信息網(wǎng)絡(luò)與網(wǎng)絡(luò)安全方案

　3.2、信息網(wǎng)絡(luò)與網(wǎng)絡(luò)安全 3.2.1xxxxx 醫(yī)院需求分析及設(shè)計(jì)原則 目前，xxxxx 醫(yī)院要求在新建的網(wǎng)絡(luò)上應(yīng)用醫(yī)院的 HIS、pacs 等系統(tǒng)，很多傳統(tǒng)業(yè)務(wù)都逐漸遷移到網(wǎng)絡(luò)上，對(duì)網(wǎng)絡(luò)的性能、安全和穩(wěn)定提出了很高的要求，主要體現(xiàn)在以下幾個(gè)方面：

　1）可靠迅速的響應(yīng)以提供更好的醫(yī)療服務(wù) 由于 xxxxx 醫(yī)院每天都保持幾千人的門診量， HIS 系統(tǒng)每天對(duì)后臺(tái)數(shù)據(jù)庫的調(diào)用非常頻繁，會(huì)產(chǎn)生比較大的數(shù)據(jù)流量，如果這種訪問流量出了問題而導(dǎo)致無法正常進(jìn)行收費(fèi)和醫(yī)療診斷，會(huì)產(chǎn)生嚴(yán)重的社會(huì)后果，因此醫(yī)院對(duì)網(wǎng)絡(luò)的訪問性能有很高的要求。

　2）安全的業(yè)務(wù)數(shù)據(jù)保證醫(yī)院正常對(duì)外服務(wù) 在醫(yī)院的業(yè)務(wù)系統(tǒng)中保存著大量患者的健康信息和過程費(fèi)用信息，這些數(shù)據(jù)無論對(duì)患者還是醫(yī)院都非常關(guān)鍵，需要嚴(yán)格保密，因此如何保護(hù)這些數(shù)據(jù)，對(duì)醫(yī)院有著重大的意義。

　3）高效的管理推動(dòng)系統(tǒng)的穩(wěn)定，提高維護(hù)的效果 如何管好整個(gè)醫(yī)院的業(yè)務(wù)系統(tǒng)，包括用戶、服務(wù)器、數(shù)據(jù)庫、存儲(chǔ)設(shè)備和網(wǎng)絡(luò)等，提高醫(yī)院管理效率，保證醫(yī)院網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)已經(jīng)成為醫(yī)院急需解決的大問題。

　4）醫(yī)院數(shù)據(jù)的安全存儲(chǔ) 醫(yī)院需要存儲(chǔ)包括病人信息、病案信息、費(fèi)用信息和影像等數(shù)據(jù)，對(duì)數(shù)據(jù)存儲(chǔ)的安全性和擴(kuò)展性要求非常高。

　5）區(qū)域醫(yī)療的建設(shè) 為了在區(qū)域范圍內(nèi)實(shí)現(xiàn)遠(yuǎn)程會(huì)診、網(wǎng)上學(xué)術(shù)研討等業(yè)務(wù)，迫切需要醫(yī)院之間的資源共享。

　3.2.1.1醫(yī)院網(wǎng)絡(luò)建設(shè)總體需求 xxxxx 醫(yī)院核心網(wǎng)絡(luò)系統(tǒng)用于開展日常醫(yī)療業(yè)務(wù)（HIS、LIS、PACS、財(cái)務(wù)、體檢系統(tǒng)等）的內(nèi)部局域網(wǎng)，系統(tǒng)應(yīng)穩(wěn)定、實(shí)用和安全，具有高寬帶、大容量和高速率等特點(diǎn)，并具備將來擴(kuò)容和帶寬升級(jí)的條件；提供合理、流暢的醫(yī)院網(wǎng)絡(luò)安全管理軟件平臺(tái)。建設(shè)完成后的系統(tǒng)滿足 xxxxx 醫(yī)院的運(yùn)行要求，并且三到五年內(nèi)技術(shù)不落后。

　? 網(wǎng)絡(luò)設(shè)計(jì)要求：

　1、實(shí)現(xiàn)骨干萬兆，桌面 1000M 接入的網(wǎng)絡(luò)結(jié)構(gòu)。

　2、骨干設(shè)備具有高性能、高可靠特性，關(guān)鍵部件需要冗余配置。

　3、配備的網(wǎng)管軟件應(yīng)提供可視的形象化的圖形界面，對(duì)整個(gè)網(wǎng)絡(luò)中網(wǎng)絡(luò)產(chǎn)品的全部設(shè)備和端口進(jìn)行監(jiān)視和管理。

　4、交換機(jī)互連采用鏈路冗余連接。

　5、由于醫(yī)療行業(yè)的特殊性，醫(yī)護(hù)人員和病患者之間需要頻繁地在院內(nèi)移動(dòng)、同時(shí)處理大量的信息，要求網(wǎng)絡(luò)具備可移動(dòng)性、傳輸速率高等特點(diǎn)。同時(shí)考慮到醫(yī)院業(yè)務(wù)量的增加，網(wǎng)絡(luò)需要留出足夠余地?cái)U(kuò)容而不影響醫(yī)院正常的工作。

　3.2.1.2內(nèi)網(wǎng)需求 內(nèi)網(wǎng)是醫(yī)院核心網(wǎng)絡(luò)系統(tǒng)，用于開展日常醫(yī)療業(yè)務(wù)（HIS、LIS、PACS、財(cái)務(wù)、體檢系統(tǒng)等）的內(nèi)部局域網(wǎng)，系統(tǒng)應(yīng)穩(wěn)定、實(shí)用和安全，具有高寬帶、大容量和高速率等特點(diǎn)，并具備將來擴(kuò)容和帶寬升級(jí)的條件。

　? 網(wǎng)絡(luò)設(shè)計(jì)要求：

　1、實(shí)現(xiàn)萬兆主干，千兆接入到桌面； 2、配備的網(wǎng)管軟件應(yīng)提供可視的形象化的圖形界面，對(duì)整個(gè)網(wǎng)絡(luò)中網(wǎng)絡(luò)產(chǎn)品的全部端口進(jìn)行監(jiān)視和管理；

　3、交換機(jī)互連采用多條鏈路捆綁，防止鏈路瓶頸，并提供鏈路冗余。

　4、部分設(shè)備節(jié)點(diǎn)實(shí)現(xiàn)熱備、冗余，保證業(yè)務(wù)正常運(yùn)行。

　由于醫(yī)療行業(yè)的特殊性，醫(yī)護(hù)人員和病患者之間需要頻繁地在院內(nèi)移動(dòng)、同時(shí)處理大量的信息，要求網(wǎng)絡(luò)具備可移動(dòng)性、傳輸速率高等特點(diǎn)。同時(shí)考慮到醫(yī)院業(yè)務(wù)量的增加，網(wǎng)絡(luò)需要留出足夠余地?cái)U(kuò)容而不影響醫(yī)院正常的工作。

　? 網(wǎng)絡(luò)應(yīng)用設(shè)計(jì)要求：

　1、院內(nèi)核心網(wǎng)絡(luò)系統(tǒng) HIS、PACS 和 LIS、體檢系統(tǒng)等應(yīng)用分別單獨(dú)組網(wǎng)。以子網(wǎng)的形式組成醫(yī)院的整體網(wǎng)絡(luò)。各網(wǎng)絡(luò)功能獨(dú)立應(yīng)用，信息互通，資源共享；當(dāng)任何一個(gè)子網(wǎng)出現(xiàn)故障，都不會(huì)影響到其他子網(wǎng)的使用。

　2、住院病區(qū)考慮到無線查房的需要，需要部署無線網(wǎng)絡(luò)。

　3、醫(yī)院網(wǎng)絡(luò)邊界部署安全防御設(shè)備。

　3、傳輸動(dòng)態(tài)圖像的部門有：放射影像科、PET/CT、核磁共振 MRI、介入放射科 DSA、B 超室、心超室、腦超室、心電圖室、肌電圖室、胃腸鏡室、內(nèi)窺鏡室、重癥監(jiān)護(hù)室（ICU、CCU 等）、手術(shù)室、麻醉科、視頻示教室和會(huì)議室等。

　4、醫(yī)保(包括省醫(yī)保、市醫(yī)保、區(qū)醫(yī)保以及市公費(fèi)醫(yī)療)是專線接入。須配置醫(yī)院內(nèi)網(wǎng)與專線網(wǎng)的接口。

　5、為了更好地服務(wù)于醫(yī)療科研工作，需要將各類監(jiān)護(hù)治療儀器上的各項(xiàng)生命體征等信息以數(shù)字化手段采集并且保存下來，在需要時(shí)，可隨時(shí)還原。因此，須考慮將醫(yī)院所有的監(jiān)護(hù)儀器和大型設(shè)備都聯(lián)網(wǎng)。

　3.2.1.3外網(wǎng)需求 外網(wǎng)原則上是指除醫(yī)院內(nèi)網(wǎng)之外的所有網(wǎng)絡(luò)系統(tǒng)，包括 INTERNET、銀聯(lián)系統(tǒng)、醫(yī)院圖書館知識(shí)管理平臺(tái)、和市衛(wèi)生局聯(lián)網(wǎng)的應(yīng)急系統(tǒng)、辦公自動(dòng)化系統(tǒng)、電視監(jiān)控信號(hào)傳輸、BA、安防監(jiān)控、視頻會(huì)議系統(tǒng)、公共區(qū)域無線上網(wǎng)等。

　1、應(yīng)急系統(tǒng)也是衛(wèi)生局專線接入，通過外網(wǎng)接口和院內(nèi)視頻會(huì)議系統(tǒng)連接。

　2、銀聯(lián)系統(tǒng)是用各 POS 機(jī)終端通過外網(wǎng)接口與原銀聯(lián)系統(tǒng)連接。

　3、Internet 網(wǎng)提供遠(yuǎn)程醫(yī)療、遠(yuǎn)程教育、局辦公自動(dòng)化服務(wù)、醫(yī)療設(shè)備遠(yuǎn)程維護(hù)等。

　4、醫(yī)院內(nèi)部職工文獻(xiàn)檢索及知識(shí)管理平臺(tái)集中在電子圖書館，但須在所有辦公場(chǎng)所、住院樓病房、宿舍等地方預(yù)留 Internet 網(wǎng)接口。

　6、院內(nèi)電視監(jiān)控系統(tǒng)采集的信號(hào)需要從醫(yī)院外網(wǎng)系統(tǒng)上傳輸，需預(yù)留外網(wǎng)接口。

