【文章內(nèi)容簡介】 和管理的各個層面的安全需求，并進(jìn)行了整體安全的設(shè)計。設(shè)備方面，采用的各個層次的設(shè)備都支持了對自身負(fù)責(zé)層面的安全功能，從接入層、匯聚層到核心層，都進(jìn)行了安全方面的考慮和設(shè)計；如接入層面提供的VLAN、。防ARP功能、ACL功能提供對ARP病毒和常見的蠕蟲、沖擊波等病毒的防范。數(shù)據(jù)層面，對數(shù)據(jù)在各個系統(tǒng)層面的傳輸都考慮的安全方面的設(shè)計。管理層面，提供SSHv1/v2的加密登陸和管理功能，在遠(yuǎn)程登錄設(shè)備的時候發(fā)送的數(shù)據(jù)都是經(jīng)過機(jī)密的，避免管理信息明文傳輸引發(fā)的潛在威脅；Telnet/Web登錄的源IP限制功能，限制只有合法IP的終端才能登陸管理設(shè)備，避免非法人員對網(wǎng)絡(luò)設(shè)備的管理；SNMPV3提供加密和鑒別功能，可以確保數(shù)據(jù)從合法的數(shù)據(jù)源發(fā)出，確保數(shù)據(jù)在傳輸過程中不被篡改，并且加密報文，確保數(shù)據(jù)的機(jī)密性。 網(wǎng)間隔離網(wǎng)絡(luò)隔離技術(shù)是指兩個或兩個以上的計算機(jī)或網(wǎng)絡(luò)在斷開連接的基礎(chǔ)上，實現(xiàn)信息交換和資源共享，也就是說，通過網(wǎng)絡(luò)隔離技術(shù)既可以使兩個網(wǎng)絡(luò)實現(xiàn)物理上的隔離，又能在安全的網(wǎng)絡(luò)環(huán)境下進(jìn)行數(shù)據(jù)交換。網(wǎng)絡(luò)隔離技術(shù)的主要目標(biāo)是將有害的網(wǎng)絡(luò)安全威脅隔離開，以保障數(shù)據(jù)信息在可信網(wǎng)絡(luò)內(nèi)在進(jìn)行安全交互。目前，一般的網(wǎng)絡(luò)隔離技術(shù)都是以訪問控制思想為策略，物理隔離為基3 拓?fù)鋱D及方案整體描述礎(chǔ)，并定義相關(guān)約束和規(guī)則來保障網(wǎng)絡(luò)的安全強度。目前，網(wǎng)絡(luò)隔離技術(shù)主要經(jīng)歷了如下幾個階段：其一，完全隔離，該方法是對網(wǎng)絡(luò)采用完全的物理隔離，但同時也大大增加了網(wǎng)絡(luò)數(shù)據(jù)交互、資源共享、維護(hù)運營的成本；其二，硬件隔離，該方法通過在網(wǎng)絡(luò)客戶端添加硬件卡，并利用該卡來控制客戶端來選擇不同的網(wǎng)絡(luò)接口，連接到不同的網(wǎng)絡(luò)；其三，數(shù)據(jù)隔離，該方法的基本策略是利用轉(zhuǎn)播系統(tǒng)分時復(fù)制文件的途徑，但也存在訪問速度緩慢等問題；其四，安全通道隔離，該方法是通過利用專用硬件、安全協(xié)議等方式來實現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離，而且具有較高的數(shù)據(jù)交換、資源共享效率，并是未來網(wǎng)絡(luò)隔離技術(shù)的重要發(fā)展趨勢。我們所用的是雙網(wǎng)隔離方案。這種方案適合大、中型機(jī)構(gòu)的局域網(wǎng)布局。在這樣的機(jī)構(gòu)中，原有的網(wǎng)絡(luò)布局，按國家保密局物理隔離要求，必須分杵獨立的內(nèi)部安全網(wǎng)和外部公共網(wǎng)，內(nèi)外網(wǎng)之間完全隔離。公共網(wǎng)通過網(wǎng)關(guān)和路由器連接INTERNET（視需要也要考慮安裝防火墻、入侵檢測及防病毒等安全防護(hù)措施），而部分計算機(jī)則需要連接兩個網(wǎng)絡(luò)工作，這些連接了內(nèi)外雙網(wǎng)的工作站計算機(jī)需要安裝網(wǎng)絡(luò)安全隔離卡。還有一些機(jī)構(gòu)的網(wǎng)絡(luò)由于內(nèi)部功能的劃分，本身就有幾個分離的網(wǎng)絡(luò)，采用我們的物理隔離方案將更好的把這些網(wǎng)絡(luò)整和在一起，變?yōu)橐粋€全范圍公共網(wǎng)加上幾個內(nèi)部安全子網(wǎng)的多網(wǎng)互通的有效網(wǎng)絡(luò)格局。