黑山县第一人民医院网络整改方案

黑山县第一人民医院网络整改 2011 年 5 月 12 日 黑山县第一人民医院网络整改方案 目 录 目 录 .......................................................................................................................................... - 1 - 前 言 .......................................................................................................................................... - 2 - 第1章 网络需求分析 .............................................................................................................. - 3 - 1.1 网络现状 ..................................................................................................................... - 3 - 1.2 应用需求分析 ............................................................................................................. - 3 - 第2章 网络总体设计 .............................................................................................................. - 4 - 2.1 方案总体设计目标 ..................................................................................................... - 4 - 2.1.1 实用性与先进性结合 ...................................................................................... - 4 - 2.1.2 实现可靠性和稳定性 ...................................................................................... - 4 - 2.1.3 高度重视安全性 .............................................................................................. - 5 - 2.1.4 强调扩充性和延展性 ...................................................................................... - 5 - 2.2 方案设计原则 ............................................................................................................. - 6 - 2.2.1 层次化原则 ...................................................................................................... - 6 - 2.2.2 标准化原则 ...................................................................................................... - 7 - 2.3 IP地址规划 ................................................................................................................ - 7 - 2.3.1 IP地址规划背景 ............................................................................................. - 7 - 2.3.2 IP地址分配原则 ............................................................................................. - 