针灸医院智能化系统设计方案-技术标-中半部分

针灸医院智能化系统设计方案-技术标-中半部分内容摘要：

的整体安全防御能力 及管理能力。 H3C“全局安全管理平台” 由策略管理、事件采集、分析决策、协同响应四个组件构成，与网络中的安全 设备 、网络设备、用户终端等独立功能部件通过各种信息交互接口形成一个完整的 协同防 御体系 全局安全管理平台 旨在集中部署网络安全 防护 策略，简化对安全部件的管理，确保网络安全策略的统一；广泛采集与分析来自于计算机、网络、存储、安全等设施的告警事件，通过关联来自于不同地点、不同层次、不同类型的安全事件，发现真正的安全风险，提高安全报警的信噪比；准确的、实时的评估当前的网络安全态势和风险，并根据预先制定的策略做出快速响应。 其基本功能包括： 组件的模块化架构 各功能部件以模块化方式组成，架构简单明晰，易于扩展，医院系统网络中可根据实际情况进行组件的选配。 管理、分析、响应一体化 当安全事件发生时， H3C 安全管理中心能够迅速察觉、准确定位，更重要的是能够及时制定合理的、一致的、完备的安全策略， 在现有安全设施的基础上 形成了 一个 智能的 安全防御体系，大幅度提高 了 用户网络的整体安全防御能力。 智能报表自动生成 网络建设后实现多种控制，但我们需要对其进行直观的反映各方面工作，需要大量报表，智能报表系统将解决这一问题，生成符合实际应用的职能化报表。 本次的智能管理系统建设中，我们选用 IMC 管理平台来作为整网智能管理的支撑，在平台之上，后期可添加 NTA 网流分析、 UBA 行为审计、 WSM 无线管理、IAR 智能报表等功能组 件，以实现全网智能管理的各功能。 无线网络 设计 伴随着临床信息化，医院正逐步地实现无纸化、无胶片化和无线化。 无线局域网技术的不断成熟和普及，使 WLAN 在全球医疗行业中的应用已经成为了一种趋势。 特别是具有灵活、方便性的无线局域网技术在安全、稳定性得到很好保证的前提下，其在医疗领域的应用就更加广泛和有效了。 作为医院有线局域网的补充， WLAN 有效地克服了有线网络的弊端，医护人员利用 PDA、平板无线电脑和移动手推车电脑随时随地进行生命 体征数据采集、医护数据的查询与录入、移动查房、床边护理、呼叫通信、护理监 控、药物配送、病人标识码识别，以及基于WLAN 的语音多媒体等应用，充分发挥医疗信息系统的效能，突出数字化医院的技术优势。 大楼无线网络采用有线与无线相结合的方式布局 ,在每个楼层分别放置 2 个无线局域网 AP 接入点 , AP 接入点与楼层接入交换机连接，并从获得工作电压。 实现楼层移动用户的接入 ,同时采用 VLAN 功能以确保局网络安全。 本次 xx 中医学院附属针灸医院 无线网络暂考虑线缆敷设预留，无线设备暂不设计。 网络安全 设计 网络安全设计在前面内、外网设计时也做了简单描述，主要是针对我方此次选用的设备 在安全上进行了阐述，下面就针灸医院计算机网络系统影响网络安全的各个因素以及防范措施进行一个设计阐述： xx 中医学院附属针灸医院 内 、外 网网络安全建设的内容主要是防御各种网络病毒如 ARP 欺骗、各种原因的异常流量对核心区的冲击如线路老化短路或因员工不小心造成的网络环路、来自互联网的黑客入侵并被植入木马成为傀儡机进行重要信息的窃取等。 需将用户、终端、交换机、 IDS 等整合起来，全方位得制定安全策略，彻底保证 信息安全。 建立信息等级保护体系，分域分级保护 依照国家提出的信息等级保护条列， GSN 可根据网络使 用者的任务和职务分工的不同，为其分配相应的网络信息使用权限，以保证使用普通员工的帐号不能访问内网核心业务系统和关键数据。 防止网络数据窃听 局域网内部计算机和计算机之间以明文的形式传递数据，因此数据很容易遭 受到内部用户 或被黑客获取控制权的电脑终端 的窃听分析。 GSN 通过严格限制用户在终端电脑上安装软件（包括网络侦听软件），以及与 IDS 入侵检测系统联动，实时监控内 、外 网中的网络行为，一旦发现非法的网络行为， GSN 实时将窃听者隔离出网络，并同时发送警告信息和做日志记录。 防止信息的外泄 网络边界存在多种威胁，这些威胁可以是基于网络（拨号、 ADSL 和网络代理等）的非法外联和非法接入，也可以是基于终端计算机输入输出设备的信息泄漏。 GSN 能够完全禁止用户非法外联和非法接入，以及能够禁止终端计算机使用外接端口（如 USB 接口、打印接口等）。 