民生医院内部网络规划毕业设计

摘要：随随着21世纪的到来，信息时代真正成为了这个时代的主题，信息技术对社会进步和国民

经济发展将起到越来越大的作用。作为信息时代核心的网络也逐渐进入各行各业，其重要作用也日益显现出来。医院要做要面向社会、面向世界，及时了解国际医疗管理等新的医疗水平，吸收国内国外先进的医疗技术，提高医院的医疗管理水平和医疗技术。

民生医院为了提高医疗信息化水平，使用计算机技术手段为医院的医疗事业提供更好的服务，同时满足医院综合业务的要求，计划建设一个全新、现代、稳定、高速的智能化网络系统。该系统将提供一个高效、可靠的信息平台，在医院内部实现资源高度共享，为医疗、教学、科研、管理服务，并提供与上级部门、社会、家庭之间通讯的出入口，实现医疗信息化，实现医院、社会、家庭的有机结合。

在医院的网络规划和建设中，我将从网络需求分析、网络现状分析、逻辑网络设计、物理网络设计、网络安全等方面进行规划和实现。在建网过程中将尽量选择稳定和成熟的技术和产品，使医院的网络开通后处于稳定的运行状态。在结构上将采用流行的三层结构，即核心层、交换层和接入层，所选的网络拓扑结构是星型，通过防火墙接入邳州的骨干网络。考虑到医院的应用环境，建设了丰富的应用服务器，以满足信息共享的需求。同时考虑到医院的发展，采用开放式的结构和技术使网络具有良好的扩充能力和开放性，以满足今后网络发展要求。

关键词： 网络需求分析；网络现状分析；逻辑网络设计；物理网络设计；网络安全

民生医院内部网络规划设计

目录

项目概述 - 1 -

1.项目名称 ................................................................. - 1 - 2.项目背景 ................................................................. - 1 - 2.1项目需求 ................................................................ - 2 - 2.11建筑楼群及信息点分布图： ................................................... - 2 - 2.12需求分析 ................................................................... - 3 - 2.2企业网应用分析：主要应用需求 ................................................ - 4 - 2.21.Internet应用类型 .......................................................... - 4 - 2.22.企业数据库及企业数据资源系统 ............................................... - 4 - 2.23.专有应用系统 .............................................................. - 5 - 2.3.计算机平台需求 ............................................................. - 5 - 2.4、网络需求 .................................................................. - 6 -

3.网络方案设计 ............................................................. - 8 - 3.1拓扑图 ...................................................................... - 8 - 3.2网络设备选型及配置数量 ...................................................... - 9 - 3.3划分依据 ................................................................... - 16 - 3.31划分 ...................................................................... - 17 - 3.32 为VLAN分配ID ............................................................ - 17 - 3.33达到的目标 ................................................................ - 18 - 3.4 VPN组网方案 ............................................................... - 18 - 3.41VPN组网方案 ............................................................... - 20 - 3.42方案特点介绍 .............................................................. - 20 -

4.网络安全设计 ............................................................ - 21 - 4.1 医院网络安全解决方案的设计 ................................................. - 21 - 4.11网络方案的模型 ............................................................ - 21 - 4.12 防火墙隔离的设计.......................................................... - 23 - 4.13 医疗业务数据的捕获 ........................................................ - 24 - 4.2 医院网络安全解决方案的实现 ................................................. - 24 - 4.21 防火墙系统的布置.......................................................... - 24 - 4.22 医疗业务数据捕获的实现 .................................................... - 24 - 4.3 EAD解决方案 ............................................................... - 25 - 4.31技术背景 .................................................................. - 25 - 4.32 EAD方案介绍 .............................................................. - 26 - 4.33 EAD端点准入防御方案介绍 ................................................. - 26 - 4.34 EAD端点准入防御方案特点 .................................................. - 28 - 4.35用户权限管理 .............................................................. - 29 - 4.36 用户行为监控 ............................................................. - 29 - 4.4 桌面资产管理方案介绍....................................................... - 30 - 4.5 桌面资产管理功能特点....................................................... - 32 - 4.51 终端资产管理 ............................................................. - 32 - 4.52 软件分发 ................................................................. - 32 -

民生医院内部网络规划设计

5 规划总结 ................................................................ - 33 - 6.参考文献 .................................................................... 35

民生医院内部网络规划设计

1.项目名称

民生医院内部网络规划设计书 2.项目背景

项目概述

民生医院为一级综合性医院，临床设有内、外、妇、眼、耳鼻喉、口腔各科，痤疮专科。 民生医院是保险公司指定报销的医院之一，住院时您在得到优质服务、享受低廉价格的同时还能报销相应的比例“信誉第一，责任重大”等理念，表达的就是医院职工以病人为中心，对工作极端负责，对技术精益求精，对病人优质服务的医院精神。

此次规划必须具备高度信息安全性：对于医疗卫生信息来说，有很多内部的机密资料与患者的个人隐私资料，为了保护这些内部信息的机密性，避免数据被窃取或侦听，造成不可估计的损失，因此领导对于信息传输的安全性十分重视。

有较好的兼容性：设备必须要有较强的兼容性，不仅要能融合一些应用软件，更要能其他设备相通。 需要具备一定的可扩展性：现在选择的设备必须具备一定的可扩展性，以满足未来两、三年甚至更长时间的扩展需求。

医院楼的网络对整个网络性能要求不是太高。经过规划，整个医院楼就可以更好的应用网络，以免发生网络冲突，而且还可以将整个医院楼划分到一个局域网，这样整个医院的工作人员就可以共享一些东西！而且还能够解决IP地址不够用的问题！

电子信息技术的开发与应用，是当今世界上高科技领域最活跃的支柱产业之一。随着信息科学和计算机应用的发展，医学和生命科学研究对电子计算机的依赖程度会日益加深，这将对90年代生命科学的研究和21世纪医疗卫生保健事业的变革、发展起到重要作用。

这套规划具有信息共享、传递迅速、使用方便、高效率等特点的处理系统 在小范围内尝试为小私营企业主提供一体化网站解决方案（空间、域名、网站、数据库及更新等）系统应有高可靠性、安全性、可维护性和可扩充性，要具有良好的用户界面。

第 - 1 - 页 共 35 页

民生医院内部网络规划设计

2.1项目需求

2.11建筑楼群及信息点分布图：

综合医疗大楼一幢

该楼在医院的左下，一层有31个房间，二层47个房，三层39个房间，四层33个房间，每间房间配有一部电脑。为使信息和资源共享，院方要求每个房间的办公设备都需要网络连通，同时大楼内的网络与医院的网络连通。

