民生醫(yī)院內(nèi)部網(wǎng)絡(luò)規(guī)劃畢業(yè)設(shè)計

摘要：隨隨著21世紀(jì)的到來，信息時代真正成為了這個時代的主題，信息技術(shù)對社會進步和國民經(jīng)濟發(fā)展將起到越來越大的作用。作為信息時代核心的網(wǎng)絡(luò)也逐漸進入各行各業(yè)，其重要作用也日益顯現(xiàn)出來。醫(yī)院要做要面向社會、面向世界，及時了解國際醫(yī)療管理等新的醫(yī)療水平，吸收國內(nèi)國外先進的醫(yī)療技術(shù)，提高醫(yī)院的醫(yī)療管理水平和醫(yī)療技術(shù)。民生醫(yī)院為了提高醫(yī)療信息化水平，使用計算機技術(shù)手段為醫(yī)院的醫(yī)療事業(yè)提供更好的服務(wù)，同時滿足醫(yī)院綜合業(yè)務(wù)的要求，計劃建設(shè)一個全新、現(xiàn)代、穩(wěn)定、高速的智能化網(wǎng)絡(luò)系統(tǒng)。該系統(tǒng)將提供一個高效、可靠的信息平臺，在醫(yī)院內(nèi)部實現(xiàn)資源高度共享，為醫(yī)療、教學(xué)、科研、管理服務(wù)，并提供與上級部門、社會、家庭之間通訊的出入口，實現(xiàn)醫(yī)療信息化，實現(xiàn)醫(yī)院、社會、家庭的有機結(jié)合。在醫(yī)院的網(wǎng)絡(luò)規(guī)劃和建設(shè)中，我將從網(wǎng)絡(luò)需求分析、網(wǎng)絡(luò)現(xiàn)狀分析、邏輯網(wǎng)絡(luò)設(shè)計、物理網(wǎng)絡(luò)設(shè)計、網(wǎng)絡(luò)安全等方面進行規(guī)劃和實現(xiàn)。在建網(wǎng)過程中將盡量選擇穩(wěn)定和成熟的技術(shù)和產(chǎn)品，使醫(yī)院的網(wǎng)絡(luò)開通后處于穩(wěn)定的運行狀態(tài)。在結(jié)構(gòu)上將采用流行的三層結(jié)構(gòu)，即核心層、交換層和接入層，所選的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是星型，通過防火墻接入邳州的骨干網(wǎng)絡(luò)。考慮到醫(yī)院的應(yīng)用環(huán)境，建設(shè)了豐富的應(yīng)用服務(wù)器，以滿足信息共享的需求。同時考慮到醫(yī)院的發(fā)展，采用開放式的結(jié)構(gòu)和技術(shù)使網(wǎng)絡(luò)具有良好的擴充能力和開放性，以滿足今后網(wǎng)絡(luò)發(fā)展要求。關(guān)鍵詞：網(wǎng)絡(luò)需求分析；網(wǎng)絡(luò)現(xiàn)狀分析；邏輯網(wǎng)絡(luò)設(shè)計；物理網(wǎng)絡(luò)設(shè)計；網(wǎng)絡(luò)安全目錄TOC\o"1-4"\h\z\u項目概述 -1-1.項目名稱 -1-2.項目背景 -1-2.1項目需求 -2-2.11建筑樓群及信息點分布圖： -2-2.12需求分析 -3-2.2企業(yè)網(wǎng)應(yīng)用分析：主要應(yīng)用需求 -4-2.21.Internet應(yīng)用類型 -4-2.22.企業(yè)數(shù)據(jù)庫及企業(yè)數(shù)據(jù)資源系統(tǒng) -4-2.23.專有應(yīng)用系統(tǒng) -5-2.3.計算機平臺需求 -5-2.4、網(wǎng)絡(luò)需求 -6-3.網(wǎng)絡(luò)方案設(shè)計 -8-3.1拓?fù)鋱D -8-3.2網(wǎng)絡(luò)設(shè)備選型及配置數(shù)量 -9-3.3劃分依據(jù) -16-3.31劃分 -17-3.32為VLAN分配ID -17-3.33達到的目標(biāo) -18-3.4VPN組網(wǎng)方案 -18-3.41VPN組網(wǎng)方案 -20-3.42方案特點介紹 -20-4.網(wǎng)絡(luò)安全設(shè)計 -21-4.1醫(yī)院網(wǎng)絡(luò)安全解決方案的設(shè)計 -21-4.11網(wǎng)絡(luò)方案的模型 -21-4.12防火墻隔離的設(shè)計 -23-4.13醫(yī)療業(yè)務(wù)數(shù)據(jù)的捕獲 -24-4.2醫(yī)院網(wǎng)絡(luò)安全解決方案的實現(xiàn) -24-4.21防火墻系統(tǒng)的布置 -24-4.22醫(yī)療業(yè)務(wù)數(shù)據(jù)捕獲的實現(xiàn) -24-4.3EAD解決方案 -25-4.31技術(shù)背景 -25-4.32EAD方案介紹 -26-4.33EAD端點準(zhǔn)入防御方案介紹 -26-4.34EAD端點準(zhǔn)入防御方案特點 -28-4.35用戶權(quán)限管理 -29-4.36用戶行為監(jiān)控 -29-4.4桌面資產(chǎn)管理方案介紹 -30-4.5桌面資產(chǎn)管理功能特點 -32-4.51終端資產(chǎn)管理 -32-4.52軟件分發(fā) -32-5規(guī)劃總結(jié) -33-6.參考文獻 35 項目概述1.項目名稱民生醫(yī)院內(nèi)部網(wǎng)絡(luò)規(guī)劃設(shè)計書2.項目背景民生醫(yī)院為一級綜合性醫(yī)院，臨床設(shè)有內(nèi)、外、婦、眼、耳鼻喉、口腔各科，痤瘡?？?。民生醫(yī)院是保險公司指定報銷的醫(yī)院之一，住院時您在得到優(yōu)質(zhì)服務(wù)、享受低廉價格的同時還能報銷相應(yīng)的比例“信譽第一，責(zé)任重大”等理念，表達的就是醫(yī)院職工以病人為中心，對工作極端負(fù)責(zé)，對技術(shù)精益求精，對病人優(yōu)質(zhì)服務(wù)的醫(yī)院精神。此次規(guī)劃必須具備高度信息安全性：對于醫(yī)療衛(wèi)生信息來說，有很多內(nèi)部的機密資料與患者的個人隱私資料，為了保護這些內(nèi)部信息的機密性，避免數(shù)據(jù)被竊取或偵聽，造成不可估計的損失，因此領(lǐng)導(dǎo)對于信息傳輸?shù)陌踩允种匾暋Ｓ休^好的兼容性：設(shè)備必須要有較強的兼容性，不僅要能融合一些應(yīng)用軟件，更要能其他設(shè)備相通。需要具備一定的可擴展性：現(xiàn)在選擇的設(shè)備必須具備一定的可擴展性，以滿足未來兩、三年甚至更長時間的擴展需求。醫(yī)院樓的網(wǎng)絡(luò)對整個網(wǎng)絡(luò)性能要求不是太高。經(jīng)過規(guī)劃，整個醫(yī)院樓就可以更好的應(yīng)用網(wǎng)絡(luò)，以免發(fā)生網(wǎng)絡(luò)沖突，而且還可以將整個醫(yī)院樓劃分到一個局域網(wǎng)，這樣整個醫(yī)院的工作人員就可以共享一些東西！而且還能夠解決IP地址不夠用的問題！電子信息技術(shù)的開發(fā)與應(yīng)用，是當(dāng)今世界上高科技領(lǐng)域最活躍的支柱產(chǎn)業(yè)之一。隨著信息科學(xué)和計算機應(yīng)用的發(fā)展，醫(yī)學(xué)和生命科學(xué)研究對電子計算機的依賴程度會日益加深，這將對90年代生命科學(xué)的研究和21世紀(jì)醫(yī)療衛(wèi)生保健事業(yè)的變革、發(fā)展起到重要作用。這套規(guī)劃具有信息共享、傳遞迅速、使用方便、高效率等特點的處理系統(tǒng)在小范圍內(nèi)嘗試為小私營企業(yè)主提供一體化網(wǎng)站解決方案（空間、域名、網(wǎng)站、數(shù)據(jù)庫及更新等）系統(tǒng)應(yīng)有高可靠性、安全性、可維護性和可擴充性，要具有良好的用戶界面。2.1項目需求2.11建筑樓群及信息點分布圖：綜合醫(yī)療大樓一幢該樓在醫(yī)院的左下，一層有31個房間，二層47個房，三層39個房間，四層33個房間，每間房間配有一部電腦。為使信息和資源共享，院方要求每個房間的辦公設(shè)備都需要網(wǎng)絡(luò)連通，同時大樓內(nèi)的網(wǎng)絡(luò)與醫(yī)院的網(wǎng)絡(luò)連通。行政辦公樓一幢行政辦公樓在綜合大樓北面，樓高6層，每層有辦公室18間。每個辦公室均配置有電腦1臺，同時醫(yī)院辦公室電腦通過512K的ADSL連入Internet。綜合住院樓一幢綜合住院樓在辦公樓右邊，樓高10層，每層有一個值班室，每個值班室配置一電腦，并與醫(yī)院的網(wǎng)絡(luò)連接。物資供應(yīng)樓一幢該樓位于綜合住院樓右面，樓高3層，每層有一個辦公室，配置兩臺電腦，與醫(yī)院網(wǎng)絡(luò)連接。體檢康復(fù)樓一幢體檢康復(fù)樓在綜合大樓右面，樓高4層，每層有20個房間，每個房間安裝一臺電腦。民生醫(yī)院樓群分布如圖2-1所示：圖2-12.12需求分析管理需求經(jīng)過對醫(yī)院負(fù)責(zé)人和相關(guān)網(wǎng)絡(luò)管理人員的調(diào)查結(jié)果，我進行了認(rèn)真的分析，列舉出醫(yī)院的管理者提出了以下需求。