北京市友谊医院网络系统升级改造设计方案12-18-03
项目建议书
XX公司
密级:商密
正本
XX医院
信息网络项目
技术建议书
XX公司
200X年X月
目(录
第一部分 方案设计优势与技术特点分析 7
1.前 言 8
2.XX医院思科整体设计方案优势概括 8
3.本方案优于标书技术要求的要点概括 15
第二部分 计算机网络系统设计方案 19
一、项目需求以及分析 20
1.1XX医院的建设需求 20
1.2.用户需求 20
1.3.设计思想 21
1.4设计目标 21
二、XX医院计算机网络系统设计 22
2.1局域网络技术选型 22
2.2选择万兆以太网技术 28
2.3设备厂商选择依据 29
2.3.1世界上最大的互联网产品生成、销售公司 29
2.3.2业界产品性能、技术领先的公司 29
2.4 XX医院网络系统设计方案 30
2.4.1方案整体说明 36
2.4.2总体方案设计特点 37
2.5 网络骨干交换机选型 38
2.5.1为什么选择思科6513为主干交换机 38
2.5.26500系列多业务交换机的技术特性 38
2.5.3从投资保护角度分析 40
2.5.4从医院应用的性能角度分析 41
2.6 汇聚层交换机选型 42
2.7 接入层交换机选型 43
2.8网络基础设施全局管理系统(思科网管系统Cisco Works ) 44
2.8.1网管需求 44
2.8.2CiscoWorks管理解决方案 44
2.8.3技术要求 45
2.8.4 MRTG结合Ciscoworks实现多厂商设备的网络流量管理设计 46
三、XX医院网络安全系统的实现方案 54
3.1 医院内部网络安全(三层交换、ACL) 54
3.1.1利用VLAN功能及第三层交换模块,实现用户对访问控制的要求 54
3.1.2基于802.1x的端口认证技术 55
3.1.2思科独有的网络准入控制NAC技术 56
3.2 医院网络边界安全(防火墙/IPS技术) 57
3.2.1防火墙技术简介 57
3.2.2XX医院网络安全防火墙部署设计 57
3.2.3 利用嵌入式虚拟防火墙模块-FWSM的主要特点 57
3.3 XX医院外网远程访问安全(VPN技术) 60
3.3.1VPN技术简介 60
3.3.2XX医院外网VPN访问设计 60
3.3.3网络安全之-认证技术 61
3.3.4加密技术(IPSEC) 61
3.3.5用户管理 62
四、XX医院网络系统TCP/IP网络地址分配方案 64
4.1 IP地址分配基本概念 64
4.2 IP地址分配原则 66
4.3地址分配方案 66
4.3.1地址范围 66
4.3.2地址字段的定义规则 67
4.3.3主要设备地址定义 67
4.3.4公网地址 67
第三部分 XX医院网络安全体系总体设计规划方案 68
一、思科医疗级网络概述 69
二、高可靠的医疗级网络解决方案 70
2.1核心层 71
2.2汇聚层 72
2.3接入层 73
三、安全的医疗级网络解决方案 75
3.1思科自防御网络为医院提供系统化的网络安全保障 76
3.2思科自防御网络战略实现 77
四、常见的网络安全攻击与防范 87
4.1网络安全威胁发展趋势 87
4.2局域网安全存在的普遍问题 88
4.3阻止来自网络第二层攻击的重要性 90
4.4 MAC地址泛滥攻击的防范 92
4.4.1MAC泛滥攻击的原理和危害 92
4.4.2攻击实例 92
4.4.3防范方法 93
4.4.5配置示例 94
4.5 DHCP欺骗攻击的防范 95
4.5.1采用DHCP管理的常见问题 95
4.5.2DHCP Snooping技术概述 96
4.5.3基本防范 97
4.5.4高级防范 98
4.6 ARP欺骗攻击原理和防范 99
4.6.1ARP欺骗攻击原理 99
4.6.2攻击实例 100
4.6.3防范方法 101
4.6.4配置示例 102
4.6.5配置DAI后的效果 102
4.7 IP/MAC欺骗的防范 103
4.7.1常见的欺骗攻击的种类和目的 103
4.7.2攻击实例 104
4.7.3IP/MAC欺骗的防范 104
4.7.4配置示例 105
4.8 IP地址管理和病毒防范的新思路 107
4.8.1IP地址管理 107
4.8.2解决有关病毒问题 107
4.9 Cisco Catalyst交换机硬件和操作系统要求 108
第四部分 XX医院数据安全体系总体设计规划方案 109
一、医疗信息系统的建设背景 110
二、XX医院信息系统高可用性设计方案 111
1、需求分析 111
2、存储局域网 112
3、数据备份与恢复 114
3、1什么是数据备份和恢复系统? 115
3、2数据备份和恢复系统的建设原则 115
3、3医疗信息系统的数据备份与恢复系统设计 116
4、存储管理解决方案 118
4、1存储虚拟化的定义 119
4、2为什么需要虚拟化 121
4、3统一存储管理方案的价值 122
5、高可用的集群系统 125
5、1全冗余的架构是基础 125
5、2Symantec 集群方案的工作原理 128
5、3主要特点 129
6、容灾设计 130
6、1数据恢复时间和恢复点 130
6、2容灾中心位置与设施 131
6、3数据迁移方式 132
1、数据复制的概念 133
2、容灾中心数据一致性问题 134
3、数据复制点 135
4、复制点比较 137
6、4医疗信息系统数据复制技术推荐 138
1、基于SAN的逻辑卷远程镜像 138
2、基于主机的逻辑卷数据复制 139
6、5容灾系统定期测试 140
三、数据安全、应急备份及恢复策略 141
3.1存储级别RAID配置说明 141
3.2数据库应急备份恢复服务器(规划建议) 141
3.3数据库数据备份与恢复策略设置 142
3.3.1备份介质和备份策略的选择 142
3.3.2 存储管理建议 145
3.3.3 Symantec Veritas备份软件配置说明 148
3.4系统安全解决方案 149
3.4.1安全层次划分 150
3.4.2 操作系统层安全 153
3.4.3数据库层安全 154
3.5 服务器防病毒系统 156
3.5.1推荐安全产品--Trend Micro防病毒产品 156
3.5.2功能简介和部署范围 156
四、数据交换的负载均衡设计 162
4.1为什么要选择负载均衡 162
4.2什么是负载均衡 162
4.3利用思科6500应用负载均衡系统的设计说明 162
4.4 思科ACE(应用控制引擎)实现功能 163
4.5思科应用控制引擎网络集成 167
第五部分 XX医院增值服务应用系统设计规划 171
一、快速响应的医疗级网络解决方案 172
二、交互的的医疗级网络解决方案 175
2.1护士呼叫系统 175
2.2临床信息交互系统 176
2.3病人监控系统 177
2.4协作医疗系统 177
2.5医院网络示教系统 178
三、思科统一通信(UC)系统解决方案 181
3.1为什么推荐采用思科UC的解决方案 182
3.2思科统一通信解决方案简介 186
3.2.1通信端点 188
3.2.2呼叫处理 188
3.2.3IP电话应用 189
3.3解决方案优点 189
3.4XX医院语音系统需求分析 190
3.4.1系统设计原则 190
3.5XX医院统一通信方案总体设计 192
3.5.1核心通信网络网关的设计 192
3.5.2电话机的配置参考 192
3.5.3传真的设计 193
1、传统传真机设备的连接 193
2、传真信箱(统一消息)的实现 193
3.6分支机构IP语音系统设计 196
3.6.1分支机构通信系统可靠性(SRST)和语音网关设计 196
3.7拨号方案规划 197
3.7.1XX医院拨号方案总体设计 197
3.7.2编号方案和拨号方案设计 198
3.7.3号码分配示例 199
3.8媒介资源(MEDIA RESOURCE)设计 199
3.8.1编解码器的会议和转码容量 200
3.8.2会议资源设计 201
3.8.3话务台设计 201
3.8.4语音信箱系统设计 201
3.9多媒体会议协同系统设计 202
3.9.1视频会议系统设计 202
3.9.2视频语音会议系统 203
3.9.3连接系统设计 206
3.10 平台管理 207
3.11业务通信系统管理 208
3.12 IP语音配置管理 211
3.13 网络基础设施管理 212
1、网络QoS策略实施与监控 213
2、统一通信业务质量测量与验证 214
四、UC系统安全设计 215
4.1网络基础设施的安全设计 216
1.安全连接 216
2.管理信任关系和身份 218
3.威胁防御 219
4.2 CallManager系统安全设计 220
1.操作系统加固 220
2.反病毒软件防护 221
3.远程管理的安全 222
4.认证和加密 222
5.防盗打 224
附录一、 产品简介 226
附录二、 产品入网许可证 349
第一部分 方案设计优势与技术特点分析
1.前 言
尊敬的XX医院,XX招标公司:
尊敬的各位专家评委:
本方案设计是XX公司(以下简称XX公司)依据XX医院以下简称XX医院)的网络建设需求,针对于XX医院信息网络项目建设及应用而设计的,最终目的是希望通过本次的网络系统建设实施,为XX医院逐步建立的以病人为中心的PACS/RIS、LIS以及OA/HIS等信息系统之间的数据传递、应用、管理等提供一个高效、畅通的信息网络系统支持环境。
通过XX公司的项目技术人员在与本次XX医院项目相关工作和技术人员进行了细致的交流,在依据所交流、标书提供的网络需求、设备型号、网络拓扑图及网络建设的具体需求目标的基础上、并结合我司在系统集成领域的经营和技术实力,制定出了本次XX医院的网络系统设计方案。在此对本次XX医院项目有关工作、技术人员和与本次招标相关的工作人员表示诚挚的感谢!
2.XX医院思科整体设计方案优势概括
XX公司很荣幸的做为XX医院信息网络项目的思科品牌唯一授权投标人参与贵院此次项目的竞标,现就我们提供的技术解决方案、产品、服务等特点说明如下。
本次投标的网络品牌思科系世界一流的网络品牌,本次投标的产品,技术解决方案和服务,对原本就是思科产品用户的XX医院,除了运营维护成本更低外,还有很多独特的优势:主要概括如下:
1. 思科在国内拥有大量著名三甲级医院的成功案例,对XX医院具有很好的参考价值:随着医院业务的发展和医疗体制的变革,医院如何更好的服务社会和医患人员是各级各类医院关心和关注的首要问题,“一流的医院需要一流的软硬件环境”,网络做为医院核心业务应用的基础承载系统,其可靠性和安全性变得尤为重要,做为负责任的厂商我们一直非常重视和配合国内医院的这种业务和体制变革所带来的挑战和变化,正是鉴于此很多著名三甲级医院在过去的两三年的时间里纷纷把网络系统换成高品质的思科产品,这已经成为主流的发展趋势;思科在全球的网络市场占有率及国内医疗行业的市场占有率都是遥遥领先的。
2. 思科通过不断的技术创新,过去以来一直是网络行业具有很强生命力的主流厂商,可以提供持续不断的产品研发、技术支持、技术升级和售后服务;
3. 思科产品的质量可靠性和内在品质得到业界特别是国内广大医院用户的认可;
4. 我们和思科公司都非常重视医疗行业,具有市场占有率最高的医疗行业客户群和丰富的医疗网络建设经验,了解医院的应用和发展趋势,了解医院信息系统需要解决的问题并拥有完整、独特、领先的技术解决方案;
5. 思科产品是业界领先的提供承载生命信息系统――医院信息系统整体网络解决方案的厂商,我们不但能够提供适合医院业务系统的高可靠、安全的基础网络系统,还能提供满足医院全面信息化建设需要的统一通信、无线、安全、内容交换、流量分析和数据中心等全面的网络解决方案;
6. 受卫生部委托,在CHIMA和卫生部医院管理研究所的领导下,思科和中日友好医院联合进行了为期一年多的无线局域网对医疗设备潜在干扰的测试研究,经过严密的测试和实践检验未发现思科的无线设备对医疗设备产生异常干扰,非常有利于XX医院安全、高效地部署无线网络;
7. 丰富的第三方基于思科统一通信平台开发的医疗特定应用并拥有在医院成功实施的案例和经验,可以为XX医院参考和借鉴;
8. 思科所投产品全部具有完全自主的知识产权,不存在知识产权纠纷隐患;
9. 最好的投资保护:较低的长期拥有成本(包括初次购买、运营维护、网络扩展、技术升级费用的总和)
10. XX医院原来就是思科的用户,除以上思科优势原因之外,从产品选型的连续性,网络人员管理思科设备经验的延续性和统一网络管理等方面来看,选择思科也是再次正确的选择;
11. 北京XX公司和思科公司具有完备、周到、高效的服务体系,这些都是XX医院网络安全可靠运行的重要保障;
12. 思科的方案有很多功能特性优于招标文件中的技术要求。
详细说明如下:
1. 思科在国内拥有大量著名三甲级医院的成功案例,对XX医院具有很好的参考价值:随着医院业务的发展和医疗体制的变革,医院如何更好的服务社会和医患人员是各级各类医院关心和关注的首要问题,“一流的医院需要一流的软硬件环境”,网络做为医院核心业务应用的基础承载系统,其可靠性和安全性变得尤为重要,做为负责任的厂商我们一直非常重视和配合国内医院的这种业务和体制变革所带来的挑战和变化,正是鉴于此很多著名三甲级医院在过去的两三年的时间里纷纷把网络系统换成高品质的思科产品,这已经成为主流的发展趋势;思科在全球的网络市场占有率及国内医疗行业的市场占有率都是遥遥领先的。以下是北京地区主要思科产品组网应用医院用户列表,主要列出了对XX医院信息系统规划、建设有参考意义的成功案例:
|序号 |名称 |级别 |
|1 |北京地坛医院 |三级甲等医院 |
|2 |北京佑安医院 |三级甲等医院 |
|3 |三0一医院 |三级甲等医院 |
|4 |三0二医院 |三级甲等医院 |
|5 |三0六医院 |三级甲等医院 |
|6 |北京大学人民医院 |三级甲等医院 |
|7 |北京大学第三医院 |三级甲等医院 |
|8 |北京大学口腔医院 |三级甲等医院 |
|9 |卫生部中日友好医院 |三级甲等医院 |
|10 |首医大附属复兴医院 |三级医院 |
|11 |首医大附属口腔医院 |三级甲等医院 |
|12 |首医大附属友谊医院 |三级甲等医院 |
|13 |首医大附属宣武医院 |三级甲等医院 |
|14 |儿研所附属儿童医院 |三级甲等医院 |
|15 |同仁医院 |三级甲等医院 |
|16 |广安门中医院 |三级甲等医院 |
|17 |中国医科院附属肿瘤医院 |三级甲等医院 |
|18 |阜外心血管医院 |三级甲等医院 |
在北京之外思科也拥有为数众多的医院用户案例,如:华东的瑞金医院,南京军区福州总医院;华南的中山小榄医院,广州中医药大学第一附属医院;华西的新桥医院,华西医院;东北的哈尔滨医科大学附属第一医院,齐齐哈尔第一医院;华北的天津总医院,天津肿瘤医院等等。
由于IT技术在医院业务应用中深度和广度的不断加大,尤其如护士工作站、移动查房、RFID腕带、LIS标签扫描、无线语音、无线定位等诸多依托于无线基础设施开展的应用逐步涌现和成熟,基于WLAN的应用技术大规模进入医院已经开始,这其中尤以06年卫生部委托思科(中国)有限公司和中日友好医院联合进行的无线设备对医疗器械、设备的干扰情况的调查分析为标志,根据稍后卫生部依据测试结果公布的《医院无线局域网布署规程(草案)》文件中所测试全部思科无线产品对医疗器械、设备均未发现异常干扰和影响。
以下是思科北京地区部分无线网络用户成功案例:
|序号 |名称 |级别 |
|1 |北京天坛医院 |三级甲等医院 |
|2 |广安门中医院 |三级甲等医院 |
|3 |三0一医院 |三级甲等医院 |
|4 |三0二医院 |三级甲等医院 |
|5 |三0六医院 |三级甲等医院 |
|6 |北京大学人民医院 |三级甲等医院 |
|7 |中日友好医院 |三级甲等医院 |
|8 |协和医院 |三级甲等医院 |
|9 |安贞医院 |三级甲等医院 |
|10 |儿研所附属儿童医院 |三级甲等医院 |
2. 思科通过不断的技术创新,过去以来一直是网络行业具有很强生命力的主流厂商,可以提供持续不断的产品研发、技术支持、技术升级和售后服务;
思科不断引领技术的革新和发展,逐步形成了当今世界网络设备领域的龙头地位,思科产品所体现出的创新、进取和价值之精神二十多年来逐步被广大用户熟知和认可,过去的一年思科的营业额高达349亿美金,具有良好的财务运作,更加专注于网络业务整合和技术创新,可以提供持续不断地产品研发,售前和售后服务。
3. 思科产品的质量可靠性和内在品质得到业界特别是国内广大医院用户的认可;
思科产品的可靠性得到了IT业界的认可和对可靠性要求很高的行业实践的证明,如:医疗行业,银行行业,证券行业等,这些可靠性要求极高的行业当中,思科产品也有着极高的市场份额。,选择业界主流厂商的设备和服务也是保护投资、降低运维成本的一个体现和保障。
4. 我们和思科公司都非常重视医疗行业,具有市场占有率最高的医疗行业客户群和丰富的医疗网络建设经验,了解医院的应用和发展趋势,了解医院信息系统需要解决的问题并拥有完整、独特、领先的技术解决方案;
思科长期重视医疗行业,在大量的客户实践的基础上,了解医疗行业的需求,结合思科国外医疗行业的实践经验和思科一流的网络产品和技术,推出了思科中国医疗级网络全面的解决方案,可以很好地为XX医院提供其它兄弟医院的网络建设经验和教训。
5. 思科产品是业界领先的提供承载生命信息系统――医院信息系统整体网络解决方案的厂商,我们不但能够提供适合医院业务系统的高可靠、安全的基础网络系统,还能提供满足医院全面信息化建设需要的统一通信、无线、安全、内容交换、流量分析和数据中心等全面的网络解决方案;
来自思科同一个网络厂商的各种经过长期医疗行业验证的成熟解决方案之间可以保证最好互操作。思科拥有高中低端全面的交换机和路由器网络产品线;统一通信系统包括:丰富的IP电话终端,可视电话终端,语音留言,呼叫中心,电话会议等;网络安全包括:防火墙,入侵防御,安全监控,分析和响应系统;网络准入控制,身份信任与识别,网络安全管理,集成于交换机的免费的安全功能;无线网络包括:无线局域网控制器,无线网络管理,无线接入点,无线定位服务器等。以上产品均具有丰富的成熟的成功案例。思科的以上很多应用和方案也是XX医院可能即将考虑实施的,这其中有很多方案和应用已经在其他医院有成功上线的案例和实施经验,届时可供贵院参考借鉴。
6. 受卫生部委托,在CHIMA和卫生部医院管理研究所的领导下,思科和中日友好医院联合进行了为期一年多的无线局域网对医疗设备潜在干扰的测试研究,经过严密的测试和实践检验未发现思科的无线设备对医疗设备产生异常干扰,非常有利于XX医院安全、高效地部署无线网络;
思科的无线设备可以在医院里安全地布署,已经通过美国、日本和国内的的医疗服务机构测试和大量的实践使用所证明;
在2006年思科和中日友好医院受中国卫生部委托,在CHIMA和卫生部医院管理研所所得领导下,联合进行了关于医疗无线干扰的测试,并以此制订了《医院无线局域网布署规程(草案)》。
7. 丰富的第三方基于思科统一通信平台开发的医疗特定应用并拥有在医院成功实施的案例和经验,可以为XX医院参考和借鉴;
统一通信解决方案在国内医院的应用越来越受到重视。思科统一通信解决方案中的IP电话已经销售出1000多万部,广东中山小榄医院全面采用了1000多部思科IP电话;思科的合作伙伴基于思科统一通信平台开发的医院应急指挥系统和医疗教学系统已经在解放军总医院运行一年以上的时间了,再加上思科国外大量的统一通信在医院的应用,这对统一通信方案在XX医院的成功应用是很好的借鉴和保证,因为做为一个著名的大型传染病医院如何更好的利用现代成熟、可靠、高效的IT技术为广大医患人员服务,提高工作效率,通过新技术的应用降低人员感染的风险和病毒的传播,统一通信技术就能满足这方面的应用需求,其能为XX医院更好的开展服务,实现良好的社会效益和经济效益而提供了技术保障。
8. 思科所投产品完全自主知识产权,不会存在知识产权纠纷隐患
思科公司稳定发展,每年349亿美金的营业额,每年超过40亿美金的研发投入,思科所投产品软件和硬件均为完全自主知识产权,在中国均有一年以上入网证
9. 最好的投资保护:较低的长期拥有成本(包括初次购买、运营维护、网络扩展、技术升级费用的总和)
作为网络设备技术领域的绝对领先地位的厂商,思科产品具有顽强的生命周期,如七年前开发的Catalyst 6500平台,其中的模块和接口板现今仍然能够在最新的Catalyst 6500平台上使用,如何更好的实现客户的投资保护一向是指导和修正思科产品研发和创新的指导思想;财富五百强中89%是思科的用户,电信用户95%是思科的用户,思科不仅拥有优秀的产品品质,而且引领网络行业的发展方向,考虑到长期拥有成本中不仅包括初次购买成本,还包括运营维护,升级功能,扩展规模等费用,思科的长期总体拥有成本是较低的
10. XX医院原来就是思科的用户,除以上思科优势原因之外,从产品选型的连续性,网络人员管理思科设备经验的延续性和统一网络管理等方面来看,选择思科也是再次正确的选择;
从医院信心中心运维角度考虑:感谢XX医院对思科的大力支持,XX医院老院的网络是采用思科的产品建设的,XX医院积累了丰富的思科网络的运营和维护经验;如果本次继续选择思科产品,还具有运营维护成本低,良好的互操作性,统一网络管理等好处;
11. 完备周到的服务体系,网络安全可靠运行的重要保障
双重服务保障
一、北京XX公司是致力于行业IT信息化管理服务的高科技公司,我们提供应急服务、巡检服务、常驻服务的同时更采用流程化标准化的质量管理机制保障服务行为的顺利进行;
二、思科在全球范围内建立7 X 24 的技术支援中心(包括北京),任何时候均能得到专业的技术支持;在北京有产品备件库,提供最最及时的备件更换;思科拥有庞大的客户基础,80%的客户问题可以在思科网站上查到解决方案。
[pic]
12. (优于标书技术要求的要点概括请见下页详述)
3.本方案优于标书技术要求的要点概括
综上要把网络推向深层次应用,向网络要效益,提升服务品牌和价值,就必须直面安全、管理、服务这“三座大山”,我们设计的思科整体解决方案主要也是从技术先进性上体现这三个方面的设计理念。
举例说明如下:
|功能特性 |说 明 |对XX医院的好处 |
|为AP配置了POE功能 |用网线直接给AP传输信号和供电 |容易管理AP,节省强电布线费用,施工简单 |
|高可靠 |思科产品的可靠性得到了IT业界的认可和对可靠性要求很高的行业实践的 |最好地支持XX医院关键的医疗应用如HIS、PACS|
| |证明,如:医疗行业,银行行业,证券行业等,这些高可靠性要求极高的 |、LIS和电子病历等。最低的选型风险 |
| |行业当中,思科产品也有着极高的市场份额。 | |
|高扩展性 |在标书中要求10槽的核心设备中投标产品为13槽,能够扩展各种类型的高 |最好地满足XX医院以后在网络规模和网络功能 |
| |密度接口卡和服务器负载均衡,防火墙,流量分析,SSL等服务模块 |扩展和升级的要求 |
|跨模块的链路捆绑 |由于两个交换机之间相连的多条链路可以来同一个交换机中的不同的模块 |通过进一步提高链路的可靠性而提高整个网络 |
| |端口,而不一定要求来自同一个交换机中的不同的模块端口 |的稳定性 |
|软件模块化 |软件结构设计采用模块化的方法,各个子模块之间可以互相隔离任何软件 |不必一次必须升级整个软件引起业务中断,减 |
| |故障不影响整个系统,可以独立升级部分软件,使得故障排除,软件升级 |少维护性计划内停机时间 |
| |,软件重启等过程可以在一个一个的子系统进程中实现,而不影响整个医 | |
| |疗网络系统的运行 | |
|NSF/SSO |单机双引擎的配置情况下,两个双引擎之间的切换是采用基于状态的快速 |在主备引擎发生切换时,医院基于网络的业务 |
| |切换和不间断转发 |应用不会中断(如机房环境因素导致的温度过 |
| | |高) |
|NAC(网络准入控制 |隔离不符合医院安全策略的终端(如未安装防病毒软件,未及时更新病毒 |为医院内外网逻辑隔离的安全控制和管理提供 |
|) |数据库,为及时更新操作系统补丁等) |支持,避免个别终端的安全问题,影响医院全 |
| | |网业务运行,本次投标设备中已经具有NAC功能|
| | |支持日后免费使用。 |
|IBNS |基于身份识别的网络服务,802.1X的增强功能:除了支持国际标准的802.1|保证只有授权人员才能访问关键的医疗网络应 |
| |X用户认证协议外,还有根据不同的用户名分配不同的VLAN,不同的访问控|用和数据保护 |
| |制策略优先权等功能 | |
|IPv6 |所投交换机已经具有支持IPv6的功能 |IPv6是下一代互联网的发展趋势,本次投标的 |
| | |交换机产品已经为XX医院IPv6功能做好了准备 |
|Voice VLAN |语音虚网,交换机可以把IP电话机通信系统单独的放在一个语音虚网中 |可以轻松实现电话业务和数据业务分别管理和 |
| | |安全地共享在同一个局域网中 |
|Root Guard |除了国际标准的SPT协议外,还支持很多增强的功能,如Root |避免低性能的接入层交换机成为SPT的根而造成|
| |Guard可以配置只有高性能的核心交换机或者汇聚交换机才可能成为SPT的 |混乱 |
| |根 | |
|UDLD |使得在一条光纤链路两芯中的任何一条通信中断之后,交换机也会自动切 |避免光纤单芯通信对网络造成混乱和严重后果 |
| |断另外一芯的通信 |,如STP网络环路等 |
|RSPAN |不但能够把本交换机内的任以端口的流量映射到入侵检测设备或者流量分 |更容易进行流量分析和监控,建立合理的流量 |
| |析设备进行恶意攻击检测或者流量分析,而且还可以把其他交换机或者其 |模型,为日后的升级提供理论和数据上的依据 |
| |他VLAN流量映射到入侵检测设备或者流量分析设备 | |
|投资保护 |新一代的产品和老一代产品之间的线卡等主要部件可以很好地兼容,如中 |保护医院的投资,避免以后核心交换机更换时 |
| |日友好医院在五年前采购的思科6500交换机的基础上,平滑地升级到最新 |硬割接造成的业务中断 |
| |的网络技术 | |
|DHCP Snooping |DHCP安全防护功能,只有信任的网络端口才能支持DHCP服务器的功能 |只有网管人员可以建立DHCP服务器。防止医院 |
| | |员工私设DHCP服务器而扰乱医院正常的IP地址 |
| | |分配影响业务通信 |
|IP Source Guard |交换机IP源地址保护功能可以根据DHCP |IP源地址保护,阻止假冒IP地址进行DoS、蠕虫|
| |Snooping的IP绑定表动态产生PVACL,强制来自此端口流量的源地址符合DH|和木马攻击 |
| |CP | |
| |Snooping绑定表的记录,防止攻击者通过假定一个合法用户IP地址来实施 | |
| |攻击。 | |
|DAI |动态ARP检测可以利用DHCP |动态ARP检查确保“合法”ARP信息传递 |
| |Snooping监听绑定表(包括IP地址与MAC地址的绑定信息并将其与特定的交|DAI,防止目前困扰很多医院的ARP攻击 |
| |换机端口相关联)检查所有非信任端口的ARP请求和应答(主动式ARP和非主| |
| |动式ARP),确保应答来自真正的ARP所有者。 | |
|CPU Rate Limiting |保护CPU免受DDOS等攻击 |核心交换机具有更强的抗攻击能力,最大限度 |
| | |地保证全网业务通信 |
|EEM |相当于交换机内部的IPS,集成嵌入式事件管理器,实现进程级的自动策略|将一些费时的故障诊断任务转移到网络,并加 |
| |控制 |快网络故障的解决速度 |
|多厂商管理 |可以管理多个厂商的设备的网络拓扑结构图和端口流量分析等 |方便网络管理 |
|先进性 |鉴于XX医院是著名的传染病医院,有应付突发事件的情况发生,因此我们 |充分满足XX医院现在以至更长时间,更大疫情 |
| |所投产品是目前中国医院里面最先进和最高性能的产品 |造成的更大的数据量的业务需求 |
我们非常感谢XX医院过去对我们的信任和大力支持,我们也将一如既往地为XX医院的信息化建设提供一流的产品和服务。我们及我们提供的产品也将以其杰出的可靠性、安全性和高性能等优势,对XX医院的信息化发展给予最好的支持。再次对各位专家、领导表示感谢。
第二部分 计算机网络系统设计方案
一、项目需求以及分析
1.1XX医院的建设需求
XX医院将通过本次网络系统升级工程的全面实施,将医院的网络建设成为一个具有现代化、多功能、结构化、智能化的综合性网络系统,系统工程建设本着以“技术先进适用,功能完备、安全可靠、造价合理”为工程建设目标。
XX医院网络系统是为院内提供网络信息系统应用(包括PACS/RIS系统、HIS/OA信息系统)、管理、科研和多业务的综合信息服务网络系统。首先,通过网络系统建立可为医院内部医疗信息管理、科研提供一个先进的信息化网络环境,因此网络系统应是一个高宽带、具有交互功能和专业性很强的局域网络。同时院内的医疗信息管理(PACS/RIS/HIS系统)、多媒体系统、远程会诊系统、数据库管理系统等,都可以通过网络来运行工作。还应满足内部内外的通讯要求。包括Internet服务、远程移动办公服务、数据信息下载及视频会议等。
在本次网络建设上遵循“依据需求、统筹规划、分步实施、成熟可靠”的原则。在网络建设的方案要符合网络的长远发展规划,应将基础设施建设、信息处理和管理软件建设和人员培训统筹规划。
现代网络系统的建设已不仅仅要求能支持一般的解决网络数据传输、共享,还应能够支持多种计算机网络协议及多种厂商设备的信息互连,可适应各种灵活的、容错的、高可靠性的组网方案。因此一套开放的,能全面支持各种系统应用、数据处理中心,可靠性高的、实用性强、易于管理、具有先进性的网络系统,对于现代化企业办公系统是必不可少的。网络系统工程建设是一项综合性建设项目,也是XX医院管理信息化、网络化建设的基础。在方案中涉及到局域网内部管理、广域网的连接、远程访问、网络安全等问题,涉及到微机、终端、工作站、远程用户、服务器连接的问题,可以说本次网络系统方案将是一个整体的、综合的、可扩展的系统解决方案。
1.2.用户需求
1:实用性
网络系统必须是具备信息管理、数据交换和网络安全等功能。
2:技术性
系统设计要考虑到3-5年内的技术发展,选择网络设备要通用性高,兼容性好,扩充性强,能支持不同协议、存储格式等软件功能。
3:安全性
具有较强的防止系统数据的丢失、防病毒措施和信息过滤等功能。
4:易用性
界面友好、使用方便、操作容易。
5:经济性
投资合理,使用周期长。
1.3.设计思想
从XX医院网络系统设计中既要有很强的实用性又要有适当的超前性,以适合不同特点的现代化企业管理的需求及应用。而网络超前性的特点是在要求高新技术的基础上重点强调系统的高速交换的能力和良好的可扩展性。基于此原则我们在设计网络系统时主要考虑选用目前最先进而且已成熟的局域网及广域网技术,并将重点放在系统的稳定性、开放性、可扩展能力上,使系统持续稳定运行,既可满足现有的医疗信息系统的应用需要,又可方便满足今后系统的升级及应用需求,避免重复投资。
1.4设计目标
在本次网络系统工程为适应网络发展趋势和XX医院的实际网络需求,在设计上既能满足XX医院的信息网络系统使用需求,并兼顾今后网络系统易扩充性和可管理性。在项目管理、保障施工进度前提下,通过对网络系统络进行统一的整体设计、规划,可为XX医院网络系统的长期、稳定、高效的运行以及未来的发展和建设打下良好的网络平台基础。
二、XX医院计算机网络系统设计
2.1局域网络技术选型
对于医院来说,医疗信息系统(PACS/RIS/HIS系统)可以说是企业级信息系统中最复杂的一类。当一个急诊病人在入院抢救的情况下,大夫能够迅速、及时、准确地获得病人的既往病史和医疗纪录是一项首要任务。因此,需要网络系统能够有迅速地响应速度和联机事务处理能力。这样,就应该包含典型的多媒体应用,既要包括划单、药物收费、库存等纯数据,也要包括B超照片、X光片等影像,同时还要包括连续影像,例如腔镜检查记录、血管造影等。而这些应用,对于网络又有很高的要求,同时也需要拥有更大的存储空间,信息的安全和保密性也要求很高。随着数据病人不断增加、数据不断膨胀。因为XX医院一年要有数以十万级的病人数据需要存储,每年的增长量也是十分巨大的。同时,医院所有的数据都必须保持在线状态,以便在病人前来就诊时,能够迅速地调出相关的数据信息进行对比,并对病人的病情进行确诊。这是医院对病人纵向时序信息的需要。而在医院横向信息需求方面,也要求数据能够处于在线状态,如医院在进行科研时,需要调看具有某一种病情的众多病人资料进行对比。因此,如何选取网络解决方案是需要率先考虑的问题。作为一个联机事务处理系统,医院网络系统要求每天运行24小时、每周7天不间断地运行。要真正使系统运行稳定、可靠,就需要建立一套能提供足够带宽、性能稳定、具有一定容错能力的网络系统。网络系统的建设要为今后应用系统的基础。
因此通过高速以太网技术为核心、清晰的层次化设计和虚拟网络的划分,是医院网络系统网络建设的关键。因此我们在网络系统设计中采用了成熟的千兆以太网作为系统骨干设计并支持将来业务扩展带来的更大主干带宽的要求,例如10GE的扩展。
目前,网络中最常用的媒体访问技术和交换技术主要包括:
(一)IEEE 802.3/以太网
IEEE 802.3/以太网是目前世界上运用最广泛的媒体访问技术。现有的局域网大多利用IEEE 802.3/以太网进行组网。
IEEE 802.3/以太网是NOVELL网、Windows NT、HP LAN Server、UNIX网络、DECnet等低层所用的主要媒体访问技术,其组网方式灵活、方便,且支持的软硬件产品众多。IEEE 802.3/以太网支持的速率为共享型10Mbps。在目前和今后,IEEE 802.3/以太网仍然是组建用户端系统尤其是小型局域网系统最合适的组网方式。
IEEE 802.3/以太网在组网时,根据不同的媒体可分为10Base-2(以同轴粗缆为传输媒体)、10Base-5(同轴细缆)、10Base-T(双绞线)及10Base-FL(光纤)。其中10Base-2、10Base-5物理上以总线结构组网;而10Base-T和10Base-FL利用HUB,物理上以星型结构组网。
(二)交换以太网
严格地说,交换以太网是一种技术,而并没有规定新的网络协议。它除了提供多个单独的10Mbps端口外,其支持协议仍然是IEEE 802.3/以太网。
交换以太网作为今后最有前途的一种技术,其最大的优点在于:
1. 与原有IEEE 802.3/以太网完全兼容。
2. 提供多个独占的10Mbps端口,其速率总和为n×10Mbps,克服了IEEE 802.3共享10Mbps带宽所带来的问题,如站点数增加、业务量扩大及多媒体应用造成网络效率下降的问题。
3. 价格适宜,利用交换可取代桥和部分本地路由器,但价格更为便宜。
因此,将交换以太网与普通以太网及高速网如FDDI、高速以太网或ATM相结合,是今后组建用户端系统的最佳方案。它对于站点数多、业务量大及多媒体的应用具有极大的优越性。
当然,交换技术也可用于其它高速局域网,以提供更高的独占的高速端口。
(三)100Base-T快速以太网
100Base-T是由10Base-T发展而来,它们的主要区别在于网络的带宽提高了10倍,即100Mbps。从协议而言,它采用了FDDI的PMD协议,但其价格却比FDDI便宜。100Base-T的标准也由IEEE 802.3制定。目前只要是支持10Base-T的网络操作系统,均可支持100Base-T而且100Base-T和10Base-T的报文可不加修改地互相交换。由于采用与10Base-T集成,是一种既便宜又实用的适合于多站点、高业务量应用的媒体访问技术。
(四)千兆以太网
千兆以太网既是以千兆位的速度运行的以太网,它是得到开发并被广泛应用的基于快速以太网(100BASE-T)技术的网络产品的自然进化。它提供了1000Mb/s的网络带宽,使得各种机构具有能力迎接已经超负荷并仍在快速增长的网络基础结构的挑战。千兆以太网保留了IEEE802.3和以太网标准的帧格式,以及IEEE802.3的网络管理功能。对千兆以太网的管理对象、属性以及活动的定义方式也和10Mb/s与100Mb/s网络相同。
(五)万兆以太网
在这20年中,以太网由最初10M粗缆总线发展为10Base5 10M细缆,其后是一个短暂的后退:1Base5的1兆以太网,随后以太网技术发展成为大家熟悉的星形的双绞线10BaseT。随着对带宽要求的提高以及器件能力的增强出现了快速以太网:五类线传输的100BaseTX、三类线传输的100BaseT4和光纤传输的100BaseFX。随着带宽的进一步提高,千兆以太网接口粉墨登场:包括短波长光传输1000Base-SX、长波长光传输1000Base-LX 以及五类线传输1000BaseT。2002年7月18日IEEE通过了802.3ae:10Gbit/s以太网又称万兆以太网。
在以太网技术中,100BaseT是一个里程碑,确立了以太网技术在桌面的统治地位。千兆以太网以及随后出现的万兆以太网标准是两个比较重要的标准,以太网技术通过这两个标准从桌面的局域网技术延伸到校园网以及城域网的汇聚和骨干。
一、万兆以太网出现的背景
以太网主要在局域网中占绝对优势。但是在很长的一段时间中,人们普遍认为以太网不能用于城域网,特别是汇聚层以及骨干层。主要原因在于以太网用作城域网骨干带宽太低(10M以及100M快速以太网的时代),传输距离过短。当时认为最有前途的城域网技术是FDDI和DQDB。随后的几年里ATM技术成为热点,几乎所有人都认为ATM将成为统一局域网、城域网和广域网的唯一技术。但是由于种种原因,当前在国内上述三种技术中只有ATM技术成为城域网汇聚层和骨干层的备选方案。
目前最常见的以太网是10M以太网以及100M以太网(快速以太网)。100M快速以太网作为城域骨干网带宽显然不够。即使使用多个快速以太网链路绑定使用,对多媒体业务仍然是心有余而力不足。随着千兆以太网的标准化以及在生产实践中的广泛应用,以太网技术逐渐延伸到城域网的汇聚层。千兆以太网通常用作将小区用户汇聚到城域POP点,或者将汇聚层设备连接到骨干层。但是在当前10M以太网到用户的环境下,千兆以太网链路作为汇聚也是勉强,作为骨干则是力所不能及。虽然以太网多链路聚合技术已完成标准化且多厂商互通指日可待,可以将多个千兆链路捆绑使用。但是考虑光纤资源以及波长资源,链路捆绑一般只用在POP点内或者短距离应用环境。
传输距离也曾经是以太网无法作为城域数据网骨干层汇聚层链路技术的一大障碍。无论是10M、100M还是千兆以太网,由于信噪比、碰撞检测、可用带宽等原因五类线传输距离都是100m。使用光纤传输时距离限制由以太网使用的主从同步机制所制约。802.3规定1000Base-SX接口使用纤芯62.5μm的多模光纤最长传输距离275m,使用纤芯50μm的多模光纤最长传输距离550m;1000Base-LX接口使用纤芯62.5μm的多模光纤最长传输距离550m,使用纤芯50μm的多模光纤最长传输距离550m,使用纤芯为10μm的单模光纤最长传输距离5000m。最长传输距离5km千兆以太网链路在城域范围内远远不够。虽然基于厂商的千兆接口实现已经能达到80km传输距离,而且一些厂商已完成互通测试,但是毕竟是非标准的实现,不能保证所有厂商该类接口的互联互通。
综上所述,以太网技术不适于用在城域网骨干/汇聚层的主要原因是带宽以及传输距离。随着万兆以太网技术的出现,上述两个问题基本已得到解决。
二、万兆以太网技术简介
以太网采用CSMA/CD机制,即带碰撞检测的载波监听多重访问。千兆以太网接口基本应用在点到点线路,不再共享带宽。碰撞检测,载波监听和多重访问已不再重要。千兆以太网与传统低速以太网最大的相似之处在于采用相同的以太网帧结构。万兆以太网技术与千兆以太网类似,仍然保留了以太网帧结构。通过不同的编码方式或波分复用提供10Gbit/s传输速度。所以就其本质而言,10G以太网仍是以太网的一种类型。
10G以太网于2002年7月在IEEE通过。10G以太网包括10GBASE-X、10GBASE-R和10GBASE-W。10GBASE-X使用一种特紧凑包装,含有1个较简单的WDM器件、4个接收器和4个在1300nm波长附近以大约25nm为间隔工作的激光器,每一对发送器/接收器在3.125Gbit/s速度(数据流速度为2.5Gbit/s)下工作。10GBASE-R是一种使用64B/66B编码(不是在千兆以太网中所用的8B/10B)的串行接口,数据流为10.000Gbit/s,因而产生的时钟速率为10.3Gbit/s。10GBASE-W是广域网接口,与SONET OC-192兼容,其时钟为9.953Gbit/s数据流为9.585Gbit/s。
1、10G串行物理媒体层
10GBASE-SR/SW传输距离按照波长不同由2m到300m。10GBASE-LR/LW传输距离为2m到10km。10GBASE-ER/EW传输距离为2m到40km。
2、PMD(物理介质相关)子层
PMD子层的功能是支持在PMA子层和介质之间交换串行化的符号代码位。PMD子层将这些电信号转换成适合于在某种特定介质上传输的形式。PMD是物理层的最低子层,标准中规定物理层负责从介质上发送和接收信号。
3、PMA(物理介质接入)子层
PMA子层提供了PCS和PMD层之间的串行化服务接口。和PCS子层的连接称为PMA服务接口。另外PMA子层还从接收位流中分离出用于对接收到的数据进行正确的符号对齐(定界)的符号定时时钟。
4、WIS(广域网接口)子层
WIS子层是可选的物理子层,可用在PMA与PCS之间,产生适配ANSI定义的SONET STS-192c传输格式或ITU定义SDH VC-4-64c容器速率的以太网数据流。该速率数据流可以直接映射到传输层而不需要高层处理。
5、PCS(物理编码)子层
PCS子层位于协调子层(通过GMII)和物理介质接入层(PMA)子层之间。PCS子层完成将经过完善定义的以太网MAC功能映射到现存的编码和物理层信号系统的功能上去。PCS子层和上层RS/MAC的接口由XGMII提供,与下层PMA接口使用PMA服务接口。
6、RS(协调子层)和XGMII(10Gbit/s介质无关接口)
协调子层的功能是将XGMII的通路数据和相关控制信号映射到原始PLS服务接口定义(MAC/PLS)接口上。XGMII接口提供了10Gbit/s的MAC和物理层间的逻辑接口。XGMII和协调子层使MAC可以连接到不同类型的物理介质上。
由于10G以太网实质上是高速以太网,所以为了与传统的以太网兼容必须采用传统以太网的帧格式承载业务。为了达到10Gbit/s的高速率可以采用OC-192c帧格式传输。这就需要在物理子层实现从以太网帧到OC-192c帧格式的映射功能。同时,由于以太网的原设计是面向局域网的,网络管理功能较弱,传输距离短并且其物理线路没有任何保护措施。当以太网作为广域网进行长距离、高速率传输时必然会导致线路信号频率和相位产生较大的抖动,而且以太网的传输是异步的,在接收端实现信号同步比较困难。因此,如果以太网帧要在广域网中传输,需要对以太网帧格式进行修改。
以太网一般利用物理层中特殊的10B(Byte)代码实现帧定界的。当MAC层有数据需要发送时,PCS子层对这些数据进行8B/10B编码,当发现帧头和帧尾时,自动添加特殊的码组SFD(帧起始定界符)和EFD(帧结束定界符);当PCS子层收到来自底层的10B编码数据时,可很容易地根据SFD和EFD找到帧的起始和结束从而完成帧定界。但是SDH中承载的千兆以太网帧定界不同于标准的千兆以太网帧定界,因为复用的数据已经恢复成8B编码的码组,去掉了SFD和EFD。如果只利用千兆以太网的前导(Preamble)和帧起始定界符(SFD)进行帧定界,由于信息数据中出现与前导和帧起始定界符相同码组的概率较大,采用这样的帧定界策略可能会造成接收端始终无法进行正确的以太网帧定界。为了避免上述情况,10G以太网采用了HEC策略。
IEEE802.3 HSSG小组为此提出了修改千兆以太网帧格式的建议,在以太网帧中添加了长度域和HEC域。为了在定帧过程中方便查找下一个帧位置,同时由于最大帧长为1518字节,则最少需要11个比特(=2048),所以在复接MAC帧的过程中用两个字节替换前导头两个字节作为长度字段,然后对这8个字节进行CRC-16校验,将最后得到的两个字节作为HEC插入SFD之后。
10G WAN物理层并不是简单的将以太网MAC帧用OC-192c承载。虽然借鉴了OC-192c的块状帧结构、指针、映射以及分层的开销,但是在SDH帧结构的基础上做了大量的简化,使得修改后的以太网对抖动不敏感,对时钟的要求不高。具体表现在:减少了许多开销字节,仅采用了帧定位字节A1和A2、段层误码监视B1、踪迹字节J0、同步状态字节S1、保护倒换字节K1和K2以及备用字节Z0,对没有定义或没有使用的字节填充00000000。减少了许多不必要的开销,简化了SDH帧结构,与千兆以太网相比,增强了物理层的网络管理和维护,可在物理线路上实现保护倒换。其次,避免了繁琐的同步复用,信号不是从低速率复用成高速率流,而是直接映射到OC-192c净负荷中。
10G以太局域网和10G以太广域网(采用OC-192c)物理层的速率不同,10G以太局域网的数据率为10Gbit/s,而10G以太广域网的数据率为9.58464Gbit/s(SDH OC-192c,是PCS层未编码前的速率),但是两种速率的物理层共用一个MAC层,MAC层的工作速率为10Gbit/s。采用什么样的调整策略将10GMII接口的10Gbit/s传输速率降低,使之与物理层的传输速率9.58464Gbit/s相匹配,是10G以太广域网需要解决的问题。目前将10Gbit/s速率适配为9.58464Gbit/s的OC-192c的调整策略有3种:
在GMII接口处发送HOLD信号,MAC层在一个时钟周期停止发送;
利用“Busy idle”,物理层向MAC层在IPG期间发送“Busy idle”,MAC层收到后,暂停发送数据。物理层向MAC层在IPG期间发送“Normal idle”, MAC层收到后,重新发送数据;
采用IPG延长机制:MAC帧每次传完一帧,根据平均数据速率动态调整IPG间隔。
三、万兆以太网技术展望
万兆以太网在设计之初就考虑城域骨干网需求。首先带宽10G足够满足现阶段以及未来一段时间内城域骨干网带宽需求(现阶段多数城域骨干网骨干带宽不超过2.5G)。其次万兆以太网最长传输距离可达40公里,且可以配合10G传输通道使用,足够满足大多数城市城域网覆盖。 采用万兆以太网作为城域网骨干可以省略骨干网设备的POS或者ATM链路。首先可以节约成本:以太网端口价格远远低于相应的POS端口或者ATM端口。其次可以使端到端采用以太网帧成为可能:一方面可以端到端使用链路层的VLAN信息以及优先级信息,另一方面可以省略在数据设备上的多次链路层封装解封装以及可能存在的数据包分片,简化网络设备。在城域网骨干层采用万兆以太网链路可以提高网络性价比并简化网络。
我们可以清楚地看到,10G以太网可以应用在校园网、城域网、企业网等。但是由于当前宽带业务并未广泛开展,人们对单端口10G骨干网的带宽没有迫切需求,所以10G以太网技术相对其他替代的链路层技术(例如2.5G POS、捆绑的千兆以太网)并没有明显优势。思科和JUNIPER公司已推出10G以太网接口(依据802.3ae草案实现),但在国内几乎没有应用。目前城域网的问题不是缺少带宽,而是消耗大量带宽的Killer Application,是如何将城域网建设成为可管理、可运营并且可盈利的网络。所以10G以太网技术的应用将取决于宽带业务的开展。只有广泛开展宽带业务,例如视频组播、高清晰度电视和实时游戏等,才能促使10G以太网技术广泛应用,推动网络健康有序发展。
2.2选择万兆以太网技术
通过以上分析比较,我们建议XX医院网络系统采用成熟的万兆以太网作为系统骨干网技术。
通信信道:数据通信专线、公用数据网;
协议:TCP/IP,VPN
协议扩展性:支持IPV6协议栈
路由:支持RIP、OSPF等动态路由协议的扩展;二层采用802.1D协议及802.1Q的VLAN划分。
2.3设备厂商选择依据
2.3.1世界上最大的互联网产品生成、销售公司
美国Cisco系统公司是世界上占领先地位的网间网互联技术和产品(包括多协议路由器、ATM交换机、 局域网交换机、访问服务器、 网际网管理软件) 的供应商。 Cisco公司在向市场提供产品的近十个年头里, 一直掌握着计算机网络互联系统全球市场的50%以上, 其中交换机为40 %,路由器为54%。迄今为止,Cisco已为40多个国家的25,000多个用户安装了超过300,000台网间网互联设备。上述众多用户构成了广泛的纵向市场范围, 包括电信业、 金融业、服务业、工业、零售业、 政府部门以及教育机构等市场部分。 Cisco公司是S&P 500家之一, 亦是“幸福”500家之一。 Cisco公司在98财政年度(97.8~98.7)的销售额已达 85 亿美元, 每季度的销售额持续以15 % - 20 % 的速度增长。 根据权威的市场研究公司Dataquest的最新调查结果, Cisco公司在98财年名列世界十大电信公司之一, 成为全球增长最快的电信产品供应商, 增长率为87%。
