医院网络系统建设设计方案.doc

医院网络系统建设设计方案总体设计思想XXXXX医院网络系统的总体设计思想是建设一个具有高连通性、强大融合能力和快速响应能力的网络体系结构来保证医疗信息能够及时、准确、可靠、安全地在医疗系统内进行传输，并适应未来业务的发展，为满足未来新业务的需求，为迅速推出新业务打好基础。根据医疗行业网络信息系统的建设要求和自身的业务特点，组网时应考虑以下几点：1、弹性的网络弹性的网络必须是高可靠的网络和融合的网络。医疗网络上运行着各种医疗业务应用系统，如医院信息系统（HIS）、医学影像系统（PACS）、电子病历（EMR）、护士呼叫等。这些系统关系到人们的生命安全和身体健康，对网络的可靠性具有极高的要求。同时，这些医疗业务系统依赖于多种通信与存储技术，对网络能否集成多种技术的要求很高，并且网络需要具有高效的集中式管理能力，来降低医疗网络的维护开销。 2、安全的网络医疗网络的安全性要求包括以下几个方面：避免医疗信息被偷窃和修改和未授权的访问；保护患者的隐私；遵守政府法规的要求；避免病毒或攻击造成网络瘫痪而影响医院业务运行。通过防火墙等安全技术，实现基于用户身份权限控制、自动完成安全漏洞的修补和病毒的自动消除、攻击的防御和自动定位功能，从而为医疗机构提供从网络边界到核心的全面保护能力，降低医疗风险，保护患者的隐私信息和医疗机构的信息安全。3、快速响应的网络医疗网络对快速响应要求表现在：医护人员希望随处可得患者的医疗信息和辅助诊断信息，物品跟踪需要随时掌握。这样，才能减少医疗差错，提高工作效率，提高患者满意度。4、交互式的网络交互式的医疗网络可以大大提高患者满意度，提高医务人员的工作效率，进行有效的跨部门协作。医务人员可以通过语音、视频、WEB、电子邮件、即时消息等方式与患者、同事以及其他部门进行及时、充分、直观的信息沟通，完成医疗信息的采集、分析、诊断、和处理流程，实现远程医疗、远程会诊、远程监护，提高诊断的正确性和紧急事件的处理能力，同时可以很好地解决医疗资源分配不均的问题。设计原则XXXXX市立医院的网络系统是医疗业务信息化重要的神经系统，承载着全院医疗信息传输的重任，为了确保这一系统的可靠性、安全性和系统的可扩展性，系统建设必须遵循以下原则：l 先进性原则：整个网络所采用的技术，特别是骨干网络采用的技术必须具有先进性。能够满足各种应用的高速传输需求，并与网络技术的未来发展趋势保持一致。保证所采用的设备和技术属世界一流产品，在相应的应用领域占有较大的用户市场，在相关通讯网络技术方面处于领先地位。考虑到网络建成后将在很长一段时间内使用，所以在选择技术及设备的时候应具有一定的超前意识。l 可靠性原则：整个系统采用具有高可靠性的总体设计，采用的技术应当是相对成熟的技术，在关键环节均应有冗余备份设计，在关键的网络设备上消除单点失效；设计中所选用的设备本身应具有较高的可靠性；我们将从网络骨干线路的冗余备份、网络设备的冗余备份和电源冗余备份等方面保证整个系统的可靠性。l 扩展性原则：所设计的网络应该能够根据未来需求的变化进行升级和灵活地调整。支持到未来新的网络技术的平滑过渡。保证在网络的成长过程中，业务不会受到影响。我们将从主干网络设备的选型及其模块、插槽个数、管理软件和网络整体结构等方面，来保证网络系统的扩展性。l 开放性原则：所选择的设备技术应支持符合国际标准和业界标准的相关接口，能够与其它相关系统实现可靠的互联；在网络协议的选择方面，应选择广泛应用的标准协议，同时支持局域网内部的其他协议。l 易管理性原则：整个系统节点数目多，物理范围广，网络的管理任务十分复杂和重要，如何有效地管理好网络关系到是否能充分有效地利用网络系统资源，优化网络性能，保障网络安全。利用图形化的管理界面和简洁的操作方式，提供强大的网络管理功能，使网络日常的维护和操作变得直观，便捷和高效。l 安全性原则：随着计算机技术的发展，尤其是网络和网络间互联的规模的扩大，信息和网络系统的安全性日益受到重视。各业务网络之间、各业务网络内部、内部网络与外部公共网之间的互联，使网络系统和信息资源的安全性面临十分严峻的挑战。我们利用硬件防火墙对网络的访问进行控制，同时，在系统软件和应用软件方面必须注重系统的安全保密工作，采用具有较高安全级别的系统软件引入具有可靠功能和专用网络安全产品；在对后期培训工作的安排中，加强对有关工作人员系统安全知识培训及处理突发故障能力的培训。l 统一性原则：按照医院的业务发展规划，在网络中将存在多种不同的业务，如话音，图像，IP数据流等。这些业务的接入方式及在网络上的传输方式各不相同。因此，最理想的组网方式应是建立一个统一的交换平台，能支持多种不同业务。这样能大大的减少网络的连接复杂度，人员培训的难度，以及网络管理的压力，并提高网络的可靠性，简而言之，就是在建网的过程中利用尽可能少的网络设备提供尽可能多的网络业务，努力避免在一个节点是使用多个不同设备简单互连，以堆砌的方式提供多种业务。