1）網(wǎng)絡(luò)本身穩(wěn)定性2）網(wǎng)站的有效性3）網(wǎng)絡(luò)的安全性4）具有一定的可擴展性5）在滿足基本功能的同時，盡量節(jié)約資金6）辦公用戶要具有強大的信息傳遞能力，以保證醫(yī)院信息暢通2.2企業(yè)網(wǎng)應(yīng)用分析：主要應(yīng)用需求2.21.Internet應(yīng)用類型1）采用先進的網(wǎng)絡(luò)技術(shù)。首先是要具有開放性、標(biāo)準(zhǔn)性和可擴展性，易于技術(shù)更新。其次是要寬帶高速率，能夠支持綜合業(yè)務(wù)，包括多媒體業(yè)務(wù)。再次是能夠向智能化網(wǎng)絡(luò)方向發(fā)展。（2）網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)能夠發(fā)揮10年效益。同時網(wǎng)絡(luò)結(jié)構(gòu)必須易于管理并具有高度的靈活性。（3）具有高的可靠性。網(wǎng)絡(luò)能夠重構(gòu)，能夠自動進行故障檢測與隔離。關(guān)鍵設(shè)備達到99%以上的不間斷工作。（4）保證網(wǎng)絡(luò)安全，通過網(wǎng)管中心對網(wǎng)絡(luò)的使用情況進行監(jiān)控。2.22.企業(yè)數(shù)據(jù)庫及企業(yè)數(shù)據(jù)資源系統(tǒng)為了滿足我國醫(yī)院發(fā)展的需要，為了使祖國醫(yī)學(xué)早日與世界科技接軌，匯源電子系統(tǒng)工程有限公司集中了大量的人力和物力，借鑒國內(nèi)外HIS的先進經(jīng)驗，并結(jié)合國內(nèi)各家醫(yī)院的傳統(tǒng)管理模式和實際需求，開發(fā)了該醫(yī)院管理信息系統(tǒng)，2001年《匯源醫(yī)院管理信息系統(tǒng)》被信息產(chǎn)業(yè)局認(rèn)定為軟件產(chǎn)品，該產(chǎn)品是真正適合我國國情的醫(yī)院管理信息系統(tǒng)，是唯一能在中國境內(nèi)與IBM醫(yī)院信息系統(tǒng)解決方案平分天下的有自主知識產(chǎn)權(quán)的醫(yī)院信息系統(tǒng)。該系統(tǒng)的實施將在整個醫(yī)院建設(shè)企業(yè)級的計算機網(wǎng)絡(luò)系統(tǒng)，并在其基礎(chǔ)上構(gòu)建企業(yè)級的應(yīng)用系統(tǒng)，實現(xiàn)整個醫(yī)院的人、財、物等各種信息的順暢流通和高度共享，為全院的管理水平現(xiàn)代化和領(lǐng)導(dǎo)決策的準(zhǔn)確化打下堅實的基礎(chǔ)。該系統(tǒng)具有成熟、穩(wěn)定、可靠、適用期長、擴充性好等特點，可以根據(jù)各醫(yī)院各自的特點度身制作。該系統(tǒng)已成功地運行在普蘭店市第一人民醫(yī)院、莊河市第一人民醫(yī)院、大連市中山醫(yī)院、蓋州市中心醫(yī)院、蓬萊市人民醫(yī)院、丹東市中醫(yī)院、撫順市中醫(yī)院、鐵嶺中醫(yī)院、鐵嶺縣醫(yī)院、黑龍江省呼蘭縣中醫(yī)院、大連大學(xué)附屬醫(yī)院、瓦房店第一人民醫(yī)院等一系列三甲、三乙、二甲等醫(yī)院，為各醫(yī)院取得了良好的社會效益與經(jīng)濟效益，同時也受到客戶的廣泛好評。應(yīng)用軟件功能（一）、醫(yī)院各職能部門微機配備表整個系統(tǒng)由一臺服務(wù)器和若干臺工作站構(gòu)成一個網(wǎng)絡(luò)，各個子系統(tǒng)在網(wǎng)絡(luò)上協(xié)調(diào)運行，部門間業(yè)務(wù)查詢靈活，又提供嚴(yán)格的權(quán)限控制。每個子系統(tǒng)提供一個公用查詢功能，每個子系統(tǒng)在此功能下只能使用它有權(quán)調(diào)用的功能。網(wǎng)絡(luò)間共享的數(shù)據(jù)是實時的，避免造成部門間數(shù)據(jù)不一致的現(xiàn)象。（二）、醫(yī)院管理子系統(tǒng)功能視圖醫(yī)院管理子系統(tǒng)（HIS）通常包含門診、住院兩部分，而管理的主線則為藥品和收款金額。2.23.專有應(yīng)用系統(tǒng)1.門診系統(tǒng)

門診業(yè)務(wù)是醫(yī)院直接面對患者，提供服務(wù)的窗口，具有非常重要的地位和自己的特點，焦急的病人無法忍受長時間的等待和排隊，也是發(fā)生醫(yī)患糾紛最多的地方。業(yè)務(wù)重要集中在上午，具有業(yè)務(wù)集中，并發(fā)性、實時性強的特點，因此門診業(yè)務(wù)對網(wǎng)絡(luò)提出了高可靠性，高帶寬、高時效的特點。2．急診系統(tǒng)

急診業(yè)務(wù)不同于門診的是全天24小時隨時發(fā)生，突發(fā)性強，要求系統(tǒng)穩(wěn)定可靠。住院系統(tǒng)：住院業(yè)務(wù)是另一個主要組成部分，直接關(guān)系到患者的生命安全，也是醫(yī)院經(jīng)濟收入的主要來源，各種數(shù)據(jù)不但重要，而且量很大。一般醫(yī)生上午開醫(yī)囑，下午寫電子病歷，夜間業(yè)務(wù)少，但也很重要，多為急救等特殊業(yè)務(wù)。要求網(wǎng)絡(luò)高可靠性，安全存儲。3.PACS系統(tǒng)

PACS主要完成各種醫(yī)學(xué)影像的采集、存儲、傳輸和處理，并在全院范圍內(nèi)共享，因此具有存儲量大、瞬間傳輸數(shù)據(jù)多的特點，要求高帶寬、高吞吐量。4.LIS系統(tǒng)

主要完成對檢驗設(shè)備數(shù)據(jù)的采集、存儲、傳輸和處理，實時性要求較高。2.3.計算機平臺需求醫(yī)院已經(jīng)為辦公用戶、機房、，配置為2.6GHZ的Intel賽揚G1610CPU、2G的內(nèi)存、160G的硬盤和3Com10/100Mbps自適應(yīng)以太網(wǎng)卡。同時也準(zhǔn)備了2臺服務(wù)器、配置為：2.4GHZ的XeonE5530CPU、16G的內(nèi)存、146GB*8的硬盤和雙1000Mbps以太網(wǎng)卡，同醫(yī)院校已經(jīng)與相關(guān)部門簽訂了一定協(xié)議數(shù)量的windowsXP、windowsserver2003、ISASEVER2004軟件的使用版權(quán)協(xié)議。民生醫(yī)院主要計算機配置如表1-2所示。表2-2計算機配置服務(wù)器配置客戶機配置2.4GHZCPU2.6GHZ16G內(nèi)存2G146GB*8硬盤容量160G雙1000Mbps網(wǎng)卡10/100Mbps2.4、網(wǎng)絡(luò)需求經(jīng)過對醫(yī)院的了解和深入調(diào)查，得知總的信息接入點有近400個，對網(wǎng)絡(luò)的流量主要集中在內(nèi)部，大約有20%的流量流向Internet。因此，采用1000M骨干網(wǎng)，100M到桌面，通過使用電信所提供10M的光纖接入Internet將很好地滿足醫(yī)院的需要。網(wǎng)絡(luò)現(xiàn)狀分析及意義在進行網(wǎng)絡(luò)設(shè)計之前，對客戶的網(wǎng)絡(luò)現(xiàn)狀進行分析，了解客戶原網(wǎng)絡(luò)的規(guī)模、拓?fù)浣Y(jié)構(gòu)、設(shè)備選型、用戶應(yīng)用等，以便更一步深入了解現(xiàn)有網(wǎng)絡(luò)能否滿足用戶的需要，為在新設(shè)計網(wǎng)絡(luò)中借鑒和修正某些問題提供強有力的依據(jù)，在對網(wǎng)絡(luò)現(xiàn)狀分析時，應(yīng)從以下幾方面進行：1、網(wǎng)絡(luò)規(guī)模對現(xiàn)有網(wǎng)絡(luò)規(guī)模進行分析，以確定可利用資源的多少。2、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)根據(jù)現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，以確定可利用的范圍。3、網(wǎng)絡(luò)邏輯結(jié)構(gòu)主要是指網(wǎng)絡(luò)邏輯部分可利用的資源，如IP、路由及尋址等。4、網(wǎng)絡(luò)的物理結(jié)構(gòu)主要確定可利用的布線系統(tǒng)資源的多少。5、設(shè)備選型及工作狀況通過對設(shè)備的分析和工作狀態(tài)的分析，確定其用處。6、用戶應(yīng)用，現(xiàn)網(wǎng)絡(luò)滿足用戶應(yīng)用的程度。主要是指用戶的應(yīng)用程序可利用的現(xiàn)狀。7、網(wǎng)絡(luò)通信的基礎(chǔ)設(shè)施現(xiàn)狀通過分析，可以確定原先的通信基礎(chǔ)設(shè)施是否繼續(xù)滿足用戶以后的應(yīng)用，若能滿足可以利用，否則將進行重新設(shè)計。8、接入Internet的現(xiàn)狀只有認(rèn)真從以上幾方面對現(xiàn)有網(wǎng)絡(luò)進行全面分析，以便決策可利用的現(xiàn)有網(wǎng)絡(luò)資源，以便最大限度地節(jié)省資金，保護用戶前期的投資。