信息網(wǎng)絡與網(wǎng)絡安全方案

本文格式為Word版，下載可任意編輯——信息網(wǎng)絡與網(wǎng)絡安全方案3.2、信息網(wǎng)絡與網(wǎng)絡安全3.2.1xxxxx醫(yī)院需求分析及設計原則目前，xxxxx醫(yī)院要求在新建的網(wǎng)絡上應用醫(yī)院的HIS、pacs等系統(tǒng)，好多傳統(tǒng)業(yè)務都漸漸遷移到網(wǎng)絡上，對網(wǎng)絡的性能、安全和穩(wěn)定提出了很高的要求，主要表達在以下幾個方面：

1）可靠迅速的響應以提供更好的醫(yī)療服務由于xxxxx醫(yī)院每天都保持幾千人的門診量，HIS系統(tǒng)每天對后臺數(shù)據(jù)庫的調(diào)用十分頻繁，會產(chǎn)生對比大的數(shù)據(jù)流量，假如這種訪問流量出了問題而導致無法正常進行收費和醫(yī)療診斷，會產(chǎn)生嚴重的社會后果，因此醫(yī)院對網(wǎng)絡的訪問性能有很高的要求。

2）安全的業(yè)務數(shù)據(jù)保證醫(yī)院正常對外服務在醫(yī)院的業(yè)務系統(tǒng)中保存著大量患者的健康信息和過程費用信息，這些數(shù)據(jù)無論對患者還是醫(yī)院都十分關鍵，需要嚴格保密，因此如何保護這些數(shù)據(jù)，對醫(yī)院有著重大的意義。

3）高效的管理推動系統(tǒng)的穩(wěn)定，提高維護的效果如何管好整個醫(yī)院的業(yè)務系統(tǒng)，包括用戶、服務器、數(shù)據(jù)庫、存儲設備和網(wǎng)絡等，提高醫(yī)院管理效率，保證醫(yī)院網(wǎng)絡的正常運轉(zhuǎn)已經(jīng)成為醫(yī)院急需解決的大問題。

4）醫(yī)院數(shù)據(jù)的安全存儲醫(yī)院需要存儲包括病人信息、病案信息、費用信息和影像等數(shù)據(jù)，對數(shù)據(jù)存儲的安全性和擴展性要求十分高。

5）區(qū)域醫(yī)療的建設為了在區(qū)域范圍內(nèi)實現(xiàn)遠程會診、網(wǎng)上學術研討等業(yè)務，迫切需要醫(yī)院之間的資源共享。

3.2.1.1醫(yī)院網(wǎng)絡建設總體需求xxxxx醫(yī)院核心網(wǎng)絡系統(tǒng)用于開展日常醫(yī)療業(yè)務（HIS、LIS、PACS、財務、體檢系統(tǒng)等）的內(nèi)部局域網(wǎng)，系統(tǒng)應穩(wěn)定、實用和安全，具有高寬帶、大容量和高速率等特點，并具備將來擴容和帶寬升級的條件；提供合理、流暢的醫(yī)院網(wǎng)絡安全管理軟件平臺。建設完成后的系統(tǒng)滿足xxxxx醫(yī)院的運行要求，并且三到五年內(nèi)技術不落后。

?網(wǎng)絡設計要求：

1、實現(xiàn)骨干萬兆，桌面1000M接入的網(wǎng)絡結構。

2、骨干設備具有高性能、高可靠特性，關鍵部件需要冗余配置。

3、配備的網(wǎng)管軟件應提供可視的形象化的圖形界面，對整個網(wǎng)絡中網(wǎng)絡產(chǎn)品的全部設備和端口進行監(jiān)視和管理。

4、交換機互連采用鏈路冗余連接。

5、由于醫(yī)療行業(yè)的特別性，醫(yī)護人員和病患者之間需要頻繁地在院內(nèi)移動、同時處理大量的信息，要求網(wǎng)絡具備可移動性、傳輸速率高等特點。同時考慮到醫(yī)院業(yè)務量的增加，網(wǎng)絡需要留出足夠余地擴容而不影響醫(yī)院正常的工作。

3.2.1.2內(nèi)網(wǎng)需求內(nèi)網(wǎng)是醫(yī)院核心網(wǎng)絡系統(tǒng)，用于開展日常醫(yī)療業(yè)務（HIS、LIS、PACS、財務、體檢系統(tǒng)等）的內(nèi)部局域網(wǎng)，系統(tǒng)應穩(wěn)定、實用和安全，具有高寬帶、大容量和高速率等特點，并具備將來擴容和帶寬升級的條件。

網(wǎng)絡設計要求：

1、實現(xiàn)萬兆主干，千兆接入到桌面；2、配備的網(wǎng)管軟件應提供可視的形象化的圖形界面，對整個網(wǎng)絡中網(wǎng)絡產(chǎn)品的全部端口進行監(jiān)視和管理；

3、交換機互連采用多條鏈路捆綁，防止鏈路瓶頸，并提供鏈路冗余。

4、部分設備節(jié)點實現(xiàn)熱備、冗余，保證業(yè)務正常運行。

由于醫(yī)療行業(yè)的特別性，醫(yī)護人員和病患者之間需要頻繁地在院內(nèi)移動、同時處理大量的信息，要求網(wǎng)絡具備可移動性、傳輸速率高等特點。同時考慮到醫(yī)院業(yè)務量的增加，網(wǎng)絡需要留出足夠余地擴容而不影響醫(yī)院正常的工作。

網(wǎng)絡應用設計要求：

1、院內(nèi)核心網(wǎng)絡系統(tǒng)HIS、PACS和LIS、體檢系統(tǒng)等應用分別單獨組網(wǎng)。以子網(wǎng)的形式組成醫(yī)院的整體網(wǎng)絡。各網(wǎng)絡功能獨立應用，信息互通，資源共享；當任何一個子網(wǎng)出現(xiàn)故障，都不會影響到其他子網(wǎng)的使用。

2、住院病區(qū)考慮到無線查房的需要，需要部署無線網(wǎng)絡。

3、醫(yī)院網(wǎng)絡邊界部署安全防衛(wèi)設備。

3、傳輸動態(tài)圖像的部門有：放射影像科、PET/CT、核磁共振MRI、介入放射科DSA、B超室、心超室、腦超室、心電圖室、肌電圖室、胃腸鏡室、內(nèi)窺鏡室、重癥監(jiān)護室（ICU、CCU等）、手術室、麻醉科、視頻示教室和會議室等。

4、醫(yī)保(包括省醫(yī)保、市醫(yī)保、區(qū)醫(yī)保以及市公費醫(yī)療)是專線接入。須配置醫(yī)院內(nèi)網(wǎng)與專線網(wǎng)的接口。

5、為了更好地服務于醫(yī)療科研工作，需要將各類監(jiān)護治療儀器上的各項生命體征等信息以數(shù)字化手段采集并且保存下來，在需要時，可隨時還原。因此，須考慮將醫(yī)院所有的監(jiān)護儀器和大型設備都聯(lián)網(wǎng)。

3.2.1.3外網(wǎng)需求外網(wǎng)原則上是指除醫(yī)院內(nèi)網(wǎng)之外的所有網(wǎng)絡系統(tǒng)，包括INTERNET、銀聯(lián)系統(tǒng)、醫(yī)院圖書館知識管理平臺、和市衛(wèi)生局聯(lián)網(wǎng)的應急系統(tǒng)、辦公自動化系統(tǒng)、電視監(jiān)控信號傳輸、BA、安防監(jiān)控、視頻會議系統(tǒng)、公共區(qū)域無線上網(wǎng)等。

