信息網(wǎng)絡(luò)與網(wǎng)絡(luò)安全方案
發(fā)布時(shí)間:2020-07-25 來源: 演講稿 點(diǎn)擊:
3.2、信息網(wǎng)絡(luò)與網(wǎng)絡(luò)安全 3.2.1xxxxx 醫(yī)院需求分析及設(shè)計(jì)原則 目前,xxxxx 醫(yī)院要求在新建的網(wǎng)絡(luò)上應(yīng)用醫(yī)院的 HIS、pacs 等系統(tǒng),很多傳統(tǒng)業(yè)務(wù)都逐漸遷移到網(wǎng)絡(luò)上,對(duì)網(wǎng)絡(luò)的性能、安全和穩(wěn)定提出了很高的要求,主要體現(xiàn)在以下幾個(gè)方面:
1)可靠迅速的響應(yīng)以提供更好的醫(yī)療服務(wù) 由于 xxxxx 醫(yī)院每天都保持幾千人的門診量, HIS 系統(tǒng)每天對(duì)后臺(tái)數(shù)據(jù)庫的調(diào)用非常頻繁,會(huì)產(chǎn)生比較大的數(shù)據(jù)流量,如果這種訪問流量出了問題而導(dǎo)致無法正常進(jìn)行收費(fèi)和醫(yī)療診斷,會(huì)產(chǎn)生嚴(yán)重的社會(huì)后果,因此醫(yī)院對(duì)網(wǎng)絡(luò)的訪問性能有很高的要求。
2)安全的業(yè)務(wù)數(shù)據(jù)保證醫(yī)院正常對(duì)外服務(wù) 在醫(yī)院的業(yè)務(wù)系統(tǒng)中保存著大量患者的健康信息和過程費(fèi)用信息,這些數(shù)據(jù)無論對(duì)患者還是醫(yī)院都非常關(guān)鍵,需要嚴(yán)格保密,因此如何保護(hù)這些數(shù)據(jù),對(duì)醫(yī)院有著重大的意義。
3)高效的管理推動(dòng)系統(tǒng)的穩(wěn)定,提高維護(hù)的效果 如何管好整個(gè)醫(yī)院的業(yè)務(wù)系統(tǒng),包括用戶、服務(wù)器、數(shù)據(jù)庫、存儲(chǔ)設(shè)備和網(wǎng)絡(luò)等,提高醫(yī)院管理效率,保證醫(yī)院網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)已經(jīng)成為醫(yī)院急需解決的大問題。
4)醫(yī)院數(shù)據(jù)的安全存儲(chǔ) 醫(yī)院需要存儲(chǔ)包括病人信息、病案信息、費(fèi)用信息和影像等數(shù)據(jù),對(duì)數(shù)據(jù)存儲(chǔ)的安全性和擴(kuò)展性要求非常高。
5)區(qū)域醫(yī)療的建設(shè) 為了在區(qū)域范圍內(nèi)實(shí)現(xiàn)遠(yuǎn)程會(huì)診、網(wǎng)上學(xué)術(shù)研討等業(yè)務(wù),迫切需要醫(yī)院之間的資源共享。
3.2.1.1醫(yī)院網(wǎng)絡(luò)建設(shè)總體需求 xxxxx 醫(yī)院核心網(wǎng)絡(luò)系統(tǒng)用于開展日常醫(yī)療業(yè)務(wù)(HIS、LIS、PACS、財(cái)務(wù)、體檢系統(tǒng)等)的內(nèi)部局域網(wǎng),系統(tǒng)應(yīng)穩(wěn)定、實(shí)用和安全,具有高寬帶、大容量和高速率等特點(diǎn),并具備將來擴(kuò)容和帶寬升級(jí)的條件;提供合理、流暢的醫(yī)院網(wǎng)絡(luò)安全管理軟件平臺(tái)。建設(shè)完成后的系統(tǒng)滿足 xxxxx 醫(yī)院的運(yùn)行要求,并且三到五年內(nèi)技術(shù)不落后。
? 網(wǎng)絡(luò)設(shè)計(jì)要求:
1、實(shí)現(xiàn)骨干萬兆,桌面 1000M 接入的網(wǎng)絡(luò)結(jié)構(gòu)。
2、骨干設(shè)備具有高性能、高可靠特性,關(guān)鍵部件需要冗余配置。
3、配備的網(wǎng)管軟件應(yīng)提供可視的形象化的圖形界面,對(duì)整個(gè)網(wǎng)絡(luò)中網(wǎng)絡(luò)產(chǎn)品的全部設(shè)備和端口進(jìn)行監(jiān)視和管理。
4、交換機(jī)互連采用鏈路冗余連接。
5、由于醫(yī)療行業(yè)的特殊性,醫(yī)護(hù)人員和病患者之間需要頻繁地在院內(nèi)移動(dòng)、同時(shí)處理大量的信息,要求網(wǎng)絡(luò)具備可移動(dòng)性、傳輸速率高等特點(diǎn)。同時(shí)考慮到醫(yī)院業(yè)務(wù)量的增加,網(wǎng)絡(luò)需要留出足夠余地?cái)U(kuò)容而不影響醫(yī)院正常的工作。
3.2.1.2內(nèi)網(wǎng)需求 內(nèi)網(wǎng)是醫(yī)院核心網(wǎng)絡(luò)系統(tǒng),用于開展日常醫(yī)療業(yè)務(wù)(HIS、LIS、PACS、財(cái)務(wù)、體檢系統(tǒng)等)的內(nèi)部局域網(wǎng),系統(tǒng)應(yīng)穩(wěn)定、實(shí)用和安全,具有高寬帶、大容量和高速率等特點(diǎn),并具備將來擴(kuò)容和帶寬升級(jí)的條件。
? 網(wǎng)絡(luò)設(shè)計(jì)要求:
1、實(shí)現(xiàn)萬兆主干,千兆接入到桌面; 2、配備的網(wǎng)管軟件應(yīng)提供可視的形象化的圖形界面,對(duì)整個(gè)網(wǎng)絡(luò)中網(wǎng)絡(luò)產(chǎn)品的全部端口進(jìn)行監(jiān)視和管理;
3、交換機(jī)互連采用多條鏈路捆綁,防止鏈路瓶頸,并提供鏈路冗余。
4、部分設(shè)備節(jié)點(diǎn)實(shí)現(xiàn)熱備、冗余,保證業(yè)務(wù)正常運(yùn)行。
由于醫(yī)療行業(yè)的特殊性,醫(yī)護(hù)人員和病患者之間需要頻繁地在院內(nèi)移動(dòng)、同時(shí)處理大量的信息,要求網(wǎng)絡(luò)具備可移動(dòng)性、傳輸速率高等特點(diǎn)。同時(shí)考慮到醫(yī)院業(yè)務(wù)量的增加,網(wǎng)絡(luò)需要留出足夠余地?cái)U(kuò)容而不影響醫(yī)院正常的工作。
? 網(wǎng)絡(luò)應(yīng)用設(shè)計(jì)要求:
1、院內(nèi)核心網(wǎng)絡(luò)系統(tǒng) HIS、PACS 和 LIS、體檢系統(tǒng)等應(yīng)用分別單獨(dú)組網(wǎng)。以子網(wǎng)的形式組成醫(yī)院的整體網(wǎng)絡(luò)。各網(wǎng)絡(luò)功能獨(dú)立應(yīng)用,信息互通,資源共享;當(dāng)任何一個(gè)子網(wǎng)出現(xiàn)故障,都不會(huì)影響到其他子網(wǎng)的使用。
2、住院病區(qū)考慮到無線查房的需要,需要部署無線網(wǎng)絡(luò)。
3、醫(yī)院網(wǎng)絡(luò)邊界部署安全防御設(shè)備。
3、傳輸動(dòng)態(tài)圖像的部門有:放射影像科、PET/CT、核磁共振 MRI、介入放射科 DSA、B 超室、心超室、腦超室、心電圖室、肌電圖室、胃腸鏡室、內(nèi)窺鏡室、重癥監(jiān)護(hù)室(ICU、CCU 等)、手術(shù)室、麻醉科、視頻示教室和會(huì)議室等。
4、醫(yī)保(包括省醫(yī)保、市醫(yī)保、區(qū)醫(yī)保以及市公費(fèi)醫(yī)療)是專線接入。須配置醫(yī)院內(nèi)網(wǎng)與專線網(wǎng)的接口。
5、為了更好地服務(wù)于醫(yī)療科研工作,需要將各類監(jiān)護(hù)治療儀器上的各項(xiàng)生命體征等信息以數(shù)字化手段采集并且保存下來,在需要時(shí),可隨時(shí)還原。因此,須考慮將醫(yī)院所有的監(jiān)護(hù)儀器和大型設(shè)備都聯(lián)網(wǎng)。
3.2.1.3外網(wǎng)需求 外網(wǎng)原則上是指除醫(yī)院內(nèi)網(wǎng)之外的所有網(wǎng)絡(luò)系統(tǒng),包括 INTERNET、銀聯(lián)系統(tǒng)、醫(yī)院圖書館知識(shí)管理平臺(tái)、和市衛(wèi)生局聯(lián)網(wǎng)的應(yīng)急系統(tǒng)、辦公自動(dòng)化系統(tǒng)、電視監(jiān)控信號(hào)傳輸、BA、安防監(jiān)控、視頻會(huì)議系統(tǒng)、公共區(qū)域無線上網(wǎng)等。
1、應(yīng)急系統(tǒng)也是衛(wèi)生局專線接入,通過外網(wǎng)接口和院內(nèi)視頻會(huì)議系統(tǒng)連接。
2、銀聯(lián)系統(tǒng)是用各 POS 機(jī)終端通過外網(wǎng)接口與原銀聯(lián)系統(tǒng)連接。
3、Internet 網(wǎng)提供遠(yuǎn)程醫(yī)療、遠(yuǎn)程教育、局辦公自動(dòng)化服務(wù)、醫(yī)療設(shè)備遠(yuǎn)程維護(hù)等。
4、醫(yī)院內(nèi)部職工文獻(xiàn)檢索及知識(shí)管理平臺(tái)集中在電子圖書館,但須在所有辦公場(chǎng)所、住院樓病房、宿舍等地方預(yù)留 Internet 網(wǎng)接口。
6、院內(nèi)電視監(jiān)控系統(tǒng)采集的信號(hào)需要從醫(yī)院外網(wǎng)系統(tǒng)上傳輸,需預(yù)留外網(wǎng)接口。
7、可以實(shí)現(xiàn)手術(shù)示教。
