XXXX综合医院弱电智能化系统工程-设计任务书
? 网络安全
构成网络的不同模块在网络中有着特定的功能和不同的安全需求,先分析一下网络中哪些现有设备是安全设计的目标,而这些设备本身应采用一定的安全防范措施。
1)防火墙(内网、外网网配置)
防火墙控制着网络之间的访问,也是受攻击的目标之一。防火墙的安全是任何安全实施的关键部件,通常会在防火墙上采取以下一些安全措施:
? 设置访问控制列表(ACL); ? 控制对路由器的远程登录; ? 控制对路由器的SNMP访问;
? 通过TACACS+或RADIUS来对路由器的接入进行AAA控制; ? 关掉不需要的服务; ? 设置不同的登录级别; ? 对路由更新进行认证。 2)局域网交换机
对于交换机,和路由器一样也要对远程登录、SNMP进行安全控制外,还需要下面的一些安全措施:
对于不需做中继的端口,将其中继模式设置为OFF(缺省为AUTO)防止某台主机安装了支持VLAN中继封装的网卡将链路变为中继而收到中继上所有VLAN的信息;
确保中继端口的NativeVLAN为网络中不使用的VLAN号;
将交换机上未使用的所有端口设置到无第三层连接的VLAN或者将其关闭。 3)网络
对整个网络的攻击不只是使某台设备受害,而是使整个网络无法响应,合法用户也无法得到服务。例如分布式拒绝服务攻击(DDoS)通过数十或数百台机器同时一个IP地址发送伪造数据来实现。常见的DdoS有ICMPfloods,TCPSYNfloods,或者UDPfloods。通常可以在ISP路由器的出口和企业网边界路由器的入口上设置对ICMP和TCPSYN的速率限制,同时可以在网络边界部分和内部关键服务器所在部分部署基于网络的入侵监测系统。
4)随着日后本项目网络规模的扩大和越来越复杂,网络安全的管理也会变得复杂繁琐。为解决安全设备和安全策略的统一管理问题,网络的安全策略的统一制定和实施非常重要,为保证整个网络的安全性的一致,避免安全漏洞的存在,同时减轻繁重
-26-
XXXX综合医院弱电智能化系统工程-设计任务书
的配置、管理工作,建议需要设置一套安全策略管理软件。考虑到管理的方便,这一部分管理平台可以集合到管理中心,由管理人员统一管理。
2.8.2 系统性能要求
产品库内搜索或厂商提供的文案。
2.8.3 功能要求
计算机网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。为了便于网络故障的排除和将来网络的扩展,网络建设采用模块化设计的方法构建一个层次化网络。最终实现一个安全、稳定、高速的网络环境。
通过有线网络与无线网络的部署满足医院internet外网连接、内部网络数据交换需求。
2.8.4 设计界面
本次计算机网络系统设计范围:根据终端点位的数量汇聚,选择合适的传输设备(交换机等)进行合理分布。
2.9 无线网络覆盖系统
2.9.1 布点原则/系统组成/设计内容
2.9.1.1 布点原则:
根据实际需求,在医院公共活动区域进行WIFI无线网络覆盖接入内网提供医护人员无线上网服务,其无线网通过无线AP接入点的设置(在各公共活动区域约50米半径设置1个AP接入点),无线网络的全覆盖,方便用户使用移动智能设备上网。
设计采用AP就近接入的原则,由 POE交换机接入AP,并同时完成POE供电的功能。
整网采用FIT AP方案,通过AC对AP进行集中管理。
AP部署:AP通过POE模块连接和供电,接入到相应区域。AP首先在区域AC上注册,由区域AC管理。AP选择IEEE 802.11a,IEEE 802.11b,IEEE 802.11g,IEEE 802.11n 无线速率:300Mbps。 AP点位表:
-27-
XXXX综合医院弱电智能化系统工程-设计任务书
2.9.1.2 系统组成:
系统由核心交换机、路由器、防火墙、无线控制器、接入交换机、无线AP等设备组成。
2.9.1.3 设计内容:
采用统一管理的无线网络架构,以保证无线网络可维护性、安全性、QoS、无线漫游等功能要求,无需改变现有网络拓扑结构
侧重实际应用,保证信号覆盖区域无线AP信号接入点的质量
