醫(yī)院網(wǎng)絡(luò)規(guī)劃建議(共9頁)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上北京大學人民醫(yī)院網(wǎng)絡(luò)規(guī)劃建議人民醫(yī)院在HIS系統(tǒng)升級的同時有必要進行網(wǎng)絡(luò)的全面升級，以保證全系統(tǒng)的穩(wěn)定、可靠、安全運行，避免由于網(wǎng)絡(luò)癱瘓和延時造成HIS系統(tǒng)的不穩(wěn)定。在網(wǎng)絡(luò)的設(shè)計方面我們提出的設(shè)計模型，其設(shè)計思想是建立在保證網(wǎng)絡(luò)穩(wěn)定性與可靠性及冗余備份基礎(chǔ)之上的，并充分利用了Cisco網(wǎng)絡(luò)設(shè)備的領(lǐng)先技術(shù)，可以為HIS軟件系統(tǒng)提供穩(wěn)定的運行環(huán)境以及可擴展的高帶寬傳輸。以下是就網(wǎng)絡(luò)模型的簡單描述：該網(wǎng)絡(luò)的核心采用兩臺Cisco Catalyst 6509交換機，建立冗余的核心路由、交換矩陣，其配置根據(jù)HIS系統(tǒng)業(yè)務(wù)流量選擇平衡（相同配置的雙機）結(jié)構(gòu)。由于人民醫(yī)院HIS系統(tǒng)

2、配有大量服務(wù)器，平衡配置的雙核心交換機將使業(yè)務(wù)流量均衡的分配在其上，這樣將充分利用兩臺核心的處理能力，也會使下聯(lián)匯聚層交換機的鏈路帶寬得到充分的發(fā)揮，因此選擇平衡配置的雙核心交換機，并利用GigaChannel技術(shù)在兩交換機之間建立8G16G（48條線路）的無阻塞通道，保證兩臺核心交換機之間的大量數(shù)據(jù)的傳輸。網(wǎng)絡(luò)匯聚層根據(jù)級聯(lián)設(shè)備的數(shù)量以及流量分配有選擇的配置三層交換機。對于關(guān)鍵業(yè)務(wù)以及數(shù)據(jù)傳輸量較大的部門除配置普通Cisco Catalyst 2950系列二層接入交換機以外還可配置一臺Cisco Catalyst 3550系列路由交換機，通過千兆光纖分別連接兩臺核心交換機，這樣不僅可以提供2

3、G的傳輸帶寬，而且當任一核心交換機宕機時接入交換機仍然可以連接HIS系統(tǒng)主機，以此有效的保證全院PC機與HIS數(shù)據(jù)庫之間的不間斷訪問。網(wǎng)絡(luò)中的HIS主機集群系統(tǒng)同時連接兩臺核心交換機，可以避免系統(tǒng)主機和網(wǎng)絡(luò)核心單點故障的同時發(fā)生，使全系統(tǒng)具備更高的可靠性，保證醫(yī)院關(guān)鍵業(yè)務(wù)的無間斷處理能力。其它專業(yè)應(yīng)用服務(wù)器可根據(jù)使用情況直接接入核心交換機，以提供較高的訪問帶寬。通過如上網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計不僅可以使本院網(wǎng)絡(luò)系統(tǒng)更加可靠、穩(wěn)定，而且可為今后的醫(yī)療信息化改造建立堅實的網(wǎng)絡(luò)基礎(chǔ)。網(wǎng)絡(luò)核心Cisco Catalyst 6509交換機可以提供720G的背板帶寬以及400M的包轉(zhuǎn)發(fā)率，完全可以滿足日后PACS系

4、統(tǒng)應(yīng)用的要求；對于服務(wù)器不斷擴容的需求，該交換機還可提供七層內(nèi)容交換模塊，起到負載均衡的作用，使三層結(jié)構(gòu)HIS系統(tǒng)中的中間件服務(wù)器運行更加穩(wěn)定；同樣對于醫(yī)療信息系統(tǒng)將要面對的海量存儲問題，該交換機也可以提供包括CWDM和10G Ethernet技術(shù)在內(nèi)的全面解決方案，保證系統(tǒng)對在/近線存儲的帶寬要求。匯聚層Cisco Catalyst 3550三層交換機可以靈活的為網(wǎng)絡(luò)提供多種服務(wù)，包括訪問控制列表（ACL）、QoS、802.1X、EtherChannel等技術(shù)，對于保證網(wǎng)絡(luò)的安全、帶寬等都具有實際應(yīng)用價值，并為今后網(wǎng)絡(luò)系統(tǒng)擴容提供對投資保護。北京大學人民醫(yī)院網(wǎng)絡(luò)系統(tǒng)升級的主要技術(shù)優(yōu)勢可以概括