一旦有用户企图使用非法外联和非法接入， GSN 将立即隔离该终端用户，禁止其使用网络。 同时发送警告信息和做日志记录。 防止网络终端滥用 网络中的终端计算机被工作人员随意用于其它用途，而且由于工作人员可随意安装软件，容易造成信息的外泄以及计算机 系统的崩溃。 GSN 通过制定软件的黑白名单，限制或允许工作人员安装软件，从而防止信息的外泄和系统的崩溃。 全方位自动防御 ARP 欺骗 ARP 欺骗分为网关欺骗和主机欺骗两种，如需彻底防范 ARP 欺骗的威胁，需同时在网关、接入交换机和终端电脑上绑定对应的正确 ARP 信息。 如手工开展三种绑定信息，工作量巨大，且日常维护非常困难。 GSN 能够通过 RGSMP 安全管理平台自动向网关、接入交换机和认证终端下发正确的对应 ARP 信息，同时并自动绑定。 从而自动得彻底防御 ARP 欺骗。 设备选型 本次针灸医院病 房综合大楼 的 计算机网络 系统 以及老楼计算机品牌，我方经过认真考虑， 选用高性价比的 杭州华三通信技术有限公司 系列产品。 设备厂家介绍 杭州华三通信技术有限公司（简称 H3C）， 致力于 IP 技术与产品的研究、开发、生产、销售及服务。 2020 年 H3C 年销售额 11 亿美元，在国内 30 个省市区设有分支机构。 目前公司有员工 4800 人，其中研发人员占 55％。 H3C 每年将销售额的 15％以上用于研发投入，在中国的北京、杭州和深圳设有研发机构，在北京和杭州设有可靠性试验室以及产品鉴定测试中心。 截至 2020年 12 月， H3C 已 申请专利超过 3000 件，其中发明专利占 85％，在中国通信企业中位居前三。 H3C 已参与中国通信标准化协会及 IETF, SMTA, SPC,PCISIG, WiFi, USB, SNIA, VCCI 等国际标准组织。 H3C 始终聚焦 IP 技术领域创新进步，以覆盖 IP 网络、 IP 安全、 IP 多媒体及 IP 存储的全面的产品线为积累逐步形成下一代数据中心解决方案、基础网络解决方案和多媒体通信解决方案三大解决方案集群，并迅速得到广泛应用，占领了 IT 发展潮流的制高点。 2020 年， H3C 在数据中心、广域骨干网等高端市场取得巨大 进展，赢得众多高端客户的亲睐，在运营商数据中心和城域网取得突破，取得渠道和客户的广泛信赖与认可。 根植中国， H3C 始终以 “ 为客户创造价值 ” 作为公司发展的源动力，不断细分客户需求。 到 2020 年底， H3C 已服务于 70%以上的中央部委、 “ 十二金工程 ” 中的九个全国骨干网，四大国有商业银行， 500 强企业中的 350 家，全部 “211” 高校和 “985” 高校，超过 180 个城市的平安工程，并规模服务于电信、移动、联通、广电等运营商市场。 在全球市场， H3C 研发和生产的产品服务近百个国家和地区，客户包括惠普、梦工厂、瑞士电信、 西班牙电信、英国沃达丰、巴西电信、法国国铁、法国标致雪铁龙集团、俄罗斯联邦储蓄银行、澳大利亚昆士兰政府、美国麻省理工学院、日本神户大学、韩国三星电子等。 设备医院案例 序号 医院名称 备注 H3C 交换机 系统 1 广州市人民医院 2 山东省立医院 3 上海交通大学附属第一人民医院 4 同济医院 5 青岛市立医院 6 绍兴市人民医院 7 广西壮族自治区人民医院 主主 要要 设设 备备 技技 术术 参参 数数 H3C S7500E 高高 端端 多多 业业 务务 核核 心心 交交 换换 机机 （（ 内内 、 外外 网网 ）） 产品概述 : H3C S7500E 系列产品是杭州华三通信技术有限公司（以下简称 H3C 公司）面向融合业务网络的高端多业务路由交换机，该产品基于 H3C 自主知识产权的Comware V5 操作系统，以第二代智能弹性架构 (IRF,Intelligent Resilient Framework)为系统基石的虚拟化软件系统，进一步融合 MPLS VPN、 IPv网络安全、无线、无源光网络等多种网络业务，提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网 络最大正常运行时间，从而降低了客户的总拥有成本（ TCO）。 H3C S7500E 符合 “ 限制电子设备有害物质标准（ RoHS） ” ，是绿色环保的路由交换机。 