行政办公楼一幢

行政办公楼在综合大楼北面，楼高6层，每层有办公室18间。每个办公室均配置有电脑1台，同时医院办公室电脑通过512K的ADSL连入Internet。

综合住院楼一幢

综合住院楼在办公楼右边，楼高10层，每层有一个值班室，每个值班室配置一电脑，并与医院的网络连接。

物资供应楼一幢

该楼位于综合住院楼右面，楼高3层，每层有一个办公室，配置两台电脑，与医院网络连接。 体检康复楼一幢

体检康复楼在综合大楼右面，楼高4层，每层有20个房间，每个房间安装一台电脑。 民生医院楼群分布如图2-1所示：

第 - 2 - 页 共 35 页

民生医院内部网络规划设计

图2-1

2.12需求分析

管理需求

经过对医院负责人和相关网络管理人员的调查结果，我进行了认真的分析，列举出医院的管理者提出了以下需求。

1）网络本身稳定性 2）网站的有效性 3）网络的安全性 4）具有一定的可扩展性

5）在满足基本功能的同时，尽量节约资金

6）办公用户要具有强大的信息传递能力，以保证医院信息畅通

第 - 3 - 页 共 35 页

民生医院内部网络规划设计

2.2企业网应用分析：主要应用需求

2.21.Internet应用类型

1）采用先进的网络技术。首先是要具有开放性、标准性和可扩展性，易于技术更新。其次是要宽带高速率，能够支持综合业务，包 括多媒体业务。再次是能够向智能化网络方向发展。

（2）网络基础结构能够发挥10年效益。同时网络结构必须易于管理并具有高度的灵活 性。 （3）具有高的可靠性。网络能够重构，能够自动进行故障检测与隔离。关键设备达到99%以上的不间断工作。

（4）保证网络安全 ，通过网管中心对网络的使用情况进行监控。 2.22.企业数据库及企业数据资源系统

为了满足我国医院发展的需要，为了使祖国医学早日与世界科技接轨，汇源电子系统工程有限公司集中了大量的人力和物力，借鉴国内外HIS的先进经验，并结合国内各家医院的传统管理模式和实际需求，开发了该医院管理信息系统， 2001年《汇源医院管理信息系统》被信息产业局认定为软件产品，该产品是真正适合我国国情的医院管理信息系统，是唯一能在中国境内与IBM医院信息系统解决方案平分天下的有自主知识产权的医院信息系统。

该系统的实施将在整个医院建设企业级的计算机网络系统，并在其基础上构建企业级的应用系统，实现整个医院的人、财、物等各种信息的顺畅流通和高度共享，为全院的管理水平现代化和领导决策的准确化打下坚实的基础。该系统具有成熟、稳定、可靠、适用期长、扩充性好等特点，可以根据各医院各自的特点度身制作。该系统已成功地运行在普兰店市第一人民医院、庄河市第一人民医院、大连市中山医院、盖州市中心医院、蓬莱市人民医院、丹东市中医院、抚顺市中医院、铁岭中医院、铁岭县医院、黑龙江省呼兰县中医院、大连大学附属医院、瓦房店第一人民医院等一系列三甲、三乙、二甲等医院，为各医院取得了良好的社会效益与经济效益，同时也受到客户的广泛好评。

应用软件功能

（一）、医院各职能部门微机配备表

整个系统由一台服务器和若干台工作站构成一个网络，各个子系统在网络上协调运行，部门间业务查询灵活，又提供严格的权限控制。每个子系统提供一个公用查询功能，每个子系统在此功能下只能

第 - 4 - 页 共 35 页

民生医院内部网络规划设计

使用它有权调用的功能。网络间共享的数据是实时的，避免造成部门间数据不一致的现象。

（二）、医院管理子系统功能视图

医院管理子系统（HIS）通常包含门诊、住院两部分，而管理的主线则为药品和收款金额。 2.23.专有应用系统

1.门诊系统 门诊业务是医院直接面对患者，提供服务的窗口，具有非常重要的地位和自己的特点，焦急的病人无法忍受长时间的等待和排队，也是发生医患纠纷最多的地方。业务重要集中在上午，具有业务集中，并发性、实时性强的特点，因此门诊业务对网络提出了高可靠性，高带宽、高时效的特点。

2．急诊系统 急诊业务不同于门诊的是全天24小时随时发生，突发性强，要求系统稳定可靠。住院系统：住院业务是另一个主要组成部分，直接关系到患者的生命安全，也是医院经济收入的主要来源，各种数据不但重要，而且量很大。一般医生上午开医嘱，下午写电子病历，夜间业务少，但也很重要，多为急救等特殊业务。要求网络高可靠性，安全存储。

3.PACS系统 PACS主要完成各种医学影像的采集、存储、传输和处理，并在全院范围内共享，因此具有存储量大、瞬间传输数据多的特点，要求高带宽、高吞吐量。

4.LIS系统 主要完成对检验设备数据的采集、存储、传输和处理，实时性要求较高。 2.3.计算机平台需求

医院已经为办公用户、机房、，配置为2.6GHZ的Intel赛扬G1610 CPU、2G的内存、160G的硬盘和3Com10/100Mbps自适应以太网卡。同时也准备了2台服务器、配置为： 2.4GHZ的Xeon E5530 CPU、16G的内存、146GB*8的硬盘和双1000Mbps以太网卡，同医院校已经与相关部门签订了一定协议数量的windowsXP、windows server 2003、ISA SEVER2004软件的使用版权协议。民生医院主要计算机配置如表1-2所示。

表2-2 计算机配置 服务器配置 2.4GHZ 16G 146GB*8 CPU 内存 硬盘容量 第 - 5 - 页 共 35 页

客户机配置 2.6GHZ 2G 160G 民生医院内部网络规划设计

双1000Mbps 2.4、网络需求

网卡 10/100Mbps 经过对医院的了解和深入调查，得知总的信息接入点有近400个，对网络的流量主要集中在内部，大约有20%的流量流向Internet。因此，采用1000M骨干网，100M到桌面，通过使用电信所提供10M的光纤接入Internet将很好地满足医院的需要。

网络现状分析及意义

在进行网络设计之前，对客户的网络现状进行分析，了解客户原网络的规模、拓扑结构、设备选型、用户应用等，以便更一步深入了解现有网络能否满足用户的需要，为在新设计网络中借鉴和修正某些问题提供强有力的依据，在对网络现状分析时，应从以下几方面进行：

