下載本文檔
版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、北京大學(xué)人民醫(yī)院網(wǎng)絡(luò)規(guī)劃建議人民醫(yī)院在HIS系統(tǒng)升級的同時有必要進(jìn)行網(wǎng)絡(luò)的全面升級,以保證全系統(tǒng)的穩(wěn)定、可靠、安全運(yùn)行,避免由于網(wǎng)絡(luò)癱瘓和延時造成HIS系統(tǒng)的不穩(wěn)定。在網(wǎng)絡(luò)的設(shè)計(jì)方面我們提出的設(shè)計(jì)模型,其設(shè)計(jì)思想是建立在保證網(wǎng)絡(luò)穩(wěn)定性與可靠性及冗余備份基礎(chǔ)之上的,并充分利用了Cisco網(wǎng)絡(luò)設(shè)備的領(lǐng)先技術(shù),可以為HIS軟件系統(tǒng)提供穩(wěn)定的運(yùn)行環(huán)境以及可擴(kuò)展的高帶寬傳輸。以下是就網(wǎng)絡(luò)模型的簡單描述:該網(wǎng)絡(luò)的核心采用兩臺Cisco Catalyst 6509交換機(jī),建立冗余的核心路由、交換矩陣,其配置根據(jù)HIS系統(tǒng)業(yè)務(wù)流量選擇平衡(相同配置的雙機(jī))結(jié)構(gòu)。由于人民醫(yī)院HIS系統(tǒng)配有大量服務(wù)器,平衡配置的
2、雙核心交換機(jī)將使業(yè)務(wù)流量均衡的分配在其上,這樣將充分利用兩臺核心的處理能力,也會使下聯(lián)匯聚層交換機(jī)的鏈路帶寬得到充分的發(fā)揮,因此選擇平衡配置的雙核心交換機(jī),并利用GigaChannel技術(shù)在兩交換機(jī)之間建立8G16G(48條線路)的無阻塞通道,保證兩臺核心交換機(jī)之間的大量數(shù)據(jù)的傳輸。網(wǎng)絡(luò)匯聚層根據(jù)級聯(lián)設(shè)備的數(shù)量以及流量分配有選擇的配置三層交換機(jī)。對于關(guān)鍵業(yè)務(wù)以及數(shù)據(jù)傳輸量較大的部門除配置普通Cisco Catalyst 2950系列二層接入交換機(jī)以外還可配置一臺Cisco Catalyst 3550系列路由交換機(jī),通過千兆光纖分別連接兩臺核心交換機(jī),這樣不僅可以提供2G的傳輸帶寬,而且當(dāng)任一核
3、心交換機(jī)宕機(jī)時接入交換機(jī)仍然可以連接HIS系統(tǒng)主機(jī),以此有效的保證全院PC機(jī)與HIS數(shù)據(jù)庫之間的不間斷訪問。網(wǎng)絡(luò)中的HIS主機(jī)集群系統(tǒng)同時連接兩臺核心交換機(jī),可以避免系統(tǒng)主機(jī)和網(wǎng)絡(luò)核心單點(diǎn)故障的同時發(fā)生,使全系統(tǒng)具備更高的可靠性,保證醫(yī)院關(guān)鍵業(yè)務(wù)的無間斷處理能力。其它專業(yè)應(yīng)用服務(wù)器可根據(jù)使用情況直接接入核心交換機(jī),以提供較高的訪問帶寬。通過如上網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計(jì)不僅可以使本院網(wǎng)絡(luò)系統(tǒng)更加可靠、穩(wěn)定,而且可為今后的醫(yī)療信息化改造建立堅(jiān)實(shí)的網(wǎng)絡(luò)基礎(chǔ)。網(wǎng)絡(luò)核心Cisco Catalyst 6509交換機(jī)可以提供720G的背板帶寬以及400M的包轉(zhuǎn)發(fā)率,完全可以滿足日后PACS系統(tǒng)應(yīng)用的要求;對于服務(wù)器不