1、應急系統(tǒng)也是衛(wèi)生局專線接入，通過外網(wǎng)接口和院內(nèi)視頻會議系統(tǒng)連接。

2、銀聯(lián)系統(tǒng)是用各POS機終端通過外網(wǎng)接口與原銀聯(lián)系統(tǒng)連接。

3、Internet網(wǎng)提供遠程醫(yī)療、遠程教育、局辦公自動化服務、醫(yī)療設備遠程維護等。

4、醫(yī)院內(nèi)部職工文獻檢索及知識管理平臺集中在電子圖書館，但須在所有辦公場所、住院樓病房、宿舍等地方預留Internet網(wǎng)接口。

6、院內(nèi)電視監(jiān)控系統(tǒng)采集的信號需要從醫(yī)院外網(wǎng)系統(tǒng)上傳輸，需預留外網(wǎng)接口。

7、可以實現(xiàn)手術示教。

3.2.1.4網(wǎng)絡安全需求為了應對現(xiàn)在層出不窮的網(wǎng)絡安全問題，在設計整個網(wǎng)絡系統(tǒng)的過程中要充分考慮到利用防火墻等設備以及殺毒軟件的協(xié)同使用，解決醫(yī)院目前現(xiàn)有系統(tǒng)及新建系統(tǒng)的網(wǎng)絡安全問題?；疽龅剑汗收吓懦?、災難恢復、查找攻擊源、實時檢索日志文件、即時查殺病毒、即時網(wǎng)絡監(jiān)控等。

1、故障排除：要求做到一旦網(wǎng)絡出現(xiàn)異常，如無法訪問網(wǎng)絡，網(wǎng)絡訪問異常等，要能提供及時、有效的服務，在短的時間內(nèi)恢復網(wǎng)絡應用。

2、災難恢復：要求做到設備遇到物理損害網(wǎng)絡應用異常時通過備品備件，快速恢復網(wǎng)絡硬件環(huán)境;通過備份文件的復原，盡快恢復網(wǎng)絡的電子資源;在最短的時間內(nèi)恢復整個網(wǎng)絡應用。

3、查找攻擊源：要求做到發(fā)現(xiàn)網(wǎng)絡遭到攻擊，需要通過日志文件等信息，確定攻擊的來源，為進一步采取措施提供依據(jù)。

4、實時檢索日志文件：要求做到能實時查看當時存在的針對本網(wǎng)絡的攻擊并查找出攻擊源。假如攻擊強度超出網(wǎng)絡能夠承受的范圍，可采取進一步措施進行防范。

5、即時查殺病毒：要求做到網(wǎng)絡中出現(xiàn)病毒，通過及時有效的技術支持，在最短的

時間內(nèi)查處感染病毒的主機并即時查殺病毒，恢復網(wǎng)絡應用。

6、即時網(wǎng)絡監(jiān)控：要求通過網(wǎng)絡監(jiān)控，盡可能發(fā)現(xiàn)網(wǎng)絡中存在的前期網(wǎng)絡故障，在故障擴大化以前及時進行防治。

3.2.1.5網(wǎng)絡設計原則基于xxxxx醫(yī)院目前網(wǎng)絡現(xiàn)狀和未來業(yè)務發(fā)展的要求，在xxxxx醫(yī)院網(wǎng)絡設計構建中，應始終堅持以下建網(wǎng)原則：

1、實用性：整個網(wǎng)絡系統(tǒng)具有較高的實用性；2、時效性：網(wǎng)絡應保證各類業(yè)務數(shù)據(jù)流的及時傳輸，網(wǎng)絡時效性要強，網(wǎng)絡延時要小，確保業(yè)務的實時高效；3、可靠性：網(wǎng)絡系統(tǒng)的穩(wěn)定可靠是應用系統(tǒng)正常運行的關鍵保證，在網(wǎng)絡設計中選用高可靠性網(wǎng)絡產(chǎn)品，合理設計網(wǎng)絡架構，制訂可靠的網(wǎng)絡備份策略，保證網(wǎng)絡具有故障自愈的能力，最大限度地支持醫(yī)院各業(yè)務系統(tǒng)的正常運行。必需滿足724365小時連續(xù)運行的要求。在故障發(fā)生時，網(wǎng)絡設備可以快速自動地切換到備份設備上；4、完整性：網(wǎng)絡系統(tǒng)應實現(xiàn)端到端的、能整合數(shù)據(jù)、語音和圖像的多業(yè)務應用，滿足全網(wǎng)范圍統(tǒng)一的實施安全策略、QoS策略、流量管理策略和系統(tǒng)管理策略的完整的一體化網(wǎng)絡；5、技術先進性和實用性--保證滿足醫(yī)院應用系統(tǒng)業(yè)務的同時，又要表達出網(wǎng)絡系統(tǒng)的先進性。在網(wǎng)絡設計中要把先進的技術與現(xiàn)有的成熟技術和標準結合起來，充分考慮到醫(yī)院網(wǎng)絡目前的現(xiàn)狀以及未來技術和業(yè)務發(fā)展趨勢。

6、高性能醫(yī)院網(wǎng)絡性能是醫(yī)院整個網(wǎng)絡良好運行的基礎，設計中必需保障網(wǎng)絡及設備的高吞吐能力，保證各種信息（數(shù)據(jù)、語音、圖像）的高質(zhì)量傳輸，才能使網(wǎng)絡不成為一眼業(yè)務開展的瓶頸。

7、標準開放性--支持國際上通用標準的網(wǎng)絡協(xié)議（如IP）、國際標準的大型的動態(tài)路由協(xié)議等開放協(xié)議，有利于以保證與其它網(wǎng)絡(如公共數(shù)據(jù)網(wǎng)、金融網(wǎng)絡、外聯(lián)機構其它

網(wǎng)絡)之間的平滑連接互通，以及將來網(wǎng)絡的擴展。

8、靈活性及可擴展性--根據(jù)未來業(yè)務的增長和變化，網(wǎng)絡可以平滑地擴展和升級，減少最大程度的減少對網(wǎng)絡架構和現(xiàn)有設備的調(diào)整。網(wǎng)絡要具有面向未來的良好的伸縮性能，既能滿足當前的需求，又能支持未來業(yè)務網(wǎng)點、業(yè)務量、業(yè)務種類的擴展和與其它機構或部門的連接等對網(wǎng)絡的擴展性要求。

9、可管理性--對網(wǎng)絡實行集中監(jiān)測、分權管理，并統(tǒng)一分派帶寬資源。選用先進的網(wǎng)絡管理平臺，具有對設備、端口等的管理、流量統(tǒng)計分析功能以及可提供故障自動報警。

10、安全性--制訂統(tǒng)一的骨干網(wǎng)安全策略，整體考慮網(wǎng)絡平臺的安全性。能有效防止網(wǎng)絡的非法訪問，保護關鍵數(shù)據(jù)不被非法竊取、篡改或泄漏，使數(shù)據(jù)具有極高的安全性；11、保護現(xiàn)有投資--在保證網(wǎng)絡整體性能的前提下，充分利用現(xiàn)有的網(wǎng)絡設備或做必要的升級，用作骨干網(wǎng)外聯(lián)的接入設備，網(wǎng)絡的投資應隨著網(wǎng)絡的伸縮能夠持續(xù)發(fā)揮作用，保護現(xiàn)有網(wǎng)絡的投資，充分發(fā)揮網(wǎng)絡投資的最大效益。

