加硬件网闸，单向隔离

医疗相关系统如果涉及到患者数据，属于敏感个人信息了吧？这样的系统不得三级等保以上？ 那不得有安全团队、安全产品、安全解决方案、安全运维？

绝对安全？凡事哪有绝对，苹果都还有很多漏洞

有标准的 DMZ 内外网交互平台，但是弄起来太麻烦了。小项目可以弄一个中转应用专门检测和放行应用数据，只允许白名单内的 url 通过，请求参数也要做校验

上云，交给云商解决

TLS1.2 以上，双向证书认证。现在 PLC 都这么玩了

医院有等保要求的，按照等保要求弄

没什么绝对安全吧，使用零信任网关可能是一个比较好的方案。

大致上应该是这样的：
医院内外网物理(逻辑)隔离，通过网闸在内外网交互数据
以我见过的几家医院，一般都是有前置机这种东西，内外网都有前置机，不管是反向代理还是什么样的方式去获取数据，这个交互就分成了外网前置机到你需要的公网内容，外网前置机到内网前置机、内网前置机到你的应用这三段，中间这一段是必须跟医院去协调的，比如前置机间访问的地址、端口等等
至于你说的安全方案，你可以问问同样搞医院系统的同行朋友，基本每个医院都会有这样的需求，我以我的角度提个思路，假如你需要获取的数据在内网数据库，你通过内网一台服务器做前置机，获取到数据后同步到外网的前置机，然后通过医院提供的公网端口获取到外网前置机中的数据，中间用到的一些加密或者签名啥的手段应该就是可以体现出来的数据安全的方案，甚至包括脱敏啥的，先都扯上呗

感觉很难，如果 app 被逆向的话网关不知道能不能识别。

靠，跟我当时一模一样，当时没有什么好的解决办法，就给开了一个端口，内网穿透一类的实现，你这边有解决办法，请分享一下，不是啥大项目的话，弄个屁的 app 啊。多余的成本都大于软件了

用个交换机做个镜像端口映射， 然后 vvxlan 包一下到网关做解析，黑白名单拦截，不知道可行吗

我认识一些厂商做这块的，上面也有回复说零信任安全可以解决的。可以聊聊~