河南洛阳正骨医院网络改造方案

【摘要】  近年来随着医院网络规模的不断增大和应用不断深化，原先相对完整的医院网络目前已经不能满足医院的正常管理、医疗业务及办公应用，为了满足现有的正常网络和未来几年内网络应用需求，需要对本院的医院网络应用进行深入改造。

【关键词】  三层架构;IP规划;网络设备管理;入网认证

　　从20世纪90年代末开始，我国二级以上的医院都相继建成了规模不等、结构各异的局域网，极大地推进了我国医疗卫生信息化的建设。随着网络技术的发展、医改政策的深入、就医环境的改善。原有的网络已不能满足医院可持续发展的需要，必须对其进行升级改造。

　　1洛阳正骨医院网络现状分析

　　本院计算机基础网络于2001年5月建成，随着医院网络规模的不断增大和应用不断深化，服务器由原来的2台增加到现在的16台，工作站由原来的30多台增加到现在的近500台，网络规模增加了十几倍，原先相对完整的医院网络目前已经不能满足医院的正常管理、医疗业务及办公应用，具体表现在以下几个方面。

　　1.1医院网络核心设备安全性能不足本院的医院网络核心设备是过去设备3COM的S4900，该设备的整体数据交换处理能力相对于目前高速数据流量比较低，而且考虑当时的应用，此设备只支持二层数据转发，不支持现在通用的三层数据转发，无法实现医院按照不同功能区域的划分，无法做到全院数据的安全访问。造成目前网络使用者都在一个网段范围内进行使用，院领导和部分数据应用关键部门(财务等)以及服务器等资源处于一个互相开放的环境，可以无障碍的互相访问，安全性大大降低。容易造成了网络病毒扩散、网络上数据互相拷贝造成数据盗用等安全隐患，影响了医院的正常工作。因此，根据医院目前的应用情况和今后的发展趋势，建议将核心设备升级为具有高速三层数据交换和三层路由区域功能的三层核心交换机。

　　1.2医院网络汇聚层不能够满足多种安全策略实施对于目前主流的三层架构医院网络，本院的医院网络是满足的。但是主流的医院网络架构中要求第二层即汇聚层具有多种安全策略，例如防病毒功能(可以防止网络病毒在医院网络内部的泛滥传播)、安全ACL功能(可以对于不同的功能区域进行访问权限控制，实现有差别的访问，实现主要网络资源等等有权限访问)。本院的拓扑架构中医院网络汇聚层设备是3COM的普通网管交换机，该设备是传统的二层设备，不具备上述的主流医院网络二层架构的基本功能。为了保证正常安全访问，防止网络病毒对于医院网络的攻击隐患和不安全的访问隐患，建议对二层汇聚层设备进行改造。

　　1.3医院网络IP规划不能满足现有的多业务需求目前本院的核心设备不具备三层交换路由能力，无法进行整体医院网络业务区域的规划，所以目前我们所有的用户都在一个大的网络IP段内，无法进行细化。由于无法进行更进一步的网络规划，对于医院的应用系统PACS系统、LIS系统、OA系统等需要按照不同的访问权限进行单独IP网段规划部署策略无法很好的实现。

　　1.4医院服务器区规划本院的重要应用，例如PACS、LIS、OA办公系统 SQL数据库系统都是建立在多台应用服务器上的，但是现有的服务器却和用户群体都是没有作安全隔离和安全访问策略部署，没有按照不同的应用进行严格的控制。因此，就造成服务器资源没有得到很好的保护，一旦病毒和攻击爆发就造成了医院的重要应用无法进行，服务器访问中断，医院正常运行无法保证。

　　1.5医院网络用户安全管理没有有效的手段目前本院的医院网络中针对用户的问题比较多，主要有以下几种，用户IP地址冲突严重，这是用户私自更改IP地址问题引起的;ARP欺骗攻击严重，这是一些用户的机器感染病毒以后，中毒机器发起的ARP攻击欺骗，影响网络安全使用;出现问题以后追查用户难度大，这是没有用户的入网级身份认证造成;无法知道有哪些用户使用网络和这些网络使用者的情况，这是缺乏用户入网的身份鉴定工作，因为一旦出现哪个用户在网上作了违法事件，我们追查不到相应的人员，会对本院的声誉造成影响。以上只是本院在用户管理方面几个简单问题的列举，但是现在由于用户网络行为复杂化，如何通过一个有效的手段加大对于用户的管理是我们现在和将来医院信息管理中必须解决的问题，不然就会跟我们医院网络正常运行造成多种障碍，不利于医院网络的正常运行。

　　1.6医院网络设备安全管理没有有效的手段随着医院网络的规模不断扩大，医院中使用的设备数量也会越来越多，如何通过一个有效的手段对网络设备运行状态进行监控，是保证医院网络正常运行的关键。所以建立一个全网络监管和监控平台，方便进行全网设备有效管理是本院医院网络改造必须考虑的条件。

　　2医院网络改造方案

　　由于现在医院网络存在以上五大方面的问题，已经严重影响本院的信息化发展和应用，因此为了满足现有的正常网络和未来几年内网络应用需求，需要对本院的医院网络应用进行如下改造。见图1。图1网络升级改造拓扑图

　　2.1医院网络核心层改造针对医院网络核心设备的改造，锐捷网络的万兆高端路由交换机RG-S8606，该交换机具备高性能的三层路由交换和新业务支撑能力以及多种安全策略功能，例如防DDOS攻击和防扫描攻击等，能够满足我们医院网络对于核心设备的要求，对于我们医院网络以后的发展具有很好的支撑能力，因为该交换机支持万兆平台，保证5~8年的医院扩大规模应用没有问题。

