畢業(yè)設(shè)計-----醫(yī)院的網(wǎng)絡(luò)規(guī)劃與設(shè)計

1、<p><b>　　二〇一二年五月八日</b></p><p>　題 目xx醫(yī)院的網(wǎng)絡(luò)規(guī)劃與設(shè)計</p><p>　系 （院）計算機科學技術(shù)系</p><p>　專 業(yè)計算機網(wǎng)絡(luò)技術(shù)</p><p>　班 級2009級2班</p><p>　學生姓名</p>

2、<p>　學 號</p><p>　指導教師</p><p>　職 稱講師</p><p>　　莒南縣醫(yī)院的網(wǎng)絡(luò)規(guī)劃與設(shè)計</p><p><b>　　摘 要</b></p><p>　　隨著網(wǎng)絡(luò)技術(shù)，信息通信領(lǐng)域的長足發(fā)展，網(wǎng)絡(luò)經(jīng)濟，知識經(jīng)濟再不是IT等高科技行業(yè)

3、的專利。作為傳統(tǒng)行業(yè)之一的醫(yī)療衛(wèi)生行業(yè)，如何面對網(wǎng)絡(luò)時代帶來的沖擊，如何利用網(wǎng)絡(luò)技術(shù)提高我們醫(yī)療衛(wèi)生行業(yè)的管理水平和服務質(zhì)量，是無法回避的問題。隨著網(wǎng)絡(luò)硬件性能的不斷提高，成本不斷降低，目前新建的局域網(wǎng)基本上都采用了性能先進的快速以太網(wǎng)技術(shù)，其核心交換機采用三層交換機，能很好地支持VLAN。本方案提供了豐富、全面的系統(tǒng)安全設(shè)計。整個方案考慮了用戶層面、設(shè)備、數(shù)據(jù)和管理的各個層面的安全需求，并進行了整體安全的設(shè)計。設(shè)備方面，采用的各個層次

4、的設(shè)備都支持了對自身負責層面的安全功能，從接入層、匯聚層到核心層，都進行了安全方面的考慮和設(shè)計；如接入層面提供的VLAN保護接入層面數(shù)據(jù)和用戶的安全。防ARP功能和常見的蠕蟲、沖擊波等病毒的防范。數(shù)據(jù)層面，對數(shù)據(jù)在各個系統(tǒng)層面的傳輸都考慮的安全方面的設(shè)計。</p><p>　　關(guān)鍵詞：網(wǎng)絡(luò)性能；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)配置；VLAN</p><p>　　Network Planning and De

5、sign of the Junan County Hospital</p><p><b>　　Abstract</b></p><p>　　With the rapid development of network technology, information communications, network economy, knowledge economy,

6、not the IT high-tech industry patents. As one of the traditional industries of the health care industry, and how to deal with the impact of the Internet age, how to use network technology to improve the management level

7、and service quality of our health care industry, is an unavoidable problem. The program provides a rich and comprehensive system security design. Equipment, at all le</p><p>　　Keywords: Network Performance;

8、 Network Security; Network Configuration; VLAN目 錄</p><p><b>　　第一章 緒論1</b></p><p>　　1.1 研究的目的和意義1</p><p>　　1.1.1 研究目的1</p><p>　　1.1.2 研究意義2</p&g

9、t;<p>　　1.2 國內(nèi)外研究現(xiàn)狀2</p><p>　　1.2.1 國外研究現(xiàn)狀3</p><p>　　1.2.2 國內(nèi)研究現(xiàn)狀3</p><p><b>　　第二章 概述4</b></p><p>　　2.1醫(yī)院的背景4</p><p><b>　　2.2

10、需求分析5</b></p><p>　　2.2.1網(wǎng)絡(luò)穩(wěn)定5</p><p>　　2.2.2網(wǎng)絡(luò)性能5</p><p>　　2.2.3網(wǎng)絡(luò)安全5</p><p>　　第三章 網(wǎng)絡(luò)規(guī)劃7</p><p>　　3.1醫(yī)院網(wǎng)絡(luò)設(shè)計目標7</p><p>　　3.2醫(yī)院網(wǎng)絡(luò)規(guī)劃拓

11、撲8</p><p>　　3.2.1結(jié)構(gòu)設(shè)計9</p><p>　　3.2.2VLAN劃分10</p><p>　　3.3 IP地址12</p><p>　　3.3.1IP地址設(shè)計規(guī)則12</p><p>　　3.3.2IP地址劃分13</p><p>　　3.4網(wǎng)絡(luò)的簡要配置14

12、</p><p>　　3.5網(wǎng)絡(luò)安全設(shè)計17</p><p><b>　　第四章 結(jié)論21</b></p><p>　　4.1高穩(wěn)定的網(wǎng)絡(luò)架構(gòu)設(shè)計21</p><p>　　4.2 獨立的服務器區(qū)域設(shè)計21</p><p>　　4.3全面的系統(tǒng)安全設(shè)計21</p><p

13、><b>　　參考文獻22</b></p><p><b>　　謝辭22</b></p><p><b>　　第一章 緒論</b></p><p>　　1.1 研究的目的和意義</p><p>　　互聯(lián)網(wǎng)發(fā)展到今天，已經(jīng)給人們的生活帶來了巨大的變化，它為人們構(gòu)造了一條

14、信息高速路。但是，這條信息高速路的使用率只有5%。因此，擺在人們面前的問題是如何利用互聯(lián)網(wǎng)的價值。越來越多的人認為，網(wǎng)絡(luò)作為一種新的理念，新的技術(shù)，新的設(shè)施，將會成為互聯(lián)網(wǎng)的下一個浪潮。網(wǎng)絡(luò)研究已被列入國家“八六三”計劃和“九七三”項目。[1]</p><p>　　1.1.1 研究目的</p><p>　　隨著醫(yī)療技術(shù)的發(fā)展，醫(yī)療體制改革的不斷深入，我國已經(jīng)開始從公費醫(yī)療體制轉(zhuǎn)向社會保障體

15、制，并通過建立醫(yī)療保險制度，將新的醫(yī)療保障制度逐步推向社會。同時，在市場經(jīng)濟的外部環(huán)境下，醫(yī)療衛(wèi)生機構(gòu)如何通過信息化建設(shè)完善內(nèi)部的管理，降低管理成本，提高對市場的反應速度，占據(jù)競爭優(yōu)勢，開發(fā)新的、更方便更快捷的服務項目，為廣大人們?nèi)罕娞峁﹥?yōu)質(zhì)、衛(wèi)生、滿意的服務，是一個很重要的課題，是一件利國利民的大事。</p><p>　　隨著計算機網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，簡單的內(nèi)部網(wǎng)絡(luò)已經(jīng)不能適用現(xiàn)代的網(wǎng)絡(luò)技術(shù)發(fā)展的要求。醫(yī)院若要