1、网络规模

对现有网络规模进行分析，以确定可利用资源的多少。 2、网络拓扑结构

根据现有网络拓扑结构，以确定可利用的范围。 3、网络逻辑结构

主要是指网络逻辑部分可利用的资源，如IP、路由及寻址等。 4、网络的物理结构

主要确定可利用的布线系统资源的多少。 5、设备选型及工作状况

通过对设备的分析和工作状态的分析，确定其用处。 6、用户应用，现网络满足用户应用的程度。 主要是指用户的应用程序可利用的现状。 7、网络通信的基础设施现状

通过分析，可以确定原先的通信基础设施是否继续满足用户以后的应用，若能满足可以利用，否则将进行重新设计。

8、接入Internet的现状

只有认真从以上几方面对现有网络进行全面分析，以便决策可利用的现有网络资源，以便最大限度

第 - 6 - 页 共 35 页

民生医院内部网络规划设计

地节省资金，保护用户前期的投资。

行政办公楼网络现状

民生医院的办公环境虽然所有好转，但由于资金和人才的缺乏，信息化办公环境没有真正建立，同时由于医院与外界的交流范围有限，很多网络办公应用均未建立，目前医院用的最为广泛的应用就是Email应用和HTTP应用，所以办公楼除了个别公室的电脑通过ADSL接入到Internet进行有限的网络交流外，其余办公室电脑均未连网。

医疗综合大楼：医疗综合大楼是医生在里面办公的地方，主要进行内部信息交换。由于每层楼都不超过100个信息点，所以每层楼使用一个工作组交换机，每层楼中的信息点直接通过交换机，接入新建立的医院网络即可。

综合住院楼：综合住院楼由于是病人住院的地方，没有大量的文件传输，只是登记病人住院的状况，所以并没有连网。

物资供应楼：物资供应楼是医院储存、供应医药的地方，所以一般采用HTTP、Email等方式 体检康复楼：体检康复楼由于每层只有20个房间，所以每层楼的信息点只需要2个核心交换机接入医院网络。

通过以上对民生医院网络现状分析，除了实医疗综合大楼的网络可以利用外，逻辑网络、物理网络、网络设备、网络应用环境、网络通信的基础设施、Internet接入设施等可利用的网络资源基本没有，所以，必须对医院的的物理网络、逻辑网络、网络软件硬件、拓扑结构、通信基础设施等重新进行规划和设计。

逻辑网络设计

通过前两章的需求分析和网络现状分析，从本章开始，我将进行逻辑网络分析，本章将从网络设计思想、原则、物理层设计、网络设备、Internet接入设计、TCP/IP寻址设计、应用服务平台设、网络安全设计等方面进行网络逻辑设计，为下一章的网络物理设计打下坚实基础。

民生医院网络设计思想

随着社会的发展，企业信息化建设的推进，全国各大中型企业基本上都有了自己的网络，作为医院的决策者们来说，建立高速的网络，使信息流通更快速，将医院建成信息化的高效的医院，使医院立于不败之林。由于医院设有医生办公室、后勤处、财务科、人事科等部门，为了使这些部门能够保持信息互通，医院准备建立医院WEB，以通过WEB使各部门进行信息交流。所以医院提出“应用是核心，网络

第 - 7 - 页 共 35 页

民生医院内部网络规划设计

是基础，网络资源是根本，而利用网络的人是关键”的网络设计思想。

民生医院网络设计原则

由于民生医院的网络业务量并不大，主要应用是医院内部的信息传递，除此之外，HTTP、FTP、Email便是医院与Internet连接的最大流量了。对于网络系统的安全性、可靠性、扩展性和可维护性等，医院也只是要求中等水平，在性能和价格方面，医院在考虑到基本功能时主要偏向价格。一个系统的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，有效的利用现有的资源，并且从用户的利益出发，一个好的系统应当给用户一定的自由度，而不是束缚住他们的手脚，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。根据用户的总体需求，结合对应用系统的考虑，我们提出网络系统的设计的原则是：可靠的技术选型、标准的体系结构、1000M骨干网、安全性较高、运行性能可靠以及遵循面向应用，注重实效，急用先上，逐步完善的原则。

3.网络方案设计

3.1拓扑图

民生医院网络的拓扑结构图如图3-1所示。

第 - 8 - 页 共 35 页

民生医院内部网络规划设计

图3-1民生医院网络的拓扑结构图

通过路由器将整个医院接入Internet，其接入方式为10M的专用光纤方式，同时为了隔离各用户群，将整个网络划分为5个VLAN，办公用户、科研实验用户、多媒体用户、家庭用户、服务器区分别处于这五个VLAN中。

3.2网络设备选型及配置数量

网络规划设计时，使用产品制造商提供的自立合理选择LAN和WAN的硬件设备也是关键性的一步。 民生医院网络规划采用的是星型拓扑结构，网络总体分为三个层次，即核心层、汇聚层、接入层。 核心层

核心层包括由核心交换机、网络服务器等部分组成，主要功能是提供地理上远程站点之间的广域网连接。核心层作为邳州人民医院的基本信息平台，通过CISCO 2620XM路由器接入Interent，核心交换机选择为Cisco WS-C4510R，直接连接路由器，提供网络信息的核心交换，网络服务器连接在核心交换机上，以提供高速的网络信息服务。

1、CISCO 2620XM路由器

CISCO 2620XM5路由器是有思科公司提供的一种主要的集成多业务路由器，为客户提供高性能的IP服务、平台高扩展性和可靠性。CISCO 2620XM 采用了并行快速转发技术，它采用全硬件冗余、在线接入和拔除及无缝路由等先进技术，除此之外还具有以下特征：

1)高密度广域网和拨号连接 2)中密度到高密度局域网连接 3)数据上的中密度语音 4)具有闪存能力 2.服务器冗余设计

企业网中服务器、大型机，如网络存储服务器，SQL Server服务器，其存储的数据对于企业来说致关重要，一些核心数据被视为企业的生命。一方面它对企业的企业的重要性毋庸质疑，另一方面，由于这些数据的性质决定了其较大的被访问量，这个对服务器提出了稳定和快速的要求。如果宕机,后果是技术是保障计算机系统的可靠性是重中之重。为此，我们采用的是双机热备技术 ，此技术能够有效的满足核心服务器高效，稳定的高要求。而且相对于其它成本技术来说，这是比较有经济价成效的技术。

第 - 9 - 页 共 35 页

民生医院内部网络规划设计

服务器双机热备技术

具体技术实现：每个核心服务器均具有两个以太网接口（可以通过安装双网卡实现），在此基础上，以上图为例，DB服务器A与DB服务器B先分别利用自己的一个以太网接口实现两个服务器之间的直连，每个服务器另外的一个接口则与服务器区的网络实现互连，以达到双机热备的目的。因此增加服务器的稳定性与高效性。

