云南爱因森软件职业学院
《网络工程设计与实施》课程2010-2011年上学期期末项目(设计)
X X医院的网络设计
学院信息工程学院
专业计算机网络技术
年级2009级
班级3班
学号0901*******
姓名郝悦
指导教师杨林海
2010年12月15日星期
云南爱因森软件职业学院 (1)
第一章、项目概述 (4)
1、项目名称 (4)
2、项目背景 (4)
3、项目目标 (4)
4、项目内容 (5)
5、项目的投资规模、建设周期 (5)
6、项目的收益 (5)
第二章、项目需求分析 (6)
1、需求调查 (6)
1.1、网络用户调查 (6)
1.2、应用调查 (6)
1.3、地理布局勘察 (7)
1.4、用户培训 (7)
2、网络需求分析 (7)
2.1、网络应用的主要类型 (7)
2.2、应用概要分析 (7)
2.3、数据库服务 (8)
2.4、公共专用服务系统应用类型 (9)
2.5、网络基础服务和信息安全平台 (9)
3、具代表性的网络应用情况 (9)
3.1、企业网应用分析:主要应用需求 (9)
3.2、专有应用系统 (10)
3.3、宽带城域网 (11)
第三章、详细需求分析 (12)
3.1、网络费用分析 (12)
3.1.1、Cisco Catalyst 3750-E系列交换机 (12)
3.1.2、Cisco3800系列路由器: (12)
3.1.3、Cisco Unified Personal Communicator7.0网卡: (12)
3.2、网络总体需求分析 (13)
3.2.1、医院网络设计分析 (13)
3.2.2、拓扑结构分析 (15)
3.2.3、网络技术分析选择 (16)
3.2.4、信息特点分析 (16)
3.3、综合布线需求分析 (17)
3.4、网络可用性/可靠性需求分析 (18)
3.5、网络安全性需求分析 (18)
3.6、网络安全设计 (19)
第四章、网络总体目标和设计原则 (21)
第五章、通信子网规划设计 (22)
5.1、拓扑结构 (22)
5.2、主干网络设计 (22)
5.3、分布层/接入层设计 (23)
5.4、远程接入访问的规划设计 (24)
第六章、设备选型 (24)
第七章、网络施工 (26)
7.1施工管理和控制 (26)
第八章、网络设备清单 (27)
第九章、网络维护 (28)
9.1网络基础设施管理 (28)
9.2各用户操作系统的管理 (28)
9.3网络应用系统服务器的管理 (28)
9.4网络的安全管理 (28)
9.5网络各计算机系统中重要资料及文件管理 (29)
9.6网络维护基础知识 (29)
规划总结 (30)
某医院的网络规划与设计
第一章、项目概述
1、项目名称
某医院的网络规划与设计
2、项目背景
辽工医院为一级综合性医院,承担着为全院师生及家属提供医疗、护理、预防保健及各种体检的任务.
临床设有内、外、妇、眼、耳鼻喉、口腔各科,痤疮专科。
辽工医院是保险公司指定报销的医院之一,住院时您在得到优质服务、享受低廉价格的同时还能报销相应的比例“信誉第一,责任重大”等理念,表达的就是医院职工以病人为中心,对工作极端负责,对技术精益求精,对病人优质服务的医院精神。
辽工医院是咱师生自己的医院,辽工医院愿以更优质的服务,换取您的信任和满意。
具备高度信息安全性:对于医疗卫生信息来说,有很多内部的机密资料与患者的个人隐私资料,为了保护这些内部信息的机密性,避免数据被窃取或侦听,造成不可估计的损失,因此领导对于信息传输的安全性十分重视。
有较好的兼容性:设备必须要有较强的兼容性,不仅要能融合一些应用软件,更要能其他设备相通。
需要具备一定的可扩展性:现在选择的设备必须具备一定的可扩展性,以满足未来两、三年甚至更长时间的扩展需求。
对学校医院楼的网络进行规划。医院楼的网络对整个网络性能要求不是太高。经过规划,整个医院楼就可以更好的应用网络,以免发生网络冲突,而且还可以将整个医院楼划分到一个局域网,这样整个医院的工作人员就可以共享一些东西!而且还能够解决IP地址不够用的问题!
电子信息技术的开发与应用,是当今世界上高科技领域最活跃的支柱产业之一。随着信息科学和计算机应用的发展,医学和生命科学研究对电子计算机的依赖程度会日益加深,这将对90年代生命科学的研究和21世纪医疗卫生保健事业的变革、发展起到重要作用。
这套规划具有信息共享、传递迅速、使用方便、高效率等特点的处理系统在小范围内尝试为小私营企业主提供一体化网站解决方案(空间、域名、网站、数据库及更新等)系统应有高可靠性、安全性、可维护性和可扩充性,要具有良好的用户界面。
3、项目目标
第一,标准化。当今计算机网络技术发展的一个重要特点就是标准化。只有遵循国际标准,才能确保整个系统的开放性和长久的生命力。
第二,可靠性。为了确保计算机系统能够正常地运行,我们在进行设计时,将充分地考虑提高整个系统的高可靠性,为此我们将采取核心设备或模块备份、通信线路备份等一系列措施。
第三,先进性。先进性能确保整个系统有一个较长的生命周期,这是对整个投资的最大也是最有效的保护。网络的先进性还表现在用户能够对其进行较为平滑的升级,平滑的升级就意味着并不会造成前期投资的废弃。
为了确保技术的先进性,我们将从如下几个方面入手:首先,选用厂家新推出来的设备以及那些推出时间较长并且获得了良好的市场声誉的有生命力的产品;其次,采用新的技术。
第四,可扩展性。可扩展性也即可伸缩性,即网络应能自如地适应规模的变化。良好的可扩展性表现之一就是当用户的规模增大时,无需增加新的设备,只需要增加相应的设备模块即可,这即能有效地降低用户的投资,又可以降低整体的复杂性。
第五,保护已有的投资。网络系统的建设要尽可能地保护用户在主机、网络设备以及通信线路等方面的投资,避免造成不必要的浪费。
第六,优良的性价比
以三层架构为主的全开放的网络布局。
以财务为中心的全院收费自动化系统;
以临床为中心的医疗全过程自动化处理系统;
以行政管理为中心的办公自动化系统;
以决策为中心的数据分析处理系统;
以科研教学为中心的数据挖掘系统;
以社区医疗保健为中心的社区管理系统。
以公共卫生为中心的三大体系管理系统
开展远程医疗、远程会诊、远程教学等新技术。
4、项目内容