l 实用性及经济性原则：根据用户需求和规划，网络系统的设计在性能价格比方面应充分体现系统的实用性，既要采用先进的技术，又能在经费允许、具有较低成本的条件下实现建网目标，能够满足现有的网络互联和各种应用需求，并对未来可能出现的新需求提供良好的网络支持。l 兼容性原则：统一规划网络对于网络的建设和管理有非常关键的作用。 首先是减少投资成本，防止重复建设。其次，保证整个网络系统端到端的一致性，利于优化网络，便于日后的网络管理和维护，能有效地减少管理成本。从技术方面来看，不同厂家在技术的实现方面存在一些差异，使得互联问题以及由此带来的维护成本变得不可忽略。l 高性能原则: 高性能是指保证网络中各种应用特别是关键业务的高效稳定的运行，而不是仅仅追求性能指标的数值。当今网络中关键业务及多媒体的应用越来越多，如 VOIP应用对服务质量的要求较高，新的网络系统是将为容灾系统服务的，更应能对网络流量进行严格控制，保证QoS。项目建设的目的现代化高科技在医院中的应用目前，计算机技术和网络技术发展十分迅速，以太网技术更是异常活跃，可以实现从百兆发展至千兆乃至万兆的平滑升级，网络的设备更新也比较迅速。XXXXX市立医院的医务人员可以通过语音、视频、WEB、电子邮件、即时消息等方式与患者、同事以及其他部门进行及时、充分、直观的信息沟通，完成医疗信息的采集、分析、诊断、和处理流程，实现远程医疗、远程会诊、远程监护，提高诊断的正确性和紧急事件的处理能力，同时可以很好地解决医疗资源分配不均的问题。医院的门诊业务流程如下：医院的住院流程如下： 项目建设的目的本次医院网络建设的目的很明确：第一、通过网络综合布线及购买网络设备，满足医院需求，解决高数据流量而带来的网络瓶颈问题，使院内的网络能更加快速的处理数据，将数据高速化，满足不同时段流量再大也能迅速通畅的传输，以提高医院整体技术水平及作为对外科技先进的代表。第二、通过此次网络建设来满足医院信息系统（HIS），并为日后医院实施或计划实施电子病历（EMS）、医学影像存储与传输（PACS）、电子处方、移动医护工作战、护士呼叫、视频会议/视频监控、基于互联网的医疗服务、患者监护等更为核心的医疗业务的信息化应用，提供基础物理网络的升级，所有这些业务的信息化的基础是网络化，网络之于医疗信息化，就如同神经系统之于人体一样重要。随着医院信息化的不断深入，医院OA系统、MIS系统、HIS系统、PACS等系统相互融合，中国医院的信息化建设也已经从简单的数据业务应用逐步发展到数据、语音、视讯等多业务统一承载。因此满足这些需求需有一定高速传输的网络传输媒介及高负荷的网络承载设备。第三、满足医院日后网络拓扑更改及数据点位增加而带来的设备冗余问题，为满足后期新建楼宇的网络信息加入。第四、设备及产品的后期服务，医院的特殊性质(7*24小时)决定期网络的实时传输性，一旦因设备中断而造成的服务中断，将直接影响到医院的正常工作，所以服务对于医院此次的网络建设也有着其不可忽视的地位。网络建设方案计算机网络系统建设是一个庞大而且复杂的工程，它需要网络专业技术人员具有较高的素质和技术水平，以及应用部门的配合和多部门的密切协作，所以我们对项目的实施提出“总体规划、分布实施”的建议。在制定总体规划时，我们遵循“切合实际，分阶段实施，循序渐进、安全有效”的基本原则。在网络架构的选择上要具有先进性，扩充升级方便，可保护前期投资。XXXXX市立医院的网络系统是一个承载多种医疗业务的IP网络，为适应各种新医疗业务的发展趋势，提供对IP业务的直接支持。这个网络又必须是一个高速度，高可靠性的网络，具备大容量高速传输的能力，以满足医院内各种医疗业务系统如医院信息系统（HIS）、医学影像系统（PACS）、电子病历（EMR）、护士呼叫等。这些系统关系到人们的生命安全和身体健康，对网络的可靠性具有极高的要求。因此本项目定位是建设一个以TCP/IP协议为基础、具有大容量高速数据传输和处理能力的、可靠、稳定、安全的多业务的网络平台。我们将本项目所涉及到的技术和设备按照按照功能分为网络系统和网络安全系统。下面我们将对这两个部分进行阐述。网络系统和安全系统设计和设备选型：本节主要包括核心交换机、汇聚交换机、楼层接入交换机相关技术介绍。网络系统相关技术以太网交换机技术发展趋势近几年来，随着企业数据通信业务以及相关的融合业务的迅猛发展，以太网交换机作为不可或缺的关键设备不仅在数量上获得了极大的提高，而且在质量、性能等方面不断完善。企业的信息应用正在全面走向宽带化和融合化，在这一背景下，传统的实现简单连接和数据传输功能的以太网交换机已成为过去，纵观当前整个发展势，我们发现以太网交换机正朝着高速化、智能化的方向前进。首先，速度是我们衡量网络性能的一个重要标准，从而也就成为以太网交换机等设备发展的一个重要方向。