Cisco 1984年成立于美国加州的硅谷, 在短短十几年中,Cisco 已成长为数据通讯行业中的佼佼者, 其市场价值达到1400 亿美元。 据dataquest 统计表明,Cisco 年净收入达到13 亿美元, 是世界上成长速度最快的通讯设备公司。 正如美国和 Dreyfus 科技发展基金会的经理 Richard Wallman 所说的那样:“Cisco 前进得那么快, 没有任何公司可以赶上它”。 这些统计不仅预示了信息产业光明的前景, 而且确定了Cisco 在这一行业中的领导地位。 Cisco 的技术领先优势、 高质量的服务及其广泛的应用范围是环境所网络建设的最佳保证。
Cisco 的成功来自于一直在倾听用户的声音, 发现最佳的解决方案来满足用户的需求。 随着Cisco 的不断成长, 贴近市场并保持企业的文化精神变得更为重要, 这一核心也是Cisco 成功的关键所在。
2.3.2业界产品性能、技术领先的公司
业界提供几乎所有网络产品的公司,范围函概接入、路由、宽带、网管、多媒体应用、传输网、存储、AVVID等;
强大的技术研发及升级能力,(此点对客户投资保护及网络升级维护提供了强有力的帮助);
业界第一的智能化的网络架构和易于管理的网络系统;
本地化的服务策略和XX公司丰富的思科产品组网经验。
2.4 XX医院网络系统设计方案
本次XX医院的网络系统设计时,在确保院内各子系统对网络应用的需求基础上,将内部网络信息系统将根据业务及应用的不同,可分为医学影像存储与传输系统(PACS/RIS)、医院信息系统(HIS)、医院实验室系统(LIS)、办公自动化网络(OA)系统,各系统之间二层采用虚拟局域网(VLAN)技术按照应用结合交换机端口进行划分,三层(汇聚层)采用动态路由协议和核心相连,彼此形成各个相互独立的网络子系统,这样既保证了网络系统的稳定性、也提高了网络系统的安全性。在各子网内部接口边界上通过安装思科高性能的基于核心交换机背板的嵌入式防火墙功能模块确保内部子网间的访问安全。网络拓扑结构如下:
[pic]
[pic]
2.4.1方案整体说明
如上图所示:XX医院的网络系统万兆以太网技术构成主干(其中内网主干全部万兆设计,外网核心和汇聚层以万兆为主),采用星型拓扑结构。院内网络中心设立行政楼,通过光缆为主干分别将住院区、门诊区和医技区、行政区等大楼和区域连接成一个整体,形成以光缆为主干的万兆网络结构。在网络中心机房的放置二台CISCO Catalyst 6513核心网络交换机做为中心交换机;
分别在门诊楼、病房楼、行政楼部署汇聚层交换机,其中考虑到内网业务应用的充分冗余,内网门诊楼汇聚层交换机采用双6506的冗余设计,接入层采用思科新型的3560E万兆设备,本设备支持千兆到桌面,万兆汇聚功能,每区域的接入层设备冗余光缆上联汇聚交换机,构成核心和分支的全冗余网状结构园区网络架构,满足目前院方的使用要求。
2.4.2总体方案设计特点
➢ 1、L3交换解决方案:
• 汇聚到核心支持L3动态路由,接入到汇聚L2层结合802.1Q;
• 交换,路由,安全,网管及增值网络技术;
➢ 2、高性能:
• 连接各级交换机的骨干链路的带宽为万兆以太网,外网接入层设备支持双千兆链路捆绑提高上联链路带宽;
• 服务器支持千兆线速交换,核心交换机支持内容交换功能扩展;
• 核心交换机及分配层交换机具有高效的第三层交换功能,支持在全网范围内根据业务系统和用户特征按需划分虚拟局域网络,虚网隔离,流量优化,管理得心应手;
• 高性能的核心+分布式网络设计,核心交换机引擎和背板的处理能力为720Gbps,背板处理能力完全满足贵方目前和将来系统及应用的扩展之用;
➢ 3、高可靠的网络结构:
• 核心交换机冗余设置;
• 核心交换机电源冗余配置;
• 核心交换机支持嵌入式防火墙模块的冗余配置,将来可以提供更高的安全特性扩展;
• 关键业务应用汇聚层交换机采用双链路上联到两个核心交换机;如门诊等核心应用采用双汇聚层的冗余设计,充分保障安全可靠;
• 每个接入层交换机可采用双链路(GEC)上联到汇聚层交换机;
• 每个关键服务器支持双链路上联到两个核心交换机;
➢ 4、容易扩展网络规模,平滑升级网络功能:
• 模块化网络结构,模块化设备结构
• 根据需要可以增加主节点交换机和用户接入层交换机,以支持更多的信息点接入;
• 可平滑升级具有新的网络功能:如:IPv6,万兆以太网,IP语音等保护投资;
➢ 5、丰富的QoS,强力支持多媒体如医学影像,IP语音和关键业务等;
➢ 6、方便的网络管理:支持基于图形化操作的强大的网络管理系统Ciscoworks,对全网进行统一的管理;
从上表可知能支持思科最新的6509的720G引擎的千兆模块只有6724-SFP,并且其购买价格低于6816千兆模板的价格;
2.5 网络骨干交换机选型
2.5.1为什么选择思科6513为主干交换机
在XX医院的三层路由网络系统设计中,核心主干交换机要求支持高效的三层交换,可以提供10/100/1000M及万兆线速网络接口,有良好的可扩充能力、IPV6的支持、充足的背板带宽。经过认真的比较、分析我们推荐Cisco公司的6513核心(sup720)交换机为XX医院网络系统核心交换设备,我们是基于以下主要考虑的:
2.5.26500系列多业务交换机的技术特性
一、核心交换机思科6500平台
1、独有技术:多业务的交换能力和丰富的业务支持模块
6500平台在提供良好的数据业务交换能力的同时,更提供了多业务智能交换的支持,在提供防火墙、VPN模块支持的基础上额外提供内容交换、入侵防御IDS、网络分析NAM、无线(WLAN)局域网部署集中管理模块等增值多业务交换能力,更为重要的是这些功能模块是集中在核心交换设备中的是嵌入式的、共享核心高背板交换处理能力的。
虽然目前院方招标书中仅要求核心交换提供嵌入式防火墙功能,但考虑到医院业务逐步向多业务、高性能、严格保密等方向的发展,要充分考虑日后适应多业务复杂网络环境下的数据处理能力。
诸如:HIS应用服务器的三层业务模式要求在客户端和存储服务器间部署中间层(中间件)的访问模式,通常的办法是部署基于内容交换的F5、Redware等负载均衡设备,而思科的6500平台本身只需要增加相关的模块就可以使业务平滑升级到三层架构所需要的高可用、负载均衡的技术要求,节省客户投资,方便管理。
另外对应日益复杂的网络应用带来的复杂流量,如何规划流量和优化业务是医院日后管理必须面对的问题,思科的6500平台的网络流量分析模块NAM应用思科独有的Netflow技术提供流量的精细化管理,为合理分配业务流量、优化部署网络结构、流量模型的建立提供了管理和控制的基础;
通过06年4月卫生部委托医院管理研究所和卫生部中日友好医院共同研究并发布了《医院无线设备应用规范(建议)》中提到了日后为了提供医院管理和工作效率倡导部署无线的网络环境,毕竟无线环境相对有线环境是虚拟的它的安全性、管理、配置、部署、天线功率管理等都是管理维护的挑战,而思科创新性的设计是无线网络的管理和核心设备无缝的集成,使管理和维护问题迎刃而解。
另外多业务的交换环境为网络的融合提供了技术支撑的基础环境,在以往人们倡导的数据、语音、视频为代表的三网合一的应用逐步过渡到数据、语音、视频、存储的四网合一的应用,以ISCSI技术为主导的整合了SCSI(SAN)存储应用和TCP/IP的网络应用,为医院建议第二数据中心或远程灾备中心提供了技术的支撑,更为重要的是为医院发展的集团化和社区化的发展方向提供了网络技术和存储技术的双支撑,这和院方要求的网络基础系统要有充分的弹性和保护投资等要求是相吻合的。
2、独有技术:嵌入式防火墙模块
6500平台提供有完全竞争优势的嵌入式、虚拟化的防火墙模块功能,该模式有别于现有其它的防火墙部署和应用模式,完全依托于核心设备的交换背板和交换端口,此模块本身不提供任何网络接口,没有传统防火墙部署的Ouitside、Inside、DMZ等物理端口,而是利用6500平台其它网络接口模块提供的端口并结合VLAN的划分支持虚拟防火墙的功能,这个和医院的网络应用环境及VLAN划分,为HIS、RIS、LIS、PACS、财务、院办、信息中心等不同应用或职能部门间的安全访问提供了比VLAN+ACL(访问控制列表)更高的安全特性。
3、独有技术:核心设备利用率超过阀值时的自我保护功能
目前网络的安全威胁由基于应用层病毒逐步发展到基于操作系统或应用漏洞的网络层攻击,存在网络攻击和黑客攻击相融合的攻击特点,而目前医院园区网络应用的特点主要是核心设备是VLAN的终结点或VLAN通过核心交换机跨接,这样的网络结构不利于网络病毒的防范和隔离,虽然现在提出了三层网络架构的部署模式对于网络层病毒爆发的控制和隔离起到了一定的作用,但是作为网络核心的核心交换机系统的抗病毒的能力是很重要的,由于病毒和攻击的复杂程度的增加,且大量异常网络流量的产生存在可能,因此核心设备具备异常流量下的自我保护机制是重要的和必要的。
4、独有的Rspan和Erspan的支持
不但能够把本交换机内的任以端口的流量映射到入侵检测设备或者流量分析设备进行恶意攻击检测或者流量分析,而且还可以把其他交换机或者其他VLAN流量映射到入侵检测设备或者流量分析设备,更容易进行流量分析和监控,建立合理的流量模型,为日后的升级提供理论和数据上的依据。
5、IPV6的硬件支持
IPv6是下一代互联网的发展趋势,本次投标的交换机产品已经为XX医院IPv6功能做好了准备。
6、投资保护
思科的6500平台和之配套的相关模块是经过大量客户验证的成熟可靠产品,目前最高配置的720G引擎完全向下兼容所有老型号的模块,假设日后XX医院通过升级网络核心交换引擎达到升级核心的目的时现在部署的能模块可用完全保留。
7、大量医院客户的成功案例
不考虑在全国范围,单就北京市场而言,目前主要大型三甲医院全部是采用思科双6500核心的网络结构,通过大量客户的使用产品的稳定性、可靠性、安全性、投资保护程度是大家有目共睹的。
2.5.3从投资保护角度分析
核心交换机采用Cisco公司的两台Catalyst6513交换机,分别配置双电源及720G的引擎。两台Catalyst6513交换机之间通过万兆光纤互连,构成两台Catalyst6513之间的等价路由连接。每台Catalyst6513配置一个720G的引擎(SUP-720),双电源(WS-CAC-3000W),各用1块思科24口千兆模块和6704万兆模块(此种模块均为配合720G引擎的新型交换矩阵模块)配合使用。
思科Catalyst 6513交换机是CISCO高端交换机,其最高交换能力达到720Gbps,采用思科特有的分布式CEF交换技术,三/四层路由交换转发能力最高可达400Mpps以上;具有九个插槽,支持高密度10GE模块,单个机箱最多支持32个10GE端口、最多385个10/100/1000M自适应端口,同时还支持千兆GBIC/SFP以太网高密度模块、WAN模块、IP语音模块、内容交换模块、无线接入模块、网络分析等多种网络接口和服务模块;在网络安全方面,支持防火墙模块、IDS模块;另外,还支持基于硬件的实现IPv4/v6,MPLS/VPN,GRE,NAT,ACL,Engress Policing等多项高负载智能服务。尤其值得一提的是,Catalyst6513每槽位最高提供80Gbps全双工背板连接速率,为本次项目中高密度10GE端口的应用,打下了坚实稳固的基础。Catalyst6513是思科专门针对校园核心网络高性能、多业务等关键需求而设计的骨干交换设备,不仅能够承担高速的交换业务,同时能够满足当今网络应用的多种服务,实现了核心交换网络的最佳性能,具备良好的扩展延伸能力。由于这种多业务支持的方式能减少重复运作开支,降低拥有成本,因而能提高投资回报(ROI)。
2.5.4从医院应用的性能角度分析
根据目前医院的业务特点首先一个医院的园区网络基础系统要是一个稳健、高可靠的系统,从应用上满足医院7*24的不间断应用需求,从管理上提供方便的GUI的图形管理方式和界面,从投资上支持模块化的设计和升级策略,应对日后业务升级对现有基础网络系统的压力。
可靠性是对网络基础设施最重要的要求之一,其重要性甚至超过了价格。这其中的原因很容易理解:只有高可靠性网络才能有效防止生产率降低和收入损失。事实上,建立高可靠性网络是实现业务永续性的基础。
随着医疗行业业务和需求的快速发展,各大医院在原有HIS应用的基础上逐步增加了PACS系统、远程医疗系统等新业务和应用,在辅助医院提高工作效率和服务病人的同时无疑这些新的应用对网络的性能、可靠性、安全性、运维能力等提出了更高的要求,一方面在进行网络性能升级的同时也面临着应用的提升对网络运维的压力,另一方面各大医院都希望能更具有竞争力并提高效率,这就必须对信息做出及时有力的响应,这样才能进一步提高效率进而推动未来增长。
随着网络应用的深入和医院业务对网络依赖性的增加,首先网络安全成为影响网络深入应用的一个重大障碍。
另一方面网络的连通性使得越来越多的计算机和服务器被整合到了一起,不同的厂商、产品形成异构的网络环境,而信息累计成几何数增长,网络系统的迅速膨胀使得传统手工管理的模式受到严峻的挑战,因此网络综合平台管理也成为网络走向深层次应用的障碍之一。
服务,是建设和规划、运维网络要遵循的第三个准则。如何提升IT服务效率、提高IT资源的利用率、降低IT服务成本、量化IT产出,一直是医院CIO和SI公司共同面临的难题和挑战,一方面在保障医院日常业务可靠运行的同时,如何高效、快速的解决医院信息系统运营的故障一直是困扰我们的一个老大难问题,另一方面由于现实的原因一个完整的医院信息系统由不同的设备、应用、服务厂商构成,如何协调彼此间的关系?如何构建一个为医院服务的统一接口?如何构建、管理信息系统知识库?这些都是服务作为一个永恒话题亟待解决的问题。因此我们认为在重视新技术提升管理服务价值的同时也要关注现行信息系统服务机制和手段变更的问题。
综上要把网络推向深层次应用,向网络要效益,提升服务品牌和价值,就必须直面安全、管理、服务这“三座大山”。结合以上描述,思科的6513在安全和可靠性上讲完全能够胜任贵方医院的应用环境,当然一个医院的网络安全环境的构因是复杂的,因此我们又结合了网络架构的优化和设计,这里主要是引入了三层路由的组网模式,它能够从结构上有效防御网络层病毒爆发而阻塞核心交换的情形,使故障的隔离和快速定位成为可能,既而便于管理和维护。
2.6 汇聚层交换机选型
汇聚层汇聚来自接入层的节点,保护核心不受高密度对等关系的影响。此外,汇聚层还创建故障边界,在接入层发生故障时提供逻辑隔离点。汇聚层通常以L3交换机对的形式部署,针对网络核心连接使用L3交换,对接入层连接使用L2服务。负载平衡、服务质量(QoS)和易于设置等都是汇聚层的主要考虑因素。
汇聚层的高可用性通过两条等成本路径来提供,包括从汇聚层到核心以及从接入层到汇聚层的链路,可在链路或节点发生故障时提供确定性的快速收敛。当冗余路径存在时,故障切换主要依赖硬件链路故障检测,而不是基于定时器的软件故障检测。基于这些功能(在硬件中实施)的收敛是最具确定性的。
L3等成本负载分担允许同时利用从核心到汇聚层的两条上行链路。汇聚层使用网关负载平衡协议(GIBP)、热备份路由器协议(HSRP)或虚拟路由器冗余协议(VRRP)提供缺省的网关冗余。当一个汇聚层节点发生故障或被拆除时,不会影响端点与缺省网关的连接。
可以通过多种方式在接入层到汇聚层的上行链路间实现负载平衡,但使用GLBP是最简单的方法。GLBP提供了类似HSRP的冗余和故障防护,还允许向接入层设备轮流分配汇聚层设备作为缺省网关,以便端点向两个之中的一个汇聚层节点发送流量。
Catalyst6506和 4507R系列提供了多种机制的组合,可为多种不同的可能应用实现QoS。这些机制包括:动态缓冲区限制(DBL)、严格优先级排队和修正加权循环法等。请注意:动态缓冲区限制是Catalyst 6500和4500的独有特性,且与WRED兼容。DBL类似于基于流的WRED。它专门用来控制非适应性流(NAF)。这一般是不支持TCP所支持的节流/开窗机制的UDP流量。简单说,DBL可以瞄准这些具体NAF并防止这些NAF对其他行为良好的流量产生影响。DBL是完全在硬件中实施的。这些QoS机制可实现很大程度的灵活性和可配置性,从而为话音等关键任务流量或处在拥堵条件下的关键流量应用提供保护。
2.7 接入层交换机选型
接入层是边缘设备、终端站和IP电话接入网络的第一层。接入层中的交换机连接两个单独的汇聚层交换机以实现冗余。如果它与汇聚层交换机之间是L3连接,则不会出现环路,所有上行链路都将有效转发流量。
健壮的接入层提供以下主要特性:
许多软硬件属性支持的高可用性 (HA),
IP电话和无线访问点的馈线供电(POE)允许客户将话音融合到数据网络中,并为用户提供漫游WLAN访问。
基础服务。
支持高可用性的接入层的软硬件属性包括:
使用冗余交换管理引擎和冗余电源获得的系统级冗余,为关键用户群提供高可用性。
使用到冗余系统(使用GLBP、HSRP或VRRP的汇聚层交换机)的双倍连接获得的缺省网关冗余,支持在汇聚层的主备交换机间快速实现故障切换。
链路汇聚(以太网通道或802.3ad)等操作系统高可用特性,提供更高的带宽利用率,同时降低复杂性。
使用QoS为关键任务网络流量分发优先级,从而尽量靠近网络入口对流量进行分类和排队。
安全服务,通过配置802.1x,、端口安全性、DHCP侦听、动态ARP检查及IP源保护等工具来增加安全性,从而更有效地防止非法网络访问。
随着医院信息化的发展,医疗数据中心的存储备份将变得越来越重要。思科以优秀的光纤存储交换机和光传输解决方案与存储合作伙伴联合提供端到端的存储备份,冗灾解决方案(如下图所示),帮助医疗数据中心进行容灾备份和数据备份和灾难恢复。
综上我们为此次XX医院网络建设项目推荐思科3560E和3560系列交换机为其内网和外网接入层设备。
2.8网络基础设施全局管理系统(思科网管系统Cisco Works )
2.8.1网管需求
对于较大规模的医院企业网,网络管理将是网络维护任务的重要内容,网络管理主要包括以下内容:
1:)配置管理:动态显示网上各节点的联网状态,对cisco的网络设备能动态显示和管理直至每一设备端口的工作状态;
2:)差错管理:对网络设备和线路发生的故障,网络管理系统能预设报警功能及措施,一旦出现故障,网管系统会立即得到报警信息,并能自动采取相应措施,例如切换线路或封锁端口;
3:)性能管理:网络管理系统有全面的分析工具帮助统计和分析网络流量、数据包类型机错误包比例等各种信息。
除此之外,其它的管理功能还有:
报警管理;
虚拟网管理;
与第三方软件接口;
2.8.2CiscoWorks管理解决方案
CiscoWorks Windows 是全面的网络管理软件,它为简单地管理中小型企业网络或工作组提供功能强大的工具集。动态的状态、统计以及全面的配置信息等可用于 Cisco 路由器、交换机、集线器和访问服务器。
。。CiscoWorks Windows 基于 SNMP 业界标准,利用业界领先的 Cisco IOS 软件的强大嵌入式特性,在不同的异构型网络内提供全面的 Cisco 解决方案管理。
。。适用场合
| |当客户需要以下这些特性时 |
|CiscoWorks Windows |全面的网络管理和视频监控解决方案 |
| |易于使用的路由器和交换机管理软件 |
| |经济有效的网络管理解决方案 |
2.8.3技术要求
|特性 |CiscoWorks Windows |
|硬件要求 |基于 Pentium IV的专用 IBM PC 或兼容计算机 |
| |总共512MB RAM |
| |标准安装需要200MB自由磁盘空间(如果安装SNMPc第三方设备支持文件,可能需要 230 MB) |
| |安装需要CD-ROM驱动器 |
| |超视频图形适配器 (SVGA) 和彩色(推荐 1024×768 象素和256色) |
| |支持网络驱动器接口 (NDI) 或开放数据链路接口 (ODI) 的网卡 |
|软件要求 |Windows NT 4.0\2000\2003 |
| |支持 WinSock 的 TCP/IP 堆栈(推荐 Windows 驻留的 TCP/IP 堆栈) |
|所支持的网络管理平台 |Castle Rock SNMPc V4.2 (可以与产品捆绑) |
| |HP OpenView 专业套件 |
| |HP OpenView Network Node Manager |
思科Ciscoworks基于Jave开发的网管平台,支持本地IE连接,对于实现远程管理功能从技术平台上提供了可能,将来可以采用VPN方式远程监控和管理内网设备。
2.8.4 MRTG结合Ciscoworks实现多厂商设备的网络流量管理设计
MRTG(Mulit Router Traffic Grapher ,多路由器通信图示器),是一个使用广泛的网络流量统计软件,可以图形方式表示通过SNMP设备的网络通信的状况。它显示从路由器和其他网络设备处获得的网络通信应用信息及其他统计信息。它产生HTML格式的页面和GIF格式的图,提供了通过Web浏览器显示可视的网络性能信息的功能。使用该工具可以方便地查明设备和网络的性能问题。因为MRTG可以监控任意的路由器或支持SNMP的网络设备,所以它可以用于监控边缘路由器与中枢路由器及其他设备。 MRTG收集信息的主要方式是通过snmpget命令。但是,用户也可以自定义MRTG显示通过其他途径获得的信息。例如,MRTG可用于查询任何 SNMPMIB对象,所以可以显示许多附加的性能信息和MIB对象。
Mrtg(Multi Router Traffic Grapher,MRTG)是一个监控网络链路流量负载的工具软件,它通过snmp协议从设备得到设备的流量信息,并将流量负载以包含PNG格式的图形的HTML文档方式显示给用户,以非常直观的形式显示流量负载(可以在网站得到mrtg的输出结果示例)。
关于mrtg的最详细的信息可以从得到。
一、mrtg具有以下特色:
可移植性:目前可以运行在大多数Unix系统和Windows NT之上。
源码开放:Mrtg是用perl编写的,源代码完全开放。
高可移植性的SNMP支持:Mrtg采用了Simon Leinen编写的具有高可移植性的SNMP实现模块,从而不依赖于操作系统的SNMP模块支持。
支持SNMPv2c:MRTG可以读取SNMPv2c的64位的记数器,从而大大减少了记数器回转次数。
可靠的接口标识:被监控的设备的接口可以以IP地址、设备描述、SNMP对接口的编号及Mac地址来标识。
常量大小的日志文件:MRTG的日志不会变大,因为这里使用了独特的数据合并算法。
自动配置功能:MRTG自身有配置工具套件,使得配置过程非常简单。
性能:时间敏感的部分使用C代码编写,因此具有很好的性能。
PNG格式图形:图形采用GD库直接产生PNG格式。
可定制性:MRTG产生的web页面是完全可以定制的。
mrtg的主页是,可以从这里下载软件。
二、Mrtg兼容性
mrtg软件可以运行在以下的操作系统上:
Linux 1.2.x, 2.0.x, 2.2.x, 2.4.x (Intel and Alpha and Sparc and PowerPC)
Linux MIPS, Linux S/390
SunOS 4.1.3
Solaris 2.4, 2.5, 2.5.1, 2.6, 7, 8
AIX 4.1.4, 4.2.0.0, 4.3.2
HPUX 9,10,11
WindowsNT 3.51, 4.0, 2k, XP
IRIX 5.3, 6.2
BSDI BSD/OS 2.1, 4.x, 3.1
NetBSD 1.5.x
FreeBSD 2.1.x, 2.2.x, 3.1, 3.4, 4.x
OpenBSD 2.x
Digital Unix 4.0
SCO Open Server 5.0
Reliant UNIX
NeXTStep 3.3
OpenStep 4.2
Mac OS X 10.1
And about and other sensible Unix
三、MRTG设备兼容列表
可以通过mrtg监控的设备(目前市场上绝大多数产品都支持SNMP协议,只要支持SNMP协议的设备就都可以使用MRTG来监控):
3Com NETBuilders, LANplex 6012 and 2500
3Com etherswitches and hubs
3Com Linkswitch 1000 1100 3300
3Com Superstack II switch 3900, 3300 MX
3Com 812 ADSL Router
Alantec powerhub 7000
Allied Telesyn - 8224XL and 8324XL 24 port managed switches
Annex terminal server
Asante Hub
Ascend (Lucent) Max 600, [24]00x, Pipeline 50, TNT, APX-8000, MAX-6000
Alcatel (Assured Access) x1600, OmniSR9, OmniCore 5022
AT&T Wave Point, Lan
BayNetworks (Wellfleet) 7.80 and up, BayStack 350T, Instant Internet, see Nortel
BreezeCom AP,SA
Cabletron ESX-820 Etherswitch, Smartswitch 2000,6000 and router
Centillion Token Ring SpeedSwtich 100 (IBM 8251 Token Ring Switch)
About every Cisco Kit there is ...
CentreCOM 8116
Compatible Systems
DECBridge 620, DEC 900EF, 900EE, Gigaswitch
ELSA Lancom L 11 (Wireless Router)
Enterasys Matrix E5, VH-4802 and VH-2402S Switche
Ericsson Tirgis Series RAS Servers
Extreme Networks -- Blackdiamond 6808 & Alpine 3808 Layer 3 Switches
Fore ASX200 ATM
FlowPoint 2200 ATM/DSL Router
Formula 8200 series
Foundry BigIron 8000 Gigabit, FastIron Switch, ServerIron Switch
Cable Modems from Lancity, Terayon and DOCSIS
HP - network interfaces, disks, database Informix
HP AdvanceStack/Procurve Switch 2000 and 2524, AdvanceStack Switch 200
HP Procurve Switches , model 4000m, 2424m and 2400m
IBM 8260 swtich (with 155MB ATM blades installed), IBM 2210 ISDN Routers.
Intel switches (details) -- 510T, Intel Gigabit Server adapter
IMV Victron NetPro 3000 UPS
Kentrox Pacesetter Pro
Lantronix Bridge
Lucent/Xedia Access PointT 450, 1000
Livingston (Lucent) IRX 3.2.1R, IRX 114, PM2E(R) PM3-2E OR-U
Motorola 6560 Regional Node, SB3100 CableModem, 320, 6430 and 6455 routers
Morningstar terminal servers/routers
MGE (Merlin Gerin) UPSes (details)
Network Appliance
Netopia R7100C SDSL
Netscreen 5 / 10 / 100
Nortel Networks, Bay Routers BCN, BLN, ASN, ARN, AN, Passport 1k and Passport 8k3 series L3 switches, BayStack 450 L2 switches.
Nortel Networks, Accelar L3 Switches
Nokia IP 330/440/650
Nbase ethernet switch
Novell 3.11, 4.11
Rmon probes
SGI-Server (Irix 5.3)
Any server server running HP-UX, Ultrix, Solaris, SunOS, OSF, NetBSD, FreeBSD, BSDi, Linux, AIX, OpenBSD, Irix or even Windows operating systems (badly), when using NET-SNMP (former UCD-SNMP).
Apple Mac (An snmp service is included on the OS CD >= 8.5 )
Shiva Accesport
Solaris Server
Squid Web cache
US-Robotics Total Control Modemracks
Wellfleet (later Bay Networks): see Nortel routers
WaveWireless SpeedLan 8x00 RF Routers
WinNT, MS Proxy
Xylan (today Alcatel) 4024C 24port 10/100 OmniStack Switch, 9k devices, including ATM links.
Yamaha rt100i
Zyxel Prestige P310, 153X, 642.
不支持mrtg的设备:
D-Link switches (details)
四、MRTG的安装
目前mrtg的最新版本为2.9.17:
[root@mail src]# tar xvfz mrtg-2.9.17.tar.gz
[root@mail src]# cd mrtg-2.9.17
[root@mail mrtg-2.9.17]# ./configure --prefix=/usr/local/mrtg-2
[root@mail mrtg-2.9.17]# make
[root@mail mrtg-2.9.17]# make install
到现在我们就已经正确地安装了MRTG系统。
五、配置SNMP服务
对于不同的设备,配置SNMP支持的方法是不一致的,具体请参考设备的随机文档,一般里面都有详细的介绍。这里我们讨论在Linux环境下配置SNMP服务器,以实现对本机流出流入数据的分析和报表(我的应用环境是使用Linux带动一个小型局域网上网,监控本机进出流量)。
在linux环境下安装snmp软件包是很容易的,只需要安装相应的软件包即可:
[root@mail doc]# rpm -qa|grep snmp
ucd-snmp-4.2.1-7
ucd-snmp-utils-4.2.1-7
ucd-snmp-devel-4.2.1-7
这时候运行下面的命令:
[root@mail doc]# /etc/rc.d/init.d/snmpd start
Starting snmpd: [ OK ]
如果命令输出如上所示,就表示snmp服务器启动正常。
为了配合mrtg使用,还要修改snmpd的配置,以使其允许mrtg读取其interface(网络接口)流量数据。
vi /etc/snmp/snmpd.conf
将 #view systemview included mib2
的内容修改为:
view mib2 included ..dod.internet.mgmt.mib-2 fc
然后将
access notConfigGroup "" any noauth exact systemview none none
修改为:
access notConfigGroup "" any noauth exact mib2 none none
然后再重新启动snmpd:
/etc/rc.d/init.d/snmpd restart
六、配置MRTG
下一步就是要配置mrtg,实现对网络设备的监控。mrtg的配置信息都是保存在mrtg.cfg文件中的,创建该文件并且在其中定义希望的监控特性。幸运的是一般不需要直接手工编辑该配置文件,因为mrtg软件包提供有cfgmaker配置工具,这是一个脚本文件,根据运行参数可以自动生成mrtg.cfg配置文件。在mrtg源码目录的bin子目录下你可以得到该工具。
首先在www服务器的DocumentRoot目录下创建一个子目录用来存放mrtg生成的统计文件,这里假设apache是默认安装,因此DocumentRoot在/var/www/html目录下,我们在该目录下创建子目录mrtg:
mkdir /var/www/html/mrtg
这里的/var/www/html/mrtg就是mrtg的工作目录。下面就生成mrtg配置文件:
cfgmaker --global "WorkDir: /var/www/html/mrtg"
--global "Options[_]: growright,bits"
--ifref=ip
--output /etc/mrtg.cfg
public@192.168.0.1
这里的--global参数表示后面的选项是对后面指定的设备都是有效的(如果希望对多个设备进行监控时,该参数就会发生作用)。WorkDir用来指示mrtg的工作目录;Options用来指定一些特定的选项,这里的growright,bits是用来指定默认options配置的,对于常见的应用来说默认options配置就可以满足需求了。ifref用来指示用什么选项来标识设备接口,这里指定使用IP地址来标识网络设备接口。ifref可以指定为nr、ip、eth、descr、name。nr表示用接口在MIBII库中Interface接口的ifIndex来识别接口;IP表示使用ip地址识别接口;eth表示使用接口的物理地址标识接口;descr表示使用接口的描述信息来标识接口;name表示使用接口名来标识接口。一般来说ip地址是唯一的,但是有些情况下接口是没有IP地址的,例如交换机就会出现这种情况。对于接口来说nr(接口号)是唯一的,因此对于一般情况使用IP地址就可以了,而对于其他一些情况则需要采用nr了。"--output /etc/mrtg.cfg"标识将生成的配置文件存放在/etc/目录下。"public@192.168.0.1"表示监控IP地址为192.168.0.1的设备,采用public作为共同体名通过snmp协议来监控设备192.168.0.1。
对于希望使用mrtg来对多个设备进行监控的情况,举例如下:
cfgmaker --global "WorkDir: /var/www/html/mrtg"
--global "Options[_]: growright,bits"
--ifref=descr
--ifdesc=alias
public@router1.place.xyz
public@router2.place.xyz
--global "Options[_]: growright"
--ifref=name
--ifdesc=descr
public@switch1.place.xyz
--ifdesc=name
public@switch2.place.xyz > mrtg.cfg
这里指示监控四个设备:router1.place.xyz、router2.place.xyz、switch1.place.xyz
和switch2.place.xyz,所有的设备都采用共同体名public来进行监控。并且两个路由器采用descr来作为设备的描述信息,而两个交换机则采用alias作为设备描述(这两者是不同的,例如对于cisco路由器来说,对于descr来说设备描述为"Serial0",而对于aliasl来说则为"Link to HQ")。
对于我这里的应用环境来说,生成的mrtg.cfg内容如下:
# Created by
# /usr/local/mrtg-2/bin/cfgmaker --global 'WorkDir: /var/www/html/mrtg' --global 'Options[_]: growright,bits'
--output /etc/mrtg.cfg --ifref=ip public@192.168.0.1
### Global Config Options
# for UNIX
# WorkDir: /home/http/mrtg
# or for NT
# WorkDir: c:mrtgdata
### Global Defaults
# to get bits instead of bytes and graphs growing to the right
# Options[_]: growright, bits
WorkDir: /var/www/html/mrtg
Options[_]: growright,bits
######################################################################
# System: 192.168.0.1
# Description: Linux 192.168.0.1 2.4.7-10smp #1 SMP Thu Sep 6 17:09:31 EDT 2001 i686
# Contact: Root (configure /etc/snmp/snmp.local.conf)
# Location: Unknown (edit /etc/snmp/snmpd.conf)
######################################################################
### Interface 1 >> Descr: 'lo' | Name: '' | Ip: '127.0.0.1' | Eth: '' ###
### The following interface is commented out because:
### * it is a Software Loopback interface
# # Target[192.168.0.1_127.0.0.1]: /127.0.0.1:public@192.168.0.1:
# SetEnv[192.168.0.1_127.0.0.1]: MRTG_INT_IP="127.0.0.1" MRTG_INT_DESCR="lo"
# MaxBytes[192.168.0.1_127.0.0.1]: 1250000
# Title[192.168.0.1_127.0.0.1]: Traffic Analysis for 127.0.0.1 -- 192.168.0.1
# PageTop[192.168.0.1_127.0.0.1]:
Traffic Analysis for 127.0.0.1 -- 192.168.0.1
|# |
|# System: 192.168.0.1 in Unknown (edit /etc/snmp/snmpd.conf) |
三、XX医院网络安全系统的实现方案
网络安全内容示意图:
[pic]
如上图所示,网络安全覆盖的内容很多,这其中最经常使用的方式有:
• 访问控制(防火墙)
• 入侵检测(主机、网络)
• 防病毒
• 网络管理策略
下面对针对XX医院的网络安全问题做一个简单描述:
3.1 医院内部网络安全(三层交换、ACL)
3.1.1利用VLAN功能及第三层交换模块,实现用户对访问控制的要求
虚拟网技术是近年来在计算机网络领域兴起的一项新的技术。虚拟网在逻辑上等于OSI七层模型上第二层的广播域,它与具体的物理网及地理位置无关。
在传统的网络技术中,同一物理网段中的用户在网络层上很难实施安全措施,而在虚拟网络环境中,不同的虚拟网络间用户之间的通信控制则可以做到。虚拟网间的安全与虚拟网间的通信方式有关,由于虚拟网间通信是通过第三层交换功能实现的,第三层交换功能使得通信双方不能直接连接,而第三层交换模块的包过滤或防火墙的功能可被用来对不同虚拟网间用户的通信做逐项检查,通信可以按照网络管理人员的要求被允许或禁止,从而实现不同部门或不同应用系统间的访问控制,提高了网络的安全性。
3.1.2基于802.1x的端口认证技术
本方案所选主干交换机、接入层交换机均支持802.1x的端口认证技术。
IEEE 802.1x "以连接端口为基础的网络存取控制(Port-Based Network Access Control)"是用来增强IEEE 802.11的安全性不足问题而产生的新标准。IEEE 802.11最为显著的安全性不足包括(1)缺乏使用者身分认证机制(2)缺乏动态数据加密金钥配送机制。藉由IEEE 802.1x协议、RADIUS (Remote Authentication Dail-In User Service)服务器、与使用者账号数据库的合作,企业或WISP可以管理行动使用者对无线局域网络的存取行为。在获得授权进入以IEEE 802.1x加以管制的无线局域网络前,使用者必须经由EAPOL (Extensible Authentication Protocol Over LAN),并透过无线撷取器或无线宽频路由器,来提供账号与密码或数字凭证(Digital Certificate)给后端的RADIUS服务器。经RADIUS服务器认证通过的合法使用者才可以进入到无线局域网络。RADIUS服务器也会记载使用者登入与注销的时间信息,以作计费或网络使用状态监控的用途。
IEEE 802.1x标准定义了以下三个角色:
服务请求者(Supplicant): 网络中要求其它主机(Host)服务的节点(Node),是需要认证程序来验证是否被核准其所要求的服务。
认证者(Authenticator): 认证者也是网络中的节点,它需要使用网络上其它"认证服务者"所提供的认证服务,来决定式否核准服务请求者所要求的服务。
认证服务者(Authentication Server): 此角色提供认证服务给认证者,依据服务请求者所提供的数据,以决定是否核准服务请求者所要求的服务。
下图表示此协议中三个主要角色-服务请求者、认证者、认证服务者的互动关系:
[pic]
图 1. IEEE 802.1x示意图
3.1.2思科独有的网络准入控制NAC技术
网络时代的到来使得安全问题成为一个迫切需要解决的问题。病毒、黑客以及各种各样系统漏洞的存在,使得安全任务在网络时代变得无比艰巨。尤其对于一些企业级的计算机网络,人为或者非人为的因素使得系统屡次被病毒感染或者被入侵,系统管理员的任何一次疏忽都可能酿成大祸。
就是这种思路的体现。思科的自防御网络计划是一种全新的多阶段安全计划,它能够大大提高网络发现、预防和对抗安全威胁的能力思科公司的NAC产品就是这种思路的体现。思科的自防御网络计划是一种全新的多阶段安全计划,它能够大大提高网络发现、预防和对抗安全威胁的能力
思科公司的NAC产品就是这种思路的体现。思科的自防御网络计划是一种全新的多阶段安全计划,它能够大大提高网络发现、预防和对抗安全威胁的能力。
思科的网络准入控制是思科自防御网络计划中重要的组成部分,也是未来发展阶段的基础组件之一。从终端方面的网络准备控制(NAC),到交换机上的防火墙、入侵检测、流量分析与监控、内容过滤,思科以网络巨头的身份介入网络安全,形成全面的网络安全防御体系。
根据思科网络准入控制计划,未来的网络设备将具备安全智能,能自动检测接入设备中是否采取了安全措施,一旦检测到没有安装安全产品,网络设备将自动拒绝这些“非安全”的终端设备的接入。
思科的网络准入控制的宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC,客户可以只允许合法的、值得信任的端点设备(例如PC、服务器、PDA)接入网络,而不允许其他设备接入。在初始阶段,当端点设备进入网络时,NAC能够帮助思科路由器、交换机实施访问权限。此项决策可以根据端点设备的信息制定,例如设备的当前防病毒状况以及操作系统补丁等。网络将按照客户制定的策略实行相应的准入控制决策:允许、拒绝、隔离或限制。目前NAC支持运行Microsoft Windows NT、XP和2000操作系统的端点设备。
SDN能利用网络智能地根据终端安全状况提供访问权限,它具有如下特点:能适应所有连接方法,提供统一的解决方案;智能地验证所有主机;可以充分利用客户对于思科网络和防病毒解决方案的投资;能够提供隔离和恢复服务,并且能进行可扩展性的部署。
3.2 医院网络边界安全(防火墙/IPS技术)
3.2.1防火墙技术简介
防火墙(firewall)是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道(Internet)之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。主要是控制对受保护的网络(即网点)的往返访问,逼使各连接点的通过能得到检查和评估。
从诞生到现在,防火墙已经历了四个发展阶段:基于路由器的防火墙、用户化的防火墙工具、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。目前防火墙供应商提供的大部分都是具有安全操作系统的软硬件结合的防火墙。 本次方案中可采用的思科PIX防火墙或基于核心6513的防火墙模块的第四代-安全操作系统的防火墙。
3.2.2XX医院网络安全防火墙部署设计
防火墙的传统角色已经发生了变化。今天的防火墙不仅可以保护企业网络免受未经授权的外部接入的攻击,还可以防止未经授权的用户接入企业网络的子网、工作组和LAN。FBI的统计数据显示,70%的安全问题都来自于企业内部。在FBI开展的调查中,五分之一的受访者表示,在过去12个月中,有入侵者闯入或者试图闯入他们的企业网络。大部分专家都认为,大多数网络入侵活动都没有被检测出来。
3.2.3 利用嵌入式虚拟防火墙模块-FWSM的主要特点
防火墙的传统角色已经发生了变化。今天的防火墙不仅可以保护企业网络免受未经授权的外部接入的攻击,还可以防止未经授权的用户接入企业网络的子网、工作组和LAN。FBI的统计数据显示,70%的安全问题都来自于企业内部。在FBI开展的调查中,五分之一的受访者表示,在过去12个月中,有入侵者闯入或者试图闯入他们的企业网络。大部分专家都认为,大多数网络入侵活动都没有被检测出来。
集成模块
FWSM安装在Cisco Catalyst 6500系列交换机或者Cisco 7600互联网路由器的内部,让这些设备的任何端口都可以充当防火墙端口,并且在网络基础设施中集成了状态防火墙安全。对于那些机架空间非常有限的系统来说,这种功能非常重要。Cisco Catalyst 6500 真正成为了那些需要各种智能化服务(例如防火墙接入、入侵检测、虚拟专用网(VPN))和多层LAN、WAN和MAN交换功能的客户的首选IP服务交换机。
适应未来需要
FWSM可以支持5Gb的吞吐量,因而可以提供无以伦比的性能,让用户无须对系统进行彻底的升级,就可以满足未来的要求。在Catalyst 6500中最多可以添加三个FWSM,以满足用户不断发展的需求。
可靠性
FWSM建立在Cisco PIX技术的基础之上,并使用了同一个经过时间检验的Cisco PIX操作系统--一个安全的、实时的操作系统。FWSM可以利用行之有效的Cisco PIX技术检测分组,从而可以在同一个平台上提供性能和安全的独特组合。
低廉的整体运营成本
FWSM可以提供所有防火墙中最佳的性能价格比。Cisco Catalyst机型的SmartNet® 合同中包含了维护成本。由于FWSM是基于Cisco PIX防火墙的,所以培训和管理成本都很低,而且由于它是集成在设备内部的,所以大大减少了需要管理的设备的数量。
易用性
Cisco PIX 设备管理器的直观的图形化用户界面(GUI)可以用于管理和配置FWSM。在配置和监控方面,FWSM可以获得思科管理框架和Cisco AVVID(集成化语音、视频和数据体系结构)合作伙伴的支持。
FWSM 特性
|FWSM 特性 |
|主要特性 |优点 |
|性能 |• 5 Gbps |
| |• 一百万个并发连接 |
| |• 每秒建立和断开超过10万个连接 |
|多种接口 |• 最多可以支持100个防火墙VLAN--任何Cisco Catalyst 4000 VLAN都可以充当防火墙VLAN |
| |• 支持802.1q 和ISL 协议 |
|切入型代理 |对每个VLAN实施安全策略 |
|主要特性 |优点 |
|配置支持 |• 控制台到命令行界面(CLI) |
| |• Telnet 到Cisco PIX防火墙的内部接口 |
| |• 基于IPSec的Telnet到Cisco PIX防火墙的外部接口 |
