民生醫(yī)院內(nèi)部網(wǎng)絡(luò)規(guī)劃畢業(yè)設(shè)計(jì)

摘要：隨隨著21世紀(jì)的到來(lái)，信息時(shí)代真正成為了這個(gè)時(shí)代的主題，信息技術(shù)對(duì)社會(huì)進(jìn)步和國(guó)民經(jīng)濟(jì)發(fā)展將起到越來(lái)越大的作用。作為信息時(shí)代核心的網(wǎng)絡(luò)也逐漸進(jìn)入各行各業(yè)，其重要作用也日益顯現(xiàn)出來(lái)。醫(yī)院要做要面向社會(huì)、面向世界，及時(shí)了解國(guó)際醫(yī)療管理等新的醫(yī)療水平，吸收國(guó)內(nèi)國(guó)外先進(jìn)的醫(yī)療技術(shù)，提高醫(yī)院的醫(yī)療管理水平和醫(yī)療技術(shù)。民生醫(yī)院為了提高醫(yī)療信息化水平，使用計(jì)算機(jī)技術(shù)手段為醫(yī)院的醫(yī)療事業(yè)提供更好的服務(wù)，同時(shí)滿足醫(yī)院綜合業(yè)務(wù)的要求，計(jì)劃建設(shè)一個(gè)全新、現(xiàn)代、穩(wěn)定、高速的智能化網(wǎng)絡(luò)系統(tǒng)。該系統(tǒng)將提供一個(gè)高效、可靠的信息平臺(tái)，在醫(yī)院內(nèi)部實(shí)現(xiàn)資源高度共享，為醫(yī)療、教學(xué)、科研、管理服務(wù)，并提供與上級(jí)部門、社會(huì)、家庭之間通訊的出入口，實(shí)現(xiàn)醫(yī)療信息化，實(shí)現(xiàn)醫(yī)院、社會(huì)、家庭的有機(jī)結(jié)合。在醫(yī)院的網(wǎng)絡(luò)規(guī)劃和建設(shè)中，我將從網(wǎng)絡(luò)需求分析、網(wǎng)絡(luò)現(xiàn)狀分析、邏輯網(wǎng)絡(luò)設(shè)計(jì)、物理網(wǎng)絡(luò)設(shè)計(jì)、網(wǎng)絡(luò)安全等方面進(jìn)行規(guī)劃和實(shí)現(xiàn)。在建網(wǎng)過(guò)程中將盡量選擇穩(wěn)定和成熟的技術(shù)和產(chǎn)品，使醫(yī)院的網(wǎng)絡(luò)開通后處于穩(wěn)定的運(yùn)行狀態(tài)。在結(jié)構(gòu)上將采用流行的三層結(jié)構(gòu)，即核心層、交換層和接入層，所選的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是星型，通過(guò)防火墻接入邳州的骨干網(wǎng)絡(luò)。考慮到醫(yī)院的應(yīng)用環(huán)境，建設(shè)了豐富的應(yīng)用服務(wù)器，以滿足信息共享的需求。同時(shí)考慮到醫(yī)院的發(fā)展，采用開放式的結(jié)構(gòu)和技術(shù)使網(wǎng)絡(luò)具有良好的擴(kuò)充能力和開放性，以滿足今后網(wǎng)絡(luò)發(fā)展要求。關(guān)鍵詞：網(wǎng)絡(luò)需求分析；網(wǎng)絡(luò)現(xiàn)狀分析；邏輯網(wǎng)絡(luò)設(shè)計(jì)；物理網(wǎng)絡(luò)設(shè)計(jì)；網(wǎng)絡(luò)安全目錄TOC\o"1-4"\h\z\u項(xiàng)目概述 -1-1.項(xiàng)目名稱 -1-2.項(xiàng)目背景 -1-2.1項(xiàng)目需求 -2-2.11建筑樓群及信息點(diǎn)分布圖： -2-2.12需求分析 -3-2.2企業(yè)網(wǎng)應(yīng)用分析：主要應(yīng)用需求 -4-2.21.Internet應(yīng)用類型 -4-2.22.企業(yè)數(shù)據(jù)庫(kù)及企業(yè)數(shù)據(jù)資源系統(tǒng) -4-2.23.專有應(yīng)用系統(tǒng) -5-2.3.計(jì)算機(jī)平臺(tái)需求 -5-2.4、網(wǎng)絡(luò)需求 -6-3.網(wǎng)絡(luò)方案設(shè)計(jì) -8-3.1拓?fù)鋱D -8-3.2網(wǎng)絡(luò)設(shè)備選型及配置數(shù)量 -9-3.3劃分依據(jù) -16-3.31劃分 -17-3.32為VLAN分配ID -17-3.33達(dá)到的目標(biāo) -18-3.4VPN組網(wǎng)方案 -18-3.41VPN組網(wǎng)方案 -20-3.42方案特點(diǎn)介紹 -20-4.網(wǎng)絡(luò)安全設(shè)計(jì) -21-4.1醫(yī)院網(wǎng)絡(luò)安全解決方案的設(shè)計(jì) -21-4.11網(wǎng)絡(luò)方案的模型 -21-4.12防火墻隔離的設(shè)計(jì) -23-4.13醫(yī)療業(yè)務(wù)數(shù)據(jù)的捕獲 -24-4.2醫(yī)院網(wǎng)絡(luò)安全解決方案的實(shí)現(xiàn) -24-4.21防火墻系統(tǒng)的布置 -24-4.22醫(yī)療業(yè)務(wù)數(shù)據(jù)捕獲的實(shí)現(xiàn) -24-4.3EAD解決方案 -25-4.31技術(shù)背景 -25-4.32EAD方案介紹 -26-4.33EAD端點(diǎn)準(zhǔn)入防御方案介紹 -26-4.34EAD端點(diǎn)準(zhǔn)入防御方案特點(diǎn) -28-4.35用戶權(quán)限管理 -29-4.36用戶行為監(jiān)控 -29-4.4桌面資產(chǎn)管理方案介紹 -30-4.5桌面資產(chǎn)管理功能特點(diǎn) -32-4.51終端資產(chǎn)管理 -32-4.52軟件分發(fā) -32-5規(guī)劃總結(jié) -33-6.參考文獻(xiàn) 35 項(xiàng)目概述1.項(xiàng)目名稱民生醫(yī)院內(nèi)部網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)書2.項(xiàng)目背景民生醫(yī)院為一級(jí)綜合性醫(yī)院，臨床設(shè)有內(nèi)、外、婦、眼、耳鼻喉、口腔各科，痤瘡?？?。民生醫(yī)院是保險(xiǎn)公司指定報(bào)銷的醫(yī)院之一，住院時(shí)您在得到優(yōu)質(zhì)服務(wù)、享受低廉價(jià)格的同時(shí)還能報(bào)銷相應(yīng)的比例“信譽(yù)第一，責(zé)任重大”等理念，表達(dá)的就是醫(yī)院職工以病人為中心，對(duì)工作極端負(fù)責(zé)，對(duì)技術(shù)精益求精，對(duì)病人優(yōu)質(zhì)服務(wù)的醫(yī)院精神。此次規(guī)劃必須具備高度信息安全性：對(duì)于醫(yī)療衛(wèi)生信息來(lái)說(shuō)，有很多內(nèi)部的機(jī)密資料與患者的個(gè)人隱私資料，為了保護(hù)這些內(nèi)部信息的機(jī)密性，避免數(shù)據(jù)被竊取或偵聽，造成不可估計(jì)的損失，因此領(lǐng)導(dǎo)對(duì)于信息傳輸?shù)陌踩允种匾?。有較好的兼容性：設(shè)備必須要有較強(qiáng)的兼容性，不僅要能融合一些應(yīng)用軟件，更要能其他設(shè)備相通。需要具備一定的可擴(kuò)展性：現(xiàn)在選擇的設(shè)備必須具備一定的可擴(kuò)展性，以滿足未來(lái)兩、三年甚至更長(zhǎng)時(shí)間的擴(kuò)展需求。醫(yī)院樓的網(wǎng)絡(luò)對(duì)整個(gè)網(wǎng)絡(luò)性能要求不是太高。經(jīng)過(guò)規(guī)劃，整個(gè)醫(yī)院樓就可以更好的應(yīng)用網(wǎng)絡(luò)，以免發(fā)生網(wǎng)絡(luò)沖突，而且還可以將整個(gè)醫(yī)院樓劃分到一個(gè)局域網(wǎng)，這樣整個(gè)醫(yī)院的工作人員就可以共享一些東西！而且還能夠解決IP地址不夠用的問(wèn)題！電子信息技術(shù)的開發(fā)與應(yīng)用，是當(dāng)今世界上高科技領(lǐng)域最活躍的支柱產(chǎn)業(yè)之一。隨著信息科學(xué)和計(jì)算機(jī)應(yīng)用的發(fā)展，醫(yī)學(xué)和生命科學(xué)研究對(duì)電子計(jì)算機(jī)的依賴程度會(huì)日益加深，這將對(duì)90年代生命科學(xué)的研究和21世紀(jì)醫(yī)療衛(wèi)生保健事業(yè)的變革、發(fā)展起到重要作用。這套規(guī)劃具有信息共享、傳遞迅速、使用方便、高效率等特點(diǎn)的處理系統(tǒng)在小范圍內(nèi)嘗試為小私營(yíng)企業(yè)主提供一體化網(wǎng)站解決方案（空間、域名、網(wǎng)站、數(shù)據(jù)庫(kù)及更新等）系統(tǒng)應(yīng)有高可靠性、安全性、可維護(hù)性和可擴(kuò)充性，要具有良好的用戶界面。2.1項(xiàng)目需求2.11建筑樓群及信息點(diǎn)分布圖：綜合醫(yī)療大樓一幢該樓在醫(yī)院的左下，一層有31個(gè)房間，二層47個(gè)房，三層39個(gè)房間，四層33個(gè)房間，每間房間配有一部電腦。為使信息和資源共享，院方要求每個(gè)房間的辦公設(shè)備都需要網(wǎng)絡(luò)連通，同時(shí)大樓內(nèi)的網(wǎng)絡(luò)與醫(yī)院的網(wǎng)絡(luò)連通。行政辦公樓一幢行政辦公樓在綜合大樓北面，樓高6層，每層有辦公室18間。每個(gè)辦公室均配置有電腦1臺(tái)，同時(shí)醫(yī)院辦公室電腦通過(guò)512K的ADSL連入Internet。綜合住院樓一幢綜合住院樓在辦公樓右邊，樓高10層，每層有一個(gè)值班室，每個(gè)值班室配置一電腦，并與醫(yī)院的網(wǎng)絡(luò)連接。物資供應(yīng)樓一幢該樓位于綜合住院樓右面，樓高3層，每層有一個(gè)辦公室，配置兩臺(tái)電腦，與醫(yī)院網(wǎng)絡(luò)連接。體檢康復(fù)樓一幢體檢康復(fù)樓在綜合大樓右面，樓高4層，每層有20個(gè)房間，每個(gè)房間安裝一臺(tái)電腦。民生醫(yī)院樓群分布如圖2-1所示：圖2-12.12需求分析管理需求經(jīng)過(guò)對(duì)醫(yī)院負(fù)責(zé)人和相關(guān)網(wǎng)絡(luò)管理人員的調(diào)查結(jié)果，我進(jìn)行了認(rèn)真的分析，列舉出醫(yī)院的管理者提出了以下需求。