《毕业设计-----医院的网络规划与设计.doc》由会员分享,可在线阅读,更多相关《毕业设计-----医院的网络规划与设计.doc(27页珍藏版)》请在三一办公上搜索。
1、精选优质文档-倾情为你奉上题 目莒南县医院的网络规划与设计 系 (院)计算机科学技术系专 业计算机网络技术班 级2009级2班学生姓名学 号指导教师职 称讲师二一二年五月八日专心-专注-专业莒南县医院的网络规划与设计摘 要随着网络技术,信息通信领域的长足发展,网络经济,知识经济再不是IT等高科技行业的专利。作为传统行业之一的医疗卫生行业,如何面对网络时代带来的冲击,如何利用网络技术提高我们医疗卫生行业的管理水平和服务质量,是无法回避的问题。随着网络硬件性能的不断提高,成本不断降低,目前新建的局域网基本上都采用了性能先进的快速以太网技术,其核心交换机采用三层交换机,能很好地支持VLAN。本方案提
2、供了丰富、全面的系统安全设计。整个方案考虑了用户层面、设备、数据和管理的各个层面的安全需求,并进行了整体安全的设计。设备方面,采用的各个层次的设备都支持了对自身负责层面的安全功能,从接入层、汇聚层到核心层,都进行了安全方面的考虑和设计;如接入层面提供的VLAN保护接入层面数据和用户的安全。防ARP功能和常见的蠕虫、冲击波等病毒的防范。数据层面,对数据在各个系统层面的传输都考虑的安全方面的设计。关键词:网络性能;网络安全;网络配置;VLANNetwork Planning and Design of the Junan County HospitalAbstractWith the rapid
3、development of network technology, information communications, network economy, knowledge economy, not the IT high-tech industry patents. As one of the traditional industries of the health care industry, and how to deal with the impact of the Internet age, how to use network technology to improve th
4、e management level and service quality of our health care industry, is an unavoidable problem. The program provides a rich and comprehensive system security design. Equipment, at all levels of equipment support level is responsible for their own security features, from the access layer, convergence
5、layer to the core layer, all the security considerations and design; such as access level VLAN to protect access to entry-level data and user security. Prevention of the virus of anti-ARP feature, common worms, such as shock waves. Data level, the safety aspects are considered by the transmission of
6、 data in each system level design.Keywords: Network Performance; Network Security; Network Configuration; VLAN目 录第一章 绪论1.1 研究的目的和意义互联网发展到今天,已经给人们的生活带来了巨大的变化,它为人们构造了一条信息高速路。但是,这条信息高速路的使用率只有5%。因此,摆在人们面前的问题是如何利用互联网的价值。越来越多的人认为,网络作为一种新的理念,新的技术,新的设施,将会成为互联网的下一个浪潮。网络研究已被列入国家“八六三”计划和“九七三”项目。11.1.1 研究目的随着医疗
