​​ 点击报名后领取>>>软考16本电子版教材 & 36本辅导教材 + 27套历年真题试卷 + 21套精编知识点6G资料包​​

摘要：

本人在某医院信息中心工作，我院建设于2011年，随着医疗信息化建设的不断深入，我院的信息化建设已经有了很大进步，在发展过程中我们发现，随着医院数据量、业务量的增加，我院网络带宽已经不能满足现有需求，IP资源已经枯竭，核心设备存在单故障点，内网病毒不能得到有效控制。院领导决定投入200万，进行网络升级改造，于2017年7月开始实施，工期为5个月。本人作为信息中心负责人，主持本次改造工作，我在资金有限的前提下，对医院网络进行了全面细致的规划，主要规划内容有：IP地址重新规划、网络结构调整、重新布线、设备选型及核心交换虚拟化、部署背靠背模式防火墙、内网杀毒软件部署等。项目实施完毕后，取得了良好的效果，得到领导的肯定。由于资源投入有限，本次网络改造并未部署入侵检测系统，将会在后期的改造中加以完善。

正文：

随着我国医疗改革新体制等一系列政策的实施，我国医疗卫生系统信息化建设也呈现出快速发展的趋势。本人在某医院信息中心工作，我院建设于2011年，随着医疗信息化建设的不断深入，最近几年我院的信息化建设已经有了很大进步，逐步建设实施了HIS系统，PACS系统，LIS系统，电子病历系统等，在发展过程中我们发现，随着信息化建设的深入，我院网络规划方面存在的问题，逐渐显示出来，如：大楼建造时设计的全网百兆链路，已经不能满足现在医学影像传输；IP地址规划不合理，导致目前IP地址资源即将耗尽；医院核心交换机存在单故障点，一旦出现问题严重影响医院正常运转；工作人员上网行为得不到有效管理，在工作时间经常浏览、下载与工作无关的内容；工作人员私自插U盘，内网各种病毒得不到有效防治；针对以上问题，院领导决定投入资金200万，进行网络升级改造，于2017年7月开始实施，工期为5个月。本人作为信息中心负责人,主持本次项目，我在资金有限的前提下，充分利用现有条件和成熟技术，对医院网络进行了全面合理的升级改造，本文将介绍我在提升网络带宽、增强网络安全性、可靠性方面采取的一些技术和方法，主要内容有：IP地址重新规划、网络结构调整、重新布线、设备选型、设备的重用、核心交换机虚拟化、部署背靠背模式防火墙、内网防毒部署等。

1、IP地址的重新规划：我院由一座办公楼、一座体检楼、一座功能科室楼、一座新建综合大楼组成，机房位于新建综合大楼二层，建网初期由于对信息化发展的预见性不足，为每座楼划分的一个192.168.X.0/24的C类网，目前办公楼、体检楼、功能科室楼的计算机数量较少，IP地址尚且够用。由于所有门诊部和住院部科室全在新建综合大楼，随着计算机的不断增加，IP地址目前已经基本耗尽。所以对新建大楼IP地址重新规划：因各个服务器都采用固定IP地址，故沿用原来地址不做改动；门诊部重新划分一个192.168.X.0/24的C类网；住院部根据内科、外科、妇科分类，每科重新划分一个192.168.X.0/24的C类地址；各楼层均有自助缴费设备，自助缴费设备需要与银行专线连接，划分一个192.168.X.0/24的C类网，便于管理；大厅报销窗口设备与市医保专网连接，报销窗口设备单独划分一个192.168.X.0/24的C类网，便于管理。DMZ区域各类前置服务器划分一个192.168.X.0/24的C类网。此次划分共将我院网络划分成了15个C类网络，每个网络对应一个VLAN。重新划分之后，发现检查设备配有的IP地址需要厂家专业人员修改，故所有检查设备及所连计算机暂时不做改动，在接入层交换机预留端口，等厂家专业人员修改IP之后再调整网线连接。

