【正文】 采用VLSM(變長掩碼)技術，保證IP地址的利用效率；采用CIDR技術，這樣可以減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡中廣播的路由信息的大小；在公有地址有保證的前提下，盡量使用公有地址，主要包括設備loopback地址、設備間互連地址。充分合理利用已申請的地址空間，提高地址的利用效率。IP地址規(guī)劃應該是網(wǎng)絡整體規(guī)劃的一部分，即IP地址規(guī)劃要和網(wǎng)絡層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結合起來考慮。IP地址的規(guī)劃應盡可能和網(wǎng)絡層次相對應，應該是自頂向下的一種規(guī)劃。 網(wǎng)絡安全性網(wǎng)絡安全設計包括以下6個方面：網(wǎng)絡安全策略——依托城域光纖物理環(huán)網(wǎng)，組建營運級衛(wèi)計專網(wǎng)。接入單位通過光纖就近接入電信機房，經(jīng)電信寬帶城域網(wǎng)匯聚后，以千兆光纖接入到縣區(qū)信息中心機房或市數(shù)據(jù)中心的核心交換機。通過運營商核心城域光纖環(huán)網(wǎng)實現(xiàn)匯聚、骨干路由交換機保證用戶的高QOS質(zhì)量服務和安全性。IP地址的規(guī)劃——網(wǎng)絡全網(wǎng)采用私有IP地址。計算機系統(tǒng)訪問控制策略——網(wǎng)絡計算機系統(tǒng)將采用基于其計算機系統(tǒng)和應用系統(tǒng)提供的安全策略，通過權限的配置，進行授權訪問，只有特定的用戶才能訪問特定的站點，未授權則無法訪問，以保障網(wǎng)絡的專用性。通過核心交換機，實現(xiàn)VLAN劃分和接入衛(wèi)生機構之間的隔離；湞江區(qū)衛(wèi)生局醫(yī)療信息網(wǎng)絡的核心節(jié)點，通過定制ACL以及其他授權訪問策略，保證醫(yī)療信息網(wǎng)絡內(nèi)的用戶進行受控的安全訪問。防火墻安全策略——防火墻用來實現(xiàn)網(wǎng)絡安全隔離，通過定制嚴格的安全策略，可最大限度地屏蔽各類非法訪問和網(wǎng)絡攻擊，保證網(wǎng)絡的安全有效運行。隔離的連接方式可以是邏輯隔離（簡單的策略控制或者脫機數(shù)據(jù)交換），也可以是物理隔離（兩套系統(tǒng)完全相互隔絕，無任何聯(lián)系）。目前建議采用脫機數(shù)據(jù)交換方式或者基于ACL策略的邏輯隔離方式進行，在保證信息安全的同時，方便日常的維護管理?！癕AC綁定”防止IP欺騙、地址偽裝――通過網(wǎng)絡設備的“MAC綁定”功能，針對一些重要的管理工作站以及授權IP，通過將IP地址和網(wǎng)卡的硬件地址綁定起來，可以有效的防止非法用戶對網(wǎng)絡的訪問和攻擊。應用層安全性――在應用層面，通過定制ACL訪問策略，給操作系統(tǒng)及時裝上最新補丁，以及應用軟件自身采用的安全管理策略、身份認證、更可靠的數(shù)據(jù)加密方法等多種綜合手段，為系統(tǒng)的安全構筑了一道堅固的壁壘。通過以上全方位、多層次、多角度綜合的安全措施，極大的保證了整個衛(wèi)計局醫(yī)療信息VPN網(wǎng)絡的網(wǎng)絡安全和應用安全。 區(qū)域居民健康檔案數(shù)據(jù)中心建設 總體結構和邏輯結構數(shù)據(jù)中心按私有云的模式建設，內(nèi)容主要包括：基礎設施即服務(IaaS)、數(shù)據(jù)存儲即服務(DaaS)、平臺即服務(PaaS)、軟件即服務(SaaS)、“云安全”和虛擬化應用等五個層次的內(nèi)容?