7、技术的发展,医疗体制改革的不断深入,我国已经开始从公费医疗体制转向社会保障体制,并通过建立医疗保险制度,将新的医疗保障制度逐步推向社会。同时,在市场经济的外部环境下,医疗卫生机构如何通过信息化建设完善内部的管理,降低管理成本,提高对市场的反应速度,占据竞争优势,开发新的、更方便更快捷的服务项目,为广大人们群众提供优质、卫生、满意的服务,是一个很重要的课题,是一件利国利民的大事。随着计算机网络技术的不断发展,简单的内部网络已经不能适用现代的网络技术发展的要求。医院若要做到面向社会、面向世界,和国际是先进的医疗技术相接轨,就必须认真贯彻落实国家有关加快医疗系统信息化建设及管理的精神,进一步推进医疗
8、系统的信息化建设,才能及时了解国际医疗系统的新信息、新发展动态,吸收国内外新的医疗理念和管理经验,及时提高医院的医疗系统的信息化应用和管理水平。在对医院内部网络规划中,我将从需求分析、医院网络总体规划、服务器的配置、网络管理和 网络安全等方面进行规划和实现。在网络建设过程中将尽量选择稳定和成熟的技术和产品,是医院的网络在开通运行后处于稳定的的状态。在结构上将采用流行的三层网络结构,及核心层、交换层和接入层,选用星型网络拓扑结构,通过防火墙来接入骨干网络。考虑到医院的规模较小,信息接点较少,信息流量小的的特点,实施的的时候,在核心层主要采用硬件与软件技术相结合来实现其功能,并不仅仅采用昂贵的硬件
9、来实现网络功能,要充分利用现有的资源,不浪费,不盲目追求设备的高端化。同时考虑到医院的应用环境应建立丰富的应用服务器,来满足信息共享的需求。同时考虑到医院今后的发展,采用开放式的结构和技术,一便使医院网络具有良好的扩充能力和开放性,以满足今后医院对网络的发展要求1.1.2 研究意义网络技术已经对社会,经济和文化各方面产生重大影响,并将改变人们认识世界,思考世界的观点和方法。作为传统行业之一的医疗卫生行业,如何面对网络时代带来的冲击,如何利用网络技术提高我们医疗卫生行业的管理水平和服务质量,是无法回避的问题。为了认真贯彻卫生部召开的关于加快医卫系统信息化建设及管理的会议精神,进一步推进医疗行业的
10、信息化建设,了解国际医疗信息化发展动态,吸收新的技术和管理经验,提高医卫系统信息化应用的管理水平,使医院经济效益和社会效益双丰收,全国各省都在逐步加快医院的信息化建设步伐。传统医疗卫生行业正利用其行业特点,汲取网络技术精华,努力创造着医疗卫生行业的又一个春天。未来是美好的,但现实不可回避。在选取“飞”的翅膀时,好的网络设计方案对医疗行业网络安全、网络管理、可靠性、可管理性、可扩展性和高性能的特殊需要,具有深远的意义。1.2 国内外研究现状20世纪90年代末至今,是数字化医院以前所未有的速度发展的时期。发展过程中,我国医院网络建设已初具规模并取得了长足的进步。2事实证明,医院网络建设是实现医院现
11、代化的重要任务和标志,也是社会信息化不可缺少的组成部分,更是医院适应改革的必然选择。1.2.1 国外研究现状美国HIMSS协会2006年调查报告显示,美国数字化医院建设投入很大,我国医院与美国医院在信息化建设投资规模上有着很大的差距。最为突出的就是人才投入。我国医院IT人员编制比例不舍理的问题由来已久,长期困扰医院的信息化建设。据CHIMA 调查报告显示,我国各医院信息化部门全职员工人数多为3 10人。三级医院信息部门的全职职工规模主要集中在320人,占三级医院的8222 。而三级以下医院则主要集中在110人,占三级以下医院总数的9034 。美国HIMSS协会2006年医院信息化现状调查中IT
12、部门全职员工数据,美国80 的医院IT人员编制在10人以上。其中,32 的医院1024人,17 的医院25 50人,9 的医院51 75人,4 的医院76 100人。而从业务量的角度看,国内的大型医院床位数、门诊量、收容量远大于美国医院,人力资源不足的情况与发达国家医疗行业相比,差距较大。在技术应用方面,也存在较大差距。当前我国各级各类医院信息技术采用率排在前3位的依次是高速以太网( 100M)技术、数据安全技术、条码技术。CHIMA 样本调查结果显示,采用率第1位的是高速以太网( 100M)技术,比例高达7377 ;第2位是数据安全技术,比例达3238 ;第3位是条码技术,比例达2848 。
13、2006年美国HIMSS统计结果显示,美国医院较流行、较成熟的IT技术,主要是高速网络(93 )、无线(84 )、移动(77 )、Internet(84 )、Extranet(68 )、集成引擎(75 )、条码技术(65 )等从以上对比可以看出,我国医院目前普遍采用的技术,美国早已采用。我国数字化医院建设的先进技术普及程度与美国有较大差距。31.2.2 国内研究现状我国传统数字化医院的发展可分为3个阶段。首先是单机单用户应用阶段。始于20世纪70年代末、80年代初,这一阶段开始是以小型机为主,采用分时终端方式,当时只有少数几家大型综合医院和教学医院拥有。80年代中期进入部门级系统应用阶段。一些