行政辦公樓網(wǎng)絡(luò)現(xiàn)狀民生醫(yī)院的辦公環(huán)境雖然所有好轉(zhuǎn)，但由于資金和人才的缺乏，信息化辦公環(huán)境沒有真正建立，同時由于醫(yī)院與外界的交流范圍有限，很多網(wǎng)絡(luò)辦公應(yīng)用均未建立，目前醫(yī)院用的最為廣泛的應(yīng)用就是Email應(yīng)用和HTTP應(yīng)用，所以辦公樓除了個別公室的電腦通過ADSL接入到Internet進行有限的網(wǎng)絡(luò)交流外，其余辦公室電腦均未連網(wǎng)。醫(yī)療綜合大樓：醫(yī)療綜合大樓是醫(yī)生在里面辦公的地方，主要進行內(nèi)部信息交換。由于每層樓都不超過100個信息點，所以每層樓使用一個工作組交換機，每層樓中的信息點直接通過交換機，接入新建立的醫(yī)院網(wǎng)絡(luò)即可。綜合住院樓：綜合住院樓由于是病人住院的地方，沒有大量的文件傳輸，只是登記病人住院的狀況，所以并沒有連網(wǎng)。物資供應(yīng)樓：物資供應(yīng)樓是醫(yī)院儲存、供應(yīng)醫(yī)藥的地方，所以一般采用HTTP、Email等方式體檢康復(fù)樓：體檢康復(fù)樓由于每層只有20個房間，所以每層樓的信息點只需要2個核心交換機接入醫(yī)院網(wǎng)絡(luò)。通過以上對民生醫(yī)院網(wǎng)絡(luò)現(xiàn)狀分析，除了實醫(yī)療綜合大樓的網(wǎng)絡(luò)可以利用外，邏輯網(wǎng)絡(luò)、物理網(wǎng)絡(luò)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)應(yīng)用環(huán)境、網(wǎng)絡(luò)通信的基礎(chǔ)設(shè)施、Internet接入設(shè)施等可利用的網(wǎng)絡(luò)資源基本沒有，所以，必須對醫(yī)院的的物理網(wǎng)絡(luò)、邏輯網(wǎng)絡(luò)、網(wǎng)絡(luò)軟件硬件、拓?fù)浣Y(jié)構(gòu)、通信基礎(chǔ)設(shè)施等重新進行規(guī)劃和設(shè)計。邏輯網(wǎng)絡(luò)設(shè)計通過前兩章的需求分析和網(wǎng)絡(luò)現(xiàn)狀分析，從本章開始，我將進行邏輯網(wǎng)絡(luò)分析，本章將從網(wǎng)絡(luò)設(shè)計思想、原則、物理層設(shè)計、網(wǎng)絡(luò)設(shè)備、Internet接入設(shè)計、TCP/IP尋址設(shè)計、應(yīng)用服務(wù)平臺設(shè)、網(wǎng)絡(luò)安全設(shè)計等方面進行網(wǎng)絡(luò)邏輯設(shè)計，為下一章的網(wǎng)絡(luò)物理設(shè)計打下堅實基礎(chǔ)。民生醫(yī)院網(wǎng)絡(luò)設(shè)計思想隨著社會的發(fā)展，企業(yè)信息化建設(shè)的推進，全國各大中型企業(yè)基本上都有了自己的網(wǎng)絡(luò)，作為醫(yī)院的決策者們來說，建立高速的網(wǎng)絡(luò)，使信息流通更快速，將醫(yī)院建成信息化的高效的醫(yī)院，使醫(yī)院立于不敗之林。由于醫(yī)院設(shè)有醫(yī)生辦公室、后勤處、財務(wù)科、人事科等部門，為了使這些部門能夠保持信息互通，醫(yī)院準(zhǔn)備建立醫(yī)院WEB，以通過WEB使各部門進行信息交流。所以醫(yī)院提出“應(yīng)用是核心，網(wǎng)絡(luò)是基礎(chǔ)，網(wǎng)絡(luò)資源是根本，而利用網(wǎng)絡(luò)的人是關(guān)鍵”的網(wǎng)絡(luò)設(shè)計思想。民生醫(yī)院網(wǎng)絡(luò)設(shè)計原則由于民生醫(yī)院的網(wǎng)絡(luò)業(yè)務(wù)量并不大，主要應(yīng)用是醫(yī)院內(nèi)部的信息傳遞，除此之外，HTTP、FTP、Email便是醫(yī)院與Internet連接的最大流量了。對于網(wǎng)絡(luò)系統(tǒng)的安全性、可靠性、擴展性和可維護性等，醫(yī)院也只是要求中等水平，在性能和價格方面，醫(yī)院在考慮到基本功能時主要偏向價格。一個系統(tǒng)的建設(shè)在實用的前提下，應(yīng)當(dāng)在投資保護及長遠性方面做適當(dāng)考慮，有效的利用現(xiàn)有的資源，并且從用戶的利益出發(fā)，一個好的系統(tǒng)應(yīng)當(dāng)給用戶一定的自由度，而不是束縛住他們的手腳，從技術(shù)上講應(yīng)該采用標(biāo)準(zhǔn)、開放、可擴充的、能與其它廠商產(chǎn)品配套使用的設(shè)計。根據(jù)用戶的總體需求，結(jié)合對應(yīng)用系統(tǒng)的考慮，我們提出網(wǎng)絡(luò)系統(tǒng)的設(shè)計的原則是：可靠的技術(shù)選型、標(biāo)準(zhǔn)的體系結(jié)構(gòu)、1000M骨干網(wǎng)、安全性較高、運行性能可靠以及遵循面向應(yīng)用，注重實效，急用先上，逐步完善的原則。3.網(wǎng)絡(luò)方案設(shè)計3.1拓?fù)鋱D民生醫(yī)院網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)圖如圖3-1所示。圖3-1民生醫(yī)院網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)圖通過路由器將整個醫(yī)院接入Internet，其接入方式為10M的專用光纖方式，同時為了隔離各用戶群，將整個網(wǎng)絡(luò)劃分為5個VLAN，辦公用戶、科研實驗用戶、多媒體用戶、家庭用戶、服務(wù)器區(qū)分別處于這五個VLAN中。3.2網(wǎng)絡(luò)設(shè)備選型及配置數(shù)量網(wǎng)絡(luò)規(guī)劃設(shè)計時，使用產(chǎn)品制造商提供的自立合理選擇LAN和WAN的硬件設(shè)備也是關(guān)鍵性的一步。民生醫(yī)院網(wǎng)絡(luò)規(guī)劃采用的是星型拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)總體分為三個層次，即核心層、匯聚層、接入層。核心層核心層包括由核心交換機、網(wǎng)絡(luò)服務(wù)器等部分組成，主要功能是提供地理上遠程站點之間的廣域網(wǎng)連接。核心層作為邳州人民醫(yī)院的基本信息平臺，通過CISCO2620XM路由器接入Interent，核心交換機選擇為CiscoWS-C4510R，直接連接路由器，提供網(wǎng)絡(luò)信息的核心交換，網(wǎng)絡(luò)服務(wù)器連接在核心交換機上，以提供高速的網(wǎng)絡(luò)信息服務(wù)。1、CISCO2620XM路由器CISCO2620XM5路由器是有思科公司提供的一種主要的集成多業(yè)務(wù)路由器，為客戶提供高性能的IP服務(wù)、平臺高擴展性和可靠性。CISCO2620XM采用了并行快速轉(zhuǎn)發(fā)技術(shù)，它采用全硬件冗余、在線接入和拔除及無縫路由等先進技術(shù)，除此之外還具有以下特征：1)高密度廣域網(wǎng)和撥號連接2)中密度到高密度局域網(wǎng)連接3)數(shù)據(jù)上的中密度語音4)具有閃存能力2.服務(wù)器冗余設(shè)計企業(yè)網(wǎng)中服務(wù)器、大型機，如網(wǎng)絡(luò)存儲服務(wù)器，SQLServer服務(wù)器，其存儲的數(shù)據(jù)對于企業(yè)來說致關(guān)重要，一些核心數(shù)據(jù)被視為企業(yè)的生命。一方面它對企業(yè)的企業(yè)的重要性毋庸質(zhì)疑，另一方面，由于這些數(shù)據(jù)的性質(zhì)決定了其較大的被訪問量，這個對服務(wù)器提出了穩(wěn)定和快速的要求。如果宕機,后果是技術(shù)是保障計算機系統(tǒng)的可靠性是重中之重。為此，我們采用的是雙機熱備技術(shù)，此技術(shù)能夠有效的滿足核心服務(wù)器高效，穩(wěn)定的高要求。而且相對于其它成本技術(shù)來說，這是比較有經(jīng)濟價成效的技術(shù)。服務(wù)器雙機熱備技術(shù)具體技術(shù)實現(xiàn)：每個核心服務(wù)器均具有兩個以太網(wǎng)接口（可以通過安裝雙網(wǎng)卡實現(xiàn)），在此基礎(chǔ)上，以上圖為例，DB服務(wù)器A與DB服務(wù)器B先分別利用自己的一個以太網(wǎng)接口實現(xiàn)兩個服務(wù)器之間的直連，每個服務(wù)器另外的一個接口則與服務(wù)器區(qū)的網(wǎng)絡(luò)實現(xiàn)互連，以達到雙機熱備的目的。因此增加服務(wù)器的穩(wěn)定性與高效性。