3、Cisco WS-C4510R三层核心交换机

思科新推出的Cisco WS-C4510R系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工作效率。支持在内部建立虚拟工作组，提供流量管理和第二层交换功能，同时具有先进的网络管理功能。 这个新的产品系列采用了最新的思科StackWise技术，不但实现高达32Gbps的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统--就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。

基于以上原因，我采用了Cisco WS-C4510R 作为民生医院网络的三层核心交换机。 汇聚层

各子网络的流量的汇聚采用思科公司的Cisco Catalyst2950交换，上行速度为100Mbps接入中心交换机Cisco Catalyst3750，Cisco Catalyst2950是24口10M/100Mbps自适应以太端口且带2个千兆端口的交换机，体系结构采用了一个10Gbps和转发速率每秒750万个信息包的交换结构。

第 - 10 - 页 共 35 页

民生医院内部网络规划设计

接入层

接入层通常是一个LAN或一组LAN，所以我们所以讨论的的网络设计中，接入层通常由以太网组成。接入层为用户提供接入访问服务。

接入层采用思科公司的Cisco Catalyst2600交换机，该类型交换机具有24端口，快速10M/100M自适应的能力为网络提供很好的兼容性以及交换能力。民生医院网络设备选型、数量以及用途如表3-1所示。

表3-1 设备选型、数量及用途 类型 核心层交换 型号 Cisco WS-C4510R 数量 1 换 汇聚层交换机 Cisco Catalyst2950 5 分配于一幢办公楼、一幢医疗楼、一幢体检康复大楼、其他的一起算一个 接入层交换机

Cisco Catalyst2600 26

办公楼每层一个共4个；医疗大楼每层2个共8个；康复大楼每层1个共4个；其他共2个

网络管理软件

网络设计搭建完成后，大量的工作均可以通过网络管理软件对网络进行管理，因此选择一个好的网络管理软件，在后期的网络维护中将会大大降低日常维护和工作量，解脱管理员繁琐的维护工作。在本网络设计中，由于全采用思科公司的网络产品，因此网络管理软件继续采用Cisco Work 2000，这种选择基于以下考虑：

它们是一家公司的产品，兼容性强，集成度高。 Cisco Work 2000功能强大，网络设备管理相当完善。

第 - 11 - 页 共 35 页

用途 用于高速的数据交民生医院内部网络规划设计

局域网正逐步成为商业基础设施的重要组成部分和关键系统。

Cisco局域网管理解决方案创建于Cisco Work 2000常用服务器的基础之上。这种设计将数据收集、监控和分析工具连接起来，方便了在各个应用间运行工作流。

Cisco Work 2000管理服务器的作用。它提供了基本的管理构件、服务和安全性。

Cisco Work 2000网络管理软件可以直接看到用户网络中的Cisco产品状态，就如同看到真实设备一样。

根据以上的原因，本网络设计于是就采用该产品。 VLAN划分

随着网络硬件性能的不断提高，成本不断降低，目前新建的局域网基本上都采用了性能先进的快速以太网技术，其核心交换机采用三层交换机，能很好地支持VLAN（虚礼局域网），所谓VLAN是局域网上的一组设备，经配置（用管理软件）后它们可以加同连接在同一 线路上那样通信，而它们实际上位于不同的局域网段，它和用户的物理位置没有关系。实验VLAN技术的局域网的管理方便、可靠性高、安全性强，同时由于采用虚拟技术，可以防止广播风暴，提高网络性能。使用VLAN具有以下优点：

增加了网络连接的灵活性及降低管理成本 有效控制网络中的广播 增强网络的安全性 控制通信活动

对于交换式快速以太网，如果要对某些用户重新进行网络分段，需要网络管理员对网络系统的物理结构进行调整，甚至要追加网络设备，增大网络管理的工作量。而对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或具体应用将不同地理位置的网络用户划分为一个逻辑网段，在不改变网络物理连接的情况下，可以任意地将工作站在工作组或子网间移动。利用VLAN技术大大减少了网络管理的负担，降低了网络维护费用。

根据我们前面的分析，根据民生医院的具体情况，可将计算机网络划分为5个VLAN，具体划分如下： 1、服务器区：

1）包括Web、FTP、Email等服务器。 2）计算机台数：5 3）VLAN名称：VLAN10

第 - 12 - 页 共 35 页

民生医院内部网络规划设计

2、行政办公区

1）包括6层楼中各办公室的电脑 2）电脑台数：108 3）VLAN名称：VLAN20 3、综合医疗大楼

1）包括4层共150诊室中的电脑。 2）电脑台数：150 3）VLAN名称：VLAN30 4、综合住院楼 1）包括10层共10台 2）电脑台数：10台 3）VLAN名称：VLAN40 5、物资供应大楼 1）包括3层的3台 2）信息点数量：3 3）VLAN名称：VLAN50 6、康复大楼 1）4层共80台 2）信息点数量：80 3）VLAN名称：VLAN60

民生医院VLAN划分如表3-2所示。 表3-2 VLAN划分

区域 服务器区 行政办公区 医疗综合大楼 综合住院大楼 信息点 5 108 150 10 第 - 13 - 页 共 35 页

VLAN名称 VLAN10 VLAN20 VLAN30 VLAN40 民生医院内部网络规划设计

物资供应大楼 体检康复大楼 3 80 VLAN50 VLAN60 同时，我们将在Cisco Catalyst 3825 交换机上，进行基于端口的VLAN划分。 IP寻址设计

正如在制定交通规则并决定在哪里设置交通信号灯和策略之前，需要定义有哪些街道和为建筑在街道两旁的房屋指定命名和编号规则。在计算机网络规划和设计中，也需要建立寻址。

IP地址的合理规划是网络设计中的重要环节，对于比较大型的网络而言尤其重要。IP地址规划的好坏不仅影响网络路由协议算法的效率、网络性能、网络管理、网络扩展，还直接影响应用的进一步发展。关于IP地址规划应遵循以下原则：