3.2.1.4網(wǎng)絡(luò)安全需求 為了應(yīng)對(duì)現(xiàn)在層出不窮的網(wǎng)絡(luò)安全問題,在設(shè)計(jì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的過程中要充分考慮到利用防火墻等設(shè)備以及殺毒軟件的配合使用,解決醫(yī)院目前現(xiàn)有系統(tǒng)及新建系統(tǒng)的網(wǎng)絡(luò)安全問題;疽龅剑汗收吓懦、災(zāi)難恢復(fù)、查找攻擊源、實(shí)時(shí)檢索日志文件、即時(shí)查殺病毒、即時(shí)網(wǎng)絡(luò)監(jiān)控等。
1、故障排除:要求做到一旦網(wǎng)絡(luò)出現(xiàn)異常,如無法訪問網(wǎng)絡(luò),網(wǎng)絡(luò)訪問異常等,要能提供及時(shí)、有效的服務(wù),在短的時(shí)間內(nèi)恢復(fù)網(wǎng)絡(luò)應(yīng)用。
2、災(zāi)難恢復(fù):要求做到設(shè)備遇到物理損害網(wǎng)絡(luò)應(yīng)用異常時(shí)通過備品備件,快速恢復(fù)網(wǎng)絡(luò)硬件環(huán)境;通過備份文件的復(fù)原,盡快恢復(fù)網(wǎng)絡(luò)的電子資源;在最短的時(shí)間內(nèi)恢復(fù)整個(gè)網(wǎng)絡(luò)應(yīng)用。
3、查找攻擊源:要求做到發(fā)現(xiàn)網(wǎng)絡(luò)遭到攻擊,需要通過日志文件等信息,確定攻擊的來源,為進(jìn)一步采取措施提供依據(jù)。
4、實(shí)時(shí)檢索日志文件:要求做到能實(shí)時(shí)查看當(dāng)時(shí)存在的針對(duì)本網(wǎng)絡(luò)的攻擊并查找出攻擊源。如果攻擊強(qiáng)度超出網(wǎng)絡(luò)能夠承受的范圍,可采取進(jìn)一步措施進(jìn)行防范。
5、即時(shí)查殺病毒:要求做到網(wǎng)絡(luò)中出現(xiàn)病毒,通過及時(shí)有效的技術(shù)支持,在最短的
時(shí)間內(nèi)查處感染病毒的主機(jī)并即時(shí)查殺病毒,恢復(fù)網(wǎng)絡(luò)應(yīng)用。
6、即時(shí)網(wǎng)絡(luò)監(jiān)控:要求通過網(wǎng)絡(luò)監(jiān)控,盡可能發(fā)現(xiàn)網(wǎng)絡(luò)中存在的前期網(wǎng)絡(luò)故障,在故障擴(kuò)大化以前及時(shí)進(jìn)行防治。
3.2.1.5網(wǎng)絡(luò)設(shè)計(jì)原則 基于xxxxx醫(yī)院目前網(wǎng)絡(luò)現(xiàn)狀和未來業(yè)務(wù)發(fā)展的要求,在xxxxx醫(yī)院網(wǎng)絡(luò)設(shè)計(jì)構(gòu)建中,應(yīng)始終堅(jiān)持以下建網(wǎng)原則:
1、實(shí)用性:整個(gè)網(wǎng)絡(luò)系統(tǒng)具有較高的實(shí)用性; 2、時(shí)效性:網(wǎng)絡(luò)應(yīng)保證各類業(yè)務(wù)數(shù)據(jù)流的及時(shí)傳輸,網(wǎng)絡(luò)時(shí)效性要強(qiáng),網(wǎng)絡(luò)延時(shí)要小,確保業(yè)務(wù)的實(shí)時(shí)高效; 3、可靠性:網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證,在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品,合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu),制訂可靠的網(wǎng)絡(luò)備份策略,保證網(wǎng)絡(luò)具有故障自愈的能力,最大限度地支持醫(yī)院各業(yè)務(wù)系統(tǒng)的正常運(yùn)行。必須滿足 7×24×365 小時(shí)連續(xù)運(yùn)行的要求。在故障發(fā)生時(shí),網(wǎng)絡(luò)設(shè)備可以快速自動(dòng)地切換到備份設(shè)備上; 4、完整性:網(wǎng)絡(luò)系統(tǒng)應(yīng)實(shí)現(xiàn)端到端的、能整合數(shù)據(jù)、語音和圖像的多業(yè)務(wù)應(yīng)用,滿足全網(wǎng)范圍統(tǒng)一的實(shí)施安全策略、QoS 策略、流量管理策略和系統(tǒng)管理策略的完整的一體化網(wǎng)絡(luò); 5、技術(shù)先進(jìn)性和實(shí)用性--保證滿足醫(yī)院應(yīng)用系統(tǒng)業(yè)務(wù)的同時(shí),又要體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來,充分考慮到醫(yī)院網(wǎng)絡(luò)目前的現(xiàn)狀以及未來技術(shù)和業(yè)務(wù)發(fā)展趨勢(shì)。
6、高性能—醫(yī)院網(wǎng)絡(luò)性能是醫(yī)院整個(gè)網(wǎng)絡(luò)良好運(yùn)行的基礎(chǔ),設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力,保證各種信息(數(shù)據(jù)、語音、圖像)的高質(zhì)量傳輸,才能使網(wǎng)絡(luò)不成為一眼業(yè)務(wù)開展的瓶頸。
7、標(biāo)準(zhǔn)開放性--支持國際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議(如 IP)、國際標(biāo)準(zhǔn)的大型的動(dòng)態(tài)路由協(xié)議等開放協(xié)議,有利于以保證與其它網(wǎng)絡(luò)(如公共數(shù)據(jù)網(wǎng)、金融網(wǎng)絡(luò)、外聯(lián)機(jī)構(gòu)其它
網(wǎng)絡(luò))之間的平滑連接互通,以及將來網(wǎng)絡(luò)的擴(kuò)展。
8、靈活性及可擴(kuò)展性--根據(jù)未來業(yè)務(wù)的增長和變化,網(wǎng)絡(luò)可以平滑地?cái)U(kuò)充和升級(jí),減少最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。網(wǎng)絡(luò)要具有面向未來的良好的伸縮性能,既能滿足當(dāng)前的需求,又能支持未來業(yè)務(wù)網(wǎng)點(diǎn)、業(yè)務(wù)量、業(yè)務(wù)種類的擴(kuò)展和與其它機(jī)構(gòu)或部門的連接等對(duì)網(wǎng)絡(luò)的擴(kuò)充性要求。
9、可管理性--對(duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)、分權(quán)管理,并統(tǒng)一分配帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái),具有對(duì)設(shè)備、端口等的管理、流量統(tǒng)計(jì)分析功能以及可提供故障自動(dòng)報(bào)警。
10、安全性--制訂統(tǒng)一的骨干網(wǎng)安全策略,整體考慮網(wǎng)絡(luò)平臺(tái)的安全性。能有效防止網(wǎng)絡(luò)的非法訪問,保護(hù)關(guān)鍵數(shù)據(jù)不被非法竊取、篡改或泄漏,使數(shù)據(jù)具有極高的安全性; 11、保護(hù)現(xiàn)有投資--在保證網(wǎng)絡(luò)整體性能的前提下,充分利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備或做必要的升級(jí),用作骨干網(wǎng)外聯(lián)的接入設(shè)備,網(wǎng)絡(luò)的投資應(yīng)隨著網(wǎng)絡(luò)的伸縮能夠持續(xù)發(fā)揮作用,保護(hù)現(xiàn)有網(wǎng)絡(luò)的投資,充分發(fā)揮網(wǎng)絡(luò)投資的最大效益。
3.2.1.5.1核心層需求分析 xxxxx 醫(yī)院網(wǎng)絡(luò)核心設(shè)備擔(dān)負(fù)著連接接入層、服務(wù)器群和辦公大樓網(wǎng)絡(luò)的工作,通過核心設(shè)備的互聯(lián),形成一套完整的網(wǎng)絡(luò)。由于核心層設(shè)備擔(dān)負(fù)著整個(gè)網(wǎng)絡(luò)的流量,在網(wǎng)絡(luò)核心層的流量是非常巨大的,所有的服務(wù)器均在網(wǎng)絡(luò)的核心層提供相關(guān)的服務(wù)。對(duì)網(wǎng)絡(luò)核心層的壓力非常巨大。同時(shí)網(wǎng)絡(luò)對(duì)安全性、穩(wěn)定性的要求極高,由于網(wǎng)絡(luò)也基本是一個(gè)金字塔的形狀,那么最需要穩(wěn)定的就是金字塔的頂端,即網(wǎng)絡(luò)的核心層。
網(wǎng)絡(luò)核心層同時(shí)需要對(duì)網(wǎng)絡(luò)的接入層提供不同的網(wǎng)絡(luò)層的路由規(guī)劃和信息轉(zhuǎn)發(fā)的功能,同時(shí)還需要保證不同級(jí)別的網(wǎng)絡(luò) QoS,對(duì)于服務(wù)器的關(guān)鍵業(yè)務(wù)通過鏈路級(jí)和網(wǎng)絡(luò)級(jí)的協(xié)議實(shí)現(xiàn)嚴(yán)格的控制和優(yōu)先級(jí)的保證。對(duì)于網(wǎng)絡(luò)級(jí)的保護(hù)通常時(shí)間是非常長的,那么對(duì)一些關(guān)鍵業(yè)務(wù),我們就必須通過結(jié)合二層快速收斂的協(xié)議一起來完成對(duì)網(wǎng)絡(luò)安全性的提升和網(wǎng)絡(luò)的自愈能力。設(shè)備必須支持對(duì)不同部門的規(guī)劃,如實(shí)現(xiàn)全網(wǎng)統(tǒng)一 VLAN 的規(guī)劃等。對(duì)每個(gè)系統(tǒng)分配不同的 VLAN 并且針對(duì)不同 VLAN 實(shí)現(xiàn)不同的安全和控制的策