7 - 第3章 网络安全设计 .............................................................................................................. - 8 - 3.1 His系统 ...................................................................................................................... - 8 - 3.1.1 医院HIS系统数据单点存储隐患.................................................................. - 8 - 3.1.2 医院His系统数据需要容灾 .......................................................................... - 8 - 3.1.3 容灾技术方案设计 .......................................................................................... - 9 - 3.1.4 His系统容灾的特点 ..................................................................................... - 10 - 3.2 RG-SMP 2.X桌面管理 ............................................................................................ - 11 - 3.2.1 桌面管理组件目标 ........................................................................................ - 11 - 3.2.2 进程管理 ........................................................................................................ - 12 - 3.2.3 进程管理带来的好处 .................................................................................... - 12 - 3. 3 远程桌面管理 .......................................................................................................... - 13 - 3.3.1 远程管理 ........................................................................................................ - 13 - 3.3.2 绑定功能 ........................................................................................................ - 14 - 3. 4 内网安全管理 .......................................................................................................... - 15 - 3.4.1 安全管理 ........................................................................................................ - 15 - 3.4.2 互联网访问策略 ............................................................................................ - 15 - 3.4.3 业务系统访问控制 ........................................................................................ - 15 - 3.4.4 客户端带宽控制 ............................................................................................ - 16 - 3.4.5 网络访问控制的好处 .................................................................................... - 16 - 第4章 设备选型及参数 ........................................................................................................ - 17 - - 1 - 黑山县第一人民医院网络整改方案 前 言 1989年11月，卫生部颁布了《医院分级#管理#》，开启了中国医院分级管理的新模式。根据分级管理制度的规定，一级医院是直接向一定人口的社区提供预防、医疗、保健、康复服务的基层医院、卫生院;二级医院是向多个社区提供综合医疗卫生服务和承担一定教学、科研任务的地区性医院;三级医院必须是向几个地区提供高水平专科性医疗卫生服务和执行高等教育、科研任务的区域性以上的医院。而各级医院经过审批，按照《医院分级管理标准》确定为甲、乙、丙三等，其中三级医院增设特等，因此医院共分为三级十等。三等，其中三级医院增设特等，因此医院共分为三级十等。由于迄今我国尚未评过三级特等医院，三甲医院是当前最高等级医院。 医院分级管理是根据医院的不同功能、任务、规模、技术水平、设备条件、服务质量和管理水平，把医院分为不同级别和等次，对不同等级的医院实行标准有别，要求各异的标准化管理和目标管理。 对医院来说，创建等级医院，是强化医院管理的一个有效途径，能推进医疗工作化运作，促进医疗服务质量的不断提高，促进医疗资源的合理配置，促进医德医风不断好转，最终是人民群众得到满意的医疗服务，医院得到持续发展，也为构建和谐医患关系与和谐社会提供支点和保证。 黑山县第一人民医院于2010年底升级为二甲医院，现有床位380张，门诊量约250-360人/天。由于现行的办公设备比较简陋、网络不安全因素以及U口不安全因素，现对黑山县第一人民医院的网络进行整改。整改的目的是为了提高医院的管理和网络的安全，防止医院资料、病患病例的丢失。 该方案的实施将在整个医院建设企业级的计算机网络系统，并在其基础上构建企业级的应用系统，实现整个医院的人、财、物等各种信息的顺畅流通和高度共享，为全院的管理水平现代化和领导决策的准确化打下坚实的基础。该方案的实施对于医院的网络来说具有稳定、可靠、试用期长、扩充性好等特点。 - 2 - 黑山县第一人民医院网络整改方案 第1章 网络需求分析 1.1 网络现状 黑山县医院的组网及其简单，中心机房位于旧楼的四楼，办公设施以及现网网络设备不够完善，有HIS系统，没有数据的备份功能，另外，医院有内网网络90多台和外网网络100多台，但是没有进行内外网的分离，如果这样的网络一旦招收攻击、病毒的侵害，后果将不堪设想，这也是造成现网网络的不安全因素之一;不安全因素之二，现有系统U口控制困难，一方面对医院的相关数据、病患的相关资料会轻易的被不法之人盗用，对医院的利益有一定的威胁。另外桌管系统的落后，一个人难以实现便捷、实效的控制，这样就造成了医院的工作效率太低，对医院的利益造成一定影响。 现有的网络系统主要是用于处方及收费。现黑山县第一人民医院已经升级为二甲医院，380多张床位，门诊量每天多达300人，那么对于这样的一个二甲级医院来说，现有的网络系统远远不能提高医院的工作效率。 1.2 应用需求分析 1、医院的网络同时承载着多样的网络应用:日常网络办公，门诊挂号内部数据服务器的文件交互，各区间数据采集交互。要求网络具有高性能、高可用性和高安全性。 2、增强系统的U口控制功能，禁止他人在PC机上使用U盘或各种移动设备像PC机上做任何上传、下载等操作。 3、通过internet 的高速连接，数据的上传与下载传输、门诊病历应用服务器对外提供相关的业务应用，为县区数据应用提供快速、安全的有效连接。 4、能对不同用户的使用情况加以策略控制，例如到Internet 的访问或者相关服务器，对于不同的时间段加以管理。对服务器访问控制保障了敏感数据的安全性，对internet访问的合理控制，保障了内部网络的安全性。 5、另外针对一些特属的应用能进行记录，以便事后查看，能够定位到IP地址以及用户所连接的端口和使用的PC机。同时要求基于不同的应用:网络下载、 - 3 - 黑山县第一人民医院网络整改方案 在线医疗视频点播等一些应用提供速率限制。 6、另外在设备支持上要求:网络设备集成的安全性的IPsec VPN，要求第2 层和第3 层的QoS;网络规模在不断扩大中，用户数在持续增加，要求网络具有很好的扩展性以及高效的稳定性。 第2章 网络总体设计 2.1 方案总体设计目标 2.1.1 实用性与先进性结合 网络系统设计应能满足当前的业务需要，同时又要考虑到未来的发展。要使网络系统为应用系统提供统一的接口，屏蔽因具体计算机硬件和网络不同而造成的差异。同时要考虑易于操作性，确保使用技术成熟的网络设备和通信技术，同时要考虑对现有设备和资源的充分利用，保护原有的投资。 