公司网络改造实施方案.doc

此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 XXXX 网络改造网络改造 实施方案实施方案 XXXXXXXXXXXXXXXX 有限公司有限公司有限公司有限公司 2008200820082008 年年年年 3 3 3 3 月月月月 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 目目 录录 前 言 5 第一部分 计算机网络系统实施方案 6 一 项目实施需求以及分析 6 1 1 XXXX 网络改造需求 6 1 2 实施目标 6 二 XXXX 计算机网络系统实施 7 2 1 XXXX 网络系统实施方案 7 2 2 方案整体说明 7 2 3 核心交换机 CISCO 4506 E 7 2 4 接入层交换机 CISCO 2960 8 2 4 1 思科 2960 系列交换机特点 8 2 4 2 思科 2960 交换机的主要优势 9 三 XXXX 网络安全系统实施 9 3 1 XXXX 网络边界安全 防火墙技术 10 3 1 1 防火墙技术简介 10 3 1 2 CISCO ASA 防火墙特点 10 3 2 服务器防病毒系统 12 3 2 1Trend Micro 防病毒产品 12 3 2 2 功能简介和部署范围 12 四 XXXX 无线网络实施 16 4 1 无线网络在 XXXX 的应用 16 4 2 WLAN 技术介绍 16 4 3 无线网络实施目标 18 4 4 无线产品选型及部署 18 第二部分 XXXX 服务器存储系统方案 21 2 1 存储系统方案架构 21 2 2 服务器集群 22 2 2 1 系统配置与架构 22 2 2 2 集群的实现 23 2 2 3 集群切换 23 2 2 4HP DL580G4 服务器 24 三 数据安全 应急备份及恢复策略 26 3 1 存储级别 RAID 配置说明 26 3 2 数据库应急备份恢复服务器 规划建议 28 第三部分 XXXX 上网行为管理系统 深信服 30 一 网络运行所遇到的挑战 30 二 深信服上网行为管理解决方案的价值 31 第四部分 XXXX 网络集成项目质量管理措施 32 一 项目实施 32 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 1 工程项目组织结构 32 1 1 工程实施小组 33 1 2 项目推进小组 33 1 3 行政支援小组 34 1 4 质量监控小组 34 1 5 执行验收小组 34 1 6 维护小组 34 1 7 项目协调人 35 2 XXXX 园区网络系统工程实施内容 35 2 1 XXXX 网络建设实施要点 35 2 1 1 准备工作 35 2 1 2 硬件系统的初步验收 35 2 1 3 网络的安装调试与测试 36 2 1 4 报价涉及软件的安装调试与测试 36 2 1 5 网络系统调试具体内容 36 2 1 6 网络系统安全 环保承诺 37 2 1 7 环境条件和电源要求 37 2 1 8 安全管理机构的认证 37 二 培训 38 2 1 培训目标 38 2 2 前期培训 38 2 3 现场培训 39 2 4 培训计划 39 2 5 培训内容 39 2 6 针对宝坻区人民 XXXX 售后培训的特别承诺 39 三 工程文档的编制 40 1 工程文档 40 2 工程完工提及文档 40 四 系统验收 40 1 验收组织 40 2 验收内容及程序 41 2 1 设备到货验收 41 2 2 网络系统验收 41 1 系统验收 43 2 文档验收 43 2 3 服务验收 43 五 工程项目实施的风险对策 44 1 人员风险 44 2 技术风险 44 3 试运行风险 45 六 工程师纪律 45 1 着装 45 2 客户接待 45 3 工程实施期间 46 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 七 网络集成工程实施流程表格 46 第五部分 XXXX 网络集成项目售后服务计划 57 一 前言 57 1 设备保修体系 58 2 服务体系 58 3 对服务响应我们作出以下特殊承诺 59 二 服务体系构成 60 1 服务体系的构成 60 2 对应的 ITIL 模型 61 3 响应体系 62 3 1 技术响应中心工作流程 64 3 2 故障级别定义 65 3 3 故障处理时限和超时上报程序 65 3 4 响应体系提供的文档 65 4 维护体系 66 1 维护体系的流程 66 2 维护体系的工具 66 3 维护体系的文档 67 4 质量监督体系 67 三 项目保修及系统维护服务计划 67 1 系统保修期阶段 68 2 保修期以后 69 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 前前 言言 本实施方案是 XXXX 有限公司 以下简称以下简称 xxxx 公公司 依据 XXXX 以下简称以下简称 xxxxxxxxxx 的网 络建设需求 针对于 XXXX 的网络系统建设及应用而设计的 最终目的是希望通过本次 的网络系统建设实施 为 XXXX 逐步建立的以病人为中心的 PACS RIS LIS 以及 OA HIS 等信息系统之间的数据传递 应用 管理等提供一个高效 畅通的信息网络系 统支持环境 通过 XXXX 的项目技术人员在与 XXXX 的相关技术人员进行了细致的交流 