略等。
3.2.1.5.2接入層需求分析 網(wǎng)絡(luò)的接入是對(duì)用戶直接進(jìn)行數(shù)據(jù)透傳的層次,但是由于網(wǎng)絡(luò)的特殊性,本次的接入層主要是對(duì)一個(gè)局域網(wǎng)進(jìn)行接入。對(duì)接入層概念就有了更新的解釋。
對(duì)本次的接入層的主要需求的分析如下:
。1)、接入層用戶數(shù)量的大直接產(chǎn)生大量的數(shù)據(jù)報(bào)文,造成碰撞域和沖突域,使網(wǎng)絡(luò)瓶頸產(chǎn)生于網(wǎng)絡(luò)的低層,直接影響接入質(zhì)量。
(2)、接入層用戶數(shù)量大,而所應(yīng)用的數(shù)據(jù)種類繁多,多種網(wǎng)絡(luò)業(yè)務(wù)流量的產(chǎn)生,包括組播業(yè)務(wù)的產(chǎn)生,對(duì)所接入的網(wǎng)絡(luò)設(shè)備要求很高,使整個(gè)接入層產(chǎn)生了一個(gè)業(yè)務(wù)接入瓶頸。
(3)、網(wǎng)絡(luò)的訪問終結(jié)于共享數(shù)據(jù)的特定位置,因?yàn)榻尤雽佑脩粜枰ㄟ^網(wǎng)絡(luò)最終訪問位于網(wǎng)絡(luò)另一端的共享服務(wù)器,而多個(gè)用戶同時(shí)訪問遠(yuǎn)端的同一臺(tái)服務(wù)器或者存在訪問網(wǎng)絡(luò)的其他節(jié)點(diǎn)的服務(wù)器,就需要這幾個(gè)用戶爭搶網(wǎng)絡(luò)帶寬,使接入層瓶頸提升到核心層,造成核心層資源的浪費(fèi)。并且根據(jù)網(wǎng)絡(luò)流量的分析得出用戶的訪問方向是不規(guī)則的,網(wǎng)絡(luò)一定會(huì)出現(xiàn)閑置的帶寬的現(xiàn)象,如何規(guī)劃將非常重要。
。4)、網(wǎng)絡(luò)流量和網(wǎng)絡(luò)流向是寬帶網(wǎng)絡(luò)的一個(gè)新瓶頸。
對(duì)于寬帶網(wǎng)絡(luò)接入,接入層網(wǎng)絡(luò)的通常是以新 2/8 原則來劃分的,其中有 20%的流量是在接入層交換機(jī)的內(nèi)部進(jìn)行交換的,而 80%的網(wǎng)絡(luò)流量是通過上聯(lián)出口訪問其他的網(wǎng)絡(luò)設(shè)備。這里,就涉及到網(wǎng)絡(luò)產(chǎn)生流量后,網(wǎng)絡(luò)流向的問題,網(wǎng)絡(luò)流向直接造成網(wǎng)絡(luò)對(duì)于流量和流向所產(chǎn)生的網(wǎng)絡(luò)瓶頸。
。5)、網(wǎng)絡(luò)用戶是局域網(wǎng)用戶,實(shí)際接入的用戶就是一個(gè)網(wǎng)絡(luò),那么對(duì)于不同網(wǎng)絡(luò)之間的互訪的安全性控制更是由為重要,同時(shí)各個(gè)不同的機(jī)關(guān)對(duì)本機(jī)關(guān)內(nèi)部流通的部分文件是要求要有絕對(duì)的安全性的,對(duì)其他部門的用戶的訪問是分為很多的不同的級(jí)別的。
3.2.1.5.3鏈路層需求分析 對(duì)于 xxxxx 醫(yī)院這樣的網(wǎng)絡(luò)來說,各項(xiàng)業(yè)務(wù)的需求,對(duì)于網(wǎng)絡(luò)的穩(wěn)定性的需求就不言而喻。網(wǎng)絡(luò)核心層的采用星型的設(shè)計(jì)思路,通過以太網(wǎng)的方式同樣需要保證毫秒級(jí)的鏈路保護(hù)功能。對(duì)于鏈路級(jí)的保護(hù)能夠?qū)崿F(xiàn)對(duì)一些基本的鏈路進(jìn)行備份起到冗余的特性,以便保證在某個(gè)物理鏈路斷掉的時(shí)候還能保證用戶的數(shù)據(jù)的傳輸功能,同時(shí)能夠針對(duì)用戶的關(guān)鍵的鏈路放置一條專有的鏈路實(shí)現(xiàn)備份功能,保證關(guān)鍵業(yè)務(wù)的不間斷的連接。
通過針對(duì)網(wǎng)絡(luò)級(jí)的保護(hù)需要針對(duì)不同的網(wǎng)絡(luò)設(shè)備采用不同的網(wǎng)絡(luò)級(jí)的保護(hù)協(xié)議來實(shí)現(xiàn),針對(duì)整體的網(wǎng)絡(luò)架構(gòu)提供保護(hù),將網(wǎng)絡(luò)的穩(wěn)定性和安全性提供更高的安全性。對(duì)于網(wǎng)絡(luò)級(jí)的保護(hù)主要是通過網(wǎng)絡(luò)的協(xié)議來實(shí)現(xiàn)的。并且網(wǎng)絡(luò)的冗余技術(shù)有很多不同的實(shí)現(xiàn)方式,對(duì)于網(wǎng)絡(luò)核心層的影響也不盡相同。
同時(shí)網(wǎng)絡(luò)的穩(wěn)定結(jié)構(gòu)同樣也需要網(wǎng)絡(luò)設(shè)備自身的穩(wěn)定性和自身的冗余的特性來保證,例如實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備電源的冗余、網(wǎng)絡(luò)控制板的冗余、無源背板、業(yè)務(wù)板件熱拔插等。這樣可以讓設(shè)備出現(xiàn)問題的時(shí)候不至于會(huì)造成網(wǎng)絡(luò)設(shè)備的癱瘓,可以通過在線更換背板、更換電源以及更換主控網(wǎng)板等方式來實(shí)現(xiàn)業(yè)務(wù)的不中斷運(yùn)行。同時(shí)可以通過網(wǎng)絡(luò)主控板件和業(yè)務(wù)板件的業(yè)務(wù)熱切換功能實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備不停機(jī)。
3.2.1.6醫(yī)院業(yè)務(wù)應(yīng)用分析 3.2.1.6.1醫(yī)院業(yè)務(wù)劃分 醫(yī)院的業(yè)務(wù)系統(tǒng)有很多,而且不同的?漆t(yī)院業(yè)務(wù)系統(tǒng)也有很大區(qū)別,但以下一些業(yè)務(wù)系統(tǒng)是醫(yī)院都具有的:
? 門診系統(tǒng) ? 住院系統(tǒng) ? 體檢系統(tǒng) ? PACS 系統(tǒng) ? 醫(yī)院管理經(jīng)濟(jì)系統(tǒng) ? 區(qū)域醫(yī)療系統(tǒng)
3.2.1.6.2應(yīng)用系統(tǒng)分類 醫(yī)院信息系統(tǒng)主要分成以下兩類:
? 醫(yī)院管理系統(tǒng) ? 門、急診掛號(hào)子系統(tǒng) ? 門、急診病人管理及計(jì)價(jià)收費(fèi)子系統(tǒng) ? 住院病人管理子系統(tǒng) ? 藥庫、藥房管理子系統(tǒng) ? 病案管理子系統(tǒng) ? 醫(yī)療統(tǒng)計(jì)子系統(tǒng) ? 人事、工資管理子系統(tǒng) ? 財(cái)務(wù)管理與醫(yī)院經(jīng)濟(jì)核算子系統(tǒng) ? 醫(yī)院后勤物資供應(yīng)子系統(tǒng) ? 固定資產(chǎn)、醫(yī)療設(shè)備管理子系統(tǒng) ? 院長辦公綜合查詢與輔助決策支持系統(tǒng) ? 臨床醫(yī)療信息系統(tǒng) ? 住院病人醫(yī)囑處理子系統(tǒng) ? 護(hù)理信息系統(tǒng) ? 門診醫(yī)生工作站系統(tǒng) ? 臨床實(shí)驗(yàn)室檢查報(bào)告子系統(tǒng) ? 醫(yī)學(xué)影像診斷報(bào)告處理系統(tǒng) ? 放射科信息管理系統(tǒng) ? 手術(shù)室管理子系統(tǒng) ? 功能檢查科室信息管理子系統(tǒng) ? 病理卡片管理及病理科信息系統(tǒng) ? 血庫管理子系統(tǒng) ? 營養(yǎng)與膳食計(jì)劃管理子系統(tǒng) ? 臨床用藥咨詢與控制子系統(tǒng)
3.2.1.6.3醫(yī)院業(yè)務(wù)系統(tǒng)的需求 1 )門診系統(tǒng) 門診業(yè)務(wù)作為醫(yī)院直接面對(duì)患者的窗口具有非常重要的地位和自己的特點(diǎn)(包括焦急的病人無法忍受長時(shí)間的等待、門診業(yè)務(wù)主要集中在上午等),門診業(yè)務(wù)具有可靠性高、并發(fā)性、實(shí)時(shí)性和突發(fā)性強(qiáng)等特點(diǎn)。因此門診業(yè)務(wù)對(duì)網(wǎng)絡(luò)提出了高可靠性、高帶寬和 QoS的要求。
2 )住院系統(tǒng) 住院業(yè)務(wù)是醫(yī)院的另一個(gè)主要組成部分,是醫(yī)院經(jīng)濟(jì)收入的主要來源,同時(shí)還直接關(guān)系到重病患者的生命安全,具有以下幾個(gè)特點(diǎn):
住院業(yè)務(wù)的網(wǎng)絡(luò)上流動(dòng)著重癥病人生命數(shù)據(jù)和各種新業(yè)務(wù)數(shù)據(jù); 住院業(yè)務(wù)保存有患者病案數(shù)據(jù)和住院費(fèi)用數(shù)據(jù); 醫(yī)生移動(dòng)查房; 病人呼叫系統(tǒng); 網(wǎng)上視頻監(jiān)控系統(tǒng); 針對(duì)住院業(yè)務(wù)的以上特點(diǎn),住院業(yè)務(wù)對(duì)網(wǎng)絡(luò)提出了高可靠性、安全存儲(chǔ)、QoS 和無線局域網(wǎng)、VoIP 和視頻會(huì)議系統(tǒng)的需求。