3.2.1.5.1核心層需求分析xxxxx醫(yī)院網(wǎng)絡核心設備擔負著連接接入層、服務器群和辦公大樓網(wǎng)絡的工作，通過核心設備的互聯(lián)，形成一套完整的網(wǎng)絡。由于核心層設備擔負著整個網(wǎng)絡的流量，在網(wǎng)絡核心層的流量是十分巨大的，所有的服務器均在網(wǎng)絡的核心層提供相關的服務。對網(wǎng)絡核心層的壓力十分巨大。同時網(wǎng)絡對安全性、穩(wěn)定性的要求極高，由于網(wǎng)絡也基本是一個金字塔的外形，那么最需要穩(wěn)定的就是金字塔的頂端，即網(wǎng)絡的核心層。

網(wǎng)絡核心層同時需要對網(wǎng)絡的接入層提供不同的網(wǎng)絡層的路由規(guī)劃和信息轉(zhuǎn)發(fā)的功能，同時還需要保證不同級別的網(wǎng)絡QoS，對于服務器的關鍵業(yè)務通過鏈路級和網(wǎng)絡級的協(xié)議實現(xiàn)嚴格的操縱和優(yōu)先級的保證。對于網(wǎng)絡級的保護尋常時間是十分長的，那么對一些關鍵業(yè)務，我們就必需通過結合二層快速收斂的協(xié)議一起來完成對網(wǎng)絡安全性的提升和網(wǎng)絡的自愈能力。設備必需支持對不同部門的規(guī)劃，如實現(xiàn)全網(wǎng)統(tǒng)一VLAN的規(guī)劃等。對每個系統(tǒng)分派不同的VLAN并且針對不同VLAN實現(xiàn)不同的安全和操縱的策

略等。

3.2.1.5.2接入層需求分析網(wǎng)絡的接入是對用戶直接進行數(shù)據(jù)透傳的層次，但是由于網(wǎng)絡的特別性，本次的接入層主要是對一個局域網(wǎng)進行接入。對接入層概念就有了更新的解釋。

對本次的接入層的主要需求的分析如下：

（1）、接入層用戶數(shù)量的大直接產(chǎn)生大量的數(shù)據(jù)報文，造成碰撞域和沖突域，使網(wǎng)絡瓶頸產(chǎn)生于網(wǎng)絡的低層，直接影響接入質(zhì)量。

（2）、接入層用戶數(shù)量大，而所應用的數(shù)據(jù)種類繁多，多種網(wǎng)絡業(yè)務流量的產(chǎn)生，包括組播業(yè)務的產(chǎn)生，對所接入的網(wǎng)絡設備要求很高，使整個接入層產(chǎn)生了一個業(yè)務接入瓶頸。

（3）、網(wǎng)絡的訪問終結于共享數(shù)據(jù)的特定位置，由于接入層用戶需要通過網(wǎng)絡最終訪問位于網(wǎng)絡另一端的共享服務器，而多個用戶同時訪問遠端的同一臺服務器或者存在訪問網(wǎng)絡的其他節(jié)點的服務器，就需要這幾個用戶爭搶網(wǎng)絡帶寬，使接入層瓶頸提升到核心層，造成核心層資源的浪費。并且根據(jù)網(wǎng)絡流量的分析得出用戶的訪問方向是不規(guī)矩的，網(wǎng)絡一定會出現(xiàn)閑置的帶寬的現(xiàn)象，如何規(guī)劃將十分重要。

（4）、網(wǎng)絡流量和網(wǎng)絡流向是寬帶網(wǎng)絡的一個新瓶頸。

對于寬帶網(wǎng)絡接入，接入層網(wǎng)絡的尋常是以新2/8原則來劃分的，其中有20%的流量是在接入層交換機的內(nèi)部進行交換的，而80%的網(wǎng)絡流量是通過上聯(lián)出口訪問其他的網(wǎng)絡設備。這里，就涉及到網(wǎng)絡產(chǎn)生流量后，網(wǎng)絡流向的問題，網(wǎng)絡流向直接造成網(wǎng)絡對于流量和流向所產(chǎn)生的網(wǎng)絡瓶頸。

（5）、網(wǎng)絡用戶是局域網(wǎng)用戶，實際接入的用戶就是一個網(wǎng)絡，那么對于不同網(wǎng)絡之間的互訪的安全性操縱更是由為重要，同時各個不同的機關對本機關內(nèi)部流通的部分文件是要求要有絕對的安全性的，對其他部門的用戶的訪問是分為好多的不同的級別的。

3.2.1.5.3鏈路層需求分析對于xxxxx醫(yī)院這樣的網(wǎng)絡來說，各項業(yè)務的需求，對于網(wǎng)絡的穩(wěn)定性的需求就不言而喻。網(wǎng)絡核心層的采用星型的設計思路，通過以太網(wǎng)的方式同樣需要保證毫秒級的鏈路保護功能。對于鏈路級的保護能夠?qū)崿F(xiàn)對一些基本的鏈路進行備份起到冗余的特性，以便保證在某個物理鏈路斷掉的時候還能保證用戶的數(shù)據(jù)的傳輸功能，同時能夠針對用戶的關鍵的鏈路放置一條專有的鏈路實現(xiàn)備份功能，保證關鍵業(yè)務的不休止的連接。

通過針對網(wǎng)絡級的保護需要針對不同的網(wǎng)絡設備采用不同的網(wǎng)絡級的保護協(xié)議來實現(xiàn)，針對整體的網(wǎng)絡架構提供保護，將網(wǎng)絡的穩(wěn)定性和安全性提供更高的安全性。對于網(wǎng)絡級的保護主要是通過網(wǎng)絡的協(xié)議來實現(xiàn)的。并且網(wǎng)絡的冗余技術有好多不同的實現(xiàn)方式，對于網(wǎng)絡核心層的影響也不盡一致。

同時網(wǎng)絡的穩(wěn)定結構同樣也需要網(wǎng)絡設備自身的穩(wěn)定性和自身的冗余的特性來保證，例如實現(xiàn)網(wǎng)絡設備電源的冗余、網(wǎng)絡操縱板的冗余、無源背板、業(yè)務板件熱拔插等。這樣可以讓設備出現(xiàn)問題的時候不至于會造成網(wǎng)絡設備的癱瘓，可以通過在線更換背板、更換電源以及更換主控網(wǎng)板等方式來實現(xiàn)業(yè)務的不中斷運行。同時可以通過網(wǎng)絡主控板件和業(yè)務板件的業(yè)務熱切換功能實現(xiàn)網(wǎng)絡設備不停機。

3.2.1.6醫(yī)院業(yè)務應用分析3.2.1.6.1醫(yī)院業(yè)務劃分醫(yī)院的業(yè)務系統(tǒng)有好多，而且不同的?？漆t(yī)院業(yè)務系統(tǒng)也有很大區(qū)別，但以下一些業(yè)務系統(tǒng)是醫(yī)院都具有的：

門診系統(tǒng)住院系統(tǒng)體檢系統(tǒng)PACS系統(tǒng)醫(yī)院管理經(jīng)濟系統(tǒng)區(qū)域醫(yī)療系統(tǒng)