在依据 所交流 标书提供的网络需求 设备型号 网络拓扑图及网络建设的具体需求目标的 基础上 并结合我司在系统集成领域的经营和技术实力 制定出了本次 XXXX 的网络 改造实施方案 在此对本次 XXXX 的有关工作 技术人员表示诚挚的感谢 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 第一部分第一部分 计算机网络系统实施方案计算机网络系统实施方案 一 项目实施需求以及分析一 项目实施需求以及分析 1 1 XXXX 网络改造需求网络改造需求 XXXX 将通过本次网络系统升级工程的全面实施 将 XXXX 的网络建设成为一个具 有现代化 多功能 结构化 智能化的综合性网络系统 系统工程建设本着以 技术 先进适用 功能完备 安全可靠 造价合理 为工程建设目标 XXXX 网络系统是为院内提供网络信息系统应用 管理 科研和多业务的综合信 息服务网络系统 首先 通过网络系统建立可为 XXXX 内部科研提供一个先进的信息 化网络环境 因此网络系统应是一个高宽带 具有交互功能和专业性很强的局域网络 同时院内的信息管理 多媒体系统 远程会议系统 数据库管理系统等 都可以通过 网络来运行工作 还应满足内部内外的通讯要求 包括 Internet 服务 远程移动办 公服务 数据信息下载及视频会议等 在本次网络建设上遵循 依据需求 统筹规划 分步实施 成熟可靠 的原则 在网络建设的方案要符合网络的长远发展规划 应将基础设施建设 信息处理和管理 软件建设和人员培训统筹规划 1 21 2 实施目标实施目标 在本次网络系统改造工程为适应网络发展趋势和 XXXX 的实际网络需求 既能满 足 XXXX 的信息网络系统使用需求 并兼顾今后网络系统易扩充性和可管理性 在项 目管理 保障施工进度前提下 可为 XXXX 网络系统的长期 稳定 高效的运行以及 未来的发展和建设打下良好的网络平台基础 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 二 二 XXXXXXXX 计算机网络系统计算机网络系统实施实施 2 1 XXXX 网络系统实施方案网络系统实施方案 本次 XXXX 的网络系统设计时 在确保院内各子系统对网络应用的需求基础上 将内部 网络信息系统将根据业务及应用的不同 可分为 xxxxxxxxxxxxxx 办公自动化网络 OA 系 统 初期通过 1 台核心交换机实现各建筑物和楼层的接入层设备直接连接的二层接入模式 院信息中心整体搬迁至新楼后建议采用各系统之间二层采用虚拟局域网 VLAN 技术按照 应用结合交换机端口进行划分 三层 汇聚层 采用动态路由协议和核心相连 彼此形成 各个相互独立的网络子系统 这样既保证了网络系统的稳定性 也提高了网络系统的安全 性 在各子网内部接口边界上通过安装思科高性能的基于核心交换机背板的嵌入式防火墙 功能模块确保内部子网间的访问安全 2 2 方案整体说明方案整体说明 XXXX 的网络系统千兆千兆以太网技术构成主干主干 采用星型拓扑结构 院内网络中心通 过光缆为主干分别将住院区 门诊区和医技区 行政区等大楼和区域连接成一个整体 形成以光缆为主干的 1000M 网络结构 在网络中心机房的放置一台核心网络交换机 其它楼层根据点位的不同 分别部署思科双用途上联交换机的 24 口和 48 口接口 类型的交换机 每区域的接入层设备冗余光缆上联核心交换机 构成单核心和各分支 的网状结构园区网络架构 满足目前院方的使用要求 门诊和住院楼层各部署 1 2 台汇聚层设备为汇聚层交换机 接入层交换机连接各 桌面工作站 其中汇聚层设备支持千兆到桌面 将来 XXXX 的 PACS 系统可以无缝连接 核心形成千兆的主干网络 接入层交换机和汇聚层交换机的带宽扩展通过千兆电口的 GEC 实现 中心机房内设有 HIS OA 文件等服务器在网络系统中必须保证其的高可靠 性 实时性 安全性 2 3 核心交换机核心交换机 CISCO 4506 E 在 XXXX 的三层路由三层路由网络系统设计中 核心主干交换机要求支持高效的三层交换 可 以提供 10 100 1000M 网络接口 有良好的可扩充能力 IPV6 的支持 充足的背板带宽 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 经过认真的比较 分析我们推荐 Cisco 公司的 4506 核心交换机为 XXXX 网络系统核心交换 设备 我们是基于以下主要考虑的 核心交换机采用 Cisco 公司的单台 Catalyst4506 交换机 分别配置双电源及 WS X45 SUP6L E 的引擎 两台 Catalyst4506 交换机之间通过 2 条千兆光纤互连 构成两台 Catalyst4506 之间的等价路由连接 Catalyst4506 配置一个 WS X45 SUP6L E 的引擎 双 电源 PWR C45 2800ACV 用 1 块思科 24 口千兆模块 此种模块均为配合 WS X45 SUP6L E 引擎的新型交换矩阵模块 配合使用 思科 Catalyst 4506 交换机是 CISCO 中高端交换机 其最高交换能力达到 WS X45 SUP6L Ebps 采用思科特有的分布式 CEF 交换技术 三 四层路由交换转发能力最高可达 400Mpps 以上 具有六个插槽 支持高密度 10GE 模块 单个机箱最多支持 2 个 10GE 端 口 最多 385 个 10 