5、如下：一、核心雙機網(wǎng)絡(luò)拓撲結(jié)構(gòu)優(yōu)勢：1、 雙機網(wǎng)絡(luò)系統(tǒng)具備更高的可靠性；2、 雙機可根據(jù)業(yè)務(wù)量需求提供負載分擔；3、 網(wǎng)絡(luò)系統(tǒng)擴展可以更加靈活；二、匯聚層引入三層交換機的優(yōu)勢：1、 在匯聚層和核心層可以啟用動態(tài)路由（如：RIP或OSPF），這樣可以提高收斂速度（動態(tài)路由協(xié)議收斂速度小于15秒，而SPANNING-TREE協(xié)議的收斂速度為60-120秒）；2、 通過路由策略使匯聚層的三層交換機分擔部分VLAN間流量，以減輕核心交換機的負載；3、 匯聚層三層交換機可以有效防止廣播風暴，并部分阻斷類似BLASTER病毒所造成的大流量端口攻擊；附：人民醫(yī)院網(wǎng)絡(luò)規(guī)劃中應(yīng)考慮的幾個問題一、網(wǎng)絡(luò)認證管理通過

6、對人民醫(yī)院現(xiàn)有網(wǎng)絡(luò)狀況的分析，我們設(shè)計的網(wǎng)絡(luò)認證模式將融合現(xiàn)有的“域”和 “IEEE 802.1X”兩項技術(shù)，針對連接HIS核心數(shù)據(jù)庫的用戶進行“域+802.1X”的雙重認證，而對于一般接入用戶只進行“802.1X”認證。以上的認證方式雖然較為復雜，但是全面的認證管理不僅可以切斷非醫(yī)院內(nèi)部人員的非法接入，而且可以簡化對網(wǎng)絡(luò)故障（病毒）源的排查，從而為人民醫(yī)院的整個網(wǎng)絡(luò)提供安全可靠的管理。以下對802.1X技術(shù)的分析可以更加明確該認證形式對人民醫(yī)院網(wǎng)絡(luò)的適用性1、 802.1X認證協(xié)議介紹802.1X是一個嶄新的通用認證協(xié)議，是一種對用戶進行認證的方法和策略。它是基于端口的認證策略（這里的端口可

7、以是物理端口也可以邏輯端口）。802.1X的認證的最終目的就是確定一個端口是否可用。對于一個端口，如果認證成功那么就“打開”這個端口，允許文所有的報文通過；如果認證不成功就使這個端口保持“關(guān)閉”，此時只允許802.1X的認證報文EAPOL（Extensible Authentication Protocol over LAN）通過。2、 802.1x認證體系結(jié)構(gòu)802.1X的認證體系分為三部分結(jié)構(gòu)：A、Supplicant System，客戶端(PC/網(wǎng)絡(luò)設(shè)備)Supplicant SystemClient（客戶端）是需要接入LAN，及享受switch提供服務(wù)的設(shè)備（如PC機），客戶端需要支持

8、EAPOL協(xié)議，客戶端必須運行802.1X客戶端軟件，如：802.1X-Complain，Windows XP。 B、Authenticator System，認證系統(tǒng)Authenticator SystemSwitch（邊緣交換機或無線接入設(shè)備）是根據(jù)客戶的認證狀態(tài)控制物理接入的設(shè)備，Switch在客戶和認證服務(wù)器間充當代理角色（Proxy）。Switch與Client間通過EAPOL協(xié)議進行通訊，Switch與認證服務(wù)器間通過EAPoRadius或EAP承載在其他高層協(xié)議上，以便穿越復雜的網(wǎng)絡(luò)到達Authentication Server（EAP Relay）；Switch要求客戶端提供I

9、dentity，接收到后將EAP報文承載在Radius格式的報文中，再發(fā)送到認證服務(wù)器，返回等同；Switch根據(jù)認證結(jié)果控制端口是否可用。C、Authentication Server System，認證服務(wù)器Authentication server（認證服務(wù)器）對客戶進行實際認證，認證服務(wù)器核實客戶的Identity，通知Swtich是否允許客戶端訪問LAN和交換機提供的服務(wù)Authentication Sever接受Authenticator傳遞過來的認證需求，認證完成后將認證結(jié)果下發(fā)給 Authenticator，完成對端口的管理。3、 802.1X認證服務(wù)實施如圖所示：用戶PC作為

