1、北京大学人民医院网络规划建议人民医院在 HIS 系统升级的同时有必要进行网络的全面升级,以保证全系统的稳定、可靠、安全运行,避免由于网络瘫痪和延时造成 HIS 系统的不稳定。在网络的设计方面我们提出的设计模型,其设计思想是建立在保证网络稳定性与可靠性及冗余备份基础之上的,并充分利用了 Cisco 网络设备的领先技术,可以为 HIS 软件系统提供稳定的运行环境以及可扩展的高带宽传输。以下是就网络模型的简单描述:该网络的核心采用两台 Cisco Catalyst 6509 交换机,建立冗余的核心路由、交换矩阵,其配置根据 HIS 系统业务流量选择平衡(相同配置的双机)结构。由于人民医院 HIS系统
2、配有大量服务器,平衡配置的双核心交换机将使业务流量均衡的分配在其上,这样将充分利用两台核心的处理能力,也会使下联汇聚层交换机的链路带宽得到充分的发挥,因此选择平衡配置的双核心交换机,并利用 GigaChannel 技术在两交换机之间建立8G16G(48 条线路)的无阻塞通道,保证两台核心交换机之间的大量数据的传输。网络汇聚层根据级联设备的数量以及流量分配有选择的配置三层交换机。对于关键业务以及数据传输量较大的部门除配置普通 Cisco Catalyst 2950 系列二层接入交换机以外还可配置一台 Cisco Catalyst 3550 系列路由交换机,通过千兆光纤分别连接两台核心交换机,这样
3、不仅可以提供 2G 的传输带宽,而且当任一核心交换机宕机时接入交换机仍然可以连接 HIS 系统主机,以此有效的保证全院 PC 机与 HIS 数据库之间的不间断访问。网络中的 HIS 主机集群系统同时连接两台核心交换机,可以避免系统主机和网络核心单点故障的同时发生,使全系统具备更高的可靠性,保证医院关键业务的无间断处理能力。其它专业应用服务器可根据使用情况直接接入核心交换机,以提供较高的访问带宽。通过如上网络结构的设计不仅可以使本院网络系统更加可靠、稳定,而且可为今后的医疗信息化改造建立坚实的网络基础。网络核心 Cisco Catalyst 6509 交换机可以提供720G 的背板带宽以及 40
4、0M 的包转发率,完全可以满足日后 PACS 系统应用的要求;对于服务器不断扩容的需求,该交换机还可提供七层内容交换模块,起到负载均衡的作用,使三层结构 HIS 系统中的中间件服务器运行更加稳定;同样对于医疗信息系统将要面对的海量存储问题,该交换机也可以提供包括 CWDM 和 10G Ethernet 技术在内的全面解决方案,保证系统对在/近线存储的带宽要求。汇聚层 Cisco Catalyst 3550 三层交换机可以灵活的为网络提供多种服务,包括访问控制列表(ACL) 、QoS、802.1X 、EtherChannel等技术,对于保证网络的安全、带宽等都具有实际应用价值,并为今后网络系统扩
5、容提供对投资保护。北京大学人民医院网络系统升级的主要技术优势可以概括如下:一、核心双机网络拓扑结构优势:1、 双机网络系统具备更高的可靠性;2、 双机可根据业务量需求提供负载分担;3、 网络系统扩展可以更加灵活;二、汇聚层引入三层交换机的优势:1、 在汇聚层和核心层可以启用动态路由(如:RIP 或 OSPF) ,这样可以提高收敛速度(动态路由协议收敛速度小于 15 秒,而 SPANNING-TREE 协议的收敛速度为 60-120 秒) ;2、 通过路由策略使汇聚层的三层交换机分担部分 VLAN 间流量,以减轻核心交换机的负载;3、 汇聚层三层交换机可以有效防止广播风暴,并部分阻断类似 BLA
6、STER 病毒所造成的大流量端口攻击;附:人民医院网络规划中应考虑的几个问题一、网络认证管理通过对人民医院现有网络状况的分析,我们设计的网络认证模式将融合现有的“域”和 “IEEE 802.1X”两项技术,针对连接 HIS 核心数据库的用户进行“域+802.1X” 的双重认证,而对于一般接入用户只进行“802.1X”认证。以上的认证方式虽然较为复杂,但是全面的认证管理不仅可以切断非医院内部人员的非法接入,而且可以简化对网络故障(病毒)源的排查,从而为人民医院的整个网络提供安全可靠的管理。以下对 802.1X 技术的分析可以更加明确该认证形式对人民医院网络的适用性1、 802.1X 认证协议介绍
7、802.1X 是一个崭新的通用认证协议,是一种对用户进行认证的方法和策略。它是基于端口的认证策略(这里的端口可以是物理端口也可以逻辑端口)。802.1X 的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许 802.1X的认证报文 EAPOL(Extensible Authentication Protocol over LAN)通过。2、 802.1x 认证体系 结构802.1X 的认证体系分为三部分结构:A、Supplicant System,客户端(PC/网络设备)Suppli