3 拓?fù)鋱D及方案整體描述 主干網(wǎng)傳輸方案設(shè)計根據(jù)現(xiàn)有的結(jié)構(gòu)和設(shè)備，在充分考慮保護(hù)原有投資的情況下，采用模塊化結(jié)構(gòu)設(shè)計，實現(xiàn)醫(yī)院網(wǎng)典型的星形結(jié)構(gòu)。主干網(wǎng)為核心交換機(jī)與各樓之間的網(wǎng)絡(luò)。整個結(jié)構(gòu)規(guī)劃成三層架構(gòu)，核心匯聚接入。核心和匯聚之間溝通全院網(wǎng)絡(luò)的骨干，并采用雙核心雙鏈路設(shè)計。在這種架構(gòu)下，只要核心交換機(jī)出現(xiàn)錯誤，這個網(wǎng)絡(luò)就會癱瘓，而每條支路出現(xiàn)故障，其他各支路不會受到影響。這種結(jié)構(gòu)下，規(guī)劃了5個匯聚點：服務(wù)器區(qū)域匯聚點、住院部匯聚點、行政樓樓匯聚點、內(nèi)科樓匯聚點、外科樓匯聚點、門診樓匯聚點、營養(yǎng)樓匯聚點。這樣的規(guī)劃，實現(xiàn)了核心匯聚接入、雙核心雙鏈路、模塊化分區(qū)。全網(wǎng)的整體網(wǎng)絡(luò)轉(zhuǎn)發(fā)性能最高、全網(wǎng)的可擴(kuò)展性最高。 Internet接入方案接入層到網(wǎng)絡(luò)中心一般距離都比較遠(yuǎn)，因此使用光纖從接入層接入到網(wǎng)絡(luò)中心核心層以及匯聚層，而終端連接到接入層，網(wǎng)絡(luò)中心設(shè)備之間的連接都是用以太網(wǎng)。對于網(wǎng)絡(luò)出外網(wǎng)，可以租用專線進(jìn)行Internet的接入，也可以使用城域網(wǎng)進(jìn)行接入。對于內(nèi)網(wǎng)，為了保護(hù)內(nèi)網(wǎng)私有地址的信息從而達(dá)到一定的安全性，并且也可以解決IP地址緊缺的問題，在出口路由器上使用NAT技術(shù)進(jìn)行Internet的接入。 遠(yuǎn)程訪問支持由于醫(yī)院能夠申請到的IP地址非常有限，通常是十幾個到幾十個，所以不能給每臺機(jī)器機(jī)器都分配合法的IP地址，為了保證每個節(jié)點都能瀏覽INTERNET上的豐富信息，需要采用代理服務(wù)器的方式，即選一臺或幾臺服務(wù)器安裝代理服務(wù)器軟件Proxy Server，綁定兩個IP地址，其中一個是合法地址與保證可以訪問到外面，另一個是內(nèi)部的IP地址與保證可以被內(nèi)部地址訪問，所有終端都配成內(nèi)部IP地址，當(dāng)它們想訪問外部網(wǎng)絡(luò)的時候，先訪問代理服務(wù)器，再由代理服務(wù)器訪問外面，然后把訪問結(jié)果帶回來。 子網(wǎng)劃分與VLAN設(shè)定了解了蘭大一院相關(guān)科室的分布之后，決定按照科室而不是基于樓棟進(jìn)行VLAN的劃分，這樣劃分之后能夠?qū)㈤T診大樓與相關(guān)的?？拼髽锹?lián)系起來，使得門診醫(yī)生與水平更高的相關(guān)專科醫(yī)生之間能夠快速的交流，讓病人能夠得到很好的服務(wù)。： VLAN劃分VLAN 號VLAN名稱IP網(wǎng)段網(wǎng)關(guān)描述VLAN 100Zhongduan終端控制VLAN 102Jizhen急診室VLAN 104Jianchalei檢查科VLAN 106Erke兒科VLAN 108Guke骨科VLAN 110Puwaike普通外科VLAN 112Miniaoke泌尿科VLAN 114Zhengxing整形外科VLAN 116Kangfuke康復(fù)科VLAN 118Zhongliuke腫瘤科VLAN 120Gandanke肝膽科VLAN 122Shenke腎科VLAN 124Xinxiongke心胸外科VLAN 126shenjingke神經(jīng)科VLAN 128Laonianke老年病科VLAN 130Fuke婦科VLAN 132Huxike呼吸內(nèi)科VLAN 134Xiaohuake消化內(nèi)科VLAN 136Neifenmi內(nèi)分泌科VLAN 138Xueyeke血液科VLAN