；A設施服務(IAAS)建設。通過虛擬化技術構建統(tǒng)一的虛擬化資源池，提供30TB的存儲空間。實施內(nèi)容主要包括服務器、存儲、網(wǎng)絡等物理設備和虛擬化軟件、云資源管理系統(tǒng)、操作系統(tǒng)等采購和部署，構建統(tǒng)一的云計算平臺物理基礎設施。通過云資源管理系統(tǒng)，實現(xiàn)對衛(wèi)計信息平臺的計算、存儲、網(wǎng)絡等多種資源的統(tǒng)一集中管理。平臺即服務（PaaS）。制定云計算平臺PaaS層統(tǒng)一建設標準規(guī)范，提供分布式云存儲服務、大數(shù)據(jù)分析服務平臺等基礎服務，為營口衛(wèi)計局各部門應用提供支撐。實施內(nèi)容主要包括分布式云存儲服務、云數(shù)據(jù)中心引擎、大數(shù)據(jù)分析服務等服務。應用云軟件服務（SaaS）。將在用的部分業(yè)務系遷移至電子云平臺，并基于云平臺開發(fā)新的應用系統(tǒng)。安全防護體系設計。按照等級保護二級的建設要求，安全的設計包括物理安全、網(wǎng)絡安全、云平臺安全、主機安全、應用安全、數(shù)據(jù)安全及備份恢復。管理方面包括安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理幾方面。 邏輯架構設計XX市衛(wèi)計局整體邏輯架構分為“三層架構和二大服務”，三層架構分別是基礎設施服務層、平臺服務層、軟件服務層，兩大服務是云平臺網(wǎng)絡安全服務和規(guī)范性運維管理服務：基礎設施服務層：基礎設施服務層是政務云平臺的硬件資源基礎，由機房環(huán)境、服務器、存儲、網(wǎng)絡設備以及將這些硬件設施虛擬成資源池的配套軟件組成。平臺服務層：為各部門應用提供分布式云存儲服務、云數(shù)據(jù)中心引擎、大數(shù)據(jù)分析服務等基礎服務。軟件服務層：面向最終用戶，提供高性能、高可靠、高可用和高擴展性的應用服務。云網(wǎng)絡安全服務和運維管理服務將解決基礎架構本身的安全、數(shù)據(jù)的訪問約束、完整性和可靠性，服務訪問控制、用戶身份鑒別和權限管理等的安全問題，從業(yè)務、應用、數(shù)據(jù)和服務器各層次對構建的衛(wèi)計信息進行管理和監(jiān)控，確保衛(wèi)計信息平臺運行的安全可靠。 網(wǎng)絡架構設計營口衛(wèi)計局平臺網(wǎng)絡建設是按照業(yè)務和安全等級將網(wǎng)絡劃分為幾個分區(qū)，各個分區(qū)連接到業(yè)務核心網(wǎng)絡。網(wǎng)絡分區(qū)將依據(jù)業(yè)務系統(tǒng)的相關性、安全性、管理、規(guī)模等因素，對數(shù)據(jù)中心進行分區(qū)。云計算平臺網(wǎng)絡根據(jù)網(wǎng)絡分層、功能分區(qū)的設計理念，將數(shù)據(jù)中心網(wǎng)絡、內(nèi)部交換網(wǎng)絡劃分為核心與接入兩個層次，按照網(wǎng)絡功能的不同劃分為互聯(lián)網(wǎng)應用區(qū)、對內(nèi)業(yè)務應用區(qū)、安全防護區(qū)、云平臺管理區(qū)等多個功能區(qū)。同時，為更好的支持云計算在數(shù)據(jù)中心的運行管理，將網(wǎng)絡分為管理、存儲、業(yè)務三個網(wǎng)絡平面。營口衛(wèi)計局政務云的網(wǎng)絡架構設計如下：圖：營口衛(wèi)計局數(shù)據(jù)中心網(wǎng)絡架構圖 IaaS層設計方案 建設思路營口衛(wèi)計局數(shù)據(jù)中心采用全虛擬化的建設思路。