4、斷擴(kuò)容的需求,該交換機(jī)還可提供七層內(nèi)容交換模塊,起到負(fù)載均衡的作用,使三層結(jié)構(gòu)HIS系統(tǒng)中的中間件服務(wù)器運(yùn)行更加穩(wěn)定;同樣對于醫(yī)療信息系統(tǒng)將要面對的海量存儲問題,該交換機(jī)也可以提供包括CWDM和10G Ethernet技術(shù)在內(nèi)的全面解決方案,保證系統(tǒng)對在/近線存儲的帶寬要求。匯聚層Cisco Catalyst 3550三層交換機(jī)可以靈活的為網(wǎng)絡(luò)提供多種服務(wù),包括訪問控制列表(ACL)、QoS、802.1X、EtherChannel等技術(shù),對于保證網(wǎng)絡(luò)的安全、帶寬等都具有實(shí)際應(yīng)用價值,并為今后網(wǎng)絡(luò)系統(tǒng)擴(kuò)容提供對投資保護(hù)。北京大學(xué)人民醫(yī)院網(wǎng)絡(luò)系統(tǒng)升級的主要技術(shù)優(yōu)勢可以概括如下:一、核心雙機(jī)網(wǎng)絡(luò)拓?fù)?/p>
5、結(jié)構(gòu)優(yōu)勢:1、 雙機(jī)網(wǎng)絡(luò)系統(tǒng)具備更高的可靠性;2、 雙機(jī)可根據(jù)業(yè)務(wù)量需求提供負(fù)載分擔(dān);3、 網(wǎng)絡(luò)系統(tǒng)擴(kuò)展可以更加靈活;二、匯聚層引入三層交換機(jī)的優(yōu)勢:1、 在匯聚層和核心層可以啟用動態(tài)路由(如:RIP或OSPF),這樣可以提高收斂速度(動態(tài)路由協(xié)議收斂速度小于15秒,而SPANNING-TREE協(xié)議的收斂速度為60-120秒);2、 通過路由策略使匯聚層的三層交換機(jī)分擔(dān)部分VLAN間流量,以減輕核心交換機(jī)的負(fù)載;3、 匯聚層三層交換機(jī)可以有效防止廣播風(fēng)暴,并部分阻斷類似BLASTER病毒所造成的大流量端口攻擊;附:人民醫(yī)院網(wǎng)絡(luò)規(guī)劃中應(yīng)考慮的幾個問題一、網(wǎng)絡(luò)認(rèn)證管理通過對人民醫(yī)院現(xiàn)有網(wǎng)絡(luò)狀況的分
6、析,我們設(shè)計(jì)的網(wǎng)絡(luò)認(rèn)證模式將融合現(xiàn)有的“域”和 “IEEE 802.1X”兩項(xiàng)技術(shù),針對連接HIS核心數(shù)據(jù)庫的用戶進(jìn)行“域+802.1X”的雙重認(rèn)證,而對于一般接入用戶只進(jìn)行“802.1X”認(rèn)證。以上的認(rèn)證方式雖然較為復(fù)雜,但是全面的認(rèn)證管理不僅可以切斷非醫(yī)院內(nèi)部人員的非法接入,而且可以簡化對網(wǎng)絡(luò)故障(病毒)源的排查,從而為人民醫(yī)院的整個網(wǎng)絡(luò)提供安全可靠的管理。以下對802.1X技術(shù)的分析可以更加明確該認(rèn)證形式對人民醫(yī)院網(wǎng)絡(luò)的適用性1、 802.1X認(rèn)證協(xié)議介紹802.1X是一個嶄新的通用認(rèn)證協(xié)議,是一種對用戶進(jìn)行認(rèn)證的方法和策略。它是基于端口的認(rèn)證策略(這里的端口可以是物理端口也可以邏輯端口
7、)。802.1X的認(rèn)證的最終目的就是確定一個端口是否可用。對于一個端口,如果認(rèn)證成功那么就“打開”這個端口,允許文所有的報文通過;如果認(rèn)證不成功就使這個端口保持“關(guān)閉”,此時只允許802.1X的認(rèn)證報文EAPOL(Extensible Authentication Protocol over LAN)通過。2、 802.1x認(rèn)證體系結(jié)構(gòu)802.1X的認(rèn)證體系分為三部分結(jié)構(gòu):A、Supplicant System,客戶端(PC/網(wǎng)絡(luò)設(shè)備)Supplicant SystemClient(客戶端)是需要接入LAN,及享受switch提供服務(wù)的設(shè)備(如PC機(jī)),客戶端需要支持EAPOL協(xié)議,客戶端必須
