三甲医院智能化计算机网络及无线覆盖系统设计方案.doc

三甲医院智能化计算机网络及无线覆盖系统设计方案1.1 系统需求 某三甲医院网络系统需要充分考虑对多种业务的运行承载，因此具体分析整套网络的建设需求如下：l 需要保证整套系统的高可靠性，实现医院业务系统的不间断运行；l 整个网络平台需提供统一的安全保护机制，保证网络系统健康运行；l 核心层网络采用万兆骨干互联，用户侧达到千兆到桌面的标准；l 能够对用户终端进行安全准入检测，保证内网的整体安全性；l 对网络流量情况进行整体分析。l 对院区大楼实现无线网络覆盖。1.2 系统规划 1.2.1 设计范围本方案主要是针对新院区内部基础网络进行设计，网络范围包括1个核心节点（S10500）、办公区域下属各楼层的接入用户点（S5120），具体数量按照实际需求，采用相应端口数的接入交换机。并对办公楼整体进行无线覆盖，满足医院日常办公及病患就医需求。对于无线覆盖三至八层做到全覆盖，地下室及一，二层门诊部分公共区域覆盖。点位如下层数24口48口POE供电B1F211F2622F1523F1314F25F216F27F218F2小计62481.2.2 设计目标在院区内建设1套计算机通信传输网，基于TCP/IP技术，实现院区运营、安防、管理、上网、邮件的功能需求。系统配置遵循实用性和适用的原则，充分满足用户需求，并适度超前。系统设计和配置具标准化、可靠性、安全性和可扩展性。采用千兆位以太网交换技术和星型网络结构方式，可按业务需求规划二层或三层的网络架构。计算机信息网络系统主要为整个院区内的建筑智能化系统提供信息传输的物理基础。在有线网络搭建的同时，对医院整体大楼进行无线覆盖，实现对整个办公楼的无线覆盖需求。1.2.3 设计原则根据对某三甲医院院区网络建设需求的理解，网络系统设计必须适应当前各项应用，又可面向未来信息化发展的需要，因此在方案的设计中，始终贯穿以下设计原则：1、 可靠性: 采用C/S或B/S或两者结合的网络计算模式；采用以太网，实现通信阻塞控制和规避机制，保障通信传输的可靠性。2、 实时性: 采用VLAN，划分各弱电系统段，并预留带宽，避免实时任务在优先权竞争发生堵塞，提高通信传输实时性。3、 信息共享: 提供一个计算机网络系统通信传输平台，进行数据传输和数据存储备份，并实现相互交流信息，共享网络资源，查询和使用公共信息。1.2.4 系统组成及网络结构信息网络系统由下列几部分组成： 网络交换系统； 系统软件及网络管理系统； 网络信息安全系统； 无线网络系统网络交换系统：1) 系统使用基于TCP/IP协议的以太网技术构建，采用星型拓扑架构。2) 采用冗余网络设计，三层星型结构，在综合办公大楼设置1个核心点，在其他办公区域及业务区域设备若干汇聚点，在用户侧设备相应数量的接入点。3) 采用防火墙插卡、IPS插卡部署在核心交换机中，起到安全防护的效果，并起到与互联网互联的作用。4) 网络连接部件的配置： 核心层交换机：应采用高速、高带宽、支持不同网络协议和容错结构的机箱式交换机，并应具有较大的背板带宽，主控、交换网板和电源按一用一备冗余模式。 接入层交换机：采用具有链路聚合、VLAN路由、组播控制等功能和高速上连端口的交换机。5) 交换机链路设计： 核心层与接入层交换机之间采用千兆双链路连接。1.3 网络系统整体设计 1.3.1 网络拓扑如图所示，在院区网中可以划分为1个核心节点，采用2台H3C S10500核心交换机，2台交换机通过IRF虚拟化技术进行虚拟化融合，达到冗余的作用，另外在核心交换机上部署FW（防火墙）、IPS（入侵防御系统）达到对整个网络安全防护，并部署无线控制器插卡，对医院的整体无线AP进行统一管理，核心与接入设备采用千兆光纤连接方式。在接入点采用S5120接入层交换机，达到千兆到桌面的效果，并在每个楼层实际部署一台千兆POE接入交换机，对AP进行供电。AP选用450M，11n技术的WA3600i AP，按照每个楼层25个进行部署。为达到更好的管理效果，部署网管软件iMC平台，并配置WSM无线业务管理软件，对有线无线均进行统一管理和控制。