2、网络结构调整、重新布线、设备选型：我院网络结构原为二层扁平化设计，只有接入层和核心层设备，没有汇聚层，随着计算机数量的增加，广播风暴变得非常庞大，且所有VLAN间数据交换都要经过核心交换机，使核心交换压力越来越大。此次改造决定通过对网络结构进行调整，网络重新布线，网络设备更换等方法，将原来的二层网络结构改为三层网络结构以适应今后的发展。布线方面，我院新建大楼共分为12层，12层至10层线路，汇聚到11层配线间，9层至8层线路，汇聚到8层配线间，7层至6层线路，汇聚到6层配线间，5层至4层线路，汇聚到4层配线间，3层至1层线路，汇聚到2层配线间。终端到配线间线路采用6类屏蔽双绞线，实现千兆到桌面的标准，11层、8层、6层、4层的配线间到中心机房汇聚层交换机采用24芯光纤连接，每层分得6芯，2层配线间离中心机房距离近，采用6类屏蔽双绞线连接，接入层到汇聚层为千兆链路。汇聚层交换机与核心交换机之间采用万兆光纤连接。设备选型及配置方面，为实现千兆到桌面，淘汰原有百兆端口的接入层交换机，采购台华为S5700系列全千兆端口三层交换机作为接入层交换机，每个配线间的接入层交换机做堆叠处理，简化管理，并增加交换机的交换能力。采购华为S6700系列全万兆端口三层交换机作为汇聚层交换机，汇聚层交换机之间用4条链路做链路聚合，增加带宽并实现链路冗余。采用2台华为S7900系列全万兆端口三层交换机作为核心交换机。

3、核心交换机虚拟化：我院网络为单核心结构，存在单点故障，一旦发生交换机故障，将会导致全网瘫痪，直接影响我院的数据安全性、业务连续性。此次改造，我院新采购2台华为S7900系列全万兆端口三层交换机，做核心交换，通过CSS技术将两台核心交换虚拟成一台逻辑交换机，实现核心交换机的负载均衡，统一管理，避免单点故障。同时把所有汇聚层交换机与虚拟化之后的核心交换机之间两条上联链路进行跨设备的链路聚合，使网络不仅有设备上和链路上的冗余，还能负载均衡，充分利用网络资源，防止带宽浪费。CSS技术可能因为线缆、堆叠卡故障导致分裂，分裂后的状态会变成两台配置完全相同、且相互独立的核心交换设备，这样会引起整个网络的全面瘫痪，为了避免此类故障发生，在核心交换之间配置双主检测，实现CSS分裂的处理和恢复。为进一步加强安全防护，将所有接入层、汇聚层交换机未连接设备的端口全部禁用。经过此次改造，解决了核心交换设备的冗余及负载均衡问题，提高了网络的可靠性，简化了核心交换的管理，避免了汇聚层到核心层之间的链路环路和带宽浪费。

4、设备的重用：网络改造是对现有资源重新配置并增加功能的过程，合理地保护现有投资是在网络改造时必须考虑的问题。由于大楼建设时，设计为百兆到桌面，墙体内的布线均为百兆的5类双绞线，现在医院的医学影像类文件，多为1G、2G的文件，百兆带宽的链路传输非常慢，已经不能满足现在的需求，所以线路无法再重用，只能重新布线为6类屏蔽双绞线。替换下来的交换机多为百兆交换机，也不能适应现在的千兆到桌面设计，不过此次改造只涉及到综合大楼的线路改造，其他大楼还是百兆链路，办公楼主要做一些文件处理、在线填报报表之类的工作，不涉及影像图片的查看，百兆链路还能满足当前需求，所以选用一些故障率低的百兆交换机，作为办公楼的备用设备，一些经常出故障的设备直接淘汰，不在维修。原有的一台核心交换机为千兆端口的三层交换机，放到功能科室楼，作为汇聚层交换机使用，因为几个未改造的大楼，从数据流量来看，功能科室楼的数据流量比较大，将功能科室楼与综合大楼之间的链路升级成千兆链路，最为合适。

5、部署背靠背模式防火墙：我院原有一台网御硬件防火墙，随着互联网业务不断发展，逐步开放了医院网站平台、网上预约等业务，为加强安全防护，采购一台深信服硬件防火墙，将防火墙改造为背靠背模式，使用两台不同厂家的防火墙，可以有效避免因设备自身安全性引起的网络安全问题。并且将我院网络进行了区域划分，FTP服务器、数据库服务器、DHCP服务器、内网计算机所在的区域划分为信任区域。web服务器、邮件服务器、预约挂号服务器等所在的区域划分为DMZ区域。互联网划分为非信任区域。新购的深信服防火墙为外部防火墙，部署在非信任区域与DMZ区域之间，做访问控制限制除办公楼以外的其他计算机在任何时间都不能访问外网，办公楼的计算机只能在上班时间访问卫生系统要求在线上报的网站。为了保证非信任区域的用户可以访问WEB等服务器，在外部防火墙上配置NAT，将WEB等服务器的私网地址和公网地址进行一对一静态地址转换。将信任区域用户的私网地址和公网地址进行多对多的端口地址转换NAPT，有效的节省了公网IP资源，同时可以使信任区域用户和DMZ区域的服务器对非信任区域隐藏真实地址，进而有效避免非信任区域的直接攻击，保障了业务的正常使用。网御防火墙为内部防火墙，部署在信任区域与DMZ区域之间，做访问控制，限制由DMZ区域、非信任区域发起的对信任区域所有非必要的访问。2台防火墙同时启用监控审计功能，对于可疑情况及时报警，并提供网络受到探测和攻击的详细信息，以便我们可以清楚的知道网络安全存在的问题，并及时进行改进。