100 1000M 自适应端口 同时还支持千兆 GBIC SFP 以太网高密度模块 WAN 模块 IP 语音模块 内容交换模块 无线接入模块 网络分析等多种网络接口和服 务模块 在网络安全方面 支持防火墙模块 IDS 模块 另外 还支持基于硬件的实现 IPv4 v6 MPLS VPN GRE NAT ACL Engress Policing 等多项高负载智能服务 尤其 值得一提的是 Catalyst4506 每槽位最高提供 80Gbps 全双工背板连接速率 为本次项目中 高密度 10GE 端口的应用 打下了坚实稳固的基础 Catalyst4506 是思科专门针对校园核心 网络高性能 多业务等关键需求而设计的骨干交换设备 不仅能够承担高速的交换业务 同时能够满足当今网络应用的多种服务 实现了核心交换网络的最佳性能 具备良好的扩 展延伸能力 由于这种多业务支持的方式能减少重复运作开支 降低拥有成本 因而能提 高投资回报 ROI 2 4 接入层交换机接入层交换机 CISCO 2960 2 4 1 思科思科 2960 系列交换机特点系列交换机特点 XXXX 网络对要求接入层交换机可以提供千兆上连的能力和直接连接百兆工作站的能力 我们通过比较 cisco 公司的适合的接入层交换机产品线并接合 XXXX 的具体需求和投资预算 认为选择带千兆电口上联的固定式交换机 2960 是性价比最高的接入层方案 一 价格角度 2960 系列中的 2960TT 具有固定式千兆电口的连接能力 通过光纤支持千兆连接核心 层的 4506 E 交换机 提供较大较大的价格优势 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 二 性能角度 思科 2960 系列的交换机都能提供基于每端口的线速的 L2 的交换能力 而上联核心层 交换机的带宽扩展可以通过捆绑双千兆光纤口的方式实现 捆绑 GEC 最大上联带宽为 4GB 2 4 2 思科思科 2960 交换机的主要优势交换机的主要优势 一 可管理性 Catalyst 2960 交换机提供业界领先的基于 Cisco IOS 的服务 Cisco IOS 提供 整套软件业务 负责管理网络安全性 分配并实施 QoS 提供增值的 实现高网络弹 性的业务 Cisco IOS 还为 CiscoWorks 与 Cisco 资源管理器两者的集成 整个 Catalyst 产品系列均支持的基于 Web 的管理工具提供管理架构 二 QOS 性能 支持基于 802 1p CoS 值或网络管理员为每个端口指定的缺省 CoS 值来对数据帧进 行重新分类 在硬件上 每个输出端口支持四个队列 WRR 队列算法确保低优先级端口不会被忽视 严格的优先权安排配置保证诸如语音等时间敏感的应用能够在交换结构中一直使用 快速路径 三 思科客户端准入系统 NAC 的支持 集成安全特性 包括 802 1X 的网络准入控制 为网络边缘提供智能服务 结合第三方安全产品 如防毒软件 实现客户端准入前的安全性评估等策略 三 三 XXXX 网络安全网络安全系统实施系统实施 网络安全内容示意图 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 系系统统安安全全 系系统统 主主机机 服服务务器器 安安全全 网网络络运运行行安安全全 局局域域网网 子子网网安安 全全 反反病病毒毒 R RA AI ID D 技技术术 访访问问控控制制 防防火火墙墙 系系统统安安全全检检测测 应应急急 网网络络安安全全检检测测 如上图所示 网络安全覆盖的内容很多 这其中最经常使用的方式有 访问控制 防火墙 防病毒 下面对针对 XXXX 的网络安全问题做一个简单描述 3 1 XXXX 网络边界安全 防火墙技术 网络边界安全 防火墙技术 3 1 1 防火墙技术简介防火墙技术简介 防火墙 firewall 是指一个由软件或和硬件设备组合而成 处于企业或网络群体计算机 与外界通道 Internet 之间 限制外界用户对内部网络访问及管理内部用户访问外界网络的 权限 主要是控制对受保护的网络 即网点 的往返访问 逼使各连接点的通过能得到检查 和评估 从诞生到现在 防火墙已经历了四个发展阶段 基于路由器的防火墙 用户化的防火 墙工具 建立在通用操作系统上的防火墙 具有安全操作系统的防火墙 目前防火墙供应 商提供的大部分都是具有安全操作系统的软硬件结合的防火墙 本次方案中可采用的思科 ASA5520 和 ASA5510 作为安全防火墙 3 1 2 CISCO ASA 防火墙特点防火墙特点 ASA 5500 系列自适应安全设备提供 艺术级 的安全技术 该设备仍具灵活性以满足 XXXX 成长和变化的需求 优点优点 Cisco ASA 5500 系列自适应安全设备支持 用户化 根据公司政策和具体接入需要 个性化安全系统 灵活性 随着公司的成长和变化 您能方便地添加新功能或从一台设备升级至另一台 设备 高级安全性 充分利用内容安全 加密 身份验证 授权和入侵防御等方面的最新技 术 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 简单易行 使用一台设备即可轻松进行安装 管理和监控 高级网络功能 设置虚拟专用网络 VPN 以确保移动和远程工作人员安全的访问 XXXX 资源 或基于职责创建 VPN 功能功能 有利于保护您的企业免受蠕虫 盗用数据 网络攻击 由工作效率和生产力的提升 