3、CiscoWS-C4510R三層核心交換機思科新推出的CiscoWS-C4510R系列交換機是一個創(chuàng)新的產(chǎn)品系列，它結(jié)合業(yè)界領(lǐng)先的易用性和最高的冗余性，里程碑地提升了堆疊式交換機在局域網(wǎng)中的工作效率。支持在內(nèi)部建立虛擬工作組，提供流量管理和第二層交換功能，同時具有先進的網(wǎng)絡(luò)管理功能。這個新的產(chǎn)品系列采用了最新的思科StackWise技術(shù)，不但實現(xiàn)高達32Gbps的堆疊互聯(lián)，還從物理上到邏輯上使若干獨立交換機在堆疊時集成在一起，便于用戶建立一個統(tǒng)一、高度靈活的交換系統(tǒng)--就好像是一整臺交換機一樣。這代表了堆疊式交換機新的工業(yè)技術(shù)水平和標(biāo)準(zhǔn)。基于以上原因，我采用了CiscoWS-C4510R作為民生醫(yī)院網(wǎng)絡(luò)的三層核心交換機。匯聚層各子網(wǎng)絡(luò)的流量的匯聚采用思科公司的CiscoCatalyst2950交換，上行速度為100Mbps接入中心交換機CiscoCatalyst3750，CiscoCatalyst2950是24口10M/100Mbps自適應(yīng)以太端口且?guī)?個千兆端口的交換機，體系結(jié)構(gòu)采用了一個10Gbps和轉(zhuǎn)發(fā)速率每秒750萬個信息包的交換結(jié)構(gòu)。接入層接入層通常是一個LAN或一組LAN，所以我們所以討論的的網(wǎng)絡(luò)設(shè)計中，接入層通常由以太網(wǎng)組成。接入層為用戶提供接入訪問服務(wù)。接入層采用思科公司的CiscoCatalyst2600交換機，該類型交換機具有24端口，快速10M/100M自適應(yīng)的能力為網(wǎng)絡(luò)提供很好的兼容性以及交換能力。民生醫(yī)院網(wǎng)絡(luò)設(shè)備選型、數(shù)量以及用途如表3-1所示。表3-1設(shè)備選型、數(shù)量及用途類型型號數(shù)量用途核心層交換CiscoWS-C4510R1用于高速的數(shù)據(jù)交換匯聚層交換機CiscoCatalyst29505分配于一幢辦公樓、一幢醫(yī)療樓、一幢體檢康復(fù)大樓、其他的一起算一個接入層交換機CiscoCatalyst260026辦公樓每層一個共4個；醫(yī)療大樓每層2個共8個；康復(fù)大樓每層1個共4個；其他共2個網(wǎng)絡(luò)管理軟件網(wǎng)絡(luò)設(shè)計搭建完成后，大量的工作均可以通過網(wǎng)絡(luò)管理軟件對網(wǎng)絡(luò)進行管理，因此選擇一個好的網(wǎng)絡(luò)管理軟件，在后期的網(wǎng)絡(luò)維護中將會大大降低日常維護和工作量，解脫管理員繁瑣的維護工作。在本網(wǎng)絡(luò)設(shè)計中，由于全采用思科公司的網(wǎng)絡(luò)產(chǎn)品，因此網(wǎng)絡(luò)管理軟件繼續(xù)采用CiscoWork2000，這種選擇基于以下考慮：它們是一家公司的產(chǎn)品，兼容性強，集成度高。CiscoWork2000功能強大，網(wǎng)絡(luò)設(shè)備管理相當(dāng)完善。局域網(wǎng)正逐步成為商業(yè)基礎(chǔ)設(shè)施的重要組成部分和關(guān)鍵系統(tǒng)。Cisco局域網(wǎng)管理解決方案創(chuàng)建于CiscoWork2000常用服務(wù)器的基礎(chǔ)之上。這種設(shè)計將數(shù)據(jù)收集、監(jiān)控和分析工具連接起來，方便了在各個應(yīng)用間運行工作流。CiscoWork2000管理服務(wù)器的作用。它提供了基本的管理構(gòu)件、服務(wù)和安全性。CiscoWork2000網(wǎng)絡(luò)管理軟件可以直接看到用戶網(wǎng)絡(luò)中的Cisco產(chǎn)品狀態(tài)，就如同看到真實設(shè)備一樣。根據(jù)以上的原因，本網(wǎng)絡(luò)設(shè)計于是就采用該產(chǎn)品。VLAN劃分隨著網(wǎng)絡(luò)硬件性能的不斷提高，成本不斷降低，目前新建的局域網(wǎng)基本上都采用了性能先進的快速以太網(wǎng)技術(shù)，其核心交換機采用三層交換機，能很好地支持VLAN（虛禮局域網(wǎng)），所謂VLAN是局域網(wǎng)上的一組設(shè)備，經(jīng)配置（用管理軟件）后它們可以加同連接在同一線路上那樣通信，而它們實際上位于不同的局域網(wǎng)段，它和用戶的物理位置沒有關(guān)系。實驗VLAN技術(shù)的局域網(wǎng)的管理方便、可靠性高、安全性強，同時由于采用虛擬技術(shù)，可以防止廣播風(fēng)暴，提高網(wǎng)絡(luò)性能。使用VLAN具有以下優(yōu)點：增加了網(wǎng)絡(luò)連接的靈活性及降低管理成本有效控制網(wǎng)絡(luò)中的廣播增強網(wǎng)絡(luò)的安全性控制通信活動對于交換式快速以太網(wǎng)，如果要對某些用戶重新進行網(wǎng)絡(luò)分段，需要網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)進行調(diào)整，甚至要追加網(wǎng)絡(luò)設(shè)備，增大網(wǎng)絡(luò)管理的工作量。而對于采用VLAN技術(shù)的網(wǎng)絡(luò)來說，一個VLAN可以根據(jù)部門職能、對象組或具體應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個邏輯網(wǎng)段，在不改變網(wǎng)絡(luò)物理連接的情況下，可以任意地將工作站在工作組或子網(wǎng)間移動。利用VLAN技術(shù)大大減少了網(wǎng)絡(luò)管理的負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護費用。根據(jù)我們前面的分析，根據(jù)民生醫(yī)院的具體情況，可將計算機網(wǎng)絡(luò)劃分為5個VLAN，具體劃分如下：1、服務(wù)器區(qū)：1）包括Web、FTP、Email等服務(wù)器。2）計算機臺數(shù)：53）VLAN名稱：VLAN102、行政辦公區(qū)1）包括6層樓中各辦公室的電腦2）電腦臺數(shù)：1083）VLAN名稱：VLAN203、綜合醫(yī)療大樓1）包括4層共150診室中的電腦。2）電腦臺數(shù)：1503）VLAN名稱：VLAN304、綜合住院樓1）包括10層共10臺2）電腦臺數(shù)：10臺3）VLAN名稱：VLAN405、物資供應(yīng)大樓1）包括3層的3臺2）信息點數(shù)量：33）VLAN名稱：VLAN506、康復(fù)大樓1）4層共80臺2）信息點數(shù)量：803）VLAN名稱：VLAN60民生醫(yī)院VLAN劃分如表3-2所示。表3-2VLAN劃分區(qū)域信息點VLAN名稱服務(wù)器區(qū)5VLAN10行政辦公區(qū)108VLAN20醫(yī)療綜合大樓150VLAN30綜合住院大樓10VLAN40物資供應(yīng)大樓3VLAN50體檢康復(fù)大樓80VLAN60同時，我們將在CiscoCatalyst3825交換機上，進行基于端口的VLAN劃分。IP尋址設(shè)計正如在制定交通規(guī)則并決定在哪里設(shè)置交通信號燈和策略之前，需要定義有哪些街道和為建筑在街道兩旁的房屋指定命名和編號規(guī)則。在計算機網(wǎng)絡(luò)規(guī)劃和設(shè)計中，也需要建立尋址。IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計中的重要環(huán)節(jié)，對于比較大型的網(wǎng)絡(luò)而言尤其重要。IP地址規(guī)劃的好壞不僅影響網(wǎng)絡(luò)路由協(xié)議算法的效率、網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)擴展，還直接影響應(yīng)用的進一步發(fā)展。關(guān)于IP地址規(guī)劃應(yīng)遵循以下原則：1、IP地址的唯一性即IP地址是區(qū)分網(wǎng)絡(luò)主機的唯一標(biāo)識，同一個網(wǎng)絡(luò)中不能有相同的IP地址，否則就不會有可靠的路由選擇方式把包發(fā)送到指定的目標(biāo)地址。2、IP地址規(guī)劃的簡單性IP地址的規(guī)劃應(yīng)本著簡單的原則，避免在網(wǎng)絡(luò)主干采用復(fù)雜的網(wǎng)絡(luò)掩碼形式。3、IP地址規(guī)劃的層次性IP地址在規(guī)劃時，應(yīng)考慮到網(wǎng)絡(luò)中的子網(wǎng)，以及子網(wǎng)中計算機的數(shù)量，這樣才能確定IP地址的類型和子網(wǎng)掩碼。4、IP地址的連續(xù)性。