1.3.2 网络结构说明核心骨干网核心骨干网是本次项目的主要网络设计部分，该部分网络包括主办公楼，以及相应的接入层网络部分，整个网络采用典型的二层架构： 核心层核心层实现高速的流量运送，该层面的网络设备需要完成大规模数据包交换，由于担负着全网中枢的重任，核心网络的部署需要尽量的简单，其设备应对网络中的每个目的地具备充分的可到达性。本方案核心节点位于新院区主办公大楼，在这个层面部署高端交换机，核心交换机之间采用万兆链路互联提供高速的传输通道，配置相应安全插卡对整个网络进行安全防护。并部署无线控制器插卡，对无线AP进行统一管理。 接入层接入层处在网络末端，进行终端的接入与业务的接入，提供对不同用户的安全保护和访问控制，也可作为权限认证的接入控制端。本方案从网络性能出发，提供10/100/1000M自适应的网络接口，并且所有接入层交换机都配置两块光模块同汇聚交换机实现双链路相连。1.3.3 网络设计特点通过对整个网络结构的分析，对网络部分的设计特点总结如下： 高性能从网络方案描述中可见，整个网络考虑高处理性能，整个网络提供高处理性能以保证某三甲医院院区各套业务系统的高效运行，并满足未来几年业务运营的带宽扩展需求。 高可靠性整个网络结构采用双星型拓扑结构，从接入层到汇聚层以及从汇聚层和数据中心到核心层全都采用双链路上行的模式充分保证了链路级的冗余可靠；所有服务器都配置双网卡，采用双链路连接到数据中心交换机上，进一步保证了网络用户进行数据库访问的高可靠支持。1.4 产品技术优势说明（1）核心层设备现有院区核心交换机采用S10500系列交换机，该设备采用CLOS架构，即主控模块与转发模块分离的架构，设备可靠性大幅度提升，即使设备主控引擎发生故障，对交换机的整体转发不造成任何影响。（2）网络安全防护对比安全盒式设备在出口采用串行连接，此种部署方式，虽然能够全面的进行安全防护，但会出现多个单点故障，极易使网络发生故障。另外，由于安全设备的性能无法与交换机相比，所以在网络出口部署过多的安全盒式设备，对网络造成了巨大的瓶颈，影响整体网络性能。第三，每个独立的安全设备都要进行独立的配置和管理，对于管理员来说，管理难度较大，工作效率较低。而在新院区采用的是安全插卡部署在核心交换机上的方式进行安全防护的，将安全设备集成为插卡直接插入到核心交换机中，避免了单点故障，且消除了网络瓶颈，提升了整体的管理和维护效率，安全防护效果更佳。下图为安全插卡与盒式设备的对比：（3）网络设备冗余备份效果的对比现有传统核心交换机间采用VRRP+MSTP的方式进行备份，平时正常工作的设备为一台，另外一台处于闲置备份的状态，且整体协议配置十分复杂，浪费了设备资源，设备利用率低。而在新院区建设中，两台核心交换机采用IRF虚拟化技术进行融合，两台设备虚拟化成一台逻辑设备，同时进行工作，提高了设备的整体利用率，整体性能也大幅度进行了提升。下图为虚拟化前后的对比：1.5 智能安全渗透网络 1.5.1 安全设计理念传统意义上认为互联网出口是医院安全漏洞的主要源泉，但是随着社会信息化应用的不断加快，对于一个大型的院区网络，安全防范的概念渗透到整个网络的各个方面，安全建设要站在全局的角度提出一个统一的建设思想，最终目标是建立一张稳定可靠安全可控的高效网络平台。本节陈述针对某三甲医院新院区整体提出的安全建设理念，并对本次网络建设中已经实现的多个安全防护部分进行应用说明。针对某三甲医院新院区这么庞大的院区网络，我们采用杭州华三通信技术有限公司（简称H3C公司）提出的智能安全渗透网络（intelligent Safe Pervasive Network，简称iSPN）理念进行设计，智能安全渗透网络（iSPN）提出了一个整体安全架构，从局部安全、全局安全、智能安全三个层面，为用户提供一个多层次、全方位的立体防护体系，使网络成为智能化的安全实体。局部安全针对关键问题点进行安全部署，抵御最基础的安全威胁；全局安全利用安全策略完成产品间的分工协作，达到协同防御的目的；智能安全在统一的安全管理平台基础上，借助于开放融合的大安全模型，将网络安全变为从感知到响应的智能实体，整个理念结构示意如下图：l 局部安全网络安全最基础的防护方式是关键点安全，即对出现问题的薄弱环节或有可能出现问题的节点部署安全产品，进行27层的威胁防范，当前医院绝大部分采用的都是这种单点威胁防御方式。