо, изучусогласен, в принципе, это никому не нужно теоретически - все може, artorius (ok), 01:19 , 29-Апр-21 (6)
> Если очень приспичело, начните не с сервера, а с аппаратного NAS-а. спасибо, изучу
> Кто вас может взломать? Кофеварка заражённая мальварью, мимокрокодил с затрояненным телефоном,
> менты или регуляторы в надежде срубить лишнюю палку, скучающий/обозлённый пациент, мамкин
> хакер из дома напротив... согласен, в принципе, это никому не нужно. теоретически - все может произойти. и уж лучше предупредить, чем разгребать последствия. > Это место непонятно совсем. самое первое, чем пользовались - бд в ms access. но, 1. нельзя ыбло использовать одновременно, и 2. не устраивал функционал и дизайн
сейчас пользуемся МИС (мед информ система), но польностью отсутсвует хелпдеск. номинально, он есть. но по факту - нет. просто пример - форма записи пациента выдает ошибку на финальном этапе. как итог - у пациента ошибка, у нас запись появляется, но пациент об этом не знает. и, либо ему звонить, либо нам перезванивать. это - доп усилия как клиента, так и администратора. раньше работал в банке, нас за это вполне реально штрафовали по 360 грн (около 1000 руб). и хд знают об этой ошибке еще с нового года. никаких телодвижений в сторону решения вопроса нет. > Не факт, что специализированное решение будет лучше банального экселя. украинские МИС имеют ряд проблем. самая главная - отсутствие развития. ни в одной мы не увидели то, что нам необходимо. а переплачивать за функционал, которым мы не пользуемся (ибо некоторые просто огромные) - смысла нет. и уж лучше раз свое написать, настроить, но что бы оно было стабильно и выполняло поставленные задачи. в любом случае, спасибо вам огромное за доходчивое разъяснение текущих и последующих проблем!
- Как раз в том и дело, что принцип Неуловимого Джо здесь не работает Направленно , Licha Morada (ok), 03:03 , 29-Апр-21 (7) +1
> > Кто вас может взломать? Кофеварка заражённая мальварью ...
> согласен, в принципе, это никому не нужно. теоретически - все может произойти.Как раз в том и дело, что принцип Неуловимого Джо здесь не работает.
Направленно вас атаковать, скорее всего, никто не будет, но на любою тривиальную уязвимость как мухи налетают боты и вандалы. > украинские МИС имеют ряд проблем. ... уж лучше раз свое написать, настроить Амбициозно.
Я бы рекомендовал поискать какой-нибудь открытый проект, который можно подрихтовать для ваших нужд и, если надо, украинизировать. Работы меньше, а обществу польза.
Не обязательно специализированый МИС, возможно, удастся настроить какой-нибудь CRM общего назначения. Это общие соображение, по медицине, тем более украинской, я не в теме. Вот навскидку:
https://en.wikipedia.org/wiki/List_of_open-source_health_sof...
https://openmrs.org/ Можно запустить пилот в виртуалке на рабочей станции. Если зайдёт, то просить целевой бюджет под сервер.
- спасибо, изучу варианты так же спасибо за помощь , artorius (ok), 19:34 , 02-Май-21 (10)
> Не обязательно специализированый МИС, возможно, удастся настроить какой-нибудь CRM общего
> назначения. Это общие соображение, по медицине, тем более украинской, я не
> в теме.спасибо, изучу варианты. так же спасибо за помощь)
- gt оверквотинг удален 1 Совет нанять специалиста Вам уже дали Это важный мом, ыы (?), 09:28 , 28-Апр-21 (2) +1
>[оверквотинг удален]
> проблема состоит в сотрудниках,точнеее в социальных сетях (фейсбук/инстаграм), в которых
> они любят сидеть, очень часто в рабочее время с пациентами.
> Так же в ближайшем будущем хотели бы организовать свой небольшой сервер для
> хранения медицинской документации (отказаться от облачных решений), необходимо еще думать
> об этом.