1）網(wǎng)絡(luò)本身穩(wěn)定性2）網(wǎng)站的有效性3）網(wǎng)絡(luò)的安全性4）具有一定的可擴(kuò)展性5）在滿足基本功能的同時(shí)，盡量節(jié)約資金6）辦公用戶要具有強(qiáng)大的信息傳遞能力，以保證醫(yī)院信息暢通2.2企業(yè)網(wǎng)應(yīng)用分析：主要應(yīng)用需求2.21.Internet應(yīng)用類型1）采用先進(jìn)的網(wǎng)絡(luò)技術(shù)。首先是要具有開放性、標(biāo)準(zhǔn)性和可擴(kuò)展性，易于技術(shù)更新。其次是要寬帶高速率，能夠支持綜合業(yè)務(wù)，包括多媒體業(yè)務(wù)。再次是能夠向智能化網(wǎng)絡(luò)方向發(fā)展。（2）網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)能夠發(fā)揮10年效益。同時(shí)網(wǎng)絡(luò)結(jié)構(gòu)必須易于管理并具有高度的靈活性。（3）具有高的可靠性。網(wǎng)絡(luò)能夠重構(gòu)，能夠自動(dòng)進(jìn)行故障檢測(cè)與隔離。關(guān)鍵設(shè)備達(dá)到99%以上的不間斷工作。（4）保證網(wǎng)絡(luò)安全，通過(guò)網(wǎng)管中心對(duì)網(wǎng)絡(luò)的使用情況進(jìn)行監(jiān)控。2.22.企業(yè)數(shù)據(jù)庫(kù)及企業(yè)數(shù)據(jù)資源系統(tǒng)為了滿足我國(guó)醫(yī)院發(fā)展的需要，為了使祖國(guó)醫(yī)學(xué)早日與世界科技接軌，匯源電子系統(tǒng)工程有限公司集中了大量的人力和物力，借鑒國(guó)內(nèi)外HIS的先進(jìn)經(jīng)驗(yàn)，并結(jié)合國(guó)內(nèi)各家醫(yī)院的傳統(tǒng)管理模式和實(shí)際需求，開發(fā)了該醫(yī)院管理信息系統(tǒng)，2001年《匯源醫(yī)院管理信息系統(tǒng)》被信息產(chǎn)業(yè)局認(rèn)定為軟件產(chǎn)品，該產(chǎn)品是真正適合我國(guó)國(guó)情的醫(yī)院管理信息系統(tǒng)，是唯一能在中國(guó)境內(nèi)與IBM醫(yī)院信息系統(tǒng)解決方案平分天下的有自主知識(shí)產(chǎn)權(quán)的醫(yī)院信息系統(tǒng)。該系統(tǒng)的實(shí)施將在整個(gè)醫(yī)院建設(shè)企業(yè)級(jí)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，并在其基礎(chǔ)上構(gòu)建企業(yè)級(jí)的應(yīng)用系統(tǒng)，實(shí)現(xiàn)整個(gè)醫(yī)院的人、財(cái)、物等各種信息的順暢流通和高度共享，為全院的管理水平現(xiàn)代化和領(lǐng)導(dǎo)決策的準(zhǔn)確化打下堅(jiān)實(shí)的基礎(chǔ)。該系統(tǒng)具有成熟、穩(wěn)定、可靠、適用期長(zhǎng)、擴(kuò)充性好等特點(diǎn)，可以根據(jù)各醫(yī)院各自的特點(diǎn)度身制作。該系統(tǒng)已成功地運(yùn)行在普蘭店市第一人民醫(yī)院、莊河市第一人民醫(yī)院、大連市中山醫(yī)院、蓋州市中心醫(yī)院、蓬萊市人民醫(yī)院、丹東市中醫(yī)院、撫順市中醫(yī)院、鐵嶺中醫(yī)院、鐵嶺縣醫(yī)院、黑龍江省呼蘭縣中醫(yī)院、大連大學(xué)附屬醫(yī)院、瓦房店第一人民醫(yī)院等一系列三甲、三乙、二甲等醫(yī)院，為各醫(yī)院取得了良好的社會(huì)效益與經(jīng)濟(jì)效益，同時(shí)也受到客戶的廣泛好評(píng)。應(yīng)用軟件功能（一）、醫(yī)院各職能部門微機(jī)配備表整個(gè)系統(tǒng)由一臺(tái)服務(wù)器和若干臺(tái)工作站構(gòu)成一個(gè)網(wǎng)絡(luò)，各個(gè)子系統(tǒng)在網(wǎng)絡(luò)上協(xié)調(diào)運(yùn)行，部門間業(yè)務(wù)查詢靈活，又提供嚴(yán)格的權(quán)限控制。每個(gè)子系統(tǒng)提供一個(gè)公用查詢功能，每個(gè)子系統(tǒng)在此功能下只能使用它有權(quán)調(diào)用的功能。網(wǎng)絡(luò)間共享的數(shù)據(jù)是實(shí)時(shí)的，避免造成部門間數(shù)據(jù)不一致的現(xiàn)象。（二）、醫(yī)院管理子系統(tǒng)功能視圖醫(yī)院管理子系統(tǒng)（HIS）通常包含門診、住院兩部分，而管理的主線則為藥品和收款金額。2.23.專有應(yīng)用系統(tǒng)1.門診系統(tǒng)

門診業(yè)務(wù)是醫(yī)院直接面對(duì)患者，提供服務(wù)的窗口，具有非常重要的地位和自己的特點(diǎn)，焦急的病人無(wú)法忍受長(zhǎng)時(shí)間的等待和排隊(duì)，也是發(fā)生醫(yī)患糾紛最多的地方。業(yè)務(wù)重要集中在上午，具有業(yè)務(wù)集中，并發(fā)性、實(shí)時(shí)性強(qiáng)的特點(diǎn)，因此門診業(yè)務(wù)對(duì)網(wǎng)絡(luò)提出了高可靠性，高帶寬、高時(shí)效的特點(diǎn)。2．急診系統(tǒng)

急診業(yè)務(wù)不同于門診的是全天24小時(shí)隨時(shí)發(fā)生，突發(fā)性強(qiáng)，要求系統(tǒng)穩(wěn)定可靠。住院系統(tǒng)：住院業(yè)務(wù)是另一個(gè)主要組成部分，直接關(guān)系到患者的生命安全，也是醫(yī)院經(jīng)濟(jì)收入的主要來(lái)源，各種數(shù)據(jù)不但重要，而且量很大。一般醫(yī)生上午開醫(yī)囑，下午寫電子病歷，夜間業(yè)務(wù)少，但也很重要，多為急救等特殊業(yè)務(wù)。要求網(wǎng)絡(luò)高可靠性，安全存儲(chǔ)。3.PACS系統(tǒng)

PACS主要完成各種醫(yī)學(xué)影像的采集、存儲(chǔ)、傳輸和處理，并在全院范圍內(nèi)共享，因此具有存儲(chǔ)量大、瞬間傳輸數(shù)據(jù)多的特點(diǎn)，要求高帶寬、高吞吐量。4.LIS系統(tǒng)

主要完成對(duì)檢驗(yàn)設(shè)備數(shù)據(jù)的采集、存儲(chǔ)、傳輸和處理，實(shí)時(shí)性要求較高。2.3.計(jì)算機(jī)平臺(tái)需求醫(yī)院已經(jīng)為辦公用戶、機(jī)房、，配置為2.6GHZ的Intel賽揚(yáng)G1610CPU、2G的內(nèi)存、160G的硬盤和3Com10/100Mbps自適應(yīng)以太網(wǎng)卡。同時(shí)也準(zhǔn)備了2臺(tái)服務(wù)器、配置為：2.4GHZ的XeonE5530CPU、16G的內(nèi)存、146GB*8的硬盤和雙1000Mbps以太網(wǎng)卡，同醫(yī)院校已經(jīng)與相關(guān)部門簽訂了一定協(xié)議數(shù)量的windowsXP、windowsserver2003、ISASEVER2004軟件的使用版權(quán)協(xié)議。民生醫(yī)院主要計(jì)算機(jī)配置如表1-2所示。表2-2計(jì)算機(jī)配置服務(wù)器配置客戶機(jī)配置2.4GHZCPU2.6GHZ16G內(nèi)存2G146GB*8硬盤容量160G雙1000Mbps網(wǎng)卡10/100Mbps2.4、網(wǎng)絡(luò)需求經(jīng)過(guò)對(duì)醫(yī)院的了解和深入調(diào)查，得知總的信息接入點(diǎn)有近400個(gè)，對(duì)網(wǎng)絡(luò)的流量主要集中在內(nèi)部，大約有20%的流量流向Internet。因此，采用1000M骨干網(wǎng)，100M到桌面，通過(guò)使用電信所提供10M的光纖接入Internet將很好地滿足醫(yī)院的需要。網(wǎng)絡(luò)現(xiàn)狀分析及意義在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)之前，對(duì)客戶的網(wǎng)絡(luò)現(xiàn)狀進(jìn)行分析，了解客戶原網(wǎng)絡(luò)的規(guī)模、拓?fù)浣Y(jié)構(gòu)、設(shè)備選型、用戶應(yīng)用等，以便更一步深入了解現(xiàn)有網(wǎng)絡(luò)能否滿足用戶的需要，為在新設(shè)計(jì)網(wǎng)絡(luò)中借鑒和修正某些問(wèn)題提供強(qiáng)有力的依據(jù)，在對(duì)網(wǎng)絡(luò)現(xiàn)狀分析時(shí)，應(yīng)從以下幾方面進(jìn)行：1、網(wǎng)絡(luò)規(guī)模對(duì)現(xiàn)有網(wǎng)絡(luò)規(guī)模進(jìn)行分析，以確定可利用資源的多少。2、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)根據(jù)現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，以確定可利用的范圍。3、網(wǎng)絡(luò)邏輯結(jié)構(gòu)主要是指網(wǎng)絡(luò)邏輯部分可利用的資源，如IP、路由及尋址等。4、網(wǎng)絡(luò)的物理結(jié)構(gòu)主要確定可利用的布線系統(tǒng)資源的多少。5、設(shè)備選型及工作狀況通過(guò)對(duì)設(shè)備的分析和工作狀態(tài)的分析，確定其用處。6、用戶應(yīng)用，現(xiàn)網(wǎng)絡(luò)滿足用戶應(yīng)用的程度。主要是指用戶的應(yīng)用程序可利用的現(xiàn)狀。7、網(wǎng)絡(luò)通信的基礎(chǔ)設(shè)施現(xiàn)狀通過(guò)分析，可以確定原先的通信基礎(chǔ)設(shè)施是否繼續(xù)滿足用戶以后的應(yīng)用，若能滿足可以利用，否則將進(jìn)行重新設(shè)計(jì)。8、接入Internet的現(xiàn)狀只有認(rèn)真從以上幾方面對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn)行全面分析，以便決策可利用的現(xiàn)有網(wǎng)絡(luò)資源，以便最大限度地節(jié)省資金，保護(hù)用戶前期的投資。