5、IP地址規(guī)劃的可擴展性6、IP地址規(guī)劃的靈活性7、網(wǎng)絡(luò)的安全性8、IP地址根據(jù)需要采用靜態(tài)或動態(tài)分配根據(jù)以上原則，結(jié)合邳州人民醫(yī)院的實際情況，IP地址規(guī)劃如下：1、服務(wù)器區(qū)IP地址規(guī)劃作用：用于給各個服務(wù)器分配IP地址。范圍：-54掩碼：2、辦公區(qū)作用：用于給各個辦公室電腦分配IP地址。范圍：-00掩碼：3、綜合門診區(qū)作用：用于給各個多媒體教室電腦分配IP地址。范圍：-00掩碼：4、科研實驗區(qū)作用：用于給各個實驗室電腦分配IP地址。范圍：-54掩碼：5、綜合住院區(qū)作用：用于給教師電腦分配IP地址。范圍：-54掩碼：民生醫(yī)院網(wǎng)絡(luò)IP地址規(guī)劃如表3-3所示。表3-3IP地址規(guī)劃列表區(qū)域IP范圍子網(wǎng)掩碼網(wǎng)關(guān)服務(wù)器區(qū)：Web服務(wù)器FTP服務(wù)器Email服務(wù)器路由器54(內(nèi))54（外）行政辦公區(qū)-54醫(yī)療綜合區(qū)-54體檢康復(fù)大樓-54綜合住院區(qū)-54物資供應(yīng)大樓-543.3劃分依據(jù)以終端用戶來分析。假設(shè)按職能或業(yè)務(wù)分成三個部門D1、D2、D3，各包含若干計算機（或服務(wù)器），一個共用服務(wù)器SERVER。信息流主要集中在SERVER上，不在網(wǎng)絡(luò)層上將它和其他部門分開，通過授權(quán)就能訪問；其中的某個部門的某些計算機（例如管理者）可以不經(jīng)過路由訪問跨部門的計算機。邏輯上屬于一個部門的計算機（服務(wù)器在一個VLAN內(nèi)；邏輯上屬于多個部門的計算機（服務(wù)器）在多個VLAN上（例如共用服務(wù)器SERVER或管理臺席）。設(shè)置VLAN首先明確需求，根據(jù)具體運用的需求將聯(lián)網(wǎng)的用戶劃分為幾個組，明確組與組之間的互通關(guān)系。如上圖的示例，假設(shè)互通關(guān)系需求下表所示?；ネP(guān)系需求表計算機臺席部門說明AD1可與D1和D3的F互訪問BD1同上CD1同上DD2可與D2和D3的F互訪問ED2同上FD3可與D1、D2、D3的互訪問JD3可與D3和D2互訪問HD3可與D3互訪問ID3同上SERVER可被所有計算機訪問3.31劃分直觀說來，劃分VLAN就是將連接到網(wǎng)絡(luò)上的計算機劃分為幾個組，同組的計算機之間的互通需求相同，所有連網(wǎng)的計算機劃分為下面三個組，實現(xiàn)三個VLAN。如下表所示。VLAN劃分列表組包含的計算機D1A、B、CD2D、ED3F、J、H、ISERVERSERVER3.32為VLAN分配ID在交換機上劃分不同VLAN的標(biāo)志就是各個VLAN的VLANID（802.1QVID）不同。理論上說，每一個VLAN應(yīng)該分配不同的ID，但在實際應(yīng)用中，如果我們將多個VLAN分配同樣的ID，在某些特定的條件下是允許的（如兩個慮擬局域網(wǎng)的實現(xiàn)在存在交叉點，即任何一臺交換機上都不需要同時實現(xiàn)的虛擬網(wǎng)）。可以利用下面的表格來分析。網(wǎng)絡(luò)需求分析:組VLANID交換機1交換機2交換機3D11YESNONOD22YESNONOD33YESYESYESD44NOYESNOSERVER5YESYESYES注：表中YES：表示在該交換機上實現(xiàn)；NO：不在該交換機上實現(xiàn)。3.33達到的目標(biāo)同一職能業(yè)務(wù)部門內(nèi)部可以互訪問；跨部門的訪問需要經(jīng)過核心交換機的授權(quán)；共用信息被所有的計算機訪問；其中的某些計算機（例如管理）有特別權(quán)限。同時，達到提高局域內(nèi)部通信性能、靈活控制訪問權(quán)限以提高安全性的目標(biāo)3.4VPN組網(wǎng)方案為了更加完善和提高醫(yī)療服務(wù)和管理的效率，為病人提供快捷的各種醫(yī)療咨詢和服務(wù)，將門診部和手術(shù)住院部的兩個獨立信息化的網(wǎng)絡(luò)加以合并，讓各種醫(yī)療信息達到同步共享。對于VPN網(wǎng)絡(luò)接入設(shè)備的總體應(yīng)用需求如下：實時、穩(wěn)定的VPN連機質(zhì)量：將以前獨立的兩個網(wǎng)絡(luò)用VPN設(shè)備連接起來，門診部和住院部兩處都需要隨時準(zhǔn)確地獲取所需數(shù)據(jù)，維持穩(wěn)定不中斷的連機質(zhì)量，改善獲取各數(shù)據(jù)所花費的冗長時間。而在實際操作上也需要符合簡易方便的設(shè)計，能夠相對減輕網(wǎng)管維護的負(fù)擔(dān)。具備簡易操作、彈性配置等特性：由于考慮到兩個機構(gòu)的網(wǎng)絡(luò)拓?fù)湫再|(zhì)、內(nèi)網(wǎng)用戶數(shù)量可能不相同，相應(yīng)網(wǎng)絡(luò)管理與解決設(shè)備維護的復(fù)雜程序也不會低。因此，VPN網(wǎng)絡(luò)接入設(shè)備必須具備一定的簡易程度與高靈活度等特性。高度信息安全性：對于醫(yī)療衛(wèi)生信息來說，有很多內(nèi)部機密與患者的個人隱私等資料，需要得到保護。為了確保內(nèi)部信息的機密性，避免數(shù)據(jù)被竊取或偵聽，造成不可估計的損失，因此，院領(lǐng)導(dǎo)對于VPN網(wǎng)絡(luò)接入設(shè)備的信息傳輸?shù)陌踩允种匾?。有較好的兼容性：因辦公需要，現(xiàn)在該醫(yī)院內(nèi)部同時使用ERP、財務(wù)結(jié)算等多種管理軟件。因此，對于VPN網(wǎng)絡(luò)接入設(shè)備還必須有較強的兼容性，不僅要能融合一些應(yīng)用軟件，更要能其他VPN設(shè)備相通。3.41VPN組網(wǎng)方案根據(jù)上述的各項需求，醫(yī)院相關(guān)負(fù)責(zé)人在經(jīng)過多方了解與對比后，選擇了高度性價比優(yōu)勢的多WANVPN防火墻廠商俠諾科技，為其規(guī)劃了整體的VPN組網(wǎng)方案。其具體的組網(wǎng)方案拓樸下：組網(wǎng)方案網(wǎng)絡(luò)設(shè)備選型：由于醫(yī)院內(nèi)部網(wǎng)絡(luò)的規(guī)模較大，考慮其帶機量與網(wǎng)絡(luò)屬性，因此兩處都采用Qno俠諾企業(yè)級QVMVPN防火墻，做為服務(wù)器中心端接入設(shè)備，既支持PPTP、IPSecVPN、SmartLinkVPN、QnoKeyIPSec客戶端密鑰等連機方式，還滿足了外點多種VPN彈性配置需求，實現(xiàn)中心端與各分點建構(gòu)實時、穩(wěn)定、安全的互連VPN網(wǎng)絡(luò)系統(tǒng)。3.42方案特點介紹SmartLinkVPN快速設(shè)定：對于一般傳統(tǒng)的IPSecVPN設(shè)定，沒有太多專業(yè)知識的工作人員，常會因為多達20幾個繁雜步驟而頭痛。而Qno俠諾QVM系列VPN防火墻設(shè)備所特有的SmartLinkVPN功能，將大部份的設(shè)定參數(shù)的工作交由VPN網(wǎng)關(guān)自動完成，用戶只需要輸中心端服務(wù)器IP地址、用戶名、密碼三個參數(shù)，即可完成超快速VPN連機設(shè)定，現(xiàn)在就算是遠在分部的工作人員也可以輕松上手進行VPN連機設(shè)定了。強大防火墻安全功能：對于來自外網(wǎng)的諸多病毒、財務(wù)賬號意外泄露、計算機被非法使用、惡意的內(nèi)網(wǎng)攻擊等安全防患，都不容小覬。目前，最多的攻擊形式仍以ARP攻擊居多，Qno俠諾QVM系列VPN防火墻設(shè)備都具有內(nèi)建的防制ARP功能，憑借自動檢視封包的機制，偵測過濾可疑的封包，做為防制ARP攻擊的第一道防線。可搭配IP/MAC雙向綁定，在路由器端以內(nèi)網(wǎng)PC端進行IP/MAC綁定，即可達到防堵ARP無漏洞的效果?？紤]到要綁定全部工作人員PC端的IP/MAC有一定的難度，Qno俠諾近期特別提供了免費ARP自動綁定軟件，幫助工作人員有針對性的選擇套用綁定程序，達到雙向綁定的目的。智能帶寬管理：少數(shù)工作人員會在上班時間網(wǎng)上炒股、MSN/QQ聊天、網(wǎng)上下載電影等私事，不但經(jīng)常造成帶寬資源被占用，工作效率也會受到影響。Qno俠諾獨有的SmartQoS智能型帶寬管理功能，簡化用戶配置，自動針對實際網(wǎng)絡(luò)帶寬使用情況管控帶寬占用，有效的控制用戶越權(quán)占用上/下載帶寬資源，可設(shè)置啟用時間及流量門檻，自動啟動智能QoS，達成最大帶寬使用率，保持網(wǎng)絡(luò)的暢通。穩(wěn)定、快速的VPN連機質(zhì)量：Qno俠諾QVMVPN防火墻系列，具有指定路由功能，可保障VPN使用帶寬與優(yōu)先權(quán)，進一步穩(wěn)定VPN連機質(zhì)量。