使公司增值 与思科的集成多业务路由器协力工作 易于使用和管理 产品规格产品规格 Cisco ASA 5500 系列型号系列型号 许许 可证可证 5510 Base Security Plus 5520 思科自适应安全设备软件版本 最新 7 2 2 7 2 2 市场 中小商业和小企业 小企业 最高防火墙吞吐量 Mbps 300 450 最高 3DES AES VPN 吞吐量 Mbps 170 225 最高站点到站点和远程访问 VPN 用户会话数 250 750 最高 SSL VPN 用户会话数 1 250 750 最高连接数 50 000 130 000 280 000 新建连接数 秒 9 000 12 000 每秒数据包数 64 字节 190 000 320 000 内存 MB 256 512 最小系统闪存 MB 64 64 集成式端口 2 5 个 10 100 4 个 10 100 1000 1 个 10 100 最高虚拟接口 VLAN 50 100 150 SSC SSM 扩展槽 是 SSC 是 SSC 支持的 SSC SSM CSC SSM AIP SSM 4GE SSM CSC SSM AIP SSM 4GE SSM 入侵防御 有 利用 AIP SSM 有 利用 AIP SSM 并发威胁防御吞吐量 Mbps 防火墙 IPS 服务 150 利用 AIP SSM 10 300 利用 AIP SSM 20 225 利用 AIP SSM 10 375 利 用 AIP SSM 20 Anti X 防病毒 防间谍件 文件阻挡 防垃圾邮件 防诱 骗 URL 过滤 有 利用 CSC SSM 有 利用 CSC SSM 防病毒 防间谍件 文件阻挡500 CSC SSM 10 1000 CSC 500 CSC SSM 10 1000 CSC SSM 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 的最大用户数 只对 CSC SSM SSM 20 20 CSC SSM Plus 许可证特性 防垃圾邮件 防诱骗 URL 过 滤 防垃圾邮件 防诱骗 URL 过滤 应用层安全性 有 有 L2 透明防火墙 有 有 虚拟防火墙 缺省 最高 3 Base 0 0 Plus 2 5 2 20 GTP GRPS 检测 3 未知 是 高可用性支持 4 Base 不支持 Plus A A 和 A S A A 和 A S IPSec 和 WebVPN 服务 有 有 VPN 集群和负载均衡 未知 有 3 2 服务器防病毒服务器防病毒系统系统 3 2 1Trend Micro 防病毒产品防病毒产品 支持对网络 服务器和工作站的实时病毒监控 3 2 2 功能简介和部署范围功能简介和部署范围 对于 Internet 类型的网络 包括 Extranet 和 Intranet 趋势科技提供基于网关处的防毒 产品 InterScan 系列 产品都含有纯 web 方式的管理界面 1 因特网病毒防火墙 InterScan VirusWall 在网关处实时监控通过 SMTP HTTP 和 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 FTP 协议传输的信息内容 检查其是否存在病毒或恶意程序 并根据管理员的设定采 取相关的处理方式 以保证通过网关出入企业的信息的安全性 支持对 16 种以上的压 缩类型 压缩深度最多达 20 级的文件进行病毒扫描工作 支持的平台 Windows NT 2000 Solaris HP UX Linux 2 电子邮件安全管理 InterScan eManager 基于 InterScan VirusWall NT 版和 Solaris 版 的 外加 Plug in 的电子邮件管理工具 属于 InterScan VirusWall 的因特网安全 Internet Security 系列产品之一 eManager 电子邮件安全管理软件可以过滤垃圾邮件 及大量推销性质的电子邮件 并可扫描由内部使用者寄出的邮件内容 若有敏感性内 容可就进行拦阻 此外也能够自定邮件传递时间 延迟递送较大的邮件 国际信件或 其它自定规则范围内的邮件 避免在网络带宽使用高峰时段造成邮件阻塞 支持的平 台 Windows NT 2000 3 系统安全管理软件 InterScan WebManager 集 web 访问的管理限定和防病毒与一身 除了对传入的 web 页面进行防毒之外 还可以对访问的内容及带宽进行管理 可弹性 设定对 14 种不同类型的系统内容进行过滤 WebManager 应用 Cyber Patrol 所开发出全 球数 十万个系统的数据库 阻止内部使用者通过因特网进入色情或其它的不良系统 可依 据个人及部门的特殊需求 过滤不良系统和设定下载文件的大小限制 管理员可 依每日 每周或每月 设定个人或部门对于 Web 下载文件的最大流量 从而控制网络 的使用带宽 支持的平台 Windows NT 2000 4 大规模邮件防毒 对于企业内部的电子邮件和群件系统 如 Lotus Notes 和 Microsoft Exchange 由 于企业内部用户间的通讯可能并不通过 Internet 网关 因此光靠在网关处防毒并不 能控制病毒在企业内部的传播 趋势科技针对此类系统提供了相应的防毒产品 ScanMail 系列 ScanMail 系列在对邮件系统内的邮件和公用文件夹内的文件进行病防护的同时 