在这种方式下，H3C强调通过“集成”来提供最佳的防御效果，即通过在网络产品上集成安全技术、在安全产品上集成网络技术以及网络与安全的插卡集成等方式，实现了安全技术和网络技术在无缝融合上做出的第一步最佳实践。l 全局安全由于安全产品种类的不断丰富，使得局部安全可以应对医院的大部分基础网络安全问题。然而此时局部安全的防护手段相对比较孤立，只有将产品的相互协作作为安全规划的必备因素，形成整网的安全保护才能抵御日趋严重的混合型安全威胁。为此，H3C推出了全局安全理念，借助于IToIP的网络优势，通过技术和产品的协作，将网络中的多个网络设备、安全设备和各组件联动起来，并通过多层次的安全策略和流程控制，向用户提供端到端的安全解决方案。以H3C的终端准入防御（EAD）为例，它将计算机网络、网络上的通用操作系统、主机应用系统等医院资源都纳入到安全保护的范畴内。在统一的安全策略下，利用各部分组件的协同联动，保证网络各端点的安全性与可控性。l 智能安全随着网络建设的日趋完善，面向业务的安全已经成为新的发展方向。只有理解医院业务，将医院的业务需求及流程建设充分融合到网络安全建设中来，从信息的计算、通信及存储等信息安全状态出发，以面向应用的统一安全平台为基础，通过安全事件的实时感知、安全策略的动态部署、网络安全设备的自动响应，将智能的安全融入医院业务流程中，形成开放融合、相互渗透的安全实体，才能实现真正的网络安全智能化。H3C在智能安全中采用开放应用架构（OAA, Open Application Architecture）为用户提供开放的硬件平台、标准的接口，允许第三方技术的无缝融合，从而将网络安全的边界打通，将业界的先进技术配合适当的安全策略，最终完成网络安全建设的蓝海战略。完善的安全管理体制是加强信息系统安全防范的组织保证。iSPN全局安全管理平台可以对全网的安全信息做到统一管理、统一下发安全策略以及统一分析安全数据，保证医院信息系统的安全运行。iSPN全局安全管理平台以开放的安全管理中心和智能管理中心为框架，将安全体系中各层次的安全产品、网络设备、用户终端、网络服务等纳入一个紧密的统一管理平台中，通过安全策略的集中部署、安全事件的深度感知与关联分析以及安全部件的协同响应，在现有安全设施的基础上构建一个智能安全防御体系，大幅度提高医院网络的整体安全防御能力。H3C全局安全管理平台由策略管理、事件采集、分析决策、协同响应四个组件构成，与网络中的安全产品、网络设备、网络服务、用户终端等独立功能部件通过各种信息交互接口形成一个完整的协同防御体系。高效的安全解决方案不仅仅在于当安全事件发生时，我们能够迅速察觉、准确定位，更重要的是我们能够及时制定合理的、一致的、完备的安全策略，并最大限度的利用现有网络安全资源，通过智能分析和协同响应及时应对各种真正的网络攻击。在局部安全、全局安全的基础上，H3C iSPN为实现这一目标而构建了专业安全服务、开放应用架构和可持续演进的全局安全管理平台，通过对防护、检测和响应等不同生命周期的各个安全环节进行基于策略的管理，将各种异构的安全产品、网络设备、用户终端和管理员有机的连接起来，构成了一个智能的、联动的闭环响应体系，可在保护现有网络基础设施投资的基础上有效应对新的安全威胁、大幅提升对医院基础业务的安全保障。H3C公司的智能安全渗透网络的安全建设理念非常适合某三甲医院院区新院区这样大型院区的安全建设思路，按照分布建设的思路首先加强局部安全和全局安全的各个纬度建设（这在本次整体网络系统中已经有了多个纬度的考虑），其次再逐步完善智能安全层面所涉及的方方面面。1.5.2 基础网络安全基础网络安全是局部安全建设的的体现，即在网络设备上集成了多种安全技术提供对网络中的安全隐患的基础防范，本次某三甲医院新院区的网络设备全部采用H3C公司业务的全系列交换机，这些设备全部采用统一的COMWARE网络操作系统，提供全面的基础网络安全防范特性：l 端口安全端口安全（Port Security）是一种对网络接入进行控制的安全机制，是对已有的802.1x认证和MAC地址认证的扩充。Port Security的主要功能就是通过定义各种安全模式，让设备学习到合法的源MAC地址，以达到相应的网络管理效果。对于不能通过安全模式学习到源MAC地址的报文或802.1x认证失败的报文，将被视为非法报文。