16、做到面向社會、面向世界，和國際是先進的醫(yī)療技術(shù)相接軌，就必須認真貫徹落實國家有關(guān)加快醫(yī)療系統(tǒng)信息化建設(shè)及管理的精神，進一步推進醫(yī)療系統(tǒng)的信息化建設(shè)，才能及時了解國際醫(yī)療系統(tǒng)的新信息、新發(fā)展動態(tài)，吸收國內(nèi)外新的醫(yī)療理念和管理經(jīng)驗，及時提高醫(yī)院的醫(yī)療系統(tǒng)的信息化應用和管理水平。在對醫(yī)院內(nèi)部網(wǎng)絡(luò)規(guī)劃中，我將從需求分析、醫(yī)院網(wǎng)絡(luò)總體規(guī)劃、服務器的配置、網(wǎng)絡(luò)管理和 網(wǎng)絡(luò)安全等方面進行規(guī)劃和實現(xiàn)。在網(wǎng)絡(luò)建設(shè)過程中將盡量選擇穩(wěn)定和成熟的技術(shù)和產(chǎn)品，是

17、醫(yī)院的網(wǎng)絡(luò)在開通運行后處于穩(wěn)定的的狀態(tài)。在結(jié)構(gòu)上將采用流行的三層網(wǎng)絡(luò)結(jié)構(gòu)，及核心層、交換層和接入層，選用星型網(wǎng)絡(luò)拓撲結(jié)構(gòu)，通過防火墻來接入骨干網(wǎng)絡(luò)?？紤]到醫(yī)院的規(guī)模較小，信息接點較少，信息流量小的的特點，實施的的時候，在核心層主要采用硬件與軟件技術(shù)相結(jié)合來實現(xiàn)其功能，并不僅僅采用昂貴的硬件來實現(xiàn)網(wǎng)絡(luò)功能，要充分利用現(xiàn)有的資源，不浪費，不盲目追求設(shè)備的高端化。同時考慮到醫(yī)院的應用環(huán)境應建立豐富的應用服務器，來滿足信息共享的需求。同時考慮到

18、醫(yī)院今后的發(fā)展，采用開放式的結(jié)</p><p>　　1.1.2 研究意義</p><p>　　網(wǎng)絡(luò)技術(shù)已經(jīng)對社會，經(jīng)濟和文化各方面產(chǎn)生重大影響，并將改變?nèi)藗冋J識世界，思考世界的觀點和方法。作為傳統(tǒng)行業(yè)之一的醫(yī)療衛(wèi)生行業(yè)，如何面對網(wǎng)絡(luò)時代帶來的沖擊，如何利用網(wǎng)絡(luò)技術(shù)提高我們醫(yī)療衛(wèi)生行業(yè)的管理水平和服務質(zhì)量，是無法回避的問題。為了認真貫徹衛(wèi)生部召開的關(guān)于加快醫(yī)衛(wèi)系統(tǒng)信息化建設(shè)及管理的會議精神，

19、進一步推進醫(yī)療行業(yè)的信息化建設(shè)，了解國際醫(yī)療信息化發(fā)展動態(tài)，吸收新的技術(shù)和管理經(jīng)驗，提高醫(yī)衛(wèi)系統(tǒng)信息化應用的管理水平，使醫(yī)院經(jīng)濟效益和社會效益雙豐收，全國各省都在逐步加快醫(yī)院的信息化建設(shè)步伐。</p><p>　　傳統(tǒng)醫(yī)療衛(wèi)生行業(yè)正利用其行業(yè)特點，汲取網(wǎng)絡(luò)技術(shù)精華，努力創(chuàng)造著醫(yī)療衛(wèi)生行業(yè)的又一個春天。未來是美好的，但現(xiàn)實不可回避。在選取“飛”的翅膀時，好的網(wǎng)絡(luò)設(shè)計方案對醫(yī)療行業(yè)網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理、可靠性、可管理性

20、、可擴展性和高性能的特殊需要，具有深遠的意義。</p><p>　　1.2 國內(nèi)外研究現(xiàn)狀</p><p>　　20世紀90年代末至今，是數(shù)字化醫(yī)院以前所未有的速度發(fā)展的時期。發(fā)展過程中，我國醫(yī)院網(wǎng)絡(luò)建設(shè)已初具規(guī)模并取得了長足的進步。[2]事實證明，醫(yī)院網(wǎng)絡(luò)建設(shè)是實現(xiàn)醫(yī)院現(xiàn)代化的重要任務和標志，也是社會信息化不可缺少的組成部分，更是醫(yī)院適應改革的必然選擇。</p><p

21、>　　1.2.1 國外研究現(xiàn)狀</p><p>　　美國HIMSS協(xié)會2006年調(diào)查報告顯示，美國數(shù)字化醫(yī)院建設(shè)投入很大，我國醫(yī)院與美國醫(yī)院在信息化建設(shè)投資規(guī)模上有著很大的差距。最為突出的就是人才投入。我國醫(yī)院IT人員編制比例不舍理的問題由來已久，長期困擾醫(yī)院的信息化建設(shè)。據(jù)CHIMA 調(diào)查報告顯示，我國各醫(yī)院信息化部門全職員工人數(shù)多為3～ 10人。三級醫(yī)院信息部門的全職職工規(guī)模主要集中在3～20人，占三級

22、醫(yī)院的82．22 。而三級以下醫(yī)院則主要集中在1～10人，占三級以下醫(yī)院總數(shù)的90．34 。美國HIMSS協(xié)會2006年醫(yī)院信息化現(xiàn)狀調(diào)查中IT部門全職員工數(shù)據(jù)，美國80 的醫(yī)院IT人員編制在10人以上。其中，32 的醫(yī)院10～24人，17 的醫(yī)院25～ 50人，9 的醫(yī)院51～ 75人，4 的醫(yī)院76～ 100人。而從業(yè)務量的角度看，國內(nèi)的大型醫(yī)院床位數(shù)、門診量、收容量遠大于美國醫(yī)院，人力資源不足的情況與發(fā)達國家醫(yī)療行業(yè)相比，差距較大

23、。在技術(shù)應用方面，也存在較大差距。當前我國各級各類醫(yī)院信息技術(shù)采用率排在前3位的依次是高速以太網(wǎng)(≥ 100M)技術(shù)、數(shù)據(jù)安全技術(shù)、條碼技術(shù)。CHIMA 樣本調(diào)查結(jié)果顯示，采用率第1位的是高速以太網(wǎng)(≥</p><p>　　1.2.2 國內(nèi)研究現(xiàn)狀</p><p>　　我國傳統(tǒng)數(shù)字化醫(yī)院的發(fā)展可分為3個階段。首先是單機單用戶應用階段。始于20世紀70年代末、80年代初，這一階段開始是以小型

24、機為主，采用分時終端方式，當時只有少數(shù)幾家大型綜合醫(yī)院和教學醫(yī)院擁有。80年代中期進入部門級系統(tǒng)應用階段。一些醫(yī)院開始建立小型的局域網(wǎng)絡(luò)，并開發(fā)出基于部門管理的小型網(wǎng)絡(luò)管理系統(tǒng)，但主要用于院內(nèi)財務管理。90年代開始進入全院級系統(tǒng)應用階段。以軍隊醫(yī)院“軍衛(wèi)一號”系統(tǒng)的全面運行為標志，大規(guī)模進入全院級系統(tǒng)應用階段。快速以太網(wǎng)和大型關(guān)系型數(shù)據(jù)庫日益盛行，完整的醫(yī)院網(wǎng)絡(luò)管理系統(tǒng)的實現(xiàn)已經(jīng)成為可能。[4]</p><p>

