【文章內(nèi)容簡(jiǎn)介】 生軟件運(yùn)行錯(cuò)誤、系統(tǒng)死機(jī)和存儲(chǔ)介質(zhì)故障等災(zāi)難。因此，應(yīng)采取磁盤(pán)鏡像、磁盤(pán)陣列、磁帶庫(kù)等技術(shù)手段，對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行備份并在故障發(fā)生時(shí)，采取適當(dāng)?shù)幕謴?fù)策略，修復(fù)中被破壞的或不正確的數(shù)據(jù)，使之恢復(fù)到一致性狀態(tài)。安全管理XXXXX市立醫(yī)院網(wǎng)絡(luò)系統(tǒng)是一個(gè)橫向、縱向連接的多級(jí)網(wǎng)絡(luò)，運(yùn)行著多個(gè)業(yè)務(wù)系統(tǒng)，由于網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性、應(yīng)用系統(tǒng)的多樣性和使用人員身份的多重性，制定一套完善的安全管理制度十分必要。同時(shí)為實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理，應(yīng)設(shè)置安全管理中心對(duì)安全事件、設(shè)備故障信息等進(jìn)行集中分析和處置，并在此基礎(chǔ)上實(shí)施統(tǒng)一規(guī)劃、集中管理、嚴(yán)格規(guī)章、加強(qiáng)教育、明確責(zé)任、動(dòng)態(tài)監(jiān)控，確保網(wǎng)絡(luò)安全可靠的運(yùn)行。網(wǎng)絡(luò)安全策略總體安全策略在XXXX市立醫(yī)院網(wǎng)絡(luò)系統(tǒng)工程建設(shè)中，應(yīng)遵循以下總體安全策略：1. 未經(jīng)允許的訪問(wèn)都要嚴(yán)格禁止；2. 允許的訪問(wèn)都要經(jīng)過(guò)認(rèn)證、授權(quán)；3. 重要的信息在網(wǎng)上傳輸要經(jīng)過(guò)加密措施；網(wǎng)絡(luò)邊界安全策略網(wǎng)絡(luò)邊界安全策略包括：1. 網(wǎng)絡(luò)內(nèi)外的信息交換要通過(guò)物理隔離設(shè)備進(jìn)行；2. 內(nèi)網(wǎng)網(wǎng)絡(luò)劃分為不同的安全域，相互之間只允許授權(quán)用戶(hù)訪問(wèn)特定資源；安全聯(lián)動(dòng)策略網(wǎng)絡(luò)設(shè)備如防火墻、交換機(jī)、網(wǎng)絡(luò)防病毒系統(tǒng)等，既可以單獨(dú)運(yùn)行，還可以通過(guò)互動(dòng)，更有效的確保網(wǎng)絡(luò)安全。拓?fù)浣Y(jié)構(gòu)44拓?fù)湔f(shuō)明：XXXXX市立醫(yī)院本次新建樓宇分為病房樓、醫(yī)技樓、門(mén)急診樓、傳染樓、附屬樓，根據(jù)網(wǎng)絡(luò)實(shí)際需求劃分為外網(wǎng)和內(nèi)網(wǎng)兩部分，并且要求內(nèi)網(wǎng)外網(wǎng)物理隔離。 內(nèi)網(wǎng)結(jié)構(gòu)說(shuō)明：內(nèi)網(wǎng)網(wǎng)絡(luò)整體架構(gòu)采用二層網(wǎng)絡(luò)架構(gòu)(核心層接入層)，采用星型網(wǎng)絡(luò)拓?fù)湫问?