从最初的百兆到千兆再到万兆，以太网不断满足着人们快速增长的需求，给人们带来超乎寻常的体验。目前，人们对带宽的要求正在迅速提高，如迅猛发展的存储网络必需的海量数据传输通道;大量高带宽汇聚的城域网络;不断丰富的宽带应用所需的带宽支持;大型金融机构的数据集中;企业核心业务、ERP、CRM等复杂的应用扩展。今天，千兆为骨干、百兆为接入的主流结构，将逐渐向万兆为骨干、千兆为接入的结构过渡。 其次是智能化，这里所指的智能化不仅包括交换机设备智能化的管理，还包括它们对越来越多的智能业务的支持。随着网络部署新应用和融合多业务的需求日益迫切，单一交换机需要拥有丰富的功能以提供更多的支持，与此同时，复杂的网络环境加剧了网络管理的难度，通过智能交换设备进行网络的集中管理，不仅简化了管理步骤，而且降低了部署和维护的成本。从目前的市场发展趋势来看，智能交换机的需求量有了明显上升，越来越多的用户更愿意将智能交换机作为设备采购的首选。现在，越来越多的网络厂商更加注重交换设备的管理性能和功能融合，QoS、单一IP地址管理、远程控制等功能成为智能交换机不可或缺的重要特性。为了承载远程教学、呼叫中心、视频会议、VoIP语音服务、VOD视频点播等对带宽和时延敏感的应用，智能化的以太网交换机还提供了丰富的QoS策略，保证了关键业务的快速、及时转发。流量访问控制、速度限制、远程管理等智能管理特性都成为以太网交换机帮助用户提升网络运行效率的重要因素。S/ -*& 此外，以太网交换机越来越多地融入路由功能。以往，大家习惯将交换机看作基于局域网技术的一种设备，认为只有在局域网上，才考虑使用交换机，如果要与广域网互连，那就是路由器的事情。实际上，随着ASIC技术和网络处理器的不断发展成熟以及网络逐渐被IP技术所统一，以太网交换技术已经走出了当年“桥接”设备的框架，可以应用到汇聚层和骨干层，路由器中所具有的丰富的网络接口，在目前的交换机上已经可以实现;路由器中拥有的丰富的路由协议，在交换机中也得到大量的应用;路由器中具有的大容量路由表在交换机中也可以实现。伴随着技术的不断进步和人们需求的不断增加，以太网交换机市场也迎来了劲的发展势头。有报告认为，在2020年前，10G以太网交换机将仍处在强劲的增长轨道上，人们对其市场持乐观态度。VLAN技术1、 VLAN概述VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。 VLAN在交换机上的实现方法，可以大致划分为4类：1、 基于端口划分的VLAN 这种划分VLAN的方法是根据以太网交换机的端口来划分，比如Quidway S3526的14端口为VLAN 10，517为VLAN 20，1824为VLAN 30，当然，这些属于同一VLAN的端口可以不连续，如何配置，由管理员决定，如果有多个交换机，例如，可以指定交换机 1 的16端口和交换机 2 的14端口为同一VLAN，即同一VLAN可以跨越数个以太网交换机，根据端口划分是目前定义VLAN的最广泛的方法，IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。2、基于MAC地址划分VLAN这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停的配置。3、基于网络层划分VLAN 这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。它虽然查看每个数据包的IP地址，但由于不是路由，所以，没有RIP，OSPF等路由协议，而是根据生成树算法进行桥交换， 这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。 这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。 4、 根据IP组播划分VLAN IP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。多层交换技术技术原理 伴随着Internet/Intranet的部署和使用的迅猛成长，导致了企业和消费者计算模式的重大转变。市场对网络管理和数据流交换技术的需求不断提高，同时也要求这一技术能有效提供记录网络和应用资源利用率所需要的信息。为此引入一种新的交换技术多层交换技术。 多层交换（MLS：Multilayer Switching）为LAN交换提供高性能的第三层交换。多层交换利用高级的针对具体应用程序的集成电路交换硬件在子网间交换IP数据包，并使用标准的路由协议被用来确定路由。 通过多层交换基于硬件的第三层交换技术可以解脱路由器在共享媒体网络技术上转发“单点传送IP”数据包而增加的工作负荷。每当在两个主机之间存在一个部分或完全的交换路径时，数据包将转由第三层交换功能转发。