25、<b>　　第二章 概述</b></p><p><b>　　2.1醫(yī)院的背景</b></p><p>　　醫(yī)院現(xiàn)擁有床位500張，科室齊全，人才薈萃。該院在本地區(qū)有較大優(yōu)勢的學科和技術(shù)項目主要有：臨床設(shè)有內(nèi)、外、婦、眼、耳鼻喉、口腔各科，痤瘡?？?。</p><p>　　建筑樓群及信息點分布：</p><

26、;p><b>　　綜合醫(yī)療大樓一幢</b></p><p>　　該樓在醫(yī)院的左下，一層有31個房間，二層47個房，三層39個房間，四層33個房間，每間房間配有一部電腦。為使信息和資源共享，院方要求每個房間的辦公設(shè)備都需要網(wǎng)絡(luò)連通，同時大樓內(nèi)的網(wǎng)絡(luò)與醫(yī)院的網(wǎng)絡(luò)連通。</p><p><b>　　行政辦公樓一幢</b></p>&

27、lt;p>　　行政辦公樓在綜合大樓北面，樓高6層，每層有辦公室18間。每個辦公室均配置有電腦1臺。</p><p><b>　　綜合住院樓一幢</b></p><p>　　綜合住院樓在辦公樓右邊，樓高10層，每層有一個值班室，每個值班室配置一電腦，并與醫(yī)院的網(wǎng)絡(luò)連接。</p><p><b>　　物資供應樓一幢</b>

28、;</p><p>　　該樓位于綜合住院樓右面，樓高3層，每層有一個辦公室，配置兩臺電腦，與醫(yī)院網(wǎng)絡(luò)連接。</p><p><b>　　體檢康復樓一幢</b></p><p>　　體檢康復樓在綜合大樓右面，樓高4層，每層有20個房間，每個房間安裝一臺電腦。</p><p><b>　　2.2需求分析</b

29、></p><p><b>　　2.2.1網(wǎng)絡(luò)穩(wěn)定</b></p><p>　　醫(yī)療行業(yè)是關(guān)系到病人生命安危的重要行業(yè)，莒南人民醫(yī)院的各種應用系統(tǒng)和基礎(chǔ)設(shè)備都要保證超高的穩(wěn)定性，系統(tǒng)的穩(wěn)定性（7*24穩(wěn)定、可靠、持續(xù)運行）是投入運行的醫(yī)療系統(tǒng)的生命線。同時，對于門診等重要區(qū)域，由于門診收費是患者進入醫(yī)院的第一站，穩(wěn)定的網(wǎng)絡(luò)系統(tǒng)建設(shè)是醫(yī)院各種應用系統(tǒng)開展的根本保障

30、，是降低醫(yī)院目前出現(xiàn)問題的根本性措施。[5]</p><p>　　1）網(wǎng)絡(luò)本身穩(wěn)定性。</p><p><b>　　2）網(wǎng)站的有效性。</b></p><p><b>　　3）網(wǎng)絡(luò)的安全性。</b></p><p>　　4）具有一定的可擴展性。</p><p>　　5）在滿足

31、基本功能的同時，盡量節(jié)約資金。</p><p>　　6）辦公用戶要具有強大的信息傳遞能力，以保證醫(yī)院信息暢通。</p><p><b>　　2.2.2網(wǎng)絡(luò)性能</b></p><p>　　作為臨床信息系統(tǒng)最為重要的PACS系統(tǒng)的應用其在傳輸患者的放射圖像信息時，需要消耗大量的網(wǎng)絡(luò)傳輸帶寬，雖然目前莒南人民醫(yī)院仍然采用的是科室級的PACS系統(tǒng)，然

32、而，隨著醫(yī)院信息化的發(fā)展，畢竟以全院級的FULL PACS系統(tǒng)為發(fā)展方向，在建設(shè)了PACS系統(tǒng)之后，堆積如山的膠片、病例檔案都沒有了，但是網(wǎng)絡(luò)上數(shù)據(jù)量卻在急劇增長。海量存儲和數(shù)據(jù)瀏覽就成為必須解決的問題。在計算機中一頁文字資料僅占幾千字節(jié)(Kb)，而一張數(shù)字化的X線片將產(chǎn)生上百萬字節(jié)(Mb)的信息量，這就是所謂“兆字節(jié)問題”；因此，在網(wǎng)絡(luò)建設(shè)初期就需要考慮針對未來醫(yī)院FULL PACS系統(tǒng)應用傳輸帶寬的考慮。[6]</p>

33、<p><b>　　2.2.3網(wǎng)絡(luò)安全</b></p><p>　　網(wǎng)絡(luò)安全，從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全，廣義來說網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護、不受偶然的或者惡意的原因而遭到破壞、更改、泄露、系統(tǒng)連續(xù)、可靠、正常地運行，網(wǎng)絡(luò)服務不中斷。而網(wǎng)絡(luò)安全的主要威脅來自以下方面：</p><p><b>　　1）非授權(quán)訪問；<

34、/b></p><p><b>　　2）信息泄露；</b></p><p><b>　　3）拒絕服務。</b></p><p>　　對于底層的工作站來說，安全性問題主要來自于計算機病毒的侵擾和使用人員人為操作造成的系統(tǒng)破壞。為了防止病毒入侵，可以在醫(yī)院的電腦上只開放最小使用功能。例如：拆除光驅(qū)、軟驅(qū)、關(guān)閉USB 端口

35、，添加CMOS 密碼，實時監(jiān)測病毒，并及時升級病毒代碼，隱藏桌面、使用組策略技術(shù)，使一般用戶無法看到網(wǎng)上鄰居、資源管理器等，只能使用授權(quán)的應用程序，而不能進行非授權(quán)功能操作，輔之以多種方法對工作站做限制和監(jiān)控，將非授權(quán)訪問事件發(fā)生概率降到最低。</p><p>　　普遍來講，網(wǎng)絡(luò)安全關(guān)鍵技術(shù)主要有：信息包篩選(基于包過濾的防火墻)、應用中繼器(代理技術(shù))和加密技術(shù)，一個完整的網(wǎng)絡(luò)信息安全系統(tǒng)至少包括三類措施：社會

36、的法律政策、企業(yè)的規(guī)章制度及網(wǎng)絡(luò)安全教育等外部環(huán)境，技術(shù)方面的措施，如防火墻技術(shù)、防病毒、信息加密、身份確認以及授權(quán)等[7]，網(wǎng)絡(luò)系統(tǒng)安全維護中，普遍應用的適當、安全的方法：</p><p>　　1）用備份和鏡像技術(shù)提高數(shù)據(jù)完整性；</p><p><b>　　2）病毒檢查；</b></p><p>　　3）補丁程序，修補系統(tǒng)漏洞；</p

37、><p><b>　　4）提高物理安全；</b></p><p>　　5）構(gòu)筑因特網(wǎng)防火墻；</p><p><b>　　6）仔細閱讀日志；</b></p><p><b>　　7）加密；</b></p><p>　　8）執(zhí)行身份鑒別，口令守則；</p