，在保證內(nèi)網(wǎng)網(wǎng)絡(luò)的安全可靠性的前提下，又要顧及到經(jīng)濟(jì)性原則，主機(jī)房核心交換機(jī)采用雙核心熱備份的方式，每套核心交換機(jī)都配備雙引擎、雙交流電源，核心交換機(jī)上端通過(guò)防火墻來(lái)提供與外部專(zhuān)有網(wǎng)絡(luò)的互聯(lián)，并且選擇的該款防火墻支持多種接口形式，方便日后網(wǎng)絡(luò)的升級(jí)等要求；防火墻通過(guò)六類(lèi)線與主機(jī)房?jī)膳_(tái)核心交換機(jī)連接，核心交換機(jī)采用雙機(jī)熱備份、雙鏈路的方式通過(guò)萬(wàn)兆多模光纜連接到病房樓、醫(yī)技樓、門(mén)急診樓、傳染樓、附屬樓的接入交換機(jī)上，整體網(wǎng)絡(luò)采用萬(wàn)兆主干，千兆到桌面的連接方式。對(duì)于網(wǎng)絡(luò)的內(nèi)網(wǎng)安全，采用網(wǎng)絡(luò)防火墻來(lái)實(shí)現(xiàn)，通過(guò)相應(yīng)策略的配置，來(lái)實(shí)現(xiàn)內(nèi)網(wǎng)的數(shù)據(jù)安全。在病房樓、門(mén)急診樓等部署無(wú)線90臺(tái)無(wú)線AP來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的無(wú)縫覆蓋，無(wú)線AP的配合使用將大大提高醫(yī)院的人性化設(shè)計(jì)、先進(jìn)科學(xué)性設(shè)計(jì)。 外網(wǎng)結(jié)構(gòu)說(shuō)明：外網(wǎng)網(wǎng)絡(luò)整體架構(gòu)采用二層網(wǎng)絡(luò)架構(gòu)(核心層接入層)，采用星型網(wǎng)絡(luò)拓?fù)湫问?，考慮到外網(wǎng)網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性，核心交換機(jī)采用雙機(jī)雙核心、雙電源的方式，核心交換機(jī)上端通過(guò)防火墻來(lái)提供與INTERNET的互聯(lián)，并且選擇的該款防火墻支持多種接口形式，方便日后網(wǎng)絡(luò)的升級(jí)等要求；防火墻通過(guò)六類(lèi)線與外網(wǎng)核心交換機(jī)連接，核心交換機(jī)通過(guò)千兆單模光纜連接到病房樓、醫(yī)技樓、門(mén)急診樓、傳染樓、附屬樓的接入層交換機(jī)上，整體網(wǎng)絡(luò)采用萬(wàn)兆主干，千兆到桌面的連接方式，對(duì)于網(wǎng)絡(luò)的外網(wǎng)安全，采用網(wǎng)絡(luò)防火墻來(lái)實(shí)現(xiàn)，通過(guò)相應(yīng)策略的配置，來(lái)實(shí)現(xiàn)外網(wǎng)的數(shù)據(jù)安全。系統(tǒng)中的技術(shù)綜合應(yīng)用在前面我們主要介紹了在本次網(wǎng)絡(luò)集成中主要應(yīng)用的技術(shù)，那么接下來(lái)我們將主要說(shuō)明如何應(yīng)用上述的這些技術(shù)使之成為一個(gè)融合的網(wǎng)絡(luò)。融合的多vlan網(wǎng)絡(luò)首先，網(wǎng)絡(luò)層次情況分為核心層、匯聚層、接入層，其中核心層作為網(wǎng)絡(luò)的連接和交換平臺(tái)，管理全網(wǎng)業(yè)務(wù)的連接、匯接和轉(zhuǎn)接；而接入層則完成用戶(hù)業(yè)務(wù)的直接接入。