3.2.1.6.2應用系統(tǒng)分類醫(yī)院信息系統(tǒng)主要分成以下兩類：

醫(yī)院管理系統(tǒng)門、急診掛號子系統(tǒng)門、急診病人管理及計價收費子系統(tǒng)住院病人管理子系統(tǒng)藥庫、藥房管理子系統(tǒng)病案管理子系統(tǒng)醫(yī)療統(tǒng)計子系統(tǒng)人事、工資管理子系統(tǒng)財務管理與醫(yī)院經(jīng)濟核算子系統(tǒng)醫(yī)院后勤物資供給子系統(tǒng)固定資產(chǎn)、醫(yī)療設備管理子系統(tǒng)院長辦公綜合查詢與輔助決策支持系統(tǒng)臨床醫(yī)療信息系統(tǒng)住院病人醫(yī)囑處理子系統(tǒng)護理信息系統(tǒng)門診醫(yī)生工作站系統(tǒng)臨床試驗室檢查報告子系統(tǒng)醫(yī)學影像診斷報告處理系統(tǒng)放射科信息管理系統(tǒng)手術室管理子系統(tǒng)功能檢查科室信息管理子系統(tǒng)病理卡片管理及病理科信息系統(tǒng)血庫管理子系統(tǒng)營養(yǎng)與膳食計劃管理子系統(tǒng)臨床用藥咨詢與操縱子系統(tǒng)

3.2.1.6.3醫(yī)院業(yè)務系統(tǒng)的需求1）門診系統(tǒng)門診業(yè)務作為醫(yī)院直接面對患者的窗口具有十分重要的地位和自己的特點（包括焦慮的病人無法忍受長時間的等待、門診業(yè)務主要集中在上午等），門診業(yè)務具有可靠性高、并發(fā)性、實時性和突發(fā)性強等特點。因此門診業(yè)務對網(wǎng)絡提出了高可靠性、高帶寬和QoS的要求。

2）住院系統(tǒng)住院業(yè)務是醫(yī)院的另一個主要組成部分，是醫(yī)院經(jīng)濟收入的主要來源，同時還直接關系到重病患者的生命安全，具有以下幾個特點：

住院業(yè)務的網(wǎng)絡上滾動著重癥病人生命數(shù)據(jù)和各種新業(yè)務數(shù)據(jù)；住院業(yè)務保存有患者病案數(shù)據(jù)和住院費用數(shù)據(jù)；醫(yī)生移動查房；病人呼叫系統(tǒng)；網(wǎng)上視頻監(jiān)控系統(tǒng)；針對住院業(yè)務的以上特點，住院業(yè)務對網(wǎng)絡提出了高可靠性、安全存儲、QoS和無線局域網(wǎng)、VoIP和視頻會議系統(tǒng)的需求。

3）體檢系統(tǒng)現(xiàn)在好多醫(yī)院建立專門的體檢大樓，以滿足民眾不斷擴大的體檢需求。從業(yè)務角度上講體檢系統(tǒng)十分簡單，它對網(wǎng)絡的需求主要表達在安全性上，如何保護體檢服務器上體檢人員數(shù)據(jù)安全和體檢大樓網(wǎng)絡安全是醫(yī)院體檢系統(tǒng)解決方案所關注的。

4）PACS系統(tǒng)

醫(yī)院的PACS系統(tǒng)主要是完成對患者的各種影像數(shù)據(jù)進行采集、存儲、傳輸和處理，并在全院范圍內(nèi)進行共享，由于是各種圖形圖像數(shù)據(jù)，因此具有存儲量大的特點，為了更好的服務于醫(yī)院業(yè)務，PACS業(yè)務對支撐系統(tǒng)提出以下要求：存儲量大、擴展性強、數(shù)據(jù)快速存儲、數(shù)據(jù)容災、高帶寬5）管理經(jīng)濟系統(tǒng)醫(yī)院管理經(jīng)濟系統(tǒng)主要是人、財、物的管理，包括人事、財務管理、藥品藥庫管理等，因此它最大的需求是數(shù)據(jù)在服務器端和網(wǎng)絡上的安全，保證這些數(shù)據(jù)不會泄露。

6）區(qū)域醫(yī)療系統(tǒng)一方面為了發(fā)揮中心醫(yī)院的輻射和覆蓋作用，另一方面充分利用各家醫(yī)院的特色科室的力量，區(qū)域醫(yī)療把這些資源進行共享和整合，這需要穩(wěn)定的廣域網(wǎng)連接。

根據(jù)初步的需求，我們依照內(nèi)外網(wǎng)分開的原則，建成后的南擴大樓的新機房將成為以后醫(yī)院的核心，原有機房成為備份冗余機房。

3.2.2xxxxx醫(yī)院網(wǎng)絡規(guī)劃設計3.2.2.1網(wǎng)絡總體設計設計全新的基于純IP技術的網(wǎng)絡平臺來滿足xxxxx醫(yī)院新區(qū)網(wǎng)絡的需求變化。面向網(wǎng)絡資源的有效、高效利用，從網(wǎng)絡架構方面提供優(yōu)化方案，使得核心網(wǎng)、接入網(wǎng)具有更高的可靠性和可控性，同時使得網(wǎng)絡結構與布局在結合實際業(yè)務分布的前提下更加合理。數(shù)字園區(qū)的發(fā)展必然離不開兩個方向，其一是安全性，其二是移動性。這是IP通信技術發(fā)展的方向，滿足這個發(fā)展，首要前提就是讓網(wǎng)絡平臺能夠具備相關技術支撐能力，不管是對信息網(wǎng)絡的優(yōu)化還是對業(yè)務的橫向拓展，都是基于網(wǎng)絡本身是安全有序的，需要從縱向三個維度對所有影響網(wǎng)絡安全的隱患、非法行為進行滲透防衛(wèi)與操縱。

在網(wǎng)絡整體設計中，采用分層、模塊化的網(wǎng)絡設計結構，并嚴格定義各層功能模型，不同層次關注不同的特性配置，將網(wǎng)絡的可靠性、安全性、先進性、易維護性、可擴展

性發(fā)揮到最好，從而最終實現(xiàn)建設完善和先進的數(shù)字化醫(yī)院為目的。xxxxx醫(yī)院采用分層網(wǎng)絡設計模型，將網(wǎng)絡分為以下幾個層次：

?核心層核心層網(wǎng)絡屬于高速主干網(wǎng)絡，其職責是以最快的速度交換數(shù)據(jù)包，對網(wǎng)絡的連通性至關重要，需要提供高等級的可用性，并快速適應網(wǎng)絡變動。

?接入層用戶通過接入層可以訪問網(wǎng)絡設備。在園區(qū)網(wǎng)中，工作站與服務器之間通過接入層網(wǎng)絡來共享或交換傳輸介質(zhì)/設備端口；在WAN環(huán)境中，用戶站點可以利用WAN技術，通過接入層網(wǎng)絡訪問醫(yī)院資源。

當流量通過層次化結構中的收斂點，沿著接入層--核心層傳輸時，流量數(shù)量及其相關的帶寬要求都隨之增加。層次化設計每一層的功能都很明顯，無需全部網(wǎng)絡節(jié)點互聯(lián)的全網(wǎng)狀網(wǎng)絡。

層次化網(wǎng)絡模式由兩個有效的轉(zhuǎn)發(fā)核心節(jié)點組成，當一個節(jié)點發(fā)生故障時，另一節(jié)點可以提供足夠的帶寬和容量來為整個網(wǎng)絡服務。