38、><p><b>　　9）捕捉闖入者</b></p><p><b>　　第三章 網(wǎng)絡(luò)規(guī)劃</b></p><p>　　3.1醫(yī)院網(wǎng)絡(luò)設(shè)計目標</p><p>　　通過前兩章的需求分析和網(wǎng)絡(luò)現(xiàn)狀分析，從本章開始，將進行邏輯網(wǎng)絡(luò)分析， 隨著社會的發(fā)展，企業(yè)信息化建設(shè)的推進，全國各大中型企業(yè)基本上都有了自己

39、的網(wǎng)絡(luò)，作為醫(yī)院的決策者們來說，建立高速的網(wǎng)絡(luò)，使信息流通更快速，將醫(yī)院建成信息化的高效的醫(yī)院，使醫(yī)院立于不敗之林。由于邳州人民醫(yī)院的網(wǎng)絡(luò)業(yè)務量并不大，主要應用是醫(yī)院內(nèi)部的信息傳遞，除此之外，Http、Ftp、Email便是醫(yī)院與Internet連接的最大流量了。從技術(shù)上講應該采用標準、開放、可擴充的、能與其它廠商產(chǎn)品配套使用的設(shè)計。根據(jù)用戶的總體需求，結(jié)合對應用系統(tǒng)的考慮，我們提出網(wǎng)絡(luò)系統(tǒng)的設(shè)計的原則是：可靠的技術(shù)選型、標準的體系結(jié)構(gòu)

40、、1000M骨干網(wǎng)、安全性較高、運行性能可靠以及遵循面向應用，注重實效，急用先上，逐步完善的原則。</p><p>　　1）實用性：根椐應用系統(tǒng)的要求確定整個系統(tǒng)的結(jié)構(gòu)，即從系統(tǒng)功能和信息需求出發(fā)，擬建系統(tǒng)的結(jié)構(gòu)必須滿足系統(tǒng)的傳輸能力要求、信息安全要求、人機交互能力要求、信息處理要求等；</p><p>　　2）先進性：以先進、成熟的網(wǎng)絡(luò)通信技術(shù)進行組網(wǎng)，并能確保網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)產(chǎn)品幾年內(nèi)不

41、落后；</p><p>　　3）可靠性：系統(tǒng)必須可靠運行；</p><p>　　4）開放性：選擇的產(chǎn)品應具有好的互操作性和可移植性，并符合相關(guān)的國際標準和工業(yè)標準；</p><p>　　5）可擴充性：系統(tǒng)是一個逐步發(fā)展的應用環(huán)境，在系統(tǒng)結(jié)構(gòu)、產(chǎn)品系統(tǒng)、系統(tǒng)容量與處理能力等方面必須具有升級換代的可能，這種擴充不僅能充分保護原有資源，而且具有較高的性能價格比,使整個網(wǎng)絡(luò)

42、系統(tǒng)是可擴展的，便于系統(tǒng)升級，改裝；</p><p>　　6）可伸縮性原則：網(wǎng)絡(luò)的建設(shè)是一項持續(xù)性的系統(tǒng)工程項目，堅持網(wǎng)絡(luò)建設(shè)規(guī)模的可伸縮性原則，將使得網(wǎng)絡(luò)的建設(shè)費用降低，避免不必要的浪費，也體現(xiàn)了網(wǎng)絡(luò)建設(shè)的靈活性；</p><p>　　7）安全性：信息系統(tǒng)安全問題的中心任務是保證信息網(wǎng)絡(luò)的暢通，確保授權(quán)實體經(jīng)過該網(wǎng)絡(luò)安全地獲取信息，并保證該信息的完整和可靠。網(wǎng)絡(luò)系統(tǒng)的每一個環(huán)節(jié)都可能造成

43、安全與可靠性問題。</p><p>　　3.2醫(yī)院網(wǎng)絡(luò)規(guī)劃拓撲</p><p>　　醫(yī)院的網(wǎng)絡(luò)規(guī)劃如圖3.1示。</p><p>　　圖3.1 醫(yī)院網(wǎng)絡(luò)拓撲圖</p><p><b>　　3.2.1結(jié)構(gòu)設(shè)計</b></p><p>　　通過路由器將整個醫(yī)院接入Internet，其接入方式為10M的

44、專用光纖方式，同時為了隔離各用戶群，將整個網(wǎng)絡(luò)劃分為5個VLAN，辦公用戶、科研實驗用戶、綜合住院用戶、門診用戶、服務器區(qū)分別處于這五個VLAN中。</p><p>　　網(wǎng)絡(luò)設(shè)備選型及配置數(shù)量：</p><p>　　網(wǎng)絡(luò)規(guī)劃設(shè)計時，使用產(chǎn)品制造商提供的自立合理選擇LAN和WAN的硬件設(shè)備也是關(guān)鍵性的一步。</p><p>　　莒南人民醫(yī)院網(wǎng)絡(luò)規(guī)劃采用的是星型拓撲結(jié)構(gòu)

45、，網(wǎng)絡(luò)總體分為三個層次，即核心層、匯聚層、接入層。</p><p><b>　　核心層</b></p><p>　　核心層包括由核心交換機、路由器、網(wǎng)絡(luò)服務器等部分組成，主要功能是提供地理上遠程站點之間的廣域網(wǎng)連接。核心層作為莒南人民醫(yī)院的基本信息平臺，通過CISCO 2620XM路由器接入Interent，核心交換機選擇為Cisco WS-C4510R，直接連接路由

46、器，提供網(wǎng)絡(luò)信息的核心交換，網(wǎng)絡(luò)服務器連接在核心交換機上，以提供高速的網(wǎng)絡(luò)信息服務。</p><p>　　1．CISCO 2620XM路由器</p><p>　　CISCO 2620XM5路由器是有思科公司提供的一種主要的集成多業(yè)務路由器，為客戶提供高性能的IP服務、平臺高擴展性和可靠性。CISCO 2620XM 采用了并行快速轉(zhuǎn)發(fā)技術(shù)，它采用全硬件冗余、在線接入和拔除及無縫路由等先進技術(shù)

47、，除此之外還具有以下特征：</p><p>　　1)高密度廣域網(wǎng)和撥號連接</p><p>　　2)中密度到高密度局域網(wǎng)連接</p><p>　　3)數(shù)據(jù)上的中密度語音</p><p><b>　　4)具有閃存能力</b></p><p>　　2．Cisco WS-C4510R三層核心交換機<

48、;/p><p>　　思科新推出的Cisco WS-C4510R系列交換機是一個創(chuàng)新的產(chǎn)品系列，它結(jié)合業(yè)界領(lǐng)先的易用性和最高的冗余性，里程碑地提升了堆疊式交換機在局域網(wǎng)中的工作效率。支持在內(nèi)部建立虛擬工作組，提供流量管理和第二層交換功能，同時具有先進的網(wǎng)絡(luò)管理功能。 這個新的產(chǎn)品系列采用了最新的思科StackWise技術(shù)，不但實現(xiàn)高達32Gbps的堆疊互聯(lián)，還從物理上到邏輯上使若干獨立交換機在堆疊時集成在一起，便于用戶