1、IP地址的唯一性

即IP地址是区分网络主机的唯一标识，同一个网络中不能有相同的IP地址，否则就不会有可靠的路由选择方式把包发送到指定的目标地址。

2、IP地址规划的简单性

IP地址的规划应本着简单的原则，避免在网络主干采用复杂的网络掩码形式。 3、IP地址规划的层次性

IP地址在规划时，应考虑到网络中的子网，以及子网中计算机的数量，这样才能确定IP地址的类型和子网掩码。

4、IP地址的连续性。 5、IP地址规划的可扩展性 6、IP地址规划的灵活性 7、网络的安全性

8、IP地址根据需要采用静态或动态分配

根据以上原则，结合邳州人民医院的实际情况，IP地址规划如下： 1、服务器区IP地址规划

作用：用于给各个服务器分配IP地址。 范围：192.168.0.1-192.168.4.254

第 - 14 - 页 共 35 页

民生医院内部网络规划设计

掩码：255.255.255.0 2、办公区

作用：用于给各个办公室电脑分配IP地址。 范围：192.168.2.1-192.168.2.200 掩码：255.255.255.0 3、综合门诊区

作用：用于给各个多媒体教室电脑分配IP地址。 范围：192.168.2.1-192.168.2.100 掩码：255.255.255.0 4、科研实验区

作用：用于给各个实验室电脑分配IP地址。 范围：192.168.3.1-192.168.3.254 掩码：255.255.255.0 5、综合住院区

作用：用于给教师电脑分配IP地址。 范围：192.168.4.1-192.168.4.254 掩码：255.255.255.0

民生医院网络IP地址规划如表3-3所示。 表3-3 IP地址规划列表 区域 服务器区： Web服务器 FTP服务器 Email服务器 路由器 行政办公区 IP范围 192.168.0.1 192.168.0.2 192.168.0.3 192.168.0.254(内) 172.18.1.254（外） 192.168.0.1-192.168.0.254 子网掩码 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 192.168.0.1 网关 192.168.0.1 192.168.0.1 192.168.0.1 第 - 15 - 页 共 35 页

民生医院内部网络规划设计

医疗综合区 192.168.1.1-192.168.1.254 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 192.168.0.1 192.168.0.1 192.168.0.1 192.168.0.1 体检康复大楼 192.168.2.1-192.168.2.254 综合住院区 192.168.3.1-192.168.3.254 物资供应大楼 192.168.4.1-192.168.4.254 3.3划分依据

以终端用户来分析。假设按职能或业务分成三个部门D1、D2、D3，各包含若干计算机（或服务器），一个共用服务器SERVER。信息流主要集中在SERVER上，不在网络层上将它和其他部门分开，通过授权就能访问；其中的某个部门的某些计算机（例如管理者）可以不经过路由访问跨部门的计算机。

逻辑上属于一个部门的计算机（服务器在一个VLAN内；逻辑上属于多个部门的计算机（服务器）在多个VLAN上（例如共用服务器SERVER或管理台席）。

设置VLAN首先明确需求，根据具体运用的需求将联网的用户划分为几个组，明确组与组之间的互通关系。如上图的示例，假设互通关系需求下表所示。

互通关系需求表

计算机台席 A B C 部门 D1 D1 D1 说明 可与D1和D3的F互访问 同上 同上 第 - 16 - 页 共 35 页

民生医院内部网络规划设计

D E F J H I SERVER 3.31划分

D2 D2 D3 D3 D3 D3 可与D2和D3的F互访问 同上 可与D1、D2、D3的互访问 可与D3和D2互访问 可与D3互访问 同上 可被所有计算机访问 直观说来，划分VLAN就是将连接到网络上的计算机划分为几个组，同组的计算机之间的互通需求相同，所有连网的计算机划分为下面三个组，实现三个VLAN。如下表所示。

VLAN划分列表

组 D1 D2 D3 SERVER 3.32 为VLAN分配ID

包含的计算机 A、B、C D、E F、J、H、I SERVER 在交换机上划分不同VLAN的标志就是各个VLAN的VLAN ID（802.1Q VID）不同。理论上说，每一个VLAN应该分配不同的ID，但在实际应用中，如果我们将多个VLAN分配同样的ID，在某些特定的条件下是允许的（如两个虑拟局域网的实现在存在交叉点，即任何一台交换机上都不需要同时实现的虚拟网）。可以利用下面的表格来分析。

网络需求分析:

组 D1 VLANID 1 交换机1 YES 交换机2 NO 交换机3 NO 第 - 17 - 页 共 35 页

民生医院内部网络规划设计

D2 D3 D4 SERVER 2 3 4 5 YES YES NO YES NO YES YES YES NO YES NO YES 注：表中YES：表示在该交换机上实现；NO：不在该交换机上实现。

3.33达到的目标

同一职能业务部门内部可以互访问；跨部门的访问需要经过核心交换机的授权；共用信息被所有的计算机访问；其中的某些计算机（例如管理）有特别权限。同时，达到提高局域内部通信性能、灵活控制访问权限以提高安全性的目标

3.4 VPN组网方案

为了更加完善和提高医疗服务和管理的效率，为病人提供快捷的各种医疗咨询和服务，将门诊部和手术住院部的两个独立信息化的网络加以合并，让各种医疗信息达到同步共享。对于VPN网络接入设备的总体应用需求如下：

第 - 18 - 页 共 35 页

民生医院内部网络规划设计

实时、稳定的VPN连机质量：将以前独立的两个网络用VPN设备连接起来，门诊部和住院部两处都需要随时准确地获取所需数据，维持稳定不中断的连机质量，改善获取各数据所花费的冗长时间。而在实际操作上也需要符合简易方便的设计，能够相对减轻网管维护的负担。

具备简易操作、弹性配置等特性：由于考虑到两个机构的网络拓扑性质、内网用户数量可能不相同，相应网络管理与解决设备维护的复杂程序也不会低。因此，VPN网络接入设备必须具备一定的简易程度与高灵活度等特性。

高度信息安全性：对于医疗卫生信息来说，有很多内部机密与患者的个人隐私等资料，需要得到保护。为了确保内部信息的机密性，避免数据被窃取或侦听，造成不可估计的损失，因此，院领导对于VPN网络接入设备的信息传输的安全性十分重视。

有较好的兼容性：因办公需要，现在该医院内部同时使用ERP、财务结算等多种管理软件。因此，对于VPN网络接入设备还必须有较强的兼容性，不仅要能融合一些应用软件，更要能其他VPN设备相通。

第 - 19 - 页 共 35 页

民生医院内部网络规划设计

3.41VPN组网方案

根据上述的各项需求，医院相关负责人在经过多方了解与对比后，选择了高度性价比优势的多WAN VPN防火墙厂商侠诺科技，为其规划了整体的VPN组网方案。其具体的组网方案拓朴下：