在满足适用性的基础上，网络系统设计尽量采用先进的网络技术及通信设备，以适应内部大量数据传输以及多媒体信息的传输。所采用的网络技术应具有长足的发展潜力，以适应未来新的应用系统和网络技术的发展。 2.1.2 实现可靠性和稳定性 网络可靠性和稳定性直接关系到应用的好坏，网络系统的故障可能直接给应用带来灾难性的损失。网络系统要有较高的可靠性，各级网络应具有网络监督和管理能力，要充分考虑设备和线路的容错机制和冗余，能够在线修复、更换和扩充。网络的可靠性主要是防止在网络上出现单个破损点，即避免因某一点出现故障，如某一个设备或某条线路出现故障而对整个应用系统产生影响。支持多媒体信息传送、INTERNET浏览、应用系统的应用服务器时时连接等信息系统运行的局域网是县医院网络系统的重要基础设施，必须保证全天候不间断地工作。 - 4 - 黑山县第一人民医院网络整改方案 2.1.3 高度重视安全性 在网络信息安全措施上，绝对保证数据在传输和处理过程的安全性，做到不丢失、不泄露、不损坏。利用防火墙，对信息进行过滤，高度重视网络的安全问题，防止黑客的入侵对网络应用造成的破坏。网络安全性包括:网络层的安全性;系统的安全性;用户的安全性;应用程序的安全性;数据的安全性。我国对网络安全高度重视，对防火墙系统、网关、代理服务器和路由器等都有相应的安全技术要求。办公楼网络要具有多层次的、基于策略的安全保护措施。 2.1.4 强调扩充性和延展性 可扩充性和可延展性主要包括两个方面的内容:一是为网络将扩充新节点和新分支预先作好硬件、软件和管理接口。二是网络必须具有升级能力，能够适应网络新技术发展的要求，从而为将来全部网络升级到其他更新的网络技术作好准备。 在保证网络系统的有效性和实用性的同时，应充分考虑到网络的可扩展性，即保证网络若干年不落后。因此在设计网络时，并不是一味追求高配置、高速率，而是在保证网络先进性的同时，选择具有良好扩展性和升级能力的网络设备，设计出具有良好扩展性的网络拓扑，以保证整个网络系统的扩展性和升级能力。这具体表现在以下几个方面: 1)、选用了具有良好开放性的网络和平台，易于扩充、升级。 2)、用户端的网络操作系统选用了适合于多种媒体访问技术和多种高层协议的系统。 3)、用户端系统采用结构化布线，并利用交换机(Switch)组网。这样可方便地通过交换机(Switch)端口的级联、插板以及堆叠等方式增加网络工作站，并通过更换提高网络的传输速率。 对于这样一个复杂的系统，其网络的维护和管理十分重要，这直接关系到整个网络的稳定性和可靠性。网络设计时，应采用统一的建网模式、采用结构清晰的网络拓扑外，采用一套具有强有力的网络管理能力的网络管理软件，实现全网的监测、资源分配管理、负荷调节、故障定位等功能，并具有良好的人机操作 - 5 - 黑山县第一人民医院网络整改方案 界面。 2.2 方案设计原则 2.2.1 层次化原则 在未来网络架构设计中，为了实现一个可管理的、可靠的、高性能网络，我们将采用层次化的方法，将网络分为核心层、汇聚层和接入层三个层次进行设计。这种层次结构划分方法也是目前国内外网络建设中普遍采用的网络拓扑结构。在这种结构下，三个层次的网络设备各司其职又相互协同工作，从而有效保证了整个网络的高可靠性、高性能、高安全性和灵活的扩展性。拓扑结构如下图所示: 图1.1 网络拓扑结构图 其每一层的网络设备功能描述如下: 1、核心层: 提供高速的三层交换骨干核心层不进行终端系统的连接;核心层少用或不实施影响高速交换性能的ACL等功能。 2、汇聚层: 作为接入层和核心层的分界层，分布层完成以下的功能;本功能区VLAN 间的路由;IP地址或路由区域的汇聚; 3、接入层: 通过VLAN定义实现接入的隔离。 - 6 - 黑山县第一人民医院网络整改方案 2.2.2 标准化原则 网络设计中所用的各种管理信令、接口规程、协议须符合国际标准，便于扩展和网络的互连互通。支持国际上各种通用标准的网络协议和标准等，支持大型的动态路由协议，支持策略路由功能。保证与其它网络(如互联网等)之间的平滑连接。 2.3 IP地址规划 良好的网络拓扑结构和网络地址规划是网络稳定、安全、高速、高效运行的基础，合理、统一地规划和分配IP地址和子网，以利于网络路由的迭合，减少路由表的大小和复杂性，提高三层路由的效率以及网络的性能和稳定性。 2.3.1 IP地址规划背景 IP地址是TCP/IP协议族中的网络层逻辑地址，它被用来唯一地标识网络中的一个节点，TCP/IP协议已经成为计算机网络的事实上的国际标准。