此外，俠諾QVMVPN防火墻系列均具備多個WAN接口，可同時接入多條ISP線路，可增加帶寬滿足更多外點VPN連機以及內(nèi)網(wǎng)的計算機使用，還可同時運用VPN備援設(shè)定功能，避免當(dāng)ISP不穩(wěn)定或掉線時，VPN連機也隨之中斷聯(lián)機，造成無形的損失與傷害，有效提高VPN設(shè)備的進一步穩(wěn)定。簡單而方便的配置及管理：Qno俠諾QVMVPN防火墻系列產(chǎn)品均為Web中文配置頁面，沒有太多專業(yè)網(wǎng)絡(luò)管理知識的網(wǎng)絡(luò)人員就可輕易進行配置。即使是不懂網(wǎng)絡(luò)的人，經(jīng)過簡單培訓(xùn)，也可進行操作。大大解決了用戶缺少專業(yè)技術(shù)網(wǎng)管的后顧之憂。產(chǎn)品規(guī)格兼容性強大：Qno俠諾QVMVPN防火墻系列產(chǎn)品，均通過了VPNC(國際VPN認(rèn)證機構(gòu))認(rèn)證。因此，俠諾產(chǎn)品與大廠的VPN設(shè)備不便可以互通，還可以兼容多種應(yīng)用軟件，更不會存在與其他廠商的設(shè)備無法進行VPN聯(lián)機的問題。3.43VPN方案未來拓展：多WAN可彈性增加帶寬：Qno俠諾QVMVPN防火墻系列產(chǎn)品均支持帶寬匯聚，多WAN口接入，可供企業(yè)彈性配置運用。方便在未來的網(wǎng)絡(luò)擴展中，申請多條線路的應(yīng)用。進而實現(xiàn)多WAN備援、VPN與公眾線路分流等效果。由此可見，多WAN端口給日后網(wǎng)絡(luò)升級預(yù)留了空間，讓升級不是問題。策略路由解決VPN跨網(wǎng)瓶頸：由于國內(nèi)長期存在電信、網(wǎng)通互連不互通的問題，許多企業(yè)建立VPN時會發(fā)生跨ISP網(wǎng)絡(luò)時帶寬不足，導(dǎo)致VPN不穩(wěn)定或易于掉線。而Qno俠諾QVMVPN防火墻系列產(chǎn)品的多WAN口設(shè)計，可搭配策略路由的設(shè)定，讓不同ISP外點可直接連到對應(yīng)VPN服務(wù)器入口，在未來即可很好的解決此問題。若未來該用戶需要在云南省乃至全國范圍內(nèi)開設(shè)分院，VPN跨網(wǎng)瓶頸問題將得到輕松解決。4.網(wǎng)絡(luò)安全設(shè)計4.1醫(yī)院網(wǎng)絡(luò)安全解決方案的設(shè)計4.11網(wǎng)絡(luò)方案的模型本文研究的醫(yī)院網(wǎng)絡(luò)安全解決方案是采用基于主動策略的醫(yī)院網(wǎng)絡(luò)安全系統(tǒng),它的主導(dǎo)思想是圍繞著P2DR模型思想建立一個完整的信息安全體系框架。P2DR模型最早是由ISS公司提出的動態(tài)安全模型的代表性模型,它主要包含4個部分:安全策略(Policy)、防護(Protection)、檢測(Detection)和響應(yīng)(Response)。安全策略是P2DR安全模型的核心。在整體安全策略的控制和指導(dǎo)下,運用防護工具(防火墻、操作系統(tǒng)身份認(rèn)證、加密等)對網(wǎng)絡(luò)進行安全防護;利用檢測工具(如漏洞掃描、入侵檢測系統(tǒng)等等)了解和評估系統(tǒng)的安全狀態(tài),檢測針對系統(tǒng)的攻擊行為;通過適當(dāng)?shù)姆磻?yīng)機制將系統(tǒng)的安全狀態(tài)提升到最優(yōu)狀態(tài)。這個過程是一個動態(tài)的、不斷循環(huán)的過程,檢測到的威脅將作為響應(yīng)和加強防護的依據(jù),防護加強后,將繼續(xù)進行檢測過程,依次循環(huán)下去,從而達到網(wǎng)絡(luò)安全性不斷增強的目的[1]。根據(jù)對網(wǎng)絡(luò)安全的技術(shù)分析和設(shè)計目標(biāo),醫(yī)院網(wǎng)絡(luò)安全解決方案要解決7個實現(xiàn)的技術(shù)問題,分別是:數(shù)據(jù)檢測,入侵行為控制,行為分析,行為記錄,服務(wù)模擬,行為捕獲和數(shù)據(jù)融合。醫(yī)院網(wǎng)絡(luò)安全解決方案以P2DR模型為基礎(chǔ),合理利用主動防御技術(shù)和被動防御技術(shù)來構(gòu)建動態(tài)安全防御體系,根據(jù)現(xiàn)有安全措施和工具,在安全策略的基礎(chǔ)上,提出基于主動策略的醫(yī)院網(wǎng)絡(luò)安全方案模型,如圖1所示。醫(yī)院網(wǎng)絡(luò)安全解決方案模型入侵檢測監(jiān)視網(wǎng)絡(luò)的異常情況,當(dāng)發(fā)現(xiàn)有可疑行為或者入侵行為時,將監(jiān)測結(jié)果通知入侵行為控制,并將可疑行為數(shù)據(jù)傳給服務(wù)模擬;服務(wù)模擬在入侵行為控制的監(jiān)控下向可疑行為提供服務(wù),并調(diào)用行為捕獲對系統(tǒng)所有活動作嚴(yán)格和詳細的記錄;數(shù)據(jù)融合定期地從行為記錄的不同數(shù)據(jù)源提取數(shù)據(jù),按照統(tǒng)一數(shù)據(jù)格式整理、融合、提煉后,一發(fā)給行為分析,對可疑行為及入侵行為作進一步分析,同時通知入侵行為控制對入侵行為進行控制,并提取未知攻擊特征通過入侵行為控制對入侵檢測知識庫進行更新,將新的模式添加進去。4.12防火墻隔離的設(shè)計防火墻技術(shù)是醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)中使用最廣泛的一項網(wǎng)絡(luò)安全技術(shù)。它的作用是防止不希望的、未經(jīng)授權(quán)的通信進入被保護的內(nèi)部網(wǎng)絡(luò),通過邊界控制強化內(nèi)部網(wǎng)絡(luò)的安全策略。在醫(yī)院網(wǎng)絡(luò)中,既有允許被內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)同時訪問的一些應(yīng)用服務(wù)器(如醫(yī)療費用查詢系統(tǒng)、專家號預(yù)約系統(tǒng)、病情在線咨詢系統(tǒng)等),也有只允許醫(yī)院網(wǎng)絡(luò)內(nèi)部之間進行通信,不可以外部網(wǎng)絡(luò)訪問的內(nèi)部網(wǎng)絡(luò)[2]。因此,對應(yīng)用服務(wù)器和內(nèi)部網(wǎng)絡(luò)應(yīng)該采用不同的安全策略。本文研究的醫(yī)院網(wǎng)絡(luò)安全解決方案采用的是屏蔽子網(wǎng)結(jié)構(gòu)的防火墻配置。將應(yīng)用服務(wù)器放置在屏蔽子網(wǎng)機構(gòu)中的DMZ區(qū)域內(nèi),由外部防火墻保護,內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的用戶都可以訪問該區(qū)域。內(nèi)部網(wǎng)絡(luò)除了外部防火墻的保護外。還采用堡壘主機(代理服務(wù)器)對內(nèi)部網(wǎng)絡(luò)進行更加深一些層的保護。通過核心交換機的路由功能將想要進入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包路由到代理服務(wù)器中,由包過濾原則。過濾一些內(nèi)部網(wǎng)絡(luò)不應(yīng)看到的網(wǎng)站信息等。內(nèi)部路由器將所有內(nèi)部用戶到因特網(wǎng)的訪問均路由到代理服務(wù)囂,代理服務(wù)器進行地址翻譯。為這些用戶提供服務(wù).以此屏蔽內(nèi)部網(wǎng)絡(luò)。這種結(jié)構(gòu)使得應(yīng)用服務(wù)器與內(nèi)部網(wǎng)絡(luò)采用不同級別的安全策略,既實現(xiàn)醫(yī)院網(wǎng)絡(luò)的需求,也保護醫(yī)院網(wǎng)絡(luò)的安全。防火墻系統(tǒng)結(jié)構(gòu)設(shè)計如圖2所示。雖然防火墻系統(tǒng)能夠為醫(yī)院的網(wǎng)絡(luò)提供很多安全方面的保障,但并不能夠解決全部安全問題。因此,醫(yī)院的網(wǎng)絡(luò)安全系統(tǒng)還采取了其他的網(wǎng)絡(luò)安全技術(shù)和手段來確保醫(yī)院網(wǎng)絡(luò)的安全。4.13醫(yī)療業(yè)務(wù)數(shù)據(jù)的捕獲如果本文研究的醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)不能捕獲到任何數(shù)據(jù),那它將是一堆廢物。只有捕獲到數(shù)據(jù),我們才能利用這些數(shù)據(jù)研究攻擊者的技術(shù)、工具和動機。本文設(shè)計的醫(yī)院安全系統(tǒng)實現(xiàn)了三層數(shù)據(jù)捕獲,即防火墻日志、嗅探器捕獲的網(wǎng)絡(luò)數(shù)據(jù)包、管理主機系統(tǒng)日志。其中,嗅探器記錄各種進出醫(yī)院內(nèi)管理網(wǎng)的數(shù)據(jù)包內(nèi)容,嗅探器可以用各種工具,如Ethereal等,我們使用了Tcpdump。