浅论综合康复机构网络系统规划

摘要：随着互联网络的迅猛发展，各康复机构的业务正不断向外延伸，而综合康复机构在发展过程中受到信息网络系统的限制。该文论述了如何解决既能按照国家有关规定将内外网络物理隔离，而又能实现内外网络的信息系统数据安全交换，使现有的资源得到最大利用。

关键词：HIS系统；网络系统需求；建设需求

中图分类号：TP311.13 文献标识码：A文章编号：1007-9599 (2011) 1-0000-02

The Network System Planning of Comprehensive Rehabilitation Facility

Jia Yingna

（Hangzhou Xiaoshan Special Rehabilitation Centre,Hangzhou 311203,China）

Abstract:With the rapid development of Internet,each rehabilitation institutions business is being constantly extends outward,and comprehensive rehabilitation institutions are restricted by the network system in the process of development.This paper discusses how to solve both that can according to relevant state regulations will internal and external network physics isolation,and that can achieve internal and external network information system data security exchange,making the existing resources to obtain maximum utilization.

Keywords:HIS system;Network system demands;Construction demand

一、综合康复机构网络系统的多样性需求

康复行业由于其特殊性，对于各种系统的稳定和可靠都有非常高的要求，在稳定可靠的基础上，以实用为先，应用各种网络技术，提高网络数据传输可靠性、安全性和高效率是目前康复行业应用的发展趋势。同时，也要不断提高康复机构领导和信息中心对信息化建设的基础设施网络系统建设的认识。

康复机构的应用有很多的特殊性，而且康复机构的应用也是多种多样的，求传输效率，以文本信息为主的门诊收费信息；综上所述，我们认为康复机构网络建设的主要目标是建一个稳定、安全，易于管理的网络平台，建成后的网络平台是一个集各种数字化康复设备和器械为一体的综合数字化康复系统，而网络平台作为这些数字化应用的基础设施，成为数字化建设首先考虑的重点，如何建设一个稳定，可靠，安全，应用集中的综合业务网络平台，是康复机构信息化建设的根本出发点。

二、综合康复机构网络系统规划解决

（一）网络优化拓扑结构

（二）网络优化设计说明

针对综合康复中心的网络情况，建议综合康复中心的网络在物理上分成内外网两部和内外网部分，外网部分为非区，内网部分为区域，内外网之间为交换区域，以下我们将分成三部分来介绍如何部署本方案。

1.外网部分。为保证综合康复中心网络内部系统的安全性，通过在外网部署高性能多核安全网关，保证在高吞吐量，多业务流量的条件下，也能轻松应对网络安全问题。通过“FireWall＋IPS＋AV＋NBC+NAT＋VPN”多业务逻辑功能整合，在保证综合康复中心网络核心安全的同时接入Internet，实现综合康复中心内部网络的安全；通过以上的部署，可以拒绝非法访问，恶意攻击，保护网络边界的安全；抵挡木马攻击、蠕虫攻击、后门攻击、利用漏洞攻击和拒绝服务攻击；使康复机构网络永无安全后顾之忧。另外，我们还可以在外网的多功能安全网关上部署Web认证，实现使用资源时必须要通过认证才可以使用网络资源，实现“可信、可控、可取证”。

2.内网部分。在内网之间部署高性能多功能安全网关，保证康复机构内网的服务器和存储系统的安全性，业保证了在高吞吐量，多业务流量的条件下，也能轻松应对HIS与医保、新农合数据库的远程对接，并保持实时更新，使康复机构网络永无安全后顾之忧。

3.内外网交换部分。在内外网的边界部署两台多功能安全网关，实现HA模式的部署，可以加强对外网访问内网安全限制，多功能安全网关可通过监测、限制、更改跨越多功能安全网关的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护；在逻辑上，多功能安全网关是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和外部外网之间的任何活动，通过严格的访问控制策略，不该放的IP地址坚决不放，对源地址和目标地址均进行严格控制，对源、目标端口进行严格控制，保证了内部网络的安全；另外，对于外网的用户要使用内网的任何资源，我们都是通过内外网之间的多功能安全网关的NAT映射来实现，充分保证了内网服务器的安全访问。

为了保障服务器群的网络365×24×7的运转，关键业务的连续服务，除考虑高可用性的关键业务主机、冗余及备份的网络设备和线路外，作为信息流量集中地的多功能也应采用高可用性的解决方案。

采用这种方式，两台多功能安全网关总是只有一个在运行，另一个则一直在备用；当主多功能安全网关出现故障，备用多功能安全网关之间将协商产生主多功能安全网关并接管主多功能安全网关的工作，实现主备切换，实现无缝切换。

在高吞吐量，多业务流量的多功能安全网关条件下，通过“FireWall＋IPS＋AV＋NBC+NAT＋VPN”多业务逻辑功能整合，保证综合康复中心网络安全的同时保护了内外网之间的数据交换机，对外部提供服务。

（三）网络安全防护

新增外网的接入交换机，根据楼层的分布情况，可以采用8口接入交换机和24口入交换机；在内网与内外网之间分别部署高性能的多功能安全网关，充分保障内部网络与外部网络的安全，制定严格的控制策略，该放行的数据就放行，不该放行的数据绝对不允许通过；在外网部署硬件防毒墙和内网部署防病毒软件，软硬相结合，让病毒进不来，部分进来了让内部充分杀掉病毒，保障内部网络的安全。

在外网上部署入侵防护系统，通过入侵防护系统可以实时监测各种流量，提供从网络层、应用层到内容层的深度安全防护。采用这种部署方式，旨在准确监测来自Internet的网络异常流量，对常规网络流量中的恶意数据包进行检测，尤其是应用层的数据包，预先对检测到的攻击性的流量进行自动拦截，而不是简单地在检测到恶意流量的同时或之后发出警报。如果检测到攻击企图，就会自动地将攻击包丢掉或采取措施将攻击源阻断而不把攻击流量放进内部网络。可以将所有的恶意行为阻拦在整个网络之外。这样对网络的流量进行“流量净化”从而有效地将针对网络各节点的威胁降到最低。在外网上部署上网行为管理，充分保证内部用户上网所有行为可控，有依据可查，便于事后查询与事前控制；在外网上部署Web认证，即入网即认证，充分保障外网资源的可控性。

通过以上的部署，可以保证内网安全的同时，又能减少使用上的不便，能够在信息中心的授权之下方便的进行和外网间数据交换。

参考文献:

[1]黄伟.医院信息系统中的网络安全与管理.上海中医药大学附属龙华医院信息中心.网络安全技术与应用.2010-12-15

[2]任浩杰.医院网络办公管理平台的研究与设计.[硕士论文]长春理工大学.2009