医院局域网采用交换式快速以太网技术。交换式快速以太网技术为每个网络端口提供100M的带宽。百兆到桌面是当今最主流的网络技术,完全可以满足网络上各种应用的需求,同其它技术相比,它的造价最低廉,同时也符合网络技术的发展,将来可以根据需要平滑地升级到千兆以太网。可以这样说:这是性价比最好的局域网网络技术。
整个局域网网络中心(西门诊楼)有一台交换机作为中心交换机。东门诊楼有一台以太网交换机,中间住院楼有一台交换机,交换机之间采用级联技术实现互连,以保证交换机之间实现数据的高速传输。总计122个100MB交换端口为各个处室、计算中心和服务器提供充足的网络连接端口,并拥有一定的冗余能力,保证了网络的连续运行能力。
5、项目的投资规模、建设周期
项目投资约600万,建设周期为四个月
6、项目的收益
来源于医院单方面的利润,以及国家政府对医疗事业的大力投资,以及社会各界人士对医院的投资
第二章、项目需求分析
1、需求调查
1.1、网络用户调查
随着计算机、通信和多媒体技术的发展,使得网络上的应用更加丰富。同时在多媒体教育和管理等方面的需求,对校园网络也提出进一步的要求。因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。信息技术的普及教育已经越来越受到人们关注。学校领导、广大师生们已经充分认识到这一点,学校未来的教育方法和手段,将是构筑在教育信息化发展战略之上,通过加大信息网络教育的投入,开展网络化教学,开展教育信息服务和远程教育服务等将成为未来建设的具体内容。
1.2、应用调查
通过调查,我们发现“灵通医院管理系统”(灵通HIS)在多款主流HIS产品中表现突出。这套系统自1998年投入市场以来,已拥有国内各省市约230家不同类型的用户,其产品成功通过四川省卫生协会的严格认证,成为四川省卫协农村卫生院管委会全省首推软件。本系统主要有以下特色:
1、系统采用独特的双库存设计,在医院细小问题上的功能做得很精细,使院方的管理更轻松。举个例子:药房库存中现有青霉素100支,A病人去划价交费欲买80支,交费后A病人没有及时去领药,但这时B病人却要买50支,他很快去药房取了药。当A病人再返回时发现自己所领药不够了,认为自己先交费还领不到药。出现这种情况要么病人要等,要么退药,甚至会出现和医院闹矛盾的情况。如果药品库存在划价收费处就相应减少,就不会出现药品库存与实物不匹配的情况。灵通HIS在设计中避免了这类问题的出现,使医院系统管理不会出现管理混乱。首先,在程序内核中内定了一种可用库存,一种实际库存。当划价收费时就减少可用库存,这样每个交了费的病人都能在划价的时候清楚知道能领到药,系统采用“自动冻结”技术,将病人所需药品自动预留起来。等药房发药后系统再减少实际库存,这样使药品数量与实物一致。这种系统自动为病人预留药品的功能目前在其它一些医院系统中还没有出现。
2、该系统主要依靠算法来提升系统速度,而不是靠购置高档服务器提升。这样可大大节约硬件的投资成本并且前者是100-1000倍速度提升,而后者只是数倍。精密优化的设计加上低成本高效率的“分钟级网络分布备份系统”,使系统运行快速可靠。
3、提高病人看病效率。该系统平均4秒一次挂号业务,30秒一次划价、收费业务。划价与收费一体化不但能减少病人在药房与收费处来回走动的次数,而且对药房、科室及收费处产生合理的分流,从业务环节大大提高病人就诊效率。
调查结果显示,目前国内高校几乎全部都已建立校园网,只有少数高职院校、民营高校还未建立;从高校类型来看,综合类、理工类、文体艺术类高校的校园网建设情况总体较好,高职院校的校园网建设也已经达到较高普及率,但与综合类高校相比还略有差距,还需继续投资。
1.3、地理布局勘察
有信息中心、外科大楼、内科大楼、医技楼、检验中心等楼宇,现有病床1000张,已建成100M的纯五类线缆局域网络(500节点,无统一管理系统)
1.4、用户培训
通过短期集中培训讲解“太重信息化建设项目━数据中心机房设计施工、网络设备、网络安全设备、服务器和存储系统集成-网络设备、网络安全设备、服务器和存储系统集成(招标编号:0632-0642HW2L0335/2)”工程中应用的Quidway 系列产品和基本配置维护,提高技术人员运行维护水平,熟悉日常网络及设备维护
1.网络系统管理人员培训
网络管理人员是高级操作人员,网络正常运行必须由网络高级管理人员随时维护,因此对高级操作人员要求有一定的网络知识及网络维护水平。本公司提供对网络管理人员为期两个月的技术培训,使其达到能独立维护保养网络的能力。2.工作站管理人员培训
工作站管理人员是维护管理应用系统软件的中级人员,必须能够管理整个系统及各部门子系统的衔接和调用。本公司对中级人员提供30天的培训,使其能够了解各部门子系统的调用,及时为各部门提供维护和系统的正常运作。
3.工作站使用人员培训
工作站使用人员培训是单机工作站的操作人员,只能了解本部门的子系统的操作,不必也不能接触其它子系统,本公司提供30天的培训,学习单机单系统、本部门的相关操作。
[编辑本段]系统维护与支持
大连汇源电子系统工程有限公司提供用户网络及硬件设备一年质保,软件系统自交付使用后一年内免费维护。对网络和软件系统提供终身技术支持,我们承诺并保证24小时时刻响应用户的呼叫,及时提供完善周到的技术支持和服务。
2、网络需求分析
2.1、网络应用的主要类型
为了满足我国医院发展的需要,为了使祖国医学早日与世界科技接轨,大连汇源电子系统工程有限公司集中了大量的人力和物力,借鉴国内外HIS的先进经验,并结合国内各家医院的传统管理模式和实际需求,开发了该医院管理信息系统,2001年《汇源医院管理信息系统》被大连市信息产业局认定为软件产品,该产品是真正适合我国国情的医院管理信息系统,是唯一能在中国境内与IBM 医院信息系统解决方案平分天下的有自主知识产权的医院信息系统。
2.2、应用概要分析
医院信息系统(Hospital Information System简称HIS)是一门容医学、信息、管理、计算机等多种学科为一体的边缘科学,在发达国家已经得到了广泛的
应用,并创造了良好的社会效益和经济效益。HIS是现代化医院运营的必要技术支撑和基础设施,实现HIS的目的就是为了以更现代化、科学化、规范化的手段来加强医院的管理,提高医院的工作效率,改进医疗质量,从而树立现代医院的新形象,这也是未来医院发展的必然方向。