地址的分配中，保留了三个IP地址块作为企业的专有地址: 10.0.0.0-----10.255.255.255 172.16.0.0---172.31.255.255 192.168.0.0---192.168.255.255 2.3.2 IP地址分配原则 IP地址的分配应遵循以下几个原则: 唯一性:一个IP网络中不能有两个主机采用相同的IP地址; 简单性:地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项; 连续性:连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率; 可扩展性:地址分配在每一层次上都要留有余量，在网络规模扩展时能保证 - 7 - 黑山县第一人民医院网络整改方案 地址叠合所需的连续性; 灵活性:地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。 良好的IP网络地址规划主要有以下优点:便于网络的统一管理、监控，提高网络的安全性和可靠性;便于网络的扩展，在网络的扩展过程中只需对网络拓扑进行局部的改动，不会对整个网络产生任何影响;便于网络路由聚类，减少路由表的数量，提高网络的运行效率，减少对路由器CPU、内存的消耗。 第3章 网络安全设计 3.1 His系统 3.1.1 医院HIS系统数据单点存储隐患 随着医疗信息化的进一步发展，HIS系统在医院中起着越来越重要的作用，一旦医院的HIS系统在医院运营时段无法使用，医院门诊、挂号、收费等全部改为单机操作甚至是手工操作，往往给医院的正常运营带来巨大的影响，不仅是运营收入上的减少，更严重的是给医院的声誉造成巨大的损害。 3.1.2 医院His系统数据需要容灾 医院如果采用传统的备份方式，数据是以压缩方式备份到其他存储介质中。当主磁盘阵列出现故障时，HIS系统的业务必定会中断，要恢复业务，需要进行一系列的操作，将数据导回到新的主磁盘阵列中，这些操作往往会导致半天甚至一天的数据丢失，以及数小时的业务中断。 因此传统备份方式在磁盘故障时存在三个主要问题: 1)、故障发生后医院会丢失一天甚至更长时间的数据; 2)、故障发生后必然导致HIS系统应用的中断; 3)、由于备份数据需要解压缩，故障恢复时间长。 - 8 - 黑山县第一人民医院网络整改方案 3.1.3 容灾技术方案设计 1、本地容灾 本方案在原有的环境下增加RG-iS-V2000/3000一台，磁盘阵列一台，将原有的存储系统中的HIS系统数据卷与新增加的存储设备中的新卷进行在线的实时镜像，去除存储设备的单点故障，原有的服务器、存储系统和磁带库不需要做任何调整，很短时间内即可完成安装和调试。结构图如下所示: 图1.2 本地容灾结构图 2、园区级可用容灾 本方案采用2台RG-iS-V2000/3000进行集群，服务器、虚拟化管理平台和磁盘阵列分布在医院的两栋楼中，做到全部冗余，去除所有单点故障，任何一栋楼内的设备出现故障都不会影响业务运行，增大了容灾半径。结构图如下所示: 图1.3 园区容灾结构图 3、全业务数据整合 本方案可以完全兼容各种存储架构(iSCSI/FC)，以及第三方的存储设备， - 9 - 黑山县第一人民医院网络整改方案 在HIS高可用容灾的基础上，将多种存储设备虚拟化成一个存储池，并将HIS、PACS、LIS、OA、Email、Web等多种业务系统全面融合，统一存储，统一管理，实现全业务整合和容灾。结构图如下所示: 图1.4 数据整合结构图 3.1.4 His系统容灾的特点 1、零时间故障自动切换 当任何一台磁盘阵列因为故障无法正常工作时，无需手工操作，HIS系统继续在正常的磁盘中读写数据，完全不影响业务的正常使用，真正做到零时间故障自动恢复，无需人工干预。保证即使在故障发生时医院HIS系统业务决不会中断。 2、高性能 利用虚拟化引擎对两台磁盘阵列进行镜像，镜像卷的读性能与性能最高的磁盘阵列相当;两台磁盘阵列不分主从，相比传统的主从模式，将造成的数据库性能损耗降到最低;支持镜像盘柜同步断点续传，最快的时间完成盘柜间同步，对前端业务影响最小化;采用1.5万转的高性能SAS硬盘，相对SCSI和FC硬盘，内部传输率相当，转速相当。报表查询速度提升一倍，但是成本减少一半。 3、系统平滑升级 本方案无需在现有服务器上安装任何软件，完全不对现有服务器的兼容性和性能造成影响;虚拟化容灾平台可兼容现有阵列，无需进行数据迁移，即可实现容灾，系统平滑切换;该方案实施的核心优势在于“业务先行恢复，数据在线容灾”。保证现有业务连续运行的同时，进行数据容灾。实施停机时间降低到最小，最大程度降低业务切换风险。 - 10 - 黑山县第一人民医院网络整改方案 4、高稳定性 锐捷虚拟化管理平台采用和小型机相同的RISC架构，具有极高的稳定性和性能;锐捷虚拟化管理平台使用的具有高稳定性和安全性的嵌入式操作系统VxWorks;高稳定性的架构配合高可靠的系统保证医院HIS系统7×24小时×365天稳定运行。 5、降低TCO 硬件成本:虚拟化管理平台可以整合医院现有存储设备，保护医院原有投资;软件成本:未来升级不需要为新增加的服务器和磁盘阵列购买任何的License;管理成本:采用统一的管理平台，管理方便，实施简单，为医院节省管理成本。 6、高扩展性 园区级全冗余容灾:实现楼栋间业务级、全实时、全自动的医院业务容灾平台;全业务数据整合:将不同类型存储设备，多种业务整合到统一存储平台管理;提供远程容灾扩展平台:现有搭建的本地容灾平台可以轻松的升级到远程容灾。 