而那些不具备到达他们目的地的部分或者完全交换路径的数据包，则仍然使用路由器来实现转发。 此外，多层交换同时也提供数据流统计功能，并把这种功能作为其交换功能的重要组成部分。这些统计信息被用来识别数据流特征，可用于网络管理、计划和故障排除操作。 功能优势 多层交换技术具有许多区别于其他网管技术的鲜明特征，因此在应用于网管用途时，也有着其独具的优势。 透明性：无需修改端点系统以及对子网重新编号，它能与DHCP协同工作，也无需新的路由协议。 快速收敛：利用这项功能，用户可以借助硬件协助对于信息流的条目执行失效操作，以回应路由失灵和路由拓扑结构的变化。 恢复能力：提供VRRP的优点，但是不需要附加配置。利用这一功能特征，当主路由器脱机后可以将交换透明地切换到热备路由器，这就消除了在网络上单点失灵的问题。 记账功能和数据流管理：利用这一功能，用户可以查看数据流的交换情况，这将有助于排除故障，进行数据流管理和执行集中账号功能。 网络设置更为简化：利用这一功能，可使用户的网络加速，但又保留现已存在的子网结构。利用这一功能，使得在企业内的网络设计中，不用再考虑第三层网络段的数目。 工作组间的快速连接性：通过Intranet和多媒体应用程序，满足对工作组间对于连接性的更高性能要求。通过菜单多层交换技术用户可以在同一平台上获取交换和路由两方面的好处。 访问服务器群的媒体速度：利用这一功能，用户不需要将多个VLAN的服务器集中管理也能获得直接连接。通过逐个以信息流为基础而提供安全性，用户可以控制对服务器的存取，可以基于子网编号和传输层应用程序端口过滤数据流，而不会对第三层的交换性能而产生不利影响。 IGMP Snooping（组播侦听）IGMP Snooping即IGMP侦听 ,其主要作用是在交换机上完成二层组播的动态注册。它使用的是IGMP报文 ，在较早的组网环境中，并没有以太网交换机的参与，路由器一般直接和主机相连，它们之间通过标准的IGMP协议来实现组播功能。而目前IGMP Snooping则不同，它的实现需要主机，交换机和路由器的共同参与。通过IGMP Snooping实现二层组播时需要在主机和路由器上实现IGMP，交换机只是通过侦听主机和路由器传送的不同类型的IGMP报文来动态维护二层组播组，并且在本交换机上的组播注册一般不会传播到其它交换机上。IGMP Snooping的实现和标准的IGMP协议的实现有相似之处，但IGMP Snooping其实并没有统一的国际标准，所以设计实现起来可以更加灵活高效。路由热备份协议所谓的热备份路由协议（VRRP）主要是向我们提供了这样一种机制，它的设计目的主要在于支持IP传输失败情况下的不中断服务。具体说，就是本协议用于在源主机无法动态地学习到首跳路由器IP地址的情况下防止首跳路由的失败。它主要用于多接入，多播和广播局域网。热备份路由协议（VRRP）的目的在于使主机看上去只使用了一个路由器，并且即使在它当前所使用的首跳路由器失败的情况下仍能够保持路由的连通性。此协议中所涉及到的多路由器都映射为一个虚拟的路由器。本协议保证同时有且只有一个路由器在代表虚拟路由器进行包的发送。而终端则是把数据包发向该虚拟路由器。这个转发包的路由器被成为活路由器。如果这个活路由器在某个时候由于某种原因而无法工作的话，则那个备份的路由器将被选择来代替原来的活路由器。本协议为活路由器和备份路由器的定义提供了一种机制。在协议所设计到的路由器上使用IP地址，如果这个活路由器失效的话则那个备份路由器马上代替活路由器工作而不会在对主机的连通性上产生大的中断。网络安全技术安全保障体系总体框架通过对XXXXX市立医院的安全需求分析，安全策略制定，从安全管理、安全技术和安全运行等方面，构建了整体安全保障体系，其总体框架如图3-26所示。图3-26 安全保障体系总体框架实现网络与信息系统的安全是一个过程，采用信息系统安全工程（ISSE）的方法来指导整个安全工程的建设，才能保障良好的安全保障效果。网络与信息系统的体系设计和各种安全措施都来源于系统的安全需求，通过安全风险分析和安全需求分析，制订系统的安全保护策略，才能设计出有针对性的、有效降低系统安全风险的安全保障体系。网络与信息系统的安全需要从人、技术和操作这三个方面来考虑，采用纵深防御（IA）的战略思想设计网络与信息系统的安全保障体系，才能对系统实施有效的安全保障。本安全保障体系从安全管理、安全技术、安全运行三个方面进行设计，每个方面又包括几个主要的方面。安全管理包括组织和人员管理、物理安全管理、法律法规和标准、安全培训等；安全技术包括网络和基础设施安全、边界安全、信息和应用安全等；安全运行包括安全系统运行管理、应急响应与恢复、安全评估、监控与检测等。网络与信息系统的安全是一个持续改进的动态的过程。