　7、可以實(shí)現(xiàn)手術(shù)示教。

　3.2.1.4網(wǎng)絡(luò)安全需求 為了應(yīng)對(duì)現(xiàn)在層出不窮的網(wǎng)絡(luò)安全問題，在設(shè)計(jì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的過程中要充分考慮到利用防火墻等設(shè)備以及殺毒軟件的配合使用，解決醫(yī)院目前現(xiàn)有系統(tǒng)及新建系統(tǒng)的網(wǎng)絡(luò)安全問題�；�本要做到：故障排除、災(zāi)難恢復(fù)、查找攻擊源、實(shí)時(shí)檢索日志文件、即時(shí)查殺病毒、即時(shí)網(wǎng)絡(luò)監(jiān)控等。

　1、故障排除：要求做到一旦網(wǎng)絡(luò)出現(xiàn)異常，如無法訪問網(wǎng)絡(luò)，網(wǎng)絡(luò)訪問異常等，要能提供及時(shí)、有效的服務(wù)，在短的時(shí)間內(nèi)恢復(fù)網(wǎng)絡(luò)應(yīng)用。

　2、災(zāi)難恢復(fù)：要求做到設(shè)備遇到物理損害網(wǎng)絡(luò)應(yīng)用異常時(shí)通過備品備件，快速恢復(fù)網(wǎng)絡(luò)硬件環(huán)境;通過備份文件的復(fù)原，盡快恢復(fù)網(wǎng)絡(luò)的電子資源;在最短的時(shí)間內(nèi)恢復(fù)整個(gè)網(wǎng)絡(luò)應(yīng)用。

　3、查找攻擊源：要求做到發(fā)現(xiàn)網(wǎng)絡(luò)遭到攻擊，需要通過日志文件等信息，確定攻擊的來源，為進(jìn)一步采取措施提供依據(jù)。

　4、實(shí)時(shí)檢索日志文件：要求做到能實(shí)時(shí)查看當(dāng)時(shí)存在的針對(duì)本網(wǎng)絡(luò)的攻擊并查找出攻擊源。如果攻擊強(qiáng)度超出網(wǎng)絡(luò)能夠承受的范圍，可采取進(jìn)一步措施進(jìn)行防范。

　5、即時(shí)查殺病毒：要求做到網(wǎng)絡(luò)中出現(xiàn)病毒，通過及時(shí)有效的技術(shù)支持，在最短的

　時(shí)間內(nèi)查處感染病毒的主機(jī)并即時(shí)查殺病毒，恢復(fù)網(wǎng)絡(luò)應(yīng)用。

　6、即時(shí)網(wǎng)絡(luò)監(jiān)控：要求通過網(wǎng)絡(luò)監(jiān)控，盡可能發(fā)現(xiàn)網(wǎng)絡(luò)中存在的前期網(wǎng)絡(luò)故障，在故障擴(kuò)大化以前及時(shí)進(jìn)行防治。

　3.2.1.5網(wǎng)絡(luò)設(shè)計(jì)原則 基于xxxxx醫(yī)院目前網(wǎng)絡(luò)現(xiàn)狀和未來業(yè)務(wù)發(fā)展的要求，在xxxxx醫(yī)院網(wǎng)絡(luò)設(shè)計(jì)構(gòu)建中，應(yīng)始終堅(jiān)持以下建網(wǎng)原則：

　1、實(shí)用性：整個(gè)網(wǎng)絡(luò)系統(tǒng)具有較高的實(shí)用性； 2、時(shí)效性：網(wǎng)絡(luò)應(yīng)保證各類業(yè)務(wù)數(shù)據(jù)流的及時(shí)傳輸，網(wǎng)絡(luò)時(shí)效性要強(qiáng)，網(wǎng)絡(luò)延時(shí)要小，確保業(yè)務(wù)的實(shí)時(shí)高效； 3、可靠性：網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持醫(yī)院各業(yè)務(wù)系統(tǒng)的正常運(yùn)行。必須滿足 7×24×365 小時(shí)連續(xù)運(yùn)行的要求。在故障發(fā)生時(shí)，網(wǎng)絡(luò)設(shè)備可以快速自動(dòng)地切換到備份設(shè)備上； 4、完整性：網(wǎng)絡(luò)系統(tǒng)應(yīng)實(shí)現(xiàn)端到端的、能整合數(shù)據(jù)、語音和圖像的多業(yè)務(wù)應(yīng)用，滿足全網(wǎng)范圍統(tǒng)一的實(shí)施安全策略、QoS 策略、流量管理策略和系統(tǒng)管理策略的完整的一體化網(wǎng)絡(luò)； 5、技術(shù)先進(jìn)性和實(shí)用性--保證滿足醫(yī)院應(yīng)用系統(tǒng)業(yè)務(wù)的同時(shí)，又要體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來，充分考慮到醫(yī)院網(wǎng)絡(luò)目前的現(xiàn)狀以及未來技術(shù)和業(yè)務(wù)發(fā)展趨勢(shì)。

　6、高性能—醫(yī)院網(wǎng)絡(luò)性能是醫(yī)院整個(gè)網(wǎng)絡(luò)良好運(yùn)行的基礎(chǔ)，設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息（數(shù)據(jù)、語音、圖像）的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為一眼業(yè)務(wù)開展的瓶頸。

　7、標(biāo)準(zhǔn)開放性--支持國(guó)際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議（如 IP）、國(guó)際標(biāo)準(zhǔn)的大型的動(dòng)態(tài)路由協(xié)議等開放協(xié)議，有利于以保證與其它網(wǎng)絡(luò)(如公共數(shù)據(jù)網(wǎng)、金融網(wǎng)絡(luò)、外聯(lián)機(jī)構(gòu)其它

　網(wǎng)絡(luò))之間的平滑連接互通，以及將來網(wǎng)絡(luò)的擴(kuò)展。

　8、靈活性及可擴(kuò)展性--根據(jù)未來業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)充和升級(jí)，減少最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。網(wǎng)絡(luò)要具有面向未來的良好的伸縮性能，既能滿足當(dāng)前的需求，又能支持未來業(yè)務(wù)網(wǎng)點(diǎn)、業(yè)務(wù)量、業(yè)務(wù)種類的擴(kuò)展和與其它機(jī)構(gòu)或部門的連接等對(duì)網(wǎng)絡(luò)的擴(kuò)充性要求。

　9、可管理性--對(duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)、分權(quán)管理，并統(tǒng)一分配帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái)，具有對(duì)設(shè)備、端口等的管理、流量統(tǒng)計(jì)分析功能以及可提供故障自動(dòng)報(bào)警。

　10、安全性--制訂統(tǒng)一的骨干網(wǎng)安全策略，整體考慮網(wǎng)絡(luò)平臺(tái)的安全性。能有效防止網(wǎng)絡(luò)的非法訪問，保護(hù)關(guān)鍵數(shù)據(jù)不被非法竊取、篡改或泄漏，使數(shù)據(jù)具有極高的安全性； 11、保護(hù)現(xiàn)有投資--在保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備或做必要的升級(jí)，用作骨干網(wǎng)外聯(lián)的接入設(shè)備，網(wǎng)絡(luò)的投資應(yīng)隨著網(wǎng)絡(luò)的伸縮能夠持續(xù)發(fā)揮作用，保護(hù)現(xiàn)有網(wǎng)絡(luò)的投資，充分發(fā)揮網(wǎng)絡(luò)投資的最大效益。

　3.2.1.5.1核心層需求分析 xxxxx 醫(yī)院網(wǎng)絡(luò)核心設(shè)備擔(dān)負(fù)著連接接入層、服務(wù)器群和辦公大樓網(wǎng)絡(luò)的工作，通過核心設(shè)備的互聯(lián)，形成一套完整的網(wǎng)絡(luò)。由于核心層設(shè)備擔(dān)負(fù)著整個(gè)網(wǎng)絡(luò)的流量，在網(wǎng)絡(luò)核心層的流量是非常巨大的，所有的服務(wù)器均在網(wǎng)絡(luò)的核心層提供相關(guān)的服務(wù)。對(duì)網(wǎng)絡(luò)核心層的壓力非常巨大。同時(shí)網(wǎng)絡(luò)對(duì)安全性、穩(wěn)定性的要求極高，由于網(wǎng)絡(luò)也基本是一個(gè)金字塔的形狀，那么最需要穩(wěn)定的就是金字塔的頂端，即網(wǎng)絡(luò)的核心層。

　網(wǎng)絡(luò)核心層同時(shí)需要對(duì)網(wǎng)絡(luò)的接入層提供不同的網(wǎng)絡(luò)層的路由規(guī)劃和信息轉(zhuǎn)發(fā)的功能，同時(shí)還需要保證不同級(jí)別的網(wǎng)絡(luò) QoS，對(duì)于服務(wù)器的關(guān)鍵業(yè)務(wù)通過鏈路級(jí)和網(wǎng)絡(luò)級(jí)的協(xié)議實(shí)現(xiàn)嚴(yán)格的控制和優(yōu)先級(jí)的保證。對(duì)于網(wǎng)絡(luò)級(jí)的保護(hù)通常時(shí)間是非常長(zhǎng)的，那么對(duì)一些關(guān)鍵業(yè)務(wù)，我們就必須通過結(jié)合二層快速收斂的協(xié)議一起來完成對(duì)網(wǎng)絡(luò)安全性的提升和網(wǎng)絡(luò)的自愈能力。設(shè)備必須支持對(duì)不同部門的規(guī)劃，如實(shí)現(xiàn)全網(wǎng)統(tǒng)一 VLAN 的規(guī)劃等。對(duì)每個(gè)系統(tǒng)分配不同的 VLAN 并且針對(duì)不同 VLAN 實(shí)現(xiàn)不同的安全和控制的策

　略等。

　3.2.1.5.2接入層需求分析 網(wǎng)絡(luò)的接入是對(duì)用戶直接進(jìn)行數(shù)據(jù)透?jìng)鞯膶哟�，但是由于網(wǎng)絡(luò)的特殊性，本次的接入層主要是對(duì)一個(gè)局域網(wǎng)進(jìn)行接入。對(duì)接入層概念就有了更新的解釋。

　對(duì)本次的接入層的主要需求的分析如下：

�。�1）、接入層用戶數(shù)量的大直接產(chǎn)生大量的數(shù)據(jù)報(bào)文，造成碰撞域和沖突域，使網(wǎng)絡(luò)瓶頸產(chǎn)生于網(wǎng)絡(luò)的低層，直接影響接入質(zhì)量。