3.2 RG-SMP 2.X桌面管理 3.2.1 桌面管理组件目标 RG-SMP 2.X桌面管理/审计组件采用基于B/S结构的分级多服务器架构，其后台采用C/S结构，采用可拆分的独立功能模块形式，把实用、易用、便捷、灵活的系统管理工具提供给最终用户。主要体现在以下几个方面: 1、简化工作授权，即使是对远程的地点。每一个IT人员都可以依照同一本手册中的同一页内容开展工作。 2、制订岗位描述保持一致性，基于同样的标准进行工作而无关地点或规模。对于关键角色的技能和知识要求对于不同的地点也可以保持一致。 3、每个IT单位都可以知道其下属单位的网络结构、IT工作范围、职责和流程。这样提高了集成化并减少了关键任务遭到忽视或者陷入无人地带的可能。 4、对于商、服务提供商或外包商的管理得到简化。确保所有关键流程都电子文档化，从而，在设定服务期望和服务提供商的规则时这是非常有价值的工具。同时，可以用来决定和控制提供IT服务的成本，然后有选择性的，以一 - 11 - 黑山县第一人民医院网络整改方案 种等价的方式，从客户那边收回成本。 6、IT持续性管理关注采取措施降低IT服务的风险，有预案可以帮助客户在遇到全局性或局部灾难时，恢复到可以接受的服务水平。 7、在有效解决内网运维、内网安全、内网审计等问题的同时，也解决了因为同样的流程和配置极大的简化人员调配的问题。 8. 集成的、合理的、秩序的、有效的流程集合，中止中庸和混乱。工作有条不紊。与服务支持的运营过程相比，系统的各个模块更是在更加战术性的层面上运行，更重要的是，提供了一个经过证明的实践框架，完全基于实践经验，而非纯理论的想法。 3.2.2 进程管理 全部进程汇总功能可以把整个网络所有运行过的进程汇总到系统自有的进程库中，根据不同的进程加以识别码，根据这一特征码，对进程的唯一性做出判断，管理人员可以根据进程库中的任意进程察看这一进程的运行情况，能够找到某一时刻正在运行这一进程的所有PC机。利用此类功能管理人员可以针对可疑的进程(病毒)进行跟踪，找到问题根源，从而在网络中彻底杜绝不良程序。更重要的是，管理员可以依托此功能，对整个网络的应用程序行为进行宏观调控。 及时查询及杀死功能可以让管理人员随时检查任意,,机的当前应用程序的运行情况，并且针对不符合管理要求的任意进程，进行即时杀死操作。 黑白名单管理，则可以为内网的应用程序管理建立标准。任何可能影响工作的应用程序(包括病毒、下载、聊天、电影、炒股等)在加入黑名单后，则无法使用，永久性进行屏蔽。即使被管理者想通过拔掉网线等手段脱离网络，系统的所有策略依然生效。保证了管理的有效性和稳定性。 3.2.3 进程管理带来的好处 1、杜绝未授权下载，严格控制网络带宽，确保业务系统正常工作。 2、杜绝上班时间做与工作不相关的事情(游戏，电影，炒股等行为)，做到适当的人，只允许用适当的程序。 3、减少非法程序的启动可能引起的病毒感染问题。从终端应用程序方面， - 12 - 黑山县第一人民医院网络整改方案 着手病毒防护工作。 4、通过技术手段，才可以真正的辅助行政管理，达到立竿见影的效果。 利用进程管理功能，IT管理员可以全局性的掌控网络中应用程序的运行策略，确保内部网络的高可利用性和高安全性。为管理人员提供了强有力的管理工具，使得企业内部的管理规定能够通过技术手段加以控制，限制了在工作时间计算机使用者的使用规范，提高了计算机使用者的工作效率，保证了员工计算机系统的稳定运行。 3. 3 远程桌面管理 3.3.1 远程管理 通过远程维护功能，管理人员可以很轻松的接管任意客户机，获取网络终端的实时屏幕图像或对网络终端进行维护操作。不再需要任何维护问题都亲临现场。 为了符合人性化、以人为本的管理理念，系统在提供远程支持功能时专门增加了可选的接管确认选项。设定确认选项后，管理员在获取网络终端的实时屏幕图像和对网络终端的操作控制权(接管)前，需要终端用户的确认。没有用户的确认则无法接管终端。 甚至在必要时，还提供锁屏功能，管理员可通过此功能，让客户机无法知道管理员所做的任何操作。 在维护的同时，考虑到要经常性的进行文件的传输，系统特别增加了文件传送的功能，两台主机间的文件传输，可以通过简单的拖拽文件进行操作，大大方便了管理人员的维护和操作。 远程终端的实时对话功能，也是系统追求服务的一种体现，管理人员可以通过点对点的通信功能，和客户机工作人员进行互动，及时的沟通问题、定位问题、解决问题。 - 13 - 黑山县第一人民医院网络整改方案 图1.5 远程桌面示意图 远程管理的好处: 1、管理人员可以在任意工作机上进行远程维护，忽视实际的地域距离。 2、支持速度更快。 3、原先一对一的现场支持转为远程一对多支持，效率更高。 4、节省IT部门人力资源开销。 5、更重要的是，确保任何时候，IT部门有人值守，当真正遇到灾难性问题的时候，可以第一时间响应。 远程支持功能使IT管理员可以跨地域解决终端常见的问题。只要终端还能运行，网络在正常工作，IT管理员就可以在自已的办公室里通过系统进行远程支持，不用为了要打开故障终端里的一个应用程序，而来回奔波。