> Собственно, вопрос - как защитить "корпоративные" устройства от взлома, заблокировать
> доступ к фейсбуку/инстаграму, при этом что бы была возможность организовать сервер?
> Буду рад за любую помощь. Не прошу сделать за себя, прошу лишь
> объяснить как это все можно сделать? Заранее извиняюсь, что мог поместить
> вопрос не в тот раздел.1. Совет нанять специалиста Вам уже дали. Это важный момент. Поскольку все что дальше будет говориться - предполагает довольно специфические знания. Основная схема к которой вы должны стремиться- сеть медицинского кабинета - только для нужд медицинского кабинета. И сеть эта - проводная.
Что нужно? Протянуть провода. Свич или роутер +свич в одной коробке. Н арпинтере отключить wi-fi, принтер подключить к коробочке "LRP-сервер печати" (на аллиексперсс такие примерно по 1500 ). Wi-Fi в этой сети вообще не нужен. Развлекалово клиентов через предоставление бесплатного вайфая - отдельная сеть.
Что нужно - роутер wi-fi, фильтрация трафика или средствами самого роутера, или отдельного устройства (не обязательно покупать полноценный сервер, можно обойтись решениями на базе роутера, если перепрошить его openwrt и поставить там чтото вроде сквида, на котором и организовать фильтрацию) Соответственно обе сети втыкаются либо в выходное устройство, либо- ВНИМАНИЕ: все эти сети настраиваются на одном и том же устройстве на базе openwrt. Они будут разделены логически и недоступны друг другу, но физически присутствовать в одном устройстве. Сами вы это - вероятно не настроите... поэтому тут мы возвращаемся к пункту 1. - Поддерживай ПО в актуальном состоянии Своевременное обновление 8212 важный э, Сейд (ok), 22:31 , 28-Апр-21 (5)
Поддерживай ПО в актуальном состоянии. Своевременное обновление — важный элемент защиты корпоративной сети от несанкционированного доступа.
- Как вариантДля безпроводного 1 Нормальное WiFi оборудование, чтоб поддерживало , fantom (??), 15:53 , 29-Апр-21 (8)
> Поддерживай ПО в актуальном состоянии. Своевременное обновление — важный элемент
> защиты корпоративной сети от несанкционированного доступа.Как вариант
Для безпроводного:
1. Нормальное WiFi оборудование, чтоб поддерживало несколько SSID. Гости/сотрудники/телефоны/врач -- отдельно.
2. WiFi врача и сотрудников -- только транспорт, внутри VPN с шифрованием и авторизацией, как вариант --OpenVPN. Принтер -- таки лучше проводом к роутеру с фильтром доступа на роутере хотя-бы простейшим - по адресам сетей.
- Все компьютеры подключить проводами А для VPN выбрать WireGuard , Сейд (ok), 16:50 , 29-Апр-21 (9)
Все компьютеры подключить проводами. А для VPN выбрать WireGuard.
- Тоже думал за впн-сеть, но как настроить ее для нужд такого маленького офиса - п, artorius (ok), 19:36 , 02-Май-21 (11)
>OpenVPN.Тоже думал за впн-сеть, но как настроить ее для нужд такого маленького офиса - понятия не имею. да и смысл разворачивать впн аж для двух пк и 5 телефонов
- vpn-сеть поверх wi-fi сети как выше правильно отметили - обойдется дороже провод, ыы (?), 08:57 , 05-Май-21 (12)
>>OpenVPN.
> Тоже думал за впн-сеть, но как настроить ее для нужд такого маленького
> офиса - понятия не имею. да и смысл разворачивать впн аж
> для двух пк и 5 телефонов vpn-сеть поверх wi-fi сети как выше правильно отметили - обойдется дороже проводов. По очень простой причине - роутер (или специальный сервер) который потянет vpn-сеть (за счет специального чипа или за счет мощности процессора) - будет стоить в несколько раз дороже простого роутера на который можно развернуть openwrt и разрулить несколько подсетей без шифрования. А специалист все равно понадобится.
|
Свернуть нити
Пометить прочитанным
Создать тему