�。�2）、接入層用戶數(shù)量大，而所應(yīng)用的數(shù)據(jù)種類繁多，多種網(wǎng)絡(luò)業(yè)務(wù)流量的產(chǎn)生，包括組播業(yè)務(wù)的產(chǎn)生，對(duì)所接入的網(wǎng)絡(luò)設(shè)備要求很高，使整個(gè)接入層產(chǎn)生了一個(gè)業(yè)務(wù)接入瓶頸。

�。�3）、網(wǎng)絡(luò)的訪問終結(jié)于共享數(shù)據(jù)的特定位置，因?yàn)榻尤雽佑脩粜枰�通過網(wǎng)絡(luò)最終訪問位于網(wǎng)絡(luò)另一端的共享服務(wù)器，而多個(gè)用戶同時(shí)訪問遠(yuǎn)端的同一臺(tái)服務(wù)器或者存在訪問網(wǎng)絡(luò)的其他節(jié)點(diǎn)的服務(wù)器，就需要這幾個(gè)用戶爭(zhēng)搶網(wǎng)絡(luò)帶寬，使接入層瓶頸提升到核心層，造成核心層資源的浪費(fèi)。并且根據(jù)網(wǎng)絡(luò)流量的分析得出用戶的訪問方向是不規(guī)則的，網(wǎng)絡(luò)一定會(huì)出現(xiàn)閑置的帶寬的現(xiàn)象，如何規(guī)劃將非常重要。

�。�4）、網(wǎng)絡(luò)流量和網(wǎng)絡(luò)流向是寬帶網(wǎng)絡(luò)的一個(gè)新瓶頸。

　對(duì)于寬帶網(wǎng)絡(luò)接入，接入層網(wǎng)絡(luò)的通常是以新 2/8 原則來劃分的，其中有 20%的流量是在接入層交換機(jī)的內(nèi)部進(jìn)行交換的，而 80%的網(wǎng)絡(luò)流量是通過上聯(lián)出口訪問其他的網(wǎng)絡(luò)設(shè)備。這里，就涉及到網(wǎng)絡(luò)產(chǎn)生流量后，網(wǎng)絡(luò)流向的問題，網(wǎng)絡(luò)流向直接造成網(wǎng)絡(luò)對(duì)于流量和流向所產(chǎn)生的網(wǎng)絡(luò)瓶頸。

�。�5）、網(wǎng)絡(luò)用戶是局域網(wǎng)用戶，實(shí)際接入的用戶就是一個(gè)網(wǎng)絡(luò)，那么對(duì)于不同網(wǎng)絡(luò)之間的互訪的安全性控制更是由為重要，同時(shí)各個(gè)不同的機(jī)關(guān)對(duì)本機(jī)關(guān)內(nèi)部流通的部分文件是要求要有絕對(duì)的安全性的，對(duì)其他部門的用戶的訪問是分為很多的不同的級(jí)別的。

　3.2.1.5.3鏈路層需求分析 對(duì)于 xxxxx 醫(yī)院這樣的網(wǎng)絡(luò)來說，各項(xiàng)業(yè)務(wù)的需求，對(duì)于網(wǎng)絡(luò)的穩(wěn)定性的需求就不言而喻。網(wǎng)絡(luò)核心層的采用星型的設(shè)計(jì)思路，通過以太網(wǎng)的方式同樣需要保證毫秒級(jí)的鏈路保護(hù)功能。對(duì)于鏈路級(jí)的保護(hù)能夠?qū)崿F(xiàn)對(duì)一些基本的鏈路進(jìn)行備份起到冗余的特性，以便保證在某個(gè)物理鏈路斷掉的時(shí)候還能保證用戶的數(shù)據(jù)的傳輸功能，同時(shí)能夠針對(duì)用戶的關(guān)鍵的鏈路放置一條專有的鏈路實(shí)現(xiàn)備份功能，保證關(guān)鍵業(yè)務(wù)的不間斷的連接。

　通過針對(duì)網(wǎng)絡(luò)級(jí)的保護(hù)需要針對(duì)不同的網(wǎng)絡(luò)設(shè)備采用不同的網(wǎng)絡(luò)級(jí)的保護(hù)協(xié)議來實(shí)現(xiàn)，針對(duì)整體的網(wǎng)絡(luò)架構(gòu)提供保護(hù)，將網(wǎng)絡(luò)的穩(wěn)定性和安全性提供更高的安全性。對(duì)于網(wǎng)絡(luò)級(jí)的保護(hù)主要是通過網(wǎng)絡(luò)的協(xié)議來實(shí)現(xiàn)的。并且網(wǎng)絡(luò)的冗余技術(shù)有很多不同的實(shí)現(xiàn)方式，對(duì)于網(wǎng)絡(luò)核心層的影響也不盡相同。

　同時(shí)網(wǎng)絡(luò)的穩(wěn)定結(jié)構(gòu)同樣也需要網(wǎng)絡(luò)設(shè)備自身的穩(wěn)定性和自身的冗余的特性來保證，例如實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備電源的冗余、網(wǎng)絡(luò)控制板的冗余、無源背板、業(yè)務(wù)板件熱拔插等。這樣可以讓設(shè)備出現(xiàn)問題的時(shí)候不至于會(huì)造成網(wǎng)絡(luò)設(shè)備的癱瘓，可以通過在線更換背板、更換電源以及更換主控網(wǎng)板等方式來實(shí)現(xiàn)業(yè)務(wù)的不中斷運(yùn)行。同時(shí)可以通過網(wǎng)絡(luò)主控板件和業(yè)務(wù)板件的業(yè)務(wù)熱切換功能實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備不停機(jī)。

　3.2.1.6醫(yī)院業(yè)務(wù)應(yīng)用分析 3.2.1.6.1醫(yī)院業(yè)務(wù)劃分 醫(yī)院的業(yè)務(wù)系統(tǒng)有很多，而且不同的�？漆t(yī)院業(yè)務(wù)系統(tǒng)也有很大區(qū)別，但以下一些業(yè)務(wù)系統(tǒng)是醫(yī)院都具有的：

　? 門診系統(tǒng) ? 住院系統(tǒng) ? 體檢系統(tǒng) ? PACS 系統(tǒng) ? 醫(yī)院管理經(jīng)濟(jì)系統(tǒng) ? 區(qū)域醫(yī)療系統(tǒng)

　3.2.1.6.2應(yīng)用系統(tǒng)分類 醫(yī)院信息系統(tǒng)主要分成以下兩類：

　? 醫(yī)院管理系統(tǒng) ? 門、急診掛號(hào)子系統(tǒng) ? 門、急診病人管理及計(jì)價(jià)收費(fèi)子系統(tǒng) ? 住院病人管理子系統(tǒng) ? 藥庫、藥房管理子系統(tǒng) ? 病案管理子系統(tǒng) ? 醫(yī)療統(tǒng)計(jì)子系統(tǒng) ? 人事、工資管理子系統(tǒng) ? 財(cái)務(wù)管理與醫(yī)院經(jīng)濟(jì)核算子系統(tǒng) ? 醫(yī)院后勤物資供應(yīng)子系統(tǒng) ? 固定資產(chǎn)、醫(yī)療設(shè)備管理子系統(tǒng) ? 院長(zhǎng)辦公綜合查詢與輔助決策支持系統(tǒng) ? 臨床醫(yī)療信息系統(tǒng) ? 住院病人醫(yī)囑處理子系統(tǒng) ? 護(hù)理信息系統(tǒng) ? 門診醫(yī)生工作站系統(tǒng) ? 臨床實(shí)驗(yàn)室檢查報(bào)告子系統(tǒng) ? 醫(yī)學(xué)影像診斷報(bào)告處理系統(tǒng) ? 放射科信息管理系統(tǒng) ? 手術(shù)室管理子系統(tǒng) ? 功能檢查科室信息管理子系統(tǒng) ? 病理卡片管理及病理科信息系統(tǒng) ? 血庫管理子系統(tǒng) ? 營(yíng)養(yǎng)與膳食計(jì)劃管理子系統(tǒng) ? 臨床用藥咨詢與控制子系統(tǒng)

　3.2.1.6.3醫(yī)院業(yè)務(wù)系統(tǒng)的需求 1 ）門診系統(tǒng) 門診業(yè)務(wù)作為醫(yī)院直接面對(duì)患者的窗口具有非常重要的地位和自己的特點(diǎn)（包括焦急的病人無法忍受長(zhǎng)時(shí)間的等待、門診業(yè)務(wù)主要集中在上午等），門診業(yè)務(wù)具有可靠性高、并發(fā)性、實(shí)時(shí)性和突發(fā)性強(qiáng)等特點(diǎn)。因此門診業(yè)務(wù)對(duì)網(wǎng)絡(luò)提出了高可靠性、高帶寬和 QoS的要求。

　2 ）住院系統(tǒng) 住院業(yè)務(wù)是醫(yī)院的另一個(gè)主要組成部分，是醫(yī)院經(jīng)濟(jì)收入的主要來源，同時(shí)還直接關(guān)系到重病患者的生命安全，具有以下幾個(gè)特點(diǎn)：

　住院業(yè)務(wù)的網(wǎng)絡(luò)上流動(dòng)著重癥病人生命數(shù)據(jù)和各種新業(yè)務(wù)數(shù)據(jù)； 住院業(yè)務(wù)保存有患者病案數(shù)據(jù)和住院費(fèi)用數(shù)據(jù)； 醫(yī)生移動(dòng)查房； 病人呼叫系統(tǒng)； 網(wǎng)上視頻監(jiān)控系統(tǒng)； 針對(duì)住院業(yè)務(wù)的以上特點(diǎn)，住院業(yè)務(wù)對(duì)網(wǎng)絡(luò)提出了高可靠性、安全存儲(chǔ)、QoS 和無線局域網(wǎng)、VoIP 和視頻會(huì)議系統(tǒng)的需求。

　3 ）體檢系統(tǒng) 現(xiàn)在很多醫(yī)院建立專門的體檢大樓，以滿足民眾不斷擴(kuò)大的體檢需求。從業(yè)務(wù)角度上講體檢系統(tǒng)非常簡(jiǎn)單，它對(duì)網(wǎng)絡(luò)的需求主要體現(xiàn)在安全性上，如何保護(hù)體檢服務(wù)器上體檢人員數(shù)據(jù)安全和體檢大樓網(wǎng)絡(luò)安全是醫(yī)院體檢系統(tǒng)解決方案所關(guān)注的。

　4 ）PACS 系統(tǒng)