为了满足我国医院发展的需要,为了使祖国医学早日与世界科技接轨,大连汇源电子系统工程有限公司集中了大量的人力和物力,借鉴国内外HIS的先进经验,并结合国内各家医院的传统管理模式和实际需求,开发了该医院管理信息系统,2001年《汇源医院管理信息系统》被大连市信息产业局认定为软件产品,该产品是真正适合我国国情的医院管理信息系统,是唯一能在中国境内与IBM医院信息系统解决方案平分天下的有自主知识产权的医院信息系统。
该系统的实施将在整个医院建设企业级的计算机网络系统,并在其基础上构建企业级的应用系统,实现整个医院的人、财、物等各种信息的顺畅流通和高度共享,为全院的管理水平现代化和领导决策的准确化打下坚实的基础。该系统具有成熟、稳定、可靠、适用期长、扩充性好等特点,可以根据各医院各自的特点度身制作。该系统已成功地运行在普兰店市第一人民医院、庄河市第一人民医院、大连市中山医院、盖州市中心医院、蓬莱市人民医院、丹东市中医院、抚顺市中医院、铁岭中医院、铁岭县医院、黑龙江省呼兰县中医院、大连大学附属医院、瓦房店第一人民医院等一系列三甲、三乙、二甲等医院,为各医院取得了良好的社会效益与经济效益,同时也受到客户的广泛好评。
[编辑本段]应用软件功能
2.3、数据库服务
目前,医院信息系统HIS在各大医院已普及,系统中存在的一些敏感信息使医院不得不注重信息系统的数据安全保护。目前各种医院信息系统软件一般在权限设置上做了相应的控制,使相关医生无法得到敏感的数据,如药品统计、医生记录等。但是这些软件无法从根本上解决医生统方给医药商的行为。医生还是能通过其他手段获取到相应的数据。
我们通过多年对医院信息系统和各种数据库的研究,目前已能解决各种数据库的破解、加密问题。我们的技术人员对各种HIS系统和Oracle数据库、Sql数据库进行破解试验,经过试验,我们已经掌握了各种进入HIS系统的方法,通过对这些方法进行总结,整理和研发,我们形成了一套自己的HIS防统方方案,医院中只要部署了我们的防统方系统,医生和其他人员就无法从医院的网络信息系统中获取到敏感的数据,从而从根本上保证了医院HIS的数据安全。
我们和国内的一些HIS厂商如东软、杭州创业软件等软件公司进行了一系列的内部合作,并对这些厂商的HIS系统进行了相应的加密措施,但是医院在部署医院信息系统的时候,需要做相应的个性化方案,因此,医院在部署HIS系统的时候,可以通过和我们进行合作,进行个性化的防统方解决方案,只有在部署阶段进行了严密的措施,才能从根本上解决统方问题,加密医院数据库密码
目前国内HIS系统使用的数据库大多为Oracle数据库和Sql Server数据库,我们的工程师经过多年的研究,对这些数据库的加密机理有了全面的认识。这些全球普遍使用的大型数据库,在安全方面的漏洞诸多。一般企业部署的数据库都可以轻易被侵入,这其中有数据库本身机制的原因,也有部署时疏忽留下漏洞的原因。为了防止Oracel数据库破解和Sql数据库破解,我们需要对这些数据
库做相应的安全措施,从而保证Oracle数据库密码和Sql数据库密码不被破解。用户无法破解Sql数据库、破解Oracle数据库、破解Oracle密码,就无法获取HIS密码,无法获取到医院的统方信息。
2.4、公共专用服务系统应用类型
包括对病人信心的管理系统,对工作人员的信息系统。传统的财务管理系统主要是以会计业务为基础,在此基础上扩充其他的一些财务操作。如总账管理,生产财务报表等等。现代的财务管理系统是在传统的财务管理系统系统基础之上,再扩充了其他一些财务操作。大部分是关于理财方面的,比如说:个人所得税计算器,财政预算。因为在这个经济蓬勃发展的社会,理财是必不可少的一个生活细节包括人事日常事务、薪酬、招聘、培训、考核以及人力资源的管理也指组织或社会团体运用系统学理论方法,对企业的人力资源管理方方面面进行分析、规划、实施、调整,提高企业人力资源管理水平,使人力资源更有效的服务于组织或团体目标。
2.5、网络基础服务和信息安全平台
网络基础服务:DNS,SNMP ETC
信息安全平台:CA,FIREWALL ETC
将人易于记忆的Domain Name与人不容易记忆的IP Address作转换。而上面执行DNS服务的这台网络主机,就可以称之为DNS Server。基本上,通常我们都认为DNS只是将Domain Name转换成IP Address,然后再使用所查到的IP Address去连接(俗称“正向解析”)。事实上,将IP Address转换成Domain Name 的功能也是相当常使用到的,当login到一台Unix工作站时,工作站就会去做反查,找出你是从哪个地方连线进来的
CA的安全管理,大体都实现了哪些功能?在拓扑的自动发现和收集事件的分析上做到什么程度?有哪些相关资料可以查询么?...客户的方案要用到“CA证书管理”,我不是很明白它有什么作用?RSA和CA证书管理有什么关系?如果要用到CA证书管理
3、具代表性的网络应用情况
3.1、企业网应用分析:主要应用需求
3.1.1、Internet应用类型
1)采用先进的网络技术。首先是要具有开放性、标准性和可扩展性,易于技术更新。其次是要宽带高速率,能够支持综合业务,包括多媒体业务。再次是能够向智能化网络方向发展。
(2)网络基础结构能够发挥10年效益。同时网络结构必须易于管理并具有高度的灵活性。
(3)具有高的可靠性。网络能够重构,能够自动进行故障检测与隔离。关键设备达到99%以上的不间断工作。
(4)保证网络安全,通过网管中心对网络的使用情况进行监控。
3.1.2、企业数据库及企业数据资源系统
为了满足我国医院发展的需要,为了使祖国医学早日与世界科技接轨,大连汇源电子系统工程有限公司集中了大量的人力和物力,借鉴国内外HIS的先进经验,并结合国内各家医院的传统管理模式和实际需求,开发了该医院管理信息系统,2001年《汇源医院管理信息系统》被大连市信息产业局认定为软件产品,该产品是真正适合我国国情的医院管理信息系统,是唯一能在中国境内与IBM 医院信息系统解决方案平分天下的有自主知识产权的医院信息系统。