8、cant SystemClient(客户端)是需要接入 LAN,及享受 switch 提供服务的设备(如 PC 机),客户端需要支持 EAPOL 协议,客户端必须运行 802.1X 客户端软件,如:802.1X-Complain,Windows XP。B、Authenticator System,认证系统Authenticator SystemSwitch(边缘交换机或无线接入设备)是 根据客户的认证状态控制物理接入的设备,Switch 在客户和认证服务器间充当代理角色(Proxy)。Switch 与 Client 间通过 EAPOL 协议进行通讯,Switch 与认证服务器间通过EAPoRa
9、dius 或 EAP 承载在其他高层协议上,以便穿越复杂的网络到达 Authentication Server( EAP Relay);Switch 要求客户端提供 Identity,接收到后将 EAP 报文承载在Radius 格式的报文中,再发送到认证服务器,返回等同; Switch 根据认证结果控制端口是否可用。C、Authentication Server System,认证服务器Authentication server(认证服务器)对客户进行实际认证,认证服务器核实客户的 Identity,通知 Swtich 是否允许客户端访问 LAN 和交换机提供的服务 Authenticatio
10、n Sever 接受 Authenticator 传递过来的认证需求,认证完成后将认证结果下发给 Authenticator,完成对端口的管理。3、 802.1X 认证服务实施如图所示:用户 PC 作为 802.1X 的客户端 Supplicant,与之直接相连的接入交换机作为认证者 Authenticator,认证点发生在与用户直接相连的端口上,接入交换机与Radius 服务器通过 EAPoRADIUS 完成对用户的认证。这种方式在最大限度上保证了网络的安全,用户只有在完成了认证后,才能对网络产生流量。采用这种方案时,由于对用户接入网络的控制和认证是在第二层完成的,因此第三层的 IP 地址分
11、配还可以通过 DHCP服务器来分配(两种网络服务相互不会发生冲突),并可通过与 MAC 地址的绑定实现更高级别的安全管理。由于在 802.1X 认证通过之前用户不能对网络产生流量,因此也可以将 Deny of Service 攻击风险降到最低。4、 802.1x 认证的主要认证特点是: 1、 简洁高效:纯以太网技术内核,保持 IP 网络无连接特性,消除网络认证计费瓶颈和单点故障,易于支持未来多业务;2、 容易实现:可在 L3、L2 交换机上实现,网络综合造价成本低;3、 安全可靠:在二层网络上实现用户认证,结合 IP 地址、MAC、端口、账户和密码绑定技术,防止了用户的假冒和 IP 地址的盗用
12、,使网络具有很高的安全性;4、 行业标准:IEEE 标准,微软操作系统内置支持;二、 网络安全管理经过对人民医院现有网络安全的分析,我们认为在以下几个方面需要完善:1、 透过 Internet 直接向局域网发动攻击入侵。这种形式的不安全隐患虽然存在,但是对人民医院的核心业务影响相对较小,而且可以在网络中通过安装防火墙屏蔽大部分的恶意入侵;2、 局域网中非授权用户改用合法 IP 地址,并盗用医院系统内部的资源。这种不安全隐患可以通过实施基于网络认证管理机制的措施完全消除,在系统级管理手段中完全可以通过“域”内的统一安全策略加强对核心业务的保护;3、 局域网中部分低安全管理级别的计算机可对网络核心
13、业务区域中的计算机和服务器进行非恶意性攻击,其主要形式多为由于感染病毒,对网络资源无限制的吞噬,造成网络设备与服务器的宕机,从而严重影响医院的正常业务处理。针对这种情况我们设计了两种措施,以此提供医疗系统全面的安全保护。3.1 通过在汇聚层交换机与核心交换机(物理或逻辑)端口上配置访问控制列表,通过端口级 QoS 技术(Port Rate-Limited)对于非关键业务涉及的用户设定线路最高占用带宽,保证为 HIS 业务预留足够的数据传输带宽。这种安全保护措施虽然较被动,但是可以保证网络系统在遭受病毒攻击时仍然可以为医院的关键业务提供有效的服务。3.2 在网络系统中部署入侵检测系统(IDS)
14、,建立主动、智能的安全保护机制。入侵检测技术是一种主动保护自己免受攻击的网络安全技术,作为其它安全机制的补充,入侵检测能够帮助网络系统应对网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。入侵检测系统(Intrusion Detection System)软件具有全面的入侵监测、防护能力。它可以通过网络信息传感器监听网络中的全部流量,检测具有病毒、攻击特征的通信,这种性能很高、简单易用的安全解决方案在一个软件包中提供了广泛的监视、入侵和攻击检测、非法 URL 检测和阻塞、报警、记录以及实时响应等各种功能。入侵检测系统通过自动检测网络数据流中潜在入侵、攻击和滥用方式,提供了先进的网络保护功能,可以有效协助管理人员深入了解整体安全性以及网络内部的运行情况,并产生详细的统计报表以便管理人员参考。