组网方案网络设备选型：由于医院内部网络的规模较大，考虑其带机量与网络属性，因此两处都采用Qno侠诺企业级QVM VPN防火墙，做为服务器中心端接入设备，既支持PPTP、IPSec VPN、SmartLink VPN、QnoKey IPSec客户端密钥等连机方式，还满足了外点多种VPN弹性配置需求，实现中心端与各分点建构实时、稳定、安全的互连VPN网络系统。

3.42方案特点介绍

SmartLink VPN快速设定：对于一般传统的IPSecVPN设定，没有太多专业知识的工作人员，常会因为多达20几个繁杂步骤而头痛。而Qno侠诺QVM系列VPN防火墙设备所特有的SmartLink VPN功能，将大部份的设定参数的工作交由VPN网关自动完成，用户只需要输中心端服务器IP地址、用户名、密码三个参数，即可完成超快速VPN连机设定，现在就算是远在分部的工作人员也可以轻松上手进行VPN连机设定了。

强大防火墙安全功能：对于来自外网的诸多病毒、财务账号意外泄露、计算机被非法使用、恶意的内网攻击等安全防患，都不容小觊。目前，最多的攻击形式仍以ARP攻击居多，Qno侠诺QVM系列 VPN防火墙设备都具有内建的防制ARP功能，凭借自动检视封包的机制，侦测过滤可疑的封包，做为防制ARP攻击的第一道防线。可搭配IP /MAC双向绑定，在路由器端以内网PC端进行IP/MAC绑定，即可达到防堵ARP无漏洞的效果。考虑到要绑定全部工作人员PC端的IP/MAC有一定的难度，Qno侠诺近期特别提供了免费ARP自动绑定软件，帮助工作人员有针对性的选择套用绑定程序，达到双向绑定的目的。

智能带宽管理：少数工作人员会在上班时间网上炒股、MSN/QQ聊天、网上下载电影等私事，不但经常造成带宽资源被占用，工作效率也会受到影响。Qno侠诺独有的Smart QoS智能型带宽管理功能，简化用户配置，自动针对实际网络带宽使用情况管控带宽占用，有效的控制用户越权占用上/下载带宽资源，可设置启用时间及流量门槛，自动启动智能QoS，达成最大带宽使用率，保持网络的畅通。

稳定、快速的VPN连机质量：Qno侠诺QVM VPN防火墙系列，具有指定路由功能，可保障VPN使用带宽与优先权，进一步稳定VPN连机质量。此外，侠诺QVM VPN防火墙系列均具备多个WAN接口，

第 - 20 - 页 共 35 页

民生医院内部网络规划设计

可同时接入多条ISP线路，可增加带宽满足更多外点VPN连机以及内网的计算机使用，还可同时运用VPN备援设定功能，避免当ISP不稳定或掉线时，VPN连机也随之中断联机，造成无形的损失与伤害，有效提高VPN设备的进一步稳定。

简单而方便的配置及管理：Qno侠诺QVM VPN防火墙系列产品均为 Web中文配置页面，没有太多专业网络管理知识的网络人员就可轻易进行配置。即使是不懂网络的人，经过简单培训，也可进行操作。大大解决了用户缺少专业技术网管的后顾之忧。

产品规格兼容性强大：Qno侠诺QVM VPN防火墙系列产品，均通过了VPNC ( 国际VPN认证机构 ) 认证。因此，侠诺产品与大厂的VPN设备不便可以互通，还可以兼容多种应用软件，更不会存在与其他厂商的设备无法进行VPN联机的问题。

3.43VPN方案未来拓展：

多WAN可弹性增加带宽：Qno侠诺QVM VPN防火墙系列产品均支持带宽汇聚，多WAN口接入，可供企业弹性配置运用。方便在未来的网络扩展中，申请多条线路的应用。进而实现多WAN备援、 VPN与公众线路分流等效果。由此可见，多WAN端口给日后网络升级预留了空间，让升级不是问题。

策略路由解决VPN跨网瓶颈：由于国内长期存在电信、网通互连不互通的问题，许多企业建立VPN时会发生跨ISP网络时带宽不足，导致VPN不稳定或易于掉线。而Qno侠诺QVM VPN防火墙系列产品的多WAN口设计，可搭配策略路由的设定，让不同ISP外点可直接连到对应VPN服务器入口，在未来即可很好的解决此问题。若未来该用户需要在云南省乃至全国范围内开设分院，VPN跨网瓶颈问题将得到轻松解决。

4.网络安全设计

4.1 医院网络安全解决方案的设计

4.11网络方案的模型

本文研究的医院网络安全解决方案是采用基于主动策略的医院网络安全系统,它的主导思想是围绕着P2DR模型思想建立一个完整的信息安全体系框架。P2DR模型最早是由ISS公司提出的动态安全模型的代表性模型,它主要包含4个部分:安全策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)。

第 - 21 - 页 共 35 页

民生医院内部网络规划设计

安全策略是P2DR安全模型的核心。在整体安全策略的控制和指导下,运用防护工具(防火墙、操作系统身份认证、加密等)对网络进行安全防护;利用检测工具(如漏洞扫描、入侵检测系统等等)了解和评估系统的安全状态,检测针对系统的攻击行为;通过适当的反应机制将系统的安全状态提升到最优状态。这个过程是一个动态的、不断循环的过程,检测到的威胁将作为响应和加强防护的依据,防护加强后,将继续进行检测过程,依次循环下去,从而达到网络安全性不断增强的目的[1]。

根据对网络安全的技术分析和设计目标,医院网络安全解决方案要解决7个实现的技术问题,分别是:数据检测,入侵行为控制,行为分析,行为记录,服务模拟,行为捕获和数据融合。医院网络安全解决方案以P2DR模型为基础,合理利用主动防御技术和被动防御技术来构建动态安全防御体系,根据现有安全措施和工具,在安全策略的基础上,提出基于主动策略的医院网络安全方案模型,如图1所示。

医院网络安全解决方案模型入侵检测监视网络的异常情况,当发现有可疑行为或者入侵行为时,将监测结果通知入侵行为控制,并将可疑行为数据传给服务模拟;服务模拟在入侵行为控制的监控下向可疑行为提供服务,并调用行为捕获对系统所有活动作严格和详细的记录;数据融合定期地从行为记录的不同数据源提取数据,按照统一数据格式整理、融合、提炼后,一发给行为分析,对可疑行为及入侵行为作进一步分析,同时通知入侵行为控制对入侵行为进行控制,并提取未知攻击特征通过入侵行为控制对入侵检测知识库进行更新,将新的模式添加进去。