该系统的实施将在整个医院建设企业级的计算机网络系统,并在其基础上构建企业级的应用系统,实现整个医院的人、财、物等各种信息的顺畅流通和高度共享,为全院的管理水平现代化和领导决策的准确化打下坚实的基础。该系统具有成熟、稳定、可靠、适用期长、扩充性好等特点,可以根据各医院各自的特点度身制作。该系统已成功地运行在普兰店市第一人民医院、庄河市第一人民医院、大连市中山医院、盖州市中心医院、蓬莱市人民医院、丹东市中医院、抚顺市中医院、铁岭中医院、铁岭县医院、黑龙江省呼兰县中医院、大连大学附属医院、瓦房店第一人民医院等一系列三甲、三乙、二甲等医院,为各医院取得了良好的社会效益与经济效益,同时也受到客户的广泛好评。
应用软件功能
(一)、医院各职能部门微机配备表
整个系统由一台服务器和若干台工作站构成一个网络,各个子系统在网络上协调运行,部门间业务查询灵活,又提供严格的权限控制。每个子系统提供一个公用查询功能,每个子系统在此功能下只能使用它有权调用的功能。网络间共享的数据是实时的,避免造成部门间数据不一致的现象。
(二)、医院管理子系统功能视图
医院管理子系统(HIS)通常包含门诊、住院两部分,而管理的主线则为药品和收款金额。
3.2、专有应用系统
1.门诊系统门诊业务是医院直接面对患者,提供服务的窗口,具有非常重要的地位和自己的特点,焦急的病人无法忍受长时间的等待和排队,也是发生医患纠纷最多的地方。业务重要集中在上午,具有业务集中,并发性、实时性强的特点,因此门诊业务对网络提出了高可靠性,高带宽、高时效的特点。
2 急诊系统急诊业务不同于门诊的是全天24小时随时发生,突发性强,要求系统稳定可靠。住院系统:住院业务是另一个主要组成部分,直接关系到患者的生命安全,也是医院经济收入的主要来源,各种数据不但重要,而且量很大。一般医生上午开医嘱,下午写电子病历,夜间业务少,但也很重要,多为急救等特殊业务。要求网络高可靠性,安全存储。
3. PACS系统 PACS主要完成各种医学影像的采集、存储、传输和处理,并在全院范围内共享,因此具有存储量大、瞬间传输数据多的特点,要求高带宽、高吞吐量。
4 LIS系统主要完成对检验设备数据的采集、存储、传输和处理,实时性要求较高。
3.3、宽带城域网
在医院的特殊网络中有很多网络应用例子,例如120急救系统等,但在医院网络中最重要的就是医院的监控系统,下面就重点讲解医院的监控系统:
1、实时屏幕监控:实时监控员工电脑屏幕,员工的一举一动尽收眼底,可同时监控16台员工电脑屏幕的电脑监控软件。
2、聊天记录监控:可监控员工使用聊天工具(如QQ、MSN等)聊天的内容,方便管理者对员工聊天行为进行管理,避免员工上班时间做与工作无关的事情。
3、邮件监控:能实时记录员工所有收发的邮件,并详细监控与记录到员工发送的全部邮件的全部内容,包括对WEB网页邮件、FOXMAIL,OUTLOOK,OUTLOOK 等进行邮件监控。
4、上网监控:能监控员工所上的网站、内容,以方便管理者对员工上网行为进行监控和管理。并具有网页过滤功能,可禁止员工上特定的网站.
5、文件监控、游戏监控、炒股监控、定时监控等。
在医院中还必须对员工的网络,或者电脑进行控制,否则存在许多关于网络的安全隐患,比如说员工由于电脑而耽误了病人,所以控制员工的电脑网络是必须的:
6、自定义禁用软件:本电脑监控软件可自行设定禁用员工电脑的指定的软件程序(如禁用QQ、游戏、炒股、视频、下载等软件程序),规范员工合理使用计算机。
7、网址过滤:可以允许员工只能上指定的网站,而屏蔽其他所有网站(或屏蔽某个网站)。
8、端口堵封:可封堵员工上网端口,聊天端口,游戏端口等,可根据需要规范员工的上网行为。
9、文件操作:可对员工计算机内所有文件进行远程管理,对员工文件可进行远程复制、剪切、删除、重命名等,可上传,下载,更提供了批量下载文件和文件夹的便利。
10、远程控制:可对员工计算机进行远程关机,远程重启,远程通知,可查看员工的窗口列表和进程列表,并可关闭任意窗口或进程。
11、禁用U盘:目前市场上首家实现只禁用USB存储设备的一款电脑监控软件,而不禁用USB鼠标、键盘等非存储设备的职能识别功能。
12、禁用其它硬件:可对员工计算机的对所有硬件设备进行禁用,以避免员工使用与工作不相关的硬件设备,错误修改网络属性,方便统一管理。
13、及时报警:可设置在插入移动存储设备(如U盘)或者拷贝文件带走时或者其他自定义禁止操作时,及时报警管理者。这样,员工做一些和工作无关的事情,或者危及到公司机密资料的安全时,管理者能够及时知晓,这在同类电脑监控软件中做的比较人性化的。
14、授权管理:可授权其它管理人员安装部门经理电脑监控软件管理其下员工电脑,而总经理则可以监控全单位所有员工电脑,真正实现授权管理。
15、批量操作:软件针对监控电脑数量比较多的客户,本软件提供了批量设置功能,可以同时设置所有员工或您选定的员工,无需手工依次设置监控模块!并提供远程安装模块,只需在管理端即可完成对所授权的员工电脑进行局域网内远程安装。
16、员工综合评估:可在对员工的某个月的工作效率进行统计,很直观的看
出员工使用各个软件的时间、频率。并以柱形图和饼图反映出来。使得管理者对员工的工作评价更直观、更有依据,以方便对员工工作进行及时调整,更好的提高员工工作效率
第三章、详细需求分析
3.1、网络费用分析
医院的网络不同于一般的网络,一般的网络都会选用价格不是很贵的网络设备,而医院是威胁到人们的生命安全,所以医院对网络设备必须有较高的要求,以便于在以后的工作中能达到预期的效果,下面的设备均适合医院等重要机关部门使用:
3.1.1、Cisco Catalyst 3750-E系列交换机:
配备了StackWise Plus的Cisco? Catalyst? 3750-E系列交换机(图1)是一个企业级独立式可堆叠配线间交换机系列,支持安全融合应用的部署,并能根据网络和应用需求的发展,最大限度地保护投资。通过将10/100/1000和以太网供电(PoE)配置与万兆以太网上行链路相结合,Cisco Catalyst 3750-E能够支持IP语音、无线和视频等应用,提高了员工生产率。Cisco TwinGig转换器模块,将上行链路从千兆以太网移植到万兆以太网,PoE配置,为所有48个端口提供了15.4W PoE,StackWise Plus提供了易用性和永续性,吞吐率高达64 Gbps,模块化电源,可带外部可用备份电源,在硬件中提供IPv6路由、组播路由和访问控制列表(ACL),带外以太网管理端口,以及RS-232控制台端口。