还可以对含有敏感性内容的邮件进行隔离等处理 以保护企业内部信息流的安全 产品都含有纯 web 方式的管理界面 ScanMail 支持对 19 种压缩类型 压缩深度最多达 20 级的文件进行病毒扫描工作 ScanMail fro Microsoft Exchange 真正支持微软建议的 AVAPI 接口 以获得更高 的工作效率 减少对系统资源的占用 完全支持 Exchange 的群集技术 支持的平 台 Windows NT 2000 ScanMail for HP OpenMail 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 其它许多大规模的邮件服务器 例如 S 的 Intermail 及 AsiaInfo 的 AIMC 和 Microsoft 的 MCIS 及 Netscape 的 Message Server 及 Sendmail 等 5 防毒工作中央监控系统 TMSCS Trend Virus Control System 为了让企业能对 所有 的防毒产品和工作进行集中管理 趋势科技提供了产品 TMSCS 上述的趋势 科技的防毒软件产品都可集成 TMSCS 的客户端组件 TMSCS Agent 当企业安装 了 TMSCS 系统后 即 可实现对上述产品的集中控制和管理 同时 TMSCS 也可 以显示出其他一些防毒软件产品的信息 以便让管理员统一监控 TMSCS 采用纯 web 的管理界面 管理员不论在何时何地 只需有 Web 浏览器即可实现整 个企业的防毒管理工作 完善的日志记录和统计信息功能 支持弹出窗口 e mail 寻呼机 等报警方式 能够在中心控制台上向多个目标系统分发新版杀毒软件 防毒工作中央监控系统 TMSCS 提供统一而且自动的产品组件更新功能 通过它实现趋势 科技所有防毒产品的扫描引擎及病毒码更新功能 能够在中心控制台上对多个目标系统监视病毒防治情况 防毒工作中央监控系统 TMSCS 使管理员通过浏览器即可实时监视趋势科技所有防毒产品 的工作情况 以及病毒防治情况 由于采用了客户 服务器的时间驱动模式进行工作 因此 有效的避免了对网络带宽的过多占用 支持多种平台的病毒防范 趋势科技是一家专注于企业安全的产品供应商 具有十分完善的产品系列 考虑了企业内 从工作站到因特网网关 几乎所有需要防病毒的平台和网络连接点 能够识别广泛的已知和未知病毒 包括宏病毒 作为作早进入计算机防毒领域的厂商之一 趋势科技在防毒技术上始终保持着领先的优 势 早在 1995 年趋势科技即开发出了基于人工智能 Rule based 的扫描引擎 采用陷阱 方式 探测恶意程序可能出现的破环动作 以及探测出变形病毒的真面目 从而实现对未知病毒 的拦截 经过不断地完善 目前的引擎中已设下了多达 12 道以上的陷阱 根据传统方式制 作的各类新病毒根本逃不过被检测出的命运 1996 年趋势科技又率先推出了自己的专利技 术 MacroTrap 解决了对已知或未知的宏病毒的探测问题 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 支持对 Internet Intranet 服务器的病毒防治 能够阻止恶意的 Java 或 Active X 小程序的破 坏 趋势科技的因特网网关病毒防护产品 InterScan 系列 能够有效阻止恶意的 Java ActiveX 程序以及一些黑客程序通过因特网对企业进行的入侵 InterScan 在网关处实时监控通过 SMTP HTTP 和 FTP 协议传输的信息内容 检查其是否存在病毒或恶意程序 并根据管 理员的设定采取相关的处理方式 以保证通过网关出入企业的信息的安全性 支持对电子邮件附件的病毒防治 包括 WORD EXCEL 中的宏病毒 趋势科技的产品系列中 InterScan OfficeScan ScanMail 等都支持对电子邮件附件的病毒 防护 趋势科技的扫描引擎中含有自己的专利技术 MacroTrap 由于采用了人工智能的 陷阱技术 还可以检测出部分未知的宏病毒 支持对压缩文件的病毒检测 趋势科技的产品对压缩文件的扫毒支持是同类产品中最为完善的 其中的 InterScan 和 ScanMail 更是支持 16 种以上的压缩格式和 20 级的压缩深度 支持广泛的病毒处理选项 如对染毒文件进行实时杀毒 移出 删除 重新命名等 针对企业和个人用户的需要 趋势科技提供了灵活的处理选项 如对于网络防毒 一般提 供 带警告通过 pass 隔离转移 move or quarantine 删除 delete 清除病毒 auto clean 等选项 其中对于 auto clean 方式 由于有些文件本身即是病毒或黑客程序 或者带有不能随意删除的病毒类型 因此当选择 auto clean 方式时 将会针对不能清除 病毒的文件提供给用户额外的选项 其中又包括 pass move delete 方式 支持病毒隔离 当客户机试图上载一个染毒文件时 服务器可自动关闭对该工作站的连接 趋势科技的产品都支持文件隔离方式 让管理员可以对染毒文件进行分析 或是发往趋势 科技的支持中心以得到针对新型病毒的最新解药 考虑到应尽量简化企业的防毒管理工作 以降低 TCO 趋势科技不主张采取关闭客户连接的做法 如果采用这种方式 企业将需要 有专职的防病毒管理员来处理每次的连接中断 用户也会觉得十分麻烦 提供对病毒特征信息和检测引擎的定期在线更新服务提供对病毒特征信息和检测引擎的定期在线更新服务 