3.2.2.2內(nèi)網(wǎng)規(guī)劃設計內(nèi)網(wǎng)是整個醫(yī)院的核心網(wǎng)絡，開展醫(yī)院日常重要的醫(yī)療業(yè)務，對網(wǎng)絡的可靠性、穩(wěn)定性要求十分高，本次設計的網(wǎng)絡依照萬兆交換平臺、萬兆骨干網(wǎng)絡、千兆到桌面設計，內(nèi)網(wǎng)核心交換機雙機冗余、負載分擔，并將安全設備以及無線操縱器以插卡形式部署在核心交換機上，實現(xiàn)網(wǎng)絡安全一體化。

在接入層千兆漸漸延伸到桌面已經(jīng)成為最迫切的需要之一，在諸如醫(yī)療行業(yè)的會診、醫(yī)療影像、醫(yī)療科研協(xié)作等，應用在消耗大量帶寬的同時，也在追求終端用戶的滿意度，基于銅纜的千兆以太網(wǎng)可以將更多的應用從低速鏈路中解放出來，并且為醫(yī)務工創(chuàng)新提供了一個嶄新高效能工作平臺。

在終端PC上部署EAD端點準入防衛(wèi)解決方案，從網(wǎng)絡源頭切斷病毒攻擊的來源，大大提升了醫(yī)院的安全管理水平。

醫(yī)院網(wǎng)絡同時承載多種業(yè)務，所有交易業(yè)務都要經(jīng)過核心交換機處理，建議核心交換機以萬兆核心交換機為業(yè)務系統(tǒng)核心交換機，滿足大容量、高性能、高可靠、高安全及

網(wǎng)絡擴展的要求。核心交換機與接入交換機之間的鏈路雙歸屬形成冗余連接，2條物理鏈路間可以實現(xiàn)互為備份。2臺核心之間使用10GE高速鏈路互聯(lián)，之間運行IRF2，兩臺可虛擬為一臺設備，增加帶寬，提高網(wǎng)絡可用率，實現(xiàn)網(wǎng)絡高可靠性。保障核心節(jié)點的高可靠性。數(shù)據(jù)大集中后整個系統(tǒng)將承載多個業(yè)務系統(tǒng)，不同的業(yè)務對網(wǎng)絡的帶寬、時延等要求也不同，這就要求核心交換設備業(yè)務與性能并重。

系列交換機產(chǎn)品是杭州華三通信技術有限公司面向下一代園區(qū)網(wǎng)核心和城域網(wǎng)集聚和數(shù)據(jù)中心業(yè)務集聚而專門設計開發(fā)的核心交換產(chǎn)品。采用先進的CLOS多級多平面交換架構，可以提供持續(xù)的帶寬升級能力，支持40GE和100GE以太網(wǎng)標準，從而為用戶提供有保障的業(yè)務特性的同時保障數(shù)據(jù)報文的線速轉(zhuǎn)發(fā)。

在網(wǎng)絡出口，配置一臺防火墻，假如省醫(yī)保、市醫(yī)保需要通過防火墻接入醫(yī)院的內(nèi)網(wǎng)，根據(jù)以上規(guī)劃設計，內(nèi)網(wǎng)拓撲如下：

3.2.2.3外網(wǎng)規(guī)劃設計由于外網(wǎng)主要用于醫(yī)院OA辦公、圖書館信息查詢、樓內(nèi)視頻監(jiān)控、視頻會議，外網(wǎng)相對于內(nèi)網(wǎng)來說可靠性要求相對級別次低一級，對帶寬的要求也對比高。外網(wǎng)建議采用二層網(wǎng)絡架構：

在接入層，選用千兆二層交換機，系統(tǒng)采用創(chuàng)新的IRF技術，在安全可靠、多業(yè)務融合、易管理和維護等方面為用戶提供全新的技術特性和解決方案，是理想接入交換機。

在核心層，選用作為外網(wǎng)的核心交換機，作為高端多業(yè)務路由交換機，融合了MPLS、IPv6、網(wǎng)絡安全、無線、無源光網(wǎng)絡等多種業(yè)務，提供不休止轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護等多種高可靠技術，在提高用戶生產(chǎn)效率的同時，保證了網(wǎng)絡最大正常運行時間，從而降低了客戶的總擁有成本（TCO）。

防火墻集成防火墻、VPN、內(nèi)容過濾和NAT地址轉(zhuǎn)換等功能，提升了網(wǎng)絡設備的安全業(yè)務能力，為用戶提供全面的安全防護。能提供外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、URL過濾、應用層過濾等功能，有效的保證網(wǎng)絡的安全。采用ASPF（ApplicationSpecificPacketFilter）應用狀態(tài)檢測技術。提供郵件告警、攻擊日志、流日志和網(wǎng)絡管理監(jiān)控等功能，協(xié)助用戶進行網(wǎng)絡管理。根據(jù)以上規(guī)劃設計，外網(wǎng)拓撲如下：

3.2.2.4網(wǎng)絡安全設計參與了大量網(wǎng)絡安全建設實踐后認為：除了在信息傳輸流程中實施安全解決方案之外，還需要進行全局安全管理，這種管理涉及到網(wǎng)絡上的設備、使用者以及業(yè)務，只有對這3者實現(xiàn)閉環(huán)管理，才能對網(wǎng)絡安全狀況了如指掌。因此，xxxxx醫(yī)院建設一個"全局安全管理平臺'是必要的。

以往，在總臺的網(wǎng)絡安全管理中遇到的問題包括：

?對實時安全信息不了解，無法及時發(fā)出預警報告。

?各種安全設備是孤立的，無法相互關聯(lián)，信息共享。

?安全事件發(fā)生以后，無法及時診斷網(wǎng)絡故障的原因，恢復困難。

?網(wǎng)絡安全專家匱乏，沒有足夠的人員去監(jiān)控、分析、解決問題。

根據(jù)在醫(yī)院網(wǎng)絡的經(jīng)驗得出，醫(yī)院網(wǎng)絡安全十分重要，所以一定要從開始就對醫(yī)院網(wǎng)絡做周全、完善的防護措施。

安全統(tǒng)一管理中心心為了保證部署的硬件設備和安全軟件能夠統(tǒng)一的為網(wǎng)絡安全服務，必需要求對全網(wǎng)設備，包括主機和數(shù)據(jù)交互設備進行統(tǒng)一的日志收集和日志分析。這樣就要求必需在網(wǎng)絡當中部署安全管理中心來完成統(tǒng)一的策略規(guī)劃和分析。

收集分析數(shù)據(jù)知識SyslogNetStream二進制日志W(wǎng)MI、APIH3CSecCenter從分布式系統(tǒng)中集中收集、監(jiān)控分析數(shù)據(jù)，并把原始數(shù)據(jù)轉(zhuǎn)換為安全有效信息。安全事件網(wǎng)絡事件系統(tǒng)事件應用事件Netflow網(wǎng)絡安全本質(zhì)上是管理問題。主要功能可管理近100家主流廠家的安全與網(wǎng)絡產(chǎn)品1000+種報表的自動或手工生成流量與攻擊的實時監(jiān)控海量事件關聯(lián)和要挾分析安全審計分析與追蹤溯源主要功能可管理近100家主流廠家的安全與網(wǎng)絡產(chǎn)品1000+種報表的自動或手工生成流量與攻擊的實時監(jiān)控海量事件關聯(lián)和要挾分析安全審計分析與追蹤溯源安全管理中心并不是一個要挾抵御的直接發(fā)起者，而是一個系統(tǒng)規(guī)劃的首腦。所以要求安全管理中心可以提供以下功能：