采取通行的网络协议标准:目前无线局域网普遍采用802.11系列标准,因此WLAN需要支持802.11g或以上标准以提供可供实际应用的相对稳定的网络通讯服务
安全、认证和管理要求:为了阻止非授权用户访问无线网络,以防止对无线局域网数据流的非法侦听,无线网络要具有相应的安全手段,主要包含:用户认证、物理地址(MAC)过滤、服务区标识符(SSD)匹配、有线等效保密(WEP)、隔离、WPA支持等;用户认证要求区分公司内部人员(使用域用户,可访问有网络),外来用户(不需要认证,仅可访问特定网络)和不使用用户的移动终端(如无线扫描仪,不需要认证,可访问所有网络),以及基于策略的用户访问控制
产品能力要求:具有无线委员会核准证;产品支持AES、WEP加密等安全标准,无线控制器要求具备管理200个AP的能力;漫游切换;支持较为复杂室内环境下的可靠运行
AP电源:不具备PoE功能的接入交换机也可以使用类似PoE的供电方式给无线AP直接供电,从而解决AP的电源接入功能
2.9.2 系统性能要求
产品库内搜索或厂商提供的文案。
2.9.3 功能要求
通过无线网络的部署满足医护人员办公的网络连接、内部网络数据交换需求。
-28-
XXXX综合医院弱电智能化系统工程-设计任务书
? 采取通行的网络协议标准:无线局域网将主要支持IEEE 802.11a,IEEE 802.11b,IEEE 802.11g,IEEE 802.11n标准以提供可供实际应用的相对稳定的网络通讯服务;室内覆盖范围大于50m。
? 全面的无线网络支撑系统(包括无线网管、无线安全、无线QOS等),以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题;
? 保证网络访问的安全性,支持用户多种接入方式认证机制,包括:基于PPPoE、802.1X、Portal、MAC等认证,支持外置的Portal服务器和外置的AAA服务器系统; ? 安全、认证和管理要求
为了阻止非授权用户访问无线网络,以及防止对无线局域网数据流的非法侦听,无线网络要具有相应的安全手段,主要包括:物理地址(MAC)过滤、服务区标识符(SSID)匹配、AES加密,双向认证等方式。
? 无线网网络结构要求:
无线接入所需布设的AP通过接入设备接入到网中,在接入层提供相应的接口给AP使用;
? 工程布线和安装要求:
1、室内部分:定位于较为开阔位置,将网线走暗线敷设到位,无线AP及天线的主要安排方式采用吸顶的方式进行工程施工,不影响装修的视觉效果,如果需要遮蔽,则需要定制非金属安装盒;如果是挂在天花板上,则根据天花板的情况而定,若天花板是非金属结构,可以固定在天花板内。安装过程中应充分考虑防盗问题。
2、供电部分:AP的供电可采用POE方式由接入的网络设备进行供电。
2.9.4 设计界面
本次无线网络覆盖系统设计范围:根据终端点位的数量汇聚,选择合适的传输设备(无线控制器、交换机等)进行合理分布。
-29-
XXXX综合医院弱电智能化系统工程-设计任务书
2.10 程控电话交换机系统
2.10.1
2.10.1.1 系统组成:
本次设置一台IP-PBX型程控交换机,配置的业务板支持xx个模拟分机,外线中继数量xx个(本项目共计xx门内线模拟语音)。 2.10.1.2 设计内容:
根据用户需求配置一台程控交换机满足现有语音点位数量需求,并且具有一定的扩展端口作为备用。
2.10.2
产品库内搜索或厂商提供的文案。
2.10.3
功能要求 系统性能要求 系统组成/设计内容
本系统支持最大xx个模拟分机,xx个外线中继。本项目共计xx个内部模拟语音点。
? 呼叫转移,呼叫保留,呼叫寄存,呼叫前转 ? 呼叫代接,呼叫代接组 ? 内外部广播,广播组 ? 交替呼叫(铃声/语音) ? 日期和时间显示
? 全双工扬声器,免提通话 ? 扬声器静音 ? 定时提醒(本地/远程)
? 重拨(自动重拨/最后号码重拨/来电ID重拨) ? 来电显示
? 区别振铃(根据内线及外线,外线根据不同端口设置不同振铃音) ? 个人速拨 ? 系统速拨
? 待机及保留音乐,外部音乐源 ? 免打扰功能
? 遇忙强插或呼叫等待
-30-