当发现非法报文后，系统将触发相应特性，并按照预先指定的方式自动进行处理，减少了用户的维护工作量，极大地提高了系统的安全性和可管理性。端口安全的特性包括：NTK：NTK（Need To Know）特性通过检测从端口发出的数据帧的目的MAC地址，保证数据帧只能被发送到已经通过认证的设备上，从而防止非法设备窃听网络数据。Intrusion Protection：该特性通过检测端口接收到的数据帧的源MAC地址或802.1x认证的用户名、密码，发现非法报文或非法事件，并采取相应的动作，包括暂时断开端口连接、永久断开端口连接或是过滤此MAC地址的报文，保证了端口的安全性。Device Tracking：该特性是指当端口有特定的数据包（由非法入侵，用户不正常上下线等原因引起）传送时，设备将会发送Trap信息，便于网络管理员对这些特殊的行为进行监控。l 防IP伪装病毒和非法用户很多情况会伪装IP来实现攻击。伪装IP有三个用处：n 本身就是攻击的直接功能体。比如smurf攻击。n 麻痹网络中的安全设施。比如绕过利用源IP做的接入控制。n 隐藏攻击源设备防止IP伪装的关键在于如何判定设备接收到的报文的源IP是经过伪装的。这种判定的方式有三种。分别在内网和内外网的边界使用。在internet出口处过滤RFC3330和RFC1918所描述的不可能在内外网之间互访的IP地址。利用IP和MAC的绑定关系网关防御利用DHCP relay特性，网关可以形成本网段下主机的IP、MAC映射表。当网关收到一个ARP报文时，会先在映射表中查找是否匹配现有的映射关系。如果找到则正常学习，否则不学习该ARP。这样伪装IP的设备没有办法进行正常的跨网段通信。接入设备防御利用DHCP SNOOPING特性，接入设备通过监控其端口接收到的DHCP request、ACK、release报文，也可以形成一张端口下IP、MAC的映射表。设备可以根据IP、MAC、端口的对应关系，下发ACL规则限制从该端口通过的报文源IP必须为其从DHCP 服务器获取的IP地址。UPRFUPRF会检测接收到的报文中的源地址是否和其接收报文的接口相匹配。其实现机制如下：设备接收到报文后，UPRF会比较该报文的源地址在路由表中对应的出接口是否和接收该报文的接口一致。如果两者不一致，则将报文丢弃。1.5.3 安全融入网络安全业务插卡局部安全强调网络与安全的融合，在这个角度上H3C公司的核心交换设备上提供安全业务插卡，一方面实现网络和安全的无缝融合，另一方面将安全策略更加简单的嵌入到网络结构中。这种在高端交换机上部署安全板卡的优势表现如下：n 部署简单，安全策略的引入不改变网络结构，安全融入网络；n 扩展性强，只要交换机上端口需要安全防护，都成为安全板卡的业务端口，整台交换机成为一台集成化的安全设备；n 安全插卡采用板卡自带的处理引擎，不影响交换机的业务转发性能，并且可以在交换机上通过部署多块插卡提高整机安全处理性能；n 安全插卡可以单独配置，也可以通过交换机进行统一配置，管理简单；这里以防火墙板卡为例，进一步说明采用集成式安全板卡所能带来的一些技术应用优势：Bypass特性：在运营网络中可靠性是至关重要的因素，传统防火墙没有网络设备的高可靠性保证技术（如冗余引擎、机箱温控、风扇转速检测、链路故障检测、路由快速收敛等），因此实际部署中容易形成单点故障，采用防火墙插卡后防火墙可以利用交换机的各种高可靠性技术来提高自身的可靠性，并且，还能够实现bypass的功能，在防火墙故障的时候直接短接，跳过防火墙，收敛时间在100ms内，保证网络转发照常进行。以太网OAM：利用核心交换机成熟的OAM技术，可以实现VCT双绞线连通性检测、DLDP单通链路检测、GR等增强的可靠性特性，大大加强了防火墙的可靠性。减少连接故障：从连接方式方面，防火墙板卡采用内置板卡的方式，避免了传统机架防火墙复杂的网线连接方式，避免了网线连接产生的接触不良和端点故障。减少了网络中的单点故障。供电和功耗：供电方面，防火墙板卡采用交换机内置电源，具有电源冗余，可靠性更高。热插拔：防火墙接口卡支持热插拔，扩展性能不需要中断业务，大大提高了网络的灵活性。硬件成本降低：将防火墙作为交换机业务插卡方式部署，可以让防火墙共享交换机背板和电源，实现节省了防火墙的电源、温控、风扇等多方面硬件成本。