包括網(wǎng)絡虛擬化、計算虛擬化、存儲虛擬化、應用的按需申請。按照實際需要申請資源，平臺將為各部門劃定獨立的資源池，網(wǎng)絡方面通過獨立的VLAN來訪問資源池，各VLAN之間相互獨立。在資源池內(nèi)又分別建立互聯(lián)網(wǎng)應用區(qū)、內(nèi)部業(yè)務區(qū)、云平臺管理區(qū)等功能安全分區(qū)。同時，網(wǎng)絡層、服務器層、存儲層也采用當前主流的虛擬化技術，具體如下圖：圖：平臺全虛擬化建設思路 網(wǎng)絡虛擬化網(wǎng)絡虛擬化分為縱向分割和橫向分割兩大類。縱向分割:出于將多個邏輯網(wǎng)絡隔離、整合的需要，VLAN、MPLSVPN、MultiVRF技術在路由環(huán)境下實現(xiàn)了網(wǎng)絡訪問的隔離，虛擬化分割的邏輯網(wǎng)絡內(nèi)部有獨立的數(shù)據(jù)通道，終端用戶和上層應用均不會感知其它邏輯網(wǎng)絡的存在。但在每個邏輯網(wǎng)絡內(nèi)部，仍然存在安全控制需求，對數(shù)據(jù)中心而言，訪問數(shù)據(jù)流從外部進入數(shù)據(jù)中心，則表明了數(shù)據(jù)在不同安全等級的區(qū)域之間流轉(zhuǎn)，因此，有必要在網(wǎng)絡上提供邏輯網(wǎng)絡內(nèi)的安全策略，而不同邏輯網(wǎng)絡的安全策略有各自獨立的要求，虛擬化安全技術，將一臺安全設備可分割成若干臺邏輯安全設備(成為多個實例)，從而很好滿足了虛擬化的深度強化安全要求。橫向分割:從另外一個角度來看，多個網(wǎng)絡節(jié)點承載上層應用，基于冗余的網(wǎng)絡設計帶來復雜性，而將多個網(wǎng)絡節(jié)點進行整合(稱為橫向整合)，虛擬化成一臺邏輯設備，提升數(shù)據(jù)中心網(wǎng)絡可用性、節(jié)點性能的同時將極大簡化網(wǎng)絡架構。數(shù)據(jù)中心是企業(yè)IT架構的核心領域，傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡架構由于多層結構、安全區(qū)域、安全等級、策略部署、路由控制、VLAN劃分、二層環(huán)路、冗余設計等諸多因素，導致網(wǎng)絡結構比較復雜，使得數(shù)據(jù)中心基礎網(wǎng)絡的運維管理難度較高。使用網(wǎng)絡虛擬化技術，用戶可以將多臺設備連接，“橫向整合”起來組成一個“聯(lián)合設備”，并將這些設備看作單一設備進行管理和使用。多個盒式設備整合類似于一臺機架式設備，多臺框式設備的整合相當于增加了槽位，虛擬化整合后的設備組成了一個邏輯單元，在網(wǎng)絡中表現(xiàn)為一個網(wǎng)元節(jié)點，管理簡單化、配置簡單化、可跨設備鏈路聚合，極大簡化網(wǎng)絡架構，同時進一步增強冗余可靠性。本項目將結合縱向分割、橫向分割兩種技術，業(yè)務層面實現(xiàn)各部門數(shù)據(jù)流的獨立與隔離，同時最大程度減少項目投資。 計算虛擬化虛擬機有許多不同的類型，但是它們有一個共同的主題就是模擬一個指令集的概念。每個虛擬機都有一個用戶可以訪問的指令集。虛擬機把這些虛擬指令“映射”到計算機的實際指令集。硬分區(qū)、軟分區(qū)、邏輯分區(qū)、SolarisContainer、VMware、Xen、微軟VirtualServer2005這些虛擬技術都是運用的這個原理，只是虛擬指令集所處的層次位置不同。 存儲虛擬化存儲虛擬化(StorageVirtualization)最通俗的理解就是對存儲硬件資源進行抽象化表現(xiàn)。通過將一個（或多個）目標（Target）服務或功能與其它附加的功能集成，統(tǒng)一提供有用的全面功能服務。