没有一劳永逸的安全方案，必须针对系统外部环境、内部环境的变化，以及系统的业务应用任务的变化，进行持续的分析、评估和改进，才能确保系统的安全可靠运行。网络安全体系结构网络安全保障体系包括物理安全、系统安全、网络安全、应用安全和安全管理。物理安全保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全主要涉及环境安全、设备安全和介质安全，是对网络系统所在环境、所用设备、所用介质进行安全保护。1、环境安全环境的安全主要是指防雷、防水、消防、防电磁辐射等内容，对系统所在的安全保护，如区域保护和灾难恢复，具体实现可遵循国家标准GB50173-93 电子计算机机房设计规范、国际GB2887-89计算机站场地技术条件、GB9361-88计算机站场地安全要求。2、设备安全设备安全主要包括设备的防盗、防毁、纺织线路截获、抗电磁干扰及电源保护等。3、介质安全指存储数据的安全。系统安全1、网络结构安全网络结构的安全主要指网络拓扑结是否合理、线路是否冗余、核心设备是否冗余等。建设网络是，应充分考虑这些因素。2、操作系统安全操作系统中的最基本的安全措施是访问控制，对使用资源的合法性进行审查。对操作系统的安全防范可以采取如下策略：尽量采用安全型较高的网络操作系统并进行必要的安全配置，关闭一些不常用的却存在安全隐患的应用，对一些保存有拥护信息及其他口令的关键文件进行安全扫描，发现其中存在的安全漏洞，并针对性的进行对网络设备的配置更新或升级。3、应用系统的安全在应用系统安全上，应用服务器尽量关闭不经常使用的协议及端口号。加强登陆身份认证，确保用户使用的合法性。严格限制登陆者的操作权限，将其完成的操作控制在最小范围内。充分利用操作系统和应用系统本身的日志功能，对用户所访问的信息作记录，为系统审计提供依据。4、系统备份和恢复系统备份和恢复机制是保护系统崩溃后快速恢复的重要技术措施。在系统运行时，可能由于各种原因发生系统崩溃等灾难。因此，应采取必要的技术手段对网络及主机设备的系统及配置等内通进行备份，在故障或灾难发生时，可以使系统快速恢复到最新状态。网络安全网络安全是整个安全解决方案的关键，包括访问控制、通信保密、入侵检测、安全扫描等。1、隔离与访问控制（1）局域网内划分虚拟子网（VLAN） 根据不同用户的安全级别或不同部门的安全需求，利用三层交换机来划分虚拟子网（VLAN），在没有配置路有的情况下，不同虚拟子网间不能互相访问。（2）配备防火墙防火墙是实现网络安全的恶安全措施之一。防火墙通过制定严格的恶安全策略，实现不同网络或内部网络不同信任域之间的隔离与访问。2、通信保密通信保密主要是为了保护网上传送的恶信息的安全。通过采取网络层加密等措施，实现对网络中重要信息传送的保护。应用安全1、访问控制在医疗信息网络中传送着很多关键性的资料，关系到人们的生命安全，因此采取自主访问控制或强制访问控制的机制，对用户和资源分配不同的授权级，根据授权，系统控制用户对资源的访问。2、身份识别和验证身份识别和验证，是验证访问者身份的恶有效手段，、是系统中实现访问控制和建立用户责任的基础。身份识别是对用户向系统提供要求的身份进行证明的方法：身份验证是建立这种证明合法性的方法。系统通过接受如用户名、口令、帐号、图章、指纹或手书签名等验证数据、查证当前用户是否仍是目前使用系统的用户等。更为有效的加强身份验证，西通还可以采用加密技术。3、数据备份和恢复数据备份和恢复机制是保护网络数据资源的重要技术措施。在业务应用系统运行时，可能发生软件运行错误、系统死机和存储介质故障等灾难。因此，应采取磁盘镜像、磁盘阵列、磁带库等技术手段，对系统数据进行备份并在故障发生时，采取适当的恢复策略，修复中被破坏的或不正确的数据，使之恢复到一致性状态。安全管理XXXXX市立医院网络系统是一个横向、纵向连接的多级网络，运行着多个业务系统，由于网络系统的复杂性、应用系统的多样性和使用人员身份的多重性，制定一套完善的安全管理制度十分必要。同时为实现网络的安全管理，应设置安全管理中心对安全事件、设备故障信息等进行集中分析和处置，并在此基础上实施统一规划、集中管理、严格规章、加强教育、明确责任、动态监控，确保网络安全可靠的运行。网络安全策略总体安全策略在XXXX市立医院网络系统工程建设中，应遵循以下总体安全策略：1. 未经允许的访问都要严格禁止；2. 允许的访问都要经过认证、授权；3. 重要的信息在网上传输要经过加密措施；网络边界安全策略网络边界安全策略包括：1. 网络内外的信息交换要通过物理隔离设备进行；2. 内网网络划分为不同的安全域，相互之间只允许授权用户访问特定资源；安全联动策略网络设备如防火墙、交换机、网络防病毒系统等，既可以单独运行，还可以通过互动，更有效的确保网络安全。拓扑结构44拓扑说明：XXXXX市立医院本次新建楼宇分为病房楼、医技楼、门急诊楼、传染楼、附属楼，根据网络实际需求划分为外网和内网两部分，并且要求内网外网物理隔离。