虚拟防火墙：由于防火墙板卡支持虚拟防火墙，而每个虚拟防火墙可以独立进行配置，好比在网络中部署了多个独立的小型防火墙，可以为不同的业务分配不同虚拟防火墙实例，极大的节省了防火墙投入。 并且这些虚拟防火墙可以集中管理配置。图形界面和命令行结合：防火墙模块提供了图形管理界面。不同虚拟防火墙实例的使用者也不同，使用习惯和技术水平也不同，有的用户习惯使用图形化配置，有的用户习惯使用命令行配置，在防火墙板卡上可以统一提供。1.5.4 内网终端安全访问控制3.5.4.1概述全局安全理念考虑多产品技术的融合，将网络中多个网络设备、安全设备和各组件联动起来，并提供多层次的安全策略和流程控制。H3C公司终端准入控制(EAD，End user Admission Domination)解决方案很好的体现了全局安全的理念，该方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过智能客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施医院安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为网络管理人员提供了有效、易用的管理工具和手段。网络安全问题的解决，三分靠技术，七分靠管理，严格管理是医院、机构及用户免受网络安全问题威胁的重要措施。事实上，多数医院、机构都缺乏有效的制度和手段管理网络安全。网络用户不及时升级系统补丁、升级病毒库的现象普遍存在；随意接入网络、私设代理服务器、私自访问保密资源、非法拷贝机密文件、利用非法软件获取利益等行为在医院网中也比比皆是。管理的欠缺不仅会直接影响用户网络的正常运行，还可能使医院蒙受巨大的商业损失。EAD正是针对这类问题提供的解决方案，对接入网络的用户终端强制实施医院安全策略，严格控制终端用户的网络使用行为，可以加强用户终端的主动防御能力，大幅度提高网络安全。EAD在用户接入网络前，通过统一管理的安全策略强制检查用户终端的安全状态，并根据对用户终端安全状态的检查结果实施接入控制策略，对不符合医院安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁升级等操作；在保证用户终端具备自防御能力并安全接入的前提下，可以通过动态分配ACL、VLAN等合理控制用户的网络权限，从而提升网络的整体安全防御能力。3.5.4.2 EAD终端准入控制方案介绍EAD终端准入控制方案包括两个重要功能：安全防护和安全监控。安全防护主要是对终端接入网络进行认证，保证只有安全的终端才能接入网络，对达不到安全要求的终端可以进行修复，保障终端和网络的安全；安全监控是指在上网过程中，系统实时监控用户终端的安全状态，并针对用户终端的安全事件采取相应的应对措施，实时保障网络安全。A、方案思路EAD解决方案的实现思路，是通过将网络接入控制和用户终端安全策略控制相结合，以用户终端对医院安全策略的符合度为条件，控制用户访问网络的接入权限，从而降低病毒、非法访问等安全威胁对医院网络带来的危害。为达到以上目的，H3C提出了包括检查、隔离、修复、监控、管理的整体解决思路。1. 检查：l 检查网络接入用户的身份；l 检查网络接入用户的访问权限；l 检查网络接入用户终端的安全状态；2. 隔离：l 隔离非法用户终端和越权访问；l 隔离存在重大安全问题或安全隐患的用户终端；3. 修复：l 帮助存在安全问题或安全隐患的用户终端进行安全修复，以便能够正常使用网络；l 帮助不符合安全策略的用户终端通过自动软件补丁分发的方式，实现终端安全状态的全面提升。4. 监控：l 实时监控在线用户的终端安全状态，及时获取终端安全信息；l 对非法用户、越权访问和存在安全问题的网络终端进行定位统计，为网络安全管理提供依据；l 通过制定新的安全策略，持续保障网络的安全。5. 管理：l 管理终端用户的系统硬件使用状态，包括对USB接口，光驱/软驱，Modem接口，串口/并口，蓝牙和红外接口等的管理。l 对用户安装软件的行为进行管理和监控，对安装违规软件或为未安装软件的行为进行反馈和报警，并禁止违规软件的使用行为。l 通过监控桌面终端的进程情况，对运行违规进行或未运行规定进程的行为进行控制，采用反馈或报警等多种方式实现集中管理，比如对聊天、游戏等进程的报警或关闭。