典型的虛擬化包括如下一些情況：屏蔽系統(tǒng)的復雜性，增加或集成新的功能，仿真、整合或分解現(xiàn)有的服務功能等。虛擬化是作用在一個或者多個實體上的，而這些實體則是用來提供存儲資源或/及服務的。將存儲資源虛擬成一個“存儲池”，這樣做的好處是把許多零散的存儲資源整合起來，從而提高整體利用率，同時降低系統(tǒng)管理成本。與存儲虛擬化配套的資源分配功能具有資源分割和分配能力，可以依據(jù)“服務水平協(xié)議（service level agreement）”的要求對整合起來的存儲池進行劃分，以最高的效率、最低的成本來滿足各類不同應用在性能和容量等方面的需求。特別是虛擬磁帶庫，對于提升備份、恢復和歸檔等應用服務水平起到了非常顯著的作用，極大地節(jié)省了企業(yè)的時間和金錢。 防火墻虛擬化虛擬防火墻就是可以將一臺防火墻在邏輯上劃分成多臺虛擬的防火墻，每個虛擬防火墻系統(tǒng)都可以被看成是一臺完全獨立的防火墻設備，可擁有獨立的系統(tǒng)資源、管理員、安全策略、用戶認證數(shù)據(jù)庫等。 應用按需申請通過各種虛擬化技術實現(xiàn)了網(wǎng)絡虛擬化、計算虛擬化、存儲虛擬化、防火墻虛擬化，將形成網(wǎng)絡資源池、計算資源池、存儲資源池、防火墻資源池。最終營口衛(wèi)計局將根據(jù)需要按需申請所需各種資源。項目通過建設云資源管理平臺，實現(xiàn)資源的申請與調(diào)配。包括新建資源申請工單、審批資源申請工單、查詢工單、處理異常工單、資源移交審批等功能。 網(wǎng)絡結構設計公眾服務區(qū)的建設，組網(wǎng)說明如下：核心網(wǎng)絡交換機由2臺組成，并采用虛擬集群技術虛擬為一臺設備，通過設備背板共享提高交換能力。接入交換機將服務器設備千兆電口上聯(lián)接入，并通過萬兆光纖網(wǎng)絡上聯(lián)至核心交換機。安全防護區(qū)域的設備通過千兆光纖/GE鏈路雙掛在2臺核心交換機上，實現(xiàn)對平臺的安全防護。堡壘機、負載均衡旁掛在核心交換機之上，防病毒軟件部署于防病毒服務器上，并將防病毒服務器同樣旁掛在核心交換機上。虛擬化服務器通過千兆電口雙掛在接入交換機上。分布式云存儲均通過接入交換機分別通過千兆鏈路上聯(lián)至2臺核心交換機上，通過存儲管理平臺將存儲分配給相應虛擬服務器使用。備份方面，通過備份服務器、備份軟件實現(xiàn)生產(chǎn)數(shù)據(jù)備份至虛擬磁帶庫。 計算資源池設計一般應用系統(tǒng)需要web應用服務器（或應用服務器）一共2臺以上，采用應用負載均衡做集群，數(shù)據(jù)庫服務器2臺做雙機互備，共需4臺以上虛擬機。對于大型數(shù)量應用，web應用服務器2臺以上，應用服務器各2臺以上，而大型數(shù)據(jù)庫可直接部署在高性能物理服務器（安裝ORALCE數(shù)據(jù)庫）或者分布式數(shù)據(jù)庫服務器（安裝MYSQL數(shù)據(jù)庫）上，通過多實例共享面向不同業(yè)務系統(tǒng)提供數(shù)據(jù)庫管理平臺服務，則需4臺以上虛擬機和共享使用兩臺以上物理服務器。（一）虛擬化服務器需求提供高性能PC服務器（四路八核CPU\256GB內(nèi)存），用于虛擬化應用。（二）分布式云存儲服務器需求存儲服務器和元數(shù)據(jù)服務器，用來部署PaaS層分布式云存儲服務。（三）其他服務器需求虛擬化管理平臺服務器，用來部署VMware、HyperV和Citrix虛擬化管理平臺軟件。備份服務器，用來安裝備份軟件。 