3.1.2、Cisco3800系列路由器:
作为思科的旗舰产品,Cisco 3800系列让客户可以在使用并发数据、安全、话音和高级服务时获得最高的性能、可用性、密度和最大限度的增长空间,从而增强了思科系统公司在多服务路由领域的领先地位。Cisco 3800系列路由器采用了嵌入式安全处理、板载分组话音DSP模块(PVDM),重要的性能和内存改进,以及更高性能的新型接口,因而可以满足要求严格的企业分支机构的需求。Cisco 3800系列包括两个高度模块化的、灵活的平台:Cisco 3825和3845。它们可以支持现有的90多种Cisco 2600和3700模块,所以能够提供长期的投资保护。
3.1.3、Cisco Unified Personal Communicator7.0网卡:
作为思科?统一通信产品系列的一个重要组件,Cisco Unified Personal Communicator能够将您最常使用的通信应用和服务透明地集成到一个统一客
户端中。它使用PC或Mac上的易用界面,能够快速、轻松地访问强大的通信工具—软电话、在网状态、即时消息传递、可视语音留言、点击拨号、员工目录、通信历史纪录、视频和Web会议,来帮助您高效通信和更有效率地工作。
除了重要的网络硬件设备外,医院所必须的PC也必须符合服务要求,医院的服务要求大多需要硬件设备来实现。硬件设备加上所必须的网络设备费用,包
括许多医院的专用软件开发,以及普通正版软件的的购买和安装,预计网络费用分析将达到200万元人民币左右。
3.2、网络总体需求分析
3.2.1、医院网络设计分析
应根据医院自身的特点、规模,来确定网络的具体设计方案。
按医院规模来划分:
◆100个信息点以下的医院,若两、三年内不需要再增加信息点的话,为节省投资,建议采用100MB主干快速以太网,100MB至桌面,交换机之间的连接采用多电缆捆绑的连接方式;
◆100个信息点以的医院,建议采用1000MB光纤以太网主干,100MB至桌面,这样可以满足以后PACS系统的需求,也方便今后的网络扩容。
3.2.1.1、千兆以太网技术介绍
1995年11月,IEEE802.3工作组委任了一个高速研究组(Higher Speed Study Group),研究将快速以太网速度增至更高.该研究组研究了将快速以太网速度增至1000M以太网的可行性和方法。1996年6月IEEE标准委员会批准了千兆位以太网方案授权申请(Gigabit Ethernet Project Authorization Request)。随后IEEE802.3工作组成立了802.3z工作委员会。
IEEE 802.3z委员会的目的是建立千兆位以太网标准:包括在1000Mbps通信速率的情况下的全双工和半双工操作、802.3以太网帧格式、载波侦听多路访问和冲突检测(CSMA/CD)技术、在一个冲突域中支持一个中继器(Repeater)、
10BASE-T和100BASE-T向下兼容技术。
IEEE 802.3z千兆位以太网标准现在尚未全部完成,现以完成的有
1000BASE-FX基于光缆的标准。1000BASE-T基于5类UTP双绞线的标准预计会在1998年中左右完成。
千兆位以太网具有以太网的易移植、易管理特性,在处理新应用和新数据类型方面具有灵活性,它是在赢得了巨大成功的10M和100M IEEE802.3以太网标准的基础上的延伸,提供了1000Mbps的数据带宽。这使得千兆位以太网成为高速、宽带网络应用的战略性选择。
以太网标准IEEE802.3z
1000Mbps通信速率的情况下的全双工和半双工操作。
802. 3以太网帧格式。
载波侦听多路访问和冲突检测(CSMA/CD)技术。
在一个冲突域中支持一个中继器(Repeater)。
10BASE-T和100BASE-T向下兼容技术。
可选的千兆位介质无关接口(GMII).
千兆以太网是建立在以太网标准基础之上的技术。千兆以太网和大量使用的以太网与快速以太网完全兼容,并利用了原以太网标准所规定的全部技术规范,其中包括CSMA/CD协议、以太网帧、全双工、流量控制以及IEEE 802.3标准中所定义的管理对象。作为以太网的一个组成部分,千兆以太网也支持流量管理技术,它保证在以太网上的服务质量,这些技术包括IEEE 802.1P第二层优先级、第三层优先级的QoS编码位、特别服务和资源预留协议(RSVP)。
千兆以太网还利用IEEE 802.1QVLAN支持、第四层过滤、千兆位的第三层交换。千兆以太网原先是作为一种交换技术设计的,采用光纤作为上行链路,用于楼宇之间的连接。之后,在服务器的连接和骨干网中,千兆以太网获得广泛应用,由于IEEE 802.3ab标准(采用5类及以上非屏蔽双绞线的千兆以太网标准)的出台,千兆以太网可适用于任何大中小型企事业单位。
目前,千兆以太网已经发展成为主流网络技术。大到成千上万人的大型企业,小到几十人的中小型企业,在建设企业局域网时都会把千兆以太网技术作为首选的高速网络技术。千兆以太网技术甚至正在取代ATM技术,成为城域网建设的主力军。
3.2.1.2、千兆以太网的特点
千兆以太网的特点主要包括如下:
千兆位以太网提供完美无缺的迁移途径,充分保护在现有网络基础设施上的投资。千兆位以太网将保留IEEE 802.3和以太网帧格式以及802.3受管理的对象规格,从而使企业能够在升级至千兆性能的同时,保留现有的线缆、操作系统、协议、桌面应用程序和网络管理战略与工具;
千兆位以太网相对于原有的快速以太网、FDDI、ATM等主干网解决方案,提供了一条最佳的路径。至少在目前看来,是改善交换机与交换机之间骨干连接和交换机与服务器之间连接的可靠、经济的途径。网络设计人员能够建立有效使用高速、关键任务的应用程序和文件备份的高速基础设施。网络管理人员将为用户提供对Internet、Intranet、城域网与广域网的更快速的访问。
IEEE 802.3工作组建立了802.3z和802.3ab千兆位以太网工作组,其任务是开发适应不同需求的千兆位以太网标准。该标准支持全双工和半双工