1、 内网结构说明：内网网络整体架构采用二层网络架构(核心层-接入层)，采用星型网络拓扑形式，在保证内网网络的安全可靠性的前提下，又要顾及到经济性原则，主机房核心交换机采用双核心热备份的方式，每套核心交换机都配备双引擎、双交流电源，核心交换机上端通过防火墙来提供与外部专有网络的互联，并且选择的该款防火墙支持多种接口形式，方便日后网络的升级等要求；防火墙通过六类线与主机房两台核心交换机连接，核心交换机采用双机热备份、双链路的方式通过万兆多模光缆连接到病房楼、医技楼、门急诊楼、传染楼、附属楼的接入交换机上，整体网络采用万兆主干，千兆到桌面的连接方式。对于网络的内网安全，采用网络防火墙来实现，通过相应策略的配置，来实现内网的数据安全。在病房楼、门急诊楼等部署无线90台无线AP来实现网络的无缝覆盖，无线AP的配合使用将大大提高医院的人性化设计、先进科学性设计。2、 外网结构说明：外网网络整体架构采用二层网络架构(核心层-接入层)，采用星型网络拓扑形式，考虑到外网网络运行的稳定性，核心交换机采用双机双核心、双电源的方式，核心交换机上端通过防火墙来提供与INTERNET的互联，并且选择的该款防火墙支持多种接口形式，方便日后网络的升级等要求；防火墙通过六类线与外网核心交换机连接，核心交换机通过千兆单模光缆连接到病房楼、医技楼、门急诊楼、传染楼、附属楼的接入层交换机上，整体网络采用万兆主干，千兆到桌面的连接方式，对于网络的外网安全，采用网络防火墙来实现，通过相应策略的配置，来实现外网的数据安全。系统中的技术综合应用在前面我们主要介绍了在本次网络集成中主要应用的技术，那么接下来我们将主要说明如何应用上述的这些技术使之成为一个融合的网络。融合的多vlan网络首先，网络层次情况分为核心层、汇聚层、接入层，其中核心层作为网络的连接和交换平台，管理全网业务的连接、汇接和转接；而接入层则完成用户业务的直接接入。层次化的结构有利于功能简化，同时可保证核心层的相对稳定性，确保核心层不受或少受易变化的接入层影响（由于业务的不断变化），同样也便于核心层的扩展和升级；当然过多的层次划分会对业务的使用效率以及业务质量产生不好的影响。1、核心层设计作为网络的核心层，有必要采用两台高端核心交换机作为全网的核心，由于它需要在网络中负载全部数据流的交互，数据库系统、管理安全平台、终端用户都会在此交换数据，所以核心交换机的性能一定要有很高的可靠性。另外网络内部结构一旦确定，其结构将会在一段时间内难以变化，所以采用高端交换机既可以保证网络速度又可以在系统升级后继续使用保护投资。本次网络设计中核心交换机选用华为公司的S9306核心交换机。 2、汇聚层设计在网络中，汇聚层交换机和核心层交换机的作用与接入交换机不同，它们承担了网关和三层路由转发功能的重担，汇聚层交换机必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此与接入层交换机比较，汇聚层交换机需要更高的性能和更高的交换速率，本次网络规划设计中汇聚层交换机选用华为公司的S5700-28C-EI-24S交换机。2、接入层设计楼层交换机以部门、楼层划分vlan，在终端用户的访问控制上还可以根据要求配置认证。所有的vlan组在核心交换机上做VRRP冗余备份，为了确保安全，还可以将不同的vlan从主备核心交换上区别开来，保证网络的负载均衡，本次接入层交换机我们选用华为公司的S5700-48TP-SI-AC 和S5700-24TP-SI-AC两款全千兆交换机。3、IP地址分配对于一个IP网络来说，不可回避的一项工作就是IP地址的规划和分配。IP地址规划是否合理对一个IP网络来说是至关重要的，关系到这个网络性能能否充分发挥、网络是否具有较强的扩展能力、是否能够更好的管理网络等。IP地址的规划原则：IP地址的划分将沿用原有计算机网络IP地址的划分方案，据此在兼容原来计算机网的编址方案的前提下进行合理分配，并应坚持以下原则：1、地址分配方案应与原有网络地址分配方案统一考虑，原有网络地址分配尽量保持不变2、地址分配应本着简化路由选择，充分利用地址空间，兼顾今后网络发展，便于业务管理等原则进行3、地址分配方案要采用CIDR和可变长子网掩码技术4、充分考虑未来在若干节点可能采用保留地址与合法地址相结合使用的方式的系统可扩充性基于以上原则，IP地址的划分应具有层次性、有预留、易管理等特点。建议IP地址的划分于VLAN关联，一个VLAN一个地址段，按实际情况可以采用可变长子网掩码的技术对一个标准网段进行再划分。建议各个接口地址使用统一的地址位。例如：假设现有3个VLAN分别为:VLAN2、VLAN3、VLAN4 三个VLAN所对应的地址为：192.168.1.0/24、192.168.2.0/24、192.168.3.0/24。