　醫(yī)院的 PACS 系統(tǒng)主要是完成對(duì)患者的各種影像數(shù)據(jù)進(jìn)行采集、存儲(chǔ)、傳輸和處理，并在全院范圍內(nèi)進(jìn)行共享，由于是各種圖形圖像數(shù)據(jù)，因此具有存儲(chǔ)量大的特點(diǎn)，為了更好的服務(wù)于醫(yī)院業(yè)務(wù)，PACS 業(yè)務(wù)對(duì)支撐系統(tǒng)提出以下要求：存儲(chǔ)量大、擴(kuò)展性強(qiáng)、數(shù)據(jù)快速存儲(chǔ)、數(shù)據(jù)容災(zāi)、高帶寬 5 ）管理經(jīng)濟(jì)系統(tǒng) 醫(yī)院管理經(jīng)濟(jì)系統(tǒng)主要是人、財(cái)、物的管理，包括人事、財(cái)務(wù)管理、藥品藥庫管理等，因此它最大的需求是數(shù)據(jù)在服務(wù)器端和網(wǎng)絡(luò)上的安全，保證這些數(shù)據(jù)不會(huì)泄露。

　6 ）區(qū)域醫(yī)療系統(tǒng) 一方面為了發(fā)揮中心醫(yī)院的輻射和覆蓋作用，另一方面充分利用各家醫(yī)院的特色科室的力量，區(qū)域醫(yī)療把這些資源進(jìn)行共享和整合，這需要穩(wěn)定的廣域網(wǎng)連接。

　根據(jù)初步的需求，我們按照內(nèi)外網(wǎng)分離的原則，建成后的南擴(kuò)大樓的新機(jī)房將成為以后醫(yī)院的核心，原有機(jī)房成為備份冗余機(jī)房。

　3.2.2xxxxx 醫(yī)院網(wǎng)絡(luò)規(guī)劃設(shè)計(jì) 3.2.2.1網(wǎng)絡(luò)總體設(shè)計(jì) 設(shè)計(jì)全新的基于純 IP 技術(shù)的網(wǎng)絡(luò)平臺(tái)來滿足 xxxxx 醫(yī)院新區(qū)網(wǎng)絡(luò)的需求變化。面向網(wǎng)絡(luò)資源的有效、高效利用，從網(wǎng)絡(luò)架構(gòu)方面提供優(yōu)化方案，使得核心網(wǎng)、接入網(wǎng)具有更高的可靠性和可控性，同時(shí)使得網(wǎng)絡(luò)結(jié)構(gòu)與布局在結(jié)合實(shí)際業(yè)務(wù)分布的前提下更加合理。數(shù)字園區(qū)的發(fā)展必然離不開兩個(gè)方向，其一是安全性，其二是移動(dòng)性。這是 IP 通信技術(shù)發(fā)展的方向，滿足這個(gè)發(fā)展，首要前提就是讓網(wǎng)絡(luò)平臺(tái)能夠具備相關(guān)技術(shù)支撐能力，不論是對(duì)信息網(wǎng)絡(luò)的優(yōu)化還是對(duì)業(yè)務(wù)的橫向拓展，都是基于網(wǎng)絡(luò)本身是安全有序的，需要從縱向三個(gè)維度對(duì)所有影響網(wǎng)絡(luò)安全的隱患、非法行為進(jìn)行滲透防御與控制。

　在網(wǎng)絡(luò)整體設(shè)計(jì)中，采用分層、模塊化的網(wǎng)絡(luò)設(shè)計(jì)結(jié)構(gòu)，并嚴(yán)格定義各層功能模型，不同層次關(guān)注不同的特性配置，將網(wǎng)絡(luò)的可靠性、安全性、先進(jìn)性、易維護(hù)性、可擴(kuò)展

　性發(fā)揮到最好，從而最終實(shí)現(xiàn)建設(shè)完善和先進(jìn)的數(shù)字化醫(yī)院為目的。xxxxx 醫(yī)院采用分層網(wǎng)絡(luò)設(shè)計(jì)模型，將網(wǎng)絡(luò)分為以下幾個(gè)層次：

　? 核心層——核心層網(wǎng)絡(luò)屬于高速主干網(wǎng)絡(luò)，其職責(zé)是以最快的速度交換數(shù)據(jù)包，對(duì)網(wǎng)絡(luò)的連通性至關(guān)重要，需要提供高等級(jí)的可用性，并快速適應(yīng)網(wǎng)絡(luò)變動(dòng)。

　? 接入層——用戶通過接入層可以訪問網(wǎng)絡(luò)設(shè)備。在園區(qū)網(wǎng)中，工作站與服務(wù)器之間通過接入層網(wǎng)絡(luò)來共享或交換傳輸介質(zhì)/設(shè)備端口；在 WAN 環(huán)境中，用戶站點(diǎn)可以利用 WAN 技術(shù)，通過接入層網(wǎng)絡(luò)訪問醫(yī)院資源。

　當(dāng)流量通過層次化結(jié)構(gòu)中的收斂點(diǎn)，沿著接入層--核心層傳輸時(shí)，流量數(shù)量及其相關(guān)的帶寬要求都隨之增加。層次化設(shè)計(jì)每一層的功能都很分明，無需全部網(wǎng)絡(luò)節(jié)點(diǎn)互聯(lián)的全網(wǎng)狀網(wǎng)絡(luò)。

　層次化網(wǎng)絡(luò)模式由兩個(gè)有效的轉(zhuǎn)發(fā)核心節(jié)點(diǎn)組成，當(dāng)一個(gè)節(jié)點(diǎn)發(fā)生故障時(shí)，另一節(jié)點(diǎn)可以提供足夠的帶寬和容量來為整個(gè)網(wǎng)絡(luò)服務(wù)。

　3.2.2. 2內(nèi)網(wǎng)規(guī)劃設(shè)計(jì) 內(nèi)網(wǎng)是整個(gè)醫(yī)院的核心網(wǎng)絡(luò)，開展醫(yī)院日常重要的醫(yī)療業(yè)務(wù)，對(duì)網(wǎng)絡(luò)的可靠性、穩(wěn)定性要求非常高，本次設(shè)計(jì)的網(wǎng)絡(luò)按照萬兆交換平臺(tái)、萬兆骨干網(wǎng)絡(luò)、千兆到桌面設(shè)計(jì)，內(nèi)網(wǎng)核心交換機(jī)雙機(jī)冗余、負(fù)載分擔(dān)，并將安全設(shè)備以及無線控制器以插卡形式部署在核心交換機(jī)上，實(shí)現(xiàn)網(wǎng)絡(luò)安全一體化。

　在接入層千兆逐漸延伸到桌面已經(jīng)成為最迫切的需要之一，在諸如醫(yī)療行業(yè)的會(huì)診、醫(yī)療影像、醫(yī)療科研協(xié)作等，應(yīng)用在消耗大量帶寬的同時(shí)，也在追求終端用戶的滿意度，基于銅纜的千兆以太網(wǎng)可以將更多的應(yīng)用從低速鏈路中解放出來，并且為醫(yī)務(wù)工作者創(chuàng)新提供了一個(gè)嶄新高效能工作平臺(tái)。

　在終端 PC 上部署 EAD 端點(diǎn)準(zhǔn)入防御解決方案，從網(wǎng)絡(luò)源頭切斷病毒攻擊的來源，大大提升了醫(yī)院的安全管理水平。

　醫(yī)院網(wǎng)絡(luò)同時(shí)承載多種業(yè)務(wù)，所有交易業(yè)務(wù)都要經(jīng)過核心交換機(jī)處理，建議核心交換機(jī)以萬兆核心交換機(jī)為業(yè)務(wù)系統(tǒng)核心交換機(jī)，滿足大容量、高性能、高可靠、高安全及

　網(wǎng)絡(luò)擴(kuò)展的要求。核心交換機(jī)與接入交換機(jī)之間的鏈路雙歸屬形成冗余連接，2 條物理鏈路間可以實(shí)現(xiàn)互為備份。2 臺(tái)核心之間使用 10GE 高速鏈路互聯(lián)，之間運(yùn)行 IRF2，兩臺(tái)可虛擬為一臺(tái)設(shè)備，增加帶寬，提高網(wǎng)絡(luò)可用率，實(shí)現(xiàn)網(wǎng)絡(luò)高可靠性。保障核心節(jié)點(diǎn)的高可靠性。數(shù)據(jù)大集中后整個(gè)系統(tǒng)將承載多個(gè)業(yè)務(wù)系統(tǒng)，不同的業(yè)務(wù)對(duì)網(wǎng)絡(luò)的帶寬、時(shí)延等要求也不同，這就要求核心交換設(shè)備業(yè)務(wù)與性能并重。

　系列交換機(jī)產(chǎn)品是杭州華三通信技術(shù)有限公司面向下一代園區(qū)網(wǎng)核心和城域網(wǎng)匯聚和數(shù)據(jù)中心業(yè)務(wù)匯聚而專門設(shè)計(jì)開發(fā)的核心交換產(chǎn)品。采用先進(jìn)的 CLOS 多級(jí)多平面交換架構(gòu)，可以提供持續(xù)的帶寬升級(jí)能力，支持 40GE 和 100GE 以太網(wǎng)標(biāo)準(zhǔn)，從而為用戶提供有保障的業(yè)務(wù)特性的同時(shí)保障數(shù)據(jù)報(bào)文的線速轉(zhuǎn)發(fā)。

　在網(wǎng)絡(luò)出口，配置一臺(tái)防火墻，如果省醫(yī)保、市醫(yī)保需要通過防火墻接入醫(yī)院的內(nèi)網(wǎng)，根據(jù)以上規(guī)劃設(shè)計(jì)，內(nèi)網(wǎng)拓?fù)淙缦拢?/p>

　3.2.2. 3外網(wǎng)規(guī)劃設(shè)計(jì) 由于外網(wǎng)主要用于醫(yī)院 OA 辦公、圖書館信息查詢、樓內(nèi)視頻監(jiān)控、視頻會(huì)議，外網(wǎng)相對(duì)于內(nèi)網(wǎng)來說可靠性要求相對(duì)級(jí)別次低一級(jí)，對(duì)帶寬的要求也比較高。外網(wǎng)建議采用二層網(wǎng)絡(luò)架構(gòu)：

　在接入層，選用千兆二層交換機(jī)，系統(tǒng)采用創(chuàng)新的 IRF 技術(shù)，在安全可靠、多業(yè)務(wù)融合、易管理和維護(hù)等方面為用戶提供全新的技術(shù)特性和解決方案，是理想接入交換機(jī)。