8、運(yùn)行802.1X客戶端軟件,如:802.1X-Complain,Windows XP。B、Authenticator System,認(rèn)證系統(tǒng)Authenticator SystemSwitch(邊緣交換機(jī)或無線接入設(shè)備)是根據(jù)客戶的認(rèn)證狀態(tài)控制物理接入的設(shè)備,Switch在客戶和認(rèn)證服務(wù)器間充當(dāng)代理角色(Proxy)。Switch與Client間通過EAPOL協(xié)議進(jìn)行通訊,Switch與認(rèn)證服務(wù)器間通過EAPoRadius或EAP承載在其他高層協(xié)議上,以便穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)Authentication Server(EAP Relay);Switch要求客戶端提供Identity,接收到后將E
9、AP報文承載在Radius格式的報文中,再發(fā)送到認(rèn)證服務(wù)器,返回等同;Switch根據(jù)認(rèn)證結(jié)果控制端口是否可用。C、Authentication Server System,認(rèn)證服務(wù)器Authentication server(認(rèn)證服務(wù)器)對客戶進(jìn)行實(shí)際認(rèn)證,認(rèn)證服務(wù)器核實(shí)客戶的Identity,通知Swtich是否允許客戶端訪問LAN和交換機(jī)提供的服務(wù)Authentication Sever接受Authenticator傳遞過來的認(rèn)證需求,認(rèn)證完成后將認(rèn)證結(jié)果下發(fā)給 Authenticator,完成對端口的管理。3、 802.1X認(rèn)證服務(wù)實(shí)施如圖所示:用戶PC作為802.1X的客戶端Supp
10、licant,與之直接相連的接入交換機(jī)作為認(rèn)證者Authenticator,認(rèn)證點(diǎn)發(fā)生在與用戶直接相連的端口上,接入交換機(jī)與Radius服務(wù)器通過EAPoRADIUS完成對用戶的認(rèn)證。這種方式在最大限度上保證了網(wǎng)絡(luò)的安全,用戶只有在完成了認(rèn)證后,才能對網(wǎng)絡(luò)產(chǎn)生流量。采用這種方案時,由于對用戶接入網(wǎng)絡(luò)的控制和認(rèn)證是在第二層完成的,因此第三層的IP地址分配還可以通過DHCP服務(wù)器來分配(兩種網(wǎng)絡(luò)服務(wù)相互不會發(fā)生沖突),并可通過與MAC地址的綁定實(shí)現(xiàn)更高級別的安全管理。由于在802.1X認(rèn)證通過之前用戶不能對網(wǎng)絡(luò)產(chǎn)生流量,因此也可以將Deny of Service攻擊風(fēng)險降到最低。4、 802.1x
11、認(rèn)證的主要認(rèn)證特點(diǎn)是: 1、 簡潔高效:純以太網(wǎng)技術(shù)內(nèi)核,保持IP網(wǎng)絡(luò)無連接特性,消除網(wǎng)絡(luò)認(rèn)證計(jì)費(fèi)瓶頸和單點(diǎn)故障,易于支持未來多業(yè)務(wù);2、 容易實(shí)現(xiàn):可在L3、L2交換機(jī)上實(shí)現(xiàn),網(wǎng)絡(luò)綜合造價成本低;3、 安全可靠:在二層網(wǎng)絡(luò)上實(shí)現(xiàn)用戶認(rèn)證,結(jié)合IP地址、MAC、端口、賬戶和密碼綁定技術(shù),防止了用戶的假冒和IP地址的盜用,使網(wǎng)絡(luò)具有很高的安全性;4、 行業(yè)標(biāo)準(zhǔn):IEEE標(biāo)準(zhǔn),微軟操作系統(tǒng)內(nèi)置支持;二、 網(wǎng)絡(luò)安全管理經(jīng)過對人民醫(yī)院現(xiàn)有網(wǎng)絡(luò)安全的分析,我們認(rèn)為在以下幾個方面需要完善:1、 透過Internet直接向局域網(wǎng)發(fā)動攻擊入侵。這種形式的不安全隱患雖然存在,但是對人民醫(yī)院的核心業(yè)務(wù)影響相對較小