3 )體檢系統(tǒng) 現(xiàn)在很多醫(yī)院建立專門的體檢大樓,以滿足民眾不斷擴(kuò)大的體檢需求。從業(yè)務(wù)角度上講體檢系統(tǒng)非常簡單,它對(duì)網(wǎng)絡(luò)的需求主要體現(xiàn)在安全性上,如何保護(hù)體檢服務(wù)器上體檢人員數(shù)據(jù)安全和體檢大樓網(wǎng)絡(luò)安全是醫(yī)院體檢系統(tǒng)解決方案所關(guān)注的。
4 )PACS 系統(tǒng)
醫(yī)院的 PACS 系統(tǒng)主要是完成對(duì)患者的各種影像數(shù)據(jù)進(jìn)行采集、存儲(chǔ)、傳輸和處理,并在全院范圍內(nèi)進(jìn)行共享,由于是各種圖形圖像數(shù)據(jù),因此具有存儲(chǔ)量大的特點(diǎn),為了更好的服務(wù)于醫(yī)院業(yè)務(wù),PACS 業(yè)務(wù)對(duì)支撐系統(tǒng)提出以下要求:存儲(chǔ)量大、擴(kuò)展性強(qiáng)、數(shù)據(jù)快速存儲(chǔ)、數(shù)據(jù)容災(zāi)、高帶寬 5 )管理經(jīng)濟(jì)系統(tǒng) 醫(yī)院管理經(jīng)濟(jì)系統(tǒng)主要是人、財(cái)、物的管理,包括人事、財(cái)務(wù)管理、藥品藥庫管理等,因此它最大的需求是數(shù)據(jù)在服務(wù)器端和網(wǎng)絡(luò)上的安全,保證這些數(shù)據(jù)不會(huì)泄露。
6 )區(qū)域醫(yī)療系統(tǒng) 一方面為了發(fā)揮中心醫(yī)院的輻射和覆蓋作用,另一方面充分利用各家醫(yī)院的特色科室的力量,區(qū)域醫(yī)療把這些資源進(jìn)行共享和整合,這需要穩(wěn)定的廣域網(wǎng)連接。
根據(jù)初步的需求,我們按照內(nèi)外網(wǎng)分離的原則,建成后的南擴(kuò)大樓的新機(jī)房將成為以后醫(yī)院的核心,原有機(jī)房成為備份冗余機(jī)房。
3.2.2xxxxx 醫(yī)院網(wǎng)絡(luò)規(guī)劃設(shè)計(jì) 3.2.2.1網(wǎng)絡(luò)總體設(shè)計(jì) 設(shè)計(jì)全新的基于純 IP 技術(shù)的網(wǎng)絡(luò)平臺(tái)來滿足 xxxxx 醫(yī)院新區(qū)網(wǎng)絡(luò)的需求變化。面向網(wǎng)絡(luò)資源的有效、高效利用,從網(wǎng)絡(luò)架構(gòu)方面提供優(yōu)化方案,使得核心網(wǎng)、接入網(wǎng)具有更高的可靠性和可控性,同時(shí)使得網(wǎng)絡(luò)結(jié)構(gòu)與布局在結(jié)合實(shí)際業(yè)務(wù)分布的前提下更加合理。數(shù)字園區(qū)的發(fā)展必然離不開兩個(gè)方向,其一是安全性,其二是移動(dòng)性。這是 IP 通信技術(shù)發(fā)展的方向,滿足這個(gè)發(fā)展,首要前提就是讓網(wǎng)絡(luò)平臺(tái)能夠具備相關(guān)技術(shù)支撐能力,不論是對(duì)信息網(wǎng)絡(luò)的優(yōu)化還是對(duì)業(yè)務(wù)的橫向拓展,都是基于網(wǎng)絡(luò)本身是安全有序的,需要從縱向三個(gè)維度對(duì)所有影響網(wǎng)絡(luò)安全的隱患、非法行為進(jìn)行滲透防御與控制。
在網(wǎng)絡(luò)整體設(shè)計(jì)中,采用分層、模塊化的網(wǎng)絡(luò)設(shè)計(jì)結(jié)構(gòu),并嚴(yán)格定義各層功能模型,不同層次關(guān)注不同的特性配置,將網(wǎng)絡(luò)的可靠性、安全性、先進(jìn)性、易維護(hù)性、可擴(kuò)展
性發(fā)揮到最好,從而最終實(shí)現(xiàn)建設(shè)完善和先進(jìn)的數(shù)字化醫(yī)院為目的。xxxxx 醫(yī)院采用分層網(wǎng)絡(luò)設(shè)計(jì)模型,將網(wǎng)絡(luò)分為以下幾個(gè)層次:
? 核心層——核心層網(wǎng)絡(luò)屬于高速主干網(wǎng)絡(luò),其職責(zé)是以最快的速度交換數(shù)據(jù)包,對(duì)網(wǎng)絡(luò)的連通性至關(guān)重要,需要提供高等級(jí)的可用性,并快速適應(yīng)網(wǎng)絡(luò)變動(dòng)。
? 接入層——用戶通過接入層可以訪問網(wǎng)絡(luò)設(shè)備。在園區(qū)網(wǎng)中,工作站與服務(wù)器之間通過接入層網(wǎng)絡(luò)來共享或交換傳輸介質(zhì)/設(shè)備端口;在 WAN 環(huán)境中,用戶站點(diǎn)可以利用 WAN 技術(shù),通過接入層網(wǎng)絡(luò)訪問醫(yī)院資源。
當(dāng)流量通過層次化結(jié)構(gòu)中的收斂點(diǎn),沿著接入層--核心層傳輸時(shí),流量數(shù)量及其相關(guān)的帶寬要求都隨之增加。層次化設(shè)計(jì)每一層的功能都很分明,無需全部網(wǎng)絡(luò)節(jié)點(diǎn)互聯(lián)的全網(wǎng)狀網(wǎng)絡(luò)。
層次化網(wǎng)絡(luò)模式由兩個(gè)有效的轉(zhuǎn)發(fā)核心節(jié)點(diǎn)組成,當(dāng)一個(gè)節(jié)點(diǎn)發(fā)生故障時(shí),另一節(jié)點(diǎn)可以提供足夠的帶寬和容量來為整個(gè)網(wǎng)絡(luò)服務(wù)。
3.2.2. 2內(nèi)網(wǎng)規(guī)劃設(shè)計(jì) 內(nèi)網(wǎng)是整個(gè)醫(yī)院的核心網(wǎng)絡(luò),開展醫(yī)院日常重要的醫(yī)療業(yè)務(wù),對(duì)網(wǎng)絡(luò)的可靠性、穩(wěn)定性要求非常高,本次設(shè)計(jì)的網(wǎng)絡(luò)按照萬兆交換平臺(tái)、萬兆骨干網(wǎng)絡(luò)、千兆到桌面設(shè)計(jì),內(nèi)網(wǎng)核心交換機(jī)雙機(jī)冗余、負(fù)載分擔(dān),并將安全設(shè)備以及無線控制器以插卡形式部署在核心交換機(jī)上,實(shí)現(xiàn)網(wǎng)絡(luò)安全一體化。
在接入層千兆逐漸延伸到桌面已經(jīng)成為最迫切的需要之一,在諸如醫(yī)療行業(yè)的會(huì)診、醫(yī)療影像、醫(yī)療科研協(xié)作等,應(yīng)用在消耗大量帶寬的同時(shí),也在追求終端用戶的滿意度,基于銅纜的千兆以太網(wǎng)可以將更多的應(yīng)用從低速鏈路中解放出來,并且為醫(yī)務(wù)工作者創(chuàng)新提供了一個(gè)嶄新高效能工作平臺(tái)。
在終端 PC 上部署 EAD 端點(diǎn)準(zhǔn)入防御解決方案,從網(wǎng)絡(luò)源頭切斷病毒攻擊的來源,大大提升了醫(yī)院的安全管理水平。
醫(yī)院網(wǎng)絡(luò)同時(shí)承載多種業(yè)務(wù),所有交易業(yè)務(wù)都要經(jīng)過核心交換機(jī)處理,建議核心交換機(jī)以萬兆核心交換機(jī)為業(yè)務(wù)系統(tǒng)核心交換機(jī),滿足大容量、高性能、高可靠、高安全及
網(wǎng)絡(luò)擴(kuò)展的要求。核心交換機(jī)與接入交換機(jī)之間的鏈路雙歸屬形成冗余連接,2 條物理鏈路間可以實(shí)現(xiàn)互為備份。2 臺(tái)核心之間使用 10GE 高速鏈路互聯(lián),之間運(yùn)行 IRF2,兩臺(tái)可虛擬為一臺(tái)設(shè)備,增加帶寬,提高網(wǎng)絡(luò)可用率,實(shí)現(xiàn)網(wǎng)絡(luò)高可靠性。保障核心節(jié)點(diǎn)的高可靠性。數(shù)據(jù)大集中后整個(gè)系統(tǒng)將承載多個(gè)業(yè)務(wù)系統(tǒng),不同的業(yè)務(wù)對(duì)網(wǎng)絡(luò)的帶寬、時(shí)延等要求也不同,這就要求核心交換設(shè)備業(yè)務(wù)與性能并重。
系列交換機(jī)產(chǎn)品是杭州華三通信技術(shù)有限公司面向下一代園區(qū)網(wǎng)核心和城域網(wǎng)匯聚和數(shù)據(jù)中心業(yè)務(wù)匯聚而專門設(shè)計(jì)開發(fā)的核心交換產(chǎn)品。采用先進(jìn)的 CLOS 多級(jí)多平面交換架構(gòu),可以提供持續(xù)的帶寬升級(jí)能力,支持 40GE 和 100GE 以太網(wǎng)標(biāo)準(zhǔn),從而為用戶提供有保障的業(yè)務(wù)特性的同時(shí)保障數(shù)據(jù)報(bào)文的線速轉(zhuǎn)發(fā)。
在網(wǎng)絡(luò)出口,配置一臺(tái)防火墻,如果省醫(yī)保、市醫(yī)保需要通過防火墻接入醫(yī)院的內(nèi)網(wǎng),根據(jù)以上規(guī)劃設(shè)計(jì),內(nèi)網(wǎng)拓?fù)淙缦拢?/p>
3.2.2. 3外網(wǎng)規(guī)劃設(shè)計(jì) 由于外網(wǎng)主要用于醫(yī)院 OA 辦公、圖書館信息查詢、樓內(nèi)視頻監(jiān)控、視頻會(huì)議,外網(wǎng)相對(duì)于內(nèi)網(wǎng)來說可靠性要求相對(duì)級(jí)別次低一級(jí),對(duì)帶寬的要求也比較高。外網(wǎng)建議采用二層網(wǎng)絡(luò)架構(gòu):