49、建立一個統(tǒng)一、高度靈活的交換系統(tǒng)--就好像是一整臺交換機一樣。這代表了堆疊式交換機新的工業(yè)技術(shù)水平和標準。</p><p>　　基于以上原因，我采用了Cisco WS-C4510R 作為莒南人民醫(yī)院網(wǎng)絡(luò)的三層核心交換機。</p><p><b>　　1）匯聚層</b></p><p>　　各子網(wǎng)絡(luò)的流量的匯聚采用思科公司的Cisco Catal

50、yst2950交換，上行速度為100Mbps接入中心交換機Cisco Catalyst3750，Cisco Catalyst2950是24口10M/100Mbps自適應以太端口且?guī)?個千兆端口的交換機，體系結(jié)構(gòu)采用了一個10Gbps和轉(zhuǎn)發(fā)速率每秒750萬個信息包的交換結(jié)構(gòu)。</p><p><b>　　2）接入層</b></p><p>　　接入層通常是一個LAN或一

51、組LAN，所以我們所以討論的的網(wǎng)絡(luò)設(shè)計中，接入層通常由以太網(wǎng)組成。接入層為用戶提供接入訪問服務。</p><p>　　接入層采用思科公司的Cisco Catalyst2600交換機，該類型交換機具有24端口，快速10M/100M自適應的能力為網(wǎng)絡(luò)提供很好的兼容性以及交換能力。</p><p>　　3.2.2 VLAN劃分</p><p>　　隨著網(wǎng)絡(luò)硬件性能的不斷提

52、高，成本不斷降低，目前新建的局域網(wǎng)基本上都采用了性能先進的快速以太網(wǎng)技術(shù)，其核心交換機采用三層交換機，能很好地支持VLAN（虛禮局域網(wǎng)），所謂VLAN是局域網(wǎng)上的一組設(shè)備，經(jīng)配置（用管理軟件）后它們可以加同連接在同一 線路上那樣通信，而它們實際上位于不同的局域網(wǎng)段，它和用戶的物理位置沒有關(guān)系。實驗VLAN技術(shù)的局域網(wǎng)的管理方便、可靠性高、安全性強，同時由于采用虛擬技術(shù)，可以防止廣播風暴，提高網(wǎng)絡(luò)性能。使用VLAN具有以下優(yōu)點：</

53、p><p>　　1）增加了網(wǎng)絡(luò)連接的靈活性及降低管理成本。</p><p>　　2）有效控制網(wǎng)絡(luò)中的廣播。</p><p>　　3）增強網(wǎng)絡(luò)的安全性。</p><p><b>　　4）控制通信活動。</b></p><p>　　對于交換式快速以太網(wǎng)，如果要對某些用戶重新進行網(wǎng)絡(luò)分段，需要網(wǎng)絡(luò)管理員對網(wǎng)

54、絡(luò)系統(tǒng)的物理結(jié)構(gòu)進行調(diào)整，甚至要追加網(wǎng)絡(luò)設(shè)備，增大網(wǎng)絡(luò)管理的工作量。而對于采用VLAN技術(shù)的網(wǎng)絡(luò)來說，一個VLAN可以根據(jù)部門職能、對象組或具體應用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個邏輯網(wǎng)段，在不改變網(wǎng)絡(luò)物理連接的情況下，可以任意地將工作站在工作組或子網(wǎng)間移動。利用VLAN技術(shù)大大減少了網(wǎng)絡(luò)管理的負擔，降低了網(wǎng)絡(luò)維護費用。</p><p>　　根據(jù)我們前面的分析，根據(jù)莒南人民醫(yī)院的具體情況，可具體劃分如下：<

55、;/p><p><b>　　1．服務器區(qū)：</b></p><p>　　1）包括Web、FTP、Email等服務器。</p><p>　　2）VLAN名稱：VLAN10</p><p><b>　　2．行政辦公區(qū)</b></p><p>　　1）包括6層樓中各辦公室的電腦<

56、/p><p>　　2）VLAN名稱：VLAN20</p><p><b>　　3．綜合醫(yī)療大樓</b></p><p>　　1）包括4層診室中的電腦。</p><p>　　2）VLAN名稱：VLAN30</p><p><b>　　4．綜合住院樓</b></p>&

57、lt;p>　　1）包括10層共10臺</p><p>　　2）VLAN名稱：VLAN40</p><p><b>　　5．物資供應大樓</b></p><p>　　1）VLAN名稱：VLAN50</p><p><b>　　6．康復大樓</b></p><p>　　1）

58、VLAN名稱：VLAN60</p><p>　　莒南人民醫(yī)院VLAN劃分如表3.2所示。</p><p>　　表3.2 醫(yī)院vlan劃分</p><p><b>　　3.3 IP地址</b></p><p>　　3.3.1 IP地址設(shè)計規(guī)則</p><p>　　IP地址規(guī)劃的好壞不僅影響網(wǎng)絡(luò)路由

59、協(xié)議算法的效率、網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)擴展，還直接影響應用的進一步發(fā)展。關(guān)于IP地址規(guī)劃應遵循以下原則：</p><p>　　1）IP地址的唯一性</p><p>　　即IP地址是區(qū)分網(wǎng)絡(luò)主機的唯一標識，同一個網(wǎng)絡(luò)中不能有相同的IP地址，否則就不會有可靠的路由選擇方式把包發(fā)送到指定的目標地址。</p><p>　　2）IP地址規(guī)劃的簡單性</p>&

60、lt;p>　　IP地址的規(guī)劃應本著簡單的原則，避免在網(wǎng)絡(luò)主干采用復雜的網(wǎng)絡(luò)掩碼形式。</p><p>　　3）IP地址規(guī)劃的層次性</p><p>　　IP地址在規(guī)劃時，應考慮到網(wǎng)絡(luò)中的子網(wǎng)，以及子網(wǎng)中計算機的數(shù)量，這樣才能確定IP地址的類型和子網(wǎng)掩碼。</p><p>　　4）IP地址的連續(xù)性。</p><p>　　5）IP地址規(guī)劃的

61、可擴展性</p><p>　　6）IP地址規(guī)劃的靈活性</p><p><b>　　7）網(wǎng)絡(luò)的安全性</b></p><p>　　8）IP地址根據(jù)需要采用靜態(tài)或動態(tài)分配</p><p>　　3.3.2 IP地址劃分</p><p>　　根據(jù)以上原則，結(jié)合莒南人民醫(yī)院的實際情況，IP地址規(guī)劃如下：&

62、lt;/p><p>　　1）服務器區(qū)IP地址規(guī)劃</p><p>　　作用：用于給各個服務器分配IP地址。</p><p>　　范圍：192.168.0.1-192.168.4.254</p><p>　　掩碼：255.255.255.0</p><p><b>　　2）辦公區(qū)</b></p&g

63、t;<p>　　作用：用于給各個辦公室電腦分配IP地址。</p><p>　　范圍：192.168.2.1-192.168.2.200</p><p>　　掩碼：255.255.255.0</p><p><b>　　3）綜合門診區(qū)</b></p><p>　　作用：用于給各個多媒體教室電腦分配IP地址。&