| |• SSH到 CLI |
| |• SSL 到 Cisco PIX 设备管理器 |
|AAA 支持 |通过TACACS+和RADIUS支持,集成常见的身份认证、授权和记帐服务 |
|NAT/PAT 支持 |提供动态/静态的网络地址解析(NAT)和端口地址解析(PAT) |
|Cisco PIX 设备管理器(PDM) |• 简便、直观、基于Web的GUI可以支持远程防火墙管理 |
| |• 多种基于实时数据和历史数据的报告可以提供使用趋势、基本性能和安全事件等信息 |
|安全网络管理 |安全的、采用三重数据加密标准 (3DES)加密的网络管理接入 |
|访问控制列表 |• 最多支持128000条访问控制列表 |
|URL 过滤 |在服务器中设定策略,并利用Websense软件检查输出的URL请求 |
|命令授权 |对所有CLI设置优先级,创建与这些优先级对应的用户账号或者登录环境。 |
|对象群组 |能够组合网络对象(例如主机)和服务(例如ftp和http) |
|防范 DoS |• DNS 保护 |
| |• Flood Defender |
| |• Flood Guard |
| |• TCP 阻截 |
| |• 单播反向路径发送 |
| |• FragGuard和虚拟重组 |
|路由 |• 静态路由 |
| |• 动态;例如路由信息协议(RIP)和开放最短路径优先(OSPF) |
|高可用性 |状态故障恢复--设备内部和设备之间 |
|日志 |全面的系统日志、FTP、URL和ACL日志 |
|其他协议 |• H.323 V2 |
| |• 基于IP的NetBios |
| |• RAS 第二版本 |
| |• RTSP |
| |• SIP |
| |• XDMCP |
| |• Skinny |
FWSM 部署规划
FWSM部署在XX医院园区的数据中心的网络拓扑中。今天的医院不仅仅需要周边安全,还需要连接业务伙伴和提供园区安全区域,为园区中的各个部门提供安全服务。FWSM可以通过让用户和管理员以不同的策略在企业中设立安全域,提供一种灵活、经济、基于性能的解决方案。
园区部署规划
利用FWSM,用户可以为不同的VLAN制定相应的策略。数据中心也需要用状态防火墙安全解决方案来保护数据,并以尽可能低的成本提供千兆位的性能。
3.3 XX医院外网远程访问安全(VPN技术)
3.3.1VPN技术简介
通过分析XX医院的远程访问(VPN应用)的需求建议采用IPSEC或VPDN技术实现远程访问;在远程用户或移动雇员和医院内部网之间的VPN,称为远程接入VPN。实现过程如下:用户拨号NSP(网络服务提供商)的网络访问服务器NAS(Network Access Server),发出PPP连接请求,NAS收到呼叫后,在用户和NAS之间建立PPP链路,然后,NAS对用户进行身份验证,确定是合法用户,就启动VPN功能,与医院网内部连接,访问其内部资源。
3.3.2XX医院外网VPN访问设计
在网关位置部署的路由器可根据外网宽带接口类型及是否需要备份线路等取舍,路由器下面部署防火墙或综合网关产品,提供防火墙、VPN功能,防火墙可以扩展连接DMZ区域,部署应用服务器,防火墙下方可根据业务规模部署服务控制设备(提供流量控制、流量分析、上网行为管理、审计等功能),在核心交换机所属的信息中心部署策略控制服务器,提供结合思科NAC使用的用户准入控制、访问策略动态下发、与其他第三方安全控制产品的联动等功能扩展。
在网络系统中数据安全是做为第一位的安全保障,因此在本同次设计方案中所有在专网的所传输的数据均采用加密的方式进行专输。建议可采用IPSEC加密实现数据加密。
在数据通信的内容可能涉及的机密数据,因此其安全性非常重要。网络安全中的安全技术通常由加密、认证及密钥交换与管理组成:
3.3.3网络安全之-认证技术
在保证数据传输和对业务专输多样性要求的提高,网络的安全性问题日益突出。由于传统认证方式对网络中中用户数据包繁琐的处理造成了网络传输瓶颈,而通过增加其他网络设备来解决传输瓶颈势必造成网络成本的提升,因此无法满足用户对网络安全性、高效性和低成本的要求。IEEE 802.1x协议的诞生很好满足了用户在这些方面的需求。IEEE 802.1x通过对认证方式和认证体系结构进行优化,有效地解决了传统PPPoE和Web/Portal认证方式带来的问题,消除了网络瓶颈,减轻了网络封装开销。 IEEE 802.1x又名为基于端口的访问控制协议(Port based network access control protocol),它源于IEEE 802.11无线以太网(EAPOW)。该协议的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而可以实现认证与业务的分离,保证了网络传输的效率。用户通过认证后,业务流和认证流分开,对后续的数据包处理没有特殊要求,所有业务很灵活,都不受认证方式限制,易于实现多业务运行,去除冗余昂贵的多业务网关设备。IEEE 802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,因此有效降低了建网成本。随着用户数量急剧增加和应用水平的提高,对网络安全性等方面的要求也更高,从而推动了802.1x技术的快速发展,这也使得实达网络等国内网络厂商能够在802.1x的研发应用方面处于业界领先水平。
3.3.4加密技术(IPSEC)
IPSec通过ISAKMP/IKE/Oakley 协商确定几种可选的数据加密算法,如DES 、3DES等。DES密钥长度为56位,容易被破译,3DES使用三重加密增加了安全性。IPSEC是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSEC支持对数据加密,同时确保数据的完整性。按照IETF的规定,不采用数据加密时,IPSEC使用验证包头(AH)提供验证来源验证(source authentication),确保数据的完整性;IPSEC使用封装安全负载(ESP)与加密一道提供来源验证,确保数据完整性。IPSEC协议下,只有发送方和接受方知道秘密密钥。如果验证数据有效,接受方就可以知道数据来自发送方,并且在传输过程中没有受到破坏。可以把IPSEC想象成是位于TCP/IP协议栈的下层协议。该层由每台机器上的安全策略和发送、接受方协商的安全关联(security association)进行控制。安全策略由一套过滤机制和关联的安全行为组成。如果一个数据包的IP地址,协议,和端口号满足一个过滤机制,那么这个数据包将要遵守关联的安全行为。
协商安全关联(NegotiatedSecurityAssociation)
上述第一个满足过滤机制的数据包将会引发发送和接收方对安全关联进行协商。ISAKMP/OAKLEY是这种协商采用的标准协议。在一个ISAKMP/OAKLEY交换过程中,两台机器对验证和数据安全方式达成一致,进行相互验证,然后生成一个用于随后的数据加密的个共享密钥。
验证包头
通过一个位于IP包头和传输包头之间的验证包头可以提供IP负载数据的完整性和数据验证。验证包头包括验证数据和一个序列号,共同用来验证发送方身份,确保数据在传输过程中没有被改动,防止受到第三方的攻击。IPSEC验证包头不提供数据加密;信息将以明文方式发送。
封装安全包头
为了保证数据的保密性并防止数据被第3方窃取,封装安全负载(ESP)提供了一种对IP负载进行加密的机制。另外,ESP还可以提供数据验证和数据完整性服务;因此在IPSEC包中可以用ESP包头替代AH包头。
3.3.5用户管理
在选择VPN技术时,一定要考虑到管理上的要求。一些大型网络都需要把每个用户的目录信息存放在一台中央数据存储设备中(目录服务)便于管理人员和应用程序对信息进行添加,修改和查询。每一台接入或隧道服务器都应当能够维护自己的内部数据库,存储每一名用户的信息,包括用户名,口令,以及拨号接入的属性等。但是,这种由多台服务器维护多个用户帐号的作法难以实现及时的更新,给管理带来很大的困难。因此,大多数的管理人员采用在目录服务器,主域控制器或RADIUS服务器上建立一个主帐号数据库的方法,进行有效管理。
RAS支持
微软的远程接入服务器(RAS)使用域控制器或RADIUS服务器存储每名用户的信息。因为管理员可以在单独的数据库中管理用户信息中的拨号许可信息,所以使用一台域控制器能够简化系统管理。
微软的RAS最初被用作拨号用户的接入服务器。现在,RAS可以作为PPTP和L2TP协议的隧道服务器(NT5将支持L2TP)。这些第2层的VPN方案继承了已有的拨号网络全部的管理基础。
扩展性
通过使用循环DNS在同属一个安全地带(securityperimeter)的VPN隧道服务器之间进行请求分配,可以实现容余和负荷平衡。一个安全地带只具有一个对外域名,但拥有多个IP地址,负荷可以在所有的IP地址之间进行任意的分配。所有的服务器可以使用一个共享数据库,如NT域控制器验证访问请求。
四、XX医院网络系统TCP/IP网络地址分配方案
4.1 IP地址分配基本概念
IP地址为32 位,包括两个部分:网络地址和端机地址,如下图所 示:
[pic]
IP 地址包括五种不同的级别,由左端高位的比特来表示不同的级别, 如下表所示: [pic]
其中A、B、C 级别是国际互联网上公共分配的地址,每一种级别网 络地址与主机地址占用的位数见下图所示:
[pic]
一个IP 地址可以很容易地从其第一个十进制数字上识别出来,是属于 那一个级别,各级别分别有一定的数值范围,如下表所示:
[pic]
在每一个IP地址级别中又可以分出多个IP子网地址,子网地址给属 于同一个IP地址的网络带来了灵活性和有效性。例如,一个用户被分配以 网络地址171.16.0.0,那么,采用IP子网地址又可以分出:172.16.2.0, 172.16.3.0,172.16.3.0 等子网地址,子网地址由用户自己管理。
[pic]
4.2 IP地址分配原则
IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。XX医院IP地址的分配应该尽可能充分考虑到地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。
IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系,将对城域网的可用性、可靠性与有效性产生显著影响,应充分考虑目前以及将来对IP地址的需求,以满足未来业务发展对IP地址的需求。
通常合理的地址规划是使连续的地址尽量集中在一个区域内。因此,核心层应象一个区域或一个节点一样,被分配一段连续的地址。更进一步,连接进某一区域的节点的IP地址范围应集中在该区域的地址范围附近。
4.3地址分配方案
XX医院的IP地址的分配应由网络中心统一规定。本方案建议网络系统络系统应采用一个C类、保留地址(例如192.168.0.0),以便实现对整个网络系统所有单位部门“一网打尽”的目标。具体建议如下:
4.3.1地址范围
建议采用A类保留地址,地址范围为192.168.0.0到192.168.255.255
|字段 |第一字段 |第二字段 |第三字段 |第四字段 |
|定义 |192 |168 |XXX |XXX |
4.3.2地址字段的定义规则
IP 地址表达式如下:
针对主楼可以采用
|字段 |第一字段 |第二字段 |第三字段 |第四字段 |
|定义 |192 |168 |区域/部门 |用户、主机 |
针对日后各楼互联可采用
|字段 |第一字段 |第二字段 |第三字段 |第四字段 |
|定义 |192 |168 |区域/部门 |用户、主机 |
4.3.3主要设备地址定义
路由器:X.X.X.254;
交换机:X.X.X.253
服务器(包括网管工作站、访问服务器、语音网管等):X.X.X.252 往下
用户工作站:X.X.X.1 往上
4.3.4公网地址
与Internet相连的路由器端口使用公共IP地址;E-mail服务器、Web服务器对外使用固定公共IP地址;剩余的服务器、用户终端设备使用内部IP地址,当需要接入Internet时则通过路由器进行地址翻译(NAT),将内部地址转换成Internet的公共IP地址。
第三部分 XX医院网络安全体系总体设计规划方案
让医院运营更上层楼—构建安全、可靠、承载生命信息的数字化医疗信息平台
今天,医疗行业承受着前所未有的压力。一面是医疗体制亟待完善;一面是老百姓要求更好的健康保障。在这样紧张的环境下,作为医院网络的建设者,工作上不得有丝毫差错。稍有不慎,就有可能让医患矛盾一触即发,给医院带来麻烦。
未来十年要在医疗服务质量上取得实质性的提升,信息技术必须在医疗服务系统的重新规划中扮演核心的角色。思科作为互联网领域的全球领先厂商,适时地推出了医疗级网络解决方案,帮助医院构建安全、可靠、承载生命信息的数字化医疗信息网络和应用平台。医院网络安全、可靠、有效地承载生命信息,有利于为病人提供更好的服务,改善医院的运营,在不增加病人负担的情况下提高医院经济效益。
一、思科医疗级网络概述
当前,医院面临诸多挑战:医疗成本不断增加,人口老龄化日趋严重,医疗人才短缺,患者期待更好的服务,同时政府对医疗质量和安全的要求随着社会经济发展也在不断地提高。医院急需完善以病人为中心、以医护人员为主体的医疗服务体系。
因此在的医院信息化应用的规划,除了传统的HIS之外,一些大型医院正在实施或计划实施电子病历(EMR)、医学影像存储与传输(PACS)、电子处方、移动医护工作站、护士呼叫、视频会议/视频监控、基于互联网的医疗服务、患者监护等更为核心的医疗业务的信息化应用,所有这些业务的信息化应用,均是基于网络基础架构之上来实施的,因此我们说医疗系统信息化的基础是网络化,网络之于信息化,就如同神经系统之于人体一样重要。鉴于医疗网络上的应用的日趋重要,医疗网络必须做到:
高可靠性(Resilient),7×24 高可靠运行支持医疗核心应用等
高安全性(Protected),避免信息被盗窃和修改,有效保护病人隐私,防止攻击影响医疗业务
快速响应(Responsive),对患者的请求及时正确地做出反应,并且减少医疗差错,提高工作效率,提高患者满意度
交互性(Interactive),方便的通信手段,提高沟通效率,有效的跨部门的协作,远程医疗、会诊,提高诊断的正确性
[pic]
思科根据为全球众多医院提供网络技术及服务的经验,提出了“思科医疗级网络”的概念。思科医疗级网络,是一个将业务目标与网络需求相互连接,为医疗行业定义业务需求和网络的行业模型。思科医疗级网络的架构(如下图)主要包扩智能的信息网络(网络基础架构)以及构建于这个智能信息网络之上的网络安全、IP通信、无线网络和存储网络技术为依托的最新的医疗网络应用。
[pic]
二、高可靠的医疗级网络解决方案
医疗网络上运行着医院重要的核心业务应用系统,如医院信息系统(HIS)、医学影像系统(PACS)、电子病历(EMR)、护士呼叫等。这些系统关系到人们的生命安全和身体健康,关系到医院的声誉和收入,因此对网络的可靠性具有极高的要求。
思科医疗级网络解决方案主要通过三个途径帮助医院实现网络的高可靠性:一是高可靠的医疗级网络结构设计;二是保证医疗级网络业务高可靠运行的独特网络技术;三是建立医疗数据中心进行容灾备份。
为此,思科建议的典型医疗级网络架构如下图所示。网络设计为包括核心层、汇聚层和接入层的多层模块化架构,网络骨干为部分万兆或千兆,百兆到桌面,部分千兆到桌面,关键部位采用冗余结构,核心交换机和汇聚交换机双备份。核心层和汇聚层均有路由功能,接入层具有交换或路由功能,实施负载均衡和冗余备份,VLAN尽量终结在本地以缩小故障域,整个网络万兆、千兆和百兆相结合。这种设计建议来自思科美国思科总部的顾问工程师小组的实验室研究和用户最佳实践的结果,这种模式的主要优势在于其层次结构和模块性,模块化设计允许您通过推行确定性的流量模式来轻松扩展、了解并排除网络故障。
[pic]
在层次化设计中,特定设备的容量、特性和功能均针对其网络位置和作用进行了优化,以提高可扩展性及稳定性。当流量通过层次化结构中的收敛点,沿着接入层-汇聚层-核心层传输时,流量数量及其相关的带宽要求都随之增加。层次化设计每一层的功能都很分明,无需全部网络节点互联的全网状网络。
模块化网络的组件易于复制、重新设计并扩展,无需每次添加或拆除模块时都重新设计整个网络。您可以运行或中断任何组件的运行,而不会影响网络的其他部分。这种功能可促进排障、故障隔离和网络管理。
仅仅把网络按照以上架构连接起来是远远不够的,这需要网络架构中的每个节点设备都具有高可靠的内在品质,在这一点上,思科的网络设备在各个对可靠性要求比较高的如:医院,银行,证券等行业都具有非常好的口碑。同时在不同层次的设备上还需要有基于国际标准的,以及思科独特的保证医疗业务高可靠运行的网络功能,举例如下:
2.1核心层
在典型的层次化模式中,组件间通过核心层互联,核心用作网络骨干。鉴于各组件都依赖核心进行连接,因此,核心必须速度很快且永续性极高。现在的硬件加速系统具备以线速提供复杂业务的潜能。然而,您应在网络核心采用“越简单越好”的方法。最低的核心配置可降低配置复杂性,从而减少出现运行错误的几率。
虽然通过全网状或高度网状拓扑也可实现冗余,但此类设计在链路或节点发生故障时不提供一致的收敛。同时,全网状设计也存在对等和邻接问题,使路由难以配置和扩展。此外,随着网络的增长或变化,大量的端口也增加了不必要的成本和复杂性。以下是需要谨记的其他主要设计问题:
将核心层设计为只使用硬件加速业务的高速第3层 (L3) 交换环境。第3层核心设计优于第2层和其他设计,因为它:在发生链路或节点故障时提供更快的收敛速度。
通过减少路由邻接关系和网状拓扑提高了可扩展性,提高了带宽利用率。
尽量在核心中使用冗余的点到点L3互联(三角形,不是正方形),因为这种设计可产生最快速、最确定的收敛结果。
避免L2环路和L2冗余的复杂性,如生成树协议(STP) 和L3组件对等体之间的间接故障检测。
采用模块化的操作系统,使得局部的软件故障不会影响整机的运行。软件的升级也可以在局部软件模块进行,而不必为升级软件等维护工作是核心交换机停止工作,影响全网的运行。
2.2汇聚层
汇聚层汇聚来自接入层的节点,保护核心不受高密度对等关系的影响。此外,汇聚层还创建故障边界,在接入层发生故障时提供逻辑隔离点。汇聚层通常以L3交换机对的形式部署,针对网络核心连接使用L3交换,对接入层连接使用L2服务。负载平衡、服务质量(QoS)和易于设置等都是汇聚层的主要考虑因素。
汇聚层的高可用性通过两条等成本路径来提供,包括从汇聚层到核心以及从接入层到汇聚层的链路,可在链路或节点发生故障时提供确定性的快速收敛。当冗余路径存在时,故障切换主要依赖硬件链路故障检测,而不是基于定时器的软件故障检测。基于这些功能(在硬件中实施)的收敛是最具确定性的。
L3等成本负载分担允许同时利用从核心到汇聚层的两条上行链路。汇聚层使用网关负载平衡协议(GIBP)、热备份路由器协议(HSRP)或虚拟路由器冗余协议(VRRP)提供缺省的网关冗余。当一个汇聚层节点发生故障或被拆除时,不会影响端点与缺省网关的连接。
您可以通过多种方式在接入层到汇聚层的上行链路间实现负载平衡,但使用GLBP是最简单的方法。GLBP提供了类似HSRP的冗余和故障防护,还允许向接入层设备轮流分配汇聚层设备作为缺省网关,以便端点向两个之中的一个汇聚层节点发送流量。
2.3接入层
接入层是边缘设备、终端站和IP电话接入网络的第一层。接入层中的交换机连接两个单独的汇聚层交换机以实现冗余。如果它与汇聚层交换机之间是L3连接,则不会出现环路,所有上行链路都将有效转发流量。
健壮的接入层提供以下主要特性:
许多软硬件属性支持的高可用性 (HA),
IP电话和无线访问点的馈线供电(POE)允许客户将话音融合到数据网络中,并为用户提供漫游WLAN访问。
基础服务。
支持高可用性的接入层的软硬件属性包括:
使用冗余交换管理引擎和冗余电源获得的系统级冗余,为关键用户群提供高可用性。
使用到冗余系统(使用GLBP、HSRP或VRRP的汇聚层交换机)的双倍连接获得的缺省网关冗余,支持在汇聚层的主备交换机间快速实现故障切换。
链路汇聚(以太网通道或802.3ad)等操作系统高可用特性,提供更高的带宽利用率,同时降低复杂性。
使用QoS为关键任务网络流量分发优先级,从而尽量靠近网络入口对流量进行分类和排队。
安全服务,通过配置802.1x,、端口安全性、DHCP侦听、动态ARP检查及IP源保护等工具来增加安全性,从而更有效地防止非法网络访问。
随着医院信息化的发展,医疗数据中心的存储备份将变得越来越重要。思科以优秀的光纤存储交换机和光传输解决方案与存储合作伙伴联合提供端到端的存储备份,冗灾解决方案(如下图所示),帮助医疗数据中心进行容灾备份和数据备份和灾难恢复。
[pic]
案例:上海第二医科大学附属瑞金医院
上海瑞金医院原是国内著名的三级甲等综合性教学医院,在医疗、教学、科研、管理等方面在全国卫生系统名列前茅。作为全国医疗卫生行业的领先医院,瑞金医院自1985年以来,就不断投入计算机辅助管理系统的建设。2001年初,上海瑞金医院启动PACS建设。
瑞金医院采用两台Cisco Catalyst 6500高性能千兆以太网交换机互为备份,形成全院的网络核心。此外还采用了40多台Cisco Catalyst 2950和Cisco Catalyst 3550作为接入层交换机,连接各个影像设备和PACS工作站。存储设备采用光纤通道存储局域网络(SAN)和光纤网络存储(NAS),以保证医院对大容量、高速度、高可靠扩充性的数据存储要求。
上海瑞金医院信息中心沈副主任介绍说,之所以再次选择思科,除了因为其产品具有高性能、高可靠性、高安全性等因素外,更主要的是看重思科的综合实力和品牌。在当前国际上IT公司之间兼并收购频繁的情况下,如果所选择的供应商被收购,其产品的后续研发和服务就有可能脱节,投资得不到保护。而选择有实力、财务稳健的思科系统公司,这方面的风险可以控制到最小。
案例:重庆医科大学儿童医院
重庆医科大学儿童医院信息中心主任梁珂介绍说,医院信息管理系统作为一个联机事务处理系统,有别于其他行业及系统,要求一天24小时、每周7天,一年365天不间断地运行,例如门诊收费、挂号系统一旦中断,其后果不堪设想,因此,运行系统对硬件、软件的完整解决方案的可靠性、安全性的要求非常高。相应地,在网络设计时,必须强调系统备份与网络冗余连接,要求网络有较好的容错能力,做到系统自动备份及线上即时管理,整个网络可靠地不间断工作,确保系统安全与稳定运作。因此,重庆医科大学儿童医院选择了思科网络解决方案。
案例:北医三院
1998年北医三院首次部署全院园区网络就采用了思科系统公司的网络设备,2001年再次扩容时仍然选择思科。最近,北医三楼又对网络进行扩容升级改造,北医三院第三次牵手思科。“我们与思科有良好的互动和相互了解,”沈韬介绍,“更主要的是思科的综合实力、品牌和产品支持让我们现有的投资能够得到可靠保障。”
思科的网络解决方案以千兆以太网为主干、百兆到桌面,保证了医院高速度、高可靠性的数据传输要求。在安全方面,思科多层次深度防护的自防御安全系统解决方案,既能对医疗网络提供全面的安全防护,又不会因性能损失造成瓶颈。对北医三院以后的应用规模,网络解决方案具有充分的后续扩容能力。只需通过简单地添加模块或软件升级,即可实现平滑升级到高密度万兆性能,升级到高性能防火墙等功能。“我们现有的网络平台可以满足未来至少3到5年内业务扩展的需求。” 沈韬主任说。
三、安全的医疗级网络解决方案
医院网络的安全性要求包括以下几个方面:避免医疗信息被偷窃和修改和未授权的访问;保护患者的隐私;遵守政府法规的要求;避免病毒或攻击造成网络瘫痪而影响医院业务运行。
当前,网络安全问题越演越烈,技术上陷入被动应付的局面。思科自防御网络,为医院网络安全提供了由低级到高级不断发展、演进的解决方案。思科网络设备集成了独特的安全功能,是思科自防御网络的具体实现。
思科自防御网络的构想起源于“人体”,其目标是让IT基础设施和网络像“活”系统一样运行。在人所处的环境中,病毒是永远存在的不争事实,我们携带着病毒,我们从各种接触中感染病毒。人体虽然携带着病毒和病原体,但人体机能仍可正常运行,因为人具有自体免疫功能。自体免疫概念就是思科安全构想与战略的构建基础。
3.1思科自防御网络为医院提供系统化的网络安全保障
随着新一代安全威胁和安全需求的出现,思科提出了自防御网络安全战略,它标志着整个网络安全架构的巨大变革,从过去的反应式防御迈向自动识别、自适应、主动防御。思科自防御网络安全是一个全面的战略,需要多阶段实施,逐步完善。目前已经有三个阶段:
第一阶段--集成式安全
第二阶段--协作式安全
第三阶段--自适应威胁防御。
思科自防御网络战略的蓝图如图所示。通过端点安全、设备安全、动态连接、动态通讯、自动响应等方面的创新,实现安全连接、威胁防御、信任识别和安全管理,实现的手段包括网络准入控制、安全运营管理、安全自动响应和安全专业服务等几个层面的内容。
安全实现。实现思科自防御网络,提供具体完整的、可实施、可管理的、集成模块化自防御网络解决方案,主要包含几大部分:安全的连接保证,身份信任与识别确认,自适应威胁防御,智能化安全管理
安全创新。安全技术创新是思科自防御网络的基础,将带领思科自防御网络稳步走向未来。创新的安全技术包括多个领域:终端安全技术,设备安全技术,自动响应技术,动态安全连接技术,智能化安全管理等方面
系统安全。自防御网络除了安全技术创新的支撑,还需要系统化的安全体系架构,其主要包括两方面的含义:网络的不同部分,共同协作,构成一个完整的安全系统;多方的安全联盟共同提供面向不同层面,不同应用的全面安全解决方案。
3.2思科自防御网络战略实现
以上自防御网络战略,主要可以通过以下解决方案有机的集成实现:
医院网络安全自防御之网络准入控制——防止不符合安全策略的终端损害医院网络
病毒、蠕虫和间谍软件等新兴网络安全威胁继续损害医院利益。与此同时,移动计算的普及进一步加剧了威胁。移动用户能够从家里或公共热点连接互联网或医院网络 — 常在无意中轻易地感染病毒并将其带进医院环境,进而感染医院网络。医疗网络上的用户无意中感染病毒或蠕虫,可能影响全网的运行。通过网络准入控制(Network Admission Control, NAC),可以检查用户终端是否安装了信息中心规定的安全软件及安全数据库,只有符合规定安全策略的终端才能连入医疗网络。
思科网络准入控制(NAC)方案可利用网络基础设施来防止病毒和蠕虫危害网络。使用Cisco NAC,各医院可完全依据已出台的安全策略来控制PC、PDA及服务器等端点设备对网络的访问。
Cisco NAC拒绝不符合要求的设备访问网络,将其放置在隔离区或限制其对计算资源的访问。Cisco NAC可防止新病毒入侵网络,解决环境的复杂性问题,同时提供超越点安全技术的优势。点安全技术只关注主机,而不是网络的全局可用性和医院的整体弹性。
从病毒和蠕虫造成的损害中可以看出,现有的安全解决方案不足以应对病毒和蠕虫的威胁。Cisco NAC是最新的全面解决方案,允许各医院实施主机补丁策略和病毒防范策略(与终端操作系统和防病毒,将不符合安全策略要求及可疑的系统放置到隔离环境中,限制或禁止其访问网络。通过将端点安全状态信息与网络准入控制的执行标准结合在一起,Cisco NAC使各机构能够大幅度提高其计算基础设施的安全性。
Cisco NAC允许符合安全要求的可信端点设备访问网络(如PC、服务器及PDA等),同时限制不符合安全策略要求的设备访问网络。访问决策可根据端点的防病毒状态及操作系统的补丁级别做出。
[pic]
网络准入控制(NAC) 进行了专门设计,可确保为访问网络资源的所有终端设备(如PC、笔记本电脑、服务器、智能电话或PDA等)提供足够保护,以防御网络安全威胁。
据2005 CSI/FBI安全报告称,虽然安全技术多年来一直在发展且安全技术的实施更是耗资数百万美元,但病毒、蠕虫、间谍软件和其他形式的恶意软件仍然是各机构现在面临的主要问题。机构每年遭遇的大量安全事故造成系统中断、收入损失、数据损坏或毁坏以及生产率降低等问题,给机构带来了巨大的经济影响。
显然,仅凭传统的安全解决方案无法解决这些问题。思科系统公司® 开发出了将领先的防病毒、安全和管理解决方案结合在一起的全面的安全解决方案,以确保网络环境中的所有设备都符合安全策略。NAC允许您分析并控制试图访问网络的所有设备。通过确保每个终端设备都符合医院安全策略(例如运行最相关的、最先进的安全保护措施),机构可大幅度减少甚至是消除作为常见感染源或危害网络的终端设备的数量。
NAC是构建在思科系统公司®领导的行业计划之上的一系列技术和解决方案。NAC使用网络基础设施对试图访问网络计算资源的所有设备执行安全策略检查,从而限制病毒、蠕虫和间谍软件等新兴安全威胁损害网络安全性。实施NAC的客户能够仅允许遵守安全策略的可信终端设备(PC、服务器及PDA等)访问网络,并控制不符合策略或不可管理的设备访问网络。
通过运行NAC,只要终端设备试图连接网络,网络访问设备(LAN、WAN、无线或远程访问设备)都将自动申请已安装的客户端或评估工具提供终端设备的安全资料。随后将这些资料信息与网络安全策略进行比较,并根据设备对这个策略的符合水平来决定如何处理网络访问请求。网络可以简单地准许或拒绝访问,也可通过将设备重新定向到某个网段来限制网络访问,从而避免暴露给潜在的安全漏洞。此外,网络还能隔离的设备,它将不符合策略的设备重新定向到修补服务器中,以便通过组件更新使设备达到策略符合水平。
NAC执行的某些安全策略符合检查包括:
判断设备是否运行操作系统的授权版本。
通过检查来查看操作系统是否安装了适当补丁,或完成了最新的热修复。
判断设备是否安装了防病毒软件以及是否带有最新的系列签名文件。
确保已打开并正在运行防病毒技术。
判断是否已安装并正确配置了个人防火墙、入侵防御或其他桌面系统安全软件。
NAC随后根据上述问题的答案做出基于策略的明智的网络准入决策。
1). 帮助确保所有的医院网络设备都符合安全策略,从而大幅度提高网络的安全性,不受规模和复杂性的影响。通过积极抵御蠕虫、病毒、间谍软件和恶意软件的攻击,机构可将注意力放在主动防御上(而不是被动响应)。
2). 通过著名制造商的广泛部署与集成来扩展现有思科网络及防病毒、安全性和管理软件的价值。
3). 检测并控制试图连接网络的所有设备,不受其访问方法的影响(如路由器、交换机、无线、VPN和拨号等),从而提高医院永续性和可扩展性。
4). 防止不符合策略和不可管理的终端设备影响网络可用性或用户生产率。
5). 降低与识别和修复不符合策略的、不可管理的和受感染的系统相关的运行成本。
NAC框架得到以下技术的支持:
思科路由器:Cisco 83x、18xx、28xx 和 38xx系列集成多业务路由器;1701、1711、1712、1721、1751、1751-V和1760模块化接入路由器;2600XM、2691、3640 和 3660-ENT多业务接入路由器以及72xx 系列路由器
思科交换机:Cisco Catalyst 6500系列Supervisor Engine 2、32 和720,安装Cisco Catalyst OS 和 Cisco IOS® 软件或者混合应用(Supervisor Engine 32 和 720上支持Cisco IOS软件);Cisco Catalyst 4000系列Supervisor Engine II+、II+TS、IV、V和V-10GE,安装Cisco IOS软件;Cisco Catalyst 4948 和 4948-10GE;Cisco Catalyst 3550、3560 和3750,安装Cisco IOS IP Base和IP Services版本;Cisco Catalyst 2940、2950、2955、2960、2970
思科无线接入点:Cisco Aironet接入点、连接思科无线局域网控制器的Cisco Aironet轻型接入点、Cisco Catalyst 6500系列无线局域网服务模块(WLSM)、所有的Cisco Aironet、思科兼容产品、提供支持NAC的IEEE 802.1X请求系统的Wi-Fi客户设备
思科安全访问控制服务器(ACS):与第三方软件厂商服务器数据库之间的沟通和策略控制
第三方供应商软件:操作系统软件和防病毒软件系统思科自防御网络之自动威胁防御ATD
ASA5500系列是思科自防御网络战略中自适应威胁防御(ATD)系统的重要组成部分,包括ASA5510、ASA5520和ASA5540三款产品。ASA5500系列可以控制网络和应用流量,提供灵活的虚拟专用网连接,降低总体部署和运营成本,减小了全面的安全保障所带来的复杂性。该系列能够满足各种规模的医院安全需要,并且为并发服务、可扩展性和统一管理进行了专门的设计,在不增加运营复杂性的情况下,增强了网络性能,能够同时提供多种安全服务。
医院网络安全自防御之自适应安全设备ASA——为医院提供集成的防火墙、VPN和防毒墙等功能
互联网对各种规模的医院来说都十分重要。它带来了业务发展的新机遇。通过VPN连接,它使得医院可与合作伙伴和远程员工保持联系。但它也是将威胁带入医院网络的渠道,这些威胁可能会对医院造成重大影响:
病毒—可感染系统,使其停运,从而导致运行中断和收入损失
间谍软件和黑客—会导致公司数据丢失和因此引起法律问题
垃圾邮件和泄密—需要繁琐的处理过程,降低员工生产率
浏览与工作无关的网站—会导致员工生产率降低,并可能使公司承担法律责任
受感染的VPN流量—使威胁因素进入网络,中断业务
Cisco ASA 5500系列提供了一体化安全解决方案,提供了一个易于使用、且具有医院需要的安全功能的全面安全解决方案,结合了防火墙、Anti-X和VPN功能,您可对您的医院网络受到的保护充满信心。通过终止垃圾邮件、间谍软件和其他互联网威胁,员工生产率得到了提高。IT人员也从处理病毒和间谍软件消除以及系统清洁任务中解放出来。您可集中精力发展业务,而无需为最新病毒和威胁担忧。
Cisco® ASA 5500系列为医院提供了全面的网关安全和VPN连接。凭借其集成的防火墙和Anti-X功能,Cisco ASA 5500系列能在威胁进入网络和影响业务运营前,就在网关处将它们拦截在网络之外。这些服务也可扩展到远程接入用户,提供一条威胁防御VPN连接。
最值得信赖、广为部署的防火墙技术—Cisco ASA 5500系列构建于Cisco PIX 安全设备系列的基础之上,在阻挡不受欢迎的来访流量的同时,允许合法业务流量进入。凭借其应用控制功能,该解决方案可限制对等即时消息和恶意流量的传输,因为它们可能会导致安全漏洞,进而威胁到网络。
市场领先的Anti-X 功能—通过内容安全和控制安全服务模块(CSC-SSM)提供的强大的Anti-X功能,Cisco ASA 5500系列提供了全面保护所需的重要的网络周边安全性。
防间谍软件—阻止间谍软件通过互联网流量(HTTP和FTP)和电子邮件流量进入您的网络。通过在网关处阻拦间谍软件,使IT支持人员无需再进行昂贵的间谍软件清除过程,并提高员工生产率。
防垃圾邮件—有效地阻拦垃圾邮件,且误报率极低,有助于保持电子邮件效率,不影响与客户、供应商和合作伙伴的通信。
防病毒—屡获大奖的防病毒技术在您基础设施中最有效的地点-互联网网关处防御已知和未知攻击,保护您的内部网络资源。在周边清洁您的电子邮件和Web流量,即无需再进行耗费大量资源的恶意软件感染清除工作,有助于确保业务连续性。
防泄密— 确定针对泄密攻击的防盗窃保护,因此可防止员工无意间泄漏公司或个人信息,以导致经济损失。
针对Web接入、电子邮件(SMTP和POP3)以及FTP的实时保护。即使机构的电子邮件已进行了保护,但许多员工仍会通过公司PC或笔记本电脑访问自己的个人电子邮件,从而为互联网威胁提供了另一个入点。同样,员工可能直接下载受到感染的程序或文件。在互联网网关对所有Web流量进行实时保护,可减少这一常被忽略的安全易损点。
URL过滤—Web和URL过滤可用于控制员工对于互联网的使用,阻止他们访问不适当的或与业务无关的网站,从而提高员工生产率,并减少因员工访问了不应访问的Web内容而承担法律责任的机会。
电子邮件内容过滤—电子邮件过滤减少了公司因收到通过电子邮件传输的攻击信息而承担法律责任的机会。过滤也有助于符合法律法规,可帮助机构达到Graham Leach Bliley 和数据保护法案等的要求。
威胁防御VPN—Cisco ASA 5500系列为远程用户提供了威胁防御接入功能。该解决方案提供了对内部网络系统和服务的站点间访问和远程用户访问。此解决方案结合了对于SSL和IPSec VPN功能的支持,可实现最高灵活性。因为这一解决方案将防火墙和Anti-X服务与VPN服务相结合,可确保VPN流量不会为医院带来恶意软件或其他威胁。
方便的部署和管理—随此解决方案提供了思科自适应安全设备管理器(ASDM),它具有一个基于浏览器的、功能强大、易于使用的管理和监控界面。这一解决方案在单一应用中提供了对于所有服务的全面配置。此外,向导可指导用户完成配置的设置,实现迅速部署。
防火墙的传统角色已经发生了变化。今天的防火墙不仅可以保护医院网络免受未经授权的外部接入的攻击,还可以防止未经授权的用户接入医院网络。FBI的统计数据显示,70%的安全问题都来自于企业内部。在FBI开展的调查中,五分之一的受访者表示,在过去12个月中,有入侵者闯入或者试图闯入他们的企业网络。大部分专家都认为,大多数网络入侵活动都没有被检测出来。
FWSM安装在Cisco Catalyst 6500系列交换机的内部,让这些设备的任何端口都可以充当防火墙端口,并且在网络基础设施中集成了状态防火墙安全。对于那些机架空间非常有限的系统来说,这种功能非常重要。Cisco Catalyst 6500 真正成为了那些需要各种智能化服务(例如防火墙接入、入侵检测、虚拟专用网(VPN))和多层LAN、WAN和MAN交换功能的客户的首选IP服务交换机。
FWSM可以支持5Gb的吞吐量,因而可以提供无以伦比的性能,让医院用户无须对系统进行彻底的升级,就可以满足未来的要求。在Catalyst 6500中最多可以添加三个FWSM,以满足用户不断发展的需求。
FWSM可以部署在医院园区的数据中心的网络拓扑中。今天的医院不仅仅需要周边安全,还需要连接业务伙伴和提供医院园区安全区域,医院中的各个部门提供安全服务。FWSM可以通过让用户和管理员以不同的策略在医院中设立安全域,提供一种灵活、经济、基于性能的解决方案。利用FWSM,用户可以为不同的VLAN制定相应的策略。
医院数据中心也需要用状态防火墙安全解决方案来保护数据,并以尽可能低的成本提供千兆位的性能。FWSM可以通过在防火墙中提供最佳的性能价格比,最大限度地提高资本投资效率,让医院客户可以放弃过去那些需要另购防火墙负载均衡设备的、价格昂贵的防火墙产品。而且由于FWSM是集成在设备内部的,所以大大减少了需要管理的设备的数量。
3. 医院网络安全自防御之安全代理CSA——核心医疗业务服务器和重点医护终端的安全防护
病毒防不胜防。病毒数据库更新的时间差,严重时导致信息系统瘫痪。采用思科安全代理(Cisco Security Agent,CSA),可以保护重要的医疗应用服务器和客户端,实现零升级的结构。思科的思路是,不采用特征码,而是依靠行为规则,减少漏洞修补管理的费用,防止攻击。由于采用统一的安全代理,所以容易管理。
[pic]
通过推出思科安全代理终端安全软件,思科可以为它的客户提供最全面的网络安全威胁防范产品,以保护医院网络。
新一代思科安全代理网络安全软件可以为HIS等核心医疗业务服务器和医生护士工作站等终端计算机提供威胁防范功能。思科安全代理与传统的终端安全解决方案的不同之处在于,它可以在恶意行为发生之前发现和阻止它们,进而消除潜在的已知和未知安全风险,防止其威胁到医院网络和应用的安全。因为思科安全代理采用的是分析行为而不是特征匹配的方法,因而这个解决方案能够以较低的运营成本提供强大的保护。
思科安全代理包括多个基于主机的代理,它们部署在关键任务型台式机和服务器上,向运行在CiscoWorks VPN/安全管理解决方案(VMS)上的管理中心进行报告。这些代理采用HTTP和安全套接字层(SSL)协议(128位SSL)建立管理接口和进行主机、管理中心之间的通信。所有配置都通过CiscoWorks VMS进行,而警报通过CiscoWorks安全监视器(SecMon)与来自于其他思科安全产品的警报集成到一起。
思科安全代理的管理中心可以通过CiscoWorks VMS平台集中地为所有的代理提供所有的管理功能。它的基于角色的、基于Web浏览器的、“从任何地方进行管理的”访问方式使管理人员可以方便地创建代理软件分发包、创建或者修改安全策略、监控警报或者生成报告。因为它预置了超过20多种完整的缺省策略,管理人员将能够方便地在整个医院中部署数以千计的代理。管理中心还可以让客户在“IDS模式”下部署代理。在这种模式下,活动会引发警报,但是不会被制止。
同时思科安全代理还具有控制光盘写入,USB端口等功能以防止有人恶意通过移动存储介质偷取医院的重要业务数据。
4. 医院网络安全自防御之入侵防御——主动检测防御医院网络上的恶意流量
互联网和电子商务的发展迫使各医院进入了一个开放、信任的通信时代。与此同时,这种开放性也带来了问题和弱点。因此必须采取相应的措施,防止医院宝贵数据受到入侵者、黑客和内部人员的损害。另一方面,当我们开始在交换式基础设施中部署越来越多的对内容敏感的服务的时候,必须提供前所未有的高医院科研和核心医疗业务应用的可靠性。
Cisco IDS 4200系列设备检测器是专用型高性能网络安全“设备”,能够阻止网络上的非法恶意行为,例如黑客发动的攻击。Cisco IDS检测器能够实时分析流量,使用户能够快速对安全问题作出反应。
思科著名的思科防御研究小组(C-CRT)将许多高新检测技术结合在一起,包括状态样式识别、协议解析、启发式检测和异常检测,因而能有效消除多种已知和未知的计算机威胁。不仅如此,借助正在申请专利的Cisco签名微型引擎(SME)技术,还可以更加精细地定制检测器签名,精确调整检测器,减少“错误指示”的出现。
检测到非法行为后,检测器可以向管理控制台通报行为细节。另外,Cisco IDS主动响应系统还能控制路由器、防火墙和交换机等其它系统,为网络提供无与伦比的保护,及时中断非法操作。借助多种多样的管理解决方案,包括Web用户界面、命令行界面(CLI)或思科高度可扩展的CiscoWorkd VPN/安全管理解决方案(VMS),这些设备的安装和管理非常容易。
对于当今市场上的多数入侵检测系统(IDS),必须将设备放置在交换端口分析器(SPAN)端口上才能监控网络流量。虽然SPAN端口可以提供对网络流量的访问,但它同时也存在着某些局限(例如,仅限于一定数量的SPAN对话和可信流量)。Catalyst® 6000 IDS模块是专门为交换环境设计的,它直接将IDS功能集成到交换机中,由于可以直接从交换机背板上获取流量,因而可以在同一机架中同时实现交换和安全功能。
医院网络安全自防御之安全监控、分析和响应系统(MARS)-建立医院的安全中心
思科安全监控、分析和响应系统(思科安全MARS)是一款基于设备的全功能解决方案,可提供针对医院现有安全部署的、前所未有的了解和控制能力。思科安全MARS是思科安全管理生命周期的一个关键组件,可帮助医院进行安全识别、管理和抵御安全威胁。它可充分利用医院现有的网络和安全投资,来识别、隔离被攻击的组件和建议对其精确删除的方式。它也有助于保持医院内部策略符合性,可作为整体法规符合性解决方案工具中一个不可缺少的部件。
医院安全和网络管理员所面临的问题有:
安全和网络信息过载
性能不佳的攻击和故障识别、优先级划分和响应
更高攻击先进程度、速度和修复成本
满足法规符合性和审查要求
较少的安全人员和预算
思科安全MARS可通过以下功能满足其需要:
集成网络智能,进行网络异常事件和安全事件的先进关联
察看校正后的事件并自动执行调查
通过全面充分利用网络和安全基础设施来防御攻击
监控系统、网络和安全运行来帮助医院达到法规符合性
以最低TCO提供一个易于部署和使用的、可扩展的设备
将网络安全设备大量的告警信息进行综合整理归纳使其具有可读性
[pic]
思科安全MARS可将原始网络和安全数据转化为可操作的智能特性,以提交正确有效的安全事件并保持法规符合性。这一易于使用的威胁防御设备系列可利用已部署在您的基础设施中的网络和安全设备,使操作员可集中、检测、防御和报告重要威胁。
思科安全MARS了解路由器、交换机和防火墙的拓扑和设备配置,以及网络流量配置,实现了网络智能。通过该系统的集成网络发现功能,可构建一个包括设备配置和当前安全策略的拓扑图,使思科安全MARS能对您网络中的分组流建模。因为此设备不在内部运行,极少使用现有软件代理,所以对网络或系统性能的影响极小。
这一设备集中汇总了来自各种常用网络设备(如路由器和交换机)、安全设备和应用(如防火墙、入侵检测、漏洞扫描器和防病毒软件)、主机(如Windows、Solaris和Linux系统日志)、应用(如数据库、Web服务器和验证服务器)以及网络流量(如Cisco NetFlow)的日志和事件。
ContextCorrelationTM在接收到事件和数据时,可针对网络拓扑、所发现的设备配置、相同的源和目的地应用(跨NAT边界)和类似的攻击类型,来对信息进行标准化。相似的事件会进行实时分组,随后对其运用由系统和用户定义的关联规则,来识别事故。系统配备了全面的预定义规则,Protego会经常更新这些规则,它们能识别大多数混合攻击、零日攻击和蠕虫。一个图形化规则定义框架简化了用户为任何应用创建定制规则的过程。ContextCorrelation大大减少了原始事件数据、实现了响应优先级划分并可最大限度地发挥所部署的措施的作用。
高性能汇总和整合。思科安全MARS解决方案可获取数千个原始事件,高效地对事件分类,实现前所未有的数据减少,并压缩这些信息以进行归档。管理大量安全事件需要一个安全、稳定的集中记录平台。思科安全MARS设备可安全地优化,接收极其大量的事件流量——每秒超过10000个事件或每秒超过30万个NetFlow事件。通过即将荣获专利的Protego内部处理逻辑和采用内嵌Oracle(,这一切成为可能。所有数据库功能和调整都对用户透明。板载存储并可将历史数据档案持续压缩到NFS备用存储设备的功能,使思科安全MARS成为一个强大的安全日志/事件汇总解决方案。
除了专门的网络安全解决方案之外,其他影响医疗网络安全运行的问题,例如IP地址冲突、广播风暴、端口盗用、SPT环路等等,都可以通过启动思科智能交换机本身固有的安全功能来解决。
当前,P2P 软件滥用带宽,网络攻击、垃圾邮件、病毒泛滥,网络速度慢,网络出口拥塞,防火墙过载,但缺乏监控手段,QoS 部署效果很差。因此医院网络的出口管理也是一个很重要的值得重视的问题
对用户及应用的识别是实现服务分级控制及分析的基础,医院管理者需要了解网络应用情况:有多少应用、流量从哪来、流量到哪去、用户做什么、多长时间、多少带宽等等。而现实的情况是,只知道有多少用户上网,用掉的总带宽;但对第7层的用户使用分析缺乏。在Internet 出口需要一个设备,可以基于每个用户、每个应用控制流量和Session 数目。
思科服务控制引擎(SCE),可以同时处理200万个并发数据流、10万个在线用户( IP )、有高达3.6Gbps的数据吞吐量,4个PPC 分担负载,对每个包都完全处理而不是抽样,可编程控制包识别和处理策略。
通过思科服务控制引擎,可以对邮件进行分析,显示每24小时邮件发送排名,从而找到潜在垃圾邮件发送人,显示每24小时邮件发送服务器排名,从而找到潜在垃圾邮件发送服务器;可以查看网络出网方向Web 网站访问的情况,显示网络出网方向Web 网站访问点击率排名、院外Web 网站访问下载量排名;可以清楚了解用户情况,查看总用户数、BT用户数、每小时用户会话数量排名(潜在代理或病毒主机);可以进行BT 控制;可以查看每小时发生DoS攻击的IP地址和攻击次数,并对可疑用户进行跟踪。
通过部署服务控制引擎SCE,医院能够了解互联网链路的使用状况,并对互联网链路上的业务进行控制,引导医院内部用户正确地使用互联网。并且能够能够把SCE提供的流量报告,作为网络安全的分析和规划的依据。
四、常见的网络安全攻击与防范
在诸多的局域网安全问题中,令网络管理员感到最头痛的问题就是IP地址的管理;最担心的问题就是账号、密码的盗取以及信息的失窃和篡改;而最棘手的问题就是木马、蠕虫病毒爆发对网络造成的危害。本文将详细阐述如何利用Cisco Catalyst交换机内部集成的安全特性,采用创新的方式在局域网上有效地进行IP的地址管理、阻止网络的攻击并减少病毒的危害。
关键词:Port Security、DHCP Snooping、Dynamic ARP Inspection(DAI)、IP Source Guard。
4.1网络安全威胁发展趋势
由于历史的原因企业内部网络都被设计成一个公用设施,其结果就是使今天所有企业网络的端口对于内部都处于“开放”状态。“开放”的网络和共享的资源可以很轻易地得到访问,只需要将一台电脑插入一个网络接口并获取一个IP地址。
CSI/FBI计算机犯罪与安全调查显示,信息失窃已经成为当前最主要的犯罪。在造成经济损失的所有攻击中,有75%都是来自于公司内部。这样,企业网络内部就必须采用更多创新方式来防止攻击,如果我们将网络中的所有端口看成潜在敌对实体获取通道的“端口防线”,网络管理员就必须知道这些潜在威胁都有那些,以及需要设置哪些安全功能来锁定这些端口并防止这些潜在的来自网络第二层的安全攻击。