在接入層,選用千兆二層交換機(jī),系統(tǒng)采用創(chuàng)新的 IRF 技術(shù),在安全可靠、多業(yè)務(wù)融合、易管理和維護(hù)等方面為用戶提供全新的技術(shù)特性和解決方案,是理想接入交換機(jī)。
在核心層,選用作為外網(wǎng)的核心交換機(jī),作為高端多業(yè)務(wù)路由交換機(jī),融合了 MPLS、IPv6、網(wǎng)絡(luò)安全、無線、無源光網(wǎng)絡(luò)等多種業(yè)務(wù),提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種高可靠技術(shù),在提高用戶生產(chǎn)效率的同時(shí),保證了網(wǎng)絡(luò)最大正常運(yùn)行時(shí)間,從而降低了客戶的總擁有成本(TCO)。
防火墻集成防火墻、VPN、內(nèi)容過濾和 NAT 地址轉(zhuǎn)換等功能,提升了網(wǎng)絡(luò)設(shè)備的安全業(yè)務(wù)能力,為用戶提供全面的安全防護(hù)。能提供外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、URL 過濾、應(yīng)用層過濾等功能,有效的保證網(wǎng)絡(luò)的安全。采用 ASPF(Application Specific Packet Filter)應(yīng)用狀態(tài)檢測(cè)技術(shù)。提供郵件告警、攻擊日志、流日志和網(wǎng)絡(luò)管理監(jiān)控等功能,協(xié)助用戶進(jìn)行網(wǎng)絡(luò)管理。根據(jù)以上規(guī)劃設(shè)計(jì),外網(wǎng)拓?fù)淙缦拢?/p>
3.2.2. 4網(wǎng)絡(luò)安全設(shè)計(jì) 參與了大量網(wǎng)絡(luò)安全建設(shè)實(shí)踐后認(rèn)為:除了在信息傳輸流程中實(shí)施安全解決方案之外,還需要進(jìn)行全局安全管理,這種管理涉及到網(wǎng)絡(luò)上的設(shè)備、使用者以及業(yè)務(wù),只有對(duì)這 3 者實(shí)現(xiàn)閉環(huán)管理,才能對(duì)網(wǎng)絡(luò)安全狀況了如指掌。因此,xxxxx 醫(yī)院建設(shè)一個(gè)“全局安全管理平臺(tái)”是必要的。
以往,在總臺(tái)的網(wǎng)絡(luò)安全管理中遇到的問題包括:
? 對(duì)實(shí)時(shí)安全信息不了解,無法及時(shí)發(fā)出預(yù)警報(bào)告。
? 各種安全設(shè)備是孤立的,無法相互關(guān)聯(lián),信息共享。
? 安全事件發(fā)生以后,無法及時(shí)診斷網(wǎng)絡(luò)故障的原因,恢復(fù)困難。
? 網(wǎng)絡(luò)安全專家匱乏,沒有足夠的人員去監(jiān)控、分析、解決問題。
根據(jù)在醫(yī)院網(wǎng)絡(luò)的經(jīng)驗(yàn)得出,醫(yī)院網(wǎng)絡(luò)安全十分重要,所以一定要從開始就對(duì)醫(yī)院網(wǎng)絡(luò)做周全、完善的防護(hù)措施。
安全統(tǒng)一管理中心 心 為了保證部署的硬件設(shè)備和安全軟件能夠統(tǒng)一的為網(wǎng)絡(luò)安全服務(wù),必須要求對(duì)全網(wǎng)設(shè)備,包括主機(jī)和數(shù)據(jù)交互設(shè)備進(jìn)行統(tǒng)一的日志收集和日志分析。這樣就要求必須在網(wǎng)絡(luò)當(dāng)中部署安全管理中心來完成統(tǒng)一的策略規(guī)劃和分析。
收集& & 分析數(shù)據(jù) 知識(shí)SyslogNetStream二進(jìn)制日志W(wǎng)MI 、 APIH3C SecCenter從分布式系統(tǒng)中集中收集、監(jiān)控& & 分析數(shù)據(jù),并把原始數(shù)據(jù)轉(zhuǎn)換為安全有效信息。安全事件網(wǎng)絡(luò)事件系統(tǒng)事件應(yīng)用事件Netflow網(wǎng)絡(luò)安全本質(zhì)上是管理問題。主要功能可管理近 100 家 主流廠家的安全與網(wǎng)絡(luò)產(chǎn)品1000+ 種 報(bào)表的自動(dòng)或手工生成流量與攻擊的實(shí)時(shí)監(jiān)控海量事件關(guān)聯(lián)和威脅分析安全審計(jì)分析與追蹤溯源主要功能可管理近 100 家 主流廠家的安全與網(wǎng)絡(luò)產(chǎn)品1000+ 種 報(bào)表的自動(dòng)或手工生成流量與攻擊的實(shí)時(shí)監(jiān)控海量事件關(guān)聯(lián)和威脅分析安全審計(jì)分析與追蹤溯源 安全管理中心并不是一個(gè)威脅抵御的直接發(fā)起者,而是一個(gè)系統(tǒng)規(guī)劃的首腦。所以要求安全管理中心可以提供以下功能:
旁路部署模式,不影響正常業(yè)務(wù)和造成瓶頸; 具有廣泛的日志采集功能,要求可以對(duì)網(wǎng)絡(luò)當(dāng)中的所有設(shè)備(防火墻、IPS、交換機(jī)、路由器、PC、Server 等)進(jìn)行日志分析; ? 采用先進(jìn)的關(guān)聯(lián)算法,能夠?qū)θ罩緮?shù)據(jù)按照不同的關(guān)聯(lián)組合進(jìn)行分析; ? 對(duì)安全威脅的實(shí)時(shí)監(jiān)控功能; ? 對(duì)網(wǎng)絡(luò)流量的實(shí)時(shí)監(jiān)控功能;
? 可支持多家廠商的設(shè)備日志采集; ? 提供拓?fù)浒l(fā)現(xiàn)功能,并能夠準(zhǔn)確迅速的根據(jù)日志定為網(wǎng)絡(luò)故障; ? 對(duì)網(wǎng)絡(luò)故障提供多種迅速的告警機(jī)制; ? 具有完善的安全審計(jì)功能; ? 對(duì)歷史數(shù)據(jù)進(jìn)行壓縮并可提供高效的查詢機(jī)制; ? 根據(jù)需要提供多種報(bào)表; ? 根據(jù)需求可分步實(shí)施的靈活部署方式; 根據(jù)以上需求,這里采用一臺(tái)安全管理中心作為整個(gè)網(wǎng)絡(luò)的安全管理中心,對(duì)全網(wǎng)設(shè)備進(jìn)行日志分析,幫助定制安全策略。僅僅需要路由可達(dá)即可完成上述功能,部署位置相對(duì)靈活,建議可以和網(wǎng)絡(luò)管理軟件服務(wù)器部署在一起,以方便硬件的管理。
醫(yī)院網(wǎng)絡(luò)內(nèi)網(wǎng)安全 統(tǒng)計(jì)表明,在所有的安全事件中,有超過 70%是發(fā)生在內(nèi)網(wǎng)上的,并且隨著網(wǎng)絡(luò)的龐大化和復(fù)雜化,這一比例仍有增長的趨勢(shì)。因此內(nèi)網(wǎng)安全一直是網(wǎng)絡(luò)安全建設(shè)關(guān)注的重點(diǎn),但是由于內(nèi)網(wǎng)以純二層交換環(huán)境為主、節(jié)點(diǎn)數(shù)量多、分布復(fù)雜、終端用戶安全應(yīng)用水平參差不齊等原因,一直以來也都是安全建設(shè)的難點(diǎn),這一點(diǎn)對(duì)于 xxxxx 醫(yī)院也是適合的。
內(nèi)網(wǎng)安全的重要性不言而喻,我們建議在 xxxxx 醫(yī)院所有的計(jì)算機(jī)上部署 EAD(端點(diǎn)防御客戶端),EAD 結(jié)合 IMC 智能管理中心平臺(tái)能完整的保護(hù)內(nèi)網(wǎng)安全,使訪問醫(yī)院各系統(tǒng)的用戶必須通過四道關(guān)卡:身份認(rèn)證,安全檢查,權(quán)限劃分,日志審計(jì)。也就是我們常說的“你是誰?你安全嗎?你可以做什么?,你做了什么?”。通過層層過濾保證訪問醫(yī)院個(gè)系統(tǒng)的用戶是合法,安全的,也保證了醫(yī)院的安全。
EAD 將防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動(dòng)的安全體系,通過對(duì) xxxxx 醫(yī)院網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控,使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御、變單點(diǎn)防御為全面防御、變分散管理為集中策略管理,提升了 xxxxx 醫(yī)院網(wǎng)絡(luò)對(duì)病毒、蠕蟲等新興安全威脅的整體防御能力。
EAD 通過安全客戶端、安全策略服務(wù)器、接入設(shè)備以及病毒庫服務(wù)器、補(bǔ)丁服務(wù)器的相互配合,可以將不符合 xxxxx 醫(yī)院網(wǎng)絡(luò)安全要求的終端限制在“隔離區(qū)” 內(nèi),防止“危險(xiǎn)”終端對(duì)網(wǎng)絡(luò)安全的損害,避免“易感”終端受病毒、蠕蟲的攻擊。其主要功能包括:
a) 檢查 ——檢查用戶終端的安全狀態(tài),配合不同方式的身份驗(yàn)證技術(shù)(802.1x、VPN、Portal 等),可以確保接入終端的合法與安全。
b) 隔離 ——隔離違規(guī)終端。不符合企業(yè)安全策略的終端,將被限制訪問權(quán)限,只能訪問“隔離區(qū)”內(nèi)的病毒庫/補(bǔ)丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源。
c) 修復(fù) ——與第三方服務(wù)器中的補(bǔ)丁服務(wù)器、病毒服務(wù)器等形成聯(lián)動(dòng)。強(qiáng)制終端安裝系統(tǒng)補(bǔ)丁、升級(jí)防病毒軟件,直到滿足安全策略要求。