　在核心層，選用作為外網(wǎng)的核心交換機(jī)，作為高端多業(yè)務(wù)路由交換機(jī)，融合了 MPLS、IPv6、網(wǎng)絡(luò)安全、無線、無源光網(wǎng)絡(luò)等多種業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種高可靠技術(shù)，在提高用戶生產(chǎn)效率的同時(shí)，保證了網(wǎng)絡(luò)最大正常運(yùn)行時(shí)間，從而降低了客戶的總擁有成本（TCO）。

　防火墻集成防火墻、VPN、內(nèi)容過濾和 NAT 地址轉(zhuǎn)換等功能，提升了網(wǎng)絡(luò)設(shè)備的安全業(yè)務(wù)能力，為用戶提供全面的安全防護(hù)。能提供外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、URL 過濾、應(yīng)用層過濾等功能，有效的保證網(wǎng)絡(luò)的安全。采用 ASPF（Application Specific Packet Filter）應(yīng)用狀態(tài)檢測(cè)技術(shù)。提供郵件告警、攻擊日志、流日志和網(wǎng)絡(luò)管理監(jiān)控等功能，協(xié)助用戶進(jìn)行網(wǎng)絡(luò)管理。根據(jù)以上規(guī)劃設(shè)計(jì)，外網(wǎng)拓?fù)淙缦拢?/p>

　3.2.2. 4網(wǎng)絡(luò)安全設(shè)計(jì) 參與了大量網(wǎng)絡(luò)安全建設(shè)實(shí)踐后認(rèn)為：除了在信息傳輸流程中實(shí)施安全解決方案之外，還需要進(jìn)行全局安全管理，這種管理涉及到網(wǎng)絡(luò)上的設(shè)備、使用者以及業(yè)務(wù)，只有對(duì)這 3 者實(shí)現(xiàn)閉環(huán)管理，才能對(duì)網(wǎng)絡(luò)安全狀況了如指掌。因此，xxxxx 醫(yī)院建設(shè)一個(gè)“全局安全管理平臺(tái)”是必要的。

　以往，在總臺(tái)的網(wǎng)絡(luò)安全管理中遇到的問題包括：

　? 對(duì)實(shí)時(shí)安全信息不了解，無法及時(shí)發(fā)出預(yù)警報(bào)告。

　? 各種安全設(shè)備是孤立的，無法相互關(guān)聯(lián)，信息共享。

　? 安全事件發(fā)生以后，無法及時(shí)診斷網(wǎng)絡(luò)故障的原因，恢復(fù)困難。

　? 網(wǎng)絡(luò)安全專家匱乏，沒有足夠的人員去監(jiān)控、分析、解決問題。

　根據(jù)在醫(yī)院網(wǎng)絡(luò)的經(jīng)驗(yàn)得出，醫(yī)院網(wǎng)絡(luò)安全十分重要，所以一定要從開始就對(duì)醫(yī)院網(wǎng)絡(luò)做周全、完善的防護(hù)措施。

　安全統(tǒng)一管理中心 心 為了保證部署的硬件設(shè)備和安全軟件能夠統(tǒng)一的為網(wǎng)絡(luò)安全服務(wù)，必須要求對(duì)全網(wǎng)設(shè)備，包括主機(jī)和數(shù)據(jù)交互設(shè)備進(jìn)行統(tǒng)一的日志收集和日志分析。這樣就要求必須在網(wǎng)絡(luò)當(dāng)中部署安全管理中心來完成統(tǒng)一的策略規(guī)劃和分析。

　收集& & 分析數(shù)據(jù) 知識(shí)SyslogNetStream二進(jìn)制日志W(wǎng)MI 、 APIH3C SecCenter從分布式系統(tǒng)中集中收集、監(jiān)控& & 分析數(shù)據(jù)，并把原始數(shù)據(jù)轉(zhuǎn)換為安全有效信息。安全事件網(wǎng)絡(luò)事件系統(tǒng)事件應(yīng)用事件Netflow網(wǎng)絡(luò)安全本質(zhì)上是管理問題。主要功能可管理近 100 家 主流廠家的安全與網(wǎng)絡(luò)產(chǎn)品1000+ 種 報(bào)表的自動(dòng)或手工生成流量與攻擊的實(shí)時(shí)監(jiān)控海量事件關(guān)聯(lián)和威脅分析安全審計(jì)分析與追蹤溯源主要功能可管理近 100 家 主流廠家的安全與網(wǎng)絡(luò)產(chǎn)品1000+ 種 報(bào)表的自動(dòng)或手工生成流量與攻擊的實(shí)時(shí)監(jiān)控海量事件關(guān)聯(lián)和威脅分析安全審計(jì)分析與追蹤溯源 安全管理中心并不是一個(gè)威脅抵御的直接發(fā)起者，而是一個(gè)系統(tǒng)規(guī)劃的首腦。所以要求安全管理中心可以提供以下功能：

　旁路部署模式，不影響正常業(yè)務(wù)和造成瓶頸； 具有廣泛的日志采集功能，要求可以對(duì)網(wǎng)絡(luò)當(dāng)中的所有設(shè)備（防火墻、IPS、交換機(jī)、路由器、PC、Server 等）進(jìn)行日志分析； ? 采用先進(jìn)的關(guān)聯(lián)算法，能夠?qū)θ罩緮?shù)據(jù)按照不同的關(guān)聯(lián)組合進(jìn)行分析； ? 對(duì)安全威脅的實(shí)時(shí)監(jiān)控功能； ? 對(duì)網(wǎng)絡(luò)流量的實(shí)時(shí)監(jiān)控功能；

　? 可支持多家廠商的設(shè)備日志采集； ? 提供拓?fù)浒l(fā)現(xiàn)功能，并能夠準(zhǔn)確迅速的根據(jù)日志定為網(wǎng)絡(luò)故障； ? 對(duì)網(wǎng)絡(luò)故障提供多種迅速的告警機(jī)制； ? 具有完善的安全審計(jì)功能； ? 對(duì)歷史數(shù)據(jù)進(jìn)行壓縮并可提供高效的查詢機(jī)制； ? 根據(jù)需要提供多種報(bào)表； ? 根據(jù)需求可分步實(shí)施的靈活部署方式； 根據(jù)以上需求，這里采用一臺(tái)安全管理中心作為整個(gè)網(wǎng)絡(luò)的安全管理中心，對(duì)全網(wǎng)設(shè)備進(jìn)行日志分析，幫助定制安全策略。僅僅需要路由可達(dá)即可完成上述功能，部署位置相對(duì)靈活，建議可以和網(wǎng)絡(luò)管理軟件服務(wù)器部署在一起，以方便硬件的管理。

　醫(yī)院網(wǎng)絡(luò)內(nèi)網(wǎng)安全 統(tǒng)計(jì)表明，在所有的安全事件中，有超過 70%是發(fā)生在內(nèi)網(wǎng)上的，并且隨著網(wǎng)絡(luò)的龐大化和復(fù)雜化，這一比例仍有增長(zhǎng)的趨勢(shì)。因此內(nèi)網(wǎng)安全一直是網(wǎng)絡(luò)安全建設(shè)關(guān)注的重點(diǎn)，但是由于內(nèi)網(wǎng)以純二層交換環(huán)境為主、節(jié)點(diǎn)數(shù)量多、分布復(fù)雜、終端用戶安全應(yīng)用水平參差不齊等原因，一直以來也都是安全建設(shè)的難點(diǎn)，這一點(diǎn)對(duì)于 xxxxx 醫(yī)院也是適合的。

　內(nèi)網(wǎng)安全的重要性不言而喻，我們建議在 xxxxx 醫(yī)院所有的計(jì)算機(jī)上部署 EAD（端點(diǎn)防御客戶端），EAD 結(jié)合 IMC 智能管理中心平臺(tái)能完整的保護(hù)內(nèi)網(wǎng)安全，使訪問醫(yī)院各系統(tǒng)的用戶必須通過四道關(guān)卡：身份認(rèn)證，安全檢查，權(quán)限劃分，日志審計(jì)。也就是我們常說的“你是誰？你安全嗎？你可以做什么？，你做了什么？”。通過層層過濾保證訪問醫(yī)院個(gè)系統(tǒng)的用戶是合法，安全的，也保證了醫(yī)院的安全。

　EAD 將防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動(dòng)的安全體系，通過對(duì) xxxxx 醫(yī)院網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御、變單點(diǎn)防御為全面防御、變分散管理為集中策略管理，提升了 xxxxx 醫(yī)院網(wǎng)絡(luò)對(duì)病毒、蠕蟲等新興安全威脅的整體防御能力。

　EAD 通過安全客戶端、安全策略服務(wù)器、接入設(shè)備以及病毒庫服務(wù)器、補(bǔ)丁服務(wù)器的相互配合，可以將不符合 xxxxx 醫(yī)院網(wǎng)絡(luò)安全要求的終端限制在“隔離區(qū)” 內(nèi)，防止“危險(xiǎn)”終端對(duì)網(wǎng)絡(luò)安全的損害，避免“易感”終端受病毒、蠕蟲的攻擊。其主要功能包括：

　a) 檢查 ——檢查用戶終端的安全狀態(tài)，配合不同方式的身份驗(yàn)證技術(shù)（802.1x、VPN、Portal 等），可以確保接入終端的合法與安全。

　b) 隔離 ——隔離違規(guī)終端。不符合企業(yè)安全策略的終端，將被限制訪問權(quán)限，只能訪問“隔離區(qū)”內(nèi)的病毒庫/補(bǔ)丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源。

　c) 修復(fù) ——與第三方服務(wù)器中的補(bǔ)丁服務(wù)器、病毒服務(wù)器等形成聯(lián)動(dòng)。強(qiáng)制終端安裝系統(tǒng)補(bǔ)丁、升級(jí)防病毒軟件，直到滿足安全策略要求。

　d) 管理與監(jiān)控 ——EAD 提供了集接入策略、安全策略、服務(wù)策略、安全事件監(jiān)控于一體的用戶管理平臺(tái)，可以幫助網(wǎng)絡(luò)管理員定制基于用戶身份的、個(gè)性化的網(wǎng)絡(luò)安全策略。同時(shí) EAD 可以通過安全策略服務(wù)器與安全客戶端的配合，強(qiáng)制實(shí)施終端安全配置（如是否實(shí)時(shí)檢查郵件、注冊(cè)表、是否限制代理、是否限制雙網(wǎng)卡等），監(jiān)控用戶終端的安全事件（如查殺病毒、修改安全設(shè)置等）。