4.2局域网安全存在的普遍问题
任何对网络安全的破坏都会扰乱企业的正常运转,伤害合作伙伴和用户的信心,并给企业带来不可弥补的损失。
目前企业在内部局域网中遇到的问题主要有以下几种:
✓ IP地址的管理问题,包括IP地址非法使用、IP地址冲突和IP地址欺骗
✓ 利用ARP欺骗获取账号、密码、信息,甚至恶意篡改信息内容、嫁祸他人问题
✓ 木马、蠕虫病毒攻击导致的信息失窃、网络瘫痪问题
✓ 攻击或病毒源机器的快速定位、隔离问题
IP的地址管理一直是长期困扰企业局域网安全稳定运行的首要问题。在局域网上任何用户使用未经授权的IP地址都应视为IP非法使用。由于终端用户可以自由修改IP地址,从而产生了IP地址非法使用问题。改动后的IP地址在局域网中运行时可能出现以下情况。
✓ 非法的IP地址即IP地址不在规划的局域网范围内
✓ 重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突,使合法用户无法上网
✓ 冒用合法用户的IP地址当合法用户不在线时,冒用其IP地址联网,使合法用户的权益受到侵害
无论是有意或无意地使用非法IP地址都可能会给企业带来严重的后果,如重复的IP地址会干扰、破坏网络服务器和网络设备的正常运行,甚至导致网络的不稳定,从而影响业务;拥有被非法使用的IP地址所拥有的特权,威胁网络安全;利用欺骗性的IP地址进行网络攻击,如富有侵略性的TCP SYN洪泛攻击来源于一个欺骗性的IP地址,它是利用TCP三次握手会话对服务器进行颠覆的一种攻击方式,一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。
为了防止非法使用IP地址,增强网络安全,最常见的方法是采用静态的ARP命令捆绑IP地址和MAC地址,从而阻止非法用户在不修改MAC地址的情况下冒用IP地址进行的访问,同时借助交换机的端口安全即MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。但这种方法由于要事先收集所有机器的MAC地址及相应的IP地址,然后还要通过人工输入方法来建立IP地址和MAC地址的捆绑表,不仅工作量繁重,而且也难以维护和管理。
另一个显著的问题就是带有攻击特性的ARP欺骗。地址解析协议(ARP,Address Resolution Protocol)最基本的功能是用来实现MAC地址和IP地址的绑定,这样两个工作站才可以通讯,通讯发起方的工作站以MAC广播方式发送ARP请求,拥有此IP地址的工作站给予ARP应答,并附上自己的IP和MAC地址。ARP协议同时支持一种无请求ARP功能,局域网段上的所有工作站收到主动ARP,会将发送者的MAC地址和其宣布的IP地址保存,覆盖以前的同一IP地址和对应的MAC地址。术语“ARP欺骗”或者说“ARP中毒”就是指利用主动ARP来误导通信数据传往一个恶意计算机的黑客技术,该计算机就能成为某个特定局域网网段上的两台终端工作站之间IP会话的“中间人”了。
如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个ARP 应答包,让两台主机都“误”认为对方的MAC地址是第三方黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容,并可以通过工具破译账号、密码、信息,另一方面,还可以恶意更改数据包中的一些信息。同时,这种ARP欺骗又极具隐蔽性,攻击完成后再恢复现场,所以不易发觉、事后也难以追查,被攻击者往往对此一无所知。
病毒入侵问题也是所有企业普遍关心的问题。这些病毒,可以在极短的时间内迅速感染大量系统,甚至造成网络瘫痪和信息失窃,给企业造成严重损失。木马病毒往往会利用ARP的欺骗获取账号和密码,而蠕虫病毒也往往利用IP地址欺骗技术来掩盖它们真实的源头主机。如“网吧传奇杀手” (Trojan.PSW.LMir.qh)木马病毒就是一个专门窃取“传奇”游戏密码的恶性木马病毒,其工作原理是对局域网中的机器进行ARP欺骗,虚拟内部的网关地址,以此来收集局域网中传奇游戏登录信息,通过解析加密方式从而得到用户信息的破坏性软件。在局域网中运行这个病毒后,就可以获得整个局域网中“传奇”玩家的帐户和密码等信息。例如“局域网终结者”(Win32.Hack.Arpkill)病毒,通过伪造ARP包来欺骗网络主机,使指定的主机网络中断,严重影响到网络的运行。
最后,令网络管理员头痛的问题是如何准确定位。当出现IP地址被非法使用、IP地址冲突,或网络出现异常流量包括由于网络扫描、病毒感染和网络攻击产生的流量,为了查找这些IP地址的机器,一般采用如下步骤:
1. 确定出现问题的IP地址。
2. 查看当前网络设备的ARP表,从中获得网卡的MAC地址。
3. 检查交换机的MAC地址列表,确定机器位置。
这个过程往往要花费大量的时间才能够定位机器具体连接的物理端口,而对于伪造的源IP地址要查出是从哪台机器产生的就更加困难了。如果不能及时对故障源准确地定位、迅速地隔离,将会导致严重的后果,即使在网络恢复正常后隐患依然存在。
4.3阻止来自网络第二层攻击的重要性
以上所提到的攻击和欺骗行为主要来自网络的第二层。在网络实际环境中,其来源可概括为两个途径:人为实施,病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探,获取管理帐户和相关密码,在网络上中安插木马,从而进行进一步窃取机密文件。攻击和欺骗过程往往比较隐蔽和安静,但对于信息安全要求高的企业危害是极大的。木马、蠕虫病毒的攻击不仅仅是攻击和欺骗,同时还会带来网络流量加大、设备CPU利用率过高、二层生成树环路、网络瘫痪等现象。
网络第二层的攻击是网络安全攻击者最容易实施,也是最不容易被发现的安全威胁,它的目标是让网络失效或者通过获取诸如密码这样的敏感信息而危及网络用户的安全。因为任何一个合法用户都能获取一个以太网端口的访问权限,这些用户都有可能成为黑客,同时由于设计OSI模型的时候,允许不同通信层在相互不了解情况下也能进行工作,所以第二层的安全就变得至关重要。如果这一层受到黑客的攻击,网络安全将受到严重威胁,而且其他层之间的通信还会继续进行,同时任何用户都不会感觉到攻击已经危及应用层的信息安全。
所以,仅仅基于认证(如IEEE 802.1x)和访问控制列表(ACL,Access Control Lists)的安全措施是无法防止本文中提到的来自网络第二层的安全攻击。一个经过认证的用户仍然可以有恶意,并可以很容易地执行本文提到的所有攻击。目前这类攻击和欺骗工具已经非常成熟和易用。
归纳前面提到的局域网目前普遍存在的安全问题,根据这些安全威胁的特征分析,这些攻击都来自于网络的第二层,主要包括以下几种:
➢ MAC地址泛滥攻击
➢ DHCP服务器欺骗攻击
➢ ARP欺骗
➢ IP/MAC地址欺骗
Cisco Catalyst 智能交换系列的创新特性针对这类攻击提供了全面的解决方案,将发生在网络第二层的攻击阻止在通往内部网的第一入口处,主要基于下面的几个关键的技术。
➢ Port Security
➢ DHCP Snooping
➢ Dynamic ARP Inspection (DAI)
➢ IP Source Guard
下面主要针对目前这些非常典型的二层攻击和欺骗说明如何在思科交换机上组合运用和部署上述技术,从而防止在交换环境中的“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等,更具意义的是通过上面技术的部署可以简化地址管理,直接跟踪用户IP和对应的交换机端口,防止IP地址冲突。同时对于大多数具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。
4.4 MAC地址泛滥攻击的防范
4.4.1MAC泛滥攻击的原理和危害
交换机主动学习客户端的MAC地址,并建立和维护端口和MAC地址的对应表以此建立交换路径,这个表就是通常我们所说的CAM表。CAM表的大小是固定的,不同的交换机的CAM表大小不同。MAC/CAM攻击是指利用工具产生欺骗MAC,快速填满CAM表,交换机CAM表被填满。黑客发送大量带有随机源MAC地址的数据包,这些新MAC地址被交换机CAM学习,很快塞满MAC地址表,这时新目的MAC地址的数据包就会广播到交换机所有端口,交换机就像共享HUB一样工作,黑客可以用sniffer工具监听所有端口的流量。此类攻击不仅造成安全性的破坏,同时大量的广播包降低了交换机的性能。
4.4.2攻击实例
用MACOF工具进行的MAC泛滥攻击案例
[pic]
当交换机的CAM表被填满后,交换机以广播方式处理通过交换机的报文,这时攻击者可以利用各种嗅探攻击获取网络信息。更为严重的是,这种攻击也会导致所有邻接的交换机CAM表被填满,流量以洪泛方式发送到所有交换机的所有含有此VLAN的接口,从而造成交换机负载过大、网络缓慢和丢包甚至瘫痪。
典型的病毒利用MAC泛滥攻击案例
[pic]
曾经对网络照成非常大威胁的SQL蠕虫病毒就利用组播目标地址,构造假目标MAC来填满交换机CAM表。
4.4.3防范方法
限制单个端口所连接MAC地址的数目可以有效防止类似macof工具和SQL蠕虫病毒发起的攻击,macof可被网络用户用来产生随机源MAC地址和随机目的MAC地址的数据包,可以在不到10秒的时间内填满交换机的CAM表。Cisco Catalyst交换机的端口安全(Port Security)和动态端口安全功能可被用来阻止MAC泛滥攻击。例如交换机连接单台工作站的端口,可以限制所学MAC地址数为1;连接IP电话和工作站的端口可限制所学MAC地址数为3:IP电话、工作站和IP电话内的交换机。
通过端口安全功能,网络管理员也可以静态设置每个端口所允许连接的合法MAC地址,实现设备级的安全授权。动态端口安全则设置端口允许合法MAC地址的数目,并以一定时间内所学习到的地址作为合法MAC地址。
通过配置Port Security可以控制:
➢ 端口上最大可以通过的MAC地址数量
➢ 端口上学习或通过哪些MAC地址
➢ 对于超过规定数量的MAC处理进行违背处理
端口上学习或通过哪些MAC地址,可以通过静态手工定义,也可以在交换机自动学习。交换机动态学习端口MAC,直到指定的MAC地址数量,交换机关机后重新学习。目前较新的技术是Sticky Port Security,交换机将学到的mac地址写到端口配置中,交换机重启后配置仍然存在。
对于超过规定数量的MAC处理进行处理一般有三种方式(针对交换机型号会有所不同):
➢ Shutdown:端口关闭。
➢ Protect:丢弃非法流量,不报警。
➢ Restrict:丢弃非法流量,报警。
4.4.5配置示例
|Port Security配置选项: |
|Switch(config-if)# switchport port-security ? |
|aging Port-security aging commands |
|mac-address Secure mac address |
|maximum Max secure addresses |
|violation Security violation mode |
|配置Port Security最大MAC数目,违背处理方式,恢复方法: |
|Cat4507(config)#int fastEthernet 3/48 |
|Cat4507 (config-if)#switchport port-security |
|Cat4507 (config-if)#switchport port-security maximum 2 |
|Cat4507 (config-if)#switchport port-security violation shutdown |
|Cat4507 (config)#errdisable recovery cause psecure-violation |
|Cat4507 (config)#errdisable recovery interval 30 |
|通过配置sticky port-security学得的MAC: |
|interface FastEthernet3/29 |
|switchport mode access |
|switchport port-security |
|switchport port-security maximum 5 |
|switchport port-security mac-address sticky |
|switchport port-security mac-address sticky 000b.db1d.6ccd |
|switchport port-security mac-address sticky 000b.db1d.6cce |
|switchport port-security mac-address sticky 000d.6078.2d95 |
|switchport port-security mac-address sticky 000e.848e.ea01 |
4.5 DHCP欺骗攻击的防范
4.5.1采用DHCP管理的常见问题
采用DHCP server可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数,简化了用户网络设置,提高了管理效率。但在DHCP管理使用上也存在着一些另网管人员比较问题,常见的有:
➢ DHCP server 的冒充。
➢ DHCP server的DOS攻击。
➢ 有些用户随便指定地址,造成网络地址冲突。
➢ 由于DHCP 的运作机制,通常服务器和客户端没有认证机制,如果网络上存在多台DHCP服务器将会给网络照成混乱。
➢ 由于不小心配置了DHCP服务器引起的网络混乱也非常常见。
黑客利用类似Goobler的工具可以发出大量带有不同源MAC地址的DHCP请求,直到DHCP服务器对应网段的所有地址被占用,此类攻击既可以造成DOS的破坏,也可和DHCP服务器欺诈结合将流量重指到意图进行流量截取的恶意节点。
DHCP服务器欺诈可能是故意的,也可能是无意启动DHCP服务器功能,恶意用户发放错误的IP地址、DNS服务器信息或默认网关信息,以此来实现流量的截取。
一个“不可靠”的DHCP服务器通常被用来与攻击者协作,对网络实施“中间人”MITM(Man-In-The-Middle)攻击。中间人攻击是一种攻击者利用正常的协议处理行为来更改两个终端之间的正常通信数据流而形成的一种攻击技术。首先一个黑客会广播许多含有欺骗性MAC地址的DHCP请求(动态主机配置请求),从而耗尽合法DHCP服务器上的地址空间,一旦其空间地址被耗尽,这个“不可靠”的DHCP服务器就开始向“用户”的DHCP请求进行应答了,这些应答信息中将包括DNS服务器和一个默认网关的信息,这些信息就被用来实施一个MITM中间人攻击。黑客也可以利用冒充的DHCP服务器,为用户分配一个经过修改的DNS Server,在用户毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务网站,骗取用户帐户和密码,这种攻击是非常恶劣的。
4.5.2DHCP Snooping技术概述
DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。 通过截取一个虚拟局域网内的DHCP信息,交换机可以在用户和DHCP服务器之间担任就像小型安全防火墙这样的角色,“DHCP监听”功能基于动态地址分配建立了一个DHCP绑定表,并将该表存贮在交换机里。在没有DHCP的环境中,如数据中心,绑定条目可能被静态定义,每个DHCP绑定条目包含客户端地址(一个静态地址或者一个从DHCP服务器上获取的地址)、客户端MAC地址、端口、VLAN ID、租借时间、绑定类型(静态的或者动态的)。如下表所示:
|cat4507#sh ip dhcp snooping binding |
|MacAddress IpAddress Lease(sec) Type VLAN Interface |
|------------------ --------------- ---------- ------- ---- -------------------- |
|00:0D:60:2D:45:0D 10.149.3.13 600735 dhcp-snooping 100 GigabitEthernet1/0/7 |
这张表不仅解决了DHCP用户的IP和端口跟踪定位问题,为用户管理提供方便,而且还供给动态ARP检测(DAI)和IP Source Guard使用。
4.5.3基本防范
为了防止这种类型的攻击,Catalyst DHCP侦听(DHCP Snooping)功能可有效阻止此类攻击,当打开此功能,所有用户端口除非特别设置,被认为不可信任端口,不应该作出任何DHCP响应,因此欺诈DHCP响应包被交换机阻断,合法的DHCP服务器端口或上连端口应被设置为信任端口。
Catalyst DHCP侦听(DHCP Snooping)对于下边介绍的其他阻止ARP欺骗和IP/MAC地址的欺骗是必需的。
首先定义交换机上的信任端口和不信任端口,对于不信任端口的DHCP报文进行截获和嗅探,DROP掉来自这些端口的非正常DHCP响应应报文,如下图所示:
[pic]
基本配置示例如下表:
|IOS全局命令: |
|ip dhcp snooping vlan 100,200 /*定义哪些VLAN启用DHCP嗅探 |
|ip dhcp snooping |
|接口命令: |
|ip dhcp snooping trust |
|no ip dhcp snooping trust (Default) |
|ip dhcp snooping limit rate 10 (pps) /*一定程度上防止DHCP拒绝服务攻击*/ |
|手工添加DHCP绑定表: |
|ip dhcp snooping binding 000b.db1d.6ccd vlan 10 1.1.1.1 interface gi1/1 expiry 1000 |
|导出DHCP绑定表到TFTP服务器: |
|ip dhcp snooping database t |
需要注意的是DHCP绑定表要存在本地存贮器(Bootfalsh、slot0、ftp、tftp)或导出到指定TFTP服务器上,否则交换机重启后DHCP绑定表丢失,对于已经申请到IP地址的设备在租用期内,不会再次发起DHCP请求,如果此时交换机己经配置了下面所讲到的DAI和IP Source Guard技术,这些用户将不能访问网络。
4.5.4高级防范
对于类似Gobbler的DHCP 服务的DOS攻击可以利用前面的Port Security限制源MAC地址数目加以阻止,对于有些用户随便指定地址,造成网络地址冲突也可以利用后面提到的DAI和IP Source Guard技术。
有些复杂的DHCP攻击工具可以产生单一源MAC地址、变化DHCP Payload信息的DHCP请求,当打开DHCP侦听功能,交换机对非信任端口的DHCP请求进行源MAC地址和DHCP Payload信息的比较,如不匹配就阻断此请求。
4.6 ARP欺骗攻击原理和防范
4.6.1ARP欺骗攻击原理
ARP是用来实现MAC地址和IP地址的绑定,这样两个工作站才可以通讯,通讯发起方的工作站以MAC广播方式发送ARP请求,拥有此IP地址的工作站给予ARP应答,送回自己的IP和MAC地址。ARP协议同时支持一种无请求ARP功能,局域网段上的所有工作站收到主动ARP广播,会将发送者的MAC地址和其宣布的IP地址保存,覆盖以前cache的同一IP地址和对应的MAC地址,主动式ARP合法的用途是用来以备份的工作站替换失败的工作站。由于ARP无任何身份真实校验机制,黑客程序发送误导的主动式ARP使网络流量重指经过恶意攻击者的计算机,变成某个局域网段IP会话的中间人,达到窃取甚至篡改正常传输的功效。黑客程序发送的主动式ARP采用发送方私有MAC地址而非广播地址,通讯接收方根本不会知道自己的IP地址被取代。为了保持ARP欺骗的持续有效,黑客程序每隔30秒重发此私有主动式ARP。黑客工具如ettercap、dsniff和arpspoof都能实现ARP哄骗功能。像ettercap可提供一个用户界面,在对本地网段所有工作站的扫描后,ettercap显示所有工作站源地址和目的地址,选择ARP哄骗命令后,除数据包的截取外,内置的智能sniffer功能还可以针对不同IP会话获取password信息。
这里举个例子,假定同一个局域网内,有3 台主机通过交换机相连:
A 主机:IP 地址为192.168.0.1,MAC 地址为01:01:01:01:01:01
B 主机:IP 地址为192.168.0.2,MAC 地址为02:02:02:02:02:02
C 主机:IP 地址为192.168.0.3,MAC 地址为03:03:03:03:03:03
B 主机对A 和C 进行欺骗的前奏就是发送假的ARP 应答包,如图所示:
[pic]
在收到B主机发来的ARP应答后,A主机应知道:
到192.168.0.3 的数据包应该发到MAC地址为020202020202 的主机;C 主机也知道:到192.168.0.1 的数据包应该发到MAC 地址为020202020202 的主机。这样,A 和C 都认为对方的MAC 地址是020202020202,实际上这就是B 主机所需得到的结果。当然,因为ARP 缓存表项是动态更新的,其中动态生成的映射有个生命期,一般是两分钟,如果再没有新的信息更新,ARP 映射项会自动去除。所以,B还有一个“任务”,那就是一直连续不断地向A 和C 发送这种虚假的ARP 响应包,让其ARP缓存中一直保持被毒害了的映射表项。
现在,如果A 和C 要进行通信,实际上彼此发送的数据包都会先到达B 主机,这时,如果B 不做进一步处理,A 和C 之间的通信就无法正常建立,B 也就达不到“嗅探”通信内容的目的,因此,B 要对“错误”收到的数据包进行一番修改,然后转发到正确的目的地,而修改的内容,无非是将目的MAC 和源MAC 地址进行替换。如此一来,在A 和C 看来,彼此发送的数据包都是直接到达对方的,但在B 来看,自己担当的就是“第三者”的角色。这种嗅探方法,也被称作中间人MIMT(Man-In-The-Middle)的方法。如图 所示。
[pic]
4.6.2攻击实例
目前利用ARP原理编制的工具十分简单易用,这些工具可以直接嗅探和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超过30种应用的密码和传输内容。下面是测试时利用工具捕获的TELNET过程,捕获内容包含了TELNET密码和全部所传的内容:
[pic]
不仅仅是以上特定应用的数据,利用中间人攻击者可将监控到数据直接发给SNIFFER等嗅探器,这样就可以监控所有被欺骗用户的数据。还有些人利用ARP原理开发出网管工具,随时可以切断指定用户的连接。这些工具极易使网络变得不稳定,通常这些故障很难排查。
4.6.3防范方法
这些攻击都可以通过动态ARP检查(DAI,Dynamic ARP Inspection)来防止,它可以帮助保证接入交换机只传递“合法的”的ARP请求和应答信息。DHCP Snooping监听绑定表包括IP地址与MAC地址的绑定信息并将其与特定的交换机端口相关联,动态ARP检测(DAI-Dynamic ARP Inspection)可以用来检查所有非信任端口的ARP请求和应答(主动式ARP和非主动式ARP),确保应答来自真正的ARP所有者。Catalyst交换机通过检查端口纪录的DHCP绑定信息和ARP应答的IP地址决定是否真正的ARP所有者,不合法的ARP包将被删除。
DAI配置针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭,如果ARP包从一个可信任的接口接受到,就不需要做任何检查,如果ARP包在一个不可信任的接口上接受到,该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样,DHCP Snooping对于DAI来说也成为必不可少的,DAI是动态使用的,相连的客户端主机不需要进行任何设置上的改变。对于没有使用DHCP的服务器个别机器可以采用静态添加DHCP绑定表或ARP access-list实现。
另外,通过DAI可以控制某个端口的ARP请求报文频率。一旦ARP请求频率的频率超过预先设定的阈值,立即关闭该端口。该功能可以阻止网络扫描工具的使用,同时对有大量ARP报文特征的病毒或攻击也可以起到阻断作用。
4.6.4配置示例
|IOS全局命令: |
|ip dhcp snooping vlan 100,200 |
|no ip dhcp snooping information option |
|ip dhcp snooping |
|ip arp inspection vlan 100,200 /*定义对哪些VLAN进行ARP报文检测*/ |
|ip arp inspection log-buffer entries 1024 |
|ip arp inspection log-buffer logs 1024 interval 10 |
|IOS接口命令: |
|ip dhcp snooping trust |
|ip arp inspection trust /*定义哪些接口是信任接口,通常是网络设备接口,TRUNK接口等*/ |
|ip arp inspection limit rate 15 (pps) /*定义接口每秒ARP报文数量*/ |
|对于没有使用DHCP设备可以采用下面办法: |
|arp access-list static-arp |
|permit ip host 10.66.227.5 mac host 0009.6b88.d387 |
|ip arp inspection filter static-arp vlan 201 |
4.6.5配置DAI后的效果
在配置DAI技术的接口上,用户端不能采用指定地址地址将接入网络。
由于DAI检查 DHCP snooping绑定表中的IP和MAC对应关系,无法实施中间人攻击,攻击工具失效。下表为实施中间人攻击是交换机的警告:
|3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16, vlan |
|1.([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2 |
由于对ARP请求报文做了速度限制,客户端无法进行认为或者病毒进行的IP扫描、探测等行为,如果发生这些行为,交换机马上报警或直接切断扫描机器。如下表所示:
|3w0d: %SW_DAI-4-PACKET_RATE_EXCEEDED: 16 packets received in 184 milliseconds on Fa5/30. ******报警 |
|3w0d: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa5/30, putting Fa5/30 in err-disable state ******切断端口 |
|I49-4500-1#.....sh int f.5/30 |
|FastEthernet5/30 is down, line protocol is down (err-disabled) |
|Hardware is Fast Ethernet Port, address is 0002.b90e.3f4d (bia 0002.b90e.3f4d) |
|MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, |
|reliability 255/255, txload 1/255, rxload 1/255 |
|I49-4500-1#...... |
4.7 IP/MAC欺骗的防范
4.7.1常见的欺骗攻击的种类和目的
除了ARP欺骗外,黑客经常使用的另一手法是IP地址欺骗。常见的欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗,其目的一般为伪造身份或者获取针对IP/MAC的特权。
此方法也被广泛用作DOS攻击,目前较多的攻击是:Ping Of Death、Syn flood、ICMP Unreacheable Storm。如黑客冒用A地址对B地址发出大量的ping包,所有ping应答都会返回到B地址,通过这种方式来实施拒绝服务(DoS)攻击,这样可以掩盖攻击系统的真实身份。富有侵略性的TCP SYN洪泛攻击来源于一个欺骗性的IP地址,它是利用TCP三次握手会话对服务器进行颠覆的又一种攻击方式。一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。
另外病毒和木马的攻击也会使用欺骗的源IP地址。互联网上的蠕虫病毒也往往利用欺骗技术来掩盖它们真实的源头主机。后面是木马攻击的一个例子。
4.7.2攻击实例
下图攻击为伪造源地址攻击,其目标地址为公网上的DNS服务器,直接目的是希望通使DNS服务器对伪造源地址的响应和等待,造成DDOS攻击,并以此扩大攻击效果。该攻击每秒钟上万个报文,中档交换机2分钟就瘫痪,造成的间接后果非常严重。
[pic]
4.7.3IP/MAC欺骗的防范
Catalyst IP源地址保护(IP Source Guard)功能打开后,可以根据DHCP侦听记录的IP绑定表动态产生PVACL,强制来自此端口流量的源地址符合DHCP绑定表的记录,这样攻击者就无法通过假定一个合法用户的IP地址来实施攻击了,这个功能将只允许对拥有合法源地址的数据保进行转发,合法源地址是与IP地址绑定表保持一致的,它也是来源于DHCP Snooping绑定表。因此,DHCP Snooping功能对于这个功能的动态实现也是必不可少的,对于那些没有用到DHCP的网络环境来说,该绑定表也可以静态配置。
IP Source Guard不但可以配置成对IP地址的过滤也可以配置成对MAC地址的过滤,这样,就只有IP地址和MAC地址都于DHCP Snooping绑定表匹配的通信包才能够被允许传输。此时,必须将 IP源地址保护IP Source Guard与端口安全Port Security功能共同使用,并且需要DHCP服务器支持Option 82时,才可以抵御IP地址+MAC地址的欺骗。
与DAI不同的是,DAI仅仅检查ARP报文, IP Source Guard对所有经过定义IP Source Guard检查的端口的报文都要检测源地址。
通过在交换机上配置IP Source Guard,可以过滤掉非法的IP/MAC地址,包含用户故意修改的和病毒、攻击等造成的。同时解决了IP地址冲突问题。
4.7.4配置示例
|检测接口上的IP+MAC |
|IOS 全局配置命令: |
|ip dhcp snooping vlan 12,200 |
|ip dhcp snooping information option |
|ip dhcp snooping |
|接口配置命令: |
|ip verify source vlan dhcp-snooping port-security |
|switchport mode access |
|switchport port-security |
|switchport port-security maximum 3 |
|检测接口上的IP |
|IOS 全局配置命令 |
|ip dhcp snooping vlan 12,200 |
|no ip dhcp snooping information option |
|ip dhcp snooping |
|接口配置命令: |
|ip verify source vlan dhcp-snooping |
|不使用DHCP的静态配置 |
|IOS 全局配置命令: |
|ip dhcp snooping vlan 12,200 |
|ip dhcp snooping information option |
|ip dhcp snooping |
|ip source binding 0009.6b88.d387 vlan 212 10.66.227.5 interface Gi4/5 |
4.8 IP地址管理和病毒防范的新思路
4.8.1IP地址管理
综上所述通过配置思科交换机的上述特征,不仅解决了一些典型攻击和病毒的防范问题,也为传统IP地址管理提供了新的思路。
通过上面的几项技术解决了传统的利用DHCP服务器管理客户端IP地址管理遇到的问题:
➢ 使用静态指定IP地址造成的IP地址冲突
➢ 非法使用或盗用IP地址
➢ 配置非法的DHCP Server
➢ 不容易定位IP地址和具体交换机端口对应表
➢ 使用静态地址的重要服务器和计算机,可以进行静态绑定
4.8.2解决有关病毒问题
由于大多数对局域网危害较大的网络病毒都具有典型的欺骗和扫描,快速发包,大量ARP请求等特征,采用上述技术一定程度上可以自动切断病毒源、及时告警、准确定位病毒源。
4.9 Cisco Catalyst交换机硬件和操作系统要求
[pic]
[pic]
第四部分 XX医院数据安全体系总体设计规划方案
一、医疗信息系统的建设背景
目前以经济核算和资源管理为主的HIS在医院中已广泛被采用,部分医院已经或正在实施CIS和OA。随着医疗体制改革特别是医疗保险制度改革的深入,作为病人医疗信息的拥有者和提供者的医院地位已经渐渐地由主动变得被动起来,从原来的固定客户变成今天的医院找病人,原来简单的医—患双边关系转换为医院—患者— 保险—单位—银行复杂的多边关系。这就要求HIS不仅仅帮助医院内部提高管理水平、改善服务质量,还要求它能及时、准确地向医保部门提供病人结算数据报表,同时也必须能够提供合法的、合格的、保证医院利益的相关临床信息。因而,HIS建设也相应地从以收费为核心的管理信息系统(Hospital Management Information System 逐渐转向以病人为中心的临床信息系统CIS,以进一步满足医疗服务质量的需求。
HIS从简单的“单机版”收费挂号到院内局域网“客户机——服务器”模式的网络形态,再由院内局域网扩展为医疗城域网,直至将来的全国联网。一方面医院需要为患者提供更多的服务,需要为内部移动用户提供VPN接入,为病人提供网上预约挂号,为专家提供远程会诊等;另一方面由于医院是整个社会保障体系中必不可少的一环,又肩负着科、教、研的重任,要求医院信息系统逐步从封闭走向开放。
因此,医院信息系统正在变成医疗体系结构中不可或缺的基础架构。该架构的网络安全和数据可用变得异常重要。任何的系统停机或数据丢失轻则降低患者的满意度、医院的信誉丢失,重则引起医患纠纷、法律问题或社会问题。
和其它行业的信息系统一样,医疗信息系统在日常运行中面临各种风险带来的应用服务停机和数据丢失或泄密,例如:
λ网络病毒、攻击造成停机与数据丢失
λ黑客入侵造成信息泄密
λ人为错误造成数据删除
λ磁盘(阵列)损坏造成数据丢失及停机
λ服务器故障、交换机故障造成应用停顿
λ不可抗因素如火灾、地震等造成信息中心毁坏
而随着医院信息系统的深入发展,其IT环境会变得越来越复杂。不仅有不同厂家的存储、服务器、网络等硬件平台,还会有Oracle、SQL server、中间件等异构的软件平台。虽然异构为医院带来低成本和高适应性,但是同时带来复杂性,引起性能和高可用性问题。
因此在不断变化的信息系统环境下,院方也一定希望这个投资不菲的基础架构具有弹性,而不是不堪一击的脆弱体系。希望这些基础架构的设计具有足够的灵活性,以适应业务的发展需求。希望能节省管理时间、减少复杂性并降低成本。
不论是医疗保险制度改革带给医院的压力,还是政府疾病防御和控制的政策给医院信息化建设带来了机会,医院信息系统在发展过程中首当其冲要解决的问题是解决因外部及内部原因引起的网络系统安全、数据安全问题,保证信息系统的扩展性和高效连续运行。
本方案将从XX医院医疗信息系统的安全现状出发,讨论如何建立适应未来发展的信息系统的安全和可用性架构。
二、XX医院信息系统高可用性设计方案
数据安全和应用连续运行可以统一归类为信息系统的高可用性。所谓高可用性就是需要时能够使用,维持一定的性能和功能,且故障后能够快速恢复。
根据业务需求的不同,IT系统的高可用性采用一种或多种技术来满足。一般有数据备份和恢复技术、应用高可用技术、存储管理技术、容灾技术、以及性能管理技术。另外存储局域网技术在数据高可用性领域扮演着十分重要的角色。下面将阐述这些技术如何解决医疗信息系统的信息安全和应用连续运行问题的。
3 1、需求分析
网络安全防护旨在阻止病毒、黑客、儒虫等攻击造成的网络瘫痪、信息系统停机、以及数据丢失或泄密。但是还需要预防网络安全防护失败带来的损失。况且人为故障、硬件损坏、天灾人祸是难以避免的,因此需要高可用性技术来保障这些事故后信息系统的迅速恢复。
根据业务需求的不同,IT系统的高可用性采用一种或多种技术来满足。一般有数据备份和恢复技术、应用高可用与存储管理技术、容灾技术、以及性能管理技术。
在目前已经上线的医院IT环境中,绝大多数医院都采用了群集技术来保证服务的持续运行或者在用户可以容忍的时间之内自动进行服务恢复。群集技术在应对服务器故障对应用的影响方面有着显而易见的效果,这一技术已经得到大多数医院用户的认可,并已经得到很大程度上的普及。
但是,你会发现随着医院信息系统的深入发展,现有的高可用性架构很难适应新的高可用性需求:
• 现有的应用高可用性架构可能存在单点故障,不能适应7×24营业的医院对应用不停机的要求;
• 很多用户往往有这样的误解——既然我的系统已经是“双机热备份”了,那么,我的数据也不需要备份了。这种误解导致很多用户往往忽视了数据备份的重要性,结果整个系统的数据只有磁盘阵列中的一个拷贝,等到由于磁盘阵列发生故障或人为误操作导致数据丢失的时候,才发现悔之晚矣!
• 虽然关心容灾,但由于各种原因目前大多数国内的医院在建设IT系统时并没有过多地考虑。一旦发生火灾、地震等灾难性事故,整个系统将毁于一旦,数据将一去不复返,医院将遭受无法估量的巨大损失。
• 随着诊疗系统的上线,数据量急剧增长,如何集中管理这些数据,有效地利用存储,降低整体投资成本,也逐渐成为HIS建设热点。
• HIS和CIS数据需要用于医院数据挖掘系统,医院丰富的医疗经验也需要分享给同行业,满足疾病预防、教学和科研需要。我们需要建设一个具有弹性的存储平台,在不损失应用性能和可用性的情况下,实现灵活的数据共享。
综合以上需求分析,医院IT系统需要建立的是一套能够提供实时的数据保护、高度可靠的故障切换、灵活的数据共享、以及园区级系统容灾的完善解决方案
4 2、存储局域网
由于存储局域网技术在数据高可用性领域扮演着十分重要的角色,下面首先予以介绍。
高可用性离不开存储管理,离不开存储互联技术,存储互连是指计算机I/O总线和存储设备(磁盘和磁带机)之间的物理连接,用来实现计算机与存储设备的数据交换。存储互连包括使用SCSI和光纤信道(主要用于UNIX和Windows系统)、ESCON和FICON(用于大型计算机)。除此之外,TCP/IP还可用于存储互连,实现文件共享。
SCSI(小型计算机系统接口)主要用于存储设备和计算机之间的直接连接(不使用中间设备)。SCSI最早用于小型计算机的互连,在随后近二十年的使用过程中已经做过多次改进,以便支持更高速度的数据传输,SCSI已经发展成为各种规模系统的存储设备的主要直接互连,然而设备选址和总线长度的限制制约了它在大型系统中的使用。尤其是每台主机连接自己的存储,制约了数据共享。虽然上世纪末出现了利用NFS/CIFS的网络连接存储(NAS),但是由于LAN不能有效的支持块数据的存取,NAS主要应用在文件服务领域。
为了让信息服务具有扩展性,出现了存储网络的概念。将普通信息网络的灵活性与存储互连的强韧性结合起来。过去存储网络一直用于大机及其他供应商专属计算机系统,它带来的好处包括:
存储从服务器分离出来。
提高了服务器的弹性。
更大型更灵活的集群。
共享存储资源。
存储(和服务器)整合。
更快速(独立于LAN)的备份与恢复。
服务器和存储设备更加独立。
更高的系统I/O性能。
简化管理。
降低总投资成本(TCO)。
今天,存储网络互连和协议技术已经从供应商专属模式,发展成为成熟标准化光纤信道存储区域网(SAN),既光纤信道既可以支持TCP/IP、ESCON, 又可以支持SCSI, 为开放系统实现资源共享、高速备份、多节点机群、分布式文件系统等建立了基础。
另外一种正在成为热点的存储连接技术是iSCSI。它的开发目的是利用经过验证的SCSI指令集,在同样经过验证的TCP/IP网络上实现块数据访问,将来可以利用遍布全球的数据网络实现存储远程共享,达到数据网与存储网络合一,降低成本,减少管理复杂性的目的。但是由于LAN或WAN的存取实时性问题,iSCSI仍然有待提高。
SAN经过了几年的发展,目前已经广泛地应用于开放系统环境。SAN既支持主机与存储直连,也支持透过SAN交换机互连,在不影响性能的情况下,SAN可以扩展到100公里的范围。如下图所示:
[pic]
SAN 网络示意图
医疗信息系统的数据越来越多,各个应用间的数据共享要求也越来越迫切,利用SAN加速存取性能,提供数据共享、提升投资回报、减少管理成本是大势所趋。因此,后面的方案将基于SAN来讨论和设计。
5 3、数据备份与恢复
正如前面分析的,信息系统面临着各种威胁带来的数据丢失和应用停机。网络安全防护措施可以有效地遏制病毒、黑客带来的风险,但是如果管理不严仍然会遭到攻击。更何况人为失误、硬件故障、自然灾难等有时是难以杜绝的。因此我们需要有一套恢复机制,保证即使系统遭到了破坏,仍然可以恢复。
信息系统的核心其实是数据,因为操作系统、软件等破坏了都可以重新安装,但数据丢了是找不回来的。因此只要将数据留有拷贝或叫留有备份,就能够恢复整个应用。
另外HIS系统的数据除了关系到医院自身的经济核算之外,还将用于行业审计、医患纠纷,因此数据的丢失是不能忍受的。
很多医院采用人工来做数据备份,或依靠应用软件自身完成备份。尽管在信息化初级阶段数据量很小的情况下还能应付,但是这种方式很难保证备份数据的正确性,也保证不了在需要的时候是否能够恢复,即使能恢复,又需要多长时间?而且数据拷贝分散保存,对人的依赖性太强。况且随着应用的增加和数据量的增长,手工根本不可能去处理。
医疗信息系统需要建立专业的数据备份和恢复系统。
1 3、1什么是数据备份和恢复系统?
数据备份与恢复系统是指在运行业务软件的计算机上安装专用的备份软件,该软件将按照计算机管理员设定的规则,周期性地为业务数据制作一个或多个拷贝,并将其存放到专门的备份介质(或叫备份设备)上;当在线存储中的业务数据因为各种原因(如磁盘坏、病毒、误删除等)丢失后,管理员或用户可以通过备份软件提供的GUI, 从备份介质上将数据恢复到在线存储上。
一般来说,在线存储是指计算机上存放数据的硬盘或磁盘阵列。存储设备通常是磁带机/磁带、或磁带库,今天也可能是磁盘、或磁盘阵列。Symantec的NetBackup是典型的数据备份和恢复软件。
2 3、2数据备份和恢复系统的建设原则
不管是哪种IT环境,建设数据备份系统都遵循几乎同样的原则,才能达到保护数据、需要时迅速恢复的目的。以下是通用的原则:
(1) 备份系统开放性。
支持广泛的操作系统平台、应用平台和存储设备,给用户充分的硬件选择权。
(2) 产品的成熟性。
市场占有率是考察产品成熟性最好的标志。采用成熟的产品减少风险、提高可靠性和安全性。
(3) 数据的可恢复性。
备份的目的是为了恢复,不仅恢复应用的数据,还需要恢复操作系统,并支 持异机恢复等。
(4) 备份系统的可管理性
图形界面的易用性,基于策略、多种备份结构等
(5) 备份系统的性能
支持网络备份和LANFree备份模式,能够利用磁盘技术等改进备份性能。
(6) 可扩展性
当数据环境中的主机或数据量扩展,或新软件版本引进时,备份系统能够平滑支持,不需要重新部署新系统。
(7) 强有力的技术支持
厂家雄厚的技术支持力量很重要,能够及时响应用户的问题。
遵循上述原则建立的数据备份和恢复系统,才具有生命力、持续性,才能可靠的保护信息系统的数据。
3 3、3医疗信息系统的数据备份与恢复系统设计
医疗信息系统的特点是,HIS系统的数据量不大,但是极其重要,出问题后需要快速恢复;CIS不仅数据量大,而且重要,会要求备份系统的高性能。主机平台一般是UNIX和Windows, 数据库有Oracle、SQL等。应用系统是不断开发上线运行的,所以要求备份系统的扩展性。
Symantec的数据备份管理软件Veritas是业界领先的解决方案,全球市场占有率第一,在国内拥有大量的客户群,有一支技术过硬的支持工程师,满足数据备份系统的设计原则,应该是医院信息系统的理想选择。采用NetBackup或BE建立的医院信息系统数据备份和恢复系统的部署结构图如下:
[pic]
医疗信息系统的备份结构图
各功能模块可以部署在一台机器上,也可以安装到不同的机器上。这里备份管理服务器和备份介质服务器由一台服务器负责,统称为备份服务器。
备份管理员通过GUI制定每个应用系统的数据备份计划(也叫备份策略)。所谓备份策略就是指定每个需要备份的客户机上那些数据在什么时候备份、使用什么样的备份方法、备份到什么地方。例如HIS业务系统的数据最重要,设置成每天晚上8:00开始做备份;其他系统每两天做一次备份等。
备份策略设置好之后,备份服务器就会按照策略指定的时间去唤醒应用服务器上的备份客户端,于是备份客户端将指定文件或数据库的数据从磁盘上取出,通过网络传送给备份服务器,由备份服务器保存到备份设备上。如果备份服务器有需要备份的数据,它直接将其保存到备份设备上,不需要经过网络,备份性能更高。
备份设备既可以是磁带库也可以是磁盘。备份设备总是由备份服务器存取。允许多台备份服务器通过SAN共享一台备份设备。由于备份服务器自身的备份速度快,当多台应用服务器需要高性能备份时,可以将它们均部署成备份服务器。
备份设备的容量与需要备份的数据量和备份策略有关系。备份过程中要用到大量的存储介质,备份介质的保留周期的长短将决定所需购置和维护的介质量。目前的备份策略都是基于多磁带轮换制,即保存有过时数据的介质可重新覆盖使用,轮换频率可根据备份类型和备份的窗口来确定。
当需要恢复某个应用的数据时,可以透过备份服务器上的GUI查找指定数据的位置,申请备份服务器将备份设备中的数据取出来,并通过网络传送到相应的应用服务器上. 如果是备份服务器上的应用需要恢复数据,它就将数据直接恢复到相应的目录下。
其中Veritas公司的NetBackup不仅完成数据的备份和恢复,还支持操作系统的备份和快速恢复。NetBackup的BMR可以周期性地将操作系统环境(包括应用软件代码及配置)等完整的影像备份到服务器上,一旦应用系统遭到破坏,需要重新部署时,可以采用备份的影像在几分钟内将裸机恢复到备份点时的状态。
因此这套备份系统可以让你按照你的意愿设计备份策略,将所有数据做周期性的备份,以便任何情况下都能够快速、完整地恢复数据。
需要的时候,可以将备份介质传送到远程(容灾中心)保存,以最低的成本预防火灾等灾难造成的数据丢失。
将来随着应用的深入发展,数据量的不断增加,备份的性能会越来越重要。NetBackup或BE有多种方法解决性能问题:
(1) 改变成LANFree的备份架构,让每台服务器自己将数据通过SAN传送到磁带库中。
(2) 利用磁盘技术提高数据传送速度,包括磁盘缓冲、合成备份、虚拟磁带库等。
(3) 增加安装NetBackup的高级选件如块级增量备份、闪备份、ServerFree备份等。
4、存储管理解决方案
随着医院信息系统的发展,越来越多的应用系统投入运行。他们是由多套存储支撑的多套服务器运行着多个应用系统:如 HIS、PACS、RIS、LIS系统,虽然这些系统的数据密切相关,但是如果不有效的进行存储设计,容易形成信息孤岛。
当直接向病人提供诊疗决策的一线临床医生要求通过数字化来将各个检查科室的病人检查信息集成在自己面前时,你会发现,同一个病人的检查信息分散存储在不同应 用系统的不同存储器中。因此产生了集成需求,目前的主流集成方案是在 HIS 医生工作站上让临床医生能浏览病人在各个检查科室产生的检查数据。
目前由于国内还没有医疗信息标准,很多医院采用各种技术手段如对照表、消息中间件、数据格式适配引擎等把各个检查子系统与HIS连接起来,实现病人各种检查信息在临床医生处的浏览集成。但是未来会走向标准化,降低集成的难度。
无论如何都有一个最烦恼的问题:病人数据的存储是为了日后的调取使用,但它们都分散在许多子系统的存储器中,当医院日常工作越来越多地转移到电子平台上而日益依赖于电子平台的可靠性时,如何进一步提高这么多服务器和存储器的可靠性来保证病人数据的不丢失?又采取什么措施让医院在经济性上能承受?
未来区域医疗信息系统建设需要将PACS、HIS等系统数据实时地共享出去,建立区域医疗信息库,用于政府医疗卫生决策、医学科学研究、公众健康服务等。我们是否现在需要考虑?