第 - 22 - 页 共 35 页

民生医院内部网络规划设计

4.34 EAD端点准入防御方案特点

(1)安全状态评估

终端补丁检测：评估客户端的补丁安装是否合格，可以检测的补丁包括：操作系统(Windows 2000/XP/2003等，不包括Windows 98)等符合微软补丁规范的热补丁。

安全客户端版本检测：可以检测安全客户端iNode Client的版本，防止使用不具备安全检测能力的客户端接入网络，同时支持客户端自动升级。

安全状态定时评估：安全客户端可以定时检测用户安全状态，防止用户上网过程中因安全状态发生变化而造成的与安全策略的不一致。

自动补丁管理：提供与微软WSUS/SMS（全称：Windows Server Update Services/System Management Server）协同的自动补丁管理，当用户补丁不合格时，自动安装补丁。

终端运行状态实时检测：可以对上线用户终端的系统信息进行实时检测，包括已安装程序列表、已安装补丁列表、已运行进程列表、共享目录信息、分区表、屏保设置和已启动服务列表等。

防病毒联动：主要包含两个方面，一是端点用户接入网络时，检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等，不符合安全要求可以根据策略阻止用户接入网络或将其访问限制在隔离区；二是端点用户接入网络后，EAD定期检查防病毒软件的运行状态，如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。

联动方式目前包括强联动和弱联动，强联动需要防病毒软件厂商提供联动插件，iNode客户端通过该联动插件完成对防病毒软件的运行状态检查以及行为控制。弱联动不需要防病毒厂商提供联动插件，iNode客户端通过其他方式实现对防病毒软件的运行状态检查以及行为控制。当前支持的强AV联动支持的防病毒软件有：瑞星、金山和江民。当前支持的弱AV联动支持的防病毒软件有：诺顿、趋势、McAfee 、安博士、CA安全甲胄、VRV、卡巴斯基等。

ARP防火墙：iNode客户端将截获用户的ARP报文，并且根据如下原则判断是否是非法ARP报文： (2)发出的ARP报文必须满足：

① 以太网源地址＝发送端以太网地址＝本机发包网卡的MAC地址

② 发送端IP地址＝本机发包网卡的IP地址

③ 在满足上面两条的前提下判断是否是ARP请求报文，如果是请求报文必须满足是广播报文。

第 - 28 - 页 共 35 页

民生医院内部网络规划设计

(3)接收的ARP报文必须满足：

① 以太网源地址＝发送端以太网地址。如果iNode发现报文为非法ARP报文，那么将会对报文做

丢弃处理。 4.35用户权限管理

强身份认证：在用户身份认证时，可绑定用户接入IP、MAC、接入设备IP、端口和VLAN等信息，进行强身份认证，防止帐号盗用、限定帐号所使用的终端，确保接入用户的身份安全。

“危险”用户隔离：对于安全状态评估不合格的用户，可以限制其访问权限（通过ACL隔离），使

其只能访问防病毒服务器、补丁服务器等用于系统修复的网络资源。

“危险”用户在线隔离：用户上网过程中安全状态发生变化造成与安全策略不一致时（如感染不

能杀除的病毒），EAD可以在线隔离并通知用户。

软件安装和运行检测：检测终端软件的安装和运行状态。可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、提醒或隔离。

支持匿名认证：iNode客户端与EAD安全策略服务器配合提供用户匿名认证功能，用户不需要输入用户名、密码即可完成身份认证和安全认证。

接入时间、区域控制：可以限制用户只能在允许的时间和地点（接入设备和端口）上网。 限制终端用户使用多网卡和拨号网络：防止用户终端成为内外网互访的桥梁，避免因此可能造成的信息安全问题。

代理限制：可以限制用户使用和设置代理服务器。

4.36 用户行为监控

终端强制或提醒修复：强制或提醒不符合安全策略的终端用户主机进行防病毒软件升级，病毒库升级，补丁安装；目前只支持手工方式（金山的客户端可以与系统中心做自动升级）。

安全状态监控：定时监控终端用户的安全状态，发现感染病毒后根据安全策略可将其限制到隔离区。 安全日志审计：定时收集客户端的实时安全状态并记录日志；查询用户的安全状态日志、安全事件日志以及在线用户的安全状态。

强制用户下线：管理员可以强制行为“可疑”的用户下线。

第 - 29 - 页 共 35 页

民生医院内部网络规划设计

4.4 桌面资产管理方案介绍

EAD解决方案不仅能够对用户的端点准入安全进行管理，而且能够对用户网络中的资产进行管理和控制，其基本的功能包括：资产管理、软件分发。

桌面资产管理应用模型如下：

桌面资产管理应用模型

桌面资产管理的应用流程如下图所示：

桌面资产管理工作流程

第 - 30 - 页 共 35 页

民生医院内部网络规划设计

身份验证及安全认证：EAD的桌面资产管理功能是与EAD的端点准入功能紧密结合的：在安全认证成功之后，服务器将DAM服务器的地址和端口下发给DAM客户端。作为另外一种选择，DAM服务器的地址和端口，也可以采用iNode客户端管理中心定制指定。

资产上线：资产上线分成几种情况：

1、已管理资产的上线：服务器根据客户端上传的资产编号找到资产记录即回应确认信息，客户端

之后请求资产策略，服务器回应资产策略给客户端。

2、客户端注册方式的新资产（该资产由管理员增加）上线：服务端要求客户端输入资产编号，客户端提交后，服务端根据资产编号找到资产信息，发给客户端确认，确认后服务端将该资产置为已管理状态，回应确认信息，客户端之后请求资产策略，服务器回应资产策略给客户端。

3、服务器自动生成新资产方式的上线：服务端根据客户端上传的资产指纹信息生成新资产编号；客户端弹出资产信息录入界面并由用户录入，之后上传给服务端，服务端回应确认信息，客户端之后请求资产策略，服务器回应资产策略给客户端。

4、重装操作系统之后的客户端上线：服务端根据客户端传递过来的指纹信息找到已有的资产记录，之后回应资产信息给客户端；客户端用户确认服务器返回的资产信息与自己的资产相匹配，之后，客户端发送确认报文给服务端；服务端确认后将正在上线的资产与自身已有记录关联起来；服务端回应确认信息，客户端之后请求资产策略，服务器回应资产策略给客户端。

5、安装了多操作系统的资产上线：用户启动一个操作系统并上线成功后，在另一个操作系统下又发起上线请求；服务端发现多操作系统情况，将只允许最后安装的操作系统的客户端可以上线；服务端回应确认信息，客户端之后请求资产策略，服务器回应资产策略给客户端。

资产信息上报：客户端获取本地资产信息，保存到本地，并上报给服务端；客户端定期会扫描本地资产信息，如发现有变更，更新本地保存的资产文件，同时将资产变更信息上报给服务端。

USB使用信息上报：客户端实时监测USB插入情况，如果有USB插入、向USB中写入文件、或者拔出USB，都会写入文件，客户端定期上报USB使用信息给服务端。

软件分发：服务端为资产创建分发任务，客户端向服务端请求资产策略，服务端回应同时，将分发任务下达给客户端，客户端连接到分发服务器进行软件下载，下载到本地之后可由用户自行安装，也可以自动安装。

第 - 31 - 页 共 35 页

民生医院内部网络规划设计

4.5 桌面资产管理功能特点

4.51 终端资产管理

? 基于用户的资产管理：资产与认证用户相结合，支持直接查询某个用户资产状况，也可以

基于资产信息找到对应的用户，方便管理员的管理。

?