d) 管理與監(jiān)控 ——EAD 提供了集接入策略、安全策略、服務(wù)策略、安全事件監(jiān)控于一體的用戶管理平臺(tái),可以幫助網(wǎng)絡(luò)管理員定制基于用戶身份的、個(gè)性化的網(wǎng)絡(luò)安全策略。同時(shí) EAD 可以通過安全策略服務(wù)器與安全客戶端的配合,強(qiáng)制實(shí)施終端安全配置(如是否實(shí)時(shí)檢查郵件、注冊(cè)表、是否限制代理、是否限制雙網(wǎng)卡等),監(jiān)控用戶終端的安全事件(如查殺病毒、修改安全設(shè)置等)。
EAD 除了上述功能保證內(nèi)網(wǎng)安全外,還可以對(duì)醫(yī)院計(jì)算機(jī)做管理和控制,比如 監(jiān)控的 計(jì)算機(jī)的 USB 接口、計(jì)算機(jī)黑白軟件控制等,完全滿足 xxxxx 醫(yī)院內(nèi)網(wǎng)安全要求。
3.2.3、xxxxx 醫(yī)院網(wǎng)絡(luò)管理-----智能管理中心 隨著網(wǎng)絡(luò)的發(fā)展,其作用已經(jīng)不僅是簡單的互連互通,通信、計(jì)算、應(yīng)用、存儲(chǔ)、監(jiān)控等各類業(yè)務(wù)應(yīng)用和網(wǎng)絡(luò)的融合,促使網(wǎng)絡(luò)成為承載企業(yè)核心業(yè)務(wù)的平臺(tái)。隨著網(wǎng)絡(luò)應(yīng)用越來越復(fù)雜,網(wǎng)絡(luò)安全控制、性能優(yōu)化、運(yùn)營管理等問題成為困擾客戶的難題,并直接決定了企業(yè)核心業(yè)務(wù)能否順利開展。在這種情況下,依靠單純的硬件數(shù)據(jù)交換已經(jīng)不能滿足用戶的需求,因此靈活的軟件控制和高速的硬件數(shù)據(jù)交換進(jìn)行有機(jī)融合的整體解決方案成為整個(gè)行業(yè)的發(fā)展趨勢(shì)。
為了系統(tǒng)地解決目前網(wǎng)絡(luò)安全控制、性能優(yōu)化、運(yùn)營管理中存在的問題,憑借對(duì) IT
應(yīng)用的深刻理解,推出了新一代的管理系統(tǒng):開放智能管理中樞( Intelligent Management Center,以下簡稱 iMC),作為 IToIP 整體解決方案的重要組成部分, iMC 采用面向服務(wù)架構(gòu)(SOA)的設(shè)計(jì)思想,融合并統(tǒng)一管理業(yè)務(wù)、資源和用戶這三大 IT 組成要素,通過按需裝配功能組件與相應(yīng)的硬件設(shè)備配合,形成直接面向客戶應(yīng)用需求的一系列整體解決方案,從而成為 IToIP 整體解決方案的開放智能管理中樞。
3.2.3.1面向安全控制、性能優(yōu)化和運(yùn)營管理的系列解決方案 網(wǎng)絡(luò)的安全控制、性能優(yōu)化和運(yùn)營管理是網(wǎng)絡(luò)應(yīng)用管理面臨的核心問題,除基本的網(wǎng)絡(luò)支撐管理外, iMC 通過軟件靈活的控制,與相應(yīng)的硬件設(shè)備配合,更為客戶提供了一系列的整體解決方案,成為客戶 IT 環(huán)境中的安全控制中心、性能優(yōu)化中心和運(yùn)營管理中心。
iMC 面向安全控制、性能優(yōu)化和運(yùn)營管理的系列解決方案 安全控制中心系列解決方案 ? 端點(diǎn)準(zhǔn)入解決方案(EAD)概述
iMC 端點(diǎn)準(zhǔn)入功能組件與業(yè)界主流交換機(jī)、路由器、VPN 設(shè)備、無線控制設(shè)備、專業(yè)網(wǎng)關(guān)等硬件進(jìn)行配合,實(shí)現(xiàn)了局域網(wǎng)、廣域網(wǎng)、VPN 和無線等多種接入終端安全準(zhǔn)入控制。
端點(diǎn)準(zhǔn)入解決方案(EAD)在身份接入基礎(chǔ)上,支持安全狀態(tài)評(píng)估、網(wǎng)絡(luò)安全威脅定位、安全事件感知及保護(hù)措施執(zhí)行等,預(yù)防因未打補(bǔ)丁、病毒泛濫、ARP 攻擊、異常流量、非法軟件安裝和運(yùn)行等因素可能帶來的安全威脅,并可根據(jù)終端的安全狀態(tài)實(shí)現(xiàn)終端VIP、Guest、隔離、下線等多種控制策略。從端點(diǎn)接入上保證每一個(gè)接入網(wǎng)絡(luò)的終端的安全,從而保證網(wǎng)絡(luò)安全。
? 安全聯(lián)動(dòng)解決方案(SCC) 概述 隨著安全威脅日益嚴(yán)重,企業(yè)對(duì)網(wǎng)絡(luò)安全防御體系的投入和復(fù)雜度都在不斷增加,彼此割裂的安全資源和海量的安全信息成為困擾網(wǎng)絡(luò)管理員的管理難題。
安全聯(lián)動(dòng)解決方案(SCC) 主要由事件管理中心設(shè)備( SecCenter)和響應(yīng)管理控制中心軟件( iMC)組成,事件管理中心主要完成對(duì)全網(wǎng)安全事件的采集、分析、關(guān)聯(lián)、匯聚、報(bào)表報(bào)告展示,響應(yīng)控制中心實(shí)現(xiàn)了安全事件與網(wǎng)管系統(tǒng)、用戶管理系統(tǒng)的結(jié)合,對(duì)需要響應(yīng)的重要事件可靈活進(jìn)行短信通知、Email 通知、交換機(jī)端口關(guān)閉、用戶下線、加入黑名單、在線提醒等響應(yīng)操作。
基礎(chǔ)管理支撐 ? 基礎(chǔ)網(wǎng)絡(luò)管理解決方案(NMS) 概述 基礎(chǔ)網(wǎng)絡(luò)管理解決方案(NMS),實(shí)現(xiàn)了全網(wǎng)資源的統(tǒng)一部署、管理和調(diào)配中心,支持的設(shè)備包括路由器、交換機(jī)、安全、無線、語音、存儲(chǔ)、服務(wù)器、PC、UPS 等類型,實(shí)現(xiàn)了故障、性能、拓?fù)洹⑴渲玫裙芾韮?nèi)容。
3.2.3.2系統(tǒng)安全管理 系統(tǒng)安全管理功能主要有包括:操作日志管理、操作員管理、分組分級(jí)與權(quán)限管理、操作員登錄管理等。
登錄安全策略 分組分級(jí)權(quán)限管理記錄所有操作系統(tǒng)管理員實(shí)時(shí)監(jiān)控在線操作員定期修改密碼 ? 操作員登錄管理 管理員通過制定登錄安全策略約束操作員的登錄鑒權(quán),實(shí)現(xiàn)操作員登錄的安全性,通過訪問控制模板約束操作員可以登錄的終端機(jī)器的 IP 地址范圍,避免惡意嘗試另人密碼進(jìn)行登錄的行為存在,通過密碼控制策略,約束操作員密碼組成要求,包括密碼長度、密碼復(fù)雜性要求、密碼有效期等,以約束操作員定期修改密碼,并對(duì)密碼復(fù)雜性按要求設(shè)置。
? 操作員密碼管理 管理員為操作員制定密碼控制策略,操作員僅能按照指定的策略定期修改密碼,以保證訪問 iMC 系統(tǒng)的安全性。
? 分組分級(jí)權(quán)限管理 管理員通過設(shè)備分組、用戶分組的設(shè)置,可以為操作員指定可以管理的指定設(shè)備分組和用戶分組,并指定其管理權(quán)限和角色,包括管理員、維護(hù)員和查看員,實(shí)現(xiàn)按角色、分權(quán)限、分資源(設(shè)備和用戶)的多層權(quán)限控制;同時(shí)通過設(shè)置下級(jí)網(wǎng)絡(luò)管理權(quán)限,可以通過限制登錄下級(jí)網(wǎng)絡(luò)管理系統(tǒng)的操作員和密碼,保證訪問下級(jí)網(wǎng)絡(luò)管理系統(tǒng)的安全性。
? 操作日志管理
對(duì)于操作員的所有操作,包括登錄、注銷的時(shí)間、登錄 IP 地址以及登錄期間進(jìn)行的任何可能修改系統(tǒng)數(shù)據(jù)的操作,都會(huì)記錄詳細(xì)的日志。提供豐富的查詢條件,管理員可以審計(jì)任何操作員的歷史操作記錄,界定網(wǎng)絡(luò)操作錯(cuò)誤的責(zé)任范圍。
? 操作員在線監(jiān)控和管理 系統(tǒng)管理員通過“在線操作員”可以實(shí)時(shí)監(jiān)控當(dāng)前在線聯(lián)機(jī)登錄的操作員信息,包括登錄的主機(jī) IP 地址、登錄時(shí)間等,同時(shí),系統(tǒng)管理員可以將在線操作員強(qiáng)制注銷、禁用/取消禁用當(dāng)前 IP 地址等控制操作。
3.2.3.3資源管理 iMC 資源管理與拓?fù)涔芾碜鳛檎w共同為用戶提供網(wǎng)絡(luò)資源的管理。通過資源管理可以:
? 網(wǎng)絡(luò)自動(dòng)發(fā)現(xiàn) 可以通過設(shè)置種子的簡易方式、路由方式、ARP 方式、IPSec VPN、網(wǎng)段方式等五種自動(dòng)發(fā)現(xiàn)方式自學(xué)習(xí)網(wǎng)絡(luò)資源及網(wǎng)絡(luò)拓?fù)洌詣?dòng)識(shí)別包括:路由器、交換機(jī)、安全網(wǎng)關(guān)、存儲(chǔ)設(shè)備、監(jiān)控設(shè)備、無線設(shè)備、語音設(shè)備、打印機(jī)、UPS、服務(wù)器、PC 在內(nèi)的多種類型網(wǎng)絡(luò)設(shè)備;
多種自動(dòng)發(fā)現(xiàn)方式