行政辦公樓網(wǎng)絡(luò)現(xiàn)狀民生醫(yī)院的辦公環(huán)境雖然所有好轉(zhuǎn)，但由于資金和人才的缺乏，信息化辦公環(huán)境沒(méi)有真正建立，同時(shí)由于醫(yī)院與外界的交流范圍有限，很多網(wǎng)絡(luò)辦公應(yīng)用均未建立，目前醫(yī)院用的最為廣泛的應(yīng)用就是Email應(yīng)用和HTTP應(yīng)用，所以辦公樓除了個(gè)別公室的電腦通過(guò)ADSL接入到Internet進(jìn)行有限的網(wǎng)絡(luò)交流外，其余辦公室電腦均未連網(wǎng)。醫(yī)療綜合大樓：醫(yī)療綜合大樓是醫(yī)生在里面辦公的地方，主要進(jìn)行內(nèi)部信息交換。由于每層樓都不超過(guò)100個(gè)信息點(diǎn)，所以每層樓使用一個(gè)工作組交換機(jī)，每層樓中的信息點(diǎn)直接通過(guò)交換機(jī)，接入新建立的醫(yī)院網(wǎng)絡(luò)即可。綜合住院樓：綜合住院樓由于是病人住院的地方，沒(méi)有大量的文件傳輸，只是登記病人住院的狀況，所以并沒(méi)有連網(wǎng)。物資供應(yīng)樓：物資供應(yīng)樓是醫(yī)院儲(chǔ)存、供應(yīng)醫(yī)藥的地方，所以一般采用HTTP、Email等方式體檢康復(fù)樓：體檢康復(fù)樓由于每層只有20個(gè)房間，所以每層樓的信息點(diǎn)只需要2個(gè)核心交換機(jī)接入醫(yī)院網(wǎng)絡(luò)。通過(guò)以上對(duì)民生醫(yī)院網(wǎng)絡(luò)現(xiàn)狀分析，除了實(shí)醫(yī)療綜合大樓的網(wǎng)絡(luò)可以利用外，邏輯網(wǎng)絡(luò)、物理網(wǎng)絡(luò)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)應(yīng)用環(huán)境、網(wǎng)絡(luò)通信的基礎(chǔ)設(shè)施、Internet接入設(shè)施等可利用的網(wǎng)絡(luò)資源基本沒(méi)有，所以，必須對(duì)醫(yī)院的的物理網(wǎng)絡(luò)、邏輯網(wǎng)絡(luò)、網(wǎng)絡(luò)軟件硬件、拓?fù)浣Y(jié)構(gòu)、通信基礎(chǔ)設(shè)施等重新進(jìn)行規(guī)劃和設(shè)計(jì)。邏輯網(wǎng)絡(luò)設(shè)計(jì)通過(guò)前兩章的需求分析和網(wǎng)絡(luò)現(xiàn)狀分析，從本章開始，我將進(jìn)行邏輯網(wǎng)絡(luò)分析，本章將從網(wǎng)絡(luò)設(shè)計(jì)思想、原則、物理層設(shè)計(jì)、網(wǎng)絡(luò)設(shè)備、Internet接入設(shè)計(jì)、TCP/IP尋址設(shè)計(jì)、應(yīng)用服務(wù)平臺(tái)設(shè)、網(wǎng)絡(luò)安全設(shè)計(jì)等方面進(jìn)行網(wǎng)絡(luò)邏輯設(shè)計(jì)，為下一章的網(wǎng)絡(luò)物理設(shè)計(jì)打下堅(jiān)實(shí)基礎(chǔ)。民生醫(yī)院網(wǎng)絡(luò)設(shè)計(jì)思想隨著社會(huì)的發(fā)展，企業(yè)信息化建設(shè)的推進(jìn)，全國(guó)各大中型企業(yè)基本上都有了自己的網(wǎng)絡(luò)，作為醫(yī)院的決策者們來(lái)說(shuō)，建立高速的網(wǎng)絡(luò)，使信息流通更快速，將醫(yī)院建成信息化的高效的醫(yī)院，使醫(yī)院立于不敗之林。由于醫(yī)院設(shè)有醫(yī)生辦公室、后勤處、財(cái)務(wù)科、人事科等部門，為了使這些部門能夠保持信息互通，醫(yī)院準(zhǔn)備建立醫(yī)院WEB，以通過(guò)WEB使各部門進(jìn)行信息交流。所以醫(yī)院提出“應(yīng)用是核心，網(wǎng)絡(luò)是基礎(chǔ)，網(wǎng)絡(luò)資源是根本，而利用網(wǎng)絡(luò)的人是關(guān)鍵”的網(wǎng)絡(luò)設(shè)計(jì)思想。民生醫(yī)院網(wǎng)絡(luò)設(shè)計(jì)原則由于民生醫(yī)院的網(wǎng)絡(luò)業(yè)務(wù)量并不大，主要應(yīng)用是醫(yī)院內(nèi)部的信息傳遞，除此之外，HTTP、FTP、Email便是醫(yī)院與Internet連接的最大流量了。對(duì)于網(wǎng)絡(luò)系統(tǒng)的安全性、可靠性、擴(kuò)展性和可維護(hù)性等，醫(yī)院也只是要求中等水平，在性能和價(jià)格方面，醫(yī)院在考慮到基本功能時(shí)主要偏向價(jià)格。一個(gè)系統(tǒng)的建設(shè)在實(shí)用的前提下，應(yīng)當(dāng)在投資保護(hù)及長(zhǎng)遠(yuǎn)性方面做適當(dāng)考慮，有效的利用現(xiàn)有的資源，并且從用戶的利益出發(fā)，一個(gè)好的系統(tǒng)應(yīng)當(dāng)給用戶一定的自由度，而不是束縛住他們的手腳，從技術(shù)上講應(yīng)該采用標(biāo)準(zhǔn)、開放、可擴(kuò)充的、能與其它廠商產(chǎn)品配套使用的設(shè)計(jì)。根據(jù)用戶的總體需求，結(jié)合對(duì)應(yīng)用系統(tǒng)的考慮，我們提出網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)的原則是：可靠的技術(shù)選型、標(biāo)準(zhǔn)的體系結(jié)構(gòu)、1000M骨干網(wǎng)、安全性較高、運(yùn)行性能可靠以及遵循面向應(yīng)用，注重實(shí)效，急用先上，逐步完善的原則。3.網(wǎng)絡(luò)方案設(shè)計(jì)3.1拓?fù)鋱D民生醫(yī)院網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)圖如圖3-1所示。圖3-1民生醫(yī)院網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)圖通過(guò)路由器將整個(gè)醫(yī)院接入Internet，其接入方式為10M的專用光纖方式，同時(shí)為了隔離各用戶群，將整個(gè)網(wǎng)絡(luò)劃分為5個(gè)VLAN，辦公用戶、科研實(shí)驗(yàn)用戶、多媒體用戶、家庭用戶、服務(wù)器區(qū)分別處于這五個(gè)VLAN中。3.2網(wǎng)絡(luò)設(shè)備選型及配置數(shù)量網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)時(shí)，使用產(chǎn)品制造商提供的自立合理選擇LAN和WAN的硬件設(shè)備也是關(guān)鍵性的一步。民生醫(yī)院網(wǎng)絡(luò)規(guī)劃采用的是星型拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)總體分為三個(gè)層次，即核心層、匯聚層、接入層。核心層核心層包括由核心交換機(jī)、網(wǎng)絡(luò)服務(wù)器等部分組成，主要功能是提供地理上遠(yuǎn)程站點(diǎn)之間的廣域網(wǎng)連接。核心層作為邳州人民醫(yī)院的基本信息平臺(tái)，通過(guò)CISCO2620XM路由器接入Interent，核心交換機(jī)選擇為CiscoWS-C4510R，直接連接路由器，提供網(wǎng)絡(luò)信息的核心交換，網(wǎng)絡(luò)服務(wù)器連接在核心交換機(jī)上，以提供高速的網(wǎng)絡(luò)信息服務(wù)。1、CISCO2620XM路由器CISCO2620XM5路由器是有思科公司提供的一種主要的集成多業(yè)務(wù)路由器，為客戶提供高性能的IP服務(wù)、平臺(tái)高擴(kuò)展性和可靠性。CISCO2620XM采用了并行快速轉(zhuǎn)發(fā)技術(shù)，它采用全硬件冗余、在線接入和拔除及無(wú)縫路由等先進(jìn)技術(shù)，除此之外還具有以下特征：1)高密度廣域網(wǎng)和撥號(hào)連接2)中密度到高密度局域網(wǎng)連接3)數(shù)據(jù)上的中密度語(yǔ)音4)具有閃存能力2.服務(wù)器冗余設(shè)計(jì)企業(yè)網(wǎng)中服務(wù)器、大型機(jī)，如網(wǎng)絡(luò)存儲(chǔ)服務(wù)器，SQLServer服務(wù)器，其存儲(chǔ)的數(shù)據(jù)對(duì)于企業(yè)來(lái)說(shuō)致關(guān)重要，一些核心數(shù)據(jù)被視為企業(yè)的生命。一方面它對(duì)企業(yè)的企業(yè)的重要性毋庸質(zhì)疑，另一方面，由于這些數(shù)據(jù)的性質(zhì)決定了其較大的被訪問(wèn)量，這個(gè)對(duì)服務(wù)器提出了穩(wěn)定和快速的要求。如果宕機(jī),后果是技術(shù)是保障計(jì)算機(jī)系統(tǒng)的可靠性是重中之重。為此，我們采用的是雙機(jī)熱備技術(shù)，此技術(shù)能夠有效的滿足核心服務(wù)器高效，穩(wěn)定的高要求。而且相對(duì)于其它成本技術(shù)來(lái)說(shuō)，這是比較有經(jīng)濟(jì)價(jià)成效的技術(shù)。服務(wù)器雙機(jī)熱備技術(shù)具體技術(shù)實(shí)現(xiàn)：每個(gè)核心服務(wù)器均具有兩個(gè)以太網(wǎng)接口（可以通過(guò)安裝雙網(wǎng)卡實(shí)現(xiàn)），在此基礎(chǔ)上，以上圖為例，DB服務(wù)器A與DB服務(wù)器B先分別利用自己的一個(gè)以太網(wǎng)接口實(shí)現(xiàn)兩個(gè)服務(wù)器之間的直連，每個(gè)服務(wù)器另外的一個(gè)接口則與服務(wù)器區(qū)的網(wǎng)絡(luò)實(shí)現(xiàn)互連，以達(dá)到雙機(jī)熱備的目的。因此增加服務(wù)器的穩(wěn)定性與高效性。3、CiscoWS-C4510R三層核心交換機(jī)思科新推出的CiscoWS-C4510R系列交換機(jī)是一個(gè)創(chuàng)新的產(chǎn)品系列，它結(jié)合業(yè)界領(lǐng)先的易用性和最高的冗余性，里程碑地提升了堆疊式交換機(jī)在局域網(wǎng)中的工作效率。支持在內(nèi)部建立虛擬工作組，提供流量管理和第二層交換功能，同時(shí)具有先進(jìn)的網(wǎng)絡(luò)管理功能。