民生医院内部网络规划设计
D2 D3 D4 SERVER 2 3 4 5 YES YES NO YES NO YES YES YES NO YES NO YES 注:表中YES:表示在该交换机上实现;NO:不在该交换机上实现。
3.33达到的目标
同一职能业务部门内部可以互访问;跨部门的访问需要经过核心交换机的授权;共用信息被所有的计算机访问;其中的某些计算机(例如管理)有特别权限。同时,达到提高局域内部通信性能、灵活控制访问权限以提高安全性的目标
3.4 VPN组网方案
为了更加完善和提高医疗服务和管理的效率,为病人提供快捷的各种医疗咨询和服务,将门诊部和手术住院部的两个独立信息化的网络加以合并,让各种医疗信息达到同步共享。对于VPN网络接入设备的总体应用需求如下:
第 - 18 - 页 共 35 页
民生医院内部网络规划设计
实时、稳定的VPN连机质量:将以前独立的两个网络用VPN设备连接起来,门诊部和住院部两处都需要随时准确地获取所需数据,维持稳定不中断的连机质量,改善获取各数据所花费的冗长时间。而在实际操作上也需要符合简易方便的设计,能够相对减轻网管维护的负担。
具备简易操作、弹性配置等特性:由于考虑到两个机构的网络拓扑性质、内网用户数量可能不相同,相应网络管理与解决设备维护的复杂程序也不会低。因此,VPN网络接入设备必须具备一定的简易程度与高灵活度等特性。
高度信息安全性:对于医疗卫生信息来说,有很多内部机密与患者的个人隐私等资料,需要得到保护。为了确保内部信息的机密性,避免数据被窃取或侦听,造成不可估计的损失,因此,院领导对于VPN网络接入设备的信息传输的安全性十分重视。
有较好的兼容性:因办公需要,现在该医院内部同时使用ERP、财务结算等多种管理软件。因此,对于VPN网络接入设备还必须有较强的兼容性,不仅要能融合一些应用软件,更要能其他VPN设备相通。
第 - 19 - 页 共 35 页
民生医院内部网络规划设计
3.41VPN组网方案
根据上述的各项需求,医院相关负责人在经过多方了解与对比后,选择了高度性价比优势的多WAN VPN防火墙厂商侠诺科技,为其规划了整体的VPN组网方案。其具体的组网方案拓朴下:
组网方案网络设备选型:由于医院内部网络的规模较大,考虑其带机量与网络属性,因此两处都采用Qno侠诺企业级QVM VPN防火墙,做为服务器中心端接入设备,既支持PPTP、IPSec VPN、SmartLink VPN、QnoKey IPSec客户端密钥等连机方式,还满足了外点多种VPN弹性配置需求,实现中心端与各分点建构实时、稳定、安全的互连VPN网络系统。
3.42方案特点介绍
SmartLink VPN快速设定:对于一般传统的IPSecVPN设定,没有太多专业知识的工作人员,常会因为多达20几个繁杂步骤而头痛。而Qno侠诺QVM系列VPN防火墙设备所特有的SmartLink VPN功能,将大部份的设定参数的工作交由VPN网关自动完成,用户只需要输中心端服务器IP地址、用户名、密码三个参数,即可完成超快速VPN连机设定,现在就算是远在分部的工作人员也可以轻松上手进行VPN连机设定了。
强大防火墙安全功能:对于来自外网的诸多病毒、财务账号意外泄露、计算机被非法使用、恶意的内网攻击等安全防患,都不容小觊。目前,最多的攻击形式仍以ARP攻击居多,Qno侠诺QVM系列 VPN防火墙设备都具有内建的防制ARP功能,凭借自动检视封包的机制,侦测过滤可疑的封包,做为防制ARP攻击的第一道防线。可搭配IP /MAC双向绑定,在路由器端以内网PC端进行IP/MAC绑定,即可达到防堵ARP无漏洞的效果。考虑到要绑定全部工作人员PC端的IP/MAC有一定的难度,Qno侠诺近期特别提供了免费ARP自动绑定软件,帮助工作人员有针对性的选择套用绑定程序,达到双向绑定的目的。
智能带宽管理:少数工作人员会在上班时间网上炒股、MSN/QQ聊天、网上下载电影等私事,不但经常造成带宽资源被占用,工作效率也会受到影响。Qno侠诺独有的Smart QoS智能型带宽管理功能,简化用户配置,自动针对实际网络带宽使用情况管控带宽占用,有效的控制用户越权占用上/下载带宽资源,可设置启用时间及流量门槛,自动启动智能QoS,达成最大带宽使用率,保持网络的畅通。