14、医院开始建立小型的局域网络,并开发出基于部门管理的小型网络管理系统,但主要用于院内财务管理。90年代开始进入全院级系统应用阶段。以军队医院“军卫一号”系统的全面运行为标志,大规模进入全院级系统应用阶段。快速以太网和大型关系型数据库日益盛行,完整的医院网络管理系统的实现已经成为可能。4第二章 概述2.1医院的背景医院现拥有床位500张,科室齐全,人才荟萃。该院在本地区有较大优势的学科和技术项目主要有:临床设有内、外、妇、眼、耳鼻喉、口腔各科,痤疮专科。建筑楼群及信息点分布:综合医疗大楼一幢该楼在医院的左下,一层有31个房间,二层47个房,三层39个房间,四层33个房间,每间房间配有一部电脑。为使
15、信息和资源共享,院方要求每个房间的办公设备都需要网络连通,同时大楼内的网络与医院的网络连通。行政办公楼一幢行政办公楼在综合大楼北面,楼高6层,每层有办公室18间。每个办公室均配置有电脑1台。综合住院楼一幢综合住院楼在办公楼右边,楼高10层,每层有一个值班室,每个值班室配置一电脑,并与医院的网络连接。物资供应楼一幢该楼位于综合住院楼右面,楼高3层,每层有一个办公室,配置两台电脑,与医院网络连接。体检康复楼一幢体检康复楼在综合大楼右面,楼高4层,每层有20个房间,每个房间安装一台电脑。2.2需求分析2.2.1网络稳定医疗行业是关系到病人生命安危的重要行业,莒南人民医院的各种应用系统和基础设备都要保
16、证超高的稳定性,系统的稳定性(7*24稳定、可靠、持续运行)是投入运行的医疗系统的生命线。同时,对于门诊等重要区域,由于门诊收费是患者进入医院的第一站,稳定的网络系统建设是医院各种应用系统开展的根本保障,是降低医院目前出现问题的根本性措施。51)网络本身稳定性。2)网站的有效性。3)网络的安全性。4)具有一定的可扩展性。5)在满足基本功能的同时,尽量节约资金。6)办公用户要具有强大的信息传递能力,以保证医院信息畅通。2.2.2网络性能作为临床信息系统最为重要的PACS系统的应用其在传输患者的放射图像信息时,需要消耗大量的网络传输带宽,虽然目前莒南人民医院仍然采用的是科室级的PACS系统,然而,
17、随着医院信息化的发展,毕竟以全院级的FULL PACS系统为发展方向,在建设了PACS系统之后,堆积如山的胶片、病例档案都没有了,但是网络上数据量却在急剧增长。海量存储和数据浏览就成为必须解决的问题。在计算机中一页文字资料仅占几千字节(Kb),而一张数字化的X线片将产生上百万字节(Mb)的信息量,这就是所谓“兆字节问题”;因此,在网络建设初期就需要考虑针对未来医院FULL PACS系统应用传输带宽的考虑。62.2.3网络安全网络安全,从其本质上来讲就是网络上的信息安全,广义来说网络系统的硬件、软件及其系统中的数据受到保护、不受偶然的或者恶意的原因而遭到破坏、更改、泄露、系统连续、可靠、正常地运
18、行,网络服务不中断。而网络安全的主要威胁来自以下方面:1)非授权访问;2)信息泄露;3)拒绝服务。对于底层的工作站来说,安全性问题主要来自于计算机病毒的侵扰和使用人员人为操作造成的系统破坏。为了防止病毒入侵,可以在医院的电脑上只开放最小使用功能。例如:拆除光驱、软驱、关闭USB 端口,添加CMOS 密码,实时监测病毒,并及时升级病毒代码,隐藏桌面、使用组策略技术,使一般用户无法看到网上邻居、资源管理器等,只能使用授权的应用程序,而不能进行非授权功能操作,辅之以多种方法对工作站做限制和监控,将非授权访问事件发生概率降到最低。普遍来讲,网络安全关键技术主要有:信息包筛选(基于包过滤的防火墙)、应用
19、中继器(代理技术)和加密技术,一个完整的网络信息安全系统至少包括三类措施:社会的法律政策、企业的规章制度及网络安全教育等外部环境,技术方面的措施,如防火墙技术、防病毒、信息加密、身份确认以及授权等7,网络系统安全维护中,普遍应用的适当、安全的方法:1)用备份和镜像技术提高数据完整性;2)病毒检查;3)补丁程序,修补系统漏洞;4)提高物理安全;5)构筑因特网防火墙;6)仔细阅读日志;7)加密;8)执行身份鉴别,口令守则;9)捕捉闯入者第三章 网络规划3.1医院网络设计目标通过前两章的需求分析和网络现状分析,从本章开始,将进行逻辑网络分析, 随着社会的发展,企业信息化建设的推进,全国各大中型企业基