l 通过监控终端的软件安全状态，分发系统补丁，病毒补丁等文件，帮助终端提升安全防御能力，并对没有安装补丁的终端提供自动修复或通知修复等多种方式进行管理。l 对网络中PC的运行流量进行监测和管理，包括网络的端口流量等进行管理，通过对网络流量的监测实现对网络中病毒攻击行为的及时发现，防止恶性攻击行为及病毒的扩散传播。B、方案组成部分为了有效实现用户终端安全准入控制，需要实现终端安全信息采集点、终端安全信息决策点和终端安全信息执行点的分离，同时还需要提供有效的技术手段，对用户终端存在的安全问题进行修复，使之符合医院终端安全策略，顺利接入网络进行工作。EAD解决方案的组成部分见下图：如图所示，EAD解决方案的基本部件包括EAD安全策略服务器、防病毒服务器、补丁服务器等修复服务器、安全联动设备和H3C安全客户端，各部件各司其职，由安全策略中心协调，共同完成对网络接入终端的安全准入控制。u 安全策略服务器EAD安全策略服务器是EAD方案中的管理与控制中心，兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。l 安全策略管理。安全策略服务器定义了对用户终端进行准入控制的一系列策略，包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。l 用户管理。医院网中，不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级，方便管理员对网络用户制定差异化的安全策略。l 安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态，控制安全联动设备对用户的隔离与开放，下发用户终端的修复方式与安全策略。通过安全策略服务器的控制，安全客户端、安全联动设备与修复服务器才可以协同工作，配合完成端到端的安全准入控制。u 修复服务器在EAD方案中，修复服务器可以是第三方厂商提供的防病毒服务器、补丁服务器或用户自行架设的文件服务器。此类服务器通常放置于网络隔离区中，用于终端进行自我修复操作。网络版的防病毒服务器提供病毒库升级服务，允许防病毒客户端进行在线升级；补丁服务器则提供系统补丁升级服务，在用户终端的系统补丁不能满足安全要求时，用户终端可连接至补丁服务器进行补丁下载和升级。EAD解决方案与微软SMS产品可以无缝集成，能够实现系统补丁检查和自动升级，推荐使用SMS桌面管理软件与EAD解决方案配合部署。同时EAD解决方案与瑞星、金山、江民防病毒软件可以实现联动病毒检查，强制终端用户进行入网前得病毒检查，推荐使用瑞星、金山、江民防病毒软件与EAD配合部署。u 安全联动设备安全联动设备是医院网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同，安全联动设备可以是交换机或BAS设备，分别实现不同认证方式（如802.1x或Portal）的终端准入控制。不论是哪种接入设备或采用哪种认证方式，安全联动设备均具有以下功能：l 强制网络接入终端进行身份认证和安全状态评估。l 隔离不符合安全策略的用户终端。联动设备接收到安全策略服务器下发的隔离指令后，目前可以通过动态ACL方式限制用户的访问权限；同样，收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。l 提供基于身份的网络服务。安全联动设备可以根据安全策略服务器下发的策略，为用户提供个性化的网络服务，如提供不同的ACL、VLAN等。u 安全客户端H3C EAD客户端是安装在用户终端系统上的软件，是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体，其主要功能包括：l 提供802.1x、Portal等多种认证方式，可以与交换机、BAS网关等设备配合实现接入层、汇聚层的终端准入控制。l 检查用户终端的安全状态，包括操作系统版本、系统补丁、共享目录、已安装的软件、已启动的服务等用户终端信息；同时提供与防病毒客户端联动的接口，实现与第三方防病毒软件产品客户端的联动，检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到EAD安全策略服务器，执行端点准入的判断与控制。