这里我们举一个盖大楼的例子,十年前的设计一定会包括水、电、汽、电视、电话等基础设施,但是几乎没有考虑INTERNET、有线电视的部署。可是过了不久,就需要改建部署这些设施,不仅成本更高,布线还不好看,用户不满意,租金也比新的具备这些设施的大楼低。
同样,今天医疗信息系统的发展趋势决定了存储管理部署一定会在未来发挥作用,避免将来的重复投资和各种瓶颈。
首先集中存储是存储管理的第一步,而SAN是实现集中存储的首选技术,利用SAN的网络连接功能,可以实现所有的应用系统访问一个存储器,让所有子系统的数据都存放到一个存储器中,只要管理这一个存储就行了。但是这是不现实的,因为客户会从异构环境降低成本、获得高投资回报。这就要求有一种技术手段来整合这些存储,达到高可靠性的目的。这就是存储虚拟化技术。
1 4、1存储虚拟化的定义
虚拟化就是创建一个具有原对象的重要特征、但又不是原对象的另一个对象。我们想一想时髦的虚拟图书馆,它一般会具有“真实”图书馆的重要特征——以便于授权读者浏览或借阅的形式存放大量文档,但是它可能没有物理图书馆的一些非本质特征——例如没有建筑、书架或用纸张印刷的书籍。
电子数据存储设备是复杂的科技奇迹,但是它们在概念上很简单——磁盘驱动器、磁带驱动器和磁带。数据存储设备的本质属性是持久7存储数据并根据请求向客户端提供数据的能力。非本质特征包括设备大小、耗电能力、性能和存储容量。这类特征随设备而变,但都不会改变存储设备的本质。因此,任何协调一致的对象集合,只要能够持久存储数据,并根据请求向客户端提供数据,都可以称作虚拟存储设备。实际上,虚拟存储设备通常由处于统一控制之下的物理存储设备集合组成。
虚拟存储设备并非真正存在,它们只是同类物理设备活动方式的表示。意思是它响应设备客户端(一般是应用程序)的I/O 请求。如果这些响应酷似实际设备的响应,客户端无需知道设备是“不真实 的”。就是这个简单而具有强大力量的概念实现了存储虚拟化――无需更改应用,即可尽享其便。能够使用磁盘驱动器、磁带驱动器、磁带库或文件系统的任何应用或系统软件无需进行专门的调整,就像使用通常的存储设备一样使用对应的虚拟存储设备。下图是存储网络行业协会给出关于存储虚拟化的逻辑描述。
[pic]
虚拟存储化
从图中可以看出存储虚拟化设计到三方面功能:
(1)虚拟化提供的内容:磁盘块块虚拟化,磁盘虚拟化,磁带、磁带驱动器及磁带库虚拟化,文件系统虚拟化,文件/记录虚拟化。
(2)虚拟化执行位置:基于主机、基于服务器的虚拟化 基于网络的虚拟化 存储设备,存 储子系统虚拟化
(3)实施方式:带内虚拟化 带外虚拟化
虽然Symantec的VERITAS存储管理软件提供除磁盘虚拟化之外的几乎所有的虚拟化类型,但是本方案只关注与医疗信息系统高可用性相关的磁盘块虚拟化。
2 4、2为什么需要虚拟化
数据存储设备是简单的设备,具有简单的质量或“优点”衡量指标。如果某存储设备运行良好,不崩溃(高度可用),不耗费太多费用,而且易于管理,就可以将其视为好设备。虚拟化可以用来提高存储设备的4 项基本质量指标:
I/O 性能:数据访问和提供速度越来越多地决定着应用的生命力。 举个极端的例子,如果无法以视频播放器所需的速度来提供数据, 视频点播应用就没有生命力。再举个没有那么引人注目的例子(但是可能对多数人来说更重要),如果无法以足够快的速度来响应医生对当前病人的各项诊断的查询,医院里牢骚满腹的患者队伍就会越排越长。虚拟化可以在多个存储设备之间对数据地址进行条带化,提高应用所需的I/O 性能。
可用性:随着社会的日益数字化,对于无法使用的计算机系统的忍耐程度正在下降。患者不希望听到因为“计算机宕机了”而无法挂号、看病的消息。其它行业如能源供应设施、交通系统、公共安全和娱乐等全都依赖于数据处理系统;在需要数据的时候,数据就会“就位”。数据只有在数据存储设备“就位”时才能就位。虚拟化可以在两个或更多的磁盘驱动器上生成一致的数据镜像,杜绝磁盘 和其它故障,提高可用性。
容量成本:磁盘存储价格在以令人眼花的速度下降,这是存储消耗以同样令人眼花的速度增加的部分原因造成的。虚拟化又以镜像和远程复制的形式,进一步增加存储消耗。因此,实际交付使用的存储容量的成本仍然是一个考虑因素。企业可以将存储成本的降低转化为信息技术开支的减少或开销不变的情况下应用功能的提高。虚拟化可以集中多个设备的存储容量,或将没有得到使用的容量重新部署要它的其它服务器上,这两种情况都可以推购买更多存储设备的时 间。对于块存储容量成本的讨论贯穿全书始末
可管理性:在当今传统的信息技术理念看来,系统组件和功能管理是电子数据处理中成本增长最快的环节。管理存储设备的费用是购买存储设备的成本的5到10倍,这似乎是一个一致的看法,虽然 每个分析人士估计的数字不一样。因此,管理成本是存储质量的一个重要指标。存储设备购买者急切地搜寻着能够让一个管理员管理更多数据的解决方案。虚拟化可以将小的设备组合成大的设备,减少了要管理的对象数量。虚拟 化可以通过提高容错能力,减少停机时间,从而减少恢复管理工作。
存储虚拟化理由很简单,它可以提高存储质量指标,从而增加医疗单位从其存储设备与数据资产中获得价值。
3 4、3统一存储管理方案的价值
存储虚拟化目前在存储阵列、SAN和主机层面上都有实现,也就是说存储环境中每一物理层都在尽力为应用提供高性能、高可用性、低成本和可管理性。RAID是存储虚拟化的重要形式。RAID 是冗余独立磁盘阵列 (Redundant Array of Independent Disks) 的缩略语.RAID一共提供五个冗余级别,在实际使用中又有一些变种。这里不讨论RAID的具体实现方法,但给出一个简单的功能索引:
|RAID Level |Function |
|RAID 0 |Striping with no redundancy |
|RAID 1 |Mirroring (complete redundancy) |
|RAID 1+0 |Mirrored Stripes |
|RAID 2 through RAID 5 |Striping with parity checking |
这些功能既可以在磁盘阵列上完成,也可以在主机上完成。目前所有的存储硬件厂家提供的设备上均有RAID功能(叫硬RAID),所有主机厂家提供的服务器上也有普通的RAID功能(叫软RAID)。它们的特点也是显而易见的:硬RAID简单,不占用主机资源,单不灵活;硬RAID灵活,支持任何磁盘组合,但是需要在主机上运行,复杂。
令人振奋的是,两个选择并不是相互排斥的。事实上,在绝大多数IT环境里二者一起工作,提供更多的好处。例如,采用软RAID将现有磁盘创建成简单的镜像或条带逻辑卷,而硬RAID留作它用。 可以通过镜像及条带可以提高RAID阵列的高可用性:
将不是完全冗余的RAID设备做镜像
将奇偶校验分布到多个阵列上
数据跨阵列分条块,以满足应用的I/O带宽需求(像video服务器或image服务器)
事实上,今天由于异构环境的广泛采用,信息系统的可用性、可管理性遇到了新的挑战,对存储虚拟化提出了更高的要求:
异构环境的高可用性:任何一家企业或单位不可能依赖于一家硬件厂家,存储环境里多种磁盘阵列存在随处可见。原来一台服务器存取一个牌子的阵列,现在变成了可以存取多种存储阵列。主机和阵列之间的高可用性通道至关重要,一般有两条甚至多条数据通道,通常又阵列厂家的软件来管理这种冗余的可用性和性能。在异构环境里多种厂家相同功能的软件往往不能协调工作,导致存储环境的可用性降低。需要一种与硬件无关的存储管理软件保障异构环境的高可用性。
决策支持、统计分析是一个企业或医院有效利用信息的基本手段。但是这些工作往往影响生产机的性能,导致服务质量下降。例如需要对每天的诊疗数据实现分析统计,以此发现疾病的流行、病人的情况,以调整医疗资源;需要脱机备份,以免影响生产系统性能等。但是应用运行时它的数据是不能被其它程序存取的。例如HIS在使用自己的数据库时,别的应用是不能存取它的数据库的,除非在HIS服务器上再运行一个程序。老的办法是通过数据库的工具进行数据抽取,即HIS不运行时,它的服务器上其它的程序将数据库中的数据抽出,并通过网络发送给其它应用,这种方法不仅实时性非常低,而且对于一个7×24小时运行的应用来说,显然影响性能。一般高档磁盘阵列提高数据实时镜像分离的技术解决这个问题,但是它不能跨其它型号的硬件工作,而且较低档的阵列不提供此功能。适合异构环境的存储管理软件可以解决这个问题,降低成本,提高可用性。
存储使用效率:异构环境的存储效率最容易降低,因为需要通过每个厂家不同的管理软件监视各自的存储空间,而且即使存储分配不合理也难于调整。一个例子是HIS配置一台阵列,LIS配置另外一台阵列,两个系统只是使用本地的存储。如果HIS的存储容量用完了,即使LIS上还有剩余容量,HIS也无法采用,这样将造成资源的大量浪费。存储管理软件能否方便地分配异构环境的存储?根据IDC的统计,数据中心通常的磁盘利用率为30%到60%,而经过存储整合,实现统一存储管理的数据中心,它的磁盘利用率将能够达到90%。也就是说,良好的存储管理软件能够给用户节省大量不必要的硬件开支,让管理员从繁重的存储管理中解脱出来,真正实现现代化数据中心的意义。
易用性问题:每一种操作系统都有自身的存储管理软件,每一种阵列也有类似功能,在异构环境里,一个管理员需要学习多少种软件才能有效管理存储环境?
在医疗信息系统的初期也许对这些可用性问题没有感觉,好像是一些可有可无的东西。但是在走向全面信息化的道路上,这些问题会逐渐凸现出来,而早期的部署和设计将可以避免问题引起的严重后果。
以上这些问题呼唤异构环境中的统一存储管理问题。能担当此任的非Symantec的VERITAS Storage Foundation莫属。
Storage Foundation的核心是逻辑卷管理器VERITAS Volume Manager(简称VVM),VVR一直OEM给Sun 和HP,许多关键的Sun Solaris和HP UX环境都使用它完成存储管理,提供存储虚拟化功能。VVM的介质盘也捆绑在IBM的AIX操作系统光盘包里,微软2000和2003 Server中采用VVM的简化版作为磁盘管理工具。
在异构的关键业务系统里,同时采用阵列厂家和软件厂家的存储管理方案互为补充,提供更好的可用性。一般普通的RAID技术由阵列自身完成,运行在服务器上的存储管理软件Storage Foundation完成如下功能:
多路径管理(DMP),在存储和服务器之间建立多条数据路径。以便当运行路径出错时,另一条可用路径立即自动接管I/O,为用户提供虚拟地不中断存取。 DMP通过将I/O分布到多条路径上,还可以提高I/O性能。在Windows环境中DPM基于微软的MPIO框架,是WHQL Logo认证的。
Online monitoring and tuning — 管理员可以在线识别存储瓶颈,并将数据迁移到合适的存储位置。这可以实现在问题变得严重之前阻止它。 I/O活动的跟踪可以在系统级、卷级、逻辑磁盘级、或物理磁盘级。平均I/O活动按每个片(subdisk)计算;平均I/O达到90%的subdisk标记为潜在的“hot spot”,即热点盘。于是管理员可以将其数据迁移到另一个低I/O活动的区域,以减少I/O瓶颈。VERITAS Storage Foundation减少了大量需要猜测和专家评估的优化工作量。
Domain-wide storage configuration — 在中央集中控制台上管理整个WINDOWS域的存储。
Snapshots - VERITAS FlashSnap™, 是VSF的一个选项,允许创建数据时间点的快照,而对应用的性能影响极小。这种快照既可以在本机上使用,也可以安装到其它服务器上使用。本地磁盘快照提供数据误操作情况下的快速数据恢复。脱机快照可以完成资源密集型的处理,如测试、决策支持、备份等,以减轻生产机的压力。VERITAS FlashSnap完全集成到微软的VSS结构中。
阵列间镜像 – VSF的镜像功能可以在任何型号的磁盘阵列间完成,利用这种功能将镜像的两个阵列放到远距离的位置,达到同城容灾。
VERITAS Storage Foundation需要安装到每台应用服务器上,支持任何操作系统平台(UNIX、Windows、Linux)。提供超越存储虚拟化的功能,将为医疗信息系统减少管理成本,提高存储使用效率、提高可用性。与集群技术配合将有效地达到存储整合。
7 5、高可用的集群系统
作为计算机系统高可用性的重要组成部分,集群是预防主机故障导致应用停机的最主要手段。集群的概念对于医疗行业并不陌生,在目前已经建立的医院IT环境中,绝大多数医院都采用了群集技术来保证服务的持续运行或者在用户可以容忍的时间之内自动进行服务恢复。
1 5、1全冗余的架构是基础
但是,你会发现很多环境中集群技术没有发挥应有的作用。最普遍的问题是很多群集解决方案多采用“2+1”的模式,即两台服务器连接到一台磁盘阵列,这种结构是为了在两台服务器之间共享数据。但是单台磁盘阵列往往就成了核心系统的一个单点故障点,一旦磁盘阵列发生故障,则整个系统将发生停机。除此之外,是因为忽略了计算机高可用性是由一系列技术保障的,包括主机部件冗余、多条输入/输出路径、镜像磁盘、冗余网络连接,数据备份等。前面已经讨论了大部分内容,这里讨论集群技术。
如果将原来的集群模式称为“2+1”的话(即两个服务器连接一个阵列),现在一定采用“2+2”群集模式(即两个服务器加两个阵列),使之成为全冗余、无任何单点故障的HA系统,使医院IT系统真正没有后顾之忧。
[pic]
在原来的“2+1”群集模式的基础上,多增加一台磁盘阵列,将一台服务器定义为一个“运算节点”,将一台磁盘阵列定义为一个“存储节点”,所谓“2+2”的意思就是“两个运算节点+两个存储节点”。
利用VERITAS Storage Foundation的卷镜像功能实现两台磁盘阵列之间的镜像关系,每一次I/O的写入都分别通过两条主机通道到达两台磁盘阵列的控制器,并且当两个I/O都返回正确的结果之后,操作才算完成。所以,两台磁盘阵列中的数据完全保持实时同步,不用担心任何的数据一致性问题。
在SAN环境下,由于实现了资源共享,”2+2” 不会带来太大的投资增长。例如,原来HIS存取阵列A, LIS存取阵列B, 他们全部连接SAN后,HIS和LIS可以同时存取A和B。两个应用都可以利用A和B的镜像变成2+2集群结构。
当然,如果采用多级冗余的高档磁盘阵列(例如内部多光纤总线,多控制器等)一个磁盘阵列也可以。
[pic]
2+2全冗余集群结构
目前的集群技术都支持多节点集群(VERITAS Cluster Server支持32节点),如果想进一步节省成本,可以采用1备2或互相备份的结构,达到资源整合的目的。
[pic]
1备多的集群结构达到资源整合
同样,新应用系统上线时,存储资源可以购买新的,也可以利用现有的阵列扩充容量,如果这些应用对恢复时间要求高,就部署成“2+2”模式的集群结构。如果需要整合资源,可以将他们也整合到这个集群架构中。
虽然每个主机厂家都提供专有的集群软件,但是他们都只能支持自己的硬件平台。Symantec的集群软件VERITAS Cluster Server (VCS) 是一个商用的企业级软件解决方案,它可提供全面的可用性管理,把计划的和非计划的停机时间降到最低。支持异构操作系统和存储,可以帮助运行在UNIX、Windows、Linux平台上的医疗应用建立高可用性。
2 5、2Symantec 集群方案的工作原理
VCS使多台 三台Server构成相互备援之cluster架构,当其中任一应用(HIS)不能提供服务时,集群软件迅速侦测到这种情况,分两种情况处理:(1)服务器没问题,只是应用出故障,VCS强迫应用在该服务器上重启(依策略而定,可以直接切换),如果仍然有问题,则VCS在空闲的服务器上启动HIS, HIS继续为前端客户提供服务;(2)如果服务器有问题(网络探测不到),则VCS在空闲的服务器上立即启动HIS,HIS继续为前端客户提供服务。这个过程叫应用切换或接管(Take-Over),使用者可在最短时间内回复作业,减少主机停机所造成的损失。如果备用的服务器也有问题不能启动HIS,则LIS服务器接管HIS,这台服务器同时提供两种服务。VCS可以灵活地设置应用切换的策略。
VCS安装到集群中所有的服务器上,实现以下功能:
(1) 服务器掉电时,能实现自动切换。
(2) 服务器的硬盘、CPU、RAM发生故障, 影响系统运行时, 实现自动切换。
(3) 网络连接发生故障时(如服务器的网卡,网线故障),实现自动切换。
(4) 服务器的SCSI 线路、控制器设备发生故障时, 应能实现自动切换。
(5) 操作系统、数据库或应用程序发生故障时,应能实现自动切换。
(6) 提供手动切换功能, 使系统管理员可以在主机负载过大时或其它适当的时候,实现手动切换。
(7) 软件本身发生故障时,给出提示信息,使系统管理员可以及时将其恢复。
(8) 安全完成多次切换。
(9) 监测备份机的基本设备和系统状态,保证备份机的可靠性。
(10)自动保存完整的系统日志,并可管理。
3 5、3主要特点
1) 支持UNIX、Linux和Windows 2000平台。
2) 现有Oracle, Sybase, Informix, SQL, Lotus, Exchange, IIS数据库代理程序,还将一直开发新的支持其它数据库的代理程序。
3) 提供开发代理程序的全套工具,以使客户能为监视、错误检测和恢复几乎所有应用软件服务而开发定制的代理程序。
4) 扩展的伸缩性,支持2-32个节点的集群服务器。
5) 通过自己的iLab (互操作试验)和存储认证组(一个用于第三方厂商自检的测试,以使他们的磁盘阵列达到要求)进行现场测试,以支持所有主要的第三方存储提供商。这样,VERITAS在进入市场时就可支持新的存储解决方案。
6) 多线程高可用性引擎可以发挥一个多级错误检测的功能。
7) 可建立强大的应用软件服务资源组定义,以方便、灵活地监视和克服故障。
8) 可配置的策略用于动态地确定恢复的位置,可使故障切换最优化。
9) 可从连续的错误中级联地自动恢复。
10) 采用高性能的通用原子广播机制 (gab)为加强错误管理和心跳检测提供服务器之间的通讯。
11) 与其他VERITAS存储管理软件如:VERITAS Storage Foundation、VERITAS NetBackup等无缝地集成。
12) 支持灵活的存储镜像架构(本地镜像、远程镜像、远程复制),提供应用级容灾支持、及容灾定期测试。
13) 直观的基于JAVA的GUI界面使集群配置更容易,从GUI管理界面监视多达256个32节点的各种操作系统环境的集群服务器。
14) 集群模拟功能,可以帮助远程技术支持。
8 6、容灾设计
作为医院信息系统高可用性的延伸,信息系统容灾已经逐渐成为医疗界的热点。医院业务连续性包括许多内容,例如医务人员储备、工作空间考虑、应急流程制定、信息系统容灾等。这里只讨论信息系统的容灾方案。
容灾系统一般又包括容灾级别的选择,即是数据级还是应用级。
所谓数据容灾,就是指建立一个异地的数据系统,该系统是本地关键应用数据的一个实时复制。在本地数据及整个应用系统出现灾难时,系统至少在异地保存有一份可用的关键业务的数据。该数据可以是与本地生产数据的完全实时复制,也可以比本地数据略微落后,但一定是可用的。
所谓应用容灾,是在数据容灾的基础上,在异地建立一套完整的与本地生产系统相当的备份应用系统(可以是互为备份)。建立这样一个系统是相对比较复杂的,不仅需要一份可用的数据复制,还要有包括网络、主机、应用、甚至IP等资源,以及各资源之间的良好协调。
建立一套真正的容灾系统需要不菲的投资,而且需要周期的计划和设计。容灾计划需要从如下几个方面入手:
(1) 数据恢复点和恢复时间(RPO/RTO)
(2) 容灾中心位置与设施选择
(3) 数据迁移方式
(4) 应用切换方法
(5) 容灾系统测试
1 6、1数据恢复时间和恢复点
数据恢复时间是指灾难发生后,企业允许多长时间内信息系统恢复运行;数据恢复点是信息系统恢复运行时,允许恢复到那个时间点的数据,即多少数据丢失是可以仍受的。
[pic]
恢复点和恢复时间
上图很好的表示了灾难发生后(T1),造成的损失(T0到T2)。
医院信息系统应该是7X24小时的关键业务,虽然每个应用的状况不完全一样,数据至少是不能有任何丢失的。也就是说一般要求T0=0,T2越小越好。
2 6、2容灾中心位置与设施
容灾中心的选择跟预防什么灾难有直接关系。灾难恢复计划必须权衡恢复成本和可能的灾难造成的可能性损失。
地理位置
由于地理位置是重要的选择参数,因此容灾中心的选择在灾难恢复成本中占有很大比重。例如,它设在要保护的数据中心旁边显然不完美,因为绝大多数灾难是区域性的。理想情况是容灾中心与数据中心保持一段距离,这样可以避免同时遭受同一灾难袭击。但距离又应当足够近,以便灾难发生时,恢复团队成员和合作伙伴能迅速赶到。
设施
一般而言,当企业将运营转换到容灾中心时,会持续相当的时间。灾难结束或企业恢复正常运营之前,企业的一切工作都只能在恢复站点进行。这就是说,企业应当将恢复站点视为一个永久性设施,以确保几个月的持续运营,并且恢复站点还应备有自己的灾难恢复措施,例如,恢复站点建筑不应是临时性建筑或诸如仓库之类的次要场所。
用作容灾中心的建筑应当有足够的场地,以容纳所有必要的设备。容灾中心的设备设置与我们的RTO和RPO有直接关系。例如如果允许几天的恢复时间和一天的数据丢失,容灾中心不需要太多的主机和磁盘阵列,只需要有放置磁带的架子就行,灾难后临时搬设备恢复。如果只允许几小时甚至几分钟的恢复时间,则需要几乎和主中心差不多的设置。
容灾中心的设备性能应根据成本的情况灵活选择。一般比主中心性能低,因为灾难后客户是允许一些降级服务的。
容灾中心还需要考虑公共设施,以便它成为主数据中心后一切能够正常运行。
根据多数医院的情况,容灾中心设置在医院内部另一栋建筑物内是可行的。条件好的医院可能会设置到相邻数十公里的另一个分院,但也在局域网络范围内。一般公共设施没有问题。
3 6、3数据迁移方式
容灾系统接管主数据中心应用的首要条件是容灾中心必须有可用的数据。将主中心的数据传送到容灾中心的技术叫数据迁移技术。迁移技术包括备份磁带传送和数据复制。数据复制又分异步复制、定期复制、及同步复制。
数据复制技术的选用与企业RPO和RTO有关,如下图
[pic]
RPO和RTO
如果企业允许数天内恢复信息系统,且容忍一定的数据丢失量,利用数据备份与恢复系统做容灾是最节省成本的技术。Veritas有完善的容灾解决方案,原理是由系统管理员定义好需要远程恢复的数据、及恢复周期,系统自动地将这些数据磁带定期复制,并弹出带库,有人工负责传送到容灾中心保存或恢复。自动跟踪每一个保存的磁带内容及过期情况,实时提醒管理员将其返回再利用。
显然磁带备份容灾成本非常低,只需要一些人工运输的工作。但是在容灾中心需要大量的恢复工作,且数据相对滞后。目前多数容灾方案考虑采用数据复制技术,下面予以重点讨论
1 1、数据复制的概念
复制是指在完全独立的存储系统(该系统可能位于不同的地理位置处)中维护数据集拷贝的技术。多数情况下,这些数据集拷贝会随着主数据集(或者说原始数据集)的更新而自动得到更新。这不同于磁带备份和恢复方法,因为复制操作通常是完全自动的,它不需要大量的劳动力。
复制服务通常有两种工作模式。同步复制确保了在向应用系统返回写操作响应之前先在主设备和所有已配置的备设备上发布更新内容。异步复制会立即向调用系统返回写操作完成的信息,并将写入的数据排队,以便在以后传递给备设备。
各个供应商提供了不同的技术来解决这方面的问题,比如,以不同方式来保持排队的写入数据以便异步数据写以及维护这些写入操作的顺序等。
同步复制:
有关同步数据复制,在传统意义上讲,就是通过容灾软件,一般是指异地数据复制软件,将本地生产数据通过某种机制复制到异地。从广意上讲,同步数据复制是指在异地建立起一套与本地数据实时同步的异地数据。
同步复制可确保在应用系统级别完成数据写操作之前,已将数据写的更新信息发布到备节点和主节点。这样一来,一旦在主节点位置发生灾难,从任何幸存的备服务器上恢复的数据都将保持完全的最新性,因为所有的服务器都具有完全相同的数据状态。通过同步复制,可以实现数据的完全最新性,但它在具有高度延迟或带宽有限的情况下可能对应用系统的性能造成影响。同步复制在更新速率较慢的应用环境中最为有效,但如果可以使用高带宽、低延迟的网络连接,也可以在数据写频繁的环境中部署它。
异步复制
在异步复制过程中,首先会在主节点写入应用系统更新信息,然后让这些信息进行排队,以便在网络带宽允许的时候将它们转发到各个备主机。如果进行数据写的应用系统临时遭遇了更新速率骤增的情况,这种队列可能变得很大。与同步复制服务不同的是,进行写操作的应用系统不会因为各个需要网络往返开销的更新操作导致的响应时间变慢而受到影响。在可用的网络带宽高于更新速率的时候,该队列的处理速度会超过其增长速度,从而允许及时获得主节点上的下一个数据状态。
如果有充足的带宽保障,使用异步复制可以避免复制解决方案导致的延迟,同时也可以提供接近实时的更新。应用系统在写操作过程中会立即得到确认信息,数据也几乎可以同时发送到远程节点。如果主节点停机,则只有这些正在传输的数据会丢失。
定期复制
定期复制是指将主数据中心的数据周期性地复制到容灾中心。具有异步复制的特点,即容灾中心的数据滞后于主中心,但是如果在复制过程中发生灾难,容灾中心的数据一致性不能保证,但好处是数据传送量明显减少。一般通过增加数据拷贝(增加硬件)来解决数据一致性问题。
2 2、容灾中心数据一致性问题
最新的数据将包括在主节点上作出的所有最新改动。例如,如果你要复制数据库,您可以使用辅助节点上最近提交的事务。辅助节点上的数据是否应始终保持最新性要取决于用户的业务决策。选择同步复制,还是选择异步复制,将可以控制这一点。同步模式可保证辅助节点上的数据具有最新性,但要以应用系统的性能为代价;异步模式不保证数据的最新性,但它对应用系统的性能影响可能更小,并且可以利用最具性价比的远程通信方式。
如果系统或应用程序可以使用备份的数据从某个已知的可行数据状态重新开始,则说明该数据具有一致性。例如,如果所复制的数据是数据库使用的,则当该数据库可以启动并恢复到没有任何数据毁坏的可用状态时,就说明该数据是一致的。如果数据包含文件系统,则当该文件系统检查程序可以运行并且恢复到没有任何文件系统毁坏的状态时,才说明该数据是一致的。
从理论上说,我们希望辅助节点能够与主节点保持得一模一样。如果说这不太现实,我们也需要辅助节点成为仅没有包含数量为已知的数据更新的精确副本。例如在数据库环境中,最近在主节点上提交的一个或多个事务可能会丢失,但辅助节点的状态应该与提交这些事务之前的主节点状态完全一致。这意味着将数据提交给辅助节点的顺序应该与在主节点提交这些数据的顺序完全相同。不能无序地提交数据快,或者允许局部的更新。为了在辅助节点上提供一致性的数据,复制解决方案必须提供下文介绍的“写入顺序保持”(write order fidelity) 功能。
3 3、数据复制点
从数据类型来看,需要复制的业务数据一般包括文件系统数据、数据库数据、和软件二进制代码数据。数据复制一般可以在三个层次发生:阵列层、主机层、和应用层(数据库层)。下面予以介绍。
基于磁盘阵列的复制
基于阵列的复制是通过二个或多个磁盘子系统内部的控制处理器的协调工作,数据从一个子系统复制到另一个子系统,基于磁盘子系统的复制对主服务器和次服务器都是透明的,可以在不同的服务器之间复制数据,但要求主、备中心的磁盘子系统之间彼此通信。这通常意味着两个磁盘子系统必须是完全相同的高端磁盘阵列。
基于磁盘子系统的复制不会增加服务器负载,但却增加了磁盘子系统上的负载。以及阵列控制器的计算压力,与其他形式的复制一样,相对于同等配置,在启动数据复制的情况下,应用输入/输出的响应时间都会相应增加。
基于主机的逻辑卷数据复制
基于主机的逻辑卷数据复制是在逻辑卷层将服务器的I/O访问复制到灾备节点的存储设备中。卷复制是将数据从导致数据物理毁坏的灾难中恢复过来的较好技术,而其他复制技术则分别最适合用于数据发布(文件复制)、保护数据库数据免遭人为和应用程序错误(数据库复制)。卷复制都可以复制指定磁盘或卷集上保存的任何和全部数据,对应用完全透明,具有广泛的适应性,故本方案将围绕卷复制技术展开。
基于主机的逻辑卷复制需要占用少量的服务器处理性能(一般不超过10%,在正常的交易系统中约为4~6%)。而且它对存储设备透明,任何主机操作系统支持的存储设备原则上都能用于复制。这可能对复杂的存储环境有益,因为它允许设备利旧,也可以支持不同存储设备间的数据复制。
当复制正在进行时,由于数据正在复制到卷,因此在容灾节点的复制对象卷不能被直接使用,这是维持系统可用性的一种必要手段,因为从单点控制角度来看,它将数据维持在一致状态(应用程序运行在主站点)。保存复制卷上的文件系统与数据库的内在一致性,和主卷上的文件系统与数据库的内在一致性是一样的。而且,卷复制对应用服务器的性能影响,自然低于文件或数据库复制对应用服务器的性能影响,因为卷操作相对简单,并且可以用最小的花费制定和执行计划。
根据两个数据中心的存储部署情况,基于主机的逻辑数据卷复制又分为远程卷镜像和远程卷复制。
远程卷镜像是指利用Volume Manager的卷镜像功能,将应用数据同时写到相距较远的两个存储设备中。这种情况下两个中心的数据完全是同步的。这要求两个数据中心部署有统一的SAN网络。SAN的可用距离是100公里以内。这种远程镜像方式最难解决的是当两个中心之间的数据通路有问题时,如何保证系统的正常运行。Symantec的存储管理软件Storage Foundation很好地解决了这个问题。
以Symantec VERITAS Volume Replicator为代表的基于主机的逻辑卷远程数据复制,将应用数据直接从逻辑卷层通过网络IP传送到远程的存储中。因此与距离无关,LAN和WAN都可以。VVR的工作原理见附录《VVR工作原理》
基于主机的数据库复制
基于主机的数据库复制,是指使用数据库软件自身的功能将一组数据从一个数据源拷贝到多个数据源的技术,是将一份数据发布到多个存储站点上的有效方式。基于主机的数据库复制还能够根据数据的使用方式,物理分隔数据(例如,将联机事务处理 (OLTP) 和决策支持系统分开),或者跨越多个服务器分布数据库处理。
不同的数据库厂商都有各自的复制方法。SQL数据库提供三种复制类型:快照复制,事务复制 , 合并复制。ORACLE数据库也支持三种复制形式:基本(简单)复制,高级复制,混合复制。
基于主机的数据库复制同样具备同步和异步的两种复制模式。同步分发数据库技术是一种实时远程存取和实时更新数据的技术。这种技术可以保证应用的完整性降低了应用的复杂性,但是如果系统存在网络存取速度很慢这样的问题,相应响应时间就会很慢。异步分发数据库技术是一种延迟远程存取和延迟传播对数据更新的技术。这种技术具有很高的可用性和很短的响应时间。相比同步分发数据库技术就显得复杂一些,为了确保应用的完整性需要仔细考虑和设计。对于实际的商业问题,必须权衡这两种技术的利弊最终选择最佳的解决方案,有些问题选用同步技术比较适合,也有一些问题采用异步技术是比较好的解决方案,还有一些问题必须综合这两种技术。
不论你采用那种数据库复制技术,都面临着一个问题:“更新冲突”。 对于所有应用最关键的就是要确保数据的一致性。我们来看下面这种情况会有什么后果发生呢?在同一时间对同一个表的同一行数据的同一列在两个不同的地点作更新。这种情况就会发生称之为更新冲突的错误。为保证数据的一致性,更新冲突必须被检测到并且处理以确保在不同地点的数据元素保持同样的值。更新冲突可以通过限制"所有权" 到单一节点或者将更新某个特定数据元素的权利限制到某一具体节点的方法来避免。
4 4、复制点比较
逻辑卷复制、阵列复制、和数据库复制的比较:
| |VERITAS VVR (同步) |VERITAS VVR(异步) |基于阵列的 |基于主机的数据库复制 |
| | | |同步数据容灾 | |
|链路要求 |任何支持 |任何支持 |ESCON, ATM |任何支持 |
| |TCP/IP的设备 |TCP/IP的设备 |IP over FC |TCP/IP的设备 |
|理想链路带宽 |> 40Mbit |相对较小 |> 40Mbit |> 40Mbit |
|性能影响/长距 |很大 |很小 |很大 |- |
|性能影响/短距 |很小 |很小 |很小 |- |
|专用磁盘系统 |不需要 |不需要 |必须 |不需要 |
|部署的简单性 |长距:复杂 |一般 |硬件:复杂 |软件:极复杂 |
| |短距:一般 | |软件:一般 | |
|维护的简单性 |一般 |简单 |一般 |极复杂 |
|成熟性、可靠性 |好 |好 |好 |一般 |
|涉及软件 |VVR |VVR |阵列内置 |不同数据库有不同要求。对|
| | | | |于数据库移植很能实现。 |
4 6、4医疗信息系统数据复制技术推荐
对于医院的信息系统,我们建议使用基于主机的逻辑卷数据复制技术。使用这个的技术的好处的是:
1. 可以保护现有硬件设备,不需要购买专用磁盘阵列,充分挖掘现有资源的潜力。
2. 不需要对现有的应用做任何修改,拥有成本相对于其他方案要低。
3. 不需要使用特殊版本的数据库,为用户节约投资。
4. 减轻用户的负担,系统维护的复杂度比较低。
1 1、基于SAN的逻辑卷远程镜像
如果两个数据中心之间部署了SAN,现有的集群和存储管理架构可以工作,只需要将集群中的备用主机和镜像中的一个阵列搬到容灾中心即可
[pic]
基于SAN的容灾结构
2 2、基于主机的逻辑卷数据复制
如果两个数据中心间不能部署SAN,建议使用VCS(Veritas Cluster Server )+VVR(Veritas Volume Replicator )+GCO(Global Cluster Option),这种组合模式来构建医院信息系统。
系统的拓扑图如下:
[pic]
医疗系统数据复制技术
在这个系统中,我们假设用户在医院中建立个两个中心。一个是主中心,也就是生产中心,另一个是容灾中心。有时候,用户经常会采取的方式是将HIS系统和PASC系统互为容灾中心,这样的好处的是利用现有环境节约硬件上的投资。
系统的运作过程如下:
1.正常情况下,门诊楼和住院楼的系统均处于运行状态,HIS和PASC系统处理各自的业务;同时,两个系统的系统对数据的任何修改,会实时同步地复制到各自的系统中。
2.当HIS系统的某些部件发生故障,如进程出错、内存损坏等情况发生时,产生故障的机器上的应用系统会自动地由VCS快速切换到HIS系统的其他机器,整个系统正常运行
3.当灾难发生,导致HIS整个系统瘫痪时,Global Cluster Option会马上监测到这种异常情况,及时向管理员发送各种警报,并按照预定的规则在PASC系统上启动HIS的业务应用系统
4.生产HIS的计算机网络系统修复后,VVR可将容灾中心的当前数据复制回门诊楼,然后将应用系统从住院楼切换回门诊楼,住院楼中的HIS系统重新回到备份状态。
5 6、5容灾系统定期测试
容灾系统的定期测试对容灾系统来说是非常关键的,这好比是防火演习,它可以帮助用户对自己的容灾系统的可用性做到了如指掌,保证真正发生灾难时,容灾系统是可以接管主数据中心的业务的。
完整的灾难恢复演习是复杂的,包括检验发生灾难后,参与灾难恢复的相关人员是否能够根据规划好的灾难恢复流程,有序可控地进行灾难恢复工作,验证IT容灾系统是否能够实现正常的切换和回切。就像防火演习一样,让每个人明白发生火灾时如何按照事先规划好的路径撤离现场;还要验证灭火器等设施是否可以正常工作。这里只讨论技术上的测试方法,以保证容灾系统是随时可用的。
一般,容灾系统的测试方法有两种:在容灾中心现有数据上运行关键应用,检验数据是否正确;将容灾中心数据镜像到另一套存储,再启动关键应用。前一种方法的问题是数据被破坏,需要重新从主中心将数据同步到容灾中心。显然如果数据量很大,这种方法是不可行的。后一种方法的问题是需要花钱租借或购买额外的存储,且时间长,成本高。不管那种方法,都需要大量的人工干预,近一步加大了测试成本。Symantec提供一种全新的技术来测试IT的容灾功能,利用Volume Replicator的卷快照功能,将容灾中心的数据做实时快照,然后VCS 启动相应的应用存取这个快照,验证数据是否可用。VCS提供一个agent, 按策略周期性地、自动地完成这种快照和启动应用的过程。所需要的存储容量与测试期间的数据变更量有关,对于医院HIS,一般应该不超过总数据量的10%。
显然采用Symantec的统一数据复制与应用容灾方案,不仅灵活、低成本、高可靠,而且解决了测试难的问题,进异步提供了容灾系统的可靠性。
三、数据安全、应急备份及恢复策略
3.1存储级别RAID配置说明
从目前主流的磁盘控制技术来看,主要的RAID技术有RAID0、RAID1、RAID5、RAID0+1、RAID DP以及热备援HotSpare技术。
随着硬盘价格的不断下降,越来越多的系统中都采用了安全性最高、性能优良的RAID0+1技术,而HotSpare技术对于大型关键业务系统来说,基本上也已经成为一种必备的措施。
所以,在贵医院的系统集成规划中,我们建议在存储柜上采用RAID5+HotSpare技术来保护您的数据,在服务器上采用Raid0+1保护您的业务系统。
|名称 |基本定义 |描述 |
|RAID 0 |条带集 |多块同样容量的硬盘做条带化,形成一块大的逻辑硬盘,硬盘利用率100%,读写性能最优 |
| | |,不安全 |
|RAID 1 |两块硬盘镜像 |两块同样容量的硬盘同步镜像,硬盘利用率50%,最安全,读写性能较高 |
|RAID 5 |带奇偶校验的条带集 |多块同样容量的硬盘做条带化,利用一块硬盘做奇偶校验,提高安全性,硬盘利用率(N-1)|
| | |/N,安全性较高,读性能较高,写性能较低 |
|RAID 0+1 |多块硬盘镜像 |偶数块同样容量的硬盘同步镜像,硬盘利用率50%,最安全,读写性能较高 |
|RAID DP |双奇偶校验的条带集 |在RAID 5的基础上增加一层奇偶校验,更高的安全性,读性能较高,写性能更低 |
|HotSpare |热备援 |当RAID组中的某一块硬盘发生故障时,提供数据重建的冗余硬盘,主要目的是缩短RAID组 |
| | |数据高危期 |
表1:RAID相关技术比较表
其中的RAID DP技术适合于存储容量要求很大的业务。
3.2数据库应急备份恢复服务器(规划建议)
系统数据库存放于磁盘柜中,虽然我们的系统作了双机热备,但并不代表我们的数据安全就高枕无忧了。从系统图中我们可以看出,磁盘柜是系统的单点故障,如果磁盘柜出现故障,诸如:
机械损坏,各种部件(包括磁盘)都存在物理的,机械的故障可能性。
电源故障,指一般的UPS无法保护的异常电源故障。
自然灾害,地震、水灾,火灾或其他原因造成的严重故障。
错误使用,客户应用程序以及服务程序使用中的中途故障。
恶意破坏,在一个系统中也不排除一些恶意破坏者。
由此而导致的磁盘柜不可用或短期内不可恢复都将造成重大损失。因此我们建议配置一台备份服务器,并使用数据库自带的备份功能把数据备份到备份服务器硬盘,同时该服务器建议摆放在另外一栋楼内,比如门诊楼机房,这样可以达到一定的园区容灾效果。当盘柜损坏时我们可以把备份的数据恢复到群集备节点服务器本地硬盘上单机运行,这样可迅速恢复系统运行。
如下图:
[pic]
3.3数据库数据备份与恢复策略设置
3.3.1备份介质和备份策略的选择
建议采用具有FC接口的虚拟带库等高速备份设备实现数据的近线备份或联机恢复等应用,可以充分利用现有SAN的存储架构,实现Lan-free的策略。
信息系统面临着各种威胁带来的数据丢失和应用停机。网络安全防护措施可以有效地遏制病毒、黑客带来的风险,但是就像我们平时防范再好,仍然会生病一样,信息安全防范也需要在多个层次上实施。 更何况人为失误、硬件故障、自然灾难等有时是难以杜绝的。因此我们需要有一套恢复机制,保证即使系统遭到了破坏,仍然可以恢复。
信息系统的核心其实是数据,因为操作系统、软件等破坏了都可以重新安装,但数据丢了是找不回来的。因此只要将数据留有拷贝或叫留有备份,就能够恢复整个应用。
另外HIS系统的数据除了关系到医院自身的经济核算之外,还将用于行业审计、医患纠纷,因此数据的丢失是不能忍受的。
很多医院采用人工来做数据备份,或依靠应用软件自身完成备份。尽管在信息化初级阶段数据量很小的情况下还能应付,但是这种方式很难保证备份数据的正确性,也保证不了在需要的时候是否能够恢复,即使能恢复,又需要多长时间?而且数据拷贝分散保存,对人的依赖性太强。况且随着应用的增加和数据量的增长,手工根本不可能去处理。
医疗信息系统需要建立专业的数据备份和恢复系统。
医疗信息系统的特点是,HIS系统的数据量不大,但是极其重要,出问题后需要快速恢复;CIS不仅数据量大,而且重要,会要求备份系统的高性能。主机平台一般是UNIX和Windows, 数据库有Oracle、SQL等。应用系统是不断开发上线运行的,所以要求备份系统的扩展性。
Symantec的数据备份管理软件Netbackup是业界领先的解决方案,全球市场占有率第一,在国内拥有大量的客户群,有一支技术过硬的技术支持工程师,满足数据备份系统的设计原则,应该是医院信息系统的理想选择。采用NetBackup建立的医院信息系统数据备份和恢复系统的部署结构图如下:
[pic]
医院信息系统备份与恢复结构图
逻辑上,NetBackup由备份管理服务器、备份介质服务器和备份客户端组成。管理服务器管理整个系统的备份策略、备份记录,提供GUI给管理员使用;备份介质服务器直接存取备份存储设备(带库或磁盘),并负责将需要备份的数据传送到合适的磁带或磁盘上,还负责恢复时将磁带或磁盘中的数据回送到需要恢复的客户端上;备份客户端安装在每个需要作数据备份的应用服务器上,如图中的各个业务机器。
三个功能模块可以部署在一台机器上,也可以安装到不同的机器上。这里备份管理服务器和备份介质服务器由一台服务器负责,统称为备份服务器。
备份管理员通过GUI制定每个应用系统的数据备份计划(也叫备份策略)。所谓备份策略就是指定每个需要备份的客户机上那些数据在什么时候备份、使用什么样的备份方法、备份到什么地方。例如HIS业务系统的数据最重要,设置成每天晚上8:00开始做备份;其他系统每两天做一次备份等。
备份策略设置好之后,备份服务器就会按照策略指定的时间去唤醒应用服务器上的备份客户端,于是备份客户端将指定文件或数据库的数据从磁盘上取出,通过网络传送给备份服务器,由备份服务器保存到备份设备上。如果备份服务器有需要备份的数据,它直接将其保存到备份设备上,不需要经过网络,备份性能更高。
备份设备既可以是磁带库也可以是磁盘。备份设备总是由备份服务器存取。允许多台备份服务器通过SAN共享一台备份设备。由于备份服务器自身的备份速度快,当多台应用服务器需要高性能备份时,可以将它们均部署成备份服务器。
备份设备的容量与需要备份的数据量和备份策略有关系。备份过程中要用到大量的存储介质,备份介质的保留周期的长短将决定所需购置和维护的介质量。目前的备份策略都是基于多磁带轮换制,即保存有过时数据的介质可重新覆盖使用,轮换频率可根据备份类型和备份的窗口来确定。
当需要恢复某个应用的数据时,可以透过备份服务器上的GUI查找指定数据的位置,申请备份服务器将备份设备中的数据取出来,并通过网络传送到相应的应用服务器上. 如果是备份服务器上的应用需要恢复数据,它就将数据直接恢复到相应的目录下。
NetBackup不仅完成数据的备份和恢复,还支持操作系统的备份和快速恢复。NetBackup可以周期性地将操作系统环境(包括应用软件代码及配置)等完整的影像备份到服务器上,一旦应用系统遭到破坏,需要重新部署时,可以采用备份的影像在几分钟内将裸机恢复到备份点时的状态。
因此这套备份系统可以让你按照你的意愿设计备份策略,将所有数据做周期性的备份,以便任何情况下都能够快速、完整地恢复数据。
需要的时候,可以将备份介质传送到远程(容灾中心)保存,以最低的成本预防火灾等灾难造成的数据丢失。
将来随着应用的深入发展,数据量的不断增加,备份的性能会越来越重要。NetBackup有多种方法解决性能问题:
(1) 改变成LANFree的备份架构,让每台服务器自己将数据通过SAN传送到磁带库中。
(2) 利用磁盘技术提高数据传送速度,包括磁盘缓冲、合成备份、虚拟磁带库等
(3) 增加安装NetBackup的高级选件如块级增量备份、闪备份、ServerFree备份等。
3.3.2 存储管理建议
随着医院信息系统的发展,越来越多的应用系统投入运行。他们是由多套存储支撑的多套服务器运行着多个应用系统:如 HIS、PACS、RIS、LIS系统,虽然这些系统的数据密切相关,但是如果不有效的进行存储设计,容易形成信息孤岛。
当直接向病人提供诊疗决策的一线临床医生要求通过数字化来将各个检查科室的病人检查信息集成在自己面前时,你会发现,同一个病人的检查信息分散存储在不同应 用系统的不同存储器中。因此产生了集成需求,目前的主流集成方案是在 HIS 医生工作站上让临床医生能浏览病人在各个检查科室产生的检查数据。
目前由于国内还没有医疗信息标准,很多医院采用各种技术手段如对照表、消息中间件、数据格式适配引擎等把各个检查子系统与HIS连接起来,实现病人各种检查信息在临床医生处的浏览集成。但是未来会走向标准化,降低集成的难度。
无论如何都有一个最烦恼的问题:病人数据的存储是为了日后的调取使用,但它们都分散在许多子系统的存储器中,当医院日常工作越来越多地转移到电子平台上而日益依赖于电子平台的可靠性时,如何进一步提高这么多服务器和存储器的可靠性来保证病人数据的不丢失?又采取什么措施让医院在经济性上能承受?