1000Mbps,相应的操作采用IEEE 802.3以太网的帧格式和CSMA/CD介质访问控制方法。千兆位以太网还要与10BaseT和100BaseT向后兼容。千兆位以太网填补了802.3以太网/快速以太网标准的不足。
3.2.1.3、千兆以太网的构建
千兆以太网络是由千兆交换机、千兆网卡、综合布线系统等构成的。千兆交换机构成了网络的骨干部分,千兆网卡安插在服务器上,通过布线系统与交换机相连,千兆交换机下面还可连接许多百兆交换机,百兆交换机连接工作站,这就是所谓的“百兆到桌面”。在有些专业图形制作、视频点播应用中,还可能会用到“千兆到桌面”,及用千兆交换机联到插有千兆网卡的工作站上,满足了特殊应用下对高带宽的需求。
在建设网络之前,究竟用千兆还是百兆,要从实际出发,从应用出发,考虑网络应该具备哪些功能。不同的应用有不同的需求,而且几乎没有只有单一业务的网络。但是,在各种业务中,生产性业务肯定是优先级最高的。如果在网络中传输语音,那么语音业务也需要优先安排。如果对业务优先的需求很高,网络必须有QoS保证。这样的网络必须要智能化,在交换机端口能够识别是什么类型的业务通过,然后对不同的业务进行排队,为不同的业务分配不同的带宽,这样才能保证关键性业务的运行。数据业务本身是有智能的,不管多少带宽都可以传输,只是时间长短而已,但是语音或者视频就不一样了,如果带宽小了之后,马上就听不清楚了,或者图像产生抖动,这都是不允许的。所以QoS非常重要。对单纯的数据网络,在QoS方面的需求就很低。在规划网络的时候,必须先了
解清楚哪些功能是必须的,哪些可以不考虑。例如,目前多址广播是比较重要的性能之一,如果需要在网络中传输图像,而网络不具备多址广播的特性,那么网络的带宽浪费就会非常严重,甚至根本无法实现。
3.2.1.4、千兆以太网国际标准
1997年1月通过了IEEE 802.3z第一版草案
1997年6月草案V3.1获得通过,最终技术细节就此制定
1998年6月正式批准IEEE 802.3z标准
1999年6月正式批准IEEE 802.3ab标准(即1000Base-T),可以把双绞线用于千兆以太网中
千兆位以太网标准主要针对三种类型的传输介质:单模光纤;多模光纤上的长波激光(称为1000BaseLX)、多模光纤上的短波激光(称为1000BaseSX);1000BaseCX介质,该介质可在均衡屏蔽的150欧姆铜缆上传输。IEEE 802.3z 委员会模拟的1000BaseT标准允许将千兆位以太网在5类、超5类、6类UTP 双绞线上的传输距离扩展到100米,从而使建筑楼宇内布线的大部分采用5类UTP双绞线,保障了用户先前对以太网、快速以太网的投资。对于网络管理人员来说,也不需要再接受新的培训,凭借已经掌握的以太网网络知识,完全可以对千兆以太网进行管理和维护。
最初的千兆以太网采用高速780纳米光纤信道的光元件传输光纤上的信号,采用8B/10B的编码和解码方法实现光信号的串行化和复原。目前光纤信道技术的数据运行速率为1.063Gbps,将来会提高到1.250Gbps,使数据速率达到完整的1000Mbps。对于更长的连接距离,将采用1300纳米的光元件。为了适应硅技术和数字信号处理技术的发展,应在MAC层和PHY层之间制定独立于介质的逻辑接口,以使千兆以太网工作在非屏蔽双绞线电缆系统中。这一逻辑接口将适用于非屏蔽双绞线电缆系统的编码方法,并独立于光纤信道的编码方法。
3.2.2、拓扑结构分析
妇科内科外科五官科口腔科痔疮科
图3-1
由于医院的规模,将其分为六个子网:
交换机SWITCH1是内科集线设备,交换机SWITCH2是外科集线设备, 交换机SWITCH1是妇科集线设备,SWITCH3是口腔科集线设备,SWITCH4是五官科集线设备,交换机SWITCH5是痤疮科集线设备,防火墙以及路由器为整个局域网服务。
交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。目前交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能,有的交换机还可以配置监视端口检查任何两个端口之间的通信量。
路由器的一个作用是连通不同的网络,另一个作用是选择信息传送的线路。选择通畅快捷的近路,能大大提高通信速度,减轻网络系统通信负荷,节约网络系统资源,提高网络系统畅通率,从而让网络系统发挥出更大的效益来。
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
3.2.3、网络技术分析选择:
WLAN在医疗行业最常采用以下3种无线覆盖方式,即普通AP、无线交换机和WLAN室内信号分布等系统。
普通AP在早期的时候被部分医院试用,但因为其存在不便于集中管理、信号覆盖效果不佳、漫游切换时延大等诸多问题,目前大规模采用普通AP覆盖的医院已经非常少了。无线交换机以其便利的集中管理和AP零配置,室内分布系统以其病区漫游零时延和近乎完美的信号覆盖的优势,成为医疗行业大量采用的两种无线系统。
无线交换机系统屏除了以AP为基础传输平台的传统方法,转而采用了后台中心交换机+瘦AP的方式,它将一台无线交换机置于用户的机房内,成为数据处理和AP管理的中心,而将若干类似于天线功能的AP(俗称瘦AP,,也有部分厂商依然采用胖AP)置于前端,这样所有的管理和数据处理都集中到功能更加强大的无线交换机上来。无线交换机最明显的优势:集中智能的管理;更高效的无线安全策略管理。
室内信号分布系统,每一路设备一般由一个基站,一根馈线,多个天线、功分和耦合器组成,多路设备由控制器集中管理控制。基站信号经过合路、双向放大等信号处理后,经由一个信号输出口,输出到由功分、耦合、馈线、天线组成的信号分布系统中去。移动终端在同一路WLAN信号分布系统下移动时,会始终与基站保持良好连接,在移动中始终保持高带宽和低时延状态,不存在AP间切换所带来的种种问题。室内信号分布系统,除基站外,主要由无源设备组成,它们对运行环境要求不高,耐用、不易出故障,基本不需要维护。
3.2.4、信息特点分析:
医院管理系统(Hospital Information System简称HIS)是一门容医学、信息、管理、计算机等多种学科为一体的边缘科学,在发达国家已经得到了广泛的应用,并创造了良好的社会效益和经济效益。医院管理系统是现代化医院运营