64、lt;/p><p>　　范圍：192.168.2.1-192.168.2.100</p><p>　　掩碼：255.255.255.0</p><p><b>　　4）科研實驗區(qū)</b></p><p>　　作用：用于給各個實驗室電腦分配IP地址。</p><p>　　范圍：192.168.3.1-1

65、92.168.3.254</p><p>　　掩碼：255.255.255.0</p><p><b>　　5）綜合住院區(qū)</b></p><p>　　作用：用于給教師電腦分配IP地址。</p><p>　　范圍：192.168.4.1-192.168.4.254</p><p>　　掩碼：255

66、.255.255.0</p><p>　　IP地址規(guī)劃如表3.3所示</p><p>　　表3.3 IP地址劃分</p><p>　　3.4網(wǎng)絡(luò)的簡要配置</p><p>　　1．路由器的簡要配置</p><p>　　將路由器的Console端口利用Console線與計算機串口相連，打開計算機啟動超級終端，并為連接取

67、一個名字Cisco-user，接著選定連接的相關(guān)參數(shù)，速度設(shè)為9600bps，數(shù)據(jù)位為8，奇偶校驗為無，停止位為1，數(shù)據(jù)流控為無。打開路由器電源，則進行路由器的初始化界面。關(guān)鍵設(shè)置如下：</p><p>　　1）輸入路由器的名字</p><p>　　Enter host name[Router]:Router-user</p><p>　　2）配置連接到交換機的路由

68、器接口的IP選項</p><p>　　Router-user#config t</p><p>　　Router-user(config)#interface fastethernet 0/0</p><p>　　Router-user（config-if）#ip address 192.168.0.254 255.255.255.0</p><

69、p><b>　　3）配置路由協(xié)議</b></p><p>　　Router-user(config)#router rip</p><p>　　Router-user(config-router)#network 192.168.0.254 255.255.0.0</p><p>　　Router-user(config-router)#

70、network 172.18.1.254 255.255.255.0</p><p>　　4）設(shè)置IP路由器功能開放</p><p>　　Router-user(config)#ip routing </p><p>　　5）設(shè)置NAT，做動態(tài)地址轉(zhuǎn)換</p><p>　　Router-user(config)#ip nat pool my

71、natpool 172.1.1.1 netmask 255.255.255.0</p><p>　　2．核心交換機的簡要配置</p><p>　　將Cisco Catalyst3750交換機的Console口專用連接線與計算機串口連接。然后啟動交換機，設(shè)置好PC的超級終端。其關(guān)鍵設(shè)置如下：</p><p>　　1）行政為辦公區(qū)、醫(yī)療綜合大樓區(qū)、綜合住院區(qū)、體檢康復大

72、樓區(qū)、物資供應大樓及其他區(qū)、服務器區(qū)配置VLAN</p><p>　　Switch>configure t</p><p>　　Switch>#hostname Ciscohq</p><p>　　Ciscohq(vlan)#vlan database</p><p>　　Ciscohq(vlan)#vtp domain hq&l

73、t;/p><p>　　Ciscohq(vlan)#vlan 2 name vlan10</p><p>　　Ciscohq(vlan)#vlan 3 name vlan20</p><p>　　Ciscohq(vlan)#vlan 4 name vlan30</p><p>　　Ciscohq(vlan)#vlan 5 name vlan40&l

74、t;/p><p>　　Ciscohq(vlan)#vlan 6 name vlan50</p><p>　　Ciscohq(vlan)#vlan 7name vlan60</p><p>　　2）為Catalyst3750交換機所劃發(fā)的VLAN設(shè)置IP地址</p><p>　　Ciscohq#conf t</p><p>

75、　　Ciscohq(config)#interface vlan 2</p><p>　　Ciscohq(config-if)#ip address 192.168.0.11255.255.255.0 //服務器區(qū)</p><p>　　Ciscohq(config-if)#no shut</p><p>　　Ciscohq(config-if)#exit</p

76、><p>　　Ciscohq(config)#interface vlan 3</p><p>　　Ciscohq(config-if)#ip address 192.168.0.2 255.255.255.0 //行政辦公區(qū)</p><p>　　Ciscohq(config-if)#no shut</p><p>　　Ciscohq(confi

77、g-if)#exit</p><p>　　Ciscohq(config)#interface vlan 4</p><p>　　Ciscohq(config-if)#ip address 192.168.1.1 255.255.255.0 //醫(yī)療綜合大樓</p><p>　　Ciscohq(config-if)#no shut</p><p&g

78、t;　　Ciscohq(config-if)#exit</p><p>　　Ciscohq(config)#interface vlan 5</p><p>　　Ciscohq(config-if)#ip address 192.168.2.1 255.255.255.0 //體檢康復大樓</p><p>　　Ciscohq(config-if)#no shut&l

79、t;/p><p>　　Ciscohq(config-if)#exit</p><p>　　Ciscohq(config)#interface vlan 6</p><p>　　Ciscohq(config-if)#ip address 192.168.3.1 255.255.255.0 //綜合住院區(qū)</p><p>　　Ciscohq(conf

80、ig-if)#no shut</p><p>　　Ciscohq(config-if)#exit </p><p>　　Ciscohq(config)#interface vlan 7</p><p>　　Ciscohq(config-if)#ip address 192.168.4.1 255.255.255.0 //物資供應大樓</p><p

81、>　　Ciscohq(config-if)#no shut</p><p>　　Ciscohq(config-if)#exit </p><p><b>　　3.5網(wǎng)絡(luò)安全設(shè)計</b></p><p>　　由于計算機網(wǎng)絡(luò)系統(tǒng)的迅猛發(fā)展，網(wǎng)絡(luò)安全已經(jīng)成為網(wǎng)絡(luò)發(fā)展中的一個重要課題。國際標準化組織（ISO）對計算機系統(tǒng)安全的定義是：為數(shù)據(jù)處理系

82、統(tǒng)建立和采用的技術(shù)和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露[8]。由此可以將計算機網(wǎng)絡(luò)的安全理解為：通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。所以，建立網(wǎng)絡(luò)安全保護措施的目的是確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會發(fā)生增加、修改、丟失和泄露等。網(wǎng)絡(luò)安全包括五個基本要素：機密性、完整性、可用性、可控性、與可審查性。 </p><p&g

83、t;　　由于計算機系統(tǒng)本身就存在著種種安全性問題，互聯(lián)網(wǎng)的安全問題就更為復雜，網(wǎng)絡(luò)的安全威脅主要包括在以下幾個方面。</p><p>　　1）非授權(quán)訪問：沒有預先經(jīng)過同意，就使用網(wǎng)絡(luò)或計算機資源則被看作非授權(quán)訪問，如有意避開系統(tǒng)訪問控制機制，對網(wǎng)絡(luò)設(shè)備資源進行非正常使用，或擅自擴大權(quán)限，越權(quán)訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網(wǎng)絡(luò)系統(tǒng)進行違法操作、合法用戶以未授權(quán)方式進行操作。</p