H3C S7500E 系列包括 S7510E（ 12 槽）、 S7506E（ 8 槽）、 S7506EV（垂直 8槽）、 H3C S7506ES（ 8 槽）、 S7503E（ 5 槽）、 7503ES（ 3 槽）和 S7502E(4 槽 )7款产品，除了 7503ES 所有产品均支持冗余主控。 H3C S7500E 可广泛应用于城域网、数据中心、园区网核心和汇聚等多种网络环境，为用户提供了有线无线一体 化、有源无源一体化的行业解决方案。 产品特点 ： 基于 IRF2（第二代智能弹性架构）技术的虚拟化架构 H3C S7500E 面向数据中心技术的演进，推出了 IRF2 为代表的软件虚拟化技术，提供多台主机的协同工作、统一管理和不间断维护功能； IRF2 不仅成为数据中心交换设备高性能、虚拟化的关键技术，而且对于传统企业网应用， IRF2所提供的高可靠性和无缝升级、扩展能力，也成为 H3C 用户增值服务的重要组成部分。 全面的 MPLS、 VPLS 业务能力 H3C S7500E 所有产品均支持 MultiVRF 特性，可以作为 MCE 设备 使用；支持三层的 MPLS VPN 和二层的 MPLS VPN（ Martini、 Kompella）；支持 MPLS OAM 特性，方便用户的管理和维护；与 H3C MPLS VPN Manager 配合，实现图形化的 MPLS部署与维护。 全面支持 VPLS， VLL，支持 1K VPLS 实例， 4K VLL，还支持分层 VPLS 以及QINQ+VPLS 接入方式，提供端到端 2 层 VPN 接入方案，支持 MPLS/VPLS 全线速转发，满足 VPLS 规模部署要求。 高性能 IPv4/IPv6 业务能力 H3C S7500E 支持 IPv4/IPv6 双协 议栈 ,支持多种隧道技术，支持 IPv4/IPv6的组播技术，为用户提供完善的 IPv4/IPv6 解决方案； H3C S7500E 采用分布式体系架构，实现 IPv4/IPv6 业务的线速无阻塞转发； H3C S7500E 已经通过了信息产业部的 IPv6 入网认证和 IPv6 Ready 第二阶段认证，是成熟商用的 IPv6 产品。 有线无线一体化，有源无源一体化 H3C S7500E 集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的 RF 管理及安全机制、快速漫游、超强的 QoS 和对 IPv6 的支持等；无线控制模块通过与安 全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。 H3C S7500E 是业界最高密度的以太网无源光网络（ EPON）设备，单台最大可接入 10240 个 FTTH 用户； H3C S7500E 是高可靠的 EPON 系统，采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。 EAD 端点准入防护技术 H3C S7500E 支持大容量的 Portal 认证功能，可以在数千用户的局域网中做为 EAD 网关设备，为全网用户提供 EAD 安全认证功能；可以在大中型的校园网中担 任汇聚 /核心设备的同时，为学生宿舍区的认证计费提供 Portal 认证功能。 三平面安全保障机制 H3C S7500E 提供完善的安全防护机制，可从控制、管理、转发三平面全面保障网络的安全：在控制平面，内置协议报文攻击识别模块，防止 TCN、 ARP 等协 议报文攻击， OSPF/BGP/ISIS 路由协议采用 MD5 验证，防止非法路由更新报文导致的网络瘫痪；在管理平面， SNMPv3网管协议， SSH V2，基于 、 AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性；在转发平面，支持 IP、 VLAN 、 MAC 和端口等多种组合精细绑定；支持 uRPF 单播反向路径转发，防止非法流量访问网络，采用最长匹配逐包转发机制，有效抵御病毒的攻击。 H3C S7500E 还支持内置的高性能防火墙、异常流量清洗等模块，将专业的安全融入到交换机之中。 有线无线全面支持 EAD H3C S7500E 是 EAD 端点准入防御解决方案的重要组成部分， S7500E 可以动态的接收来自安全策略服务器的控制策略，根据终端的安全状态给予下发相应的访问权限。 H3C S7500E 既支持有线终端用户的 EAD，也支持无线终端用户的 EAD，能够做到终。