這個(gè)新的產(chǎn)品系列采用了最新的思科StackWise技術(shù)，不但實(shí)現(xiàn)高達(dá)32Gbps的堆疊互聯(lián)，還從物理上到邏輯上使若干獨(dú)立交換機(jī)在堆疊時(shí)集成在一起，便于用戶建立一個(gè)統(tǒng)一、高度靈活的交換系統(tǒng)--就好像是一整臺(tái)交換機(jī)一樣。這代表了堆疊式交換機(jī)新的工業(yè)技術(shù)水平和標(biāo)準(zhǔn)?；谝陨显颍也捎昧薈iscoWS-C4510R作為民生醫(yī)院網(wǎng)絡(luò)的三層核心交換機(jī)。匯聚層各子網(wǎng)絡(luò)的流量的匯聚采用思科公司的CiscoCatalyst2950交換，上行速度為100Mbps接入中心交換機(jī)CiscoCatalyst3750，CiscoCatalyst2950是24口10M/100Mbps自適應(yīng)以太端口且?guī)?個(gè)千兆端口的交換機(jī)，體系結(jié)構(gòu)采用了一個(gè)10Gbps和轉(zhuǎn)發(fā)速率每秒750萬(wàn)個(gè)信息包的交換結(jié)構(gòu)。接入層接入層通常是一個(gè)LAN或一組LAN，所以我們所以討論的的網(wǎng)絡(luò)設(shè)計(jì)中，接入層通常由以太網(wǎng)組成。接入層為用戶提供接入訪問(wèn)服務(wù)。接入層采用思科公司的CiscoCatalyst2600交換機(jī)，該類型交換機(jī)具有24端口，快速10M/100M自適應(yīng)的能力為網(wǎng)絡(luò)提供很好的兼容性以及交換能力。民生醫(yī)院網(wǎng)絡(luò)設(shè)備選型、數(shù)量以及用途如表3-1所示。表3-1設(shè)備選型、數(shù)量及用途類型型號(hào)數(shù)量用途核心層交換CiscoWS-C4510R1用于高速的數(shù)據(jù)交換匯聚層交換機(jī)CiscoCatalyst29505分配于一幢辦公樓、一幢醫(yī)療樓、一幢體檢康復(fù)大樓、其他的一起算一個(gè)接入層交換機(jī)CiscoCatalyst260026辦公樓每層一個(gè)共4個(gè)；醫(yī)療大樓每層2個(gè)共8個(gè)；康復(fù)大樓每層1個(gè)共4個(gè)；其他共2個(gè)網(wǎng)絡(luò)管理軟件網(wǎng)絡(luò)設(shè)計(jì)搭建完成后，大量的工作均可以通過(guò)網(wǎng)絡(luò)管理軟件對(duì)網(wǎng)絡(luò)進(jìn)行管理，因此選擇一個(gè)好的網(wǎng)絡(luò)管理軟件，在后期的網(wǎng)絡(luò)維護(hù)中將會(huì)大大降低日常維護(hù)和工作量，解脫管理員繁瑣的維護(hù)工作。在本網(wǎng)絡(luò)設(shè)計(jì)中，由于全采用思科公司的網(wǎng)絡(luò)產(chǎn)品，因此網(wǎng)絡(luò)管理軟件繼續(xù)采用CiscoWork2000，這種選擇基于以下考慮：它們是一家公司的產(chǎn)品，兼容性強(qiáng)，集成度高。CiscoWork2000功能強(qiáng)大，網(wǎng)絡(luò)設(shè)備管理相當(dāng)完善。局域網(wǎng)正逐步成為商業(yè)基礎(chǔ)設(shè)施的重要組成部分和關(guān)鍵系統(tǒng)。Cisco局域網(wǎng)管理解決方案創(chuàng)建于CiscoWork2000常用服務(wù)器的基礎(chǔ)之上。這種設(shè)計(jì)將數(shù)據(jù)收集、監(jiān)控和分析工具連接起來(lái)，方便了在各個(gè)應(yīng)用間運(yùn)行工作流。CiscoWork2000管理服務(wù)器的作用。它提供了基本的管理構(gòu)件、服務(wù)和安全性。CiscoWork2000網(wǎng)絡(luò)管理軟件可以直接看到用戶網(wǎng)絡(luò)中的Cisco產(chǎn)品狀態(tài)，就如同看到真實(shí)設(shè)備一樣。根據(jù)以上的原因，本網(wǎng)絡(luò)設(shè)計(jì)于是就采用該產(chǎn)品。VLAN劃分隨著網(wǎng)絡(luò)硬件性能的不斷提高，成本不斷降低，目前新建的局域網(wǎng)基本上都采用了性能先進(jìn)的快速以太網(wǎng)技術(shù)，其核心交換機(jī)采用三層交換機(jī)，能很好地支持VLAN（虛禮局域網(wǎng)），所謂VLAN是局域網(wǎng)上的一組設(shè)備，經(jīng)配置（用管理軟件）后它們可以加同連接在同一線路上那樣通信，而它們實(shí)際上位于不同的局域網(wǎng)段，它和用戶的物理位置沒(méi)有關(guān)系。實(shí)驗(yàn)VLAN技術(shù)的局域網(wǎng)的管理方便、可靠性高、安全性強(qiáng)，同時(shí)由于采用虛擬技術(shù)，可以防止廣播風(fēng)暴，提高網(wǎng)絡(luò)性能。使用VLAN具有以下優(yōu)點(diǎn)：增加了網(wǎng)絡(luò)連接的靈活性及降低管理成本有效控制網(wǎng)絡(luò)中的廣播增強(qiáng)網(wǎng)絡(luò)的安全性控制通信活動(dòng)對(duì)于交換式快速以太網(wǎng)，如果要對(duì)某些用戶重新進(jìn)行網(wǎng)絡(luò)分段，需要網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)進(jìn)行調(diào)整，甚至要追加網(wǎng)絡(luò)設(shè)備，增大網(wǎng)絡(luò)管理的工作量。而對(duì)于采用VLAN技術(shù)的網(wǎng)絡(luò)來(lái)說(shuō)，一個(gè)VLAN可以根據(jù)部門職能、對(duì)象組或具體應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個(gè)邏輯網(wǎng)段，在不改變網(wǎng)絡(luò)物理連接的情況下，可以任意地將工作站在工作組或子網(wǎng)間移動(dòng)。利用VLAN技術(shù)大大減少了網(wǎng)絡(luò)管理的負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護(hù)費(fèi)用。根據(jù)我們前面的分析，根據(jù)民生醫(yī)院的具體情況，可將計(jì)算機(jī)網(wǎng)絡(luò)劃分為5個(gè)VLAN，具體劃分如下：1、服務(wù)器區(qū)：1）包括Web、FTP、Email等服務(wù)器。2）計(jì)算機(jī)臺(tái)數(shù)：53）VLAN名稱：VLAN102、行政辦公區(qū)1）包括6層樓中各辦公室的電腦2）電腦臺(tái)數(shù)：1083）VLAN名稱：VLAN203、綜合醫(yī)療大樓1）包括4層共150診室中的電腦。2）電腦臺(tái)數(shù)：1503）VLAN名稱：VLAN304、綜合住院樓1）包括10層共10臺(tái)2）電腦臺(tái)數(shù)：10臺(tái)3）VLAN名稱：VLAN405、物資供應(yīng)大樓1）包括3層的3臺(tái)2）信息點(diǎn)數(shù)量：33）VLAN名稱：VLAN506、康復(fù)大樓1）4層共80臺(tái)2）信息點(diǎn)數(shù)量：803）VLAN名稱：VLAN60民生醫(yī)院VLAN劃分如表3-2所示。表3-2VLAN劃分區(qū)域信息點(diǎn)VLAN名稱服務(wù)器區(qū)5VLAN10行政辦公區(qū)108VLAN20醫(yī)療綜合大樓150VLAN30綜合住院大樓10VLAN40物資供應(yīng)大樓3VLAN50體檢康復(fù)大樓80VLAN60同時(shí)，我們將在CiscoCatalyst3825交換機(jī)上，進(jìn)行基于端口的VLAN劃分。IP尋址設(shè)計(jì)正如在制定交通規(guī)則并決定在哪里設(shè)置交通信號(hào)燈和策略之前，需要定義有哪些街道和為建筑在街道兩旁的房屋指定命名和編號(hào)規(guī)則。在計(jì)算機(jī)網(wǎng)絡(luò)規(guī)劃和設(shè)計(jì)中，也需要建立尋址。IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)中的重要環(huán)節(jié)，對(duì)于比較大型的網(wǎng)絡(luò)而言尤其重要。IP地址規(guī)劃的好壞不僅影響網(wǎng)絡(luò)路由協(xié)議算法的效率、網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)擴(kuò)展，還直接影響應(yīng)用的進(jìn)一步發(fā)展。關(guān)于IP地址規(guī)劃應(yīng)遵循以下原則：1、IP地址的唯一性即IP地址是區(qū)分網(wǎng)絡(luò)主機(jī)的唯一標(biāo)識(shí)，同一個(gè)網(wǎng)絡(luò)中不能有相同的IP地址，否則就不會(huì)有可靠的路由選擇方式把包發(fā)送到指定的目標(biāo)地址。2、IP地址規(guī)劃的簡(jiǎn)單性IP地址的規(guī)劃應(yīng)本著簡(jiǎn)單的原則，避免在網(wǎng)絡(luò)主干采用復(fù)雜的網(wǎng)絡(luò)掩碼形式。3、IP地址規(guī)劃的層次性IP地址在規(guī)劃時(shí)，應(yīng)考慮到網(wǎng)絡(luò)中的子網(wǎng)，以及子網(wǎng)中計(jì)算機(jī)的數(shù)量，這樣才能確定IP地址的類型和子網(wǎng)掩碼。4、IP地址的連續(xù)性。5、IP地址規(guī)劃的可擴(kuò)展性6、IP地址規(guī)劃的靈活性7、網(wǎng)絡(luò)的安全性8、IP地址根據(jù)需要采用靜態(tài)或動(dòng)態(tài)分配根據(jù)以上原則，結(jié)合邳州人民醫(yī)院的實(shí)際情況，IP地址規(guī)劃如下：1、服務(wù)器區(qū)IP地址規(guī)劃作用：用于給各個(gè)服務(wù)器分配IP地址。范圍：-54掩碼：2、辦公區(qū)作用：用于給各個(gè)辦公室電腦分配IP地址。范圍：-00掩碼：3、綜合門診區(qū)作用：用于給各個(gè)多媒體教室電腦分配IP地址。范圍：-00掩碼：4、科研實(shí)驗(yàn)區(qū)作用：用于給各個(gè)實(shí)驗(yàn)室電腦分配IP地址。范圍：-54掩碼：5、綜合住院區(qū)作用：用于給教師電腦分配IP地址。范圍：-54掩碼：民生醫(yī)院網(wǎng)絡(luò)IP地址規(guī)劃如表3-3所示。