10、802.1X的客戶端Supplicant，與之直接相連的接入交換機作為認證者Authenticator，認證點發(fā)生在與用戶直接相連的端口上，接入交換機與Radius服務(wù)器通過EAPoRADIUS完成對用戶的認證。這種方式在最大限度上保證了網(wǎng)絡(luò)的安全，用戶只有在完成了認證后，才能對網(wǎng)絡(luò)產(chǎn)生流量。采用這種方案時，由于對用戶接入網(wǎng)絡(luò)的控制和認證是在第二層完成的，因此第三層的IP地址分配還可以通過DHCP服務(wù)器來分配（兩種網(wǎng)絡(luò)服務(wù)相互不會發(fā)生沖突），并可通過與MAC地址的綁定實現(xiàn)更高級別的安全管理。由于在802.1X認證通過之前用戶不能對網(wǎng)絡(luò)產(chǎn)生流量，因此也可以將Deny of Service攻擊風險

11、降到最低。4、 802.1x認證的主要認證特點是： 1、 簡潔高效：純以太網(wǎng)技術(shù)內(nèi)核，保持IP網(wǎng)絡(luò)無連接特性，消除網(wǎng)絡(luò)認證計費瓶頸和單點故障，易于支持未來多業(yè)務(wù)；2、 容易實現(xiàn)：可在L3、L2交換機上實現(xiàn)，網(wǎng)絡(luò)綜合造價成本低；3、 安全可靠：在二層網(wǎng)絡(luò)上實現(xiàn)用戶認證，結(jié)合IP地址、MAC、端口、賬戶和密碼綁定技術(shù)，防止了用戶的假冒和IP地址的盜用，使網(wǎng)絡(luò)具有很高的安全性；4、 行業(yè)標準：IEEE標準，微軟操作系統(tǒng)內(nèi)置支持；二、 網(wǎng)絡(luò)安全管理經(jīng)過對人民醫(yī)院現(xiàn)有網(wǎng)絡(luò)安全的分析，我們認為在以下幾個方面需要完善：1、 透過Internet直接向局域網(wǎng)發(fā)動攻擊入侵。這種形式的不安全隱患雖然存在，但是對人

12、民醫(yī)院的核心業(yè)務(wù)影響相對較小，而且可以在網(wǎng)絡(luò)中通過安裝防火墻屏蔽大部分的惡意入侵；2、 局域網(wǎng)中非授權(quán)用戶改用合法IP地址，并盜用醫(yī)院系統(tǒng)內(nèi)部的資源。這種不安全隱患可以通過實施基于網(wǎng)絡(luò)認證管理機制的措施完全消除，在系統(tǒng)級管理手段中完全可以通過“域”內(nèi)的統(tǒng)一安全策略加強對核心業(yè)務(wù)的保護；3、 局域網(wǎng)中部分低安全管理級別的計算機可對網(wǎng)絡(luò)核心業(yè)務(wù)區(qū)域中的計算機和服務(wù)器進行非惡意性攻擊，其主要形式多為由于感染病毒，對網(wǎng)絡(luò)資源無限制的吞噬，造成網(wǎng)絡(luò)設(shè)備與服務(wù)器的宕機，從而嚴重影響醫(yī)院的正常業(yè)務(wù)處理。針對這種情況我們設(shè)計了兩種措施，以此提供醫(yī)療系統(tǒng)全面的安全保護。3.1 通過在匯聚層交換機與核心交換機（物

13、理或邏輯）端口上配置訪問控制列表，通過端口級QoS技術(shù)（Port Rate-Limited）對于非關(guān)鍵業(yè)務(wù)涉及的用戶設(shè)定線路最高占用帶寬，保證為HIS業(yè)務(wù)預留足夠的數(shù)據(jù)傳輸帶寬。這種安全保護措施雖然較被動，但是可以保證網(wǎng)絡(luò)系統(tǒng)在遭受病毒攻擊時仍然可以為醫(yī)院的關(guān)鍵業(yè)務(wù)提供有效的服務(wù)。3.2 在網(wǎng)絡(luò)系統(tǒng)中部署入侵檢測系統(tǒng)（IDS），建立主動、智能的安全保護機制。入侵檢測技術(shù)是一種主動保護自己免受攻擊的網(wǎng)絡(luò)安全技術(shù)，作為其它安全機制的補充，入侵檢測能夠幫助網(wǎng)絡(luò)系統(tǒng)應(yīng)對網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測系統(tǒng)（Intrusion Detection System）軟件具有全面的入侵監(jiān)測、防護能力。它可以