　EAD 除了上述功能保證內(nèi)網(wǎng)安全外，還可以對(duì)醫(yī)院計(jì)算機(jī)做管理和控制，比如 監(jiān)控的 計(jì)算機(jī)的 USB 接口、計(jì)算機(jī)黑白軟件控制等，完全滿足 xxxxx 醫(yī)院內(nèi)網(wǎng)安全要求。

　3.2.3、xxxxx 醫(yī)院網(wǎng)絡(luò)管理-----智能管理中心 隨著網(wǎng)絡(luò)的發(fā)展，其作用已經(jīng)不僅是簡(jiǎn)單的互連互通，通信、計(jì)算、應(yīng)用、存儲(chǔ)、監(jiān)控等各類業(yè)務(wù)應(yīng)用和網(wǎng)絡(luò)的融合，促使網(wǎng)絡(luò)成為承載企業(yè)核心業(yè)務(wù)的平臺(tái)。隨著網(wǎng)絡(luò)應(yīng)用越來越復(fù)雜，網(wǎng)絡(luò)安全控制、性能優(yōu)化、運(yùn)營(yíng)管理等問題成為困擾客戶的難題，并直接決定了企業(yè)核心業(yè)務(wù)能否順利開展。在這種情況下，依靠單純的硬件數(shù)據(jù)交換已經(jīng)不能滿足用戶的需求，因此靈活的軟件控制和高速的硬件數(shù)據(jù)交換進(jìn)行有機(jī)融合的整體解決方案成為整個(gè)行業(yè)的發(fā)展趨勢(shì)。

　為了系統(tǒng)地解決目前網(wǎng)絡(luò)安全控制、性能優(yōu)化、運(yùn)營(yíng)管理中存在的問題，憑借對(duì) IT

　應(yīng)用的深刻理解，推出了新一代的管理系統(tǒng)：開放智能管理中樞（ Intelligent Management Center，以下簡(jiǎn)稱 iMC），作為 IToIP 整體解決方案的重要組成部分， iMC 采用面向服務(wù)架構(gòu)（SOA）的設(shè)計(jì)思想，融合并統(tǒng)一管理業(yè)務(wù)、資源和用戶這三大 IT 組成要素，通過按需裝配功能組件與相應(yīng)的硬件設(shè)備配合，形成直接面向客戶應(yīng)用需求的一系列整體解決方案，從而成為 IToIP 整體解決方案的開放智能管理中樞。

　3.2.3.1面向安全控制、性能優(yōu)化和運(yùn)營(yíng)管理的系列解決方案 網(wǎng)絡(luò)的安全控制、性能優(yōu)化和運(yùn)營(yíng)管理是網(wǎng)絡(luò)應(yīng)用管理面臨的核心問題，除基本的網(wǎng)絡(luò)支撐管理外， iMC 通過軟件靈活的控制，與相應(yīng)的硬件設(shè)備配合，更為客戶提供了一系列的整體解決方案，成為客戶 IT 環(huán)境中的安全控制中心、性能優(yōu)化中心和運(yùn)營(yíng)管理中心。

　iMC 面向安全控制、性能優(yōu)化和運(yùn)營(yíng)管理的系列解決方案 安全控制中心系列解決方案 ? 端點(diǎn)準(zhǔn)入解決方案(EAD)概述

　 iMC 端點(diǎn)準(zhǔn)入功能組件與業(yè)界主流交換機(jī)、路由器、VPN 設(shè)備、無線控制設(shè)備、專業(yè)網(wǎng)關(guān)等硬件進(jìn)行配合，實(shí)現(xiàn)了局域網(wǎng)、廣域網(wǎng)、VPN 和無線等多種接入終端安全準(zhǔn)入控制。

　端點(diǎn)準(zhǔn)入解決方案(EAD)在身份接入基礎(chǔ)上，支持安全狀態(tài)評(píng)估、網(wǎng)絡(luò)安全威脅定位、安全事件感知及保護(hù)措施執(zhí)行等，預(yù)防因未打補(bǔ)丁、病毒泛濫、ARP 攻擊、異常流量、非法軟件安裝和運(yùn)行等因素可能帶來的安全威脅，并可根據(jù)終端的安全狀態(tài)實(shí)現(xiàn)終端VIP、Guest、隔離、下線等多種控制策略。從端點(diǎn)接入上保證每一個(gè)接入網(wǎng)絡(luò)的終端的安全，從而保證網(wǎng)絡(luò)安全。

　? 安全聯(lián)動(dòng)解決方案(SCC) 概述 隨著安全威脅日益嚴(yán)重，企業(yè)對(duì)網(wǎng)絡(luò)安全防御體系的投入和復(fù)雜度都在不斷增加，彼此割裂的安全資源和海量的安全信息成為困擾網(wǎng)絡(luò)管理員的管理難題。

　安全聯(lián)動(dòng)解決方案(SCC) 主要由事件管理中心設(shè)備（ SecCenter）和響應(yīng)管理控制中心軟件（ iMC）組成，事件管理中心主要完成對(duì)全網(wǎng)安全事件的采集、分析、關(guān)聯(lián)、匯聚、報(bào)表報(bào)告展示，響應(yīng)控制中心實(shí)現(xiàn)了安全事件與網(wǎng)管系統(tǒng)、用戶管理系統(tǒng)的結(jié)合，對(duì)需要響應(yīng)的重要事件可靈活進(jìn)行短信通知、Email 通知、交換機(jī)端口關(guān)閉、用戶下線、加入黑名單、在線提醒等響應(yīng)操作。

　基礎(chǔ)管理支撐 ? 基礎(chǔ)網(wǎng)絡(luò)管理解決方案(NMS) 概述 基礎(chǔ)網(wǎng)絡(luò)管理解決方案(NMS)，實(shí)現(xiàn)了全網(wǎng)資源的統(tǒng)一部署、管理和調(diào)配中心，支持的設(shè)備包括路由器、交換機(jī)、安全、無線、語音、存儲(chǔ)、服務(wù)器、PC、UPS 等類型，實(shí)現(xiàn)了故障、性能、拓?fù)�、配置等管理�?nèi)容。

　3.2.3.2系統(tǒng)安全管理 系統(tǒng)安全管理功能主要有包括：操作日志管理、操作員管理、分組分級(jí)與權(quán)限管理、操作員登錄管理等。

　 登錄安全策略 分組分級(jí)權(quán)限管理記錄所有操作系統(tǒng)管理員實(shí)時(shí)監(jiān)控在線操作員定期修改密碼 ? 操作員登錄管理 管理員通過制定登錄安全策略約束操作員的登錄鑒權(quán)，實(shí)現(xiàn)操作員登錄的安全性，通過訪問控制模板約束操作員可以登錄的終端機(jī)器的 IP 地址范圍，避免惡意嘗試另人密碼進(jìn)行登錄的行為存在，通過密碼控制策略，約束操作員密碼組成要求，包括密碼長(zhǎng)度、密碼復(fù)雜性要求、密碼有效期等，以約束操作員定期修改密碼，并對(duì)密碼復(fù)雜性按要求設(shè)置。

　? 操作員密碼管理 管理員為操作員制定密碼控制策略，操作員僅能按照指定的策略定期修改密碼，以保證訪問 iMC 系統(tǒng)的安全性。

　? 分組分級(jí)權(quán)限管理 管理員通過設(shè)備分組、用戶分組的設(shè)置，可以為操作員指定可以管理的指定設(shè)備分組和用戶分組，并指定其管理權(quán)限和角色，包括管理員、維護(hù)員和查看員，實(shí)現(xiàn)按角色、分權(quán)限、分資源（設(shè)備和用戶）的多層權(quán)限控制；同時(shí)通過設(shè)置下級(jí)網(wǎng)絡(luò)管理權(quán)限，可以通過限制登錄下級(jí)網(wǎng)絡(luò)管理系統(tǒng)的操作員和密碼，保證訪問下級(jí)網(wǎng)絡(luò)管理系統(tǒng)的安全性。

　? 操作日志管理

　對(duì)于操作員的所有操作，包括登錄、注銷的時(shí)間、登錄 IP 地址以及登錄期間進(jìn)行的任何可能修改系統(tǒng)數(shù)據(jù)的操作，都會(huì)記錄詳細(xì)的日志。提供豐富的查詢條件，管理員可以審計(jì)任何操作員的歷史操作記錄，界定網(wǎng)絡(luò)操作錯(cuò)誤的責(zé)任范圍。

　? 操作員在線監(jiān)控和管理 系統(tǒng)管理員通過“在線操作員”可以實(shí)時(shí)監(jiān)控當(dāng)前在線聯(lián)機(jī)登錄的操作員信息，包括登錄的主機(jī) IP 地址、登錄時(shí)間等，同時(shí)，系統(tǒng)管理員可以將在線操作員強(qiáng)制注銷、禁用/取消禁用當(dāng)前 IP 地址等控制操作。

　3.2.3.3資源管理 iMC 資源管理與拓?fù)涔芾碜鳛檎�體共同為用戶提供網(wǎng)絡(luò)資源的管理。通過資源管理可以：

　? 網(wǎng)絡(luò)自動(dòng)發(fā)現(xiàn) 可以通過設(shè)置種子的簡(jiǎn)易方式、路由方式、ARP 方式、IPSec VPN、網(wǎng)段方式等五種自動(dòng)發(fā)現(xiàn)方式自學(xué)習(xí)網(wǎng)絡(luò)資源及網(wǎng)絡(luò)拓?fù)�，自�?dòng)識(shí)別包括：路由器、交換機(jī)、安全網(wǎng)關(guān)、存儲(chǔ)設(shè)備、監(jiān)控設(shè)備、無線設(shè)備、語音設(shè)備、打印機(jī)、UPS、服務(wù)器、PC 在內(nèi)的多種類型網(wǎng)絡(luò)設(shè)備；

