一、网络结构安全
1.网络设备及框架
(1)网络设备的业务处理能力。网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要。同时在满足业务高峰期需要的基础上,合理设计网络带宽。对关键网络设备根据安全策略进行冗余备份。
(2)网络架构。在网络框架上,目前医院信息系统普遍采用三层网络架构,采用层次化模型设计,即将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使复杂的问题简单化。三层网络架构设计的网络有三个层次:核心层(网络的高速交换主干)、汇聚层(提供基于策略的连接)、接入层(将工作站接入网络)。
①核心层。核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。核心层应该具有可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等特性。在核心层中,应该采用高带宽的千兆以上交换机。因为核心层是网络的枢纽中心,重要性突出。网络核心层应采用高性能网络交换机,推荐双机冗余热备方式。核心层设备采用双机冗余热备份是非常必要的,在提高网络稳定性的同时可以实现负载均衡功能,改善网络性能。
②汇聚层。汇聚层是网络接入层和核心层的“中介”,就是在工作站接入核心层前先做汇聚,以减轻核心层设备的负荷。汇聚层具有实施策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能。在汇聚层中,应该采用支持三层交换技术和VLAN的交换机,以达到网络隔离和分段的目的。
③接入层。接入层向本地网段提供工作站接入。在接入层中,减少同一网段的工作站数量,能够向工作组提供高速带宽。接入层可以选择不支持VLAN和三层交换技术的普通交换机。
(3)无线网络。以方便、快捷、及时等优点,无线网络日渐成为医院信息化建设的重要内容之一。作为有线网络的补充,无线网络能够有效克服有线网络的弊端,在移动中高效率地实现生命体征数据及医护数据的查询与录入,以及在医生查房、床边护理、呼叫通信、护理监控、药物配送和病人标识码识别等方面,提高医疗质量和工作效率。
目前,无线网络的方案有三种:胖AP方式、AP+馈线方式和瘦AP方式,目前应用较多的是瘦AP方式。即每个AP不能单独工作,必须通过无线控制器集中控制,实现了集中管理、集中控制的功能,支持AP的快速漫游,实现简单,带宽容量大,具有自动优化无线网络的功能,可以自动调节信道、功率等无线参数,对存在的干扰具有感知和抑制功能,支持无线的精确定位等。但由于无线局域网是依靠无线电波进行传输的,在传播的过程中容易受到障碍物的阻碍,还会产生电磁干扰。无线信道的传输速率与有线信道相比要低,由于无线信号的发散性,很容易监听到无线电波广播范围内的任何信号,造成安全问题,因此在当前其还无法完全取代有线网络。
2.设计和绘制与当前运行情况相符的网络拓扑结构图
网络常用的拓扑结构有三种:星形拓扑结构、环形拓扑结构和总线型拓扑结构。目前较多采用混合型拓扑结构,这种网络拓扑结构是由星形结构和总线型结构的网络结合在一起的网络结构,这样的拓扑结构更能满足较大网络的拓展,解决星形网络在传输距离上的局限,同时又解决了总线型网络在连接用户数量的限制。混合型网络拓扑结构同时兼顾了星形网与总线型网络的优点,在缺点方面得到了一定的弥补。虽然在总线长度、结点数量上仍受到限制,维护难度大,但是在实际应用当中还是较为理想的拓扑方式。
3.在各工作站与服务器之间进行路由控制
建立安全的访问路径:根据各科室的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。医院网络划分VLAN具有以下好处:控制广播风暴,提高网络整体安全性,网络管理简单、直观,提高工作效率。一个VLAN就是一个逻辑广播域,通过创建VLAN,隔离广播,缩小广播范围,控制医院网络广播风暴产生的风险和范围,提高了网络的整体性能。在一个VLAN内,由一个工作站发出的信息只能发送同VLAN号的站点,其他VLAN的成员收不到这广播帧,不同VLAN通过合理配置路由访问列表和地址分配等VLAN划分原则,可以控制用户访问权限段大小,将医院内使用不同系统的不同用户群划分VLAN,控制了非授权的访问,也控制了病毒的传播,从而提高了整个网络的安全性。
医院网络可以采用动态分配和静态分配两种方式对IP地址进行管理。同动态管理相比,使用静态分配IP地址可以更好地掌握网络结点的情况,更利于网络管理,故推荐静态分配方式。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。