未来区域医疗信息系统建设需要将PACS、HIS等系统数据实时地共享出去,建立区域医疗信息库,用于政府医疗卫生决策、医学科学研究、公众健康服务等。我们是否现在需要考虑?
这里我们举一个盖大楼的例子,十年前的设计一定会包括水、电、汽、电视、电话等基础设施,但是几乎没有考虑INTERNET、有线电视的部署。可是过了不久,就需要改建部署这些设施,不仅成本更高,布线还不好看,用户不满意,租金也比新的具备这些设施的大楼低。
同样,今天医疗信息系统的发展趋势决定了存储管理部署一定会在未来发挥作用,避免将来的重复投资和各种瓶颈。
首先集中存储是存储管理的第一步,而SAN是实现集中存储的首选技术,它具有如下特点:
将存储从服务器分离出来,从而提高了服务器的弹性
支持更大型更灵活的集群
共享存储资源
存储(和服务器)整合
更快速(独立于LAN)的备份与恢复
更高的系统I/O性能
简化管理
降低总投资成本(TCO)
利用SAN的网络连接功能,可以实现所有的应用系统访问一个存储器,让所有子系统的数据都存放到一个存储器中,只要管理这一个存储就行了。但是这是不现实的,因为客户会从异构环境降低成本、获得高投资回报。这就要求有一种技术手段来整合这些存储,达到高可靠性的目的。这就是存储虚拟化技术。
存储虚拟化目前在存储阵列、SAN和主机层面上都有实现,也就是说存储环境中每一物理层都在尽力为应用提供高性能、高可用性、低成本和可管理性。但是异构环境的存储虚拟化解决方案当属Symantec的统一存储管理方案Storage Foundaion.
Storage Foundation的核心是逻辑卷管理器VERITAS Volume Manager(简称VVM),VVM一直OEM给Sun 和HP,许多关键的Sun Solaris和HP UX环境都使用它完成存储管理,提供存储虚拟化功能。VVM的介质盘也捆绑在IBM的AIX操作系统光盘包里,微软2000和2003 Server中采用VVM的简化版作为磁盘管理工具。
在异构的关键业务系统里,同时采用阵列厂家和软件厂家的存储管理方案互为补充,提供更好的可用性。一般普通的RAID技术由阵列自身完成,运行在服务器上的存储管理软件Storage Foundation完成如下功能:
多路经管理(DMP),在存储和服务器之间建立多条数据路径。以便当运行路径出错时,另一条可用路径立即自动接管I/O,为用户提供虚拟地不中断存取。 DMP通过将I/O分布到多条路径上,还可以提高I/O性能。在Windows环境中DPM基于微软的MPIO框架,是WHQL Logo认证的。
Online monitoring and tuning — 管理员可以在线识别存储瓶颈,并将数据迁移到合适的存储位置。这可以实现在问题变得严重之前阻止它。 I/O活动的跟踪可以在系统级、卷级、逻辑磁盘级、或物理磁盘级。平均I/O活动按每个片(subdisk)计算;平均I/O达到90%的subdisk标记为潜在的“hot spot”,即热点盘。于是管理员可以将其数据迁移到另一个低I/O活动的区域,以减少I/O瓶颈。VERITAS Storage Foundation减少了大量需要猜测和专家评估的优化工作量。
Domain-wide storage configuration — 在中央集中控制台上管理整个WINDOWS域的存储。
Snapshots - VERITAS FlashSnap™, 是VSF的一个选项,允许创建数据时间点的快照,而对应用的性能影响极小。这种快照既可以在本机上使用,也可以安装到其它服务器上使用。本地磁盘快照提供数据误操作情况下的快速数据恢复。脱机快照可以完成资源密集型的处理,如测试、决策支持、备份等,以减轻生产机的压力。是未来区域医疗信息系统大量数据抽取的有效工具。VERITAS FlashSnap完全集成到微软的VSS结构中。
阵列间镜像 – VSF的镜像功能可以在任何型号的磁盘阵列间完成,利用这种功能可以将HIS系统的数据同时存放到多台存储上,以提可靠性。还可以将镜像的两个阵列放到远距离的位置,达到同城容灾,进一步提高可用性。
根据IDC的统计,数据中心通常的磁盘利用率为30%到60%,而经过存储整合,实现统一存储管理的数据中心,它的磁盘利用率将能够达到90%。也就是说,良好的存储管理软件能够给用户节省大量不必要的硬件开支,让管理员从繁重的存储管理中解脱出来,真正实现现代化数据中心的意义。
VERITAS Storage Foundation需要安装到每台应用服务器上,支持任何操作系统平台(UNIX、Windows、Linux)。提供超越存储虚拟化的功能,将为医疗信息系统减少管理成本,提高存储使用效率、提高可用性。与集群技术配合将有效地达到存储整合。
3.3.3 Symantec Veritas备份软件配置说明
一、主数据库数据备份/恢复软件(规划设计举例说明)
|A180498-000000 |Backup Exec 10d,Windows,Servers with Continuous Protection Server|2 |主备份模块 |
| |(CPS),v10.1,License | | |
|W180498-000112 |Backup Exec 10d,Windows,Servers with Continuous Protection Server|2 |服务选项 |
| |(CPS),v10.1 Basic Support, 1 Yr Regional Business Hours | | |
|A180638-000000 |Backup Exec 10d,Windows,Microsoft SQL Server Agent with Client |2 |SQL数据库备份代理 |
| |Access License and Continuous Protection Agent,v10.1,License | | |
|W180638-000112 |Backup Exec 10d,Windows,Microsoft SQL Server Agent with Client |2 |SQL代理模块服务选项 |
| |Access License and Continuous Protection Agent,v10.1 Basic | | |
| |Support, 1 Yr Regional Business Hours | | |
二、中间件服务器和AD域控服务器数据备份恢复软件
|A180588-000000 |Backup Exec 10d,Windows,Intelligent Disaster Recovery Option |1 |灾难恢复软件 |
| |Unlimited Clients,v10.1,License | | |
|W180588-000112 |Backup Exec 10d,Windows,Intelligent Disaster Recovery Option |1 |服务选项 |
| |Unlimited Clients,v10.1 Basic Support, 1 Yr Regional Business | | |
| |Hours | | |
|A180528-000000 |Backup Exec 10d,Windows,Advanced Open File Option with Client |7 |打开文件备份代理 |
| |Access License and Continuous Protection Agent,v10.1,License | | |
|W180528-000112 |Backup Exec 10d,Windows,Advanced Open File Option with Client |7 |服务选项 |
| |Access License and Continuous Protection Agent,v10.1 Basic | | |
| |Support, 1 Yr Regional Business Hours | | |
三、SAN环境支持(Lan-free)软件(选项,建议使用FC备份技术后可采用)
|A180668-000000 |Backup Exec 10d,Windows,SAN Shared Storage Option,v10.1,License |2 |SAN环境备份 |
|W180668-000112 |Backup Exec 10d,Windows,SAN Shared Storage Option,v10.1 Basic |2 |服务选项 |
| |Support, 1 Yr Regional Business Hours | | |
3.4系统安全解决方案
随着计算机网络的广泛使用和网络之间信息传输量的急剧增长,一些机构和部门在得益于网络加快业务运作的同时,其上网的数据也遭到了不同程度的破坏,或被删除或被复制或被篡改和窃取,数据的安全性和自身的利益受到了严重的威胁。
无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。攻击者可以窃听网络上的信息,窃取用户的口令、数据库的信息;还可以篡改数据库内容,伪造用户身份,否认自己的签名。更有甚者,攻击者可以删除数据库内容,摧毁网络节点,释放计算机病毒等等。
黑客的威胁见诸报道的已经屡见不鲜,象以前的中美黑客大战就曾轰动一时。
内部工作人员的不小心甚至充当间谍,据统计分析,80%的安全问题来自于单位内部。内部工作人员能较多地接触内部信息,工作中的任何有意行为或者不小心都可能给信息安全带来危险。这些都使信息安全问题越来越复杂。
竞争对手的非法入侵。现在社会竞争越来越激烈,竞争对手通过网络非法访问对方内部信息的事件也屡见不鲜。
计算机网络必须有足够强的安全措施。无论是在局域网还是在对互联网连接中,网络的安全措施都应能全方位地应付各种不同的安全威胁和系统脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
为了便于分析网络安全分析和设计网络安全解决方案,我们采取对网络分层的方法,并且在每个层面上进行细致的分析,根据风险分析的结果设计出符合具体实际的、可行的网络安全整体解决方案。
从网络、系统和应用出发,网络的安全因素可以划分到如下的五个安全层中,即物理层、网络层、系统层、应用层和安全管理。
3.4.1安全层次划分
1:物理层安全
物理安全主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。它是整个网络系统安全的前提。在网络安全考虑时,首先要考虑物理安全。例如:设备被盗、被毁坏;设备老化、意外故障;计算机系统通过无线电辐射泄露秘密信息等。除此之外,在一些特殊机密的网络应用中,由于专用网络涉及业务网核心机密与管理网普同机密两个不同的密级,因此在方案中可利用“物理隔离”技术,将两个网络从物理上隔断而保证逻辑上连通实现所谓的“信息摆渡”。
2网络层安全
1、网络传送安全
重要业务数据泄漏:由于在同级局域网和上下级网络数据传输线路之间存在被窃听的威胁,同时局域网络内部也存在着内部攻击行为,其中包括登录通行字和一些敏感信息,可能被侵袭者搭线窃取和篡改,造成泄密。
重要数据被破坏:由于目前尚无安全的数据库及个人终端安全保护措施,还不能抵御来自网络上的各种对数据库及个人终端的攻击。同时一旦不法分子针对网上传输数据做出伪造、删除、窃取、窜改等攻击,都将造成十分严重的影响和损失。存储数据对于网络系统来说极为重要,如果由于通信线路的质量原因或者人为的恶意篡改,都将导致难以想象的后果,这也是网络犯罪的最大特征。
2、网络服务安全
由于企业网可能处于一个较为开放的网络环境中,而且中间业务委托方的网络很可能与INTERNET网络进行互连,所以中间业务网络环境的复杂性和开放性成为中间业务网络系统潜在威胁的最大来源。
此外,许多网络提供与INTERNET连接的服务,并且内部用户也有上网需求,但现有的网络安全防范措施还很薄弱,存在的安全风险主要有:
入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。
入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网的重要信息。
入侵者通过发送大量PING包对内部网中重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。
网络安全不仅来自外部网络,同样存在于内部网,而且来自内部的攻击更严重、更难防范。如果办公系统与业务系统没有采取相应安全措施,同样是内部网用户的个别员工可能访问到他本不该访问的信息。还可XX过可以访问的条件制造一些其它不安全因素(伪造、篡改数据等)。或者在别的用户关机后,盗用其IP进行非法操作,来隐瞒自已的身份。
网络系统中使用大量的网络设备,如交换机、路由器等。使得这些设备的自身安全性也会直接关系的系统和各种网络应用的正常运转。例如,路由设备存在路由信息泄漏、交换机和路由器设备配置风险等。
3应用层安全
网络应用系统中主要存在以下安全风险:业务网和办公网之间的非法访问;中间业务的安全;用户提交的业务信息被监听或修改;用户对成功提交的业务进行事后抵赖;由于网络对外提供网上WWW服务,因此存在外网非法用户对服务器攻击。
1、与INTERNET连接带来的安全隐患
为满足企业网内部用户上网需求,网络与INETRNET直接连接,这样网络结构信息极易为攻击者所利用,有人可能在未经授权的情况下非法访问企业内部网络,窃取信息同时由于二者之间尚无专门的安全防护措施,服务器主机所提供的网络服务也极易被攻击者所利用,发动进一步攻击。即使采用代理服务器进行网络隔离,一旦代理服务器失控,内部网络将直接暴露在INTERNET上,如果企业开通网上服务,内部部分业务系统还需要向公众开放,面临网络黑客攻击的威胁更大。
2、身份认证漏洞
服务系统登录和主机登录使用的是静态口令,口令在一定时间内是不变的,且在数据库中有存储记录,可重复使用。这样非法用户通过网络窃听,非法数据库访问,穷举攻击,重放攻击等手段很容易得到这种静态口令,然后,利用口令,可对资源非法访问和越权操作。
3、高速局域网服务器群安全
企业网络内部部署了众多的网络设备、服务器,保护这些设备的正常运行,维护主要业务系统的安全,是网络的基本安全需求。对于各种各样的网络攻击,如何在提供灵活且高效的网络通讯及信息服务的同时,抵御和发现网络攻击,并且提供跟踪攻击的手段,是一项需要解决的问题。
与普通网络应用不同的是,业务系统服务器是网络应用的核心。对于业务系统服务器应该具有最高的网络安全措施。业务系统服务器面临以下安全问题:
(1)对业务服务器的非授权访问
(2)对业务服务器的攻击
(3)业务服务器的带宽要求
(4)业务系统服务器应保障:
访问控制,确保业务系统不被非法访问,业务系统资源不被其他应用非法占用。
数据安全,保证数据库软硬件系统的整体安全性和可靠性和数据传输的安全性。
入侵检测,对于试图破坏业务系统的恶意行为能够及时发现、记录和跟踪,提供非法攻击的犯罪证据。
来自网络内部其他系统的破坏,或误操作造成的安全隐患。
对业务服务器信息流应有相应的审计功能。
4、内部管理服务平台的安全分析
管理公用服务平台指由网络提供给网内客户的公共信息服务,公用服务平台有可能受到来自内部网络人员资源非法占用和做攻击性测试。
公用服务平台的安全要求:
(1) 访问控制。
(2) 服务器实时安全监控。
(3) 应用系统的通讯安全。
4系统层安全
系统级的安全风险分析主要针对专用网络采用的操作系统、数据库、及相关商用产品的安全漏洞和病毒威胁进行分析。专用网络通常采用的操作系统(主要为UNIX)本身在安全方面有一定考虑,但服务器、数据库的安全级别较低,存在一些安全隐患。
5管理层安全
再安全的网络设备离不开人的管理,再好的安全策略最终要靠人来实现,因此管理是整个网络安全中最为重要的一环,尤其是对于一个比较庞大和复杂的网络,更是如此。因此我们有必要认真的分析管理所带来的安全风险,并采取相应的安全措施。
当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。
3.4.2 操作系统层安全
操作系统安全也称主机安全,由于现代操作系统的代码庞大,从而不同程度上都存在一些安全漏洞。一些广泛应用的操作系统,如Unix,Window NT,其安全漏洞更是广为流传。另 一方面,系统管理员或使用人员对复杂的操作系统和其自身的安全机制了解不够,配置不当也会造成的安全隐患。
系统扫描技术
对操作系统这一层次需要功能全面、智能化的检测,以帮助网络管理员高效地完成定期检测和修复操作系统安全漏洞的工作。系统管理员要不断跟踪有关操作系统漏洞的发布,及时下载补丁来进行防范,同时要经常对关键数据和文件进行备份和妥善保存,随时留意系统文件的变化。
解决方案: ISS系统扫描器(System Scanner)
配置方法: System Scanner Console可以与Internet Scanner 安装在同一台笔记本上,也可以单独安装在一台NT工作站上。在系统中各重要服务器(网管工作站、数据采集工作站、计费服务器、系统托管服务器等)内安装System Scanner Agent。Console管理各个Agent。定期(时间间隔参照安全策略的要求)对重要服务器进行全面的操作系统安全评估。
ISS系统扫描器(System Scanner) 是基于主机的一种领先的安全评估系统。系统扫描器 通过对内部网络安全弱点的全面分析,协助企业进行安全风险管理。区别于静态的安全策略,系统扫描工具对主机进行预防潜在安全风险的设置。其中包括易猜出的密码,用户权限,文件系统访问权,服务器设置以及其它含有攻击隐患的可疑点。
该产品的时间策略是定时操作,扫描对象是操作系统。System Scanner包括引擎和控制台 两个部分。引擎必须分别装在被扫描的服务器内部,在一台集中的服务器上安装控制台。控制台集中对各引擎管理,引擎负责对各操作系统的文件、口令、帐户、组等的配置进行检查,并对操作系统中是否有黑客特征进行检测。其扫描结果同样可生成报告。并对不安全的文件属性生成可执行的修改脚本。
系统实时入侵探测技术
为了加强主机的安全,还应采用基于操作系统的入侵探测技术。系统入侵探测技术监控主机的系统事件,从中检测出攻击的可疑特征,并给与响应和处理。
解决方案:ISS网络入侵检测 RealSecure OS Sensor以及Server Sensor
配置方法:参见“监控和防御”。
ISS实时系统传感器 (RealSecure OS Sensor) 对计算机主机操作系统进行自 主地,实时 地攻击检测与响应。一旦发现对主机的入侵,RealSecure可以马上可以切断系统用户进程通信,和做出各种安全反应。
ISS实时系统传感器 (RealSecure OS Sensor)还具有伪装功能,可以将服务器不开放 的端口进行伪装,进一步迷惑可能的入侵者,提高系统的防护时间。
3.4.3数据库层安全
许多关键的业务系统运行在数据库平台上,如果数据库安全无法保证,其上的应用系统也会被非法访问或破坏。数据库安全隐患集中在:
• 系统认证:口令强度不够,过期帐号,登录攻击等。
• 系统授权:帐号权限,登录时间超时等。
• 系统完整性:Y2K兼容,特洛伊木马,审核配置,补丁和修正程序等。
解决方案:ISS 数据库扫描器(DataBase Scanner)
配置方法:Database Scanner可以与Internet Scanner 安装在同一台笔记本上,也可以单独安装在一台NT工作站上。定期对系统内的数据库服务器软件进行漏洞评估,并将软件生成的漏洞报告分发给数据库管理员,对数据库系统中的安全问题及时修复。扫描的时间间隔请参照安全策略的要求。
该产品可保护存储在数据库管理系统中的数据的安全。用户可通过该产品自动生成数据库服务器的安全策略,这是全面的企业安全管理的一个新的重要的领域。
ISS 数据库扫描器(DataBase Scanner)是世界上第一个也是目前唯一的一个针对数 据库管理系统风险评估的检测工具。
该产品可保护存储在数据库管理系统中的数据的安全。目前ISS是唯一提供数据库安全管理解决方案的厂商。用户可通过该产品自动生成数据库服务器的安全策略,这是全面的企业安全管理的一个新的重要的领域。
Database Scanner具有灵活的体系结构,允许客户定制数据库安全策略并强制实施,控制数 据库的安全。用户在统一网络环境可为不同数据库服务器制定相应的安全策略。一旦制定出安全策略,Database Scanner将全面考察数据库,对安全漏洞级别加以度量的控制,并持 续改善数据库的安全状况。
Database ScannerXX过网络快速、方便地扫描数据库,去检查数据库特有的安全漏洞,全 面评估所有的安全漏洞和认证、授权、完整性方面的问题。
Database Scanner漏洞检测的主要范围包括:
• 2000年问题--据环境并报告数据和过程中存在的2000年问题。
• 口令,登录和用户--口令长度,检查有登录权限的过去用户,检查用户名的信任度。
• 配置--否具有潜在破坏力的功能被允许,并建议是否需要修改配置,如回信,发信,直接修改,登录认证,一些系统启动时存储的过程,报警和预安排的任务, WEB任务,跟踪标识和不同的网络协议。
• 安装检查--要客户打补丁及补丁的热链接。
• 权限控制--些用户有权限得到存储的过程及何时用户能未授权存取Windows NT文件和数据资源。它还能检查“特洛伊木马”程序的存在。
3.5 服务器防病毒系统
3.5.1推荐安全产品--Trend Micro防病毒产品
[pic]
支持对网络、服务器和工作站的实时病毒监控:
3.5.2功能简介和部署范围
对于Internet类型的网络,包括Extranet和Intranet,趋势科技提供基于网关处的防毒产品:InterScan系列。产品都含有纯web方式的管理界面。
1. 因特网病毒防火墙 -- InterScan VirusWall:在网关处实时监控通过SMTP、HTTP和FTP 协议传输的信息内容,检查其是否存在病毒或恶意程序,并根据管理员的设定采取相关的处理方式,以保证通过网关出入企业的信息的安全性。支持对16种以上的压缩类型、压缩深度最多达20级的文件进行病毒扫描工作。支持的平台:Windows NT(2000)、Solaris、HP-UX、Linux。
2. 电子邮件安全管理 -- InterScan eManager:基于InterScan VirusWall NT版和Solaris版的 外加﹝Plug-in﹞的电子邮件管理工具,属于InterScan VirusWall的因特网安全﹝Internet Security﹞系列产品之一。eManager电子邮件安全管理软件可以过滤垃圾邮件及大量推销性质的电子邮件,并可扫描由内部使用者寄出的邮件内容,若有敏感性内容可就进行拦阻;此外也能够自定邮件传递时间,延迟递送较大的邮件、国际信件或其它自定规则范围内的邮件,避免在网络带宽使用高峰时段造成邮件阻塞。支持的平台:Windows NT(2000)。
3. 系统安全管理软件 -- InterScan WebManager:集web访问的管理限定和防病毒与一身。 除了对传入的web页面进行防毒之外,还可以对访问的内容及带宽进行管理。可弹性设定对14种不同类型的系统内容进行过滤。WebManager应用Cyber Patrol所开发出全球数 十万个系统的数据库,阻止内部使用者通过因特网进入色情或其它的不良系统。可依 据个人及部门的特殊需求,过滤不良系统和设定下载文件的大小限制。管理员可依每日、每周或每月,设定个人或部门对于Web下载文件的最大流量,从而控制网络的使用带宽。支持的平台:Windows NT(2000)。
4. 大规模邮件防毒--
• 对于企业内部的电子邮件和群件系统,如Lotus Notes和Microsoft Exchange,由 于企业内部用户间的通讯可能并不通过Internet网关,因此光靠在网关处防毒并不能控制病毒在企业内部的传播。趋势科技针对此类系统提供了相应的防毒产品:ScanMail系列。
• ScanMail系列在对邮件系统内的邮件和公用文件夹内的文件进行病防护的同时,还可以对含有敏感性内容的邮件进行隔离等处理,以保护企业内部信息流的安全。产品都含有纯web方式的管理界面。
• ScanMail支持对19种压缩类型、压缩深度最多达20级的文件进行病毒扫描工作。
• ScanMail fro Microsoft Exchange:真正支持微软建议的AVAPI接口,以获得更高的工作效率,减少对系统资源的占用。完全支持Exchange的群集技术。支持的平台:Windows NT(2000)。
• ScanMail for HP OpenMail
• 其它许多大规模的邮件服务器,例如: 的 Intermail 及 AsiaInfo 的 AIMC 和 Microsoft 的 MCIS及 Netscape 的 Message Server及 Sendmail 等
5. 防毒工作中央监控系统:TMSCS——Trend Virus Control System。为了让企业能对所有 的防毒产品和工作进行集中管理,趋势科技提供了产品TMSCS。上述的趋势科技的防毒软件产品都可集成TMSCS的客户端组件—TMSCS Agent。当企业安装了TMSCS系统后,即 可实现对上述产品的集中控制和管理。同时,TMSCS也可以显示出其他一些防毒软件产品的信息,以便让管理员统一监控。
TMSCS采用纯web的管理界面,管理员不论在何时何地,只需有Web浏览器即可实现整个企业的防毒管理工作。完善的日志记录和统计信息功能。支持弹出窗口、e-mail、寻呼机等报警方式。
能够在中心控制台上向多个目标系统分发新版杀毒软件:
防毒工作中央监控系统TMSCS提供统一而且自动的产品组件更新功能,通过它实现趋势科技所有防毒产品的扫描引擎及病毒码更新功能。
能够在中心控制台上对多个目标系统监视病毒防治情况:
防毒工作中央监控系统TMSCS使管理员通过浏览器即可实时监视趋势科技所有防毒产品的工作情况,以及病毒防治情况。由于采用了客户/服务器的时间驱动模式进行工作,因此有效的避免了对网络带宽的过多占用。
支持多种平台的病毒防范:
趋势科技是一家专注于企业安全的产品供应商,具有十分完善的产品系列,考虑了企业内从工作站到因特网网关,几乎所有需要防病毒的平台和网络连接点。
能够识别广泛的已知和未知病毒,包括宏病毒:
作为作早进入计算机防毒领域的厂商之一,趋势科技在防毒技术上始终保持着领先的优 势。早在1995年趋势科技即开发出了基于人工智能(Rule-based)的扫描引擎,采用陷阱 方式探测恶意程序可能出现的破环动作,以及探测出变形病毒的真面目,从而实现对未知病毒的拦截。经过不断地完善,目前的引擎中已设下了多达12道以上的陷阱,根据传统方式制作的各类新病毒根本逃不过被检测出的命运。1996年趋势科技又率先推出了自己的专利技术——MacroTrap™,解决了对已知或未知的宏病毒的探测问题。
支持对Internet/Intranet服务器的病毒防治,能够阻止恶意的Java 或Active X小程序的破 坏;
趋势科技的因特网网关病毒防护产品--InterScan系列,能够有效阻止恶意的Java、ActiveX 程序以及一些黑客程序通过因特网对企业进行的入侵。InterScan在网关处实时监控通过 SMTP、HTTP和FTP协议传输的信息内容,检查其是否存在病毒或恶意程序,并根据管理员的设定采取相关的处理方式,以保证通过网关出入企业的信息的安全性。
支持对电子邮件附件的病毒防治,包括WORD/EXCEL中的宏病毒:
趋势科技的产品系列中,InterScan、OfficeScan、ScanMail等都支持对电子邮件附件的病毒防护。趋势科技的扫描引擎中含有自己的专利技术—MacroTrap™,由于采用了人工智能的 陷阱技术,还可以检测出部分未知的宏病毒。
支持对压缩文件的病毒检测:
趋势科技的产品对压缩文件的扫毒支持是同类产品中最为完善的。其中的InterScan和ScanMail更是支持16种以上的压缩格式和20级的压缩深度。
支持广泛的病毒处理选项,如对染毒文件进行实时杀毒、移出、删除、重新命名等:
针对企业和个人用户的需要,趋势科技提供了灵活的处理选项。如对于网络防毒,一般提供:带警告通过(pass)、隔离转移(move or quarantine)、删除(delete)、清除病毒 (auto clean)等选项。其中对于auto clean方式,由于有些文件本身即是病毒或黑客程序, 或者带有不能随意删除的病毒类型,因此当选择auto clean方式时,将会针对不能清除 病毒的文件提供给用户额外的选项,其中又包括:pass, move, delete方式。
支持病毒隔离,当客户机试图上载一个染毒文件时,服务器可自动关闭对该工作站的连接:
趋势科技的产品都支持文件隔离方式,让管理员可以对染毒文件进行分析,或是发往趋势科技的支持中心以得到针对新型病毒的最新解药。考虑到应尽量简化企业的防毒管理工作,以降低TCO,趋势科技不主张采取关闭客户连接的做法。如果采用这种方式,企业将需要有专职的防病毒管理员来处理每次的连接中断,用户也会觉得十分麻烦。
提供对病毒特征信息和检测引擎的定期在线更新服务:
趋势科技的全线防毒产品都提供此类功能。其中大多数产品更是能自动通过因特网更新其病毒码、扫描引擎和产品升级包。通过使用TMSCS,所有的防毒产品更新工作都可从中央进行集中管理,并只需建立TMSCS和趋势科技间的Internet连接,而不需要各个产品各自去连接因特网。
支持日志记录功能:
趋势科技的全线产品都提供日志记录功能。通过使用TMSCS,所有的防毒产品的日志可以从单点进行管理和浏览,并可通过TMSCS得到企业所有防毒工作的各类统计信息和日志。
支持多种方式的告警功能(声音、图像、e-mail等):
趋势科技的全线产品都提供告警功能。通过使用TMSCS,对企业内所有的中毒情况都会有综合的报警提示,包括弹出窗口、e-mail和寻呼机报警。其中的ServerProtect更是提供 了包括:讯息信箱、寻呼机、打印机、Internet电子邮件、SNMP通知或写入到Windows NT事件日志的多种报警方式。
Interscan与FireWall的集成:
Trend Micro是OPSEC的成员之一,Interscan 透过CVP(Content Vectoring Protocal)的方式 与Check Point Firewall的整合,由Check Point在FireWall上的policy上可以设定http, ftp 及smtp是否经过扫毒,其例子如下:
1. LocalNet到任何一个系统或download或upload档案,全经过Interscan扫毒
2. MailServer到任何的SMTP Server的Outgoing的邮件,全经过Interscan扫毒
3. SMTP Server到任何的MailServer的Outgoing的邮件,全经过Interscan扫毒
解决方案
1) 因特网网关处防毒软件:Trend InterScan VirusWall for Unix/Linux or NT
i) 针对企业自身网络
(a) 其中包括的模块:E-Mail viruswall、Web viruswall、FTP viruswall、 TMSCS(Trend Virus Control System)agent。
(b) 作用:对从Internet上通过SMTP、HTTP、FTP标准协议传入的各类信息进行防毒处理。其中E-Mail viruswall还可对传出的信息进行防毒;FTP VirusWall还可用来保护内部的FTP服务器不受外部upload的信息的病毒侵扰(为实现该功能应将其安装在FTP服务器上或单独安装)。
(c) 安装建议:原则上在出现防火墙的网关处都应该部署VirusWall。InterScan VirusWall产品包中内含两个版本--标准版和CVP版。其中CVP 版是 专门针对与采用CVP协议的防火墙进行集成设置而设计的,InterScan完全遵从OPSEC规范(TREND公司是OPSEC联盟的成员之一)。如果企业部署的防火墙采用了CVP协议,建议使用InterScan的CVP版本。这样部署InterScan会更简便,并且能够更好地与防火墙协同工作。
(d) 购买使用许可证方式:按照子网内的客户工作站台数计算用户数量,按用户数计算总价格。
ii) 针对Internet接入的虚拟主机服务
(a) 如果虚拟主机放置于单独的子网内,电信企业可以考虑是否需要为其提供防毒服务。如果需要提供该服务,则应采用同上述类似的方式为该子网安装独立的InterScan VirusWall。
iii) 针对Internet接入的主机托管服务
(a) 由于各个客户的服务器单独放置,电信企业可以考虑为需要防毒的客户提供服务。原则上应把需要防毒的客户和不需要防毒的客户分在两个不同的子网内,对需要防毒的客户子网安装InterScan VirusWall。电信企业可以将其做为增值服务向客户收费或免费提供。采用此种方式时,产品购买方式可与软件销售商进行商榷而定。
iv) 如果客户考虑Dedicated Server的模式,Trend公司可以为客户与软件产品一起提 供硬件平台。软硬件由Trend公司或集成商进行整体维护。
2) 企业内部网络防毒软件:Trend ServerProtect,Trend OfficeScan
i) ServerProtect for NT and NetWare
a) ServerProtect安装时分为三部分:普通服务器模块、信息分发服务器模块、管理控制台模块。
b) ServerProtect应安装在所有的NT和NetWare服务器上,其中的一台将做为信息分发服务器(Information Server),由它对所有服务器上的ServerProtect进行管理和控制。
c) 管理控制台模块可安装在win95/98/NT上,管理员可以在安装有控制台模块的机器上对整个ServerProtect系统进行中央管理。
ii) OfficeScan
d) OfficeScan是单机产品的企业版软件,整个软件只需安装在一台NT服务器上,客户机上的防毒模块可以自动地、透明地分发到各个客户机上,包括win3.x、win95/98、winNT/2000等平台的机器。所有客户机的防毒工作由服务器管理,管理员籍此可以实现对所有客户机防毒工作的集中管理和配置。
3) 防毒软件中央控制系统:Trend Virus Control System—— TMSCS
i) 趋势科技的所有防毒产品都可以选装TMSCS的客户端代理模块,一旦企业安装了TMSCS系统,就可以实现不论何时何地都可以从某个WEB浏览器上对整个防毒系统进行管理和控制,为管理工作提供了极大的便利性。
四、数据交换的负载均衡设计
4.1为什么要选择负载均衡
随着Internet的普及以及电子商务、电子政务的发展,越来越多的应用系统需要面对更高的访问量和数据量。同时,企业对在线系统的依赖也越来越高,大量的关键应用需要系统有足够的在线率及高效率。这些要求使得单一的网络服务设备已经不能满足这些需要,由此需要引入服务器的负载平衡,实现客户端同时访问多台同时工作的服务器,一则避免服务器的单点故障,再则提高在线系统的服务处理能力。从业界环境来说,如下的应用需求更是负载均衡发展的推动力:
■ 业务系统、关键系统需要高可用性。
■ 应用服务的高负载能力需求。
■ 集群式服务系统的高可用性和高可靠性需要。
■ 应用系统大集中的需要。
■ 数据中心降低成本,提高效率。
4.2什么是负载均衡
负载均衡技术在现有网络结构之上提供了一种廉价、有效、透明的方法,来扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。它有两方面的含义:首先,大量的并发访问或数据流量分担到多台节点设备上分别处理,减少用户等待响应的时间;其次,单个重负载的运算分担到多台节点设备上做并行处理,每个节点设备处理结束后,将结果汇总,返回给用户,系统处理能力得到大幅度提高。
适用于Cisco Catalyst® 6500的思科(应用控制引擎模块(ACE)系列产品提供了最高水平的应用基础设施控制能力、应用性能、应用安全性和基础设施简洁性。
4.3利用思科6500应用负载均衡系统的设计说明
思科ACE系列产品具有应用和网络运行管理功能,可从新的层面控制用户在扩展企业内部署、运行、提供、保护和管理应用及业务服务的方式(图1)。思科ACE提供了更强大的应用基础设施控制,使企业能够快速部署和迁移应用,在为终端用户提供最高服务水平的同时,简化数据中心的总体管理和运营。凭借将最高的应用性能、应用安全和基础设施简化汇集于一身,思科ACE解决方案可以帮助企业降低总运营开支(OpEx)和投资开支(CapEx)。
图. 思科ACE模块
4.4 思科ACE(应用控制引擎)实现功能
[pic]
思科ACE提供的特性、功能和优势如下:
• 应用基础设施控制——虚拟分区实现了资源分段和隔离,使思科ACE可作为一个物理模块中的多个独立虚拟模块运行。凭借这个解决方案,企业能够利用一个思科ACE模块,为多达250个不同的企业机构、应用、或客户和合作伙伴提供事先定义的服务水平。虚拟分区使应用基础设施能更好地用于业务运营,同时减少设备并实现出色的控制。
另外,每个虚拟分区还包括分级管理域,既能确保应用的性能水平,又可使ACE模块中的可用资源得到最大限度的利用。
思科ACE为分散的管理提供集中的控制,从而为每个虚拟分区提供了基于模板的或可自定义的用户访问权限。基于角色的访问控制(RBAC)特性允许企业对管理角色进行定义,限定管理员对模块或虚拟分区内特定功能的使用权。由于一个机构中可能有多位管理员需要以不同级别(例如,应用管理、服务器管理、网络管理、安全管理等)与思科ACE模块互动,因此,对这些管理角色进行准确定义,使每个管理员群组都能够在不影响其他群组的情况下顺利地执行任务,无疑是一项重要工作。
凭借应用基础设施控制功能,思科ACE大幅提高了工作总量,使您能对应用需求作出快速响应。
图 . 思科ACE虚拟分区和RBAC
• 应用性能——思科ACE提供了业界最高水平的应用供应能力。每个思科ACE模块的吞吐率可高达16 Gbps,每秒支持345,000个持续连接,可以轻松地处理大量数据文件、多媒体应用和庞大的用户群体。ACE系列模块配备了“随增长,随投资”付费许可证,提供了最高16 Gbps的可扩展吞吐率,客户无需为扩充容量而全面升级系统。在设计上,ACE也为未来的增值服务和扩展功能预留了空间。实际上,通过在单一Cisco Catalyst 6500机箱中安装四个ACE模块,它提供了业界最高水平的可扩展性。
思科ACE还提供了多层冗余性、可用性和可扩展性,为您的关键业务提供最大限度的保护。它还是业内唯一提供三种高可用性模式的产品:
• 机箱间高可用性:一台Cisco Catalyst 6500中的ACE由对等Cisco Catalyst 6500中的ACE保护。
• 机箱内高可用性:Cisco Catalyst 6500中的一个ACE由同一Cisco Catalyst 6500中的另一个ACE保护(Cisco Catalyst 6500内置了强大的冗余性)。
• 分区之间高可用性:思科ACE支持在两个模块上配置的虚拟分区之间的高可用性,使特定分区能够在不影响模块中其他分区和应用的基础上执行故障切换。
所有这些可用性模式均通过复制连接状态和连接表,提供了快速的状态化应用冗余性。
• 应用安全——思科自防御网络提供了多个级别的防御功能,使客户可以高枕无忧。思科ACE与Cisco AVS 3100系列应用加速系统相结合,为应用安全提供了功能最全面的解决方案。
思科ACE可通过以下特性,保护数据中心和关键应用免受恶意流量的影响:
• HTTP深度包检测——HTTP报头、URL和净负荷
• 双向网络地址翻译(NAT)和端口地址翻译(PAT)
• 支持静态、动态和基于策略的NAT/PAT
• 访问控制列表(ACL)可选择地允许端口间的哪些流量通过
• TCP连接状态跟踪
• 用于UDP的虚拟连接状态
• 序列号随机生成
• TCP报头验证
• TCP窗口尺寸检查
• 在建立会话时检查单播反向路径转发(URPF)
集成硬件加速协议控制功能—在应用供应领域尚属首次面世,为许多常用数据中心协议,如HTTP、实时流协议(RTSP)、域名系统(DNS)、 FTP和互联网控制消息协议(ICMP),提供了有效的检测、过滤和修复功能。
拥有多达256,000个条目的大型可扩展ACL能够同时支持应用希望获得的前端可扩展性(用户/客户端应用数量)和后端可扩展性(服务器/服务器群数量)。此外,多达1,000,000个条目的高性能、可扩展NAT事件处理功能也支持许多大型数据中心的整合和应用更快速的面世。虚拟分区则可以使所有重叠的IP子网保持独立,无需为保护数据中心而进行费用高昂的网络重新设计、重新配置,或添加额外的设备。
思科ACE也支持对于协议符合性的检查,且可为安全分析提供事件记录和报告。
• 基础设施简化——第二至七层网络集成——作为Cisco Catalyst 6500机箱的一个模块,思科ACE可以轻松地插入任何新型或现有的网络,提供了一个第二至七层全面而丰富的解决方案(图3)。该解决方案支持多达1152个端口和高达720 Gbps的机箱吞吐率,可以轻松扩展,来满足最大型网络的要求,此外,该集成解决方案也节省了所占空间。利用路由状态注入 (RHI)和自动状态集成,可支持应用和数据中心高可用性,而ACE虚拟分区通过开启或关闭网络中的物理接口可强制进行故障切换。通过与Cisco Catalyst 6500多交换特性卡(MSFC)上的虚拟路由转发(VRF)相集成,可支持动态第三层路由虚拟化。
4.5思科应用控制引擎网络集成
[pic]
• 功能整合——通过在一台设备上整合内容交换、SSL加速、数据中心安全等功能,思科ACE获得了从bps到pps的性能显著提升,缩短了应用延迟。利用功能整合,TCP信息流只需终结一次,而无需在网络上的四个或四个以上的位置进行终结,既节省了时间,又减少了处理工作和内存占用。加密和解密、负载均衡决策、安全性检查和业务策略分配及验证均在网络中的单一地点完成,以较少的设备、简化的网络设计和更方便的管理,实现了更理想的应用性能。
• 思科应用网络管理器 (ANM)——思科ANM可对多个ACE模块上的虚拟分区和层次化管理域进行管理。这个基于服务器的管理套件能对多个ACE模块上的大量虚拟分区进行发现、配置、监控和报告,使部署完全透明化。基于模板的配置和审计与服务激活/中止功能相配合,可快速实施应用。通过匹配服务API,可配置任务的RBAC组,允许多位管理员群组在多个ACE模块和虚拟分区上同时进行操作。预计于2006年第三季度面世。
• SSL加速——思科ACE解决方案集成了SSL加速技术,可卸载外部设备(服务器、设备等)的SSL流量加密和解密工作,允许思科ACE对加密数据进行更深入的检查,并应用安全和内容交换策略。这一设置不仅使思科ACE可以作出更明智的策略决策,还可确保您的应用供应平台遵守内部和外部法规。利用重加密功能,思科ACE解决方案在确保敏感数据端到端加密的同时,还可执行智能策略。
• 事务处理可视性——凭借每秒处理350,000个系统日志的业界领先速度,思科ACE解决方案可记录大量连接设置和断接,它提供了事务处理级可视性,且不会影响数据传输性能。
• 适用于未来的解决方案——利用两个可现场升级的子卡插槽,思科ACE模块能支持未来的功能和更高可扩展性。这种灵活性确保了思科ACE解决方案在今后的若干年中,都可以随着需求的发展而扩展,无需实施全面的模块升级,且几乎或完全不会造成业务中断。
表1. 思科ACE的最高性能和配置总结
|特性 |最高性能/配置 |
|全局参数 |
|吞吐率 |16 Gbps*, 8 Gbps* 和4 Gbps |
|包/秒 |650万 |
|系统日志/秒 |350,000个 |
|全局配置 |
|总VLAN个数 (客户端/服务器) |4000个 |
|探测 |ICMP, TCP, UDP, Echo, Finger, DNS, Telnet, FTP, HTTP, HTTPS, SMTP, POP3, IMAP, |
| |RADIUS和Scripted |
|ACL条目 |最多256,000个访问控制条目 |
|虚拟分区 |250*, 5个虚拟分区包括在基本价格中 |
|内容交换性能 |
|最高连接数/秒 |可支持345,000个持续连接率 |
|并发连接 |400万 |
|内容交换配置 |
|虚拟服务器 |4,096 |
|服务器群 |16,000 |
|实际服务器 |16,000 |
* 需要购买升级许可证
表 2. 模块规格
|特性 |说明 |
|物理规格 |
|所需机箱插槽 |在机箱中占用一个插槽 |
|尺寸(H x W x D) |1.75 x 15.51 x 16.34 in. (44.45 x 394 x 415 mm) |
|重量 |11 lb (4.98 kg) |
|运行参数 |
|工作环境温度 |0-40°C (32-104°F) |
|非工作环境温度 |–40-70°C (–40-158°F) |
|工作相对湿度 |10-85% |
|非工作相对湿度 |5-95% |
|工作高度 |
|通过认证的工作高度 |0-2000 m (0-6500 ft) |
|设计和通过测试的工作高度 |–60-3000 m (–200-10000 ft) |
|辐射 |FCC Part 15 (CFR 47) Class A或B, ICES-003 Class A或B, EN55022 Class A或B, CISPR22 Class |
| |A或B, AS/NZS CISPR22 Class A或B, VCCI Class A或B, CISPR24, EN55024, EN50082-1, |
| |EN61000-3-2, |
| |EN61000-3-3, EN61000-6-1 |
|安全 |UL 60950, Can/CSA –C22.2 NO. 60950, EN 60950, IEC 60950, AS/NZS 60950 TS001 |
第五部分 XX医院增值服务应用系统设计规划
一、快速响应的医疗级网络解决方案
医院网络需要快速响应表现在:医护人员希望在全院随处可得患者的医疗信息和辅助诊断信息,物品跟踪需要随时掌握。这样,才能减少医疗差错,提高工作效率,提高患者满意度。
采用思科高性能的无线网络(WLAN)解决方案,可以实现快速响应,实时提供医护服务。网络接入灵活,随时随地就位;网络安全可靠,病人隐私和信息会得到很好的保护;医护工作流程也大大简化,生产力提高。
通过思科无线网络技术,可以利用PDA或平板无线电脑随时随地进行生命体征数据、医护数据的查询与录入,可实现医生查房、床边护理、呼叫通信、护理监控、药物配送和病人标识码识别、无线手机等等应用。
无线局域网技术在医疗信息化中的应用已经成为趋势,无线局域网领域目前最新的技术是集中式无线局域网解决方案,也称为(轻型)AP解决方案,它由无线网络控制器、无线接入点(AP)及天线、无线网络控制软件三部分构成。
集中式无线局域网解决方案避免了对每个AP进行独立管理和配置带来的管理上的复杂性,而是通过无线网络控制器实施统一管理和控制多个AP,并为无线接入提供安全策略、QoS策略、射频管理、无线终端移动管理功能。无线AP支持802.11g(54Mbps/27m)和802.11b(11Mbps/49m),可提供机载天线或扩展天线。无线网络控制系统软件(WCS)实施整个系统的可视化管理和控制。
通过无线网络控制器和无线网络控制软件对整个无线网络进行配置和管理,不需要分别对每个AP进行操作,大大简化了网络管理的复杂性。
思科无线局域网控制器还具有特定智能RF功能包括:
动态信道分配—802.11信道可根据不断变化的RF情况进行调整,以优化网络覆盖范围和性能。
干扰检测和避免—该系统可检测干扰并重新调整网络,以避免性能问题。
负载均衡—此系统对多个接入点提供了自动的用户负载均衡,即使负载量很大,也能获得最优网络性能。
覆盖盲区检测和修复—无线资源管理(RMM)软件可发现覆盖盲区,并尝试通过调整接入点的功率输出来修复它们。
动态功率控制—该系统可动态调整各接入点的功率输出,来适应不断变化的网络情况,以确保达到预期的无线性能和可靠性。
思科的无线解决方案具有严格的安全性。思科无线局域网控制器符合最严格的安全标准,包括:
802.11i Wi-Fi WPA2,WPA和有线等效加密(WEP)
802.1X,带多种可扩展验证协议(EAP)类型—受保护EAP (PEAP),带传输层安全的EAP(EAP-TLS),带隧道化TLS的EAP (EAP-TTLS)和思科LEAP
VPN终结—4100系列的可选模块,提供IP安全(IPSec)和第二层隧道协议(L2TP) VPN终结
因此,它堪称业界最全面的无线局域网安全解决方案。
在思科无线局域网架构中,接入点可作为无线监控器,向无线局域网控制器通报有关无线域的实时信息。经由思科WCS,可进行准确分析并采取校正措施,从而迅速识别所有安全威胁,并将其提交给网络管理员。
思科提供了唯一能同时进行无线保护和提供无线局域网服务的无线局域网系统。这有助于确保实现完整的无线局域网保护,无需花费重复的设备成本或购买额外的监控设备。思科无线局域网系统最初可作为独立无线入侵防御系统部署,再在稍后重新配置,添加无线局域网数据服务。这使网络管理员能环绕其RF域创建一个“防御屏障”, 抑制未授权无线活动,直至他们作好部署无线局域网服务的准备为止。
思科通过提供以下多个保护层来实现无线局域网安全:
RF安全—检测和避免802.11干扰和消除不必要的RF传播
无线局域网入侵防御和定位—思科无线局域网系统不仅可发现恶意设备或潜在的无线威胁,而且能对这些设备定位。这使系统管理员能快速评估威胁级别,立即按需采取措施来抵御威胁。
基于身份的联网—IT人员必须在保护无线局域网的同时支持大量不同的用户访问权限、设备格式和应用要求。思科无线局域网系统使企业可为无线用户或用户组提供不同的安全策略。
这其中包括:
第二层安全功能—802.1x (PEAP, LEAP, TTLS), WPA, 802.11i (WPA2)和L2TP
第三层(和更高层次)的安全功能—IPSec, web验证
VLAN分配
访问控制列表(ACL)—IP限制、协议类型、端口和差分服务代码点(DSCP)数值
QoS—多个服务级别,带宽减少,流量整形和RF利用
验证、授权和记帐(AAA)/RADIUS—用户连接策略和权限管理
网络准入控制(NAC)—实施客户端配置和行为策略,以确保只有拥有适当安全工具的终端用户设备才能访问网络。
安全移动—在移动环境中保持最高安全水平。这包括随用户移动而移动的VPN,无需重新建立安全隧道。此外,思科已开发了主动密钥缓存(PKC),这是802.11i标准的扩展、802.11r标准的前身,可通过AES加密和RADIUS验证实现安全漫游。
访客隧道—为访客接入公司网络提供更高安全性。它可确保访客如不首先通过公司防火墙,就无法接入公司网络。
鉴于医疗设备存在着受到电磁干扰 (EMI) 的风险,中国医疗行业在无线设备对敏感性生命支持和其他医疗设备是否存在不良的干扰的问题上没有权威的测试和定论,缺乏权威性的中国医疗行业无线局域网布署规程,也没有对国外的相关标准进行认可,受中华人民共和国卫生部医院管理研究所和中国医院协会信息管理专业委员会的委托,由中日友好医院和思科系统(中国)网络技术有限公司联合组成了无线局域网对医疗设备潜在干扰测试研究项目组,该项目组对医院常见的对电磁干扰相对敏感的医疗设备进行了严格的无线局域网对医疗设备潜在干扰测试研究,测试研究结果表明:未发现无线局域网设备对已测试的医疗设备产生不良干扰。根据测试过程和结果,制定《医院无线局域网布署规程(草案)》,具体内容请参见附录。
思科无线设备已经通过美国和日本的医疗服务机构测试和大量的实践使用所证明,可以在医院里安全地布署。
案例:解放军总医院
解放军总医院以全球领先的互联网解决方案厂商思科的无线接入点AP为基础覆盖了6个病区,实现了移动医护服务。作为医院有线局域网的补充,无线局域网有效地克服了有线网络的弊端,利用PDA或平板无线电脑随时随地进行生命体征数据、医护数据的查询与录入,医生查房、床边护理、呼叫通信、护理监控、药物配送和病人标识码识别、无线手机应用等等。无线技术在医疗上的新应用,对于提高医护人员的工作效率,提高救治生命质量,推动数字化医院建设发挥着越来越重要的作用。
二、交互的的医疗级网络解决方案
医院网络的进一步目标,是充分运用方便的通信手段,提高患者满意度,提高医护人员的工作效率,有效地跨部门协作,实现远程医疗、远程会诊,提高诊断的正确性,同时,通信成本不能太高。
采用新一代思科IP统一通信解决方案,可以开发出一系列的医疗应用,帮助医院提高医患交互的能力,提高医疗服务质量并减少医疗差错。
2.1护士呼叫系统
护士紧缺的情况一直都存在,而且近期内不会有太大的改观,怎么办?医院只能加大现有人员的工作量,以保证为病人提供适当的护理。换言之,一名护士必须快速有效地同时为多名病人提供细致周到的个性化护理。这时候,护士呼叫系统就派上用场了。
护士呼叫系统看起来与其它手持设备非常相似,但功能要多得多。它几乎是医院内所有病人的统一移动连接点。利用它,来自病人的呼叫可以直接通过网络传输到医护人员的手持设备上。护士可以立即看到主叫病人,进行相应的处理,根据病情确定病人的优先服务顺序。如果需要,还可以直接与病人通话,而无需再奔回桌面查找纸面记录,也不需要再使用嘈杂的内部通信系统。另外,护士呼叫系统还可以减少错误警报引起的时间浪费。利用护士呼叫系统,护士完全可以根据病人的病情给予最适当的护理。
护士呼叫系统中的所有警报标准都可以根据医院的具体情况定制。不仅如此,医院的全部员工都可以使用同一系统上的同种手持电话,并说同一种语言,而不会发生混淆或重复。医院可以先为值班人员配备几部电话,也可以一次性地为所有人员配齐电话。
[pic]
那么,护士应使用什么电话呢?Cisco 7920 IP电话连接快速,耐磨损,而且能提供快速接入和一步功能。其宽屏背投显示器能够提供清晰地显示。不仅如此,思科网络安全协议还能保护连接的安全性,保证信息的私密性,使医院符合安全规定。
一天下来,护士呼叫系统能够为护士节省可观的时间,从而大大提高了护士的工作效率。医院则可以保证,所有人员都能够在需要的时候各就其位。
2.2临床信息交互系统
临床信息交互系统,是思科IP网络技术在医院的综合运用。临床信息交互系统包括护士呼叫、病人监控、基于位置的服务和协作医疗,能够将护士、医生和同事与病人、员工、数据和设备即时连接在一起,从而增强相互间的了解,实现真正的协作性工作流。
病人只需按一下按钮,医护人员就可以立即获知病人的需求,并按照轻重缓急作出相应的安排。医护人员不但可以了解病人的呼叫次序,还可以从医院的任意位置监控任何病房内的任何病人。无论设备隐藏在什么地方,都会在数秒之内“现身”。另外,医护人员还可以通过视频会议与世界上的任何专家建立联系,向其咨询治疗方案,或者请教其它问题。
思科临床信息交互系统在思科医疗级网络上运行。这种统一、简化的思科医疗基础网络能够利用有线或无线连接无缝、安全、即时地传输语音、数据和视频信息。该套件还可以简化网络管理,实现内部扩展,并降低总拥有成本。更重要的是,思科医疗级网络还兼容各种领先的医疗技术,因而几乎不需要添置新设备。
2.3病人监控系统
我们都知道,护士并不是超人,她们只有两只手和两只脚,在某个时刻只能出现在一个地方。但是,繁忙的工作却时时把她们当成超人使唤。随着医疗机构规模的继续扩大,护士们将需要在更短的时间内护理更多的病人,而且护理质量不能有丝毫下降。与此同时,护士还必须时刻保持自身的心智健全。幸运的是,她们现在可以使用病人监控系统。
利用病人监控系统,移动员工能够随时查看病人数据,并监控医院内的所有设备。只需按一下按钮,护士就可以在医院的任何地方用文字和图形格式快速查看任何病人的监护设备,浏览任何病人的发病史,并拨打电话询问检查结果,甚至能够制定病人警报标准。不仅如此,由于每次访问时,系统都能够对电子病历进行更新,因此,即使在护士换班时,病人也能得到一致的护理。所有资料都清晰、简洁,有利于护士提供快速、有效、统一的护理。
利用病人监控系统,护士不需要进入病房就可以预先了解每位病人的病情,因而可以根据病情的严重程度作出适当的反应。现在,护士不必再作飞来飞去的超人,只需要出现在最需要的地方即可。
2.4协作医疗系统
没有什么比病人的健康更重要了,这一点毫无疑问。但是,为病人提供基于真实数据的全面救治并非易事。很多管理系统无法彻底解决医护人员遇到的难题:交流不畅、误诊、错误的治疗等。有些方法能够指出潜在的问题,但又有多少方法能够提供有效的解决方案呢?协作医疗就是其中的一种。
协作医疗能够联合医院以外的救助力量。通过召开视频会议,医生可以立即与其它专家和同事取得联系,共同实施救治。有时候,救治工作甚至可以开始于在急救小组成立之前。如果病人不能去医院治疗,医生还可以利用安全的思科网络连接进行远程诊断。再加上即时翻译功能,即使病人和医生远隔千里,也不会遇到语言或文化障碍。
协作医疗引导了一种全新的全球统一的治疗模式。借助此项服务,所有医生都可以立即访问需要访问的人员和信息,使所有病人都能够得到100%的治疗。
(五) 医院应急指挥系统
通过思科IP视频会议系统,可以实现医疗过程和应急管理可视化。可视化的应用环境可以在网络上把医疗前线重点场所的现场状况,包括仪器仪表的测量变化结果、病人的身体状况、护理的实际过程和环境及时地传送到医院的各级管理及支持部门,让各部门及时了解现场及设备操作情况等,并可在事后重放分析事件发生过程,分析事故原因。当发生爆发性疫情时,可视化的环境让管理得以及时了解各科室人员就诊情况,可作为全局指挥的一个重要手段。
可视化的医院网络系统通过授权允许远程的相关安全保卫人员、救护队员、政府部门等同步获得同样的视频信息,保障安全。
2.5医院网络示教系统
通过IP视频系统,还可以建立医院网络示教系统。网络示教系统帮助医院把手术或治疗过程的所有情景,包括现场图像、医疗设备输出图像、医生语音等高质量信息同时在网络上传送,送达多个用户的桌面或会议室。示教系统的交互特性允许用户和医生之间进行直接的语音通讯。
网络示教系统适用多种场合,支持的设备包括B超机、胃窥镜、肠镜、鼻腔镜、耳镜、妇科镜、眼底镜、显微手术仪以及无影灯等。
通过网络示教系统可以建立集中的学习课室,进行集中教学或分组教学;可以将诊室的现场场景和医疗结果传送到课室,供学习使用;可以提供语音通道,让学生与操作医生进行通话;可以支持录像事后回放;同时可进行多组现场教学(相同或不同内容);可以保持诊室安静,减少对操作医生的影响。
案例:解放军总医院
解放军总医院采用思科IP通信解决方案,建成了全军第一个医院网络应急指挥系统。该系统将电话、视频和数据网络多网合一,在紧急状态下,是医院的应急指挥中心,可以随时随地召开多点电话会议、进行视频监控,便于及时全面掌握医疗前线紧急情况,紧急情况及时上报,指挥命令准确下达。在日常工作中,可以作为医院的通信和会议中心,提高工作效率, 降低运营成本。解放军总医院陈运奇主任说:“
[pic][pic]
[pic]
案例:中山市小揽医院
中山市小揽医院新建的医院楼全面部署思科统一通信解决方案,近1000门IP电话的应用规模,令小榄医院成为全国医疗系统第一家全面抛弃传统PBX交换机的医疗机构。
中山小榄医院部署的统一通信网络实现了数据、语音、视频和移动应用的融合,在病人享受到高效、便捷的医疗服务的同时,更为小榄医院提高医院管理水平,以及未来大规模应用各种医疗信息化解决方案,推动业务和管理创新提供了一套即满足当前应用需求又适合未来发展需要的网络基础。
在新的办公楼里,每个医生和护士都会有一个电话号码,不再是科室共用。通过IP电话可以很快地查询到医院每个员工的电话号码,那些经常需要出诊和查房的医护人员可以将医院内任何一台电话设置成自己的分机号码,随时随地保持联络。那些经常需要在医院住院部、门诊甚至全国四处出差的专家,无论身在省外还是国外,都可以使用电脑上配备的Soft phone(软电话)系统与医院大本营连接,讨论复杂的手术方案,无须担心通讯费用的开销。
院外的外聘专家,也可以利用医院为其配备的Soft phone系统并结合VPN实现免费的长途通信和视频会议,为小榄医院的病人进行远程医疗会诊,还可以通过网络系统共享病人的医学影像资料。
最重要的一点,无论从投资、维护、管理和未来升级的角度考虑,思科的IP电话系统都远比传统的PBX系统更为经济。在新建的小榄医院大楼中如果布设1000线PBX线路,仅网络布线就至少需要125万元,综合考虑电话程控交换机(PBX)、机房空间的成本投入,建设思科统一通信系统的直接经济效益就可节约百万元以上。此外,由于数据网、语音网合一,小榄医院不用聘请专门人员来维护电话设备,也为医院精简了人员。
总结:为什么选择思科
医疗卫生行业客户选型时主要考虑四个方面的因素:一是厂商的生命力;二是厂商在医疗卫生行业的成功案例和市场占有率;三是方案的总体拥有成本;四是售后支持服务能力。选择思科,就是一流的医院配备一流的网络和一流的服务。思科是事实上的互联网标准;思科公司专注于网络,并且是业界最具活力和长久生命力的公司;思科拥有最全面的网络产品线和端到端的完整解决方案,在所涉及领域均保持领先地位;思科每年的产品研发投入高达销售额的17%;思科能够提供7×24 小时的技术支持与服务;思科产品具有超强的扩展能力,为客户提供最高的投资保护;思科在各个市场的份额都遥遥领先。
还有非常重要的一点,那就是思科可以与医疗客户分享丰富的医疗信息化建设经验。通过与全球医疗客户及各行业客户的广泛合作,思科在互联网应用方面积累了非常丰富的经验,同时思科非常愿意与新老客户分享这些经验,从而推动行业发展和社会进步。总之,医院建设网络,如果要寻找理想的医院网络建设方案,答案只有一个,那就是思科。
三、思科统一通信(UC)系统解决方案
思科系统是全球领先的互联网设备和解决方案供应商,2005财政年度营业收入为248亿美元。根据 Synergy Research Group 2005年市场调查报告显示,思科系统已在全球企业通信市场处于领先地位。
现在,全球网络行业的领导者思科系统正在迈出重要的一步,全力进军下一代统一通信领域。思科系统正以其创新的解决方案和理念引领全球通信市场的发展方向,为用户带来全新的沟通体验!