趋势科技的全线防毒产品都提供此类功能 其中大多数产品更是能自动通过因特网更新其 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 病毒码 扫描引擎和产品升级包 通过使用 TMSCS 所有的防毒产品更新工作都可从中央 进行集中管理 并只需建立 TMSCS 和趋势科技间的 Internet 连接 而不需要各个产品各自 去连接因特网 支持日志记录功能支持日志记录功能 趋势科技的全线产品都提供日志记录功能 通过使用 TMSCS 所有的防毒产品的日志可以 从单点进行管理和浏览 并可通过 TMSCS 得到企业所有防毒工作的各类统计信息和日志 支持多种方式的告警功能 声音 图像 支持多种方式的告警功能 声音 图像 e mail 等 等 趋势科技的全线产品都提供告警功能 通过使用 TMSCS 对企业内所有的中毒情况都会有 综合的报警提示 包括弹出窗口 e mail 和寻呼机报警 其中的 ServerProtect 更是提供 了 包括 讯息信箱 寻呼机 打印机 Internet 电子邮件 SNMP 通知或写入到 Windows NT 事件日志的多种报警方式 四 四 XXXX 无线网络实施无线网络实施 4 1 无线网络在无线网络在 XXXX 的应用的应用 随着医疗行业信息化的深入 传统的布线很难适应医疗信息化的变化要求 随着无线 通讯技术的发展和无线网络的出现 许多问题迎刃而解 无线网络同有线网络相比 不需 要布线 具有安装便捷 经济节约 响应快 可靠性高等优点 并且具有灵活 方便 快 捷的组网方式 无线互联网改变了传统的学习 生活和工作模式 提高了生活质量和学习效率 与传 统的有线网络相比有明显技术优势 首先 无线网络无须使用专业通信线路 只需技术人 员移动转发器即可重新建立连接 且性能可靠且易维护 其次是无线局域网最明显的可移动性 医护人员能够方便 迅速地对共享信息进行访 问 可以说 无线互联网大大延伸了时空 在未来医疗信息化的年代里 无线互联网将扮 演一个十分重要的角色 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 4 2 WLAN 技术介绍技术介绍 通常计算机组网的传输媒介主要依赖铜缆或光缆 构成有线局域网 但有线网络在某 些场合要受到布线的限制 布线 改线工程量大 线路容易损坏 网中的各节点不可移动 特别是当要把相离较远的节点联接起来时 敷设专用通信线路的布线施工难度大 费用高 耗时长 对正在迅速扩大的连网需求形成了严重的瓶颈阻塞 笔记本电脑的大量使用 为网 络的灵活性提出了更高要求 WLAN 就是解决有线网络以上问题而出现的 无线局域网 WLAN 正如其名称所说的那样 可以提供传统 LAN 技术 如以太网和 令牌网 和所有功能和好处 但不会受到线缆的限制 但是仅从不需要线缆这一角度来看 待 WLAN 则是没有抓住其本质 WLAN 使我们重新定义对 LAN 的看法 连通性不再仅仅 意味着连接 局域的概念不再以英尺或米来度量 而是以英里或公里来度量 系统的基础 结构不再需要埋在地下或藏在墙里 它可以是移动性的 也可以随组织的成长发生变化 WLAN 的应用有以下两类情况 的应用有以下两类情况 1 独立的独立的 WLAN 这是指整个网络都使用无线通信的情形 在这种方式下可以使用 AP 也可以不使用 AP 在不使用 AP 时 各个用户之间通过无线直接互连 但缺点是各用户之间的通信距离 较近 且当用户数量较多时 性能较差 图 1 不使用 AP 的独立 WLAN 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 图 2 使用 AP 的独立 WLAN 2 非独立的 WLAN 在大多数情况下 无线通信是作为有线通信的一种补充和扩展 我们把这种情况称为 非独立的 WLAN 在这种配置下 多个 AP 通过线缆连接在有线网络上 以使无线用户即 能够访问网络的各个部分 图 3 非独立的 WLAN 无线局域网产品 Wireless LAN Card 即无线网络卡 与传统之 Internet 网络卡的差别是在于它的数据数据 传送是靠无线电波 而后者则是透过一般的网络线传送 Access Point 即网络桥接器 是传统的有线局域网络与无线局域网络 或无线局域 网络与无线局域网络之间的桥梁 用来接收和传送数据 任何一台装有无线网卡的 PC 均 可通过 AP 去分享有线局域网络甚至广域网络之资源 AP 本身又可对接有无线网络卡的 PC 作必要的控制和管理 Antenna 即天线 它与一般电视手机所用的天线不同 不要表现在频率上 WLAN 所用的频率较高 为 2 4GHz 的高频段 其功能是接收或传送数据信号 天线的分类一般 按传输距离的远近划分 而传输的距离又由天线本身的 dBi 值决定 dB 值愈高 相对所能 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 传达的距离也就更远 另外 天线有定向性 Uni direction 和全向性 Omni direction 之分 前者适合于远距离使用 而后者则适合于区域性的应用 4 3 无线网络实施目标无线网络实施目标 在主楼内部署无线网络系统 实现以下目标 1 建立的无线传输网络除能够传输一般的资料外 还应有传输实时图像的能力 2 实现整个网络内部的资源共享 支持多媒体应用 