提高工作效率。 3.3.2 绑定功能 IP/MAC地址绑定功能，使IT管理员可以更加严格的规划和分配网络中的IP地址、防止用户自行改变IP地址。当终端应用了IP/MAC绑定策略，而终端用户自行改变IP地址，则RG-DMS桌面管理系统会阻止改变IP地址，同时阻断该终端的网络访问。IE绑定实现绑定主页，控制代理服务器非法连接外网，从而杜绝了员工的非法外联给企业来得的损失。 - 14 - 黑山县第一人民医院网络整改方案 3. 4 内网安全管理 3.4.1 安全管理 IT管理人员在维护所有终端正常运行的同时，还肩负着两项艰巨的任务，一是病毒防护，二是防止信息泄密。 在病毒防护上面，大部分IT管理人员都依赖于网络防病毒软件，但是，深入分析病毒的传播途径，我们会发现，光有网络防病毒软件还是不够的，在力求防范于未然的指导思想下，我们希望从各方面同时加固加防，尽可能的做好安全工作: 1)、由于防病毒软件的滞后性，所以我们希望，任何一台终端机都要通过某种方法，及时的打上安全补丁。 2)、在IT管理人员不知情的情况下，如何处理好外来访客，或者是内部员工自带笔记本电脑的非授权接入(可能引起病毒感染或者信息泄密)。 3)、规范外设的使用权限(手机接入、软盘、U盘、移动存储设备、红外线接入、蓝牙接入等，都可能引起病毒感染或者信息泄密)。 3.4.2 互联网访问策略 基于IP地址访问规则，IT管理员可以根据公司的规定，对不符合规定的URL地址进行屏蔽，只开放符合规定的URL地址，达到对网络访问进行控制的目的。如一般员工在上班时间只能访问公司邮件系统，只能上公司网站等。用技术手段对公司/企业的规章制度落到实处提供了保障。 3.4.3 业务系统访问控制 TCP/UDP端口访问管理功能可以让IT管理员对不同的网络终端设定对特定TCP/UDP协议端口的访问规则。如是否允许访问、允许访问的时间等。TCP/UDP端口访问规则的实施，可以使用IT管理员拥有对特定网络应用程序的运行进行控制的能力，是在进程管理的基础上对网络终端行为的另一种管理方式。 通过TCP/UDP端口访问管理，IT管理员可以部署相应策略，允许或禁止终 - 15 - 黑山县第一人民医院网络整改方案 端访问特定的资源，如市场部门不能访问财务部，一般员工不能访问管理级的服务器资源，彻底解决网络资源访问权限规划的问题。 3.4.4 客户端带宽控制 网络带宽资源是有限的，不少员工在上班时间下载电影、MP3、在线电影等，经常造成网络堵塞，严重影响了公司正常业务的运行。限制些应用程序的使用，可以收到一些效果，但属于比较被动的管理方式，目前市面上的软件层出不穷，谁也无法预测接下来又会有什么新的软件产品，对客户端PC带宽控制可以更好弥补这一缺陷。 带宽限制功能可以根据你的需要，对每台PC限制最大的带宽访问阀值，以实现对互联网访问资源的合理分配。 3.4.5 网络访问控制的好处 1、预先规划好内网终端机访问互联网权限，减少由此可能引起的病毒感染、恶意下载及员工随意访问造成工作效率低下或干脆出工不出力的情况。 2、预先定义内网间的访问权限，相当于划分虚拟VLAN，减少可能存在的病毒传播、恶意内网扫描等问题。 3、策略终端化，减轻主干交换机负担、减轻网关产品负担。 通过部署有效合理的端口策略，还能辅助硬件防火墙提高网络性能。当网络不断扩张的时候，内部子网越来越大，网络终端数量越来越多，数据流量越来越大。为了实现内网不同终端的访问规则，必须在防火墙上设置更多的策略和规则。防火墙也必须用更多的时间检测数据是否符合访问规则，当规则越来越多时，防火墙的性能就会下降，甚至可为网络访问的瓶颈，使得网络整体性能下降。通过端口策略部署，可以把应该在防火墙上做的访问策略转移到终端上来，把不符合规定的访问拦截在它的源头——终端本身，在网络边界的防火墙则不需要复杂的访问规则，其性能得以提高，网络的利用率也相应提高，业务流程更加顺畅。 - 16 - 黑山县第一人民医院网络整改方案 第4章 设备选型及参数 序号 名称 型号 相关参数性能 28G背板带宽;4.5M转发能力;高性 能、多业务、高安全、热插拔、热备1 路由器 RG-RSR50-20 份;支持多业务接口;将ipv6、BGP、 VPN、QoS等技术融合。 1000M处理能力;扩展状态检测、防2 防火墙 RG-WALL160E 范入侵、高性能网络传输;入侵检测 功能;内容过滤。 强大组播、基于策略的QoS、有效的 安全管理机制和电信级的高可靠设3 核心交换机 RG-S7800 计，同时进一步融合MPLS VPN、IPv6、 网络安全等多种网络业务，提供不间 断转发、不间断升级、环网保护。 支持ipv6、ipv4、高性能、多业务、4 二层交换机 RG-S3760 防止和控制病毒传播和网络攻击。 PC机软、硬件报表统计、PC机软、 硬件变动跟踪、支持基准管理、pc机5 桌管系统组件 RG-SMP 2.X 台帐登记及生命周期的跟踪、支持预 警系统联动。 6 容灾系统组件 RG-is-V2000 - 17 -