存儲資源池設計針對數(shù)據(jù)中心對于數(shù)據(jù)存儲的需求，利用模塊化的建設思路，采用分區(qū)、分層、分級的設計方法，實現(xiàn)數(shù)據(jù)中心邏輯功能的模塊分區(qū)設計，標準化數(shù)據(jù)中心架構，層次清晰，實現(xiàn)了數(shù)據(jù)中心高可靠、高性能、易管理、易擴展的目標。存儲系統(tǒng)主要完成基礎平臺中數(shù)據(jù)處理與保存功能，根據(jù)目前業(yè)務需求，本期將主要配置高端系列的磁盤陣列，通過虛擬化技術整合成動態(tài)的存儲資源池。圖：營口衛(wèi)計局存儲網(wǎng)絡架構圖新配置兩臺SAN 交換機（48口8GB光纖交換機，48口激活），通過與服務器，磁盤陣列，組建統(tǒng)一的FC SAN存儲平臺。新購一套磁盤陣列來構建一套高可用性的可以擴展的存儲資源池。新購一套磁帶庫實現(xiàn)對Vmware、Xen、Kvm等虛擬機以及其他重要業(yè)務數(shù)據(jù)的備份。備份軟件采用能夠支持各種系統(tǒng)平臺，支持多路并發(fā)備份模式的備份軟件來進行備份。 云資源管理系統(tǒng)（云計算服務平臺）設計云資源管理系統(tǒng)是一套運行在數(shù)據(jù)中心上的云操作系統(tǒng)，是對內(nèi)簡化數(shù)據(jù)中心的運維管理，實現(xiàn)軟硬件資源的高效利用，實現(xiàn)資源的池化與流轉(zhuǎn)；對外提供各種服務化的資源，實現(xiàn)資源的按需申請和按量計費，建立一個高效、節(jié)能、安全、可靠的云計算環(huán)境。云管理平臺的主要功能要求包括以下幾個方面：資源池化：采用虛擬化技術，將數(shù)據(jù)中心的計算設備、存儲設備以及網(wǎng)絡設備轉(zhuǎn)化成為相應的虛擬資源池通過池化物理設備屏蔽底層差異，實現(xiàn)資源的有效整合通過共享下層基礎設施，提高數(shù)據(jù)中心的資源利用效率通過虛擬資源的動態(tài)分配與靈活組合，快速響應用戶對IT資源的需求資源封裝與監(jiān)管實現(xiàn)對物理資源、虛擬層及專業(yè)管理層的統(tǒng)一管理，屏蔽底層硬件及虛擬化異構，整合系統(tǒng)中所有可用資源，實現(xiàn)對資源的生命周期管理和資源信息的綜合管理，提供資源定位、資源分配等基本服務，并提供資源可靠性保障；采用分級監(jiān)控體系，支持大規(guī)模軟硬件的實時監(jiān)控。實現(xiàn)設備的狀態(tài)監(jiān)控、健康監(jiān)控和能耗監(jiān)控，為資源調(diào)度提供支持信息采用一站式的設備登錄和電源管理界面，簡化數(shù)據(jù)中心運營提供資產(chǎn)變更告警，保障數(shù)據(jù)中心設備安全監(jiān)控數(shù)據(jù)中心的異常網(wǎng)絡連接，實現(xiàn)安全預警功能計算、網(wǎng)絡、存儲資源統(tǒng)一管理對納管的各主流廠家x86物理服務器進行統(tǒng)一管理對納管的各主流廠家網(wǎng)絡設備進行統(tǒng)一管理對納管的各主流廠家存儲設備進行統(tǒng)一管理資源部署調(diào)度采用在線遷移技術，實現(xiàn)高可用的計算服務采用負載均衡技術，動態(tài)分配物理資源，實現(xiàn)資源流轉(zhuǎn)根據(jù)監(jiān)控信息動態(tài)調(diào)整資源負載，防止出現(xiàn)服務熱點，提升數(shù)據(jù)中心的整體服務質(zhì)量根據(jù)策略集中資源負載，關閉空閑設備，實現(xiàn)數(shù)據(jù)中心的節(jié)能管理鏡像、模板與快照提供從創(chuàng)建、發(fā)布、激活，掛起，撤銷到刪除的模板生命周期管理以及快速