表3-3IP地址規(guī)劃列表區(qū)域IP范圍子網(wǎng)掩碼網(wǎng)關(guān)服務(wù)器區(qū)：Web服務(wù)器FTP服務(wù)器Email服務(wù)器路由器54(內(nèi))54（外）行政辦公區(qū)-54醫(yī)療綜合區(qū)-54體檢康復(fù)大樓-54綜合住院區(qū)-54物資供應(yīng)大樓-543.3劃分依據(jù)以終端用戶來(lái)分析。假設(shè)按職能或業(yè)務(wù)分成三個(gè)部門D1、D2、D3，各包含若干計(jì)算機(jī)（或服務(wù)器），一個(gè)共用服務(wù)器SERVER。信息流主要集中在SERVER上，不在網(wǎng)絡(luò)層上將它和其他部門分開，通過(guò)授權(quán)就能訪問(wèn)；其中的某個(gè)部門的某些計(jì)算機(jī)（例如管理者）可以不經(jīng)過(guò)路由訪問(wèn)跨部門的計(jì)算機(jī)。邏輯上屬于一個(gè)部門的計(jì)算機(jī)（服務(wù)器在一個(gè)VLAN內(nèi)；邏輯上屬于多個(gè)部門的計(jì)算機(jī)（服務(wù)器）在多個(gè)VLAN上（例如共用服務(wù)器SERVER或管理臺(tái)席）。設(shè)置VLAN首先明確需求，根據(jù)具體運(yùn)用的需求將聯(lián)網(wǎng)的用戶劃分為幾個(gè)組，明確組與組之間的互通關(guān)系。如上圖的示例，假設(shè)互通關(guān)系需求下表所示。互通關(guān)系需求表計(jì)算機(jī)臺(tái)席部門說(shuō)明AD1可與D1和D3的F互訪問(wèn)BD1同上CD1同上DD2可與D2和D3的F互訪問(wèn)ED2同上FD3可與D1、D2、D3的互訪問(wèn)JD3可與D3和D2互訪問(wèn)HD3可與D3互訪問(wèn)ID3同上SERVER可被所有計(jì)算機(jī)訪問(wèn)3.31劃分直觀說(shuō)來(lái)，劃分VLAN就是將連接到網(wǎng)絡(luò)上的計(jì)算機(jī)劃分為幾個(gè)組，同組的計(jì)算機(jī)之間的互通需求相同，所有連網(wǎng)的計(jì)算機(jī)劃分為下面三個(gè)組，實(shí)現(xiàn)三個(gè)VLAN。如下表所示。VLAN劃分列表組包含的計(jì)算機(jī)D1A、B、CD2D、ED3F、J、H、ISERVERSERVER3.32為VLAN分配ID在交換機(jī)上劃分不同VLAN的標(biāo)志就是各個(gè)VLAN的VLANID（802.1QVID）不同。理論上說(shuō)，每一個(gè)VLAN應(yīng)該分配不同的ID，但在實(shí)際應(yīng)用中，如果我們將多個(gè)VLAN分配同樣的ID，在某些特定的條件下是允許的（如兩個(gè)慮擬局域網(wǎng)的實(shí)現(xiàn)在存在交叉點(diǎn)，即任何一臺(tái)交換機(jī)上都不需要同時(shí)實(shí)現(xiàn)的虛擬網(wǎng)）。可以利用下面的表格來(lái)分析。網(wǎng)絡(luò)需求分析:組VLANID交換機(jī)1交換機(jī)2交換機(jī)3D11YESNONOD22YESNONOD33YESYESYESD44NOYESNOSERVER5YESYESYES注：表中YES：表示在該交換機(jī)上實(shí)現(xiàn)；NO：不在該交換機(jī)上實(shí)現(xiàn)。3.33達(dá)到的目標(biāo)同一職能業(yè)務(wù)部門內(nèi)部可以互訪問(wèn)；跨部門的訪問(wèn)需要經(jīng)過(guò)核心交換機(jī)的授權(quán)；共用信息被所有的計(jì)算機(jī)訪問(wèn)；其中的某些計(jì)算機(jī)（例如管理）有特別權(quán)限。同時(shí)，達(dá)到提高局域內(nèi)部通信性能、靈活控制訪問(wèn)權(quán)限以提高安全性的目標(biāo)3.4VPN組網(wǎng)方案為了更加完善和提高醫(yī)療服務(wù)和管理的效率，為病人提供快捷的各種醫(yī)療咨詢和服務(wù)，將門診部和手術(shù)住院部的兩個(gè)獨(dú)立信息化的網(wǎng)絡(luò)加以合并，讓各種醫(yī)療信息達(dá)到同步共享。對(duì)于VPN網(wǎng)絡(luò)接入設(shè)備的總體應(yīng)用需求如下：實(shí)時(shí)、穩(wěn)定的VPN連機(jī)質(zhì)量：將以前獨(dú)立的兩個(gè)網(wǎng)絡(luò)用VPN設(shè)備連接起來(lái)，門診部和住院部?jī)商幎夹枰S時(shí)準(zhǔn)確地獲取所需數(shù)據(jù)，維持穩(wěn)定不中斷的連機(jī)質(zhì)量，改善獲取各數(shù)據(jù)所花費(fèi)的冗長(zhǎng)時(shí)間。而在實(shí)際操作上也需要符合簡(jiǎn)易方便的設(shè)計(jì)，能夠相對(duì)減輕網(wǎng)管維護(hù)的負(fù)擔(dān)。具備簡(jiǎn)易操作、彈性配置等特性：由于考慮到兩個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)拓?fù)湫再|(zhì)、內(nèi)網(wǎng)用戶數(shù)量可能不相同，相應(yīng)網(wǎng)絡(luò)管理與解決設(shè)備維護(hù)的復(fù)雜程序也不會(huì)低。因此，VPN網(wǎng)絡(luò)接入設(shè)備必須具備一定的簡(jiǎn)易程度與高靈活度等特性。高度信息安全性：對(duì)于醫(yī)療衛(wèi)生信息來(lái)說(shuō)，有很多內(nèi)部機(jī)密與患者的個(gè)人隱私等資料，需要得到保護(hù)。為了確保內(nèi)部信息的機(jī)密性，避免數(shù)據(jù)被竊取或偵聽，造成不可估計(jì)的損失，因此，院領(lǐng)導(dǎo)對(duì)于VPN網(wǎng)絡(luò)接入設(shè)備的信息傳輸?shù)陌踩允种匾暋Ｓ休^好的兼容性：因辦公需要，現(xiàn)在該醫(yī)院內(nèi)部同時(shí)使用ERP、財(cái)務(wù)結(jié)算等多種管理軟件。因此，對(duì)于VPN網(wǎng)絡(luò)接入設(shè)備還必須有較強(qiáng)的兼容性，不僅要能融合一些應(yīng)用軟件，更要能其他VPN設(shè)備相通。3.41VPN組網(wǎng)方案根據(jù)上述的各項(xiàng)需求，醫(yī)院相關(guān)負(fù)責(zé)人在經(jīng)過(guò)多方了解與對(duì)比后，選擇了高度性價(jià)比優(yōu)勢(shì)的多WANVPN防火墻廠商俠諾科技，為其規(guī)劃了整體的VPN組網(wǎng)方案。其具體的組網(wǎng)方案拓樸下：組網(wǎng)方案網(wǎng)絡(luò)設(shè)備選型：由于醫(yī)院內(nèi)部網(wǎng)絡(luò)的規(guī)模較大，考慮其帶機(jī)量與網(wǎng)絡(luò)屬性，因此兩處都采用Qno俠諾企業(yè)級(jí)QVMVPN防火墻，做為服務(wù)器中心端接入設(shè)備，既支持PPTP、IPSecVPN、SmartLinkVPN、QnoKeyIPSec客戶端密鑰等連機(jī)方式，還滿足了外點(diǎn)多種VPN彈性配置需求，實(shí)現(xiàn)中心端與各分點(diǎn)建構(gòu)實(shí)時(shí)、穩(wěn)定、安全的互連VPN網(wǎng)絡(luò)系統(tǒng)。3.42方案特點(diǎn)介紹SmartLinkVPN快速設(shè)定：對(duì)于一般傳統(tǒng)的IPSecVPN設(shè)定，沒(méi)有太多專業(yè)知識(shí)的工作人員，常會(huì)因?yàn)槎噙_(dá)20幾個(gè)繁雜步驟而頭痛。而Qno俠諾QVM系列VPN防火墻設(shè)備所特有的SmartLinkVPN功能，將大部份的設(shè)定參數(shù)的工作交由VPN網(wǎng)關(guān)自動(dòng)完成，用戶只需要輸中心端服務(wù)器IP地址、用戶名、密碼三個(gè)參數(shù)，即可完成超快速VPN連機(jī)設(shè)定，現(xiàn)在就算是遠(yuǎn)在分部的工作人員也可以輕松上手進(jìn)行VPN連機(jī)設(shè)定了。強(qiáng)大防火墻安全功能：對(duì)于來(lái)自外網(wǎng)的諸多病毒、財(cái)務(wù)賬號(hào)意外泄露、計(jì)算機(jī)被非法使用、惡意的內(nèi)網(wǎng)攻擊等安全防患，都不容小覬。目前，最多的攻擊形式仍以ARP攻擊居多，Qno俠諾QVM系列VPN防火墻設(shè)備都具有內(nèi)建的防制ARP功能，憑借自動(dòng)檢視封包的機(jī)制，偵測(cè)過(guò)濾可疑的封包，做為防制ARP攻擊的第一道防線?？纱钆銲P/MAC雙向綁定，在路由器端以內(nèi)網(wǎng)PC端進(jìn)行IP/MAC綁定，即可達(dá)到防堵ARP無(wú)漏洞的效果?？紤]到要綁定全部工作人員PC端的IP/MAC有一定的難度，Qno俠諾近期特別提供了免費(fèi)ARP自動(dòng)綁定軟件，幫助工作人員有針對(duì)性的選擇套用綁定程序，達(dá)到雙向綁定的目的。智能帶寬管理：少數(shù)工作人員會(huì)在上班時(shí)間網(wǎng)上炒股、MSN/QQ聊天、網(wǎng)上下載電影等私事，不但經(jīng)常造成帶寬資源被占用，工作效率也會(huì)受到影響。Qno俠諾獨(dú)有的SmartQoS智能型帶寬管理功能，簡(jiǎn)化用戶配置，自動(dòng)針對(duì)實(shí)際網(wǎng)絡(luò)帶寬使用情況管控帶寬占用，有效的控制用戶越權(quán)占用上/下載帶寬資源，可設(shè)置啟用時(shí)間及流量門檻，自動(dòng)啟動(dòng)智能QoS，達(dá)成最大帶寬使用率，保持網(wǎng)絡(luò)的暢通。穩(wěn)定、快速的VPN連機(jī)質(zhì)量：Qno俠諾QVMVPN防火墻系列，具有指定路由功能，可保障VPN使用帶寬與優(yōu)先權(quán)，進(jìn)一步穩(wěn)定VPN連機(jī)質(zhì)量。此外，俠諾QVMVPN防火墻系列均具備多個(gè)WAN接口，可同時(shí)接入多條ISP線路，可增加帶寬滿足更多外點(diǎn)VPN連機(jī)以及內(nèi)網(wǎng)的計(jì)算機(jī)使用，還可同時(shí)運(yùn)用VPN備援設(shè)定功能，避免當(dāng)ISP不穩(wěn)定或掉線時(shí)，VPN連機(jī)也隨之中斷聯(lián)機(jī)，造成無(wú)形的損失與傷害，有效提高VPN設(shè)備的進(jìn)一步穩(wěn)定。