84、><p>　　2）信息泄漏或丟失:指敏感數(shù)據(jù)在有意或無意中被除數(shù)泄漏出去或丟失，它通常包括：信息在傳輸中丟失或泄漏、信息在存儲介質(zhì)中丟失 或泄漏以及通過建立隱蔽隧道等竊取敏感信息等。如黑客利用電磁泄漏或搭線竊聽等方式可截獲機密信息，或通過對信息流向、流量、通信頻度和長度等參數(shù)的分析，推測出有用信息，如用戶口令、賬號等重要信息。</p><p>　　3）破壞數(shù)據(jù)完整性：以非法手段竊得對數(shù)據(jù)的使用

85、權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應：惡意添加，修改數(shù)據(jù)，以干擾用戶的正常使用。</p><p>　　4）拒絕服務攻擊：它不斷對網(wǎng)絡(luò)服務系統(tǒng)進行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入計算機網(wǎng)絡(luò)系統(tǒng)或不能得到相應的服務。</p><p>　　5）利用網(wǎng)絡(luò)傳播病毒：通過網(wǎng)絡(luò)傳播計算機病毒，其

86、破壞性大大高于單機系統(tǒng)，而且用戶很難防范。</p><p>　　6）混合威脅是新型的安全攻擊，主要表現(xiàn)為一種病毒與黑客程序想結(jié)合的新型蠕蟲病毒，可以借助多種用途和路徑潛入企業(yè)、政府、銀行、軍隊等的網(wǎng)絡(luò)?；旌贤{的出現(xiàn)說明病毒編寫者正在利用大量的系統(tǒng)漏洞將病毒傳播的速度最大化。</p><p><b>　　網(wǎng)絡(luò)安全設(shè)計原則</b></p><p>

87、;　　雖然說越安全的網(wǎng)絡(luò)，信息的傳輸效率越差，也沒有絕對安全的網(wǎng)絡(luò)。但是如果在網(wǎng)絡(luò)設(shè)計之初就能遵守些合理的原則，那么這樣設(shè)計好的網(wǎng)絡(luò)的安全和信息的保密就會有所保障。從網(wǎng)絡(luò)工程的技術(shù)出發(fā)，我們應該遵從以下原則：</p><p>　　1．網(wǎng)絡(luò)安全系統(tǒng)的整體性原則</p><p>　　強調(diào)安全防護、監(jiān)測和應急恢復。要求在網(wǎng)絡(luò)系統(tǒng)發(fā)生被攻擊的情況下，必須盡可能快地恢復網(wǎng)絡(luò)信息中心的服務，減少損失。

88、所以網(wǎng)絡(luò)安全系統(tǒng)應該包括三種機制：安全防護機制、安全監(jiān)測、安全恢復機制。安全防護機制是根據(jù)具體系統(tǒng)存在的各種安全漏洞和安全威脅采取的相應防護措施，避免非法攻擊的進行；安全監(jiān)測機制系統(tǒng)的運行情況，及時發(fā)現(xiàn)和制止系統(tǒng)進行的各種攻擊；安全恢復機制是在安全防護機制失效的情況下，進行應急處理和盡量及時地恢復信息，減少攻擊的破壞程度。</p><p>　　2．網(wǎng)絡(luò)安全系統(tǒng)的有效性與實用性原則</p><p

89、>　　網(wǎng)絡(luò)安全應以不能影響系統(tǒng)的正常運行和合法用戶的操作活動為前提。網(wǎng)絡(luò)中的信息安全和信息利用是一對矛盾：一方面，為健全和彌補系統(tǒng)缺陷的漏洞，會采取多種技術(shù)手段和管理措施；另一方面，勢必給系統(tǒng)的運行和用戶的使用造成負擔和麻煩，“越安全請注意味著使用越不方便”。尤其在網(wǎng)絡(luò)環(huán)境下，實時性要求很高的業(yè)務不能允許安全連接和安全處理造成的時延和數(shù)據(jù)擴張。如何在確保安全性的基礎(chǔ)上，把安全處理的運算減小或分攤，減少用戶的記憶、存儲工作和安全服務

90、器的存儲量、計算量，是一個待解決的問題。</p><p><b>　　3．等級性原則</b></p><p>　　良好的網(wǎng)絡(luò)安全系統(tǒng)必然是分為不同級別的包括對信息保密程度分級（絕密、機密、秘密、普密）；對用戶操作權(quán)分級（面向個人及面向群組），對網(wǎng)絡(luò)安全程度分級（安全子網(wǎng)和安全區(qū)域），對系統(tǒng)實現(xiàn)結(jié)構(gòu)的分級（應用層、網(wǎng)絡(luò)層、鏈路層等），從而針對不同級別的安全對象，提供全天

91、候算法和安全體制，以滿足網(wǎng)絡(luò)中不同層次的各種實際需求[9]。</p><p>　　4．網(wǎng)絡(luò)安全有價原則</p><p>　　網(wǎng)絡(luò)系統(tǒng)的設(shè)計是受經(jīng)費限制的。因此在考慮安全問題解決方案時必須考慮性能價格的平衡，而且不同的網(wǎng)絡(luò)系統(tǒng)所要求的安全側(cè)重點各不相同。例如國家政府首腦機關(guān)、國際部門計算機網(wǎng)絡(luò)安全側(cè)重存取控制強度。金融部門側(cè)重于身份論證、審計、網(wǎng)絡(luò)容錯等功能。交通、民航側(cè)重于網(wǎng)絡(luò)容錯等。國此

92、必須有的放矢，具體問題全體分析，把有限的經(jīng)費用在關(guān)鍵領(lǐng)域。</p><p>　　然而Internet是一個共享的公共資源，因此不能保證數(shù)據(jù)在兩點之間傳遞時，不會被她人竊取。[10]因此需要對網(wǎng)絡(luò)信息安全進行設(shè)計。</p><p>　　1）確定面臨的各種攻擊和風險</p><p>　　網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計和實現(xiàn)必須根據(jù)具體系統(tǒng)和環(huán)境，考察、分析、評估、檢測（包括模擬攻擊

93、）和確定系統(tǒng)存在的安全漏洞和安全威脅。</p><p><b>　　2）明確安全策略</b></p><p>　　安全策略是網(wǎng)絡(luò)安全系統(tǒng)設(shè)計的目標和原則，是對應用系統(tǒng)完整的安全解決方案。安全策略要綜合以下幾方面優(yōu)化確定：</p><p>　　1) 系統(tǒng)整體安全性，由應用環(huán)境和用戶需求決定，包括各個安全機制的子系統(tǒng)的安全目標和性能指標；</

94、p><p>　　2) 對原系統(tǒng)的運行造成的負荷和影響（如網(wǎng)絡(luò)通信時延、數(shù)據(jù)擴展等）；</p><p>　　3) 便于網(wǎng)絡(luò)管理人員進行控制、管理和配置；</p><p>　　4) 可擴展的編程接口，便于更新和升級；</p><p>　　5) 用戶界面的友好性和使用方便性；</p><p>　　6) 投資總額和工程時間等<