　多種自動(dòng)發(fā)現(xiàn)方式

　 自動(dòng)識(shí)別多種設(shè)備類型 ? 網(wǎng)絡(luò)手工管理 可以手工添加、刪除網(wǎng)絡(luò)設(shè)備，可以批量導(dǎo)入、導(dǎo)出網(wǎng)絡(luò)設(shè)備，批量配置 Telnet、SNMP參數(shù)，以及批量校驗(yàn) Telnet 參數(shù)等輔助功能； ? 網(wǎng)絡(luò)視圖管理 支持 IP 視圖、設(shè)備視圖、自定義視圖、下級(jí)網(wǎng)絡(luò)管理視圖等多種管理視圖，用戶可以從不同角度實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的管理； ? 網(wǎng)絡(luò)設(shè)備的管理 從任何一種網(wǎng)絡(luò)視圖入口，都可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的管理，包括：支持對(duì)設(shè)備的管理/去管理、接口的管理/去管理、設(shè)備的詳細(xì)信息顯示和接口詳細(xì)信息顯示、設(shè)備和接口實(shí)時(shí)告警狀態(tài)、設(shè)備和接口的實(shí)時(shí)性能狀態(tài)、實(shí)時(shí)檢測(cè)存在故障的設(shè)備等，用戶可以方便的實(shí)現(xiàn)所有設(shè)備的管理； ? 設(shè)備及業(yè)務(wù)管理系統(tǒng)的集成管理 支持對(duì)、Cisco、3Com 等主要廠家設(shè)備的管理，支持手工添加設(shè)備廠商、設(shè)備系列及設(shè)備型號(hào)；支持設(shè)備面板管理的動(dòng)態(tài)注冊(cè)機(jī)制，實(shí)現(xiàn)與各廠家設(shè)備管理系統(tǒng)的有效集成；支持拓?fù)涠ㄎ弧�ACL、VLAN、QoS 等業(yè)務(wù)管理系統(tǒng)的集成，實(shí)現(xiàn)設(shè)備資源的統(tǒng)一管理； ? 設(shè)備分組權(quán)限管理 支持設(shè)備分組功能，通過對(duì)設(shè)備資源進(jìn)行分組管理，系統(tǒng)管理員方便的分配其他管理員的管理權(quán)限，便于職責(zé)分離；

　3.2.3.4拓?fù)涔芾?iMC 拓?fù)涔芾韽木W(wǎng)絡(luò)拓?fù)涞慕鉀Q直觀的提供給用戶對(duì)整個(gè)網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備資源的管理。拓?fù)涔芾戆�括�?/p>

　? 拓?fù)渥詣?dòng)發(fā)現(xiàn)

　 iMC 可以自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，支持全網(wǎng)設(shè)備的統(tǒng)一拓?fù)湟晥D，通過視圖導(dǎo)航樹提供視圖間的快速導(dǎo)航。通過自動(dòng)發(fā)現(xiàn)可以發(fā)現(xiàn)網(wǎng)絡(luò)中的所有設(shè)備及網(wǎng)絡(luò)結(jié)構(gòu)（具體參見資源管理），并且可以將非 SNMP 設(shè)備發(fā)現(xiàn)出來，只要設(shè)備可以 ping 通即可。這樣就可以將所有網(wǎng)絡(luò)設(shè)備都列入其管理范圍（只要設(shè)備 IP 可達(dá)）。同時(shí)支持自動(dòng)的拓?fù)鋱D呈現(xiàn)和自定義拓?fù)�。自�?dòng)拓?fù)淇梢宰詣?dòng)將網(wǎng)絡(luò)中的邏輯連接關(guān)系顯示出來，同時(shí)可以保存為自定義拓?fù)鋱D并可根據(jù)具體情況進(jìn)行修改以便于網(wǎng)管員對(duì)整個(gè)網(wǎng)絡(luò)設(shè)備的監(jiān)控。

　支持對(duì)全網(wǎng)設(shè)備和連接定時(shí)輪詢和狀態(tài)刷新，實(shí)時(shí)了解整個(gè)網(wǎng)絡(luò)的運(yùn)行情況，并且刷新周期是可定制（刷新周期：60～7200 秒），同時(shí)也支持對(duì)多個(gè)設(shè)備的刷新周期進(jìn)行批量配置的功能。

　 ? 支持自定義拓?fù)?傳統(tǒng)的網(wǎng)絡(luò)管理軟件大多支持自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)涞墓δ�，但是自�?dòng)發(fā)現(xiàn)后的網(wǎng)絡(luò)拓?fù)渫�往是很多設(shè)備圖標(biāo)的簡(jiǎn)單排放，不能突出重點(diǎn)設(shè)備和網(wǎng)絡(luò)層次，使網(wǎng)絡(luò)管理人員感覺無從下手。

　針對(duì)這種情況， iMC 的拓?fù)涔δ苤С朱`活的自定義功能，管理人員可以根據(jù)網(wǎng)絡(luò)的實(shí)際組網(wǎng)情況和設(shè)備重要性的不同靈活定制網(wǎng)絡(luò)拓?fù)洌�可�?duì)拓?fù)鋱D進(jìn)行增、刪、改等編輯操作，使網(wǎng)絡(luò)拓?fù)淠軌蚯逦�地呈現(xiàn)整個(gè)企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)以及 IT 資源分布。

　iMC 支持靈活定制拓?fù)鋱D，使網(wǎng)絡(luò)拓?fù)涓�有重點(diǎn)和層次感。管理員可以按照關(guān)注設(shè)備不同，管理角度不同定義多種拓?fù)�，并可以針�?duì)拓?fù)洳煌�選擇不同的背景圖；管理員可以根據(jù)網(wǎng)絡(luò)設(shè)備的重要性不同，鏈路速率不同采用合適的圖標(biāo)顯示。

　 ? 自動(dòng)識(shí)別各種網(wǎng)絡(luò)設(shè)備和主機(jī)的類型

　iMC 可以自動(dòng)識(shí)別、華為、Cisco、3com 等廠商的設(shè)備、Windows、Solaris 的 PC 和工作站、其他 SNMP 設(shè)備和 ping 設(shè)備，并且以樹形方式組織，以不同的圖標(biāo)顯示區(qū)分。在拓?fù)鋱D上更可進(jìn)一步對(duì)設(shè)備的類型進(jìn)行區(qū)分，如區(qū)分路由器、交換機(jī)、安全網(wǎng)關(guān)、存儲(chǔ)設(shè)備、監(jiān)控設(shè)備、無線設(shè)備、語音設(shè)備、打印機(jī)、UPS、服務(wù)器、PC 等等。

　 ?

　設(shè)備狀態(tài)、連接狀態(tài)、告警狀態(tài)等信息在拓?fù)鋱D上的直觀顯示

　iMC 的拓?fù)涔δ芘c故障管理和性能管理緊密融合，使拓?fù)鋱D能夠清晰地看到企業(yè) IT資源的狀態(tài)，包括運(yùn)行是否正常、網(wǎng)絡(luò)帶寬、接口連通、配置變化都能一目了然。多種顏色區(qū)分不同級(jí)別故障，根據(jù)節(jié)點(diǎn)圖標(biāo)顏色反映設(shè)備狀態(tài)。

　 實(shí)時(shí)設(shè)備狀態(tài)實(shí)時(shí)鏈路狀態(tài)實(shí)時(shí)告警和性能監(jiān)控狀態(tài)狀態(tài) ? 拓?fù)淠芴峁┰O(shè)備管理便捷入口

　iMC 拓?fù)淠軌蛱峁��?duì)設(shè)備管理的便捷入口，管理員只需通過右鍵點(diǎn)擊拓?fù)鋱D中的設(shè)備圖標(biāo)即可啟動(dòng)設(shè)備管理各項(xiàng)功能，實(shí)現(xiàn)對(duì)設(shè)備的面板管理等各項(xiàng)功能配置。

　 3.2.3.5故障（告警/事件）管理 故障管理，即告警/事件管理，是 iMC 的核心模塊，是 iMC 智能管理平臺(tái)及其他業(yè)務(wù)組件統(tǒng)一的告警中心。如下圖所示，以故障管理流程為引導(dǎo)，介紹 iMC 強(qiáng)大的故障管理能力：

　 S網(wǎng)絡(luò)資源、存儲(chǔ)資源、計(jì)算資源、業(yè)務(wù)系統(tǒng)告警上報(bào) 定時(shí)輪詢網(wǎng)管與告警中心實(shí)時(shí)告警分類、聲光告警板，按故障類別及等級(jí)實(shí)時(shí)告警系統(tǒng)快照，實(shí)時(shí)報(bào)告網(wǎng)絡(luò)、下級(jí)網(wǎng)絡(luò)及設(shè)備的狀態(tài)通過拓?fù)鋵?shí)現(xiàn)報(bào)告網(wǎng)絡(luò)及設(shè)備狀態(tài)實(shí)時(shí)告警瀏覽和確認(rèn)實(shí)時(shí)遠(yuǎn)程告警：手機(jī)短信及EMail告警解決故障固化經(jīng)驗(yàn)實(shí)時(shí)告警關(guān)聯(lián)分析與統(tǒng)計(jì)實(shí)現(xiàn)網(wǎng)絡(luò)管理透明化S S網(wǎng)絡(luò)資源、存儲(chǔ)資源、計(jì)算資源、業(yè)務(wù)系統(tǒng)告警上報(bào) 定時(shí)輪詢網(wǎng)管與告警中心實(shí)時(shí)告警分類、聲光告警板，按故障類別及等級(jí)實(shí)時(shí)告警系統(tǒng)快照，實(shí)時(shí)報(bào)告網(wǎng)絡(luò)、下級(jí)網(wǎng)絡(luò)及設(shè)備的狀態(tài)通過拓?fù)鋵?shí)現(xiàn)報(bào)告網(wǎng)絡(luò)及設(shè)備狀態(tài)實(shí)時(shí)告警瀏覽和確認(rèn)實(shí)時(shí)遠(yuǎn)程告警：手機(jī)短信及EMail告警分類、聲光告警板，按故障類別及等級(jí)實(shí)時(shí)告警系統(tǒng)快照，實(shí)時(shí)報(bào)告網(wǎng)絡(luò)、下級(jí)網(wǎng)絡(luò)及設(shè)備的狀態(tài)通過拓?fù)鋵?shí)現(xiàn)報(bào)告網(wǎng)絡(luò)及設(shè)備狀態(tài)實(shí)時(shí)告警瀏覽和確認(rèn)實(shí)時(shí)遠(yuǎn)程告警：手機(jī)短信及EMail告警解決故障固化經(jīng)驗(yàn)實(shí)時(shí)告警關(guān)聯(lián)分析與統(tǒng)計(jì)實(shí)現(xiàn)網(wǎng)絡(luò)管理透明化 ? 告警發(fā)現(xiàn)和上報(bào) iMC 告警中心可以按收各種告警源的告警事件，包括設(shè)備告警、本級(jí)網(wǎng)管站及下級(jí)網(wǎng)管站告警、網(wǎng)絡(luò)性能監(jiān)視告警、網(wǎng)絡(luò)配置監(jiān)視告警、網(wǎng)絡(luò)流量異常監(jiān)視告警、終端安全異常告警等；同時(shí)通過支持對(duì)設(shè)備定時(shí)輪詢，實(shí)現(xiàn)通斷告警、響應(yīng)時(shí)間告警等，以告警事件的方式上報(bào)給 iMC 告警中心； ? 設(shè)備告警包括電源電壓、設(shè)備溫度、風(fēng)扇等告警事件，設(shè)備冷啟動(dòng)、熱啟動(dòng)、接口 linkdown 等重要告警事件，路由信息事件（OSPF，BGP）變化，熱備份路由（HSRP）狀態(tài)變化等告警事件，支持對(duì)、CISCO、華為、3COM 等多廠商設(shè)備告警的識(shí)別和解析； ? 網(wǎng)管站告警指包括本級(jí) iMC 系統(tǒng)集群服務(wù)器的異常告警，包括 CPU 利用率、內(nèi)存使用率、iMC 服務(wù)程序運(yùn)行狀態(tài)等以及下級(jí) iMC 系統(tǒng)上報(bào)的告警事件； ? 網(wǎng)絡(luò)性能監(jiān)視包括 CPU 利用率，內(nèi)存使用率，以及 RMON 告警的故障管理。