簡(jiǎn)單而方便的配置及管理：Qno俠諾QVMVPN防火墻系列產(chǎn)品均為Web中文配置頁(yè)面，沒(méi)有太多專業(yè)網(wǎng)絡(luò)管理知識(shí)的網(wǎng)絡(luò)人員就可輕易進(jìn)行配置。即使是不懂網(wǎng)絡(luò)的人，經(jīng)過(guò)簡(jiǎn)單培訓(xùn)，也可進(jìn)行操作。大大解決了用戶缺少專業(yè)技術(shù)網(wǎng)管的后顧之憂。產(chǎn)品規(guī)格兼容性強(qiáng)大：Qno俠諾QVMVPN防火墻系列產(chǎn)品，均通過(guò)了VPNC(國(guó)際VPN認(rèn)證機(jī)構(gòu))認(rèn)證。因此，俠諾產(chǎn)品與大廠的VPN設(shè)備不便可以互通，還可以兼容多種應(yīng)用軟件，更不會(huì)存在與其他廠商的設(shè)備無(wú)法進(jìn)行VPN聯(lián)機(jī)的問(wèn)題。3.43VPN方案未來(lái)拓展：多WAN可彈性增加帶寬：Qno俠諾QVMVPN防火墻系列產(chǎn)品均支持帶寬匯聚，多WAN口接入，可供企業(yè)彈性配置運(yùn)用。方便在未來(lái)的網(wǎng)絡(luò)擴(kuò)展中，申請(qǐng)多條線路的應(yīng)用。進(jìn)而實(shí)現(xiàn)多WAN備援、VPN與公眾線路分流等效果。由此可見，多WAN端口給日后網(wǎng)絡(luò)升級(jí)預(yù)留了空間，讓升級(jí)不是問(wèn)題。策略路由解決VPN跨網(wǎng)瓶頸：由于國(guó)內(nèi)長(zhǎng)期存在電信、網(wǎng)通互連不互通的問(wèn)題，許多企業(yè)建立VPN時(shí)會(huì)發(fā)生跨ISP網(wǎng)絡(luò)時(shí)帶寬不足，導(dǎo)致VPN不穩(wěn)定或易于掉線。而Qno俠諾QVMVPN防火墻系列產(chǎn)品的多WAN口設(shè)計(jì)，可搭配策略路由的設(shè)定，讓不同ISP外點(diǎn)可直接連到對(duì)應(yīng)VPN服務(wù)器入口，在未來(lái)即可很好的解決此問(wèn)題。若未來(lái)該用戶需要在云南省乃至全國(guó)范圍內(nèi)開設(shè)分院，VPN跨網(wǎng)瓶頸問(wèn)題將得到輕松解決。4.網(wǎng)絡(luò)安全設(shè)計(jì)4.1醫(yī)院網(wǎng)絡(luò)安全解決方案的設(shè)計(jì)4.11網(wǎng)絡(luò)方案的模型本文研究的醫(yī)院網(wǎng)絡(luò)安全解決方案是采用基于主動(dòng)策略的醫(yī)院網(wǎng)絡(luò)安全系統(tǒng),它的主導(dǎo)思想是圍繞著P2DR模型思想建立一個(gè)完整的信息安全體系框架。P2DR模型最早是由ISS公司提出的動(dòng)態(tài)安全模型的代表性模型,它主要包含4個(gè)部分:安全策略(Policy)、防護(hù)(Protection)、檢測(cè)(Detection)和響應(yīng)(Response)。安全策略是P2DR安全模型的核心。在整體安全策略的控制和指導(dǎo)下,運(yùn)用防護(hù)工具(防火墻、操作系統(tǒng)身份認(rèn)證、加密等)對(duì)網(wǎng)絡(luò)進(jìn)行安全防護(hù);利用檢測(cè)工具(如漏洞掃描、入侵檢測(cè)系統(tǒng)等等)了解和評(píng)估系統(tǒng)的安全狀態(tài),檢測(cè)針對(duì)系統(tǒng)的攻擊行為;通過(guò)適當(dāng)?shù)姆磻?yīng)機(jī)制將系統(tǒng)的安全狀態(tài)提升到最優(yōu)狀態(tài)。這個(gè)過(guò)程是一個(gè)動(dòng)態(tài)的、不斷循環(huán)的過(guò)程,檢測(cè)到的威脅將作為響應(yīng)和加強(qiáng)防護(hù)的依據(jù),防護(hù)加強(qiáng)后,將繼續(xù)進(jìn)行檢測(cè)過(guò)程,依次循環(huán)下去,從而達(dá)到網(wǎng)絡(luò)安全性不斷增強(qiáng)的目的[1]。根據(jù)對(duì)網(wǎng)絡(luò)安全的技術(shù)分析和設(shè)計(jì)目標(biāo),醫(yī)院網(wǎng)絡(luò)安全解決方案要解決7個(gè)實(shí)現(xiàn)的技術(shù)問(wèn)題,分別是:數(shù)據(jù)檢測(cè),入侵行為控制,行為分析,行為記錄,服務(wù)模擬,行為捕獲和數(shù)據(jù)融合。醫(yī)院網(wǎng)絡(luò)安全解決方案以P2DR模型為基礎(chǔ),合理利用主動(dòng)防御技術(shù)和被動(dòng)防御技術(shù)來(lái)構(gòu)建動(dòng)態(tài)安全防御體系,根據(jù)現(xiàn)有安全措施和工具,在安全策略的基礎(chǔ)上,提出基于主動(dòng)策略的醫(yī)院網(wǎng)絡(luò)安全方案模型,如圖1所示。醫(yī)院網(wǎng)絡(luò)安全解決方案模型入侵檢測(cè)監(jiān)視網(wǎng)絡(luò)的異常情況,當(dāng)發(fā)現(xiàn)有可疑行為或者入侵行為時(shí),將監(jiān)測(cè)結(jié)果通知入侵行為控制,并將可疑行為數(shù)據(jù)傳給服務(wù)模擬;服務(wù)模擬在入侵行為控制的監(jiān)控下向可疑行為提供服務(wù),并調(diào)用行為捕獲對(duì)系統(tǒng)所有活動(dòng)作嚴(yán)格和詳細(xì)的記錄;數(shù)據(jù)融合定期地從行為記錄的不同數(shù)據(jù)源提取數(shù)據(jù),按照統(tǒng)一數(shù)據(jù)格式整理、融合、提煉后,一發(fā)給行為分析,對(duì)可疑行為及入侵行為作進(jìn)一步分析,同時(shí)通知入侵行為控制對(duì)入侵行為進(jìn)行控制,并提取未知攻擊特征通過(guò)入侵行為控制對(duì)入侵檢測(cè)知識(shí)庫(kù)進(jìn)行更新,將新的模式添加進(jìn)去。4.12防火墻隔離的設(shè)計(jì)防火墻技術(shù)是醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)中使用最廣泛的一項(xiàng)網(wǎng)絡(luò)安全技術(shù)。它的作用是防止不希望的、未經(jīng)授權(quán)的通信進(jìn)入被保護(hù)的內(nèi)部網(wǎng)絡(luò),通過(guò)邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全策略。在醫(yī)院網(wǎng)絡(luò)中,既有允許被內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)同時(shí)訪問(wèn)的一些應(yīng)用服務(wù)器(如醫(yī)療費(fèi)用查詢系統(tǒng)、專家號(hào)預(yù)約系統(tǒng)、病情在線咨詢系統(tǒng)等),也有只允許醫(yī)院網(wǎng)絡(luò)內(nèi)部之間進(jìn)行通信,不可以外部網(wǎng)絡(luò)訪問(wèn)的內(nèi)部網(wǎng)絡(luò)[2]。因此,對(duì)應(yīng)用服務(wù)器和內(nèi)部網(wǎng)絡(luò)應(yīng)該采用不同的安全策略。本文研究的醫(yī)院網(wǎng)絡(luò)安全解決方案采用的是屏蔽子網(wǎng)結(jié)構(gòu)的防火墻配置。將應(yīng)用服務(wù)器放置在屏蔽子網(wǎng)機(jī)構(gòu)中的DMZ區(qū)域內(nèi),由外部防火墻保護(hù),內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的用戶都可以訪問(wèn)該區(qū)域。內(nèi)部網(wǎng)絡(luò)除了外部防火墻的保護(hù)外。還采用堡壘主機(jī)(代理服務(wù)器)對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行更加深一些層的保護(hù)。通過(guò)核心交換機(jī)的路由功能將想要進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包路由到代理服務(wù)器中,由包過(guò)濾原則。過(guò)濾一些內(nèi)部網(wǎng)絡(luò)不應(yīng)看到的網(wǎng)站信息等。內(nèi)部路由器將所有內(nèi)部用戶到因特網(wǎng)的訪問(wèn)均路由到代理服務(wù)囂,代理服務(wù)器進(jìn)行地址翻譯。為這些用戶提供服務(wù).以此屏蔽內(nèi)部網(wǎng)絡(luò)。這種結(jié)構(gòu)使得應(yīng)用服務(wù)器與內(nèi)部網(wǎng)絡(luò)采用不同級(jí)別的安全策略,既實(shí)現(xiàn)醫(yī)院網(wǎng)絡(luò)的需求,也保護(hù)醫(yī)院網(wǎng)絡(luò)的安全。防火墻系統(tǒng)結(jié)構(gòu)設(shè)計(jì)如圖2所示。雖然防火墻系統(tǒng)能夠?yàn)獒t(yī)院的網(wǎng)絡(luò)提供很多安全方面的保障,但并不能夠解決全部安全問(wèn)題。因此,醫(yī)院的網(wǎng)絡(luò)安全系統(tǒng)還采取了其他的網(wǎng)絡(luò)安全技術(shù)和手段來(lái)確保醫(yī)院網(wǎng)絡(luò)的安全。4.13醫(yī)療業(yè)務(wù)數(shù)據(jù)的捕獲如果本文研究的醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)不能捕獲到任何數(shù)據(jù),那它將是一堆廢物。只有捕獲到數(shù)據(jù),我們才能利用這些數(shù)據(jù)研究攻擊者的技術(shù)、工具和動(dòng)機(jī)。本文設(shè)計(jì)的醫(yī)院安全系統(tǒng)實(shí)現(xiàn)了三層數(shù)據(jù)捕獲,即防火墻日志、嗅探器捕獲的網(wǎng)絡(luò)數(shù)據(jù)包、管理主機(jī)系統(tǒng)日志。其中,嗅探器記錄各種進(jìn)出醫(yī)院內(nèi)管理網(wǎng)的數(shù)據(jù)包內(nèi)容,嗅探器可以用各種工具,如Ethereal等,我們使用了Tcpdump。記錄的數(shù)據(jù)以Tcpdump日志的格式進(jìn)行存儲(chǔ),這些數(shù)據(jù)不僅以后可用通過(guò)Tcpreplay進(jìn)行回放,也可以在無(wú)法分析數(shù)據(jù)時(shí),發(fā)送給別的研究人員進(jìn)行分析。