思科统一通信 (Cisco Unified Communications)
统一通信是下一代商业通信的标准和目标,是各个通信厂商追求的目标和广大用户对更方便通信的希望。作为全球通信行业无可争辩的领先者和创新的实践者,思科率先实现并推出了基于领先技术的统一通信平台。
思科系统统一通信解决方案巧妙地将固定电话,移动电话,电子邮件,语音留言,即时信息,音频及视频会议等各种类型的通信手段融合集成,通过这种将多种通信工具、网络服务和移动设备整合为统一的用户体验,它以崭新的方式将员工、客户、合作伙伴等智能地联结在一起,不管在办公室,在家,还是在路上。从而帮助您改进业务流程,创新业务模式,提高生产效率,为您的企业建立起独有的竞争优势。
思科系统的创新技术和理念为企业通信提供了智能化的解决方案,使企业可以更加紧密地将通信和业务流程结合在一起,简化沟通的方法,远程和移动沟通将会变得与面对面交流一样高效和方便,实现了更高的协作效率、更快的决策速度和响应能力。
思科统一通信平台包括多个相互紧密关联的组成部分:基于SIP的IP语音通信平台(Call Manager);集成语音、视频和Web共享的会议系统(Meeting Place);将语音、传真、Email统一存储并发布的统一消息系统(Unity Messaging);通过单一的PC界面集中管理和使用多种通信手段的个人通信系统(Personal Communicator);可大幅度提高企业生产效率的多业务客户服务中心系统(Cisco IPCC);等等。
思科系统的统一通信理念和方案让更高效的通信成为可能。让思科帮助您了解怎样掌控您的通信和您的未来。这就是由思科支持的未来。这种趋势将改变一切。
思科统一通信的目标
有效沟通(Effective):简化沟通,让您在第一时间用最方便的工具沟通到您想找的人。
协同沟通(Collaborative):达成任何时间、任何地点、各种沟通工具间的整合,提升生产效率。
开放沟通(Open):基于标准的、安全的、智能化信息网络系统。(加思科统一通信图示)
3.1为什么推荐采用思科UC的解决方案
真正的市场领导者
理念和策略
作为统一通信市场的领导厂商,思科所做的不仅仅是提供通信系统与解决方案,而是以其创新的解决方案和理念引领全球通信市场的发展方向,集成当前各种类型的通信手段并对其进行有效地整合,将所有的通信方式都融合到一个统一的管理策略之中,通过更为简捷、高效的沟通方式,为用户带来全新的沟通体验!这也是思科有别于其他竞争厂商的重要体现。
实践与体验的领导者
思科不但是全球领先的设备和解决方案提供商,而且还是一个值得信赖的、希望与客户分享自己在最新通信技术与理念下实践经验、帮助客户实现业务、流程创新的合作伙伴。
思科在全球拥有众多的分支机构和数以万计的全球知识员工,能够实现如今这么有效的沟通协作,在很大程度上本身也是一个利用最新的通信技术实现有效沟通的获益者。放眼我们的竞争对手,还没有一家公司在整个公司自己的通信平台上是完整使用自己的产品(数据、语音、视频、会议、移动办公等等)。
市场表现
思科是当前统一通信市场的领导厂商。主要表现在:
1. 思科在统一通信领域的营业额在过去几年中表现出令世人瞩目的加速度增长。
a. 第一个100万部IP电话,思科起初用3年的时间实现销售
b. 第二个100万部IP电话,思科起初用1年的时间实现销售
c. 第三个100万部IP电话,思科起初用8个月的时间实现销售
d. 第四个100万部IP电话,思科起初用6个月的时间实现销售
e. 第五个100万部IP电话,思科起初用5个月的时间实现销售
f. 现在思科已经售出超过800万部IP电话设备,并且正以每天更换12000部传统电话的速度,帮助我们的客户实现他们的业务目标。
2. 在市场占有率方面,思科已经成为全球IP语音通信市场的绝对领导者了,排名世界500强的公司中60%以上的企业安装了思科电话,在多家市场调查公司给出的市场调查报告中,也可以清晰的看找这以点。
3. 思科近期发布的基于SONA体系结构的统一通信解决方案再一次以领先的理念、完整的产品线引领全球统一通信市场的发展方向,这其中包含了思科多年的研发结晶和对未来企业通信的高瞻远瞩。
业界唯一的全方案供应商
就统一通信而言,如果方案不全或产品无法彻底整合,就失去了其真正的含义。而思科是目前唯一能提供全套统一通信解决方案的厂商(从数据,安全等基础架构到语音、视频、文字交互等多媒体应用,乃至全套移动解决方案的整合)。并且,作为业界领导厂商,思科不但提供完全开放的平台,而且参与并主导许多国际通信标准及协议的制定。同时,思科全新的统一通信解决方案提供了全面的SIP协议支持,使得系统的开放性和扩展性提升到了全新高度。
真正为用户接受的通信系统
对于最终的使用者,希望获得的不是功能繁多但却难以操作的系统。思科统一通信解决方案充分体现了对最终使用者与管理者的帮助:系统的操作界面清晰明了,简单易用。在后台操作方面也实现了统一管理,不再是相互分离的子系统。因此,在使用思科统一通信解决方案时,客户可以真正体验到领先技术带来的便利,提高通信效率。
思科具有最广泛和最丰富的专业经验
1. 思科是IP通信领域经验最丰富的厂商--思科积累的十年IP语音和20年IP数据网络的丰富经验,事实上,业界也只有思科同时具备这两个必备的基础,这将意味着更高的成功率和出现部署问题的风险更低。
2. 每年思科花费33亿美金在统一通信产品研发上,这使得我们可以保持技术领先地位。
3. 实施和部署基于IP的统一通信系统完全不能等同于简单的安装单一的语音设备,有思科强大的后端网络做基础,统一通信变得更加可靠。再者,思科的统一通信应用与思科网络系统紧密配合,还能实现单一语音系统无法涉足的更为丰富的应用。
4. 思科是目前全球大部分电信运营商VOIP网络平台的提供者, 其中包括中国的大部分电信运营商, 因此思科有着其他公司无可比拟的大型VOIP网络的实施经验和最先进的IP语音技术。
思科对中国市场的承诺
思科是统一通信行业唯一在中国设有研发机构的厂商,思科完全根据基于本地客户的需求,提供有针对性的本地化产品应用和服务。同时,思科与其强大的合作伙伴和应用开发商,为不同规模的企业提供的一个整合的统一通信解决方案,包括网络基础设备,安全,网络管理产品,无限接入,产品生命周期性服务,并且拥有灵活的部署和外包管理选择,为最终用户以及合作伙伴提供的财务打包服务,以及第三方通信应用等。
思科统一通信当前市场状况:
截止2006年1月13日,思科已经售出7.5百多万部IP电话,占到整个市场的40%以上的比例,是其他竞争厂商的2-5 倍;已经售出98.5万个呼叫中心业务代表席位,4.8百多万个Unity统一消息用户,超过2300万个VoIP端口和超过4900万个以太网供电端口,65%以上的财富500强企业使用思科统一通信解决方案。现在思科以每天12000多部IP电话的速度替换传统的TDM电话。思科全球的统一通信企业客户超过3.7万个,其中拥有业界最大IP电话实施案例,美洲银行18万部,波音公司15万部,福特汽车7万部,欧洲金融巨人LIoyds TSB 7万部,IBM公司截止2007年底替换全球所有的990+ 套PBX系统为思科的IP电话,空中客车最近也开始在法国和英国开始部署4万多部思科IP电话。截止2004年底,实施思科IP电话数量超过1万部的客户数已超过60个,没有一个可靠的系统平台来实施这么大规模的项目是不可想象的。
思科致力于不断创新,在IP电话领域就拥有750多个专利,思科在IP电话领域创造了很多第一:
• 第一个在电话上支持XML应用
• 第一个提供馈线供电
• 第一个提供SRST
• 第一个提供自动E911
• 第一个提供自动QoS
• 第一个提供群集功能
• 第一个提供语音和数据VLAN
• 第一个可以扩展VoIP
• 第一个来自太空的通话
思科是荣获第三方机构所颁发的统一通信解决方案方面的奖项最多的厂商。
• 2005年5月,思科的ISR设备荣获美国《网络杂志》2005年创新奖,被称为是划时代的网络硬件产品;
• 2005年4月,思科的ISR设备由于其出色的语音安全、QoS服务质量功能和呼叫处理性能而荣获美国《计算机网络》2005年的年度产品;
• 2005年思科成为第一个通过美国国防部(DOD)最高级别的PBX1测试的统一通信厂商,PBX1的测试范围包括系统的安全、互操作性、可靠性以及稳定性等指标;
• 2005年思科荣获美国《客户交互解决方案杂志》的2005年IP联络中心技术先驱奖,思科的IPCC解决方案因其产品、服务以及创新能力被评为是呼叫中心技术中的“best of the best”。
• 2004年思科在业界权威机构Miercom组织的有3Com、Avaya、Cisco、Nortel、Siemens、ShoreTel、EADS参加的多媒体会议系统测试中,其MeetingPlace和视频语音产品VTA荣获最高奖项“最佳视频和协同”VoIP杀手级应用产品;
• 2004年5月,美国《网络世界》做了有史以来第一次针对IP电话安全性的公开测试,并且承担所有费用。《网络世界》与2005年2月与Miercom签订合同,由其3月份进行独立评估和统一、公平的测试。测试者制定了一套评估方案,组成了攻击小组,考察厂商的IP电话系统是否可以抵御恶意攻击。黑客可以使用互联网上的任何工具,对实际系统进行攻击,以试图中断或者影响语音系统,测试持续了三天时间。思科产品在测试中表现优异,达到最高等级,没有发现可供利用的漏洞,没有对语音质量造成任何不利影响。而其他厂商都存在安全漏洞。Miercom的工程师Randall Birdsall评价说,“迄今为止,我们没有看到任何一个VoIP解决方案的安全性可以超过思科的解决方案。”。Miercom总裁Ed Mier更是对思科的IP语音系统大加赞赏,“我们祝贺思科在IP电话对比测试中取得了显著的胜利。我们在测试中进行了全面的、严格的评估,而思科在几乎所有测试门类中都遥遥领先。”
• 思科的IP语音系统高端和中端产品荣获BCR的2004年度“最佳产品”称号。
• 思科的Call Manager Express(低端产品)荣获BCR 2004年度“最佳产品”称号。
• 思科的VT Advantage荣获CeBIT 2004年度Teletalk奖。
• Frost & Sullivan将2004年度的市场渗透领导者奖项颁给了思科 IPCC(IP联络中心),认为“思科证明了其在产品创新、市场和销售策略中的战略性的卓越才能,这导致了在过去的2-3年中思科在市场份额方面的巨大成功”。今天,思科已经是IP ACD市场排名第一的厂商。
• 思科荣获Gartner集团的2004年VOIP安全奖项。
• 思科包括IP语音在内的产品囊获了CRN 2004年度所有的渠道大奖,包括总体优胜者奖、特殊优胜者奖、技术标准优胜者奖和渠道标准优胜者奖。
• 思科的呼叫中心解决方案被评为《客户交互解决方案杂志》TMC 2004年度CRM卓越奖。
• 思科因“销售额、业务增长率、市场份额、客户成功率和客户满意度”等方面荣获美国《CRM杂志》2004年的 CTI服务领导奖。
• 。。。
思科是多项IEEE和IETF行业标准的主导者和实施者,如SIP、MGCP、H.323、多种VoIP和网关协议、基于VoIP的TTY、PoE等。其中,SIP是下一代网(NGN)的语音体系基础框架,电信运营商在此基础商提供集成语音的多媒体通信功能。在SIP方面,思科几乎主导和影响所有的RFC制定,思科目前主导29个RFC中的其中20个RFC编写工作,并且是SIP、SIPPING、IPTEL、ENUM、MIDCOM、BEHAVE等SIP工作组的主席。思科从2001年开始就提供SIP的产品,到现可以提供全套的SIP解决方案,包括SIP Proxy Server、SIP 网关及不同系列的SIP终端产品和应用(如统一消息和多媒体会议系统等)。
思科在统一通信领域的巨大成功、市场领先的产品、全面的技术支持与专业服务、思科IP语音渠道专业化认证和激励机制以及客户成功和满意的承诺,是XX医院IP语音系统成功实施的前提和保证。
3.2思科统一通信解决方案简介
思科® 统一通信是一个完整的企业级系统,以思科UC(话音、视频和集成式数据体系结构)为基础,能够将话音、视频及其它协作数据应用安全地集成到智能网络通信解决方案中。这个系统包括IP电话、统一通信、多媒体会议、IP视频广播和客户联络解决方案,它能够充分利用各机构的IP网络的功能、永续性和灵活性,增强“内部智能”,帮助各机构解决问题,执行事务处理,或者以更高的自动化水平完成任务。其目标是帮助各机构建立高度有效的协作型业务环境,显著改善公司与其员工、合作伙伴和客户的通信方式,实现与竞争对手的区别,并获得可观的ROI。
思科统一通信解决方案基于真正的融合型开放架构,能够利用集成式应用提高内部IP智能性。开放式体系结构能够增加各机构的自由选择权,因为它既不限制通信方式,也不降低网络的效率。思科统一通信解决方案不但能提高劳动力之间的协作性,还能降低管理多个站点和远程站点的成本和复杂性,满足苛刻的服务质量(QoS)要求,并在作为融合式网络的一部分进行部署时实现最高的可用性和安全性。同样重要的是,思科统一通信解决方案还能与原有的TDM系统和企业业务应用互操作,使企业既能快速实现全面的统一通信,还能保护现有技术投资。因此,采用统一通信的企业不但能提高劳动力协作水平,满足并超过客户预期,尽快获得网络融合的全部好处,还能在竞争中实现差别化,最终增加收入。利用统一的网络基础设施,统一通信解决方案不但能促进公司级协作,还能提高公司的竞争力,并实现可观的ROI。
思科统一通信解决方案能够为各机构提供以下优势:
• 由思科UC支持,能够与现有技术互操作的灵活的综合解决方案;
• 灵活的、可互操作的移植战略不但能帮助各公司选择可满足当前需求的统一通信解决方案,还能为加速IP部署提供顺利的途径;
• 为能够用全新的方式使用话音、视频数据和现有企业业务应用,以提高生产效率和客户忠诚度的新型综合应用奠定了坚实的基础;
• 可以测量并已经过验证的ROI投资回报;
• 能提供安全连接解决方案、威胁防御工具及信任和身份组件,为各层统一通信系统、思科SAFE蓝图和安全系统设计提供保护的独特的系统级安全方法;
• XX过对延迟、损失和抖动的紧密控制保证话音质量的QoS机制;
• 能提供网络管理、运作、排障、配置、错误监控和要素管理的网络管理产品。
思科统一通信能够通过思科IP电话、思科统一消息、思科多媒体会议、思科IP视频广播和思科客户联络解决方案帮助各企业获得新一代通信解决方案的好处。这些经济、有效、可靠的解决方案能够通过扩展满足各机构不断变化的需求。
思科IP电话解决方案的体系结构主要包括以下组件:
3.2.1通信端点
通信端点指桌面电话或者在PC上运行的软件电话应用。在IP环境中,每部电话都有以太网连接。IP电话不但拥有电话的所有功能,还提供其它特性,例如能接入Web站点,或者可以提高生产效率的应用。目前,只有思科才能提供真正完整的IP电话解决方案——安全可靠、界面友好、易于使用、功能强大而全面的新一代通信设备。
在思科IP电话网络中,用户还可以选择基于PC的电话——Cisco IP Communicator。远程使用Cisco IP Communicator时,用户不但可以随时随地地携带办公分机号,还可像在办公室一样使用所有电话服务和功能。系统管理员可以像管理其它思科IP电话那样管理Cisco IP Communicator,从而大大简化了IP电话的管理。
与传统的PBX系统不同,新电话的移动、添加和改动几乎可以立即完成。用户只需将IP电话带到新位置,将其插入到以太网插座中,电话就能自动完成Cisco CallManager注册。所有用户权限和设置都可以自动重新建立,而不需要技术人员的介入。另一个有用的特性是分机号的移动性,即用户可以登录到任何IP电话获取自己的电话号码和权限。
3.2.2呼叫处理
思科IP电话系统的核心是呼叫处理。无论是部署集中呼叫处理模式、分散模式还是两者的组合,思科IP电话解决方案都能满足各机构的需求。在集中部署模式中,Cisco CallManager将把企业电话特性和功能扩展到网络中的分组电话网设备,例如IP电话、媒体处理设备、IP话音(VoIP)网关和多媒体应用。其它话音、视频和数据服务,例如统一消息传送、多媒体会议、协作性客户交互网络和交互式多媒体响应系统,将通过Cisco CallManager的开放式电话API与IP电话解决方案交互。
如果中央Cisco CallManager集群还负责为分布式站点的用户执行呼叫处理,管理员可以使用为思科路由器开发的Cisco IOS® 软件映像Cisco Survivable Remote Site Telephony(SRST)提供连续的电话服务。如果WAN链路中断,路由器中的Cisco SRST将提供Cisco CallManager基本功能,直到链路恢复。
发生紧急情况时,Cisco Emergency Responder可以向911调度员说明呼救者的正确位置。在高度分散、集中管理的网络中,由于Cisco CallManager可能正在处理另一城市或另一州的用户的呼叫,因此,这个功能非常重要。
对于不需要由Cisco CallManager提供全部企业级特性的小型机构或“松散联合”的小型企业分支机构,可以利用Cisco CallManager Express提供的经济有效的解决方案满足员工数量低于100的站点的要求。由于Cisco CallManager Express嵌入于在思科多服务接入路由器上运行的Cisco IOS软件中,因此,小型机构可以简单轻松地部署融合式话音和数据解决方案。
Cisco CallManager和Cisco CallManager Express能够有效地相互操作,以满足网络上各机构不断变化的呼叫处理要求。
3.2.3IP电话应用
根据思科UC的定义,IP电话应用在物理上独立于呼叫处理和话音处理基础设施,而且可以驻留在网络的任意位置。统一的网络基础设施不但能为可以提高生产效率的各种应用提供开放式平台,还能为将继续促进企业通信发展的未来综合应用奠定坚实的基础。利用思科IP电话系列中基于像素的显示技术,纵向与横向的应用能够显示出IP在桌面上的强大功能。
3.3解决方案优点
根据XX医院IP语音系统将来应用的需求,XX提供了一个基于Cisco CallManager的集中呼叫处理的实施方案。
由于思科IP语音解决方案的弹性扩展体系,可以从较小的规模和应用逐步扩展到大型规模和复杂应用,所以为XX医院整个公司的IP语音系统提供了灵活快速的实施方案。思科IP语音系统集群技术和SRST本地语音再生功能的冗余部署方案也非常适合XX医院IP语音系统对高可靠性和高可用性的需求。思科IP语音解决方案在保证可靠性和稳定性的前提下,又不失其先进性。根据我们对该IP语音网络功能定位的分析,我们认为思科提供的解决方案是最合适的方案,并且还具有如下的优点和特点:
• 基于XX医院统一的网络实现数据、话音及视频等多种业务,大大降低通信费用,同时能够提供更多提高生产效率的新型应用。
• 既可采用全网集中式管理和呼叫控制,又可实施以二级机构为基础的基于用户权限的多级控制和管理。
• 解决了过去企业需要在多个地点实施电话系统时, 多PBX系统间互连互通成本高, 维护管理分散等诸多问题。
• 经大量客户实施验证的先进、成熟、稳定、可靠性,兼容多家厂商设备,保证今后系统投资成本以及与第三方语音通信系统或者第三方应用的快速集成。
• 端到端集成式安全、有服务质量保证的IP语音解决方案,提供更全面的技术支持和售后服务。
3.4XX医院语音系统需求分析
3.4.1系统设计原则
建设集成化话音和数据网络面临的挑战是如何使话音网络和数据网络之间的信令、路由、地址解析等相关因素在同一网络中协调运作;以及如何将延迟敏感的话音和延迟不敏感的数据业务相互交织于同一网络并确保语音和视频业务的安全性。XX医院语音网络及其上的增值通信服务建设应遵循以下的设计原则:
高可用性:系统的可靠性设备必须是全局的,既包括网络连接的冗余,又包括通信系统的冗余。所涉及的服务器应该采用高可靠性结构、容错结构或其它可靠性技术;通信系统软件自身能够提供99.999%的高可用性,能够无缝进行故障切换和恢复,不会因为单点故障而影响到语音的呼叫建立和连接。呼叫路由能够提供不同级别的备份路由。系统能够提供故障管理能力,保证各类被中断的数据传送的完整性和准确性。整个系统的设备平均无故障时间MTBF大于45000小时,系统呼叫处理故障率小于1 x 10-4,系统接收有效号码后选择差错概率小于1 x 10-5,系统由于故障造成已经建立的连接提前释放的概率小于1 x 10-5,系统由于故障造成应释放的连接不能释放的概率小于1 x 10-5;系统由于故障误送提示音差错概率小于1 x 10-5。
高可扩展性和兼容性:系统的设计不仅仅需要满足目前的容量和功能需求,必须考虑XX医院长期的战略规划,能够快速支持与现有语音通信系统的连接、设备的扩容和多种媒体协同通信功能。同时,系统平台应可以容纳未来新增的不同品牌的设备,并充分保证异种系统的互操作性,以适应系统规模扩展的需求和平滑升级。同时,语音系统应支持主流国际标准统一通信协议,如H.323、SIP等,并能够提供标准开放的接口,以保证今后新的媒体(Web、Email、PDA、IM等)应用的快速集成。
高可靠性和可管理性:出于企业管理和效益的考虑,建立方便、全面的通信网络管理对保证通信网络安全、高效的运行是非常重要的。系统必须易于使用,必须能够提供安全的远程Web登陆管理方式,以减少员工培训费用;同时,系统维护应尽量集中、简单,尽量避免复杂系统和多系统组合的维护开销,减轻维护人员的负担,提高网管和决策的效率。
全程全网服务质量保证:由于先进、交互式的关键业务应用与非关键业务的数据,带宽耗量高等应用及对延迟敏感的应用(如话音和视频)共享网络资源。而每种应用使用网络的方式各不相同,在网络中使用多种互不相同的应用,或网络中存在传输速率发生变化的合并点,所以必须有一定的QoS(服务质量)使业务流畅而平稳的传输,从而防止业务拥挤(拥塞)及由此产生的会话、图像丢失或故障。通过QoS,网络管理人员能够全面管理网络的带宽、延迟、抖动和包丢失等各种机制。所以IP话音和视频质量要有保证,但又不能因此影响XX医院业务系统的运行,要实现真正端到端的全程全网的QoS,来保证各种应用在网上的正常传输。
系统级的安全性:有效的安全控制必须是端到端进行部署,并涵盖园区语音网络中所有的部件、系统和链路。具体来说,安全性必须顾及到下列要素:网络基础设施(承载所有IP数据、语音和视频流量的基础网络;包括工作组交换机、路由器和连接的链路。)、呼叫处理系统(传统语音交换机、服务器和相关的设备,提供呼叫管理、控制和计费功能)、端点(模拟电话、IP电话、视频终端和其他用户设施)以及应用(用户端应用,例如多方会议、统一消息和XML服务,也包括扩展统一通信系统功能的客户化工具。)网络保护措施应该遵循三个基本原则:安全的连接和管理、威胁防御、管理信任关系和身份。
安全连接不仅包括负责传输语音的底层数据基础设施,有些特殊的规定还有助于提高语音的安全性。针对传输语音的IP网络的安全措施特别注重保护四种主要的语音系统设备:IP电话、呼叫管理器、语音信箱系统和语音网关。同样,在信任关系和身份管理以及威胁防御方面,也有专门针对语音的规定。例如,应用一些措施区分和隔离语音呼叫和数据通信,以保障IP电话的安全,防止闯入数据网络的病毒渗入语音平台,以及安排网络的语音和数据部分之间的连接。
统一延续的电话号码规划原则:根据XX医院统一通信系统的规模和范围,需要对IP电话号码进行统一的规划。为了方便理解和记忆,号码的规划要参考现有公网电话号码的编码规则,同时在号码规划时,还应要考虑到今后统一通信系统的扩展性如联络中心座席的编号和视频终端的编号等。
先进性和成熟性:采用通信领域的最新技术,保证系统在建成后一段时间内不会因技术落后而大规模调整,并能够通过升级保持系统的先进性,延长其生命周期,同时又要保证先进的技术是稳定的、成熟的,支持现有的多种业务功能。
3.5XX医院统一通信方案总体设计
基于前面章节的需求分析和系统设计原则,我们认为Cisco的CallManager 解决方案是最适合XX医院的统一通信系统。基于Cisco Unify Communication(统一通信体系结构)体系架构上的统一通信系统具有标准开放的体协结构、地理位置无关性、快速应用部署、高可用性和可扩展性、适合应用的语音和视频质量、较低的总体拥有成本和后续扩展成本等优势。
3.5.1核心通信网络网关的设计
Cisco 语音网关是IP语音与TDM语音通信的接口,它提供了PSTN的接入以及与传统TDM语音或者其他语音系统的连接。
Cisco 3845语音网关的配置采用MGCP的通信协议,MGCP是一种Master-Slave型协议,由CallManager控制所有会话的智能,并且可以通过CallManger管理界面进行MGCP网关的配置和管理。当主CallManager故障时,MGCP网关能够提供故障切换到第二个CallManager而保持呼叫不丢失。而当主CallManager恢复时,MGCP网关能够自动切换回与主CallManager的连接。
Cisco 3845网关也能支持H.323和SIP协议,可以适应今后电信NGN的技术发展以及与第三方系统的多协议互联。
3.5.2电话机的配置参考
IP话机从功能角度可以分成如下几种场合:
1. 7970彩屏触摸IP话机配合VTA用于高级经理桌面,提供桌面视频语音功能,并提供8个线路按键;
2. 7941 IP话机用于普通经理和IT管理人员桌面,提供2个线路按键;
3. 对于高层管理人员和经常移动的人员,建议除桌面IP话机外,配置IP Communicator软电话以提高更高的生产效率;
4. 普通员工配置7911 IP话机,用于日常通信;
5. 在话务台配置7961话机加上7914扩展模块,用于扩展线路按键,方便话务台转接和处理电话。
上述所有话机提供日常通信基本的语音功能,如主叫号码显示、主叫姓名显示、呼叫保持、呼叫转接、呼叫转移、呼叫暂存、代答、多方会议等功能。此外从7911开始的高端电话还提供丰富的基于XML的IP电话服务。
3.5.3传真的设计
基于IP的传真可以实现传统的模拟传真机与IP电话网络的互操作性。大部分Cisco语音网关目前都可以用以下两种方式在IP网络中传输传真流量:
← 传真中继(FAX Relay)——在传真中继模式下,网关可以端接T.30/T.38传真信号;
← 传真直通(Passthrough)——在传真直通模式下,网关不会将传真呼叫与语音呼叫区分开。
一般而言,有两种利用语音网关在IP网络上支持调制解调器进程的机制:
← 调制解调器直通
← 调制解调器中继
Cisco语音网关上既可以支持调制解调器直通又可以支持调制解调器中继机制。调制解调器直通指的是,利用经过脉冲编码调制(PCM)编码的分组和一个G.711编解码器,通过一个分组网络传输调制解调器信号。调制解调器直通需要网关能够区分调制解调器信号和语音信号,并采取相应的措施。当网关检测到调制解调器信号时,它会禁用下列服务:
• 回声消除 (EC)
• 语音活动检测(VAD)
在调制解调器直通模式中,网关不会将调制解调器呼叫与语音呼叫区别开。两个调制解调器之间的通信是通过一个“语音”呼叫,以带内方式传输的。调制解调器流量在一个支持QoS的IP基础设施上透明传输,而且这些数据不会在IP网络内部解调。
4 1、传统传真机设备的连接
对于放置传统G3传真机的地方需要部署Cisco模拟电话适配器(如VG248、VG224、ATA186/188,或者语音网关上的VIC2-FXS卡),将传统的传真机与这些设备互联,园区内部的传真采用FAX Passthrough直通的机制。连接传真机设备的模拟电话适配器设备既可采用SCCP协议,也可以是H.323或MGCP协议,采用SCCP或MGCP协议时,模拟电话适配器设备可以由CallManager统一进行配置和管理。
5 2、传真信箱(统一消息)的实现
Cisco的传真信箱服务是Cisco 统一通信系统中Unity统一消息系统的重要组成部件。Cisco提供完整的软件和硬件的解决方案。
Cisco传真服务器提供了一套易于使用、易于管理传真和无纸办公的解决方案,帮助企业整合了语音、传真、数据和桌面应用。企业可以使用Cisco传真服务器,通过多种方式:传真、电子邮件、打印机或互联网灯手段有效地、安全的发送和接受文件。
Cisco传真服务器通过自动发送文件帮助员工提高生产率、降低在传真机、打印机等设备的投资费用和节省日常的纸张费用。
Cisco传真服务器是由软件和硬件组成。软件是OEM传真行业的领先者RightFax的最新Captaris – RightFax 版本 9.0,并由Cisco SASU提供今后的软件升级服务。硬件是由提供统一通信的统一硬件平台MCS服务器及智能传真卡组成。传真的发收可以直接发送到传真卡上,也可以和统一通信系统整合在一起由网关来发送和接受。
用户的传真存储在Fax/Unity服务器上,用户可以通过Outlook/Domino或Web方式来接受传真,也可以通过桌面的应用程序来发送传真,真正实现了无纸办公。
Cisco传真服务器连接示意图如下:
[pic]
[pic]
Cisco 传真服务器和语音网关之间既可以通过TDM(E1卡)的方式互联,又可以通过IP模式/T.38模式互联。在方案中我们预留了1E1,这块E1卡既可以作为传真服务器的TDM互联之用,如果传真服务器与语音网关采用IP模式互联,则这块E1卡又可作为备件之用。
Cisco 传真服务系统结合Unity统一消息可以提供如下传真功能:
• 呼入传真路由/Inbound fax routing
• 任何可以打印的应用可以进行传真
• 光学字符识别转换
• 电话簿/传真联系簿集成
• 传真通知服务和实时传真状态信息
• 附件和自然格式文件的编送
• 日程安排选项
• 传真发送的认证
• 传真发送的加密
• 传真历史记录
• 报表/计费分析
• 延迟发送
• 确认
• 可定制的封面
• 最低费用路由
• 人工应答的传真
• 智能分配
• 拨号规则
• 智能重传
• 表格重叠
• 传真库
• 计费代码
• 文件夹
• 代理
• Web 接入
3.6分支机构IP语音系统设计
3.6.1分支机构通信系统可靠性(SRST)和语音网关设计
正常运行模式下,分支机构系统是连接到中心CallManager通过IP WAN提供呼叫处理服务的,一旦至CallManager的IP WAN链路中断或者极端情况下主用和备用CallManager全线宕机的情况下,需要启用本地语音网关上的SRST远程语音再生功能来维持本地的语音通信。而当IP WAN链路恢复或者CallManager恢复正常时,分支机构的IP电话自动回复(re-home)到CallManager的服务。
每个分支机构在SRST模式下支持的IP电话和号码的个数取决于分支机构的语音网关或者路由器平台所安装的内存容量,以及Cisco IOS的版本。SRST模式下话机的功能请参见6.4节 SRST支持的特性。
[pic]
网关除了本地PSTN的出入口功能之外,该语音网关还提供IP WAN连接中断时通过PSTN的自动迂回路由功能以及保持正常的本地PSTN用户呼入和呼出功能。对于一些话务量较大、冗余备份要求更高的分支机构,还可以适当增加一台Cisco 3800/2800语音网关,形成与PSTN的负载均衡的连接方式,并提供更多的内部IP电话用户的SRST功能。
Cisco语音网关与中心节点的语音网关一样采用MGCP的通信协议,由CallManager控制所有会话的智能,并且通过CallManger管理界面进行MGCP网关的配置和管理。
Cisco 3800/2800网关也能支持H.323和SIP协议,可以适应今后电信NGN的技术发展以及与第三方系统的多协议互联。
3.7拨号方案规划
3.7.1XX医院拨号方案总体设计
CallManager的拨号方案体系结构中包括了分区(Partition)、呼叫搜索空间(CSS,Calling Search Space)、路由计划(Route Plan)。Partition定义了相同“reachability” 特性的设备,包括IP电话、电话号码、网关和Route Pattern。CSS是一组规则,它定义了针对一个拨的号码,不同的设备应该搜索哪一个Partition,CSS还提供拨号许可/限制,每个设备都可指定一个CSS。通过分区和呼叫搜索空间的定义,可以定义每个分机的呼叫限制等级,如市话、国内、国际、园区内(指按XX医院的需求将各地系统组成的一个虚拟园区,以下简称虚拟园区)、XX医院系统内(包括苏州客服系统)、紧急特服号等。
XX医院IP语音系统的集中式呼叫处理+多地点IP WAN部署中,呼叫处理和应用(例如语音信箱系统)都是集中的,而拨号计划是针对每个地点单独设计的。
对于虚拟园区用户,他们之间只需拨打内部分机号码,就可以呼叫对方。要采用这种拨号计划,实现两地之间的网内等位拨号(UDP),需要将所有这些用户的IP电话放在一个可以从所有远程地点的呼叫搜索空间连接的群集内部分区中。
对于除总院虚拟园区以外的用户,即XX医院分支机构的用户(以下简称分支机构或远程地点),他们之间需要拨打访问码+区域代码+分级号码,例如,如果内部节点间访问码号码是0,区域代码是两位数字,那么一个用户可以通过拨打0-21-200000,致电编号为21区域的分机200000。分支机构的号码原则上不能重叠,这主要是方便于医院统一人工总机转接电话的需要。
集中式呼叫处理模式下的自动替代路由(AAR)功能让Cisco CallManager可以在群集内两个终端之间的首选路径带宽不足时,为语音流建立一条替代路径,对于XX医院目前的数据网路拓扑结构而言,这条替代路由可以是通过PSTN迂回的。这种方式由CallManager的呼叫准入控制(CAC)的Location(位置)机制决定。AAR对用户完全透明。通过设置AAR,用户只需要拨打所呼叫电话的网内(例如虚拟园区网内部的5位或者是分支机构的可变长拨号位数)号码,用户不需输入任何其他号码,就可以通过替代网络(例如PSTN)呼叫目的地用户,即拨号方案无需变化。
3.7.2编号方案和拨号方案设计
XX医院统一通信项目是一个覆盖医院的分支,所以拨号方案的设计非常重要,我们的初步设计分为:
• 内部分机号码编号:使用6位内部号码,EFGHIJ共6位号码,所有6位编号不能重叠
– DEFGHI为分机号码;
– 电话号码容量理论上为1,000,000部,实际建议在400,000以内,充分为统一通信网络的进一步扩容预留好了号码资源。
• 网内电话拨号方案:
– 同一办公室之间拨6位分机号码;新院的用户直接使用6位电话号码进行互拨;
– 不同办公室之间拨“A”+“BCD”(2-3位区域代码)+“EFGHIJ”(6位分机号码)。详细ABCDEFGHIJ号码设计示例请参见号码分配示例;
– 不同办公室之间的电话首选走统一通信网,电话号码与目的地IP地址的解析工作由CallManager集群完成:
√ 首先由CallManager分析目的地电话号码是否在本CallManager 集群管理范围,如在则直接解析目的地电话IP地址并发送呼叫;
√ 如果不在本CallManager 集群管理范围,例如是苏州客服中心PBX号码,则CallManager通过H323消息发送地址解析请求到Gatekeeper,Gatekeeper分析目的地电话号码,再通过H323消息发送地址解析请求到相应的PBX(如苏州客服的PBX系统);上述例子是采用Gatekeeper方式,也可以是直接和苏州客服PBX进行H.323通信,或者通过E1进行Vo统一通信。
√ 目的地PBX收到H323地址解析消息,呼叫其内部相应的分机(客服系统分机);
– 当XX医院IP WAN出现故障时,CallManager将6位内部电话号码翻译为目的地网关的PSTN长途号码,经过语音网关,透过PSTN呼叫目的地网关;接续到目的地语音网关后,听语音提示,拨叫目的地电话号码;如果是DID号码,则接续到目的地语音网关后直接内部分机号码。
• 外部电话:外线电话统一设计为拨“9”拨外线电话。
3.7.3号码分配示例
XX医院内部拨号方案为:“A”(1位访问代码)+“BCD”(2-3位区域代码)+“EFGHIJ”(6位分机号码),以下是一个号码分配示例,仅供参考,最终号码分配可以按照最终需求调整。
3.8媒介资源(MEDIA RESOURCE)设计
媒介资源是一种基于软件或者硬件的实体,可以针对发往它所连接的设备的数据流执行媒介处理功能。媒介处理功能包括通过整合多个数据流创建一个统一的输出流(会议),将数据流从一个连接转移到另外一个连接(媒介终端节点),将数据流从一种压缩形式转为另外一种(转码),回声消除,信令,端接一个来自电路的语音流,流的分组化等。
媒介资源可以提供下列功能:
← 媒介终端节点(MTP)
← 语音端接
← 会议
← 转码
CallManager系统提供的媒介终端节点(MTP)软件设备让Cisco CallManager可以将补充性服务(例如呼叫保持和转接)拓展到那些通过H.323终端或者H.323网关路由的呼叫。有些H.323网关可能要求呼叫使用一个MTP来启用补充性呼叫服务,但是通常Cisco IOS网关不会这样做。基于硬件的媒介资源使用数字信号处理器(DSP)来执行呼叫处理功能。
3.8.1编解码器的会议和转码容量
下表列出了每种编解码器在特定平台上支持的会议成员的最大数量。
|模块或平台类型 |DSP配置 |所有与会者使用G.711 |1个或多个与会者使用G.729或G.729|
| | | |a |
|NM-HDV2 | |每个PVDM的会议数: |每个PVDM的会议数: |
|(每个会议8个与会者) |PVDM2-8 |4 |1 |
| |PVDM2-16 |8 |2 |
| |PVDM2-32 |16 |4 |
| |PVDM2-48 |24 |6 |
| |PVDM2-64 |32 |8 |
| | |1个NM模块最多支持50个会议 | |
|Cisco Catalyst 6000 |固定配置 |每个模块支持128个会议 |每个模块支持128个会议 |
|WS-SVC-CMM-ACT | | | |
|(每个会议32个与会者) | | | |
|Cisco Catalyst 6000 |每个端口8个DSP |每个端口支持32个会议 |每个端口支持32个会议(G.729a) |
|WS-X6608-T1或者 | | | |
|WS-X6608-E1(每个会议3-32个与| | | |
|会者) | | | |
|CallManager软件会议桥(每个会|NA |如果在与Cisco CallManager相同的服 |NA |
|议3-64个与会者) | |务器上,支持48个会议 | |
3.8.2会议资源设计
针对所有部署模式的会议指导原则:
• 思科建议您至少应为用户提供下列会议资源:
- 为至少5%的用户提供特别会议资源
- 为至少5%的用户提供Meet-Me会议资源
• 一般而言,使用媒介资源群组(MRG) 和媒介资源群组列表 (MRGL) 提供资源在多个Cisco CallManager之间的共享和负载平衡。如果您不使用MRG和MRGL,资源只能供单个Cisco CallManager使用。
• 您还可以按照地理位置,为不同的资源使用MRG和 MRGL,从而尽可能节约WAN带宽。
3.8.3话务台设计
自动话务员可以是集中的而人工话务员可以分布在各地。自动和人工话务员是采用集中模式还是分布模式取决于现有IP WAN带宽使用情况以及人工话务员的人工配置情况。初期设计方案为在各个有PSTN接入的节点都设置自动和人工话务员。
3.8.4语音信箱系统设计
语音信箱系统的部署模式和CallManager的部署模式是无关的,即可以是集中部署在CallManager集群所在的总院,也可以分布在各地。
Unity的语音留言服务具有强大的自动服务功能,其中包括智能路由和可以轻松定制的呼叫屏蔽和留言通知选项。
Unity系统配置中文语音包,系统提示、用户应答,以及基于浏览器的管理控制台和产品文档的所有特性都可以支持中文。
通过Cisco Unity收件箱,信箱用户可以利用一个直观的、基于浏览器的消息收发控制台,回复所有的语音消息。每个Unity语音信箱系统的用户可以利用CPCA(Cisco Personal Communication Assistant,基于浏览器的Cisco个人通信助理的一种动态界面),通过Internet Explorer 5.5或者更高的版本定制他们的个人设置。例如语音邮件选项、安全模式、个人用户列表,以及消息发送选项。
3.9多媒体会议协同系统设计
3.9.1视频会议系统设计
CallManager系统提供了对视频语音的紧密集成。客户只需要在7940/7941、7960/7961、7970/7971上增加VTA视频套件或者购买思科UC认证的视频终端(如Tandberg T550/T1000 (SCCP)),也或者直接通过7985视频话机就可以获得视频语音功能。
Cisco VT Advantage(以下简称VTA)就是一个视频电话解决方案,包括Cisco VTA应用软件和Cisco VT 摄像头――一种使用USB接口的视频电话摄像头。通过将Cisco VT摄像头安装到与思科IP电话连在一起的PC上,用户可以在他们的企业IP电话网络上拨打和接听视频电话。用户仍然可以通过熟悉的电话界面,从他们的思科IP电话发出呼叫,但是与过去不同的是呼叫增加了视频功能,而用户并不需要进行任何按下按钮或者点击鼠标的操作。
在注册到CallManager之后,支持VTA的IP电话就将获得一个功能齐全的IP视频电话的所有特性和功能。系统管理员可以像对待其他任何一部思科IP电话一样,设置配有VTA的思科IP电话,从而大大简化了部署和管理。
VTA的独特之处在于使用视频电话就像使用普通电话一样方便。呼叫转移、转接、会议、保持和静音等呼叫功能都将适用于视频电话,并且全部通过IP电话操作完成。通过CallManager,IP电话和IP视频电话可以使用一个统一的拨号计划和一个通用的目录服务系统。
VTA的视频编解码器和带宽选择完全由CallManager控制,因而用户不需要具有视频功能或者设置方面的经验或者知识。用户不再需要预先确定被叫方是一个视频终端还是一部电话。
VTA具有以下的直观特性:
• View Only Mode(纯观看模式)——用户可以选择只观看输入的视频,而不对外发送视频。
• Video Check(视频检查)——用户可以在拨打或者接听视频电话之前检查他们的视频电话功能。
• Video Prompt Option(视频提示选项)——用户可以选择在每次拨打或者接听呼叫时显示是否允许视频传输的提示。
• Mute Video on Audio Mute Option(在静音模式下停止视频选项)——在用户将电话设为静音时,视频将被自动暂停,直到IP电话被取消静音为止。