20、本上都有了自己的网络,作为医院的决策者们来说,建立高速的网络,使信息流通更快速,将医院建成信息化的高效的医院,使医院立于不败之林。由于邳州人民医院的网络业务量并不大,主要应用是医院内部的信息传递,除此之外,Http、Ftp、Email便是医院与Internet连接的最大流量了。从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。根据用户的总体需求,结合对应用系统的考虑,我们提出网络系统的设计的原则是:可靠的技术选型、标准的体系结构、1000M骨干网、安全性较高、运行性能可靠以及遵循面向应用,注重实效,急用先上,逐步完善的原则。1)实用性:根椐应用系统的要求确定整个系统的结构
21、,即从系统功能和信息需求出发,拟建系统的结构必须满足系统的传输能力要求、信息安全要求、人机交互能力要求、信息处理要求等;2)先进性:以先进、成熟的网络通信技术进行组网,并能确保网络技术和网络产品几年内不落后;3)可靠性:系统必须可靠运行;4)开放性:选择的产品应具有好的互操作性和可移植性,并符合相关的国际标准和工业标准;5)可扩充性:系统是一个逐步发展的应用环境,在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能,这种扩充不仅能充分保护原有资源,而且具有较高的性能价格比,使整个网络系统是可扩展的,便于系统升级,改装;6)可伸缩性原则:网络的建设是一项持续性的系统工程项目,坚持
22、网络建设规模的可伸缩性原则,将使得网络的建设费用降低,避免不必要的浪费,也体现了网络建设的灵活性;7)安全性:信息系统安全问题的中心任务是保证信息网络的畅通,确保授权实体经过该网络安全地获取信息,并保证该信息的完整和可靠。网络系统的每一个环节都可能造成安全与可靠性问题。3.2医院网络规划拓扑医院的网络规划如图3.1示。图3.1 医院网络拓扑图3.2.1结构设计通过路由器将整个医院接入Internet,其接入方式为10M的专用光纤方式,同时为了隔离各用户群,将整个网络划分为5个VLAN,办公用户、科研实验用户、综合住院用户、门诊用户、服务器区分别处于这五个VLAN中。网络设备选型及配置数量:网络
23、规划设计时,使用产品制造商提供的自立合理选择LAN和WAN的硬件设备也是关键性的一步。莒南人民医院网络规划采用的是星型拓扑结构,网络总体分为三个层次,即核心层、汇聚层、接入层。核心层核心层包括由核心交换机、路由器、网络服务器等部分组成,主要功能是提供地理上远程站点之间的广域网连接。核心层作为莒南人民医院的基本信息平台,通过CISCO 2620XM路由器接入Interent,核心交换机选择为Cisco WS-C4510R,直接连接路由器,提供网络信息的核心交换,网络服务器连接在核心交换机上,以提供高速的网络信息服务。1CISCO 2620XM路由器CISCO 2620XM5路由器是有思科公司提供
24、的一种主要的集成多业务路由器,为客户提供高性能的IP服务、平台高扩展性和可靠性。CISCO 2620XM 采用了并行快速转发技术,它采用全硬件冗余、在线接入和拔除及无缝路由等先进技术,除此之外还具有以下特征:1)高密度广域网和拨号连接2)中密度到高密度局域网连接3)数据上的中密度语音4)具有闪存能力2Cisco WS-C4510R三层核心交换机思科新推出的Cisco WS-C4510R系列交换机是一个创新的产品系列,它结合业界领先的易用性和最高的冗余性,里程碑地提升了堆叠式交换机在局域网中的工作效率。支持在内部建立虚拟工作组,提供流量管理和第二层交换功能,同时具有先进的网络管理功能。 这个新的
25、产品系列采用了最新的思科StackWise技术,不但实现高达32Gbps的堆叠互联,还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起,便于用户建立一个统一、高度灵活的交换系统-就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。基于以上原因,我采用了Cisco WS-C4510R 作为莒南人民医院网络的三层核心交换机。1)汇聚层各子网络的流量的汇聚采用思科公司的Cisco Catalyst2950交换,上行速度为100Mbps接入中心交换机Cisco Catalyst3750,Cisco Catalyst2950是24口10M/100Mbps自适应以太端口且带2个千兆端口
26、的交换机,体系结构采用了一个10Gbps和转发速率每秒750万个信息包的交换结构。2)接入层接入层通常是一个LAN或一组LAN,所以我们所以讨论的的网络设计中,接入层通常由以太网组成。接入层为用户提供接入访问服务。接入层采用思科公司的Cisco Catalyst2600交换机,该类型交换机具有24端口,快速10M/100M自适应的能力为网络提供很好的兼容性以及交换能力。3.2.2 VLAN划分随着网络硬件性能的不断提高,成本不断降低,目前新建的局域网基本上都采用了性能先进的快速以太网技术,其核心交换机采用三层交换机,能很好地支持VLAN(虚礼局域网),所谓VLAN是局域网上的一组设备,经配置(