防火墻和嗅探器捕獲的是網(wǎng)絡(luò)數(shù)據(jù),還需要捕獲發(fā)生有管理主機(jī)上的所有系統(tǒng)和用戶活動(dòng)。對(duì)于windows系統(tǒng),可以借助第三方應(yīng)用程序來(lái)記錄系統(tǒng)日志信息。現(xiàn)在大多數(shù)的攻擊者都會(huì)使用加密來(lái)與被黑系統(tǒng)進(jìn)行通信。要捕獲擊鍵行為,需要從管理主機(jī)中獲得,如可以通過(guò)修改系統(tǒng)庫(kù)或者開發(fā)內(nèi)核模塊來(lái)修改內(nèi)核從而記錄下攻擊者的行為。4.2醫(yī)院網(wǎng)絡(luò)安全解決方案的實(shí)現(xiàn)4.21防火墻系統(tǒng)的布置本文研究的醫(yī)院防火墻系統(tǒng)采用的是屏蔽子網(wǎng)結(jié)構(gòu),在該結(jié)構(gòu)中,采用QuidwaySecPath1000F硬件防火墻與外部網(wǎng)絡(luò)直接相連,通過(guò)核心交換機(jī)QuidwayS6506R將屏蔽子網(wǎng)結(jié)構(gòu)中的DMZ區(qū)域和內(nèi)部網(wǎng)絡(luò)連接起來(lái),DMZ區(qū)域中的各種應(yīng)用的服務(wù)器都采用的是IBMxSeries346,其中一臺(tái)作為堡壘主機(jī)使用。這臺(tái)堡壘主機(jī)起到的就是代理服務(wù)器的作用。防火墻根據(jù)管理員設(shè)定的安全規(guī)則保護(hù)內(nèi)部網(wǎng)絡(luò),提供完善的安全設(shè)置,通過(guò)高性能的醫(yī)院網(wǎng)絡(luò)核心進(jìn)行訪問(wèn)控制。4.22醫(yī)療業(yè)務(wù)數(shù)據(jù)捕獲的實(shí)現(xiàn)本文研究的數(shù)據(jù)捕獲主要從三層進(jìn)行數(shù)據(jù)捕獲。我們?cè)诰W(wǎng)橋下運(yùn)行如下命令進(jìn)行捕獲:TCPDUMP-c10–ieth1-s0–w/log為了不讓攻擊者知道我們?cè)诒O(jiān)視他在主機(jī)上的活動(dòng),我們采用Sebek來(lái)實(shí)現(xiàn)我們的目標(biāo)。Sebek是個(gè)隱藏的記錄攻擊者行為的內(nèi)核補(bǔ)丁。一旦在主機(jī)上安裝了Sebek的客戶端,它就在系統(tǒng)的內(nèi)核級(jí)別運(yùn)行,記錄的數(shù)據(jù)并不是記錄在本地硬盤上,而是通過(guò)UDP數(shù)據(jù)包發(fā)送到遠(yuǎn)程服務(wù)器上,入侵者很難發(fā)現(xiàn)它的存在。醫(yī)院的網(wǎng)絡(luò)安全系統(tǒng)數(shù)據(jù)捕獲是由內(nèi)核模塊來(lái)完成的,本文研究使用這個(gè)模塊獲得主機(jī)內(nèi)核空間的訪問(wèn),從而捕獲所有read()的數(shù)據(jù)。Sebek替換系統(tǒng)調(diào)用表的read()函數(shù)來(lái)實(shí)現(xiàn)這個(gè)功能,這個(gè)替換的新函數(shù)只是簡(jiǎn)單的調(diào)用老read()函數(shù),并且把內(nèi)容拷貝到一個(gè)數(shù)據(jù)包緩存,然后加上一個(gè)頭,再把這個(gè)數(shù)據(jù)包發(fā)送到服務(wù)端。替換原來(lái)的函數(shù)就是改變系統(tǒng)調(diào)用表的函數(shù)指針。考慮到服務(wù)器區(qū)域的重要性，把服務(wù)器區(qū)域單獨(dú)隔離，構(gòu)建數(shù)據(jù)中心，并與核心之間形成雙鏈路。確保核心和服務(wù)器區(qū)域的穩(wěn)定與安全。這種設(shè)計(jì)方式有以下好處：1、可以確保核心設(shè)備的性能；2、可以確保核心設(shè)備有更多的擴(kuò)展性；3、可以在服務(wù)器區(qū)域單獨(dú)部署策略，確保服務(wù)器區(qū)域的安全。4.3EAD解決方案4.31技術(shù)背景網(wǎng)絡(luò)安全問(wèn)題的解決，三分靠技術(shù)，七分靠管理，嚴(yán)格管理是企業(yè)、機(jī)構(gòu)及用戶免受網(wǎng)絡(luò)安全問(wèn)題威脅的重要措施。事實(shí)上，多數(shù)企業(yè)、機(jī)構(gòu)都缺乏有效的制度和手段管理網(wǎng)絡(luò)安全。網(wǎng)絡(luò)用戶不及時(shí)升級(jí)系統(tǒng)補(bǔ)丁、升級(jí)病毒庫(kù)的現(xiàn)象普遍存在；隨意接入網(wǎng)絡(luò)、私設(shè)代理服務(wù)器、私自訪問(wèn)保密資源、非法拷貝機(jī)密文件、利用非法軟件獲取利益等行為在企業(yè)網(wǎng)中也比比皆是。管理的欠缺不僅會(huì)直接影響用戶網(wǎng)絡(luò)的正常運(yùn)行，還可能使企業(yè)蒙受巨大的商業(yè)損失。為了解決現(xiàn)有網(wǎng)絡(luò)安全管理中存在的不足，應(yīng)對(duì)網(wǎng)絡(luò)安全威脅，H3C推出了終端準(zhǔn)入控制（EAD，EnduserAdmissionDomination）解決方案。該方案從用戶終端準(zhǔn)入控制入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過(guò)安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及防病毒軟件產(chǎn)品、系統(tǒng)補(bǔ)丁管理產(chǎn)品、桌面管理產(chǎn)品的聯(lián)動(dòng)，對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，可以加強(qiáng)用戶終端的主動(dòng)防御能力，大幅度提高網(wǎng)絡(luò)安全。EAD在用戶接入網(wǎng)絡(luò)前，通過(guò)統(tǒng)一管理的安全策略強(qiáng)制檢查用戶終端的安全狀態(tài)，并根據(jù)對(duì)用戶終端安全狀態(tài)的檢查結(jié)果實(shí)施接入控制策略，對(duì)不符合企業(yè)安全標(biāo)準(zhǔn)的用戶進(jìn)行“隔離”并強(qiáng)制用戶進(jìn)行病毒庫(kù)升級(jí)、系統(tǒng)補(bǔ)丁升級(jí)等操作；在保證用戶終端具備自防御能力并安全接入的前提下，可以通過(guò)動(dòng)態(tài)分配ACL、VLAN等合理控制用戶的網(wǎng)絡(luò)權(quán)限，從而提升網(wǎng)絡(luò)的整體安全防御能力。EAD還引入了資產(chǎn)管理、軟件分發(fā)、USB監(jiān)控等功能，提供了企業(yè)內(nèi)網(wǎng)PC集中管理運(yùn)維的方案，以高效率的管理手段和措施，協(xié)助企業(yè)IT部門及時(shí)盤點(diǎn)內(nèi)網(wǎng)資產(chǎn)、掌控內(nèi)網(wǎng)資產(chǎn)變更情況。4.32EAD方案介紹EAD終端準(zhǔn)入控制方案包括兩個(gè)重要功能：安全防護(hù)和安全監(jiān)控。安全防護(hù)主要是對(duì)終端接入網(wǎng)絡(luò)進(jìn)行認(rèn)證，保證只有安全的終端才能接入網(wǎng)絡(luò)，對(duì)達(dá)不到安全要求的終端可以進(jìn)行修復(fù)，保障終端和網(wǎng)絡(luò)的安全；安全監(jiān)控是指在上網(wǎng)過(guò)程中，系統(tǒng)實(shí)時(shí)監(jiān)控用戶終端的安全狀態(tài)，并針對(duì)用戶終端的安全事件采取相應(yīng)的應(yīng)對(duì)措施，實(shí)時(shí)保障網(wǎng)絡(luò)安全。目前EAD還引入的資產(chǎn)管理、軟件分發(fā)、USB監(jiān)控等功能，與之前的準(zhǔn)入防御功能并沒(méi)有交叉，下面分別介紹EAD解決方案的端點(diǎn)準(zhǔn)入防御，資產(chǎn)管理，軟件分發(fā)等功能。4.33EAD端點(diǎn)準(zhǔn)入防御方案介紹EAD解決方案端點(diǎn)準(zhǔn)入防御應(yīng)用模型圖身份驗(yàn)證：用戶終端接入網(wǎng)絡(luò)時(shí)，首先進(jìn)行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)。目前EAD解決方案支持802.1x，Portal認(rèn)證。安全檢查：身份認(rèn)證通過(guò)后進(jìn)行終端安全檢查，由EAD安全策略服務(wù)器驗(yàn)證用戶終端的安全狀態(tài)（包括補(bǔ)丁版本、病毒庫(kù)版本、軟件安裝、系統(tǒng)服務(wù)、注冊(cè)表、是否登錄密碼為弱密碼等）是否合格。安全隔離：不合格的終端將被安全聯(lián)動(dòng)設(shè)備通過(guò)ACL策略限制在隔離區(qū)進(jìn)行安全修復(fù)。安全修復(fù)：進(jìn)入隔離區(qū)的用戶可以進(jìn)行補(bǔ)丁、病毒庫(kù)的升級(jí)、卸載非法軟件和停止非法服務(wù)等操作，直到安全狀態(tài)合格。動(dòng)態(tài)授權(quán)：如果用戶身份驗(yàn)證、安全檢查都通過(guò)，則EAD安全策略服務(wù)器將預(yù)先配置的該用戶的權(quán)限信息（包括網(wǎng)絡(luò)訪問(wèn)權(quán)限等）下發(fā)給安全聯(lián)動(dòng)設(shè)備，由安全聯(lián)動(dòng)設(shè)備實(shí)現(xiàn)按用戶身份的權(quán)限控制。實(shí)時(shí)監(jiān)控：在用戶網(wǎng)絡(luò)使用過(guò)程中，安全客戶端根據(jù)安全策略服務(wù)器下發(fā)的監(jiān)控策略，實(shí)時(shí)監(jiān)控用戶終端的安全狀態(tài)，一旦發(fā)現(xiàn)用戶終端安全狀態(tài)不符合企業(yè)安全策略，則向EAD安全策略服務(wù)器上報(bào)安全事件，由EAD安全策略服務(wù)器按照預(yù)定義的安全策略，采取相應(yīng)的控制措施，比如通知安全聯(lián)動(dòng)設(shè)備隔離用戶。EAD安全準(zhǔn)入流程圖4.34EAD端點(diǎn)準(zhǔn)入防御方案特點(diǎn)(1)安全狀態(tài)評(píng)估終端補(bǔ)丁檢測(cè)：評(píng)估客戶端的補(bǔ)丁安裝是否合格，可以檢測(cè)的補(bǔ)丁包括：操作系統(tǒng)(Windows2000/XP/2003等，不包括Windows98)等符合微軟補(bǔ)丁規(guī)范的熱補(bǔ)丁。