　? 網(wǎng)絡(luò)配置監(jiān)視告警包括設(shè)備軟件版本、配置信息變更等告警事件，并通過 iMC智能配置中心組件（iMC iCC）實(shí)現(xiàn)配置文件定期檢查，實(shí)現(xiàn)配置變更告警事件。

　? 網(wǎng)絡(luò)流量異常監(jiān)視告警通過 iMC 網(wǎng)絡(luò)流量分析組件（iMC NTA）實(shí)現(xiàn)網(wǎng)絡(luò)

　中異常流量告警，包括對(duì)設(shè)備及接口異常流量、主機(jī) IP 地址異常流量和應(yīng)用異常流量的告警，支持二級(jí)閾值告警定義； ? 終端安全異常告警通過 iMC 端點(diǎn)準(zhǔn)入防御組件（iMC EAD）實(shí)現(xiàn)對(duì)終端用戶安全異常的告警，包括 ARP 攻擊告警、終端異常流量告警及其他終端不安全告警； ? iMC 定期輪詢告警指通過 iMC 的資源管理模塊對(duì)設(shè)備接口信息定時(shí)進(jìn)行輪循，并及時(shí)上報(bào)通斷告警、響應(yīng)時(shí)間告警等告警事件。

　? 告警深度關(guān)聯(lián)分析與統(tǒng)計(jì) iMC 告警中心根據(jù)告警腳本中的告警事件定義，接收并解析上報(bào)的告警事件；

　iMC 對(duì)接收到的告警事件進(jìn)行深度關(guān)聯(lián)分析，系統(tǒng)缺省支持重復(fù)事件閾值告警、閃斷事件閾值告警、未知事件閾值告警、未管理設(shè)備告警閾值告警，并能在故障恢復(fù)時(shí)自動(dòng)確認(rèn)相關(guān)告警；同時(shí)用戶可以根據(jù)自己的需要確定事件的告警規(guī)則，以適應(yīng)網(wǎng)絡(luò)管理需要。

　? 重復(fù)事件閾值告警：屏蔽重復(fù)接收到的相同事件，并可在達(dá)到閾值條件時(shí)產(chǎn)生新告警通知用戶。

　? 閃斷事件閾值告警：分析接收到的閃斷事件，并可在達(dá)到閾值條件時(shí)產(chǎn)生新告警通知用戶。

　? 未知事件閾值告警：屏蔽接收到的未知事件，并可在達(dá)到閾值條件時(shí)產(chǎn)生新告警通知用戶。

　? 未管理設(shè)備告警閾值告警：屏蔽接收到的未管理設(shè)備事件，并可在達(dá)到閾值條件時(shí)產(chǎn)生新告警通知用戶。

　? 自定義事件過濾規(guī)則：用戶自定義的事件過濾規(guī)則，用戶可指定在什么時(shí)間范圍內(nèi)、對(duì)什么樣的告警進(jìn)行過濾。

　iMC 系統(tǒng)預(yù)定義缺省支持各類深度分析后告警事件關(guān)聯(lián)升級(jí)為告警的生成規(guī)則，同時(shí)，管理員可以自定義由告警事件升級(jí)為告警的規(guī)則，可從事件、事件關(guān)鍵字、事件源、時(shí)間范圍四個(gè)方面進(jìn)行規(guī)則定義，一旦定義事件升級(jí)為告警規(guī)則后，iMC 告警中心會(huì)根據(jù)定義的規(guī)則關(guān)聯(lián)分析后生成不同級(jí)別的告警（告警共分成緊急、重要、次要、警告、事件 5 個(gè)級(jí)別；在瀏覽數(shù)據(jù)窗口，分別以紅色、橙色、黃色、藍(lán)色、灰色五種顏色進(jìn)行

　顯示），將管理員從繁多的告警事件中解脫出來，避免產(chǎn)生告警風(fēng)暴，讓管理員能專心關(guān)注告警的根源。

　? 實(shí)時(shí)告警

　iMC 提供多種方式將告警通知給管理員，包括：

　? 實(shí)時(shí)遠(yuǎn)程告警：通過手機(jī)短信或 Email 郵件的方式，將告警及時(shí)通知管理員，實(shí)現(xiàn)遠(yuǎn)程網(wǎng)絡(luò)的監(jiān)控和管理； ? 分類、聲光告警板，按故障類別及等級(jí)實(shí)時(shí)告警，讓管理員通過告警板不但及時(shí)知道告警產(chǎn)生，同時(shí)可以了解產(chǎn)生的告警的類別和等級(jí)：

　 ? 實(shí)時(shí)告警瀏覽和確認(rèn)，通過告警首頁對(duì)目前故障未排除的告警實(shí)時(shí)刷新并提供故障排除確認(rèn)的入口：

　 ? 提供系統(tǒng)快照，實(shí)時(shí)報(bào)告網(wǎng)絡(luò)、下級(jí)網(wǎng)絡(luò)及設(shè)備的狀態(tài)

　 通過視圖操作直觀展示狀態(tài)自定義網(wǎng)絡(luò)實(shí)時(shí)狀態(tài)下級(jí)網(wǎng)絡(luò)實(shí)時(shí)狀態(tài)各類設(shè)備實(shí)時(shí)狀態(tài)存在故障的設(shè)備一目了然 ? 通過拓?fù)鋵?shí)現(xiàn)報(bào)告網(wǎng)絡(luò)及設(shè)備狀態(tài)

　 直觀、實(shí)時(shí)體現(xiàn)網(wǎng)絡(luò)狀態(tài)圖標(biāo)狀態(tài)實(shí)時(shí)體現(xiàn)設(shè)備狀態(tài)注：不可達(dá) ? 故障解決

　iMC 對(duì)各種故障警均提供“修復(fù)建議”，管理員可以參考修復(fù)建議對(duì)故障進(jìn)行處理。在故障得到解決后，通過對(duì)告警的確認(rèn)完成故障的恢復(fù)確認(rèn)。

　? 固化經(jīng)驗(yàn)

　iMC 提供告警知識(shí)庫。告警知識(shí)是用戶在維護(hù)過程中的經(jīng)驗(yàn)總結(jié)，將這些經(jīng)驗(yàn)輸入系統(tǒng)，下次再出現(xiàn)同樣的故障時(shí)，可以作為參考。用戶選中一條告警記錄，系統(tǒng)根據(jù)用戶選中的告警記錄，從告警知識(shí)庫中查詢出該條告警記錄的維護(hù)經(jīng)驗(yàn)，供用戶進(jìn)行告警處理進(jìn)行參考。用戶將自己的日常處理經(jīng)驗(yàn)以及業(yè)務(wù)信息及時(shí)寫入數(shù)據(jù)庫、更新告警知識(shí)庫對(duì)以后的故障診斷與排除非常有益。

　 對(duì)系統(tǒng)自帶修復(fù)建議的有效補(bǔ)充，為后續(xù)維護(hù)提供便利 3.2.3.6性能管理

　iMC 網(wǎng)管系統(tǒng)提供豐富的性能管理功能，同時(shí)以直觀的方式顯示給用戶。例如：可以提供折線圖、方圖、餅圖等多種顯示方式并能生成相應(yīng)的報(bào)表。通過性能任務(wù)的配置，可自動(dòng)獲得網(wǎng)絡(luò)的各種當(dāng)前性能數(shù)據(jù)，并支持設(shè)置性能的閾值，當(dāng)性能超過閾值時(shí)，網(wǎng)絡(luò)以告警的方式通知告警中心: ? 支持 At a Glance、TopN 功能，用戶能夠?qū)?CPU 利用率、流量等關(guān)鍵指標(biāo)一目了然；

　 ? 提供各類常用性能指標(biāo)的缺省采集模板； ? 支持實(shí)時(shí)性能監(jiān)視，支持二級(jí)閾值告警設(shè)置,當(dāng)鏈路或端口的流量超過閾值，系統(tǒng)將會(huì)發(fā)送性能告警，使網(wǎng)絡(luò)管理人員可以能夠及時(shí)了解網(wǎng)絡(luò)中的隱患，及時(shí)消除隱患。同時(shí)為故障定位提供手段； ? 提供基于歷史數(shù)據(jù)的分析，為用戶擴(kuò)容網(wǎng)絡(luò)、及早發(fā)現(xiàn)網(wǎng)絡(luò)隱患提供保障；

　 ? 支持餅圖、折線圖、曲線圖等多種圖形方式，直觀地反映性能指標(biāo)的變化趨勢(shì)；提供靈活的組合條件統(tǒng)計(jì)和查詢；性能報(bào)表支持導(dǎo)出 Html、Txt、Excel、Pdf 格式文件：

　3.2.3.7設(shè)備管理組件 現(xiàn)有的企業(yè)網(wǎng)絡(luò)中，由于缺乏有效的設(shè)備管理軟件，網(wǎng)絡(luò)管理人員往往只能通過“徒手”進(jìn)行設(shè)備管理。管理人員往往只能通過遠(yuǎn)程登錄查看設(shè)備工作狀態(tài)，了解設(shè)備運(yùn)行情況。

　iMC 提供的設(shè)備管理功...

相關(guān)熱詞搜索：網(wǎng)絡(luò)安全 信息網(wǎng)絡(luò) 方案