资产编号处理：可自动/手工生成资产编号，为资产分配责任人或自动关联责任人。可对

资产信息进行查询和手工扫描。对资产信息上报的策略可以进行自定义。

? ?

支持资产信息的增删改：管理员可以增加、删除、修改资产信息。

支持资产分组管理：对资产通过分组统一管理，默认放置于缺省分组中。分组支持嵌套，

支持分组间的资产转移，方便管理。

? 资产信息审计：可对软硬件资产进行查询，支持按CPU、制造商、型号、操作系统等统计

资产，便于管理员分类进行企业资产盘点。

?

资产变更审计：可针对资产变更信息进行审计，审计内容包含资产名、编号、变更类型、

变更内容、资产责任人、变更时间等，便于管理员及时掌握企业资产变动情况。

? 支持USB使用审计：支持USB插拔及使用的审计，审计内容包括插拔时间、资产名、文件

名、文件大小、操作时间等，便于企业安全审计。

?

支持USB等外设使用控制：支持对USB、软驱、光驱、Modem、串口、并口、1394、红外、

蓝牙等外设使用的控制。

4.52 软件分发

?

分发任务管理：支持软件分发任务的增加，修改，查询和删除以及关闭功能；可以按资产

分组、选中单个或者多个资产进行资产批量分发，可以自定义分发操作的时间，支持HTTP，FTP和文件共享三种方式的分发服务器的参数配置功能。

? 分发状态。

软件分发：支持HTTP、FTP和文件共享等三种协议的软件分发，软件分发给终端之后，安装的方式可以根据管理员指定好的策略进行静默安装或者普通安装。也可支持按资产分组、资产进行批量方式的

第 - 32 - 页 共 35 页

软件分发查询：支持按照资产查询软件分发历史，支持按照分发任务查询每个资产的软件

民生医院内部网络规划设计

软件分发

网络的评估

目前，尽管计算机网络设备的性能和传输介质的质量有所提高，网络设计仍然是一项比较困难的工作，其原因主要是在于越来越复杂的网络环境，包括介质的多样化和独立化任何一个组织所能控制的局域网之间的互连。良好的网络设计是保证网络快速稳定运行的关键之一。网络设计的不完善会导致许多意料不到的问题，从而阻碍整个网络的发展。因此网络设计是一项深层次的工作。

5 规划总结

本设计从需求分析、网络现状分析、逻辑网络设计、物理网络设计等对民生院的网络进行了设计。由于工作繁忙，时间紧张，本设计只是体现了网络的基本功能，同时功能也比较粗糙，有的地方设计还存在不合理的地方，这些我都将在以后的工作中不断完善。

1.医院信息中心机房平台安全运转，没有出现过重大事故,工作有序开展，集团网络与系统总体正常运行,信息机房建设水平达到新的高度,空调通风系统,应急照明系统,消防系统,机房UPS配电系统,机房防雷接地系统的安全系数进一步得到提高.

2.系统集成,管理流程得到提高,报业采编流程系统逐步升级.渊博系统已为报人提供方便快捷的全文检索功能，报社经略广告系统的研究，使的广告管理模式电脑化、科学化和规范化，广告数据更加的准确性、完整性和安全性.报业集团的发行系统实施已大大推动报业自办发行的进程与规模.二次开发报业业绩考核管理系统,统计出记者和编辑业绩情况，以便对其进行定期考核,提高全体员工办报的热情.

3.实现创建医院的域控制系统,采编数据库系统,文件服务器系统,UPS不间断电源监控系统,也同时协助设计与实施财务集中管理与监控，逐步完善财务经营管理一体化.

4.协助完成医院报业数字化大楼建设,监督与完善3楼发行中心,8楼商报7楼行政经营区域结构化布线子系统,,网络系统接入性,扩展性,使其稳定性得到提升,让区域需求得以改变,使的网络能够逐步向成熟期过渡.并且完成22个镇区网络接入,系统与报社中心整合运行已向多分支性机构过渡.

5.架设网络版防病毒防御系统，并与硬件防病毒墙进行联动，降低网络的安全风险，提高网络安全性。VPN远程办公系统与报社网关级别防毒墙设计与规划实施为报人提供安全的信息多元化通道,完善的网络存储集中备份，为整个网络中的数据实现统一的存储控制管理，从而防止物理损坏，以及部分逻辑损坏，保护好集团的数据资源。实现核心交换机的双机热备份，维持核心网络层安全、稳定的运行,最

第 - 33 - 页 共 35 页

民生医院内部网络规划设计

大限度的降低网络的风险。上网行为监控的研究与设计实现。规范报人上网行为，使网络资源合理利用，提高报业集团竞争力。磁盘阵列存储系统,相关的灾难恢复,数据库管理,存储策略得到进一步的扩展.加强了网络安全,为报人服务,深度研究与准备架构一个动态的、整体的安全体系:安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全模块.找出网络,与系统运行规律,进而来预测未来可能发生趋势

第 - 34 - 页 共 35 页

民生医院内部网络规划设计

6.参考文献

[1] 段水福 段 炼 张元睿著。计算机网络规划与设计。浙江大学出版社，2005年6月：26 [2] 王达 著。网管员必读——网络应用。 北京：电子工业出版社，2004年9月：17-18 [3] 郝文化著。络综合布线设计与案例。 网电子工业出版社

[4] 李卓玲著。网络安全技术。 西安电子科技大学 [5]

银石动力著。实战局域网架设。

北京邮电出版社

[6] 胡道元著。 计算机网络。 清华大学出版社

[7] 雷震甲著。 网络工程师教程。 清华大学出版社 2006年6月

第 35 页 共 35 页

本文来源：https://www.bwwdw.com/article/3276.html