記錄的數(shù)據(jù)以Tcpdump日志的格式進行存儲,這些數(shù)據(jù)不僅以后可用通過Tcpreplay進行回放,也可以在無法分析數(shù)據(jù)時,發(fā)送給別的研究人員進行分析。防火墻和嗅探器捕獲的是網(wǎng)絡(luò)數(shù)據(jù),還需要捕獲發(fā)生有管理主機上的所有系統(tǒng)和用戶活動。對于windows系統(tǒng),可以借助第三方應(yīng)用程序來記錄系統(tǒng)日志信息?，F(xiàn)在大多數(shù)的攻擊者都會使用加密來與被黑系統(tǒng)進行通信。要捕獲擊鍵行為,需要從管理主機中獲得,如可以通過修改系統(tǒng)庫或者開發(fā)內(nèi)核模塊來修改內(nèi)核從而記錄下攻擊者的行為。4.2醫(yī)院網(wǎng)絡(luò)安全解決方案的實現(xiàn)4.21防火墻系統(tǒng)的布置本文研究的醫(yī)院防火墻系統(tǒng)采用的是屏蔽子網(wǎng)結(jié)構(gòu),在該結(jié)構(gòu)中,采用QuidwaySecPath1000F硬件防火墻與外部網(wǎng)絡(luò)直接相連,通過核心交換機QuidwayS6506R將屏蔽子網(wǎng)結(jié)構(gòu)中的DMZ區(qū)域和內(nèi)部網(wǎng)絡(luò)連接起來,DMZ區(qū)域中的各種應(yīng)用的服務(wù)器都采用的是IBMxSeries346,其中一臺作為堡壘主機使用。這臺堡壘主機起到的就是代理服務(wù)器的作用。防火墻根據(jù)管理員設(shè)定的安全規(guī)則保護內(nèi)部網(wǎng)絡(luò),提供完善的安全設(shè)置,通過高性能的醫(yī)院網(wǎng)絡(luò)核心進行訪問控制。4.22醫(yī)療業(yè)務(wù)數(shù)據(jù)捕獲的實現(xiàn)本文研究的數(shù)據(jù)捕獲主要從三層進行數(shù)據(jù)捕獲。我們在網(wǎng)橋下運行如下命令進行捕獲:TCPDUMP-c10–ieth1-s0–w/log為了不讓攻擊者知道我們在監(jiān)視他在主機上的活動,我們采用Sebek來實現(xiàn)我們的目標(biāo)。Sebek是個隱藏的記錄攻擊者行為的內(nèi)核補丁。一旦在主機上安裝了Sebek的客戶端,它就在系統(tǒng)的內(nèi)核級別運行,記錄的數(shù)據(jù)并不是記錄在本地硬盤上,而是通過UDP數(shù)據(jù)包發(fā)送到遠程服務(wù)器上,入侵者很難發(fā)現(xiàn)它的存在。醫(yī)院的網(wǎng)絡(luò)安全系統(tǒng)數(shù)據(jù)捕獲是由內(nèi)核模塊來完成的,本文研究使用這個模塊獲得主機內(nèi)核空間的訪問,從而捕獲所有read()的數(shù)據(jù)。Sebek替換系統(tǒng)調(diào)用表的read()函數(shù)來實現(xiàn)這個功能,這個替換的新函數(shù)只是簡單的調(diào)用老read()函數(shù),并且把內(nèi)容拷貝到一個數(shù)據(jù)包緩存,然后加上一個頭,再把這個數(shù)據(jù)包發(fā)送到服務(wù)端。替換原來的函數(shù)就是改變系統(tǒng)調(diào)用表的函數(shù)指針?？紤]到服務(wù)器區(qū)域的重要性，把服務(wù)器區(qū)域單獨隔離，構(gòu)建數(shù)據(jù)中心，并與核心之間形成雙鏈路。確保核心和服務(wù)器區(qū)域的穩(wěn)定與安全。這種設(shè)計方式有以下好處：1、可以確保核心設(shè)備的性能；2、可以確保核心設(shè)備有更多的擴展性；3、可以在服務(wù)器區(qū)域單獨部署策略，確保服務(wù)器區(qū)域的安全。4.3EAD解決方案4.31技術(shù)背景網(wǎng)絡(luò)安全問題的解決，三分靠技術(shù)，七分靠管理，嚴(yán)格管理是企業(yè)、機構(gòu)及用戶免受網(wǎng)絡(luò)安全問題威脅的重要措施。事實上，多數(shù)企業(yè)、機構(gòu)都缺乏有效的制度和手段管理網(wǎng)絡(luò)安全。網(wǎng)絡(luò)用戶不及時升級系統(tǒng)補丁、升級病毒庫的現(xiàn)象普遍存在；隨意接入網(wǎng)絡(luò)、私設(shè)代理服務(wù)器、私自訪問保密資源、非法拷貝機密文件、利用非法軟件獲取利益等行為在企業(yè)網(wǎng)中也比比皆是。管理的欠缺不僅會直接影響用戶網(wǎng)絡(luò)的正常運行，還可能使企業(yè)蒙受巨大的商業(yè)損失。為了解決現(xiàn)有網(wǎng)絡(luò)安全管理中存在的不足，應(yīng)對網(wǎng)絡(luò)安全威脅，H3C推出了終端準(zhǔn)入控制（EAD，EnduserAdmissionDomination）解決方案。該方案從用戶終端準(zhǔn)入控制入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及防病毒軟件產(chǎn)品、系統(tǒng)補丁管理產(chǎn)品、桌面管理產(chǎn)品的聯(lián)動，對接入網(wǎng)絡(luò)的用戶終端強制實施企業(yè)安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，可以加強用戶終端的主動防御能力，大幅度提高網(wǎng)絡(luò)安全。EAD在用戶接入網(wǎng)絡(luò)前，通過統(tǒng)一管理的安全策略強制檢查用戶終端的安全狀態(tài)，并根據(jù)對用戶終端安全狀態(tài)的檢查結(jié)果實施接入控制策略，對不符合企業(yè)安全標(biāo)準(zhǔn)的用戶進行“隔離”并強制用戶進行病毒庫升級、系統(tǒng)補丁升級等操作；在保證用戶終端具備自防御能力并安全接入的前提下，可以通過動態(tài)分配ACL、VLAN等合理控制用戶的網(wǎng)絡(luò)權(quán)限，從而提升網(wǎng)絡(luò)的整體安全防御能力。EAD還引入了資產(chǎn)管理、軟件分發(fā)、USB監(jiān)控等功能，提供了企業(yè)內(nèi)網(wǎng)PC集中管理運維的方案，以高效率的管理手段和措施，協(xié)助企業(yè)IT部門及時盤點內(nèi)網(wǎng)資產(chǎn)、掌控內(nèi)網(wǎng)資產(chǎn)變更情況。4.32EAD方案介紹EAD終端準(zhǔn)入控制方案包括兩個重要功能：安全防護和安全監(jiān)控。安全防護主要是對終端接入網(wǎng)絡(luò)進行認(rèn)證，保證只有安全的終端才能接入網(wǎng)絡(luò)，對達不到安全要求的終端可以進行修復(fù)，保障終端和網(wǎng)絡(luò)的安全；安全監(jiān)控是指在上網(wǎng)過程中，系統(tǒng)實時監(jiān)控用戶終端的安全狀態(tài)，并針對用戶終端的安全事件采取相應(yīng)的應(yīng)對措施，實時保障網(wǎng)絡(luò)安全。目前EAD還引入的資產(chǎn)管理、軟件分發(fā)、USB監(jiān)控等功能，與之前的準(zhǔn)入防御功能并沒有交叉，下面分別介紹EAD解決方案的端點準(zhǔn)入防御，資產(chǎn)管理，軟件分發(fā)等功能。4.33EAD端點準(zhǔn)入防御方案介紹EAD解決方案端點準(zhǔn)入防御應(yīng)用模型圖身份驗證：用戶終端接入網(wǎng)絡(luò)時，首先進行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)。目前EAD解決方案支持802.1x，Portal認(rèn)證。安全檢查：身份認(rèn)證通過后進行終端安全檢查，由EAD安全策略服務(wù)器驗證用戶終端的安全狀態(tài)（包括補丁版本、病毒庫版本、軟件安裝、系統(tǒng)服務(wù)、注冊表、是否登錄密碼為弱密碼等）是否合格。安全隔離：不合格的終端將被安全聯(lián)動設(shè)備通過ACL策略限制在隔離區(qū)進行安全修復(fù)。安全修復(fù)：進入隔離區(qū)的用戶可以進行補丁、病毒庫的升級、卸載非法軟件和停止非法服務(wù)等操作，直到安全狀態(tài)合格。動態(tài)授權(quán)：如果用戶身份驗證、安全檢查都通過，則EAD安全策略服務(wù)器將預(yù)先配置的該用戶的權(quán)限信息（包括網(wǎng)絡(luò)訪問權(quán)限等）下發(fā)給安全聯(lián)動設(shè)備，由安全聯(lián)動設(shè)備實現(xiàn)按用戶身份的權(quán)限控制。實時監(jiān)控：在用戶網(wǎng)絡(luò)使用過程中，安全客戶端根據(jù)安全策略服務(wù)器下發(fā)的監(jiān)控策略，實時監(jiān)控用戶終端的安全狀態(tài)，一旦發(fā)現(xiàn)用戶終端安全狀態(tài)不符合企業(yè)安全策略，則向EAD安全策略服務(wù)器上報安全事件，由EAD安全策略服務(wù)器按照預(yù)定義的安全策略，采取相應(yīng)的控制措施，比如通知安全聯(lián)動設(shè)備隔離用戶。