自動(dòng)識(shí)別多種設(shè)備類型 ? 網(wǎng)絡(luò)手工管理 可以手工添加、刪除網(wǎng)絡(luò)設(shè)備,可以批量導(dǎo)入、導(dǎo)出網(wǎng)絡(luò)設(shè)備,批量配置 Telnet、SNMP參數(shù),以及批量校驗(yàn) Telnet 參數(shù)等輔助功能; ? 網(wǎng)絡(luò)視圖管理 支持 IP 視圖、設(shè)備視圖、自定義視圖、下級(jí)網(wǎng)絡(luò)管理視圖等多種管理視圖,用戶可以從不同角度實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的管理; ? 網(wǎng)絡(luò)設(shè)備的管理 從任何一種網(wǎng)絡(luò)視圖入口,都可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的管理,包括:支持對(duì)設(shè)備的管理/去管理、接口的管理/去管理、設(shè)備的詳細(xì)信息顯示和接口詳細(xì)信息顯示、設(shè)備和接口實(shí)時(shí)告警狀態(tài)、設(shè)備和接口的實(shí)時(shí)性能狀態(tài)、實(shí)時(shí)檢測(cè)存在故障的設(shè)備等,用戶可以方便的實(shí)現(xiàn)所有設(shè)備的管理; ? 設(shè)備及業(yè)務(wù)管理系統(tǒng)的集成管理 支持對(duì)、Cisco、3Com 等主要廠家設(shè)備的管理,支持手工添加設(shè)備廠商、設(shè)備系列及設(shè)備型號(hào);支持設(shè)備面板管理的動(dòng)態(tài)注冊(cè)機(jī)制,實(shí)現(xiàn)與各廠家設(shè)備管理系統(tǒng)的有效集成;支持拓?fù)涠ㄎ、ACL、VLAN、QoS 等業(yè)務(wù)管理系統(tǒng)的集成,實(shí)現(xiàn)設(shè)備資源的統(tǒng)一管理; ? 設(shè)備分組權(quán)限管理 支持設(shè)備分組功能,通過對(duì)設(shè)備資源進(jìn)行分組管理,系統(tǒng)管理員方便的分配其他管理員的管理權(quán)限,便于職責(zé)分離;
3.2.3.4拓?fù)涔芾?iMC 拓?fù)涔芾韽木W(wǎng)絡(luò)拓?fù)涞慕鉀Q直觀的提供給用戶對(duì)整個(gè)網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備資源的管理。拓?fù)涔芾戆ǎ?/p>
? 拓?fù)渥詣?dòng)發(fā)現(xiàn)
iMC 可以自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),支持全網(wǎng)設(shè)備的統(tǒng)一拓?fù)湟晥D,通過視圖導(dǎo)航樹提供視圖間的快速導(dǎo)航。通過自動(dòng)發(fā)現(xiàn)可以發(fā)現(xiàn)網(wǎng)絡(luò)中的所有設(shè)備及網(wǎng)絡(luò)結(jié)構(gòu)(具體參見資源管理),并且可以將非 SNMP 設(shè)備發(fā)現(xiàn)出來,只要設(shè)備可以 ping 通即可。這樣就可以將所有網(wǎng)絡(luò)設(shè)備都列入其管理范圍(只要設(shè)備 IP 可達(dá))。同時(shí)支持自動(dòng)的拓?fù)鋱D呈現(xiàn)和自定義拓?fù)洹W詣?dòng)拓?fù)淇梢宰詣?dòng)將網(wǎng)絡(luò)中的邏輯連接關(guān)系顯示出來,同時(shí)可以保存為自定義拓?fù)鋱D并可根據(jù)具體情況進(jìn)行修改以便于網(wǎng)管員對(duì)整個(gè)網(wǎng)絡(luò)設(shè)備的監(jiān)控。
支持對(duì)全網(wǎng)設(shè)備和連接定時(shí)輪詢和狀態(tài)刷新,實(shí)時(shí)了解整個(gè)網(wǎng)絡(luò)的運(yùn)行情況,并且刷新周期是可定制(刷新周期:60~7200 秒),同時(shí)也支持對(duì)多個(gè)設(shè)備的刷新周期進(jìn)行批量配置的功能。
? 支持自定義拓?fù)?傳統(tǒng)的網(wǎng)絡(luò)管理軟件大多支持自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)涞墓δ,但是自?dòng)發(fā)現(xiàn)后的網(wǎng)絡(luò)拓?fù)渫呛芏嘣O(shè)備圖標(biāo)的簡單排放,不能突出重點(diǎn)設(shè)備和網(wǎng)絡(luò)層次,使網(wǎng)絡(luò)管理人員感覺無從下手。
針對(duì)這種情況, iMC 的拓?fù)涔δ苤С朱`活的自定義功能,管理人員可以根據(jù)網(wǎng)絡(luò)的實(shí)際組網(wǎng)情況和設(shè)備重要性的不同靈活定制網(wǎng)絡(luò)拓?fù),可?duì)拓?fù)鋱D進(jìn)行增、刪、改等編輯操作,使網(wǎng)絡(luò)拓?fù)淠軌蚯逦爻尸F(xiàn)整個(gè)企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)以及 IT 資源分布。
iMC 支持靈活定制拓?fù)鋱D,使網(wǎng)絡(luò)拓?fù)涓兄攸c(diǎn)和層次感。管理員可以按照關(guān)注設(shè)備不同,管理角度不同定義多種拓?fù),并可以針?duì)拓?fù)洳煌x擇不同的背景圖;管理員可以根據(jù)網(wǎng)絡(luò)設(shè)備的重要性不同,鏈路速率不同采用合適的圖標(biāo)顯示。
? 自動(dòng)識(shí)別各種網(wǎng)絡(luò)設(shè)備和主機(jī)的類型
iMC 可以自動(dòng)識(shí)別、華為、Cisco、3com 等廠商的設(shè)備、Windows、Solaris 的 PC 和工作站、其他 SNMP 設(shè)備和 ping 設(shè)備,并且以樹形方式組織,以不同的圖標(biāo)顯示區(qū)分。在拓?fù)鋱D上更可進(jìn)一步對(duì)設(shè)備的類型進(jìn)行區(qū)分,如區(qū)分路由器、交換機(jī)、安全網(wǎng)關(guān)、存儲(chǔ)設(shè)備、監(jiān)控設(shè)備、無線設(shè)備、語音設(shè)備、打印機(jī)、UPS、服務(wù)器、PC 等等。
?
設(shè)備狀態(tài)、連接狀態(tài)、告警狀態(tài)等信息在拓?fù)鋱D上的直觀顯示
iMC 的拓?fù)涔δ芘c故障管理和性能管理緊密融合,使拓?fù)鋱D能夠清晰地看到企業(yè) IT資源的狀態(tài),包括運(yùn)行是否正常、網(wǎng)絡(luò)帶寬、接口連通、配置變化都能一目了然。多種顏色區(qū)分不同級(jí)別故障,根據(jù)節(jié)點(diǎn)圖標(biāo)顏色反映設(shè)備狀態(tài)。
實(shí)時(shí)設(shè)備狀態(tài)實(shí)時(shí)鏈路狀態(tài)實(shí)時(shí)告警和性能監(jiān)控狀態(tài)狀態(tài) ? 拓?fù)淠芴峁┰O(shè)備管理便捷入口
iMC 拓?fù)淠軌蛱峁⿲?duì)設(shè)備管理的便捷入口,管理員只需通過右鍵點(diǎn)擊拓?fù)鋱D中的設(shè)備圖標(biāo)即可啟動(dòng)設(shè)備管理各項(xiàng)功能,實(shí)現(xiàn)對(duì)設(shè)備的面板管理等各項(xiàng)功能配置。
3.2.3.5故障(告警/事件)管理 故障管理,即告警/事件管理,是 iMC 的核心模塊,是 iMC 智能管理平臺(tái)及其他業(yè)務(wù)組件統(tǒng)一的告警中心。如下圖所示,以故障管理流程為引導(dǎo),介紹 iMC 強(qiáng)大的故障管理能力:
S網(wǎng)絡(luò)資源、存儲(chǔ)資源、計(jì)算資源、業(yè)務(wù)系統(tǒng)告警上報(bào) 定時(shí)輪詢網(wǎng)管與告警中心實(shí)時(shí)告警分類、聲光告警板,按故障類別及等級(jí)實(shí)時(shí)告警系統(tǒng)快照,實(shí)時(shí)報(bào)告網(wǎng)絡(luò)、下級(jí)網(wǎng)絡(luò)及設(shè)備的狀態(tài)通過拓?fù)鋵?shí)現(xiàn)報(bào)告網(wǎng)絡(luò)及設(shè)備狀態(tài)實(shí)時(shí)告警瀏覽和確認(rèn)實(shí)時(shí)遠(yuǎn)程告警:手機(jī)短信及EMail告警解決故障固化經(jīng)驗(yàn)實(shí)時(shí)告警關(guān)聯(lián)分析與統(tǒng)計(jì)實(shí)現(xiàn)網(wǎng)絡(luò)管理透明化S S網(wǎng)絡(luò)資源、存儲(chǔ)資源、計(jì)算資源、業(yè)務(wù)系統(tǒng)告警上報(bào) 定時(shí)輪詢網(wǎng)管與告警中心實(shí)時(shí)告警分類、聲光告警板,按故障類別及等級(jí)實(shí)時(shí)告警系統(tǒng)快照,實(shí)時(shí)報(bào)告網(wǎng)絡(luò)、下級(jí)網(wǎng)絡(luò)及設(shè)備的狀態(tài)通過拓?fù)鋵?shí)現(xiàn)報(bào)告網(wǎng)絡(luò)及設(shè)備狀態(tài)實(shí)時(shí)告警瀏覽和確認(rèn)實(shí)時(shí)遠(yuǎn)程告警:手機(jī)短信及EMail告警分類、聲光告警板,按故障類別及等級(jí)實(shí)時(shí)告警系統(tǒng)快照,實(shí)時(shí)報(bào)告網(wǎng)絡(luò)、下級(jí)網(wǎng)絡(luò)及設(shè)備的狀態(tài)通過拓?fù)鋵?shí)現(xiàn)報(bào)告網(wǎng)絡(luò)及設(shè)備狀態(tài)實(shí)時(shí)告警瀏覽和確認(rèn)實(shí)時(shí)遠(yuǎn)程告警:手機(jī)短信及EMail告警解決故障固化經(jīng)驗(yàn)實(shí)時(shí)告警關(guān)聯(lián)分析與統(tǒng)計(jì)實(shí)現(xiàn)網(wǎng)絡(luò)管理透明化 ? 