旁路部署模式，不影響正常業(yè)務和造成瓶頸；具有廣泛的日志采集功能，要求可以對網(wǎng)絡當中的所有設備（防火墻、IPS、交換機、路由器、PC、Server等）進行日志分析；?采用先進的關聯(lián)算法，能夠?qū)θ罩緮?shù)據(jù)依照不同的關聯(lián)組合進行分析；?對安全要挾的實時監(jiān)控功能；?對網(wǎng)絡流量的實時監(jiān)控功能；

?可支持多家廠商的設備日志采集；?提供拓撲發(fā)現(xiàn)功能，并能夠確切迅速的根據(jù)日志定為網(wǎng)絡故障；?對網(wǎng)絡故障提供多種迅速的告警機制；?具有完善的安全審計功能；?對歷史數(shù)據(jù)進行壓縮并可提供高效的查詢機制；?根據(jù)需要提供多種報表；?根據(jù)需求可分步實施的靈活部署方式；根據(jù)以上需求，這里采用一臺安全管理中心作為整個網(wǎng)絡的安全管理中心，對全網(wǎng)設備進行日志分析，幫助定制安全策略。僅僅需要路由可達即可完成上述功能，部署位置相對靈活，建議可以和網(wǎng)絡管理軟件服務器部署在一起，以便利硬件的管理。

醫(yī)院網(wǎng)絡內(nèi)網(wǎng)安全統(tǒng)計說明，在所有的安全事件中，有超過70%是發(fā)生在內(nèi)網(wǎng)上的，并且隨著網(wǎng)絡的巨大化和繁雜化，這一比例仍有增長的趨勢。因此內(nèi)網(wǎng)安全一直是網(wǎng)絡安全建設關注的重點，但是由于內(nèi)網(wǎng)以純二層交換環(huán)境為主、節(jié)點數(shù)量多、分布繁雜、終端用戶安全應用水平參差不齊等原因，一直以來也都是安全建設的難點，這一點對于xxxxx醫(yī)院也是適合的。

內(nèi)網(wǎng)安全的重要性不言而喻，我們建議在xxxxx醫(yī)院所有的計算機上部署EAD（端點防衛(wèi)客戶端），EAD結合IMC智能管理中心平臺能完整的保護內(nèi)網(wǎng)安全，使訪問醫(yī)院各系統(tǒng)的用戶必需通過四道關卡：身份認證，安全檢查，權限劃分，日志審計。也就是我們常說的"你是誰？你安全嗎？你可以做什么？，你做了什么？'。通過層層過濾保證訪問醫(yī)院個系統(tǒng)的用戶是合法，安全的，也保證了醫(yī)院的安全。

EAD將防病毒、補丁修復等終端安全措施與網(wǎng)絡接入操縱、訪問權限操縱等網(wǎng)絡安全措施整合為一個聯(lián)動的安全體系，通過對xxxxx醫(yī)院網(wǎng)絡接入終端的檢查、隔離、修復、管理和監(jiān)控，使整個網(wǎng)絡變被動防衛(wèi)為主動防衛(wèi)、變單點防衛(wèi)為全面防衛(wèi)、變分散管理為集中策略管理，提升了xxxxx醫(yī)院網(wǎng)絡對病毒、蠕蟲等新興安全要挾的整體防衛(wèi)能力。

EAD通過安全客戶端、安全策略服務器、接入設備以及病毒庫服務器、補丁服務器的相互協(xié)同，可以將不符合xxxxx醫(yī)院網(wǎng)絡安全要求的終端限制在"隔離區(qū)'內(nèi)，防止"危險'終端對網(wǎng)絡安全的損害，避免"易感'終端受病毒、蠕蟲的攻擊。其主要功能包括：

a)檢查檢查用戶終端的安全狀態(tài)，協(xié)同不同方式的身份驗證技術（802.1x、VPN、Portal等），可以確保接入終端的合法與安全。

b)隔離隔離違規(guī)終端。不符合企業(yè)安全策略的終端，將被限制訪問權限，只能訪問"隔離區(qū)'內(nèi)的病毒庫/補丁服務器等用于系統(tǒng)修復的網(wǎng)絡資源。

c)修復與第三方服務器中的補丁服務器、病毒服務器等形成聯(lián)動。強制終端安裝系統(tǒng)補丁、升級防病毒軟件，直到滿足安全策略要求。

d)管理與監(jiān)控EAD提供了集接入策略、安全策略、服務策略、安全事件監(jiān)控于一體的用戶管理平臺，可以幫助網(wǎng)絡管理員定制基于用戶身份的、特性化的網(wǎng)絡安全策略。同時EAD可以通過安全策略服務器與安全客戶端的協(xié)同，強制實施終端安全配置（如是否實時檢查郵件、注冊表、是否限制代理、是否限制雙網(wǎng)卡等），監(jiān)控用戶終端的安全事件（如查殺病毒、修改安全設置等）。

EAD除了上述功能保證內(nèi)網(wǎng)安全外，還可以對醫(yī)院計算機做管理和操縱，譬如監(jiān)控的計算機的USB接口、計算機黑白軟件操縱等，完全滿足xxxxx醫(yī)院內(nèi)網(wǎng)安全要求。

3.2.3、xxxxx醫(yī)院網(wǎng)絡管理智能管理中心隨著網(wǎng)絡的發(fā)展，其作用已經(jīng)不僅是簡單的互連互通，通信、計算、應用、存儲、監(jiān)控等各類業(yè)務應用和網(wǎng)絡的融合，促使網(wǎng)絡成為承載企業(yè)核心業(yè)務的平臺。隨著網(wǎng)絡應用越來越繁雜，網(wǎng)絡安全操縱、性能優(yōu)化、運營管理等問題成為困擾客戶的難題，并直接決定了企業(yè)核心業(yè)務能否順利開展。在這種狀況下，依靠單純的硬件數(shù)據(jù)交換已經(jīng)不能滿足用戶的需求，因此靈活的軟件操縱和高速的硬件數(shù)據(jù)交換進行有機融合的整體解決方案成為整個行業(yè)的發(fā)展趨勢。

為了系統(tǒng)地解決目前網(wǎng)絡安全操縱、性能優(yōu)化、運營管理中存在的問題，依據(jù)對IT

應用的深刻理解，推出了新一代的管理系統(tǒng)：開放智能管理中樞（IntelligentManagementCenter，以下簡稱iMC），作為IToIP整體解決方案的重要組成部分，iMC采用面向服務架構（SOA）的設計思想，融合并統(tǒng)一管理業(yè)務、資源和用戶這三大IT組成要素，通過按需裝配功能組件與相應的硬件設備協(xié)同，形成直接面向客戶應用需求的一系列整體解決方案，從而成為IToIP整體解決方案的開放智能管理中樞。

3.2.3.1面向安全操縱、性能優(yōu)化和運營管理的系列解決方案網(wǎng)絡的安全操縱、性能優(yōu)化和運營管理是網(wǎng)絡應用管理面臨的核心問題，除基本的網(wǎng)絡支撐管理外，iMC通過軟件靈活的操縱，與相應的硬件設備協(xié)同，更為客戶提供了一系列的整體解決方案，成為客戶IT環(huán)境中的安全操縱中心、性能優(yōu)化中心和運營管理中心。

iMC面向安全操縱、性能優(yōu)化和運營管理的系列解決方案安全操縱中心系列解決方案?端點準入解決方案(EAD)概述

iMC端點準入功能組件與業(yè)界主流交換機、路由器、VPN設備、無線操縱設備、專業(yè)網(wǎng)關等硬件進行協(xié)同，實現(xiàn)了局域網(wǎng)、廣域網(wǎng)、VPN和無線等多種接入終端安全準入操縱。