那针对这三个VLAN的各个接口地址分别为：VLAN2：热备份漂移地址192.168.1.254主交换设备的VLAN1接口地址-192.168.1.253 备份交换设备的VLAN1接口地址192.168.1.252VLAN3：热备份漂移地址-192.168.2.254 主交换设备的VLAN1接口地址-192.168.2.253 备份交换设备的VLAN1接口地址192.168.2.252VLAN4：热备份漂移地址192.168.3.254 主交换设备的VLAN1接口地址-192.168.3.253 备份交换设备的VLAN1接口地址192.168.3.252注：上述地址只是一个举例，具体地址规划及配置按实际情况进行分配。VLAN的设置1、 划分依据以终端用户来分析。假设按职能或业务分成三个部门D1、D2、D3，各包含若干计算机（或服务器），一个共用服务器SERVER。信息流主要集中在SERVER上，不在网络层上将它和其他部门分开，通过授权就能访问；其中的某个部门的某些计算机（例如管理者）可以不经过路由访问跨部门的计算机。逻辑上属于一个部门的计算机（服务器在一个VLAN内；逻辑上属于多个部门的计算机（服务器）在多个VLAN上（例如共用服务器SERVER或管理台席）。设置VLAN首先明确需求，根据具体运用的需求将联网的用户划分为几个组，明确组与组之间的互通关系。如上图的示例，假设互通关系需求下表所示。互通关系需求表计算机台席部门说明AD1可与D1和D3的F互访问BD1同上CD1同上DD2可与D2和D3的F互访问ED2同上FD3可与D1、D2、D3的互访问JD3可与D3和D2互访问HD3可与D3互访问ID3同上SERVER可被所有计算机访问2、 划分直观说来，划分VLAN就是将连接到网络上的计算机划分为几个组，同组的计算机之间的互通需求相同，所有连网的计算机划分为下面三个组，实现三个VLAN。如下表所示。VLAN划分列表组包含的计算机D1A、B、CD2D、ED3F、J、H、ISERVERSERVER3、 为VLAN分配ID在交换机上划分不同VLAN的标志就是各个VLAN的VLANID（802.1QVID）不同。理论上说，每一个VLAN应该分配不同的ID，但在实际应用中，如果我们将多个VLAN分配同样的ID，在某些特定的条件下是允许的（如两个虑拟局域网的实现在存在交叉点，即任何一台交换机上都不需要同时实现的虚拟网）。可以利用下面的表格来分析。网络需求分析组VLANID交换机1交换机2交换机3D11YESNONOD22YESNONOD33YESYESYESD44NOYESNOSERVER5YESYESYES注：表中YES：表示在该交换机上实现；NO：不在该交换机上实现。4、 达到的目标同一职能业务部门内部可以互访问；跨部门的访问需要经过核心交换机的授权；共用信息被所有的计算机访问；其中的某些计算机（例如管理）有特别权限。同时，达到提高局域内部通信性能、灵活控制访问权限以提高安全性的目标。核心交换与楼层交换的配置举例核心交换机采用了华为的9306核心交换，它采用三层交换技术和楼层交换机的vlan相配合，通过外接防火墙到达上网的目的。其中楼层交换机之间根据访问的要求在核心交换机上统一配置ACL访问控制列表，达到访问要求，避免木马和病毒的扩散。另外在楼层交换机上，我们配置相应的802.1x协议，使所有的登录用户能够在被允许的情况下访问网络，达到安全的控制。所有的用户采用DHCP自动分配的方式，提高网络的易管理性。无线网络系统设计介绍我们此次为XXXXX立医院设计的无线网络平台，在可靠性及可预测性上得以大幅提升，本次无线网络系统采用了HUAWEI公司最新的无线网络平台和最尖端的802.11n无线技术，不仅覆盖效果更好，信号也更稳定，同时在数据、语音及视频传输方面，均能为用户提供更好的移动性接入使用体验。有了这个无线平台，医院未来就能不断开展并移植丰富的应用，打造移动医护新体验，医院医护人员可以随时随地在无线网络中稳定地使用各种医疗应用系统，而此前这些系统只能通过有线网络在固定的地点才能实现，从而大大提升了工作效率。新的无线网络平台不仅能够保证医疗核心业务优先使用网络，同时还能够满足其他访客的上网需求，思科的独有技术能够保证这两种应用完全隔离，从而杜绝安全隐患、实现实时医护、加快医护响应速率、提高工作精准度，更能够降低医疗事故发生率，最终优化医护工作流程，提升患者的满意度。我们此次选用HUAWEI公司的6603-128无线局域网控制器、WA603DE无线接入点对XXXXX医院进行无线网络部署，该系统比单独使用胖AP的无线布置系统更加利于集中控制，统一配置，集中管理，该系统采用的思科802.11n尖端无线网络技术，不仅能够全面兼容现有的无线局域网标准802.11a/b/g 的客户端，且无线数据传输的速度将提升到300Mbps。