稳定、快速的VPN连机质量:Qno侠诺QVM VPN防火墙系列,具有指定路由功能,可保障VPN使用带宽与优先权,进一步稳定VPN连机质量。此外,侠诺QVM VPN防火墙系列均具备多个WAN接口,
第 - 20 - 页 共 35 页
民生医院内部网络规划设计
可同时接入多条ISP线路,可增加带宽满足更多外点VPN连机以及内网的计算机使用,还可同时运用VPN备援设定功能,避免当ISP不稳定或掉线时,VPN连机也随之中断联机,造成无形的损失与伤害,有效提高VPN设备的进一步稳定。
简单而方便的配置及管理:Qno侠诺QVM VPN防火墙系列产品均为 Web中文配置页面,没有太多专业网络管理知识的网络人员就可轻易进行配置。即使是不懂网络的人,经过简单培训,也可进行操作。大大解决了用户缺少专业技术网管的后顾之忧。
产品规格兼容性强大:Qno侠诺QVM VPN防火墙系列产品,均通过了VPNC ( 国际VPN认证机构 ) 认证。因此,侠诺产品与大厂的VPN设备不便可以互通,还可以兼容多种应用软件,更不会存在与其他厂商的设备无法进行VPN联机的问题。
3.43VPN方案未来拓展:
多WAN可弹性增加带宽:Qno侠诺QVM VPN防火墙系列产品均支持带宽汇聚,多WAN口接入,可供企业弹性配置运用。方便在未来的网络扩展中,申请多条线路的应用。进而实现多WAN备援、 VPN与公众线路分流等效果。由此可见,多WAN端口给日后网络升级预留了空间,让升级不是问题。
策略路由解决VPN跨网瓶颈:由于国内长期存在电信、网通互连不互通的问题,许多企业建立VPN时会发生跨ISP网络时带宽不足,导致VPN不稳定或易于掉线。而Qno侠诺QVM VPN防火墙系列产品的多WAN口设计,可搭配策略路由的设定,让不同ISP外点可直接连到对应VPN服务器入口,在未来即可很好的解决此问题。若未来该用户需要在云南省乃至全国范围内开设分院,VPN跨网瓶颈问题将得到轻松解决。
4.网络安全设计
4.1 医院网络安全解决方案的设计
4.11网络方案的模型
本文研究的医院网络安全解决方案是采用基于主动策略的医院网络安全系统,它的主导思想是围绕着P2DR模型思想建立一个完整的信息安全体系框架。P2DR模型最早是由ISS公司提出的动态安全模型的代表性模型,它主要包含4个部分:安全策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)。
第 - 21 - 页 共 35 页
民生医院内部网络规划设计
安全策略是P2DR安全模型的核心。在整体安全策略的控制和指导下,运用防护工具(防火墙、操作系统身份认证、加密等)对网络进行安全防护;利用检测工具(如漏洞扫描、入侵检测系统等等)了解和评估系统的安全状态,检测针对系统的攻击行为;通过适当的反应机制将系统的安全状态提升到最优状态。这个过程是一个动态的、不断循环的过程,检测到的威胁将作为响应和加强防护的依据,防护加强后,将继续进行检测过程,依次循环下去,从而达到网络安全性不断增强的目的[1]。
根据对网络安全的技术分析和设计目标,医院网络安全解决方案要解决7个实现的技术问题,分别是:数据检测,入侵行为控制,行为分析,行为记录,服务模拟,行为捕获和数据融合。医院网络安全解决方案以P2DR模型为基础,合理利用主动防御技术和被动防御技术来构建动态安全防御体系,根据现有安全措施和工具,在安全策略的基础上,提出基于主动策略的医院网络安全方案模型,如图1所示。
医院网络安全解决方案模型入侵检测监视网络的异常情况,当发现有可疑行为或者入侵行为时,将监测结果通知入侵行为控制,并将可疑行为数据传给服务模拟;服务模拟在入侵行为控制的监控下向可疑行为提供服务,并调用行为捕获对系统所有活动作严格和详细的记录;数据融合定期地从行为记录的不同数据源提取数据,按照统一数据格式整理、融合、提炼后,一发给行为分析,对可疑行为及入侵行为作进一步分析,同时通知入侵行为控制对入侵行为进行控制,并提取未知攻击特征通过入侵行为控制对入侵检测知识库进行更新,将新的模式添加进去。
第 - 22 - 页 共 35 页