端點準入解決方案(EAD)在身份接入基礎上，支持安全狀態(tài)評估、網(wǎng)絡安全要挾定位、安全事件感知及保護措施執(zhí)行等，預防因未打補丁、病毒泛濫、ARP攻擊、異常流量、非法軟件安裝和運行等因素可能帶來的安全要挾，并可根據(jù)終端的安全狀態(tài)實現(xiàn)終端VIP、Guest、隔離、下線等多種操縱策略。從端點接入上保證每一個接入網(wǎng)絡的終端的安全，從而保證網(wǎng)絡安全。

?安全聯(lián)動解決方案(SCC)概述隨著安全要挾日益嚴重，企業(yè)對網(wǎng)絡安全防衛(wèi)體系的投入和繁雜度都在不斷增加，彼此割裂的安全資源和海量的安全信息成為困擾網(wǎng)絡管理員的管理難題。

安全聯(lián)動解決方案(SCC)主要由事件管理中心設備（SecCenter）和響應管理操縱中心軟件（iMC）組成，事件管理中心主要完成對全網(wǎng)安全事件的采集、分析、關聯(lián)、集聚、報表報告展示，響應操縱中心實現(xiàn)了安全事件與網(wǎng)管系統(tǒng)、用戶管理系統(tǒng)的結合，對需要響應的重要事件可靈活進行短信通知、Email通知、交換機端口關閉、用戶下線、參與黑名單、在線提醒等響應操作。

基礎管理支撐?基礎網(wǎng)絡管理解決方案(NMS)概述基礎網(wǎng)絡管理解決方案(NMS)，實現(xiàn)了全網(wǎng)資源的統(tǒng)一部署、管理和調(diào)配中心，支持的設備包括路由器、交換機、安全、無線、語音、存儲、服務器、PC、UPS等類型，實現(xiàn)了故障、性能、拓撲、配置等管理內(nèi)容。

3.2.3.2系統(tǒng)安全管理系統(tǒng)安全管理功能主要有包括：操作日志管理、操作員管理、分組分級與權限管理、操作員登錄管理等。

登錄安全策略分組分級權限管理記錄所有操作系統(tǒng)管理員實時監(jiān)控在線操作員定期修改密碼?操作員登錄管理管理員通過制定登錄安全策略約束操作員的登錄鑒權，實現(xiàn)操作員登錄的安全性，通過訪問操縱模板約束操作員可以登錄的終端機器的IP地址范圍，避免惡意嘗試另人密碼進行登錄的行為存在，通過密碼操縱策略，約束操作員密碼組成要求，包括密碼長度、密碼繁雜性要求、密碼有效期等，以約束操作員定期修改密碼，并對密碼繁雜性按要求設置。

?操作員密碼管理管理員為操作員制定密碼操縱策略，操作員僅能依照指定的策略定期修改密碼，以保證訪問iMC系統(tǒng)的安全性。

?分組分級權限管理管理員通過設備分組、用戶分組的設置，可以為操作員指定可以管理的指定設備分組和用戶分組，并指定其管理權限和角色，包括管理員、維護員和查看員，實現(xiàn)按角色、分權限、分資源（設備和用戶）的多層權限操縱；同時通過設置下級網(wǎng)絡管理權限，可以通過限制登錄下級網(wǎng)絡管理系統(tǒng)的操作員和密碼，保證訪問下級網(wǎng)絡管理系統(tǒng)的安全性。

?操作日志管理

對于操作員的所有操作，包括登錄、注銷的時間、登錄IP地址以及登錄期間進行的任何可能修改系統(tǒng)數(shù)據(jù)的操作，都會記錄詳細的日志。提供豐富的查詢條件，管理員可以審計任何操作員的歷史操作記錄，界定網(wǎng)絡操作錯誤的責任范圍。

?操作員在線監(jiān)控和管理系統(tǒng)管理員通過"在線操作員'可以實時監(jiān)控當前在線聯(lián)機登錄的操作員信息，包括登錄的主機IP地址、登錄時間等，同時，系統(tǒng)管理員可以將在線操作員強制注銷、禁用/取消禁用當前IP地址等操縱操作。

3.2.3.3資源管理iMC資源管理與拓撲管理作為整體共同為用戶提供網(wǎng)絡資源的管理。通過資源管理可以：

?網(wǎng)絡自動發(fā)現(xiàn)可以通過設置種子的簡易方式、路由方式、ARP方式、IPSecVPN、網(wǎng)段方式等五種自動發(fā)現(xiàn)方式自學習網(wǎng)絡資源及網(wǎng)絡拓撲，自動識別包括：路由器、交換機、安全網(wǎng)關、存儲設備、監(jiān)控設備、無線設備、語音設備、打印機、UPS、服務器、PC在內(nèi)的多種類型網(wǎng)絡設備；

多種自動發(fā)現(xiàn)方式

自動識別多種設備類型?網(wǎng)絡手工管理可以手工添加、刪除網(wǎng)絡設備，可以批量導入、導出網(wǎng)絡設備，批量配置Telnet、SNMP參數(shù)，以及批量校驗Telnet參數(shù)等輔助功能；?網(wǎng)絡視圖管理支持IP視圖、設備視圖、自定義視圖、下級網(wǎng)絡管理視圖等多種管理視圖，用戶可以從不同角度實現(xiàn)整個網(wǎng)絡的管理；?網(wǎng)絡設備的管理從任何一種網(wǎng)絡視圖入口，都可以實現(xiàn)對網(wǎng)絡設備的管理，包括：支持對設備的管理/去管理、接口的管理/去管理、設備的詳細信息顯示和接口詳細信息顯示、設備和接口實時告警狀態(tài)、設備和接口的實時性能狀態(tài)、實時檢測存在故障的設備等，用戶可以便利的實現(xiàn)所有設備的管理；?設備及業(yè)務管理系統(tǒng)的集成管理支持對、Cisco、3Com等主要廠家設備的管理，支持手工添加設備廠商、設備系列及設備型號；支持設備面板管理的動態(tài)注冊機制，實現(xiàn)與各廠家設備管理系統(tǒng)的有效集成；支持拓撲定位、ACL、VLAN、QoS等業(yè)務管理系統(tǒng)的集成，實現(xiàn)設備資源的統(tǒng)一管理；?設備分組權限管理支持設備分組功能，通過對設備資源進行分組管理，系統(tǒng)管理員便利的分派其他管理員的管理權限，便于職責分開；

3.2.3.4拓撲管理iMC拓撲管理從網(wǎng)絡拓撲的解決直觀的提供應用戶對整個網(wǎng)絡及網(wǎng)絡設備資源的管理。拓撲管理包括：

?拓撲自動發(fā)現(xiàn)

iMC可以自動發(fā)現(xiàn)網(wǎng)絡拓撲結構，支持全網(wǎng)設備的統(tǒng)一拓撲視圖，通過視圖導航樹提供視圖間的快速導航。通過自動發(fā)現(xiàn)可以發(fā)現(xiàn)網(wǎng)絡中的所有設備及網(wǎng)絡結構（具體參見資源管理），并且可以將非SNMP設備發(fā)現(xiàn)出來，只要設備可以ping通即可。這樣就可以將所有網(wǎng)絡設備都列入其管理范圍（只要設備IP可達）。同時支持自動的拓撲圖浮現(xiàn)和自定義拓撲。自動拓撲可以自動將網(wǎng)絡中的規(guī)律連接關系顯示出來，同時可以保存為自定義拓撲圖并可根據(jù)具體狀況進行修改以便于網(wǎng)管員對整個網(wǎng)絡設備的監(jiān)控。