这一性能的提升至少是802.11a/b/g（54Mbps）的五倍，同时还将增加5倍的净吞吐量，即使新网络平台接入传统的802.11a/b/g客户端，传输效果也能获得明显改善。同时，安装了无线控制器冗余备份，可以保证无线网络发生故障时的网络和应用系统的无缝切换，思科无线网络除实现高级加密、认证等安全技术外，更能够进行主动安全防御，在提供授权用户互联网接入服务的基础上，完全避免非法无线接入，防止非授权人员使用医院无线网络，保证病人隐私和信息等数据的私密性和完整性。无线网拓扑：设备介绍核心交换机Quidway S9306路由交换机产品概览Quidway S9306是华为公司面向以业务为核心的网络架构而推出的新一代高端智能T比特核心路由交换机。该产品基于华为公司智能多层交换的技术理念，在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上，进一步提供业务流分析、完善的QOS策略、可控组播等智能业务优化手段，同时具备超强扩展性和可靠性，广泛适用于运营商IP城域网，企业广域网/城域网，企业出口/核心/汇聚，高密度千兆桌面接入，以及数据中心，帮助电信运营商和企业构建面向业务的网络平台，提供交换路由一体化的端到端融合网络服务。 S9306提供8插槽，支持不断扩展的交换能力和端口密度。整个系列秉承模块通用化、部件归一化的设计理念，最小化备件成本，在保证设备扩展性的同时最大限度地保护用户投资。此外，S9306作为新一代智能交换机采用了多种绿色节能创新技术，在不断提升性能及稳定性的同时，大幅降低设备能源消耗，减小噪声污染，为网络绿色可持续发展提供领先的解决方案。 产品特点创新的三平面设计 S9306在传统交换机数据转发、管理控制双平面基础上创新地增加了独立的环境监控平面，实现对单板、风扇和电源配电模块的监控、管理和维护。业界首创的环境监控板，采用华为自主知识产权的高集成度中控芯片，实现硬件级的按流量动态调整功率、风扇分区控制、风扇智能调速、端口休眠技术等多项节能技术，在提升系统性能的同时大大降低整机功耗。支持独立环境监控与网管联动，实现全面可视化管理。 创新的三平面设计一机多用，全业务的以太交换平台Quidway S9306不但能为企业和电信运营商提供业界领先的性能、端口密度和可用性，同时提供强大的全业务支持，包括： 整机支持高达576个GE/144个10GE端口；采用领先工艺设计，优化整机尺寸，超强双面走线能力，提供无与伦比的单机柜端口密度，支持高达1728个GE或432个10GE端口 支持分布式L2/L3 MPLS VPN功能，支持MPLS、VPLS、HVPLS、VLL，满足大客户VPN专线、企业VPN等高端用户的接入需求 具备线速的跨VLAN组播复制能力，实现端口的满负荷复制，满足大容量的IPTV用户接入需求；完善的二、三层组播协议，可作为组播复制点和控制点，提供高性能的IP组播视频和音频应用 多协议L3路由支持满足了传统的网络要求，支持从企业级到电信运营商级的大规模路由表，支持IPv6，能够为企业网络提供平滑的过渡机制 支持各种主流的时钟方案，包括基于PHY层的以太网同步时钟，以及IEEE1588时钟同步 支持POE，满足在线供电需求 高可靠性设计，提高网络弹性 S9306具备5个9的运营级高可靠性，主控、电源、风扇等关键部件采用冗余设计，所有模块均支持热插拔。基于分布式的硬件转发架构，控制通路与业务通路分离，保证控制通路畅通。 提供3.3ms高精度硬件级以太OAM功能，实现快速故障检测与定位，与其他倒换技术联动可有效保证毫秒级网络保护。 能够在冗余控制引擎间实现无缝切换，且设备优雅重启无中断转发，支持ISSU业务无缝升级，提供应用和服务连续性统一的融合网络环境，减少关键业务和服务中断。 支持IEEE 802.3ad链路汇聚、IEEE 802.1s/w和虚拟路由器冗余协议（VRRP），同时支持丰富的毫秒级倒换技术如RRPP、Smart link、IP FRR、TE FRR等，实现传输级的高可靠性。 卓越的三维扩展能力，容量“无极变速” 支持丰富的灵活业务插卡及业务单板，支持Firewall、IPSec、Netstream、NAT、负载均衡模块，满足未来业务的扩展需求。 作为新一代的以太汇聚平台，S9306可以从容应对城域骨干网和大容量IDC对核心汇聚设备的带宽需求。S9306单槽位支持1210GE线速转发，整机支持2T的交换能力，更好地满足IPTV等大带宽业务和IDC机房的接入需求。系统预留向更大交换容量升级的能力，满足未来100GE的需求。 支持扩展到5.12T交换容量，4810GE 高密度10G线卡，充分考虑未来35年的带宽需求，提供带宽平滑扩展能力。 完善的时钟同步方案，FMC全能承载 全面满足3G承载业务需求，支持物理层时钟同步、IEEE 1588v