• Video Signal Indicators(视频信号指示)——输入和输出的视频的质量能够以图形的形式被显示出来。
• Connectivity Indicator(连接状态指示)——PC与它所连接的思科IP电话和思科VT摄像头的连接状态能够以图形的方式被显示出来。
VTA视频方面的特性包括:
• H.263视频编解码器——比特率为128kbps到1.5Mbps
• 思科VT摄像头宽带视频编解码器——降低交换网络上的PC CPU占用率
• 支持的视频格式(最高每秒30帧)包括:
- VGA (640x480)
- CIF (352x288)
- SIF (320x240)
- QCIF (176x144)
- QSIF (160x120)
• 可以与大部分第三方H.323视频终端(通过UC认证的合作伙伴)进行互操作
3.9.2视频语音会议系统
当三方或者更多方加入一个视频呼叫时,就需要引入MCU(多点控制单元)和视频关守设备,当然关守设备可以采用现有VoIP网络中的关守。
1 视频语音会议系统组成
作为通信系统的一个组成部分,在现有CallManager系统基础上,IP视频会议系统还需要加入以下部分:
• 基于视频的IP网络:提供视频信息有效传输的通道。Cisco具备大量面向视频应用的网络设备,可以构造适用于视频、语音和数据的高效稳定的网络平台;另外,Cisco路由器中的MCM(Multimedia Conference Manager)组件,可以提供视频关守和代理(Proxy)功能。经济有效地为IP视频网络提供了统一合理的解决方案。
• 多点控制单元(Multipoint Control Unit):在两个视频点以上会议系统运行中提供视频信息的协调和传播控制。同时MCU又包括MC(Multipoint Controller,多点控制器)和MP(Multipoint Processor,多点处理器)两部分。MC负责呼叫管理,包括初始联系、呼入许可、协调通讯层次以及检测信息流量控制视频会议使用的资源等;MP则处理和分配各种视频信息。
Cisco提供IP/VC 3500系列 MCU产品。IP/VC 3511和3540两款型号在3.2+软件版本开始支持SCCP通信协议,可以和CallManager 4.0或其上的版本进行集成。当MCU配置成SCCP模式时,CallManager提供MC功能,而MCU提供MP功能。SCCP MCU完全由CallManager控制。
Cisco IP/VC 3500 MCU 除完成普通MCU的功能,还可以通过层叠和堆栈的方式增加会议连接的数量平衡流量的负载。一台Cisco 3540 MCU支持最大方会议。方案中我们采用了一台3540与现有的Polycom视频会议系统的MCU进行层叠,层叠(Cascading)技术使一个Cisco IP/VC 3540 MCU管理的会议可以加入Polycom MCU的会议,从而使会议最大方数可以加倍,在不损失IP视频语音终端功能的同时,又能集成到现有的视频会议系统中,并且视频终端和IP电话以及IP电话视频终端之间可以通过XX医院的拨号规则直接通信。Cisco 3540 MCU负责整个CallManager集群,建置在总院。
• 视频关守(Gatekeeper):是局域网视频会议环境的基本组件。通过监测所有呼叫的请求,针对所负责的区域提供带宽管理、许可控制、地址翻译和区域管理。关守的主要目的是以视频带宽管理来接受或拒绝呼叫请求,从而有效保障系统资源与负载。Cisco 大部分路由系列产品均可应用为视频关守,Cisco路由器中的MCM(Multimedia Conference Manager)组件,可以提供视频关守和代理(Proxy)功能。经济有效地为IP视频网络提供了统一合理的解决方案。基于后续的测试结果,视频关守也可以采用现有Polycom视频会议系统中的关守。
2 会议操作
Cisco IP/VC 3540 MCU支持从64K到2M的呼叫速率,可同时支持语音和视频的算法。它是Cisco视频会议解决方案,同时又可以用来支持只有语音的电话会议或者是既有语音又有视频的会议。一台3540系统实际的设计容量为90方会议,或者几个多方会议,同时召开的会议累计的方数不超过90。与Polycom视频会议的MCU层叠可以支持更多的会议参与方。
Cisco 3540支持G.711、G.729、G.723和G.722语音压缩,或者可以通过MTP或Catalyst 4K和6K上的DSP资源获得语音压缩编码)和H.261/H.263/H.264视频,是H.323 V2兼容的,MCU向关守登记它们的E.164前缀。3540支持两种模式的操作:“Ad Hoc”和“Schedule Only”。
当一个分至机构的IP电话呼入MCU时按照H.245标准执行性能交换进程,按照交换的信息,这个IP电话被识别为仅仅语音的会议终端。然后,MCU会允许这个IP电话加入会议,但是只是为语音打开一个逻辑通道。如果呼入的是视频终端时,唯一的区别是视频终端通知MCU自己同时具有语音和视频的功能,MCU则会为语音和视频两种媒体分别打开逻辑通道。语音包是通过RTP来传输的。如果与会者是通过手机或公用电话网的电话拨入时,则由网关将模拟的语音转换成RTP格式。
从与会者的角度来说,通过视频终端拨入的用户可以听到电话用户,但是显然不能看到他的视像。同样,电话用户可以听到其它每个与会者的声音,但是不能参加到视频的会话连接中。
Cisco IP/VC MCU在每一个时刻将会议中四个最主要的地点的声音进行混合并送出到每一位与会者。这是通常会议桥的功能。如果有16方拨入会议,则每方听到的是声音最大的四个地点的声音混合,在会议的过程中,是动态选择并混合的。
Cisco IP/VC MCU提供一个管理员的Web界面来控制在MCU上的会议。假设三个地点已经连接到会议,而他们想增加一个电话到会议中来,则具有管理员权限的管理员可以通过Web界面通过拨入这个电话的号码,然后按“邀请”键,就可“邀请”这个电话进入会议。
MCU可配置成“Ad Hoc”模式,这时,任何人都可以召开一个会议,只需在任何地方拨打一个会议号码进入MCU,然后邀请其他人参与会议。当MCU配置成“Schedule Only”模式时,用户可以进入一个Schedule服务器去预定一个会议,当预定的时间到时,MCU可以自动拨出到与会者,也可由与会者拨入。
MCU还提供一个叫做“动态扩展”的功能。这个功能允许管理员创建一个只有限制人数参加的会议,但是一旦比预先计划更多的人需要加入时,只要CPU资源允许MCU就可以让他们加入。换句话说,你可以创建一个4方会议,当第五个人拨入时,MCU可以通过动态扩展会议规模来允许这个人加入,这时,只要有足够的CPU资源,而且这样做不会危害到其他会议的资源。
3 视频语音会议终端的不同操作
当SCCP终端(例如IP电话或者Tandberg终端)按下Conf/会议、Join/加入或者强插/cBarge按键时,触发ad-hoc会议。
当SCCP终端(例如IP电话或者Tandberg终端)按下MeetMe按键时,触发一个无需预约的meet-me会议。
以上两种会议的与会者可以包括其他任何类型的终端(使用任何CallManager通过网关支持的信令协议的视频的和非视频设备),但是只有SCCP终端才能触发SCCP MCU资源。
对于通过Conf/会议、Join/加入或者强插/cBarge按键触发的ad-hoc会议,其他会议方的信令协议必须支持“保持”功能,然后才能将其音频和视频通道重定向到MCU。H.323终端通过ECS(Empty Capabilities Set)提供这些功能。如果H.323终端不支持ECS,则不能被SCCP设备通过“会议”或者“加入”带入到会议。
而对于通过MeetMe按键触发的无需预约的会议,其他终端使用的信令协议无需支持被“保持”或者“转接”的功能。对于这些类型的会议,每个终端自己拨入而不是由会议发起方将其转入。
3.9.3连接系统设计
多媒体会议连接系统是将XX医院通信网内的各种媒体进行连接提供多媒体协同的平台。方案中该系统提供与Cisco CallManager集群、Polycom MCU系统、Outlook Calender、SMTP电子邮件系统、目录服务系统、IM即时消息系统的连接。
多媒体会议连接系统采用Cisco Meeting Place 8106多媒体会议系统。系统配置了60个音频用户许可,120个IP语音端口,单系统最大可以扩展到480个IP语音端口。
Meeting Place 通过IP网关和CallManager系统集成,Cisco IP 电话 7940/7941、7960/7961、7970/7971和7985上能够不间断地获得会议设置、邀请和参与方面的信息。而在传统PBX上,由于受到PBX本身通信协议的限制,所以PBX话机上不能提供这些功能。但是PBX用户可以通过Web的方式或者电话拨入的方式加入到多媒体会议。
系统配置了MeetingPlace for Outlook,这样,对于MeetingPlace的操作界面, 用户可从Web浏览器、Microsoft Outlook或Lotus Notes日历(需部署Cisco MeetingPlace for Lotus Notes)以及电话界面来安排、重安排和参加语音及Web会议。Cisco MeetingPlace 也支持无需预订的会议。当用户简况设置为可进行无需预订的会议时,用户就得到一个个人会议ID,这样他们无需在系统上安排资源,即可全天候地启动临时会议。
系统还配置了MeetingPlace SMTP 电子邮件网关,与XX医院的电子邮件系统(需支持SMTP)进行集成。用户可以利用电子邮件向与会者发送通知,并分发会议资料。电子邮件通知的标题行和内文是可定制的,可以包括会议信息,如日期、时间、电话号码、会议名称、受邀与会者和其他许多信息。会议材料,如幻灯片和报告等,也可以附在电子邮件通知后面,使与会者可以在会议前预览信息。
MeetingPlace的目录服务利用XX医院的目录服务收集有效的用户和个人帐户信息。授权MeetingPlace用户的数据库会自动构建,无论何时目录信息出现变化,数据都会在MeetingPlace中迅速更新。MeetingPlace目录服务简化了登陆过程,并与此同时通过用户简况提供了安全和个性化服务。
Meeting Place视频集成接口和IM即时消息集成接口可以与现有的Polycom视频会议系统和即时消息无缝集成,从而提供真正意义上的多媒体会议通信。
3.10 平台管理
统一通信网管系统需要覆盖企业统一通信系统的网络基础设施、通信控制和客户终端设备以及应用。网管系统需要能够监测和控制承载网络的端到端服务质量,确保统一通信的业务品质。同时网管系统应简单易用,各项管理功能的操作界面一致,适合企业客户的使用并降低培训费用。管理系统功能完备并能够快速部署,无需集成商或客户二次开发。
Cisco能够提供一套完整的统一通信管理系统,解决企业统一通信运营面临的所有管理挑战。Cisco的统一通信管理解决方案基于统一的CiscoWorks管理平台,简单易用,无需二次开发,适合企业用户的使用。
在XX医院统一通信网络中,除了CallManager、Unity、IP话机、(3540 MCU)、语音网关、关守、通信功能和应用系统以外,相关的路由器、以太网交换机,以及承载网服务质量和统一通信服务业务质量都应该纳入到系统管理的范畴。
Cisco 统一通信系统的网管主要包括五个方面:
• 统一通信业务系统管理
• IP语音配置管理
• 网络基础设施管理
• 网络QoS策略实施与监控
• 统一通信业务质量测量与验证
3.11业务通信系统管理
统一通信业务系统管理包括两部分:
1) CallManager系统自带的系统管理工具:
• BAT批量管理工具:大批量定义设置IP电话机和用户的增加、删除、更新。
• CDR呼叫详细记录:提供呼叫全程包括主叫、被叫、转接号码、起止时间等的内部和外部呼叫的记录,第三方计费系统可以通过ODBC等SQL数据库访问工具获得实时的CDR信息。
• CDR呼叫详细记录分析和报告(CAR):提供所有通话包括话机和网关的统计和分析报表,包括详细的、总结和使用情况的报告。
• CallManager实时监视工具(RTMT):监视Call Manager集群的设备状态、系统性能、设备联接、CTI应用。
• Cisco CallManager Serviceability Trace:提供trace 跟踪和分析。
• 从远程维护的角度,CallManager系统提供了以下工具:
– Cisco 安全 Telnet
– Show 命令行接口
– Microsoft Windows 2000 Performance Monitoring
– ISDN跟踪日志消息翻译器
– CiscoWorks2000网管系统
– 路径分析接口
– 系统日志管理
– SNMP Instrumentation
– CDP支持
2) CiscoWorks 中提供的通信业务系统管理工具,包括Cisco Works IP Communication Opertation Manager(统一通信运行管理器)和Cisco Works IP Communication Service Monitor (CWorks 统一通信服务监视器)。CWorks 统一通信运行管理器监视并评估统一通信基础设施和底层传输网络基础设施的目前运行状态。CWorks 统一通信服务监视器提供被监控网络中的IP语音呼叫质量的测量。
CWorks 统一通信运行管理器是一个基于Web的应用,它使用基于开放的标准从统一通信应用和Cisoc IOS软件中获取系统运行状态信息。Cworks 统一通信运行管理器无需在它所监视的平台上部署任何的代理软件。它使用诸如SNMP、HTTP和UC XML层(AXL)-简单对象访问协议(SOAP)等开放的接口来远程定期轮询被监视的设备,从而收集状态信息。它还执行一些诊断测试(基于SCCP和IP SLA),使用这些测试的结果来确定实施的运行状态。基于浏览器的用户接口使得用户可以从网络的任何地方远程登陆,并能够即时访问有关现在实施状态的实时信息。可以本地设置不同等级的用户访问或者配合Cisco安全访问控制服务器,由它来控制访问Cworks 统一通信运行管理器的信息。
Cworks 统一通信运行管理器为管理人员提供了所有统一通信集群和集群中组成部分的实时自动刷新的状态信息以及历史信息显示。下挖视图还可以显示每个IP集群组成部分的运行状态及其相互关系。系统自带的智能还能理解统一通信部署中每个设备的角色,并适当地监视这些设备的任何故障。管理人员无需书写任何的规则来启动对统一通信部署的监视,这些规则都是系统内建的。系统还自带出厂的阈值定义(网络管理人员也可以进一步设置)和分析引擎,执行对任何阈值超出事件的检测,并立即通过各种方法向网络管理人员发出告警。这些告警通过告警和事件显示的方式呈现出来,并定期刷新以代表最新的状态信息。电话状态显示功能提供了对IP电话故障信息的即时显示:信令相关的故障和IP连接相关的故障。管理员还可以获得有关IP电话的交换机端口,从而进行故障排除。Cworks 统一通信运行管理器诊断测试功能可以用于帮助故障隔离和解决。
系统提供三种主要的测试类型:综合测试、话机状态测试和节点到节点的测试。综合测试可以复制用户的活动(获得拨号音,拨打电话,留言,创建/加入电话会议)。这些测试可以检验基础设施的功能可用性,并验证不同的配置情况例如路由模板(route pattern)、路由列表、集群间中继、网关拨号对等体(dial peer)等。IP电话状态测试能够用于确定IP电话现有的运行状态(信令和IP连接状态)。节点到节点测试使用路由器中的IP服务等级代理(SLA,即以前的服务保证代理,SAA)来仿真网络中的流量,然后确定网络特征,如通达性状态、响应时间、延迟、抖动、丢包和网络质量。所有的这些测试可以运行在连续监视模式或者计划/按需模式。并通过一系列报表提供结果。通过CiscoWorks 统一通信服务监视器中提供的信息,CiscoWorks 统一通信运行管理器能够提供实时的服务质量(语音质量)告警。服务质量告警是和被CiscoWorks 统一通信运行管理器所监视的IP电话或者统一通信设备相关联的。关于IP电话和设备的的IP连接细节又可以提供进一步故障排除之用。同时也可以启动一个可能的路径进行端点之间的跟踪,从而帮助网络管理员识别任何可能会影响服务质量的中间节点的潜在问题。
CiscoWorks 统一通信运行管理器提供的报表包括历史报表和实时报表。历史告警、事件和服务质量报表维护多大30天的历史告警和事件信息。网络管理员通过历史报表可以过去的故障进行归档并且能够访问它用于长期的趋势性分析。IP电话详细目录报表给出了每个部署在网络上的IP电话状态信息。进一步关于IP电话的信令和IP连接细节也都被维持和报告。这些报告还跟踪IP电话状态的变更,以对IP电话的移动、增加和变更运行进行文档工作。可以对报表进行客户化,即网络管理员可以挑选他们需要的信息类型并创建每日报表,并且通过email或者CiscoWorks 统一通信运行管理器的GUI界面获得这些报表。
CWorks 统一通信服务监视器由两部分组成:硬件探针和软件应用。硬件探针(Cisco 1040探针)是一种小型低成本的设备,用于监视特定语音RTP数据流。Cisco 1040探针安装在最靠近被监视的IP电话的Cisco 以太网交换机上。Cisco 1040探针的工作方式与Cisco IP电话是类似的:它使用IEEE或思科标准的PE,它从TFTP服务器获得并下载配置信息(可以是与CiscoIP语音系统相同的服务器),然后使用SCCP协议确保与统一通信服务监视应用之间保持连续的通信。系统采集、分析并以MOS值(基于ITU G.107标准进行计算)的方式提供接近实时(每60秒中更新)的IP语音呼叫质量的报告。当检测到MOS值超出预先定义的阈值时,SNMP trap信息就会生成并发送到系统,从而产生告警信息,这些信息有助于进一步进行诊断和解决问题。
3.12 IP语音配置管理
Cisco Voice Provisioning Tool(VPT,思科语音配置工具)是一套统一的配置界面和服务,可使Cisco CallManager和Cisco Unity的初始化设置和后续管理更为快捷、简便和高效。VPT结合了多种Cisco CallManager和Cisco Unity服务器的大多数通用用户特性,为电话管理提供了系统级的方法。由于管理员可以从单一控制台管理普通的日常管理任务,如移动、添加和变更,这一简化界面使生产率得以大幅度提高。
通过为管理员提供单一切入点,思科VPT创建了一个简单的、基于工作流的环境,使得对IP 通信部署的管理更加直观。思科VPT可以智能地跟踪网络上多个服务器、站点和集群的思科电话和消息数据,即使这些设备运行着不同的软件版本也能如此。思科VPT允许广泛地使用模板,从而削减了需要人工输入的字段数量,极大地减少了管理错误。在网络故障诊断方面,系统管理员可以使用VPT的统一界面,来快速、方便地查看与网络中的任意用户或电话相关的所有数据,并找到问题的根源所在。
在增强安全性能方面,思科VPT提供了基于角色的访问功能,因此,管理人员可以授予下属系统管理员以不同的准入级别。思科VPT还提供了审查日志,来跟踪是哪位管理员对记录作出了更改,以及更改的时间和内容。
用户管理特性
• 可以根据名称、用户名、分机和其他重要参数进行搜索、浏览和用户分类;
• 为Cisco Unity和Cisco CallManager添加、删除和更改用户记录;
• 建立用户和IP电话的关联,或在用户页内创建电话;
• 多项更改: 选择一组用户记录,将更改内容一次性应用于组中的所有用户;
• 模板:利用用户模板,可以快速、方便地创建拥有类似特性的用户。
思科IP电话管理特性
• 根据各种重要参数进行搜索、浏览和思科IP电话分类;
• 添加、删除和更改思科IP电话数据;
• 添加、删除和更改现有思科IP电话上的线路;
• 浏览共享线路并修改思科IP电话上的共享线路设置;
• 订购IP电话服务或取消订购;
• 从VPT界面直接重启或重设思科IP电话;
• 多项更改:选择一组思科IP电话记录,将更改内容一次性应用于组中的所有IP电话;
• 模板:利用IP电话模板,可以快速、方便地创建拥有类似特性的IP电话。
管理特性
• 基于Web浏览器的界面:利用轻量级web浏览器界面,您可以在任意地点通过笔记本电脑接入思科VPT服务器;
• 安全的配置:利用HTTPS、IP Sec和TLS构建一个端到端安全系统,以确保您的用户配置数据的安全;
• 审查日志:跟踪日期、时间、管理员更改,以及利用扩展VPT审查日志编辑的用户或电话记录;
• 批量管理:利用基于电子表格的逗号分隔数值(CSV)文件,输入或输出大量用户或电话记录。安排实施这些更改的日期和时间,以便管理它们对IP 通信系统的影响;
• 基于角色的访问控制:定义不同级别的管理权限,并为这些角色分配管理员。优先级可以通过CallManger 或Unity服务器,以及读写功能而配置;
• 最多允许20个系统管理员同时对IP 通信系统上执行更改;
• 系统管理员可以使用本机的产品用户界面或思科VPT,而不必担心数据的一致性;
• 可以集中管理最多带10个Cisco CallManager 集群和10个不同的Cisco Unity系统的 统一通信系统。这些Cisco CallManager集群和Cisco Unity服务器可以位于远程;
• 管理拥有多个不同Cisco Unity和Cisco CallManager软件版本的IP 通信系统。要连接和管理所支持产品的新版本,只需为思科VPT下载和安装新的软件插件。
3.13 网络基础设施管理
CiscoWorks LMS (CiscoView,RME, Campus Manager)提供:
• 路由器,交换机,网关,呼叫控制器等的管理;
• 实现设备监视和操作系统升级,网络拓扑呈现,参数配置与备份,网络故障探查与报警,设备资产统计等功能。
[pic]
14 1、网络QoS策略实施与监控
CiscoWorks QoS Policy Manager(QPM)对全网进行集中式的QoS策略创建、部署和结果分析,它提供:
• 网络端到端QoS策略的规划和实施(包括为IP电话业务提供智能QoS策略建议);
• 承载网络业务流量的统计、分析和运行监控。
[pic]
15 2、统一通信业务质量测量与验证
CiscoWorks LMS Internet Performance Monitor提供:
• 端到端统一通信业务的服务质量测量:单/双向延时,抖动,丢包率,MOS值,可用率等;
• 服务质量下降时主动告警;
• 实时/日/周/月的服务质量统计报表。
[pic]
四、UC系统安全设计
在将语音技术引入IP环境时,很多IT、电话和业务管理人员都担心它在面对攻击时的安全性。语音呼叫中的信息――战略性信息、个人信息或财务信息――一旦被拦截,都可能会像数据通信被窃听一样造成破坏性的影响。而且,没有任何一个企业或服务供应商可以承受一次由于拒绝服务(DoS)而导致语音通信完全中断所造成的损失。语音通信不仅仍然是大部分企业的生命线,而且用户还必须凭借它在遇到紧急情况时获得服务。
思科的统一通信安全解决方案是基于思科的自防御网络计划。这种创新的深入防御、多层面安全计划大大提高了网络识别、防御和对抗安全威胁的能力,使网络对于病毒传播、黑客攻击具有自我防御能力,同时从整个IP网络系统的层面通过集成式安全服务策略增强统一通信的安全。
统一通信的安全可以从以下三个层面来考虑、设计:
■ 基础设施层面
■ CallManager系统层面
■ IP电话机层面
4.1网络基础设施的安全设计
一个企业的网络保护措施应该遵循三个基本原则:安全的连接和管理、威胁防御、管理信任关系和身份。为了加强对语音安全的关注,思科在针对数据网络的安全指南基础上,进一步为IP语音制定了全面、专门的SAFE指南。它同样关注上述的三个方面。
安全连接不仅包括负责传输语音的底层数据基础设施,有些特殊的规定还有助于提高语音的安全性。针对传输语音的IP网络的安全措施特别注重保护四种主要的语音系统设备:IP电话、呼叫管理器、语音信箱系统和语音网关。同样,在信任关系和身份管理以及威胁防御方面,也有专门针对语音的规定。例如,应用一些措施区分和隔离语音呼叫和数据通信,以保障IP电话的安全,防止闯入数据网络的病毒渗入语音平台,以及安排网络的语音和数据部分之间的连接。
1 1.安全连接
第一步,在为数据通信制定安全策略的同时,为语音通信制定一项专门的安全策略。
只有在制定一项这样的策略后,您才可以将精力集中于保护IP语音的安全。现在的很多数据安全措施也可用于保护这种新兴的技术,而且应当在专门解决语音安全问题之前采用。安全连接需要一个安全的底层数据网络——一个对第二层和第三层进行了加固的网络。在加固措施中,有一种是“利用思科 IOS软件中内置的安全功能——例如状态化防火墙和入侵检测——提高路由器和交换机的安全性,启用有助于加强安全的功能,禁用那些可能会产生网络漏洞的功能,以及强化设备配置。
路由器的加固措施包括:禁止简单网络管理协议(SNMP)访问,关闭不需要的服务,使用安全的管理方法(例如Secure Shell(SSH)),以及确认路由升级的有效性。交换机的加固措施包括:通过地址解析协议(ARP)检测或虚拟专网(VLAN)等功能进行第二层加固,利用IP许可列表限制对管理端口(例如SNMP)的访问,利用一个专门的VLAN ID管理所有中继端口,以及禁用没有用到的端口。
另外还需要对呼叫管理器、语音信箱系统和语音网关采取类似的加固措施。这些应用都必须根据供应商的最佳实践进行正确的设置。这个步骤往往被那些认为系统在出厂时已经启用了所有安全功能的管理人员所忽视。由于这些系统可能会以不同的方式进行部署,所以必须针对每次安装的特定环境进行相应设置。
加固网络有助于防止它受到各种借助数据通信发动攻击的影响,例如DoS、电子欺诈、分组监听、病毒、蠕虫等。下一步是划分网络功能。它可以通过提供更加有效的访问控制和成功地阻止攻击,确保在入侵者闯入数据网络的情况下,语音流量不会受到任何影响。首先,网络应当被划分为多个功能模块。例如,一个园区网络可以被分为一个管理模块、楼宇模块(用户)、服务器模块、实验室模块、楼宇分发、核心和边缘分发。
在上述措施完成后,您可以将语音和数据分开,再通过将语音用户划分到您的以太网LAN交换机上建立的各个VLAN中,将他们分为多个群组。网络的语音和数据部分之间的连接(该连接仍然是融合的,因为实际使用的只是逻辑隔离,而不是物理隔离)应当被限制于特定位置,例如呼叫处理和语音信箱系统。
在今天这个蠕虫攻击愈演愈烈的时期,网络划分具有非常重要的意义。将数据与语音分开使得对数据网络的攻击不大可能会波及语音部分。例如,基于RTP实时传输协议的语音流媒体使用的端口范围很广——从16384到32768,如果不进行正确的过滤和划分,攻击可能会通过其中一个端口从数据部分进入语音部分。
您还需要关闭那些可以自动允许试图闯入的用户进入网络或受限网段的系统功能。例如,很多呼叫管理器提供了一种自动的电话注册功能。它会为一部未知的电话提供一个临时性的配置,随后允许它进入网络。这种做法所产生的危险是显而易见的:这部电话——或者某个伪装为电话的设备——可以利用这个漏洞,获得额外的权限或者访问保密的数据。除了在开始的批量设置阶段运用外,建议关闭这项功能。另外一项功能允许通过IP电话的以太网接口连接的PC接入网络,以承担中继功能。大部分部署都不需要用到这种功能。第三种功能让IP电话可以将所有语音分组复制到电话的数据端口,以支持本地语音诊断或其他应用。同样,这种功能在大多数情况下也是不必要的,而且如果插入数据端口的PC遭受远程攻击,就会导致网络被监听。关闭这两项功能可以提高系统安全性。
最后,访问控制列表(ACL)还可以通过在第二层和第三层之间进行隔离保障连接的安全。内嵌于所有思科路由器、防火墙和多款交换机之中的ACL可以根据请求方的IP地址和协议/端口信息,允许或拒绝语音和数据VLAN之间的访问请求。如果您不在访问控制列表上,您就无法进入网络。它们有助于在数据与语音VLAN之间、语音VLAN之间或者不同模块之间防止未经授权的访问——这对于防御可以自动在整个网络中迅速传播的蠕虫或病毒特别有用。在每个可以支持ACL的设备中启用ACL,可以实施严格的隔离。
2 2.管理信任关系和身份
在连接的安全性达到了你的目标之后,你应当关注于身份和信任关系的管理。你怎么知道致电给你的人——或者接你电话的人——的确是他或她本人?思科提供的一些新颖技术和功能可以帮助你确认对方的身份,其中包括动态主机配置协议(DHCP)监听、IP源保护、动态地址解析协议检测(DAI)。这些技术可以检测经过思科路由器和交换机的访问请求,并对请求访问网络的设备进行身份验证,从而有效防止身份伪装。
DHCP监听可以通过拦截不可靠的DHCP消息——来自于网络或者防火墙之外——防御针对DHCP服务器的基本攻击和DoS资源衰竭攻击。利用DHCP,您可以静态地将一个IP电话的IP地址分配到已知的MAC地址,从而让该IP电话始终具有相同的MAC地址。黑客很难同时伪装这两个地址。
IP源保护的功能可以阻塞和过滤所有通过某个特定端口传输的IP分组(除了DHCP分组以外,这一点由DHCP监听器进行检查)。它只允许具有一个DHCP分配地址的分组通过,从而可以防止恶意主机通过盗用某个相邻主机的IP地址攻击某个网络。DAI会将MAC地址限制于每个端口一个,从而防御各种监听攻击。
为了保护终端用户,思科的IP电话可以通过数字签名——一种非常重要的新功能——验证所下载的软件映像文件的准确性。黑客可能会试图在IP电话上加载无效的映像文件,从而让其无法操作或者更改它的操作模式。发生后一种情况的可能性较小,但是这也是我们所担心的问题之一。利用数字签名,IP电话就能够验证映像文件的来源。
3 3.威胁防御
第三个焦点问题是威胁的管理和防御。关键的技术是状态化防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)。建议主要在两个位置部署状态化防火墙——语音和数据部分会合的地方,以及需要用一个状态监视器保护数据服务的地方。用状态化防火墙保护网络中的每个系统和每个语音部分并不是一件轻松的任务。思科PIX装置能轻松胜任这项任务,处理各种连接,例如,语音部分中的一个语音信箱系统和数据部分中的一个电子邮件系统之间的连接;语音部分中的IP电话连接到另外一个语音部分的呼叫管理器;基于PC的IP电话连接到呼叫管理器;语音网关与融合式流量会合的地方。”
当ACL需要过滤动态的端口地址,而不是静态的地址时,PIX装置就会承担起状态监视器的角色。ACL并不是状态化的,因而当使用动态端口和RTP协议时,必须开放范围广泛的端口,以建立连接。利用协议感知功能,状态化防火墙可以提供准确到单个端口的精确度,因而不需要开放大量的端口。思科防火墙——包括基于IOS和基于PIX的——都进行了大量的改进,以解决IP语音所带来的问题。
IDS是另外一种必不可少的功能——包括网络中基于网络的IDS(NIDS)和主机上基于主机的IPS(HIPS)。两者分别提供了不同的保护方法。NIDS可以在分组流中寻找已知攻击的特征或者比特序列。它像防病毒系统一样,可以防止网络受到特征已被映射的已知攻击的威胁。它们还可以检测协议和其他异常情况。IDS应当被用于保护网络中的所有关键系统,包括语音信箱和呼叫管理系统。
HIPS弥补了NIDS的不足,它们采用了一种基于行为的而不是基于特征的检测方法寻找主机中的异常事件,并提供“零日攻击防御”。即使主机没有安装漏洞补丁程序,或者某个新的攻击不具有任何已知的攻击特征,IPS仍然可以制止攻击。它们通过监控行为和检测异常情况发挥作用,并且可以真正地、及时地防御各种攻击。试想一下,为什么一个Web服务器的80端口要修改它在注册表中的设置?为什么一个Web服务器要将可执行的cmd.exe复制到它的Web脚本目录?Web服务器是否需要运行shell命令?这些事件显然不应当发生,但是我们在最近的一些感染系统的蠕虫行为中都可以看到它们的踪影。IPS可以防止这些事件的发生。
思科通过思科安全代理(CSA)提供IPS功能。目前很多思科语音产品和思科VPN客户端都可以支持CSA。它可以提供一个额外的“零日”防御层。CSA具有两个版本——桌面版和服务器版。它可以提供入侵防御、分布式防火墙、恶意移动代码检测、操作系统完整性保障和审核日志整合等功能。
在针对安全连接、身份和信任关系管理,以及威胁管理和防御采取了相应的措施后,您的总体战略应当是“深度防御”。在整个网络中的任何或者全部系统中的任何合适的地方采用部分或者所有安全技术。绝不要依赖于某一种单独的安全机制。因此,应当在路由器、交换机、服务器,甚至客户端系统(例如PC)上启用IDS。当然,还应当在大部分系统上部署ACL;当网络中不同层次的多个系统采用了多项技术时,应当使用思科 IOS软件和防火墙装置。
4.2 CallManager系统安全设计
CallManager系统的整体安全架构同样覆盖呼叫处理、终端以及应用层面的安全通信、身份和信任关系管理和威胁防御。
思科 CallManager 呼叫管理系统利用介质加密和信令加密提供安全连接。如果使用了媒体加密,IP电话液晶显示屏上将显示一个小图标,以表示安全呼叫状态。
128位先进加密标准(AES)媒体加密通过安全实时协议(SRTP)实施,这是对在IP电话环境中传输语音的协议的标准扩展。由于SRTP的延迟很低,增加加密后对通话质量几乎没有影响,用户几乎感觉不到有任何差别。
CallManager的安全措施同时包括:
1 1.操作系统加固
• 思科会及时跟踪微软的最新漏洞。
• 发现新的漏洞后,经过测试的系统修补程序会24小时内 公布在上。
• 每个月,思科会将经过整理的补丁程序作为“ service releases”版本公布在自己的网站上。
• 新的补丁程序一发布,就会email通知客户
•
2 2.反病毒软件防护
CISCO推荐客户运用,McAfee VirusScan Enterprise 4.5, 7.0 and 7.1,Symantec Corporate Edition 7.61, 8.0 and 8.1,Trend Micro ServerProtect5到系统,这几个产品与CISCO IP通讯产品做过相关的系统兼容性测试。
CSA介绍
CSA能保护所有IP电话的应用程序,Headless bundled,Managed optional,特点:
• 基于“行为”的检测, 而不是基于“特征码”的检测。
• 由于是基于“行为”的检测,所以软件不需要随着新发现的病毒进行升级。
• 使用VMS可以对Cisco Security Agent进行集中管理
• 可以防范已知的和未知的网络攻击
CSA工作原理,采用了基于行为的检测。CSA在操作系统与应用程序间提供了一个安全罩。通过文件系统分析器,网络通信分析器,代码执行空间分析器,系统配置分析器,经过规则引擎,关联引擎检查,决定应用程序的请求执行的许可。
Cisco安全代理是一个基于主机的入侵防御系统,现在是CallManager IP电话服务器中不可分割的安全组件。它还安装在Cisco的Unity语音邮件服务器和所有其他部署在Cisco网络上的Windows 2000服务器中。安全代理自动运行,它在服务器上提供了一些功能强大的安全保护措施,包括:
• 缓冲区溢出保护。
• 预防网络蠕虫和特洛伊木马(未测试)。
• 防止非授权应用的运行。
• 防止syn洪泛攻击。
• 端口扫描检测。
3 3.远程管理的安全
所有的CallManager 管理员和用户的网页以HTTPS的形式
• 用户名和密码
• 配置修改
• 服务管理功能
• 快速拨号,呼叫转移
对于系统管理员界面的有限访问:根据 User-ID来区分不同级别的系统管理。“user-id“定义在LDAP数据库中。选择User Groups 定义Users,User Groups 定义在 Functional Groups中,不同的Functional Groups 对不同界面有不同的访问权限,如Read/write,Read-only,No access。
4 4.认证和加密
信令的认证与可信任证书列表(TLS/CTL)
思科使用TLS技术来保证CCM与IP电话之间信令传送的安全性。TLS可以实现双向的证书交换以完成对双方身份的确认,使用RSA 签名,使用HMAC-SHA-1 确保数据传送的完整性(传送过程中数据没有被第三方修改过),使用AES-128-CBC 加密方法保护 “语音流加密密钥”,“双音频信号”和其他信令信息。
信令认证与文件认证都依赖于认证信任列表(CTL)文件的建立。CTL文件包含了这样一些服务器或者安全令牌的入口:
• Site Administrator Security Token (SAST)
• Cisco CallManager or Cisco TFTP
• Cisco CallManager and Cisco TFTP running on the same server
• Certificate Authority Proxy Function (CAPF)
• Alternate Cisco TFTP
CTL文件包含有server certificate, public key, serial number, signature,issuer name, subject name, server function, DNS name, and IP address for servers.创建完成了CTL文件以后,必须重启集群中全部Cisco CallManager以及TFTP服务器。下一次IP PHONE初始化时候,会从TFTP服务器下载CTL文件。
如果集群配置成非安全模式,TFTP服务器不会签任何文件。安全模式情况,TFTP服务器签静态文件,例如.sgn 格式ring list, localized, f.xml, and ring list wav,当IP PHONE下载了文件以后,就会通过验证文件中的签名校验完整性。如果这些条件符合:
• 证书必须存在话机中。
• CTL 文件必须存则话机中,文件中还必须有Cisco CallManager 条目和证书。
• 认证或加密的设备需要进行配置。
• 可以成功的建立起来TLS连接。改连接通过TLS SCCP端口,为配置端口号+443。缺省情况为2443。
SRTP媒体内容加密
• SRTP 用于传送经过认证和加密的流媒体。
• 符合IETF RFC3711标准
• 使用 HMAC-SHA-1 方法进行认证, AES-128-CM 方法进行加密。
• ”语音流加密密钥“由CCM导出并通过tls传送给IP电话。
• 目前SRTP只支持 7940/7960/7970
• SRTP 会逐步支持所有的IP电话和网关。
SRTP加密过程:
1. 设备A于设备B,均支持SRTP,注册到CALL MANAGER
2. 设备A CALL 设备B,Call Manager 从KEY管理函数要求两个媒体连接master value
3. 两个设备都收到两套值,一个用作媒体流DEVICE A TO B,另一个用作媒体流DEVICE B TO A
4. 用第一套MASTER VALUE,Device A得到KEY加密以及鉴别媒体流A to B
5. 用第二套MASTER VALUE,Device A得到KEY解密以及鉴别媒体流B to A
6. Device B按反方向作同样操作
7. Device A B收到KEY以后,设备执行要求的KEY DERIVATION,SRTP包处理过程开始
注意:用了SRTP增加了15毫秒延迟,比RTP要大4-7 BYTE
5 5.防盗打
• 通过CCM的配置来防止外部电话的转接选项:
防止内部员工为两个外线电话(通常是长途电话)进行转接。该选项默认情况下为关闭,所以需要人工配置,该选项可以管理的内部设备包括:
SCCP (StationD, NCallStationD),MGCP FXS (MGCPStationD),H323 Phone (Netmeeting),Conference Bridge (UnicastBridgeControl)
该选项可以管理的外部设备包括:H323 Gateway device,MGCP FXO trunk,MGCP T1/E1 trunk,Inter cluster trunk
• 当发起者挂机时会议电话拆线选项:
规定当会议的发起者挂机时,系统是否自动对会议电话拆线。该选项可以防止内部员工使用”电话会议”的方法为外线电话转接国际长途。该选项需通过手工配置激活。
• 强制认证代码(FAC)和客户事件代码(CMC)
√ 在电话被接续之前,客户必须使用“强制认证代码”来确认他有权限使用这项服务。FAC从route partten中启用。
√ 对于有些对方付费或第三方付费的电话呼叫,可以使用“客户事件代码”用于计费系统和详细的通话记录。CMC从route partten中启用。
[pic]
-----------------------
管理工作站
管理配置
监控
资源分配
VIP 2
服务器群1
服务器群2
服务器群3
服务器群4
SSL
证书1,2
服务器管理
分区B定义
1号域
2号域
网络/安全
分区A定义
管理
管理分区
分区A
分区B
物理模块
角色
................
................
In order to avoid copyright disputes, this page is only a partial summary.
To fulfill the demand for quickly locating and searching documents.
It is intelligent file search solution for home and business.
Related searches
- public administration circular 03 2016
- 03 2016 circular
- 12 18 in simplest form
- 3 03 quiz middle ages music part 2
- icd 03 purple manual
- activities for 12 months to 18 months
- 2 03 quiz elements of fiction 1
- opnav 1650 3 rev 12 18 fillable
- 12 18 in spanish
- 12 0 5 6 3 18 next number
- english 3 2 03 assignment
- 2 03 english 4 prezi