27、用管理软件)后它们可以加同连接在同一 线路上那样通信,而它们实际上位于不同的局域网段,它和用户的物理位置没有关系。实验VLAN技术的局域网的管理方便、可靠性高、安全性强,同时由于采用虚拟技术,可以防止广播风暴,提高网络性能。使用VLAN具有以下优点:1)增加了网络连接的灵活性及降低管理成本。2)有效控制网络中的广播。3)增强网络的安全性。4)控制通信活动。对于交换式快速以太网,如果要对某些用户重新进行网络分段,需要网络管理员对网络系统的物理结构进行调整,甚至要追加网络设备,增大网络管理的工作量。而对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或具体应用将不同地理位置的网络
28、用户划分为一个逻辑网段,在不改变网络物理连接的情况下,可以任意地将工作站在工作组或子网间移动。利用VLAN技术大大减少了网络管理的负担,降低了网络维护费用。根据我们前面的分析,根据莒南人民医院的具体情况,可具体划分如下:1服务器区:1)包括Web、FTP、Email等服务器。2)VLAN名称:VLAN102行政办公区1)包括6层楼中各办公室的电脑2)VLAN名称:VLAN203综合医疗大楼1)包括4层诊室中的电脑。2)VLAN名称:VLAN304综合住院楼1)包括10层共10台2)VLAN名称:VLAN405物资供应大楼1)VLAN名称:VLAN506康复大楼1)VLAN名称:VLAN60莒南
29、人民医院VLAN划分如表3.2所示。表3.2 医院vlan划分区域信息点VLAN名称服务器区5VLAN10行政办公区108VLAN20医疗综合大楼150VLAN30综合住院大楼10VLAN40物资供应大楼3VLAN50康复大楼80VLAN603.3 IP地址3.3.1 IP地址设计规则IP地址规划的好坏不仅影响网络路由协议算法的效率、网络性能、网络管理、网络扩展,还直接影响应用的进一步发展。关于IP地址规划应遵循以下原则:1)IP地址的唯一性即IP地址是区分网络主机的唯一标识,同一个网络中不能有相同的IP地址,否则就不会有可靠的路由选择方式把包发送到指定的目标地址。2)IP地址规划的简单性IP
30、地址的规划应本着简单的原则,避免在网络主干采用复杂的网络掩码形式。3)IP地址规划的层次性IP地址在规划时,应考虑到网络中的子网,以及子网中计算机的数量,这样才能确定IP地址的类型和子网掩码。4)IP地址的连续性。5)IP地址规划的可扩展性6)IP地址规划的灵活性7)网络的安全性8)IP地址根据需要采用静态或动态分配3.3.2 IP地址划分根据以上原则,结合莒南人民医院的实际情况,IP地址规划如下:1)服务器区IP地址规划作用:用于给各个服务器分配IP地址。范围:192.168.0.1-192.168.4.254掩码:255.255.255.02)办公区作用:用于给各个办公室电脑分配IP地址。
31、范围:192.168.2.1-192.168.2.200掩码:255.255.255.03)综合门诊区作用:用于给各个多媒体教室电脑分配IP地址。范围:192.168.2.1-192.168.2.100掩码:255.255.255.04)科研实验区作用:用于给各个实验室电脑分配IP地址。范围:192.168.3.1-192.168.3.254掩码:255.255.255.05)综合住院区作用:用于给教师电脑分配IP地址。范围:192.168.4.1-192.168.4.254掩码:255.255.255.0IP地址规划如表3.3所示表3.3 IP地址划分区域IP范围子网掩码网关服务器区:Web
32、服务器FTP服务器Email服务器路由器192.168.0.1192.168.0.2192.168.0.3192.168.0.254(内)172.18.1.254(外)255.255.255.0255.255.255.0255.255.255.0255.255.255.0255.255.255.0192.168.0.1192.168.0.1192.168.0.1行政办公区192.168.0.1-192.168.0.254255.255.255.0192.168.0.1医疗综合区192.168.1.1-192.168.1.254255.255.255.0192.168.0.1体检康复大楼192.