告警發(fā)現(xiàn)和上報(bào) iMC 告警中心可以按收各種告警源的告警事件,包括設(shè)備告警、本級(jí)網(wǎng)管站及下級(jí)網(wǎng)管站告警、網(wǎng)絡(luò)性能監(jiān)視告警、網(wǎng)絡(luò)配置監(jiān)視告警、網(wǎng)絡(luò)流量異常監(jiān)視告警、終端安全異常告警等;同時(shí)通過支持對(duì)設(shè)備定時(shí)輪詢,實(shí)現(xiàn)通斷告警、響應(yīng)時(shí)間告警等,以告警事件的方式上報(bào)給 iMC 告警中心; ? 設(shè)備告警包括電源電壓、設(shè)備溫度、風(fēng)扇等告警事件,設(shè)備冷啟動(dòng)、熱啟動(dòng)、接口 linkdown 等重要告警事件,路由信息事件(OSPF,BGP)變化,熱備份路由(HSRP)狀態(tài)變化等告警事件,支持對(duì)、CISCO、華為、3COM 等多廠商設(shè)備告警的識(shí)別和解析; ? 網(wǎng)管站告警指包括本級(jí) iMC 系統(tǒng)集群服務(wù)器的異常告警,包括 CPU 利用率、內(nèi)存使用率、iMC 服務(wù)程序運(yùn)行狀態(tài)等以及下級(jí) iMC 系統(tǒng)上報(bào)的告警事件; ? 網(wǎng)絡(luò)性能監(jiān)視包括 CPU 利用率,內(nèi)存使用率,以及 RMON 告警的故障管理。
? 網(wǎng)絡(luò)配置監(jiān)視告警包括設(shè)備軟件版本、配置信息變更等告警事件,并通過 iMC智能配置中心組件(iMC iCC)實(shí)現(xiàn)配置文件定期檢查,實(shí)現(xiàn)配置變更告警事件。
? 網(wǎng)絡(luò)流量異常監(jiān)視告警通過 iMC 網(wǎng)絡(luò)流量分析組件(iMC NTA)實(shí)現(xiàn)網(wǎng)絡(luò)
中異常流量告警,包括對(duì)設(shè)備及接口異常流量、主機(jī) IP 地址異常流量和應(yīng)用異常流量的告警,支持二級(jí)閾值告警定義; ? 終端安全異常告警通過 iMC 端點(diǎn)準(zhǔn)入防御組件(iMC EAD)實(shí)現(xiàn)對(duì)終端用戶安全異常的告警,包括 ARP 攻擊告警、終端異常流量告警及其他終端不安全告警; ? iMC 定期輪詢告警指通過 iMC 的資源管理模塊對(duì)設(shè)備接口信息定時(shí)進(jìn)行輪循,并及時(shí)上報(bào)通斷告警、響應(yīng)時(shí)間告警等告警事件。
? 告警深度關(guān)聯(lián)分析與統(tǒng)計(jì) iMC 告警中心根據(jù)告警腳本中的告警事件定義,接收并解析上報(bào)的告警事件;
iMC 對(duì)接收到的告警事件進(jìn)行深度關(guān)聯(lián)分析,系統(tǒng)缺省支持重復(fù)事件閾值告警、閃斷事件閾值告警、未知事件閾值告警、未管理設(shè)備告警閾值告警,并能在故障恢復(fù)時(shí)自動(dòng)確認(rèn)相關(guān)告警;同時(shí)用戶可以根據(jù)自己的需要確定事件的告警規(guī)則,以適應(yīng)網(wǎng)絡(luò)管理需要。
? 重復(fù)事件閾值告警:屏蔽重復(fù)接收到的相同事件,并可在達(dá)到閾值條件時(shí)產(chǎn)生新告警通知用戶。
? 閃斷事件閾值告警:分析接收到的閃斷事件,并可在達(dá)到閾值條件時(shí)產(chǎn)生新告警通知用戶。
? 未知事件閾值告警:屏蔽接收到的未知事件,并可在達(dá)到閾值條件時(shí)產(chǎn)生新告警通知用戶。
? 未管理設(shè)備告警閾值告警:屏蔽接收到的未管理設(shè)備事件,并可在達(dá)到閾值條件時(shí)產(chǎn)生新告警通知用戶。
? 自定義事件過濾規(guī)則:用戶自定義的事件過濾規(guī)則,用戶可指定在什么時(shí)間范圍內(nèi)、對(duì)什么樣的告警進(jìn)行過濾。
iMC 系統(tǒng)預(yù)定義缺省支持各類深度分析后告警事件關(guān)聯(lián)升級(jí)為告警的生成規(guī)則,同時(shí),管理員可以自定義由告警事件升級(jí)為告警的規(guī)則,可從事件、事件關(guān)鍵字、事件源、時(shí)間范圍四個(gè)方面進(jìn)行規(guī)則定義,一旦定義事件升級(jí)為告警規(guī)則后,iMC 告警中心會(huì)根據(jù)定義的規(guī)則關(guān)聯(lián)分析后生成不同級(jí)別的告警(告警共分成緊急、重要、次要、警告、事件 5 個(gè)級(jí)別;在瀏覽數(shù)據(jù)窗口,分別以紅色、橙色、黃色、藍(lán)色、灰色五種顏色進(jìn)行
顯示),將管理員從繁多的告警事件中解脫出來,避免產(chǎn)生告警風(fēng)暴,讓管理員能專心關(guān)注告警的根源。
? 實(shí)時(shí)告警
iMC 提供多種方式將告警通知給管理員,包括:
? 實(shí)時(shí)遠(yuǎn)程告警:通過手機(jī)短信或 Email 郵件的方式,將告警及時(shí)通知管理員,實(shí)現(xiàn)遠(yuǎn)程網(wǎng)絡(luò)的監(jiān)控和管理; ? 分類、聲光告警板,按故障類別及等級(jí)實(shí)時(shí)告警,讓管理員通過告警板不但及時(shí)知道告警產(chǎn)生,同時(shí)可以了解產(chǎn)生的告警的類別和等級(jí):
? 實(shí)時(shí)告警瀏覽和確認(rèn),通過告警首頁對(duì)目前故障未排除的告警實(shí)時(shí)刷新并提供故障排除確認(rèn)的入口:
? 提供系統(tǒng)快照,實(shí)時(shí)報(bào)告網(wǎng)絡(luò)、下級(jí)網(wǎng)絡(luò)及設(shè)備的狀態(tài)
通過視圖操作直觀展示狀態(tài)自定義網(wǎng)絡(luò)實(shí)時(shí)狀態(tài)下級(jí)網(wǎng)絡(luò)實(shí)時(shí)狀態(tài)各類設(shè)備實(shí)時(shí)狀態(tài)存在故障的設(shè)備一目了然 ? 通過拓?fù)鋵?shí)現(xiàn)報(bào)告網(wǎng)絡(luò)及設(shè)備狀態(tài)
直觀、實(shí)時(shí)體現(xiàn)網(wǎng)絡(luò)狀態(tài)圖標(biāo)狀態(tài)實(shí)時(shí)體現(xiàn)設(shè)備狀態(tài)注:不可達(dá) ? 故障解決
iMC 對(duì)各種故障警均提供“修復(fù)建議”,管理員可以參考修復(fù)建議對(duì)故障進(jìn)行處理。在故障得到解決后,通過對(duì)告警的確認(rèn)完成故障的恢復(fù)確認(rèn)。
? 固化經(jīng)驗(yàn)
iMC 提供告警知識(shí)庫。告警知識(shí)是用戶在維護(hù)過程中的經(jīng)驗(yàn)總結(jié),將這些經(jīng)驗(yàn)輸入系統(tǒng),下次再出現(xiàn)同樣的故障時(shí),可以作為參考。用戶選中一條告警記錄,系統(tǒng)根據(jù)用戶選中的告警記錄,從告警知識(shí)庫中查詢出該條告警記錄的維護(hù)經(jīng)驗(yàn),供用戶進(jìn)行告警處理進(jìn)行參考。用戶將自己的日常處理經(jīng)驗(yàn)以及業(yè)務(wù)信息及時(shí)寫入數(shù)據(jù)庫、更新告警知識(shí)庫對(duì)以后的故障診斷與排除非常有益。
對(duì)系統(tǒng)自帶修復(fù)建議的有效補(bǔ)充,為后續(xù)維護(hù)提供便利 3.2.3.6性能管理
iMC 網(wǎng)管系統(tǒng)提供豐富的性能管理功能,同時(shí)以直觀的方式顯示給用戶。例如:可以提供折線圖、方圖、餅圖等多種顯示方式并能生成相應(yīng)的報(bào)表。通過性能任務(wù)的配置,可自動(dòng)獲得網(wǎng)絡(luò)的各種當(dāng)前性能數(shù)據(jù),并支持設(shè)置性能的閾值,當(dāng)性能超過閾值時(shí),網(wǎng)絡(luò)以告警的方式通知告警中心: ? 支持 At a Glance、TopN 功能,用戶能夠?qū)?CPU 利用率、流量等關(guān)鍵指標(biāo)一目了然;
? 提供各類常用性能指標(biāo)的缺省采集模板; ? 支持實(shí)時(shí)性能監(jiān)視,支持二級(jí)閾值告警設(shè)置,當(dāng)鏈路或端口的流量超過閾值,系統(tǒng)將會(huì)發(fā)送性能告警,使網(wǎng)絡(luò)管理人員可以能夠及時(shí)了解網(wǎng)絡(luò)中的隱患,及時(shí)消除隱患。同時(shí)為故障定位提供手段; ? 提供基于歷史數(shù)據(jù)的分析,為用戶擴(kuò)容網(wǎng)絡(luò)、及早發(fā)現(xiàn)網(wǎng)絡(luò)隱患提供保障;
? 支持餅圖、折線圖、曲線圖等多種圖形方式,直觀地反映性能指標(biāo)的變化趨勢(shì);提供靈活的組合條件統(tǒng)計(jì)和查詢;性能報(bào)表支持導(dǎo)出 Html、Txt、Excel、Pdf 格式文件:
3.2.3.7設(shè)備管理組件 現(xiàn)有的企業(yè)網(wǎng)絡(luò)中,由于缺乏有效的設(shè)備管理軟件,網(wǎng)絡(luò)管理人員往往只能通過“徒手”進(jìn)行設(shè)備管理。管理人員往往只能通過遠(yuǎn)程登錄查看設(shè)備工作狀態(tài),了解設(shè)備運(yùn)行情況。
iMC 提供的設(shè)備管理功...
相關(guān)熱詞搜索:網(wǎng)絡(luò)安全 信息網(wǎng)絡(luò) 方案
熱點(diǎn)文章閱讀