EAD安全準(zhǔn)入流程圖4.34EAD端點準(zhǔn)入防御方案特點(1)安全狀態(tài)評估終端補丁檢測：評估客戶端的補丁安裝是否合格，可以檢測的補丁包括：操作系統(tǒng)(Windows2000/XP/2003等，不包括Windows98)等符合微軟補丁規(guī)范的熱補丁。安全客戶端版本檢測：可以檢測安全客戶端iNodeClient的版本，防止使用不具備安全檢測能力的客戶端接入網(wǎng)絡(luò)，同時支持客戶端自動升級。安全狀態(tài)定時評估：安全客戶端可以定時檢測用戶安全狀態(tài)，防止用戶上網(wǎng)過程中因安全狀態(tài)發(fā)生變化而造成的與安全策略的不一致。自動補丁管理：提供與微軟WSUS/SMS（全稱：WindowsServerUpdateServices/SystemManagementServer）協(xié)同的自動補丁管理，當(dāng)用戶補丁不合格時，自動安裝補丁。終端運行狀態(tài)實時檢測：可以對上線用戶終端的系統(tǒng)信息進行實時檢測，包括已安裝程序列表、已安裝補丁列表、已運行進程列表、共享目錄信息、分區(qū)表、屏保設(shè)置和已啟動服務(wù)列表等。防病毒聯(lián)動：主要包含兩個方面，一是端點用戶接入網(wǎng)絡(luò)時，檢查其計算機上防病毒軟件的安裝運行情況以及病毒庫和掃描引擎版本是否符合安全要求等，不符合安全要求可以根據(jù)策略阻止用戶接入網(wǎng)絡(luò)或?qū)⑵湓L問限制在隔離區(qū)；二是端點用戶接入網(wǎng)絡(luò)后，EAD定期檢查防病毒軟件的運行狀態(tài)，如果發(fā)現(xiàn)不符合安全要求可以根據(jù)策略強制讓用戶下線或?qū)⑵湓L問限制在隔離區(qū)。聯(lián)動方式目前包括強聯(lián)動和弱聯(lián)動，強聯(lián)動需要防病毒軟件廠商提供聯(lián)動插件，iNode客戶端通過該聯(lián)動插件完成對防病毒軟件的運行狀態(tài)檢查以及行為控制。弱聯(lián)動不需要防病毒廠商提供聯(lián)動插件，iNode客戶端通過其他方式實現(xiàn)對防病毒軟件的運行狀態(tài)檢查以及行為控制。當(dāng)前支持的強AV聯(lián)動支持的防病毒軟件有：瑞星、金山和江民。當(dāng)前支持的弱AV聯(lián)動支持的防病毒軟件有：諾頓、趨勢、McAfee、安博士、CA安全甲胄、VRV、卡巴斯基等。ARP防火墻：iNode客戶端將截獲用戶的ARP報文，并且根據(jù)如下原則判斷是否是非法ARP報文：(2)發(fā)出的ARP報文必須滿足：=1\*GB3①以太網(wǎng)源地址＝發(fā)送端以太網(wǎng)地址＝本機發(fā)包網(wǎng)卡的MAC地址=2\*GB3②發(fā)送端IP地址＝本機發(fā)包網(wǎng)卡的IP地址 =3\*GB3③在滿足上面兩條的前提下判斷是否是ARP請求報文，如果是請求報文必須滿足是廣播報文。(3)接收的ARP報文必須滿足：=1\*GB3①以太網(wǎng)源地址＝發(fā)送端以太網(wǎng)地址。如果iNode發(fā)現(xiàn)報文為非法ARP報文，那么將會對報文做丟棄處理。4.35用戶權(quán)限管理強身份認(rèn)證：在用戶身份認(rèn)證時，可綁定用戶接入IP、MAC、接入設(shè)備IP、端口和VLAN等信息，進行強身份認(rèn)證，防止帳號盜用、限定帳號所使用的終端，確保接入用戶的身份安全?！拔ｋU”用戶隔離：對于安全狀態(tài)評估不合格的用戶，可以限制其訪問權(quán)限（通過ACL隔離），使其只能訪問防病毒服務(wù)器、補丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源?！拔ｋU”用戶在線隔離：用戶上網(wǎng)過程中安全狀態(tài)發(fā)生變化造成與安全策略不一致時（如感染不能殺除的病毒），EAD可以在線隔離并通知用戶。軟件安裝和運行檢測：檢測終端軟件的安裝和運行狀態(tài)。可以限制接入網(wǎng)絡(luò)的用戶必須安裝、運行或禁止安裝、運行其中某些軟件。對于不符合安全策略的用戶可以記錄日志、提醒或隔離。支持匿名認(rèn)證：iNode客戶端與EAD安全策略服務(wù)器配合提供用戶匿名認(rèn)證功能，用戶不需要輸入用戶名、密碼即可完成身份認(rèn)證和安全認(rèn)證。接入時間、區(qū)域控制：可以限制用戶只能在允許的時間和地點（接入設(shè)備和端口）上網(wǎng)。限制終端用戶使用多網(wǎng)卡和撥號網(wǎng)絡(luò)：防止用戶終端成為內(nèi)外網(wǎng)互訪的橋梁，避免因此可能造成的信息安全問題。代理限制：可以限制用戶使用和設(shè)置代理服務(wù)器。4.36用戶行為監(jiān)控終端強制或提醒修復(fù)：強制或提醒不符合安全策略的終端用戶主機進行防病毒軟件升級，病毒庫升級，補丁安裝；目前只支持手工方式（金山的客戶端可以與系統(tǒng)中心做自動升級）。安全狀態(tài)監(jiān)控：定時監(jiān)控終端用戶的安全狀態(tài)，發(fā)現(xiàn)感染病毒后根據(jù)安全策略可將其限制到隔離區(qū)。安全日志審計：定時收集客戶端的實時安全狀態(tài)并記錄日志；查詢用戶的安全狀態(tài)日志、安全事件日志以及在線用戶的安全狀態(tài)。強制用戶下線：管理員可以強制行為“可疑”的用戶下線。4.4桌面資產(chǎn)管理方案介紹EAD解決方案不僅能夠?qū)τ脩舻亩它c準(zhǔn)入安全進行管理，而且能夠?qū)τ脩艟W(wǎng)絡(luò)中的資產(chǎn)進行管理和控制，其基本的功能包括：資產(chǎn)管理、軟件分發(fā)。桌面資產(chǎn)管理應(yīng)用模型如下：桌面資產(chǎn)管理應(yīng)用模型桌面資產(chǎn)管理的應(yīng)用流程如下圖所示：桌面資產(chǎn)管理工作流程身份驗證及安全認(rèn)證：EAD的桌面資產(chǎn)管理功能是與EAD的端點準(zhǔn)入功能緊密結(jié)合的：在安全認(rèn)證成功之后，服務(wù)器將DAM服務(wù)器的地址和端口下發(fā)給DAM客戶端。作為另外一種選擇，DAM服務(wù)器的地址和端口，也可以采用iNode客戶端管理中心定制指定。資產(chǎn)上線：資產(chǎn)上線分成幾種情況：1、已管理資產(chǎn)的上線：服務(wù)器根據(jù)客戶端上傳的資產(chǎn)編號找到資產(chǎn)記錄即回應(yīng)確認(rèn)信息，客戶端之后請求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端。2、客戶端注冊方式的新資產(chǎn)（該資產(chǎn)由管理員增加）上線：服務(wù)端要求客戶端輸入資產(chǎn)編號，客戶端提交后，服務(wù)端根據(jù)資產(chǎn)編號找到資產(chǎn)信息，發(fā)給客戶端確認(rèn)，確認(rèn)后服務(wù)端將該資產(chǎn)置為已管理狀態(tài)，回應(yīng)確認(rèn)信息，客戶端之后請求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端。3、服務(wù)器自動生成新資產(chǎn)方式的上線：服務(wù)端根據(jù)客戶端上傳的資產(chǎn)指紋信息生成新資產(chǎn)編號；客戶端彈出資產(chǎn)信息錄入界面并由用戶錄入，之后上傳給服務(wù)端，服務(wù)端回應(yīng)確認(rèn)信息，客戶端之后請求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端。4、重裝操作系統(tǒng)之后的客戶端上線：服務(wù)端根據(jù)客戶端傳遞過來的指紋信息找到已有的資產(chǎn)記錄，之后回應(yīng)資產(chǎn)信息給客戶端；客戶端用戶確認(rèn)服務(wù)器返回的資產(chǎn)信息與自己的資產(chǎn)相匹配，之后，客戶端發(fā)送確認(rèn)報文給服務(wù)端；服務(wù)端確認(rèn)后將正在上線的資產(chǎn)與自身已有記錄關(guān)聯(lián)起來；服務(wù)端回應(yīng)確認(rèn)信息，客戶端之后請求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端。5、安裝了多操作系統(tǒng)的資產(chǎn)上線：用戶啟動一個操作系統(tǒng)并上線成功后，在另一個操作系統(tǒng)下又發(fā)起上線請求；服務(wù)端發(fā)現(xiàn)多操作系統(tǒng)情況，將只允許最后安裝的操作系統(tǒng)的客戶端可以上線；服務(wù)端回應(yīng)確認(rèn)信息，客戶端之后請求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端。資產(chǎn)信息上報：客戶端獲取本地資產(chǎn)信息，保存到本地，并上報給服務(wù)端；客戶端定期會掃描本地資產(chǎn)信息，如發(fā)現(xiàn)有變更，更新本地保存的資產(chǎn)文件，同時將資產(chǎn)變更信息上報給服務(wù)端。USB使用信息上報：客戶端實時監(jiān)測USB插入情況，如果有USB插入、向US