支持對全網(wǎng)設備和連接定時輪詢和狀態(tài)刷新，實時了解整個網(wǎng)絡的運行狀況，并且刷新周期是可定制（刷新周期：60～7200秒），同時也支持對多個設備的刷新周期進行批量配置的功能。

?支持自定義拓撲傳統(tǒng)的網(wǎng)絡管理軟件大多支持自動發(fā)現(xiàn)網(wǎng)絡拓撲的功能，但是自動發(fā)現(xiàn)后的網(wǎng)絡拓撲往往是好多設備圖標的簡單排放，不能突出重點設備和網(wǎng)絡層次，使網(wǎng)絡管理人員感覺無從下手。

針對這種狀況，iMC的拓撲功能支持靈活的自定義功能，管理人員可以根據(jù)網(wǎng)絡的實際組網(wǎng)狀況和設備重要性的不同靈活定制網(wǎng)絡拓撲，可對拓撲圖進行增、刪、改等編輯操作，使網(wǎng)絡拓撲能夠清楚地浮現(xiàn)整個企業(yè)的網(wǎng)絡結構以及IT資源分布。

iMC支持靈活定制拓撲圖，使網(wǎng)絡拓撲更有重點和層次感。管理員可以依照關注設備不同，管理角度不同定義多種拓撲，并可以針對拓撲不同選擇不同的背景圖；管理員可以根據(jù)網(wǎng)絡設備的重要性不同，鏈路速率不同采用適合的圖標顯示。

?自動識別各種網(wǎng)絡設備和主機的類型

iMC可以自動識別、華為、Cisco、3com等廠商的設備、Windows、Solaris的PC和工作站、其他SNMP設備和ping設備，并且以樹形方式組織，以不同的圖標顯示區(qū)分。在拓撲圖上更可進一步對設備的類型進行區(qū)分，如區(qū)分路由器、交換機、安全網(wǎng)關、存儲設備、監(jiān)控設備、無線設備、語音設備、打印機、UPS、服務器、PC等等。

?

設備狀態(tài)、連接狀態(tài)、告警狀態(tài)等信息在拓撲圖上的直觀顯示

iMC的拓撲功能與故障管理和性能管理緊湊融合，使拓撲圖能夠清楚地看到企業(yè)IT資源的狀態(tài)，包括運行是否正常、網(wǎng)絡帶寬、接口連通、配置變化都能一目了然。多種顏色區(qū)分不同級別故障，根據(jù)節(jié)點圖標顏色反映設備狀態(tài)。

實時設備狀態(tài)實時鏈路狀態(tài)實時告警和性能監(jiān)控狀態(tài)狀態(tài)?拓撲能提供設備管理便捷入口

iMC拓撲能夠提供對設備管理的便捷入口，管理員只需通過右鍵點擊拓撲圖中的設備圖標即可啟動設備管理各項功能，實現(xiàn)對設備的面板管理等各項功能配置。

3.2.3.5故障（告警/事件）管理故障管理，即告警/事件管理，是iMC的核心模塊，是iMC智能管理平臺及其他業(yè)務組件統(tǒng)一的告警中心。如下圖所示，以故障管理流程為引導，介紹iMC強大的故障管理能力：

S網(wǎng)絡資源、存儲資源、計算資源、業(yè)務系統(tǒng)告警上報定時輪詢網(wǎng)管與告警中心實時告警分類、聲光告警板，按故障類別及等級實時告警系統(tǒng)快照，實時報告網(wǎng)絡、下級網(wǎng)絡及設備的狀態(tài)通過拓撲實現(xiàn)報告網(wǎng)絡及設備狀態(tài)實時告警瀏覽和確認實時遠程告警：手機短信及EMail告警解決故障固化經(jīng)驗實時告警關聯(lián)分析與統(tǒng)計實現(xiàn)網(wǎng)絡管理透明化SS網(wǎng)絡資源、存儲資源、計算資源、業(yè)務系統(tǒng)告警上報定時輪詢網(wǎng)管與告警中心實時告警分類、聲光告警板，按故障類別及等級實時告警系統(tǒng)快照，實時報告網(wǎng)絡、下級網(wǎng)絡及設備的狀態(tài)通過拓撲實現(xiàn)報告網(wǎng)絡及設備狀態(tài)實時告警瀏覽和確認實時遠程告警：手機短信及EMail告警分類、聲光告警板，按故障類別及等級實時告警系統(tǒng)快照，實時報告網(wǎng)絡、下級網(wǎng)絡及設備的狀態(tài)通過拓撲實現(xiàn)報告網(wǎng)絡及設備狀態(tài)實時告警瀏覽和確認實時遠程告警：手機短信及EMail告警解決故障固化經(jīng)驗實時告警關聯(lián)分析與統(tǒng)計實現(xiàn)網(wǎng)絡管理透明化?告警發(fā)現(xiàn)和上報iMC告警中心可以按收各種告警源的告警事件，包括設備告警、本級網(wǎng)管站及下級網(wǎng)管站告警、網(wǎng)絡性能監(jiān)視告警、網(wǎng)絡配置監(jiān)視告警、網(wǎng)絡流量異常監(jiān)視告警、終端安全異常告警等；同時通過支持對設備定時輪詢，實現(xiàn)通斷告警、響應時間告警等，以告警事件的方式上報給iMC告警中心；設備告警包括電源電壓、設備溫度、風扇等告警事件，設備冷啟動、熱啟動、接口linkdown等重要告警事件，路由信息事件（OSPF，BGP）變化，熱備份路由（HSRP）狀態(tài)變化等告警事件，支持對、CISCO、華為、3COM等多廠商設備告警的識別和解析；網(wǎng)管站告警指包括本級iMC系統(tǒng)集群服務器的異常告警，包括CPU利用率、內(nèi)存使用率、iMC服務程序運行狀態(tài)等以及下級iMC系統(tǒng)上報的告警事件；網(wǎng)絡性能監(jiān)視包括CPU利用率，內(nèi)存使用率，以及RMON告警的故障管理。

網(wǎng)絡配置監(jiān)視告警包括設備軟件版本、配置信息變更等告警事件，并通過iMC智能配置中心組件（iMCiCC）實現(xiàn)配置文件定期檢查，實現(xiàn)配置變更告警事件。

網(wǎng)絡流量異常監(jiān)視告警通過iMC網(wǎng)絡流量分析組件（iMCNTA）實現(xiàn)網(wǎng)絡

中異常流量告警，包括對設備及接口異常流量、主機IP地址異常流量和應用異常流量的告警，支持二級閾值告警定義；終端安全異常告警通過iMC端點準入防衛(wèi)組件（iMCEAD）實現(xiàn)對終端用戶安全異常的告警，包括ARP攻擊告警、終端異常流量告警及其他終端擔心全告警；iMC定期輪詢告警指通過iMC的資源管理模塊對設備接口信息定時進行輪循，并及時上報通斷告警、響應時間告警等告警事件。

?