医院网络拓扑结构图
1) Internet接口
为了让整个园区能够与Internet相连,让内部员工能够从中获取信息资源和同时让外部用户能够访问医院的网站。我们建议申请一条DDN链路,通过电信局连接Internet。
我们选用了Cisco公司的企业级硬件防火墙产品PIX Firewall,作为医院内部网与Internet之间的安全防护平台,同时其还可以提供一个缓冲区作为网站、DNS服务器使用,这样就避免了企业内部网上的各类网络系统设备直接暴露在Internet上,使网络整体的安全性得到了大幅度提高。
第 21 页 共 50 页
3.5. 网络安全与管理
3.5.1. 安全管理措施
1) 建立安全管理制度,保护登录密码,合理使用访问权限,系统管理员注意
在用户使用权限划分上的漏洞;
2) 系统管理员注意网络监控,对用户访问进行记录;
3) 网络系统的核心由千兆位以太网交换机构成骨干网,采用端到端连接技术,
保证骨干网上数据传输的安全性;
4) 在互联网络接入部分配置了防火墙PIX,在应用层进行安全控制; 5) 通过网管系统加强虚电路和虚网管理,使网络安全集中管理; 6) 建立企业级的病毒防护体系,确保信息资源的安全完整;
3.5.2. 网络管理
医院内部网的网络管理是网络建设的重要内容之一,是保证整个内部网正常运行的前提。网络管理不但需要先进、使用的技术支持手段,对大型网络而言,更需要合理、有效的组织体系和规章制度。网络管理是网络可用性的关键组成。界定并实现网络管理是网管设计的主要内容。
内部网网络管理系统的主要管理对象包括:
? 互联网接入部分 ? 主干网核心交换设备 ? 子网交换模块
第 22 页 共 50 页
? 工作组交换机和基层网络设备 ? 服务器系统 ? 拨号访问服务 ? 网络运行中心NOC网段 ? 网络信息中心NIC网段 ? VLANs划分与管理
所有的网络信息和管理数据,包括系统配置、失效记录、安全记录、性能记录,用户使用情况等都保存在数据库中,这些信息和数据可以方便地进行查询、统计、分析和形成报表。
配置管理:管理主要网络设备和服务器及VLANs配置信息、通信和网络拓朴结构、用户名、电子邮件地址、口令等重要网络信息。
失效管理:是保证网络政党运行至关重要的一个部分,目的是保证网络正常运行,尽量减少故障发生的频度、消除故障产生的隐患,并及时修复已出现的故障。失效管理配合网管软件的失效管理功能,建立失效档案管理,提供联机工作手册和规范的失效处理操作程序(包括书面报告、电话报告、E-MAIL报告、处理程序、处理意见等的要求)。通过一定的故障定位手段和分析方法找出故障源,并立即对故障源进行隔离和修复。
性能管理:对接入网络和IPF 址的流量及流速进行定时采样记录。能够指明网络流量的高峰和瓶颈所在,能够按业务、部门、时间统计,根据流量统计安排镜像操作的时间等。
第 23 页 共 50 页
安全管理:是整个网络管理的重要一环,通过防火墙、用户认证/授机、数字签名、加密传输、存取控制、安装安全分析工具等手段实现安全控制,监视用户的访问情况,实施访问安全控制;通过设备冗余、容错配置、数据备份等手段确保运行安全;通过值班制度、运行制度完善组织管理;通过事帮保护系统,如防火系统、防盗系统、电源安全系统等措施防止非常事故的发生。
由于本网络系统覆盖的地理范围较大,我们建议选用基于WindowsNT的网络管理软件CiscoWork2000 LAN Management Solution来进行全面的网络管理。
3.5.3. 网络安全
防火墙被应用于内部网与外部网的连接之间,通过2~6块100M快速以太网卡直接连在——交换机上。使用虚拟网(VLAN)技术,来自INTERNET对内部网的访问首先要经过防火墙,防火墙对进出内部网的数据内容进行各个层次的安全检查、控制和过滤,以确保网络的安全。
CISCO公司PIX防火墙向企业网络提供引人注目的简单新特性和举世无双的安全性。PIX防火墙的高性能核心是一种基于自适应安全算法(ASA)的防护方案,有效地对黑客隐藏起客户机地址。PIX还具有执行速度快、成本低的优点,同时也能改善IP地址不足的问题。
3.6. 方案特点(以CISCO产品为例)
本方案具有以下特点: ?
统一的IOS
?
安全性好
第 24 页 共 50 页
? ? ?
高性能IP及多媒体支持 高可靠性
?
? 实用性强
易管理 ?
标准化
高可扩展性
阐述如下: ? 统一的IOS
方案选用的所有Cisco产品都内置Cisco IOS。IOS能够将路由器、千兆交换机、ATM交换机、LAN和WAN交换机、文件服务器、智能集线器、个人计算机及对机构的互连网络有战略性影响的任何其他设备等所有不断发展的网络平台集成在一起,因而能够支持不可避免的变化和移植。IOS能够发挥Cisco平台及由将IOS融入其产品中的技术伙伴提供产品的功能,因而能够让各公司建立和加强经济有效的集成式统一信息系统基础设施。
? 安全性好
设备的安全性——在网络系统的安全设计中,设备本身管理的安全性是应首先考虑的,却往往又是人们常常疏忽的。利用设备本身的多个登录等级,控制不同人员的配置权限。可利用TACACS+、RADIUS安全认证服务器,加强了对网络设备本身的安全性管理。
VLAN的安全性——VLAN的建立,可以控制广播和应用的信息流动,从而防止他人非法在网络上截获其它用户或它们的资源。VLAN之间的通信可通过访问列表Access List控制,提供IP层,TCP层的访问控制。利用CISCO User Registration Tool,并结合CISCO特有的动态VLAN技术,使移动的用户无论位于何处,与之相
第 25 页 共 50 页