33、168.2.1-192.168.2.254255.255.255.0192.168.0.1综合住院区192.168.3.1-192.168.3.254255.255.255.0192.168.0.1物资供应大楼192.168.4.1-192.168.4.254255.255.255.0192.168.0.13.4网络的简要配置1路由器的简要配置将路由器的Console端口利用Console线与计算机串口相连,打开计算机启动超级终端,并为连接取一个名字Cisco-user,接着选定连接的相关参数,速度设为9600bps,数据位为8,奇偶校验为无,停止位为1,数据流控为无。打开路由器电源,则进行路
34、由器的初始化界面。关键设置如下:1)输入路由器的名字Enter host nameRouter:Router-user2)配置连接到交换机的路由器接口的IP选项Router-user#config tRouter-user(config)#interface fastethernet 0/0Router-user(config-if)#ip address 192.168.0.254 255.255.255.03)配置路由协议Router-user(config)#router ripRouter-user(config-router)#network 192.168.0.254 255.25
35、5.0.0Router-user(config-router)#network 172.18.1.254 255.255.255.04)设置IP路由器功能开放Router-user(config)#ip routing 5)设置NAT,做动态地址转换Router-user(config)#ip nat pool mynatpool 172.1.1.1 netmask 255.255.255.02核心交换机的简要配置将Cisco Catalyst3750交换机的Console口专用连接线与计算机串口连接。然后启动交换机,设置好PC的超级终端。其关键设置如下:1)行政为办公区、医疗综合大楼区、综合
36、住院区、体检康复大楼区、物资供应大楼及其他区、服务器区配置VLANSwitchconfigure tSwitch#hostname CiscohqCiscohq(vlan)#vlan databaseCiscohq(vlan)#vtp domain hqCiscohq(vlan)#vlan 2 name vlan10Ciscohq(vlan)#vlan 3 name vlan20Ciscohq(vlan)#vlan 4 name vlan30Ciscohq(vlan)#vlan 5 name vlan40Ciscohq(vlan)#vlan 6 name vlan50Ciscohq(vlan)
37、#vlan 7name vlan602)为Catalyst3750交换机所划发的VLAN设置IP地址Ciscohq#conf tCiscohq(config)#interface vlan 2Ciscohq(config-if)#ip address 192.168.0.11255.255.255.0 /服务器区Ciscohq(config-if)#no shutCiscohq(config-if)#exitCiscohq(config)#interface vlan 3Ciscohq(config-if)#ip address 192.168.0.2 255.255.255.0 /行政办公区
38、Ciscohq(config-if)#no shutCiscohq(config-if)#exitCiscohq(config)#interface vlan 4Ciscohq(config-if)#ip address 192.168.1.1 255.255.255.0 /医疗综合大楼Ciscohq(config-if)#no shutCiscohq(config-if)#exitCiscohq(config)#interface vlan 5Ciscohq(config-if)#ip address 192.168.2.1 255.255.255.0 /体检康复大楼Ciscohq(conf
39、ig-if)#no shutCiscohq(config-if)#exitCiscohq(config)#interface vlan 6Ciscohq(config-if)#ip address 192.168.3.1 255.255.255.0 /综合住院区Ciscohq(config-if)#no shutCiscohq(config-if)#exit Ciscohq(config)#interface vlan 7Ciscohq(config-if)#ip address 192.168.4.1 255.255.255.0 /物资供应大楼Ciscohq(config-if)#no sh
40、utCiscohq(config-if)#exit 3.5网络安全设计由于计算机网络系统的迅猛发展,网络安全已经成为网络发展中的一个重要课题。国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露8。由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。网络安全包括五个基本要素:机密性、完整性、可用性、可控性、与可审查性。