3 为未来可能的应用提供一个可靠 高速 安全 可拓展的网络基础 4 4 无线产品选型及部署无线产品选型及部署 在选择网络产品时应主要选择经营状况和用户信誉良好 产品质量稳定可靠 软硬件 产品系列化和成龙配套 新产品层出不穷并能保持一致性发展的生产厂家 因此本方案选 择美国 Cisco 公司的 AIR LAP 1242G 作为天津宝坻区人民 XXXX 的无线网络系统的主要 设备 Cisco Aironet AIR LAP 1242G 接入点提供了 WLAN 客户 所需的多功能性 高性能 安全性和工业级特性 这些 IEEE 802 11a b g 接入点是专为需通过所连天线提供多种天线功能 需 要耐用金属外壳和较大工作温度范围的工厂 仓库和大型零售店 等要求严格的 RF 环境而设计的 Cisco Aironet AIR LAP 1242G 提供本地电源和馈线电源 并支持 IEEE 802 3af 以太网供电 PoE Cisco Aironet AIR LAP 1242G 是思科统一无线网络 提供端到端有线和无线集成网 络的全面解决方案 的一个组件 Cisco Aironet AIR LAP 1242G 利用思科统一无线网络 的无线射频管理和网络管理特性简化了部署 能够将有线网络中的安全性 可扩展性 可 靠性 易部署性和可管理性扩展到无线局域网中 应用应用 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 Cisco Aironet 1240AG 系列专为恶劣环境和需要支持多种天线的环境而设计 其天线连 接器的覆盖范围大且具多样性 并提供了更为灵活的安装选项 例如 制造业应用可以通 过远程安装天线 在危险地点部署 WLAN 的同时保护 Cisco Aironet 1240AG 系列接入点的 安全 不具备有线连接的接入点能够利用 5 GHz 收发器无线连接其他接入点 以便实现网 络回连 Cisco Aironet 1240AG 系列的金属外壳和工业级组件结实耐用 工作温度范围大 因而 能满足工厂 仓库 大型零售环境和类似设施的要求 该产品系列的 2 4GHz 和 5GHz 无线 收发器发射功率大 接收灵敏度高 而且延迟低 因而覆盖距离长 范围大 能够满足这 些应用的需要 5GHz 无线收发器可作为接入点之间的无线网桥 回连到网络 接入点可以布置在房顶或吊顶上 以便将天线合理地布置在吊顶下 Cisco Aironet 1240AG 系列的 UL 2403 级别使接入点能够放置在房顶之上 城市防火规范规定的高压区 域 特性和优势特性和优势 特性特性 优势优势 双频 802 11a 和 802 11g 无线收发器 能够在一台设备中提供业界领先的 108Mbps 容量 兼容传统的 802 11b 客户端 同时为 2 4GHz 和 5GHz 无线收发器提供 RP TNC 天线连接器 天线连接器支持多种思科 2 4GHz 和 5GHz 天线 覆盖范围大 功能多 链路角色灵活性自主接入点能够作为接入点或网桥 设置为单频段或双频段平台 每个无线收发 器都能单独配置为接入点中继器 根网桥 非根网桥或工作组网桥 支持多种应 用 思科统一 IDS IPS这既是思科自防御网络的一个集成软件特性 也是业界第一个有线和无线集成安 全解决方案 当一个可信客户端出现恶意行为时 有线 IDS 设备能检测出这一攻 击 向思科 WLAN 控制器发出规避请求 随后该控制器即会断开与此客户端设备 的连接 管理帧保护该特性能对无线网络基础设施的 802 11 管理帧进行认证 这使网络能够检测出假 冒基础设施接入点的恶意用户或接入点所发出的伪装帧 如果接入点发现恶意攻 击 它将生成安全事件 相关报告可在思科无线局域网控制器 思科 WCS 或 CiscoWorks WLSE 上收集 安全认证认证 安全标准 WPA 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 WPA2 802 11i 思科 TKIP 思科信息完整性检查 MIC 40 位和 128 位 IEEE 802 11 WEP 密钥 802 1X EAP 类型 类型 EAP FAST PEAP GTC PEAP MSCHAP EAP TLS EAP TTLS EAP SIM 思科 LEAP 加密 加密 AES CCMP 加密 WPA2 TKIP WPA 思科 TKIP WPA TKIP 40 位和 128 位 IEEE 802 11 WEP 密钥 目前支持 12 个非重叠 信道 能增加到 23 个 信道 能够降低对相邻接入点的潜在干扰 从而简化部署 另外 它还能减少传输错误 提高吞吐率 坚固耐用的金属外壳具备金属外壳和耐用特性 能够适应工厂 仓库 室外 需要 NEMA 包装 及其 他工业环境的要求 耐 UL 2043 高压 超 大工作温度范围 能够安装在大气环境中 例如吊顶之上 提供多用途 可锁定 安装架 为现场调查提供了更高的安装灵活性 且能防盗 同时支持本地电源和 馈线电源 包括 IEEE 802 1af PoE 由于电源能够通过以太网电缆供应 因而不需要向远程接入点部署昂贵的电线 接入点能由 IEEE 802 3af PoE 思科馈线电源交换机 单端口馈电器或本地电源 供电 硬件辅助 AES 加密在不降低性能的情况下提供高安全性 第二部分第二部分 XXXXXXXX 服务器存储系统方案服务器存储系统方案 