層次化的結(jié)構(gòu)有利于功能簡(jiǎn)化，同時(shí)可保證核心層的相對(duì)穩(wěn)定性，確保核心層不受或少受易變化的接入層影響（由于業(yè)務(wù)的不斷變化），同樣也便于核心層的擴(kuò)展和升級(jí)；當(dāng)然過(guò)多的層次劃分會(huì)對(duì)業(yè)務(wù)的使用效率以及業(yè)務(wù)質(zhì)量產(chǎn)生不好的影響。核心層設(shè)計(jì)作為網(wǎng)絡(luò)的核心層，有必要采用兩臺(tái)高端核心交換機(jī)作為全網(wǎng)的核心，由于它需要在網(wǎng)絡(luò)中負(fù)載全部數(shù)據(jù)流的交互，數(shù)據(jù)庫(kù)系統(tǒng)、管理安全平臺(tái)、終端用戶(hù)都會(huì)在此交換數(shù)據(jù)，所以核心交換機(jī)的性能一定要有很高的可靠性。另外網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)一旦確定，其結(jié)構(gòu)將會(huì)在一段時(shí)間內(nèi)難以變化，所以采用高端交換機(jī)既可以保證網(wǎng)絡(luò)速度又可以在系統(tǒng)升級(jí)后繼續(xù)使用保護(hù)投資。本次網(wǎng)絡(luò)設(shè)計(jì)中核心交換機(jī)選用華為公司的S9306核心交換機(jī)。 匯聚層設(shè)計(jì)在網(wǎng)絡(luò)中，匯聚層交換機(jī)和核心層交換機(jī)的作用與接入交換機(jī)不同，它們承擔(dān)了網(wǎng)關(guān)和三層路由轉(zhuǎn)發(fā)功能的重?fù)?dān)，匯聚層交換機(jī)必須能夠處理來(lái)自接入層設(shè)備的所有通信量，并提供到核心層的上行鏈路，因此與接入層交換機(jī)比較，匯聚層交換機(jī)需要更高的性能和更高的交換速率，本次網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)中匯聚層交換機(jī)選用華為公司的S570028CEI24S交換機(jī)。接入層設(shè)計(jì)樓層交換機(jī)以部門(mén)、樓層劃分vlan，在終端用戶(hù)的訪問(wèn)控制上還可以根據(jù)要求配置認(rèn)證。所有的vlan組在核心交換機(jī)上做VRRP冗余備份，為了確保安全，還可以將不同的vlan從主備核心交換上區(qū)別開(kāi)來(lái)，保證網(wǎng)絡(luò)的負(fù)載均衡，本次接入層交換機(jī)我們選用華為公司的S570048TPSIAC 和S570024TPSIAC兩款全千兆交換機(jī)。IP地址分配對(duì)于一個(gè)IP網(wǎng)絡(luò)來(lái)說(shuō)，不可回避的一項(xiàng)工作就是IP地址的規(guī)劃和分配。IP地址規(guī)劃是否合理對(duì)一個(gè)IP網(wǎng)絡(luò)來(lái)說(shuō)是至關(guān)重要的，關(guān)系到這個(gè)網(wǎng)絡(luò)性能能否充分發(fā)揮、網(wǎng)絡(luò)是否具有較強(qiáng)的擴(kuò)展能力、是否能夠更好的管理網(wǎng)絡(luò)等。IP地址的規(guī)劃原則：IP地址的劃分將沿用原有計(jì)算機(jī)網(wǎng)絡(luò)IP地址的劃分方案，據(jù)此在兼容原來(lái)計(jì)算機(jī)網(wǎng)的編址方案的前提下進(jìn)行合理分配，并應(yīng)堅(jiān)持以下原則：地址分配方案應(yīng)與原有網(wǎng)絡(luò)地址分配方案統(tǒng)一考慮，原有網(wǎng)絡(luò)地址分配盡量保持不變地址分配應(yīng)本著簡(jiǎn)化路由選擇，充分利用地址空間，兼顧今后網(wǎng)絡(luò)發(fā)展，便于業(yè)務(wù)管理等原則進(jìn)行地址分配方案要采用CIDR和可變長(zhǎng)子網(wǎng)掩碼技術(shù)充分考慮未來(lái)在若干節(jié)點(diǎn)可能采用保留地址與合法地址相結(jié)合使用的方式的系統(tǒng)可擴(kuò)充性基于以上原則，IP地址的劃分應(yīng)具有層次性、有預(yù)留、易管理等特點(diǎn)。