安全客戶端版本檢測(cè)：可以檢測(cè)安全客戶端iNodeClient的版本，防止使用不具備安全檢測(cè)能力的客戶端接入網(wǎng)絡(luò)，同時(shí)支持客戶端自動(dòng)升級(jí)。安全狀態(tài)定時(shí)評(píng)估：安全客戶端可以定時(shí)檢測(cè)用戶安全狀態(tài)，防止用戶上網(wǎng)過(guò)程中因安全狀態(tài)發(fā)生變化而造成的與安全策略的不一致。自動(dòng)補(bǔ)丁管理：提供與微軟WSUS/SMS（全稱：WindowsServerUpdateServices/SystemManagementServer）協(xié)同的自動(dòng)補(bǔ)丁管理，當(dāng)用戶補(bǔ)丁不合格時(shí)，自動(dòng)安裝補(bǔ)丁。終端運(yùn)行狀態(tài)實(shí)時(shí)檢測(cè)：可以對(duì)上線用戶終端的系統(tǒng)信息進(jìn)行實(shí)時(shí)檢測(cè)，包括已安裝程序列表、已安裝補(bǔ)丁列表、已運(yùn)行進(jìn)程列表、共享目錄信息、分區(qū)表、屏保設(shè)置和已啟動(dòng)服務(wù)列表等。防病毒聯(lián)動(dòng)：主要包含兩個(gè)方面，一是端點(diǎn)用戶接入網(wǎng)絡(luò)時(shí)，檢查其計(jì)算機(jī)上防病毒軟件的安裝運(yùn)行情況以及病毒庫(kù)和掃描引擎版本是否符合安全要求等，不符合安全要求可以根據(jù)策略阻止用戶接入網(wǎng)絡(luò)或?qū)⑵湓L問(wèn)限制在隔離區(qū)；二是端點(diǎn)用戶接入網(wǎng)絡(luò)后，EAD定期檢查防病毒軟件的運(yùn)行狀態(tài)，如果發(fā)現(xiàn)不符合安全要求可以根據(jù)策略強(qiáng)制讓用戶下線或?qū)⑵湓L問(wèn)限制在隔離區(qū)。聯(lián)動(dòng)方式目前包括強(qiáng)聯(lián)動(dòng)和弱聯(lián)動(dòng)，強(qiáng)聯(lián)動(dòng)需要防病毒軟件廠商提供聯(lián)動(dòng)插件，iNode客戶端通過(guò)該聯(lián)動(dòng)插件完成對(duì)防病毒軟件的運(yùn)行狀態(tài)檢查以及行為控制。弱聯(lián)動(dòng)不需要防病毒廠商提供聯(lián)動(dòng)插件，iNode客戶端通過(guò)其他方式實(shí)現(xiàn)對(duì)防病毒軟件的運(yùn)行狀態(tài)檢查以及行為控制。當(dāng)前支持的強(qiáng)AV聯(lián)動(dòng)支持的防病毒軟件有：瑞星、金山和江民。當(dāng)前支持的弱AV聯(lián)動(dòng)支持的防病毒軟件有：諾頓、趨勢(shì)、McAfee、安博士、CA安全甲胄、VRV、卡巴斯基等。ARP防火墻：iNode客戶端將截獲用戶的ARP報(bào)文，并且根據(jù)如下原則判斷是否是非法ARP報(bào)文：(2)發(fā)出的ARP報(bào)文必須滿足：=1\*GB3①以太網(wǎng)源地址＝發(fā)送端以太網(wǎng)地址＝本機(jī)發(fā)包網(wǎng)卡的MAC地址=2\*GB3②發(fā)送端IP地址＝本機(jī)發(fā)包網(wǎng)卡的IP地址 =3\*GB3③在滿足上面兩條的前提下判斷是否是ARP請(qǐng)求報(bào)文，如果是請(qǐng)求報(bào)文必須滿足是廣播報(bào)文。(3)接收的ARP報(bào)文必須滿足：=1\*GB3①以太網(wǎng)源地址＝發(fā)送端以太網(wǎng)地址。如果iNode發(fā)現(xiàn)報(bào)文為非法ARP報(bào)文，那么將會(huì)對(duì)報(bào)文做丟棄處理。4.35用戶權(quán)限管理強(qiáng)身份認(rèn)證：在用戶身份認(rèn)證時(shí)，可綁定用戶接入IP、MAC、接入設(shè)備IP、端口和VLAN等信息，進(jìn)行強(qiáng)身份認(rèn)證，防止帳號(hào)盜用、限定帳號(hào)所使用的終端，確保接入用戶的身份安全?！拔ｋU(xiǎn)”用戶隔離：對(duì)于安全狀態(tài)評(píng)估不合格的用戶，可以限制其訪問(wèn)權(quán)限（通過(guò)ACL隔離），使其只能訪問(wèn)防病毒服務(wù)器、補(bǔ)丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源。“危險(xiǎn)”用戶在線隔離：用戶上網(wǎng)過(guò)程中安全狀態(tài)發(fā)生變化造成與安全策略不一致時(shí)（如感染不能殺除的病毒），EAD可以在線隔離并通知用戶。軟件安裝和運(yùn)行檢測(cè)：檢測(cè)終端軟件的安裝和運(yùn)行狀態(tài)。可以限制接入網(wǎng)絡(luò)的用戶必須安裝、運(yùn)行或禁止安裝、運(yùn)行其中某些軟件。對(duì)于不符合安全策略的用戶可以記錄日志、提醒或隔離。支持匿名認(rèn)證：iNode客戶端與EAD安全策略服務(wù)器配合提供用戶匿名認(rèn)證功能，用戶不需要輸入用戶名、密碼即可完成身份認(rèn)證和安全認(rèn)證。接入時(shí)間、區(qū)域控制：可以限制用戶只能在允許的時(shí)間和地點(diǎn)（接入設(shè)備和端口）上網(wǎng)。限制終端用戶使用多網(wǎng)卡和撥號(hào)網(wǎng)絡(luò)：防止用戶終端成為內(nèi)外網(wǎng)互訪的橋梁，避免因此可能造成的信息安全問(wèn)題。代理限制：可以限制用戶使用和設(shè)置代理服務(wù)器。4.36用戶行為監(jiān)控終端強(qiáng)制或提醒修復(fù)：強(qiáng)制或提醒不符合安全策略的終端用戶主機(jī)進(jìn)行防病毒軟件升級(jí)，病毒庫(kù)升級(jí)，補(bǔ)丁安裝；目前只支持手工方式（金山的客戶端可以與系統(tǒng)中心做自動(dòng)升級(jí)）。安全狀態(tài)監(jiān)控：定時(shí)監(jiān)控終端用戶的安全狀態(tài)，發(fā)現(xiàn)感染病毒后根據(jù)安全策略可將其限制到隔離區(qū)。安全日志審計(jì)：定時(shí)收集客戶端的實(shí)時(shí)安全狀態(tài)并記錄日志；查詢用戶的安全狀態(tài)日志、安全事件日志以及在線用戶的安全狀態(tài)。強(qiáng)制用戶下線：管理員可以強(qiáng)制行為“可疑”的用戶下線。4.4桌面資產(chǎn)管理方案介紹EAD解決方案不僅能夠?qū)τ脩舻亩它c(diǎn)準(zhǔn)入安全進(jìn)行管理，而且能夠?qū)τ脩艟W(wǎng)絡(luò)中的資產(chǎn)進(jìn)行管理和控制，其基本的功能包括：資產(chǎn)管理、軟件分發(fā)。桌面資產(chǎn)管理應(yīng)用模型如下：桌面資產(chǎn)管理應(yīng)用模型桌面資產(chǎn)管理的應(yīng)用流程如下圖所示：桌面資產(chǎn)管理工作流程身份驗(yàn)證及安全認(rèn)證：EAD的桌面資產(chǎn)管理功能是與EAD的端點(diǎn)準(zhǔn)入功能緊密結(jié)合的：在安全認(rèn)證成功之后，服務(wù)器將DAM服務(wù)器的地址和端口下發(fā)給DAM客戶端。作為另外一種選擇，DAM服務(wù)器的地址和端口，也可以采用iNode客戶端管理中心定制指定。資產(chǎn)上線：資產(chǎn)上線分成幾種情況：1、已管理資產(chǎn)的上線：服務(wù)器根據(jù)客戶端上傳的資產(chǎn)編號(hào)找到資產(chǎn)記錄即回應(yīng)確認(rèn)信息，客戶端之后請(qǐng)求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端。2、客戶端注冊(cè)方式的新資產(chǎn)（該資產(chǎn)由管理員增加）上線：服務(wù)端要求客戶端輸入資產(chǎn)編號(hào)，客戶端提交后，服務(wù)端根據(jù)資產(chǎn)編號(hào)找到資產(chǎn)信息，發(fā)給客戶端確認(rèn)，確認(rèn)后服務(wù)端將該資產(chǎn)置為已管理狀態(tài)，回應(yīng)確認(rèn)信息，客戶端之后請(qǐng)求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端。3、服務(wù)器自動(dòng)生成新資產(chǎn)方式的上線：服務(wù)端根據(jù)客戶端上傳的資產(chǎn)指紋信息生成新資產(chǎn)編號(hào)；客戶端彈出資產(chǎn)信息錄入界面并由用戶錄入，之后上傳給服務(wù)端，服務(wù)端回應(yīng)確認(rèn)信息，客戶端之后請(qǐng)求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端。4、重裝操作系統(tǒng)之后的客戶端上線：服務(wù)端根據(jù)客戶端傳遞過(guò)來(lái)的指紋信息找到已有的資產(chǎn)記錄，之后回應(yīng)資產(chǎn)信息給客戶端；客戶端用戶確認(rèn)服務(wù)器返回的資產(chǎn)信息與自己的資產(chǎn)相匹配，之后，客戶端發(fā)送確認(rèn)報(bào)文給服務(wù)端；服務(wù)端確認(rèn)后將正在上線的資產(chǎn)與自身已有記錄關(guān)聯(lián)起來(lái)；服務(wù)端回應(yīng)確認(rèn)信息，客戶端之后請(qǐng)求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端。5、安裝了多操作系統(tǒng)的資產(chǎn)上線：用戶啟動(dòng)一個(gè)操作系統(tǒng)并上線成功后，在另一個(gè)操作系統(tǒng)下又發(fā)起上線請(qǐng)求；服務(wù)端發(fā)現(xiàn)多操作系統(tǒng)情況，將只允許最后安裝的操作系統(tǒng)的客戶端可以上線；服務(wù)端回應(yīng)確認(rèn)信息，客戶端之后請(qǐng)求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端。資產(chǎn)信息上報(bào)：客戶端獲取本地資產(chǎn)信息，保存到本地，并上報(bào)給服務(wù)端；客戶端定期會(huì)掃描本地資產(chǎn)信息，如發(fā)現(xiàn)有變更，更新本地保存的資產(chǎn)文件，同時(shí)將資產(chǎn)變更信息上報(bào)給服務(wù)端。USB使用信息上報(bào)：客戶端實(shí)時(shí)監(jiān)測(cè)USB插入情況，如果有USB插入、向US