41、 由于计算机系统本身就存在着种种安全性问题,互联网的安全问题就更为复杂,网络的安全威胁主要包括在以下几个方面。1)非授权访问:没有预先经过同意,就使用网络或计算机资源则被看作非授权访问,如有意避开系统访问控制机制,对网络设备资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作。2)信息泄漏或丢失:指敏感数据在有意或无意中被除数泄漏出去或丢失,它通常包括:信息在传输中丢失或泄漏、信息在存储介质中丢失 或泄漏以及通过建立隐蔽隧道等窃取敏感信息等。如黑客利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过
42、对信息流向、流量、通信频度和长度等参数的分析,推测出有用信息,如用户口令、账号等重要信息。3)破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应:恶意添加,修改数据,以干扰用户的正常使用。4)拒绝服务攻击:它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。5)利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。6)混合威胁是新型的安全攻击,主要表现为一种病毒与黑客程序想结合的新型蠕虫
43、病毒,可以借助多种用途和路径潜入企业、政府、银行、军队等的网络。混合威胁的出现说明病毒编写者正在利用大量的系统漏洞将病毒传播的速度最大化。网络安全设计原则虽然说越安全的网络,信息的传输效率越差,也没有绝对安全的网络。但是如果在网络设计之初就能遵守些合理的原则,那么这样设计好的网络的安全和信息的保密就会有所保障。从网络工程的技术出发,我们应该遵从以下原则:1网络安全系统的整体性原则强调安全防护、监测和应急恢复。要求在网络系统发生被攻击的情况下,必须尽可能快地恢复网络信息中心的服务,减少损失。所以网络安全系统应该包括三种机制:安全防护机制、安全监测、安全恢复机制。安全防护机制是根据具体系统存在的各
44、种安全漏洞和安全威胁采取的相应防护措施,避免非法攻击的进行;安全监测机制系统的运行情况,及时发现和制止系统进行的各种攻击;安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量及时地恢复信息,减少攻击的破坏程度。2网络安全系统的有效性与实用性原则网络安全应以不能影响系统的正常运行和合法用户的操作活动为前提。网络中的信息安全和信息利用是一对矛盾:一方面,为健全和弥补系统缺陷的漏洞,会采取多种技术手段和管理措施;另一方面,势必给系统的运行和用户的使用造成负担和麻烦,“越安全请注意味着使用越不方便”。尤其在网络环境下,实时性要求很高的业务不能允许安全连接和安全处理造成的时延和数据扩张。如何在确
45、保安全性的基础上,把安全处理的运算减小或分摊,减少用户的记忆、存储工作和安全服务器的存储量、计算量,是一个待解决的问题。3等级性原则良好的网络安全系统必然是分为不同级别的包括对信息保密程度分级(绝密、机密、秘密、普密);对用户操作权分级(面向个人及面向群组),对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全天候算法和安全体制,以满足网络中不同层次的各种实际需求9。4网络安全有价原则网络系统的设计是受经费限制的。因此在考虑安全问题解决方案时必须考虑性能价格的平衡,而且不同的网络系统所要求的安全侧重点各不相同。例如国家政
46、府首脑机关、国际部门计算机网络安全侧重存取控制强度。金融部门侧重于身份论证、审计、网络容错等功能。交通、民航侧重于网络容错等。国此必须有的放矢,具体问题全体分析,把有限的经费用在关键领域。然而Internet是一个共享的公共资源,因此不能保证数据在两点之间传递时,不会被她人窃取。10因此需要对网络信息安全进行设计。1)确定面临的各种攻击和风险网络安全系统的设计和实现必须根据具体系统和环境,考察、分析、评估、检测(包括模拟攻击)和确定系统存在的安全漏洞和安全威胁。2)明确安全策略安全策略是网络安全系统设计的目标和原则,是对应用系统完整的安全解决方案。安全策略要综合以下几方面优化确定:1) 系统整
47、体安全性,由应用环境和用户需求决定,包括各个安全机制的子系统的安全目标和性能指标;2) 对原系统的运行造成的负荷和影响(如网络通信时延、数据扩展等);3) 便于网络管理人员进行控制、管理和配置;4) 可扩展的编程接口,便于更新和升级;5) 用户界面的友好性和使用方便性;6) 投资总额和工程时间等通过以上分析,结合医院实际情况CISCO PIX525防火墙适用于企业和服务提供商,尺寸是2RU,处理器是600M hz,RAM是128256MB,FLASH是16MB。它支持8个10/100M bit/s 快速以太网和千兆以太网接口,具有370M bit/s 的测试吞吐量,能够处理280000个并发会话。分