建議IP地址的劃分于VLAN關(guān)聯(lián)，一個(gè)VLAN一個(gè)地址段，按實(shí)際情況可以采用可變長(zhǎng)子網(wǎng)掩碼的技術(shù)對(duì)一個(gè)標(biāo)準(zhǔn)網(wǎng)段進(jìn)行再劃分。建議各個(gè)接口地址使用統(tǒng)一的地址位。例如：假設(shè)現(xiàn)有3個(gè)VLAN分別為:VLANVLANVLAN4 三個(gè)VLAN所對(duì)應(yīng)的地址為：、。那針對(duì)這三個(gè)VLAN的各個(gè)接口地址分別為：VLAN2：熱備份漂移地址－ 備份交換設(shè)備的VLAN1接口地址－VLAN3： 備份交換設(shè)備的VLAN1接口地址－VLAN4：熱備份漂移地址－ 備份交換設(shè)備的VLAN1接口地址－注：上述地址只是一個(gè)舉例，具體地址規(guī)劃及配置按實(shí)際情況進(jìn)行分配。VLAN的設(shè)置 劃分依據(jù)以終端用戶(hù)來(lái)分析。假設(shè)按職能或業(yè)務(wù)分成三個(gè)部門(mén)DDD3，各包含若干計(jì)算機(jī)（或服務(wù)器），一個(gè)共用服務(wù)器SERVER。信息流主要集中在SERVER上，不在網(wǎng)絡(luò)層上將它和其他部門(mén)分開(kāi)，通過(guò)授權(quán)就能訪問(wèn)；其中的某個(gè)部門(mén)的某些計(jì)算機(jī)（例如管理者）可以不經(jīng)過(guò)路由訪問(wèn)跨部門(mén)的計(jì)算機(jī)。邏輯上屬于一個(gè)部門(mén)的計(jì)算機(jī)（服務(wù)器在一個(gè)VLAN內(nèi)；邏輯上屬于多個(gè)部門(mén)的計(jì)算機(jī)（服務(wù)器）在多個(gè)VLAN上（例如共用服務(wù)器SERVER或管理臺(tái)席）。設(shè)置VLAN首先明確需求，根據(jù)具體運(yùn)用的需求將聯(lián)網(wǎng)的用戶(hù)劃分為幾個(gè)組，明確組與組之間的互通關(guān)系。如上圖的示例，假設(shè)互通關(guān)系需求下表所示?！　　　　　　　　　　　　』ネP(guān)系需求表計(jì)算機(jī)臺(tái)席部門(mén)說(shuō)明AD1可與D1和D3的F互訪問(wèn)BD1同上CD1同上DD2可與D2和D3的F互訪問(wèn)ED2同上FD3可與DDD3的互訪問(wèn)JD3可與D3和D2互訪問(wèn)HD3可與D3互訪問(wèn)ID3同上SERVER可被所有計(jì)算機(jī)訪問(wèn) 劃分直觀說(shuō)來(lái)，劃分VLAN就是將連接到網(wǎng)絡(luò)上的計(jì)算機(jī)劃分為幾個(gè)組，同組的計(jì)算機(jī)之間的互通需求相同，所有連網(wǎng)的計(jì)算機(jī)劃分為下面三個(gè)組，實(shí)現(xiàn)三個(gè)VLAN。如下表所示。VLAN劃分列表組包含的計(jì)算機(jī)D1A、B、CD2D、ED3F、J、H、ISERVERSERVER 為VLAN分配ID在交換機(jī)上劃分不同VLAN的標(biāo)志就是各個(gè)VLAN的VLAN　ID（　VID）不同。