6、内网防毒部署。我院原来采用的内网安全措施为，启用联想商用机自带的还原功能，即每次重启对指定盘符进行恢复。经常会因为恢复功能，使存放不当的各类软件日志或一些工作人员数据资料丢失。对于U盘等存储设备采用物理封堵、注册列表禁用方式，效果也不太理想。本次改造采用方式为对我院所有计算机和服务器安装防毒软件，并在DMZ区域部署一台防毒软件服务器，提供信任区域的计算机和DMZ区的服务器在线升级病毒库。防毒软件服务器通过外网在软件厂家网站下载更新包，实现病毒库自动更新，并通过对外网防火墙做访问策略，严格限制防毒软件服务器只能访问病毒库更新地址，拒绝所有非病毒库地址对防毒软件服务器的访问。在防毒软件控制平台将所有医院系统软件进程加入白名单，防止误杀。对安装客户端的计算机进行分组管理，对于普通用户组计算机禁止所有外接存储类设备、无线网卡、光驱、软驱、蓝牙等，且网络访问权限为只能读取不能写入。对于服务器组禁止所有外接存储类设备。全网定时杀毒及更新病毒库，时间定为患者相对较少，计算机又全部开机的时间段，每周六周日下午4点。经过部署防毒软件之后，内网的病毒得到了有效控制，工作人员乱插U盘的现象也彻底杜绝。

总结：

在本次项目中我通过采取上述技术和方法，在资金有限的情况下，使医院网络的安全性、可靠性得到了很大的提升。通过对交换机、防火墙等设备的重用，有效的保护了已有投资，得到了院领导的肯定。不过随着网络技术的发展，会不断涌现新的网络攻击手段与安全威胁，网络安全也将会面临新的挑战。本次改造中由于资金有限，也存在一些问题没有得到完善，如：内网并没有部署入侵检测系统，对于来自网络内部的攻击和安全隐患无法及时发现，下一步在资金允许的情况下将部署IDS与IPS来进一步加强内部网络的安全，并随着信息化建设的发展不断完善。

文章源于网络，如有侵权，请私信文章标题联系删除，谢谢。

为了能让更多人享受软考的政策福利和现实功利，51CTO旗下软考教研团队联合薛大龙老师，认真严肃向大家推出软考2日直播特训营。

扫码入群0元领取6G的软考6资料包+2天软考特训营名额

软考资料包括：软考16本电子版教材 & 36本辅导教材 + 27套历年真题试卷 + 21套精编知识点6G资料包​

软考训练营名额+资料领取方式>>>

扫下方码入群后按照老师的要求操作即可领取。

51CTO软考两天直播训练营

这门课恰好能够为你答疑解惑，助你快速入门并掌握软考知识要点，获得技能提升。为自己的职业发展规划制定一个更明确的规划，迈出升职加薪的第一步。

训练营周期为 两天直播课 晚8：00-9：00

心急的小伙伴可直接扫码解锁。

☟☟☟

2天软考直播特训营

3大必备技能

↓↓↓

限时 0 元 即可解锁

点击下方链接报名

仅限前100个名额

报名链接: ​ ​​https://edu.51cto.com/surl=oR9sp3​​​

课程涵盖：高分知识点梳理，案例分析解题方法、论文通用模板等。我们力争通过2天的直播课程，助力您快速入门并一次性通关软考！

如果你对这门课程还不太了解的话，就跟我一起往下看吧。

我们的主讲老师薛大龙老师，深耕软考教育培训20余年，主编出版软考辅导教材60余本，非常熟悉软考题目的要求、难度、以及判卷标准。

完成本体验营2天所有课程及作业考核，学员将掌握信息系统项目管理师、系统集成项目管理工程师的高频考点及答题技巧：

①掌握信息系统项目管理师知识体系；

②掌握考试高分占比知识领域；

③掌握考试考情前沿分析；

④掌握论文与案例超干货答题方法；

⑤掌握名师对真题的独到解析。

报名前，你还需要知道的3件事

1）课程形式

直播课程+社群学习活动

2）课程时间

报名后老师安排上课 晚8:00-9:00

3）报名后要做什么？

付费后根据提示添加学姐为好友，开营前学姐会统一拉人入群。

2天软考考证特训营

0 元 解锁课程

还可 领取「6G课程资料」

点击下方链接报名 仅限前100个名额

报名链接: ​​https://edu.51cto.com/surl=oR9sp3​​​