12、,而且可以在網(wǎng)絡(luò)中通過安裝防火墻屏蔽大部分的惡意入侵;2、 局域網(wǎng)中非授權(quán)用戶改用合法IP地址,并盜用醫(yī)院系統(tǒng)內(nèi)部的資源。這種不安全隱患可以通過實(shí)施基于網(wǎng)絡(luò)認(rèn)證管理機(jī)制的措施完全消除,在系統(tǒng)級管理手段中完全可以通過“域”內(nèi)的統(tǒng)一安全策略加強(qiáng)對核心業(yè)務(wù)的保護(hù);3、 局域網(wǎng)中部分低安全管理級別的計(jì)算機(jī)可對網(wǎng)絡(luò)核心業(yè)務(wù)區(qū)域中的計(jì)算機(jī)和服務(wù)器進(jìn)行非惡意性攻擊,其主要形式多為由于感染病毒,對網(wǎng)絡(luò)資源無限制的吞噬,造成網(wǎng)絡(luò)設(shè)備與服務(wù)器的宕機(jī),從而嚴(yán)重影響醫(yī)院的正常業(yè)務(wù)處理。針對這種情況我們設(shè)計(jì)了兩種措施,以此提供醫(yī)療系統(tǒng)全面的安全保護(hù)。3.1 通過在匯聚層交換機(jī)與核心交換機(jī)(物理或邏輯)端口上配置訪問控制
13、列表,通過端口級QoS技術(shù)(Port Rate-Limited)對于非關(guān)鍵業(yè)務(wù)涉及的用戶設(shè)定線路最高占用帶寬,保證為HIS業(yè)務(wù)預(yù)留足夠的數(shù)據(jù)傳輸帶寬。這種安全保護(hù)措施雖然較被動,但是可以保證網(wǎng)絡(luò)系統(tǒng)在遭受病毒攻擊時仍然可以為醫(yī)院的關(guān)鍵業(yè)務(wù)提供有效的服務(wù)。3.2 在網(wǎng)絡(luò)系統(tǒng)中部署入侵檢測系統(tǒng)(IDS),建立主動、智能的安全保護(hù)機(jī)制。入侵檢測技術(shù)是一種主動保護(hù)自己免受攻擊的網(wǎng)絡(luò)安全技術(shù),作為其它安全機(jī)制的補(bǔ)充,入侵檢測能夠幫助網(wǎng)絡(luò)系統(tǒng)應(yīng)對網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、攻擊識別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測系統(tǒng)(Intrusion Detection System)軟件具有全面的入侵監(jiān)測、防
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024年度深圳加工承攬合同2篇
- 2024年新型環(huán)保設(shè)備維護(hù)及技術(shù)支持勞務(wù)分包合同3篇
- 2024年智能家居弱電工程合同6篇
- 2024年房地產(chǎn)投資合作開發(fā)與銷售合同3篇
- 2024年版特許經(jīng)營許可合同
- 2024年度人民防空辦公室機(jī)房設(shè)備搬遷、改造及運(yùn)行維護(hù)服務(wù)合同3篇
- 2024年度汽車租賃與定制化路線規(guī)劃服務(wù)合同范本3篇
- 2024年土地復(fù)墾項(xiàng)目綠色金融支持合作協(xié)議3篇
- 2024年牛羊肉加工購銷合同
- 2024版專業(yè)漁船購置及運(yùn)營管理協(xié)議3篇
- 網(wǎng)絡(luò)創(chuàng)業(yè)智慧樹知到答案章節(jié)測試2023年海南經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院
- 高中英語新課標(biāo)新增詞匯匯總1
- GB/T 31586.2-2015防護(hù)涂料體系對鋼結(jié)構(gòu)的防腐蝕保護(hù)涂層附著力/內(nèi)聚力(破壞強(qiáng)度)的評定和驗(yàn)收準(zhǔn)則第2部分:劃格試驗(yàn)和劃叉試驗(yàn)
- GB/T 20734-2006液化天然氣汽車專用裝置安裝要求
- GB/T 20197-2006降解塑料的定義、分類、標(biāo)志和降解性能要求
- GB/T 15561-2008靜態(tài)電子軌道衡
- 軍事理論論述題
- 寧德時代財(cái)務(wù)報表分析
- 門式起重機(jī)安裝施工方案
- 高中語文語法知識課件
- 《國際法》形成性考核參考資料廣東開放大學(xué)2022年10月題庫
評論
0/150
提交評論