理論上說(shuō)，每一個(gè)VLAN應(yīng)該分配不同的ID，但在實(shí)際應(yīng)用中，如果我們將多個(gè)VLAN分配同樣的ID，在某些特定的條件下是允許的（如兩個(gè)慮擬局域網(wǎng)的實(shí)現(xiàn)在存在交叉點(diǎn)，即任何一臺(tái)交換機(jī)上都不需要同時(shí)實(shí)現(xiàn)的虛擬網(wǎng)）。可以利用下面的表格來(lái)分析。網(wǎng)絡(luò)需求分析組VLANID交換機(jī)1交換機(jī)2交換機(jī)3D11YESNONOD22YESNONOD33YESYESYESD44NOYESNOSERVER5YESYESYES注：表中YES：表示在該交換機(jī)上實(shí)現(xiàn)；NO：不在該交換機(jī)上實(shí)現(xiàn)。 達(dá)到的目標(biāo)同一職能業(yè)務(wù)部門(mén)內(nèi)部可以互訪問(wèn)；跨部門(mén)的訪問(wèn)需要經(jīng)過(guò)核心交換機(jī)的授權(quán)；共用信息被所有的計(jì)算機(jī)訪問(wèn)；其中的某些計(jì)算機(jī)（例如管理）有特別權(quán)限。同時(shí)，達(dá)到提高局域內(nèi)部通信性能、靈活控制訪問(wèn)權(quán)限以提高安全性的目標(biāo)。核心交換與樓層交換的配置舉例核心交換機(jī)采用了華為的9306核心交換，它采用三層交換技術(shù)和樓層交換機(jī)的vlan相配合，通過(guò)外接防火墻到達(dá)上網(wǎng)的目的。其中樓層交換機(jī)之間根據(jù)訪問(wèn)的要求在核心交換機(jī)上統(tǒng)一配置ACL訪問(wèn)控制列表，達(dá)到訪問(wèn)要求，避免木馬和病毒的擴(kuò)散。另外在樓層交換機(jī)上，使所有的登錄用戶(hù)能夠在被允許的情況下訪問(wèn)網(wǎng)絡(luò)，達(dá)到安全的控制。所有的用戶(hù)采用DHCP自動(dòng)分配的方式，提高網(wǎng)絡(luò)的易管理性。無(wú)線網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)介紹我們此次為XXXXX立醫(yī)院設(shè)計(jì)的無(wú)線網(wǎng)絡(luò)平臺(tái)，在可靠性及可預(yù)測(cè)性上得以大幅提升，不僅覆蓋效果更好，信號(hào)也更穩(wěn)定，同時(shí)在數(shù)據(jù)、語(yǔ)音及視頻傳輸方面，均能為用戶(hù)提供更好的移動(dòng)性接入使用體驗(yàn)。有了這個(gè)無(wú)線平臺(tái)，醫(yī)院未來(lái)就能不斷開(kāi)展并移植豐富的應(yīng)用，打造移動(dòng)醫(yī)護(hù)新體驗(yàn)，醫(yī)院醫(yī)護(hù)人員可以隨時(shí)隨地在無(wú)線網(wǎng)絡(luò)中穩(wěn)定地使用各種醫(yī)療應(yīng)用系統(tǒng)，而此前這些系統(tǒng)只能通過(guò)有線網(wǎng)絡(luò)在固定的地點(diǎn)才能實(shí)現(xiàn)，從而大大提升了工作效率。