的必要技术支撑和基础设施,实现医院管理系统的目的就是为了以更现代化、科学化、规范化的手段来加强医院的管理,提高医院的工作效率,改进医疗质量,从而树立现代医院的新形象,这也是未来医院发展的必然方向。
该系统的实施将在整个医院建设企业级的计算机网络系统,并在其基础上构建企业级的应用系统,实现整个医院的人、财、物等各种信息的顺畅流通和高度共享,为全院的管理水平现代化和领导决策的准确化打下坚实的基础。该系统具有成熟、稳定、可靠、适用期长、扩充性好等特点,可以根据各医院各自的特点度身制作。该系统已成功地运行在普兰店市第一人民医院、庄河市第一人民医院、大连市中山医院、盖州市中心医院、蓬莱市人民医院、丹东市中医院、抚顺市中医院、铁岭中医院、铁岭县医院、黑龙江省呼兰县中医院、大连大学附属医院、瓦房店第一人民医院等一系列三甲、三乙、二甲等医院,为各医院取得了良好的社会效益与经济效益,同时也受到客户的广泛好评。
3.3、综合布线需求分析
我们将网络结构划分为核心层和网络层,网络设计以星形扩散。核心层采用万兆多模光缆,网络层采用超五类双绞线接入到桌面。信息中心配有相关的网络设备柜,容放中心交换机、光缆管理器,线缆管理器等设备,接入配线柜增设线缆管理器,并留有冗余量。
关键应用连接跳线采用原装连接线缆,加强系统的可靠和稳定性。消除网络设备的多级串联,使结构扁平化,减少故障的影响范围。彻底去除HUB等物理层设备,减少广播数据量。
缆线是计算机网络的生命线,是传送信息的动脉,线路如因质量问题而造成损坏,将会使网络全部瘫痪,而停止工作。因此,我们在设计中采用楼宇自动化的综合布线方案,严格按照综合布线的技术要求,以此提高线路的质量和稳定性。同时可用于语言传输,便于用户自由选择,根据现场情况,线缆可连接于RJ-45插座于墙面上,也可用RJ-45插头直接连工作站,这样便于维护和扩充不同的缆线有不同的价格,但是缆线不一定都用最好最贵的,只要能承受医院的信息流量就可以了。
结构化综合布线系统是计算机网络系统的基础,布线系统性能的好坏直接关系到网络系统运行的安全性和可靠性。结构化布线系统是一个开放式独立结构,能与许多各种各样的厂家包括IBM、DEC、HP、Ericsson、NothernTelecom、NEC、Cisco等公司的产品一起来支持数据处理、数据、语音传送。它同时也支持视频应用如模拟视频传送,数字视频传送与可视会议。
结构化布线系统实际上是一种星型拓扑结构。这是一种最良好的拓扑结构,这种物理拓扑结构仿效电话工业,并且在联网中得到便利。它能支持环状拓扑应用和星型拓扑应用。所以,无需变化电缆就可以十分容易的完成应用,操作的改变,系统的扩容,甚至是办公室布置的改变。维护对于用户来说非常简便,需要的操作就如您在家中处理您的电话一样方便!
在星形拓扑结构中扩展很简单,因为站点是从中央节点向外增加的。每一个节点之间是互相独立的,所以改变和从新连接事实上只影响这些变动的连接部分。在星形拓扑中,每一个节点同其他的节点是相互独立的这比较安全的,不象其他拓扑结构,如环形或总线形,每一个节点或管理点是相互依靠的,整个网络的任何管理点都比较容易断裂。上述的拓扑结构很容易产生故障,但比较可靠,
当一些节点的中央节保留星形拓扑的优点。
结构化布线系统通常为2层星形拓扑结构。第一层星形结构用于MDF(主分配箱)与每一层IDFs(子分配箱)之间的连接。计算机系统的MDF ,PBX系统和其他楼宇管理系统,保安系统等经常能安置在同一间房间内,这样与过去传统的布线系统将所有的设备放在不同的房间相比,如今的操作将非常简单。第2层星形结构是指IDFs与信息出口间的连接。主MDF是垂直分配的星型中心,IDF 是水平分配的星型中心。管理子系统安放在IDF和MDF。
3.4、网络可用性/可靠性需求分析
关于网络可用性,首要的概念就是可用性的定义必须视网络为一个整体。传统的衡量网络可用性的标准一般指“9的数量”(例如,五个9代表网络在99.999% 的时间里都是可用的)和“尽可能少的停机时间”。然而Cisco公司的资深专家指出,在运行多应用的网络中,可用性并不仅仅指9的数量有多少,也不在于特定的设备或连接是否停机,而指的是当用户需要某种应用时,网络是否能满足用户的需求。
对网络可用性的分析和测量通常从计算理论上的可用性数值开始,包括在访问、分布和核心三个网络环节上对硬件、软件和电源供给三类组成部分进行计算。使用设备说明书上提供的理论MTBF数值、软件发行商提供的理论数值以及电源供给的理论数值进行计算,通过计算能够得知企业的网络在理论上能够达到多高的可用性。这种理论上可用性的评估是重要的,它可以尽早地指出网络中哪些环节需要改进以满足需求。同时通路可用性的评估可以帮助预测停机造成的损失和提升网络性能得到的投资回报。
3.5、网络安全性需求分析
医院属于重要的部分,应该注意好病人的隐私,数据及网络的安全不容忽视。
当前,随信息化发展而来的网络安全问题日渐突出,这不仅严重阻碍了社会信息化发展的进程,而且还进一步影响到整个国家的安全和经济发展。面对网络安全的严峻形势,必须要建设高质量、高稳定性、高可靠性的安全网络。首先采用端点准入防御(EAD)解决方案,从网络用户终端准入控制入手,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,保护网络安全。在数据中心与核心网络的边界处部署防火墙和IDS,提高数据中心的安全。。制定统一的网络安全策略,整体考虑平台的安全性。有效防止网络的非法访问,病毒攻击,保护数据不被非法窃取、篡改和破坏。
1.网络安全问题已经成为困扰世界各国的全球性难题
在国际刑法界列举的现代社会新型犯罪排行榜上,计算机犯罪和网络侵权已名列榜首。无论是数量、手段,还是性质、规模,都出乎人们的意料。据有关方面统计,目前美国每年由于网络安全问题而遭受的经济损失超过170亿美元,德国、英国也均在10亿美元以上,法国为100亿法郎,日本、新加坡问题也很严重。比经济损失更为严重的是,人们将逐渐对全球网络的安全失去信心。网络问题不断,人们还怎么敢使用它?一旦不用网络,再好的网络服务也维持不下去。特别是全球互联网规模在不断扩大、技术含量不断提高,这些都要求有一个高可靠性、高质量的网络来承载,支撑由此带来的网络流量、管理控制、交换传输的复杂变