95、;/p><p>　　通過以上分析，結(jié)合醫(yī)院實際情況CISCO PIX525防火墻適用于企業(yè)和服務提供商，尺寸是2RU,處理器是600M hz,RAM是128256MB,FLASH是16MB。它支持8個10/100M bit/s 快速以太網(wǎng)和千兆以太網(wǎng)接口，具有370M bit/s 的測試吞吐量，能夠處理280000個并發(fā)會話。分別在網(wǎng)絡(luò)的制定位置安裝CheckPoint FireWall－1的防火墻模塊、狀態(tài)檢測模塊

96、、VPN模塊。并通過以下指令主要指令達到安全目的</p><p>　　deny tcp any any eq 27665 </p><p>　　#Tribal Flood Network,Trinoo</p><p>　　#Tribe Flood Network與trinoo一樣，使用一個master程序與位于多個網(wǎng)絡(luò)上的攻擊代理進行通訊。TFN可以并行發(fā)動數(shù)不

97、勝數(shù)的DoS攻擊，類型多種多樣，而且還可建立帶有偽裝源IP地址的信息包?？梢杂蒚FN發(fā)動的攻擊包括：UDP沖擊、TCP SYN沖擊、ICMP回音請求沖擊以及 ICMP 廣播。TFN2K是TFN的一個更高級的版本。</p><p>　　deny tcp any any eq 16660</p><p>　　#Stacheldraht (DDoS)</p><p>　

98、　deny tcp any any eq 65000</p><p>　　#Devil, DDoS</p><p>　　deny tcp any any eq 33270</p><p>　　#新的分布式拒絕服務工具Trinity v3</p><p>　　deny tcp any any eq 9996</p><

99、p><b>　　／／蠕蟲</b></p><p>　　deny tcp any any eq 3332</p><p><b>　?。鹗幉ㄇ宄?lt;/b></p><p>　　deny tcp any any eq 1068</p><p><b>　?。鹗幉?lt;/b&

100、gt;</p><p><b>　　第四章 結(jié)論</b></p><p>　　4.1高穩(wěn)定的網(wǎng)絡(luò)架構(gòu)</p><p>　　在這樣的架構(gòu)下，任何一臺核心設(shè)備和骨干鏈路出現(xiàn)故障，都不會影響網(wǎng)絡(luò)的正常運行?？梢源_保醫(yī)院業(yè)務7*24小時安全可靠。充分保障骨干設(shè)備在醫(yī)院復雜應用環(huán)境下的進行大流量處理的穩(wěn)定性。</p><p>　

101、　硬件CPP提供對骨干設(shè)備CPU的保護功能，確保醫(yī)院網(wǎng)絡(luò)系統(tǒng)在掃描、DOS攻擊等病毒攻擊情況下，骨干設(shè)備仍然能夠正常運行，提供強大的病毒防護能力，充分提升骨干網(wǎng)絡(luò)的穩(wěn)定性。確保骨干設(shè)備在網(wǎng)絡(luò)流量異常或流量攻擊環(huán)境下設(shè)備的多層面防護，提升骨干網(wǎng)絡(luò)系統(tǒng)的高可靠性。</p><p>　　一個網(wǎng)絡(luò)穩(wěn)定與否，與其所用的設(shè)備的穩(wěn)定與否有直接關(guān)系。如果一個設(shè)備都不夠穩(wěn)定，那么網(wǎng)絡(luò)也就無穩(wěn)定可言。</p><

102、p>　　4.2 獨立的服務器區(qū)域</p><p>　　考慮到服務器區(qū)域的重要性，把服務器區(qū)域單獨隔離，構(gòu)建數(shù)據(jù)中心。確保核心和服務器區(qū)域的穩(wěn)定與安全。這種設(shè)計方式有以下好處：1、可以確保核心設(shè)備的性能；2、可以確保核心設(shè)備有更多的擴展性；3、可以在服務器區(qū)域單獨部署策略，確保服務器區(qū)域的安全。</p><p>　　4.3全面的系統(tǒng)安全</p><p>　　本方

103、案提供了豐富、全面的系統(tǒng)安全設(shè)計。整個方案考慮了用戶層面、設(shè)備、數(shù)據(jù)和管理的各個層面的安全需求，并進行了整體安全的設(shè)計。</p><p>　　設(shè)備方面，采用的各個層次的設(shè)備都支持了對自身負責層面的安全功能，從接入層、匯聚層到核心層，都進行了安全方面的考慮和設(shè)計；如接入層面提供的VLAN保護接入層面數(shù)據(jù)和用戶的安全。防ARP功能和常見的蠕蟲、沖擊波等病毒的防范。</p><p>　　數(shù)據(jù)層面

104、，對數(shù)據(jù)在各個系統(tǒng)層面的傳輸都考慮的安全方面的設(shè)計。</p><p><b>　　參考文獻</b></p><p>　　[1] 段水福,段煉,張元睿.計算機網(wǎng)絡(luò)規(guī)劃與設(shè)計[M].杭州:浙江大學出版社,2005-06:26.</p><p>　　[2] 王達.網(wǎng)管員必讀——網(wǎng)絡(luò)應用[M].北京:電子工業(yè)出版社,2004-09:17-18.<

105、/p><p>　　[3] 李剛榮.國內(nèi)外數(shù)字化醫(yī)院建設(shè)現(xiàn)狀與發(fā)展趨勢[J].重慶醫(yī)學,2009年7月第38卷第13期.</p><p>　　[4] 李卓玲.網(wǎng)絡(luò)安全技術(shù)[M].西安:西安電子科技大學,2011-07-01:50-53.</p><p>　　[5] 銀石動力.實戰(zhàn)局域網(wǎng)架設(shè)[M].北京:北京郵電出版社,2005-01-01:45.</p>&

106、lt;p>　　[6] 胡道元.計算機網(wǎng)絡(luò)[M].北京:清華大學出版社,2005-03:25.</p><p>　　[7] 雷震甲.網(wǎng)絡(luò)工程師教程[M].北京:清華大學出版社,2009-06:60-62.</p><p>　　[8] 蔡苗土.我院醫(yī)院信息系統(tǒng)的現(xiàn)狀和今后發(fā)展方向[J].醫(yī)療裝備,2002年第7期.</p><p>　　[9] 許懷湘.美國區(qū)域衛(wèi)生

107、信息組織的發(fā)展和啟示[J].電子政務,2008-08:119.</p><p>　　[10] 李展,刑博特.防火墻與VPN原理與實踐[M].清華大學出版社,2008-12:231.</p><p><b>　　謝 辭</b></p><p>　　在幾個月的學習生活和課題研究過程中，本人始終得到指導老師：xx老師的親切關(guān)懷和精心指導，該老師嚴謹

108、的治學風范、勤奮的工作精神、事實求是的科研作風一直激勵著我克服學習和研究中的重重困難，使我比較順利地完成了學習任務和課題研究。</p><p>　　在論文的完成過程中從課題的研究、論文的選題、章節(jié)的安排到論文的多次修改和審閱都得到了xx老師的精心指導。在此論文完成之際，謹向x老師表示我深深的謝意。在設(shè)計過程中，我還得到不少同學的大力幫助和不吝賜教，感謝他們?yōu)槲业脑O(shè)計所做的辛苦工作，和提出了大量寶貴的意見。另外，感