新的無(wú)線網(wǎng)絡(luò)平臺(tái)不僅能夠保證醫(yī)療核心業(yè)務(wù)優(yōu)先使用網(wǎng)絡(luò)，同時(shí)還能夠滿(mǎn)足其他訪客的上網(wǎng)需求，思科的獨(dú)有技術(shù)能夠保證這兩種應(yīng)用完全隔離，從而杜絕安全隱患、實(shí)現(xiàn)實(shí)時(shí)醫(yī)護(hù)、加快醫(yī)護(hù)響應(yīng)速率、提高工作精準(zhǔn)度，更能夠降低醫(yī)療事故發(fā)生率，最終優(yōu)化醫(yī)護(hù)工作流程，提升患者的滿(mǎn)意度。我們此次選用HUAWEI公司的6603128無(wú)線局域網(wǎng)控制器、WA603DE無(wú)線接入點(diǎn)對(duì)XXXXX醫(yī)院進(jìn)行無(wú)線網(wǎng)絡(luò)部署，該系統(tǒng)比單獨(dú)使用胖AP的無(wú)線布置系統(tǒng)更加利于集中控制，統(tǒng)一配置，集中管理，不僅能夠全面兼容現(xiàn)有的無(wú)線局域網(wǎng)標(biāo)準(zhǔn)——，且無(wú)線數(shù)據(jù)傳輸?shù)乃俣葘⑻嵘?00Mbps。（54Mbps）的五倍，同時(shí)還將增加5倍的凈吞吐量，傳輸效果也能獲得明顯改善。同時(shí)，安裝了無(wú)線控制器冗余備份，可以保證無(wú)線網(wǎng)絡(luò)發(fā)生故障時(shí)的網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的無(wú)縫切換，思科無(wú)線網(wǎng)絡(luò)除實(shí)現(xiàn)高級(jí)加密、認(rèn)證等安全技術(shù)外，更能夠進(jìn)行主動(dòng)安全防御，在提供授權(quán)用戶(hù)互聯(lián)網(wǎng)接入服務(wù)的基礎(chǔ)上，完全避免非法無(wú)線接入，防止非授權(quán)人員使用醫(yī)院無(wú)線網(wǎng)絡(luò)，保證病人隱私和信息等數(shù)據(jù)的私密性和完整性。無(wú)線網(wǎng)拓?fù)洌涸O(shè)備介紹核心交換機(jī)Quidway174。 S9306路由交換機(jī)產(chǎn)品概覽　Quidway174。 S9306是華為公司面向以業(yè)務(wù)為核心的網(wǎng)絡(luò)架構(gòu)而推出的新一代高端智能T比特核心路由交換機(jī)。該產(chǎn)品基于華為公司智能多層交換的技術(shù)理念，在提供穩(wěn)定、可靠、安全的高性能L2/L3層交換服務(wù)基礎(chǔ)上，進(jìn)一步提供業(yè)務(wù)流分析、完善的QOS策略、可控組播等智能業(yè)務(wù)優(yōu)化手段，同時(shí)具備超強(qiáng)擴(kuò)展性和可靠性，廣泛適用于運(yùn)營(yíng)商IP城域網(wǎng)，企業(yè)廣域網(wǎng)/城域網(wǎng)，企業(yè)出口/核心/匯聚，高密度千兆桌面接入，以及數(shù)據(jù)中心，幫助電信運(yùn)營(yíng)商和企業(yè)構(gòu)建面向業(yè)務(wù)的網(wǎng)絡(luò)平臺(tái)，提供交換路由一體化的端到端融合網(wǎng)絡(luò)服務(wù)。 S9306提供8插槽，支持不斷擴(kuò)展的交換能力和端口密度。整個(gè)系列秉承模塊通用化、部件歸一化的設(shè)計(jì)理念，最小化備件成本，在保證設(shè)備擴(kuò)展性的同時(shí)最大限度地保護(hù)用戶(hù)投資。此外，S9306作為新一代智能交換機(jī)采用了多種綠色節(jié)能創(chuàng)新技術(shù)，在不斷提升性能及穩(wěn)定性的同時(shí)，大幅降低設(shè)備能源消耗，減小噪聲污染，為網(wǎng)絡(luò)綠色可持續(xù)發(fā)展提供領(lǐng)先的解決方案。 產(chǎn)品特