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 2 12 1 存储系统方案架构存储系统方案架构 XXXX 从需求 资金等方面考虑暂时不能达到全冗余架构 因此我们建议考虑上 2 1 1 的模式 如下图 技术说明技术说明 一 一 HIS LIS RISHIS LIS RIS 系统存储部分系统存储部分 HIS LIS RIS 系统数据部分采用 SAN 存储网络架构 在数据库部分利用 SAN 架构为 服务器提供快速的 I O 响应 配合高性能服务器 提供强大的数据库访问能力 二 二 HIS LIS RISHIS LIS RIS 系统服务器部分系统服务器部分 HIS LIS RIS 系统服务器采用通用 PC 服务器 采用成熟的双机热备 Cluster 技术 任何一台服务器发生故障都能在 30 秒内自动 切换到备用服务器 这个自动切换过程是不需要人工干预的 双服务器还将对 HIS RIS 或 LIS 等不同业务系统提供做负载分担 三 三 HIS LIS RISHIS LIS RIS 系统数据备份部分系统数据备份部分 采用双服务器双存储的 2 1 1 模式 即增加一台异地备份服务器 使用数据库 自带备份功能实现 当服务器群集发生故障宕机时可以把数据快速恢复到主服务器 上单机运行 相对于 2 1 模式在一定程度上实现了园区级的容灾 另外在备份服务器上挂接一台磁带机作为数据离线备份 为数据加上第三层保险 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 四 域控 病毒服务器四 域控 病毒服务器 增加两台服务器其中一台作为主域控服务器 为网络提供域控服务 另外一台作为病毒服务器和备份域控服务器 防止主域控宕机导致群集故障和域账 户丢失 五 其他服务器五 其他服务器 除了以上务器还有 OA 服务器 人事服务器 外网网站服务器等 分别提供相应的功能 服务 2 22 2 服务器集群服务器集群 服务器集群技术已经是一种非常成熟的系统高可用技术 集群是界于 SMP 对称多处 理 和 MPP 并行多处理 之间的一种松耦合多机处理技术 集群技术是网络技术 软件 技术 主机技术 存储技术的综合体现 常见的集群实现方式是双机热备 即多台主机共 享数据 若干应用分别安装在多台主机上 多台主机之间连接有 心跳线 并通过集群软 件相互监控 一旦某台主机的应用发生故障 集群软件会自动启动另一台主机上的同一应 用 以实现业务的不间断运行 2 2 1 系统配置与架构系统配置与架构 1 系统拓扑图 架构说明 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 采用两台服务器 数据库存放于盘柜中 利用盘柜内部控制器构建阵列 并通过在两 台服务器中添加 2GB 光纤适配卡完成服务器与盘柜的数据通信 心跳线采用 TCP IP 模式 通过主机中添加两块 10 100M 1000M 以太网卡实现 其中 一块网卡故障不会导致心跳连路断开 2 2 2 集群的实现集群的实现 我们推荐使用 Cluster 技术将两台服务器做成群集 这时将产生一个逻辑的服务器 所 有的应用程序均将访问此逻辑服务器 通常情况下 我们推荐在网络中设置一台小型的服 务器做主域 Primary Domain 服务器 负责网络的安全性与用户登录工作 而将两台新 或配置较高 的服务器做为数据库 Database 服务器 分别运行 XXXX 的 HIS 和 LIS 等 XXXX 信息应用系统 应用数据库的数据放在存储共享的磁盘阵列中 从而确保应用系统 数据的安全性与高可用性 2 2 3 集群切换集群切换 首先在硬件上做到了各部件的冗余 两台高性能 pc 服务器组成集群结构 在此基础上 每台服务器各安装一套 MSCS 的 Cluster Server 软件 组成多机集群高可用系统 MSCS 会 在两条心跳链路上传输高效的通信数据包 实时监测其他主机系统和各种软硬件资源的运 行情况 如 sql server IP 磁盘 文件系统等 当任何一种资源失效时 MSCS 即会按照 预先定义的规则快速实行相应的硬件或应用切换 MSCS 的管理流程比较简单 当一台机器上的工作网卡发生故障时 MSCS 会自动地切换到另一块网卡 当一台主机发生故障或关机时 MSCS 会自动地将其上的应用切换到另一台机器 当应用服务进程非正常终止时 MSCS 会自动重起相关进程 或将服务进程切换到 其他机器上 当系统需要进行维护时 可手工将应用从一台机器切换到其他机器 Cluster 系统不仅可以实现系统级的服务器切换能力 而且提供强大的应用级服务器切 换能力 表现在对任意应用可以进行检测如数据库 当一台服务器的数据库发生故障时 系统便会自动切换到另一台服务器上的数据库 由此服务器接管业务 并且还可以分为不 同的资源组切换到不同的服务器 而且切换的速度很快 这一点对于应用是至关重要的 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 2 2 4HP DL580G4 服务器服务器 主机 四路双核至强处理器的 HP DL580G4 高性能服务器 主机网卡 采用 HP DL580G4 集成的两块 10 100 1000MM 网卡 磁盘阵列 采用 HP MSA1500 磁盘阵列 配制 RAID ADG 允许同时坏两块硬盘 系统不 受影响 主机网卡 采用 HP DL580G4 集成的两块 1