　　2.2医院网络汇聚层改造医院网络汇聚层设备改造部署锐捷网络的安全智能交换机S3760交换机,该交换机支持防网络病毒、安全ACL功能等等一系列安全功能，非常方便进行汇聚层的多种管理安全策略实施。解决因为病毒泛滥传播、用户不同访问权限控制等等一系列问题。

　　2.3医院网络IP规划改造针对目前本院不同用户群体和不同应用资源进行IP网络规划设计，例如将医院领导、医院医生专家、医院护士、医院应用系统进行不同网段划分，同时按照每个用户群体和应用群体访问资源的权限不同进行相关访问策略的控制，同时部署防病毒策略，进行全面的细化控制。从而保证我们医院的安全稳定运行，避免单个用户感染病毒和受到攻击的时候影响其他用户正常使用网路和对于我们的重要服务器资源进行攻击的可能性。

　　2.4服务器区规划改造服务器区应用系统是本院正常运行的大脑，所以针对这块区域要进行重要保护。因此，服务器区不仅要独立设计，部署专用的交换机，同时还部署安全防火墙。通过防火墙进行针对应用的细化性安全策略控制，同时该防火墙还可以进行针对蠕虫病毒的防治和针对P2P类攻击的杜绝，保证服务器应用系统的彻底安全。针对后台数据库SQL系统进行单独隔离，因为SQL只需要和服务器之间进行数据交流，所以就需要针对用户完全隔离，只需要满足和服务器进行数据通信，从而彻底保证关键的数据库正常运行。

　　2.5部署用户管理平台RG-SAM针对用户的安全管理，通过部署在锐捷的安全用户管理平台RG-SAM，通过该统一的平台完成对用户身份进行有差别的严格控制。解决网络中的病毒攻击、IP冲突、用户身份识别、用户追查、网络情况的可控控制等等一系列问题。

　　3改造后医院网络具有的特点

　　3.1超强的用户接入控制

　　3.1.1入网即认证用户只要使用网络即要进行身份认证，保证只有申请开户的合法用户才可以使用网络。

　　3.1.2多元素复合绑定可以对接入用户进行账号与IP、MAC、交换机IP、端口、VLAN六元素的复合绑定。

　　3.1.3支持IP+MAC绑定功能防止IP冲突,保证只有有效的指定设备才能访问网络资源，并能实现端口反查功能和追踪恶意用户。还提供PVLAN安全保护功能。

　　3.2超高的网络系统安全

　　3.2.1入网即认证用户使用网络前，通过用户账号与IP、MAC、交换机IP、端口、VLAN六元素的复合绑定，对用户进行准确的身份认证，其中账号与交换机以及接入端口的绑定，实现了准确的用户定位。

　　3.2.2超高的系统安全用户与所有的锐捷安全接入交换机以及Radius服务器、数据库服务器隔离，保证认证系统的绝对安全。

　　3.2.3强大的ACL控制功能支持强大的ACL访问控制功能，可支持MAC、IP、四层端口、VLAN ID、保证网络的安全，控制非法访问网络;并支持时间段的网络访问控制，有效的保证网络资源的访问。同时利用ACL技术有效控制和防止网络病毒的传播，通过对病毒所攻击的端口进行控制，在本次“冲击波”病毒表现出色，有效提高网络的可用性。保障整个网络的高性能和高安全，实施端到端安全策略。

　　3.2.4杜绝病毒和攻击泛滥本次网络改造可以从根本上避免病毒泛滥和攻击对于我们医院网络系统用户和关键的冲击，从而保证网络的正常使用和医院的正常运行。

　　3.3 超高的网络性能

　　3.3.1最大限度上的分布式认证每一个接入交换机的每一个端口即相当于一个认证者，实现了最大限度的分布认证，既没有单点故障，同时克服了传统的网关设备进行认证造成的严重的性能瓶颈。

　　3.3.2认证后旁路(认证后不管)采取认证报文与业务数据分流技术，认证通过后，业务数据流就旁路了，并且在用户的整个上网过程中，没有报文和Radius服务器交换，锐捷安全交换机也无须处理认证报文，最大限度上保证了网络性能。

　　3.3.3核心层之间和汇聚层之间高速交换核心层之间的高速连接，高效率处理核心数据交换，同时可扩展带宽。

　　3.4资源可控管理完满解决IP地址冲突和IP地址盗用锐捷RG-SAM对用户进行认证时的IP属性校验，完全杜绝了IP地址冲突的发生，包括认证前IP不按要求设置的不予通过认证以及认证通过后更改IP地址立即剔除下线;对用户账号与IP地址绑定，为每个用户分配一个固定的IP地址，防止IP地址被他人盗用。

　　3.5严格的QoS保证以DiffServ标准为核心的QoS保障系统，支持IP TOS、SP、WRR等完整的QoS策略，实现基于全网系统多业务的QoS逻辑。支持基于网络的流分类、带宽控制、排队调度等技术，智能识别出不同的应用业务(例如视频、语音、Web数据、E-mail数据等等)，根据应用的重要性和紧急程度，对不同应用进行不同优先级的排队和调度，保证重要应用的带宽、时延和无阻塞的传送。对关键业务和非关键业务进行区分处理，保证关键业务畅通运行。本院的整网采用了整体的数字化医院安全解决方案，基础网络作为医院信息化基础平台，实际运行安全、稳定、高速，满足医院各种复杂应用，整网安全时间成级数级下降，达到了预期效果!