化,这些都对全球网络的安全提出了新的更高要求。
2.我国网络防护起步晚、基础差,解决网络安全问题刻不容缓
根据中国互联网信息中心2006年初发布的统计报告显示:我国互联网网站近百万家,上网用户1亿多,网民数和宽带上网人数均居全球第二。同时,网络安全风险也无处不在,各种网络安全漏洞大量存在和不断被发现,计算机系统遭受病毒感染和破坏的情况相当严重,计算机病毒呈现出异常活跃的态势。面对网络安全的严峻形势,我国的网络安全保障工作尚处于起步阶段,基础薄弱,水平不高,网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节,安全防护能力不仅大大低于美国、俄罗斯和以色列等信息安全强国,而且排在印度、韩国之后。在监督管理方面缺乏依据和标准,监管措施不到位,监管体系尚待完善,网络信息安全保障制度不健全、责任不落实、管理不到位。网络信息安全法律法规不够完善,关键技术和产品受制于人,网络信息安全服务机构专业化程度不高,行为不规范,网络安全技术与管理人才缺乏。
3.6、网络安全设计
1 医院网络安全解决方案的设计
1.1网络方案的模型
本文研究的医院网络安全解决方案是采用基于主动策略的医院网络安全系统,它的主导思想是围绕着P2DR模型思想建立一个完整的信息安全体系框架。P2DR模型最早是由ISS公司提出的动态安全模型的代表性模型,它主要包含4个部分:安全策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)。
安全策略是P2DR安全模型的核心。在整体安全策略的控制和指导下,运用防护工具(防火墙、操作系统身份认证、加密等)对网络进行安全防护;利用检测工具(如漏洞扫描、入侵检测系统等等)了解和评估系统的安全状态,检测针对系统的攻击行为;通过适当的反应机制将系统的安全状态提升到最优状态。这个过程是一个动态的、不断循环的过程,检测到的威胁将作为响应和加强防护的依据,防护加强后,将继续进行检测过程,依次循环下去,从而达到网络安全性不断增强的目的[1]。
根据对网络安全的技术分析和设计目标,医院网络安全解决方案要解决7个实现的技术问题,分别是:数据检测,入侵行为控制,行为分析,行为记录,服务模拟,行为捕获和数据融合。医院网络安全解决方案以P2DR模型为基础,合理利用主动防御技术和被动防御技术来构建动态安全防御体系,根据现有安全措施和工具,在安全策略的基础上,提出基于主动策略的医院网络安全方案模型,如图1所示。
医院网络安全解决方案模型入侵检测监视网络的异常情况,当发现有可疑行为或者入侵行为时,将监测结果通知入侵行为控制,并将可疑行为数据传给服务模拟;服务模拟在入侵行为控制的监控下向可疑行为提供服务,并调用行为捕获对系统所有活动作严格和详细的记录;数据融合定期地从行为记录的不同数据源提取数据,按照统一数据格式整理、融合、提炼后,一发给行为分析,对可疑行为及入侵行为作进一步分析,同时通知入侵行为控制对入侵行为进行控制,并提取
未知攻击特征通过入侵行为控制对入侵检测知识库进行更新,将新的模式添加进去。
1.2 防火墙隔离的设计
防火墙技术是医院网络安全系统中使用最广泛的一项网络安全技术。它的作用是防止不希望的、未经授权的通信进入被保护的内部网络,通过边界控制强化内部网络的安全策略。在医院网络中,既有允许被内部网络和外部网络同时访问的一些应用服务器(如医疗费用查询系统、专家号预约系统、病情在线咨询系统等),也有只允许医院网络内部之间进行通信,不可以外部网络访问的内部网络[2]。因此,对应用服务器和内部网络应该采用不同的安全策略。
本文研究的医院网络安全解决方案采用的是屏蔽子网结构的防火墙配置。将应用服务器放置在屏蔽子网机构中的DMZ区域内,由外部防火墙保护,内部网络和外部网络的用户都可以访问该区域。内部网络除了外部防火墙的保护外。还采用堡垒主机(代理服务器)对内部网络进行更加深一些层的保护。通过核心交换机的路由功能将想要进入内部网络的数据包路由到代理服务器中,由包过滤原则。过滤一些内部网络不应看到的网站信息等。内部路由器将所有内部用户到因特网的访问均路由到代理服务嚣,代理服务器进行地址翻译。为这些用户提供服务.以此屏蔽内部网络。这种结构使得应用服务器与内部网络采用不同级别的安全策略,既实现医院网络的需求,也保护医院网络的安全。防火墙系统结构设计如图2所示。
虽然防火墙系统能够为医院的网络提供很多安全方面的保障,但并不能够解决全部安全问题。因此,医院的网络安全系统还采取了其他的网络安全技术和手段来确保医院网络的安全。
1.3 医疗业务数据的捕获
如果本文研究的医院网络安全系统不能捕获到任何数据,那它将是一堆废物。只有捕获到数据,我们才能利用这些数据研究攻击者的技术、工具和动机。本文设计的医院安全系统实现了三层数据捕获,即防火墙日志、嗅探器捕获的网络数据包、管理主机系统日志。
其中,嗅探器记录各种进出医院内管理网的数据包内容,嗅探器可以用各种工具,如Ethereal等,我们使用了Tcpdump。记录的数据以Tcpdump日志的格式进行存储,这些数据不仅以后可用通过Tcpreplay进行回放,也可以在无法分析数据时,发送给别的研究人员进行分析。
防火墙和嗅探器捕获的是网络数据,还需要捕获发生有管理主机上的所有系统和用户活动。对于windows系统,可以借助第三方应用程序来记录系统日志信息。现在大多数的攻击者都会使用加密来与被黑系统进行通信。要捕获击键行为,需要从管理主机中获得,如可以通过修改系统库或者开发内核模块来修改内核从而记录下攻击者的行为。
2 医院网络安全解决方案的实现
2.1 防火墙系统的布置
本文研究的医院防火墙系统采用的是屏蔽子网结构,在该结构中,采用Quidway SecPath 1000F硬件防火墙与外部网络直接相连,通过核心交换机Quidway S6506R将屏蔽子网结构中的DMZ区域和内部网络连接起来,DMZ区域中的各种应用的服务器都采用的是IBM xSeries 346,其中一台作为堡垒主机使用。这台堡垒主机起到的就是代理服务器的作用。防火墙根据管理员设定的安全规则保护内部网络,提供完善的安全设置,通过高性能的医院网络核心进行访问控制。