l 安全策略实施，接收安全策略服务器下发的安全策略并强制用户终端执行，包括设置安全策略（是否监控邮件、注册表）、系统修复通知与实施（自动或手工升级补丁和病毒库）等功能。不按要求实施安全策略的用户终端将被限制在隔离区。l 实时监控系统安全状态，包括是否更改安全设置、是否发现新病毒等，并将安全事件定时上报到安全策略服务器，用于事后进行安全审计。3.5.4.3 功能特点EAD解决方案提供丰富的功能规格，在具体应用部署时，可根据用户网络的实际使用需求，确定EAD的应用模式和部署方案，下面对一些功能特点进行介绍：l 终端补丁检测：评估客户端的补丁安装是否合格，可以检测的补丁包括：操作系统(Windows 2000/XP/2003等)等符合微软补丁规范的热补丁。l 安全状态定时评估：安全客户端可以定时检测用户安全状态，防止用户上网过程中因安全状态发生变化而造成的与安全策略的不一致。l 终端运行状态实时检测：可以对上线用户终端的系统信息进行实时检测，包括已安装程序列表、已安装补丁列表、已运行进程列表、共享目录信息、分区表、屏保设置和已启动服务列表等。l 防病毒联动：主要包含两个方面，一是端点用户接入网络时，检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等，不符合安全要求可以根据策略阻止用户接入网络或将其访问限制在隔离区；二是端点用户接入网络后，EAD定期检查防病毒软件的运行状态，如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。EAD 客户端联动支持的防病毒软件有：瑞星、金山、江民、诺顿、趋势、McAfee 、安博士、CA安全甲胄、VRV等国内外厂商。1.5.5 安全管理中心某三甲医院院区新院区安全建设的高级目标是实现智能安全，实现整网安全信息的统一管理，安全策略统一下发，安全数据统一分析，并且通过安全策略的集中部署、安全事件的深度感知与关联分析实现安全部件的协同响应。为达到这一目标需要建设一个全局的安全管理平台，H3C公司推出安全管理中心SecCenter设备在安全管理平台中起到统一数据收集分析，安全信息统一管理等功能，并且通过同其他设备配合推动智能安全的实现。一个大型的网络，包含防火墙、交换机、路由器等诸多网络安全产品，这些网络设备随时随地都在发送SysLog信息，每天产生的Log信息达到数万之多，任何一个网络管理员很难通过Syslog来准确定位网络发生的安全故障；即使有丰富知识的网络管理员，能通过Syslog分析得到有用的网络信息，但是响应速度也是很慢的。为了解决安全管理的问题，H3C公司推出了SecCenter解决方案。该产品是基于硬件的安全智能、高效实施的安全信息及事件管理（SIEM）系统。它能够提供对全网海量的安全事件和日志的集中收集与统一分析，兼容异构网络中多厂商的各种设备，对收集数据高度聚合存储及归一化处理，实时监控全网安全状况，同时能够根据不同用户需求提供丰富的自动报告，提供具有说服力的网络安全状况与政策符合性审计报告，系统自动执行以上收集、监控、告警、报告、归档等所有任务，使IT及安全管理员脱离繁琐的手工管理工作，极大提高效率，能够集中精力用于更有价值的活动，保障网络安全。SecCenter每秒分析高达上万条事件，能够满足大型的网络环境需要，通过使用SecCenter，用户可以减少防范网络安全威胁的工作和时间，可以预先满足政府要求的安全规范，并以多种实时安全智能显著减少网络故障响应时间，能够发现、了解并预先防范黑客和病毒的活动与安全威胁。SecCenter系列产品的高性能、多功能和合理的价格使其成为强有力的IT架构安全智能系统平台。使用SecCenter系列产品能够解决用户如下实际问题：l 异构网络中孤立的安全事件，集中关联分析不同设备产生的日志非常困难，缺乏“整网”意识；l 网络设备所产生的海量信息，导致忽略甚至无法发现重要的内容；l 不断变化的安全漏洞，大量的攻击，响应及修复总是严重滞后；l 定期从海量数据中汇总整理统计报告，繁琐的手工操作耗费了管理员主要精力；l 缺乏统筹的安全策略，数不胜数的单一网络安全解决方案，管理员无法统一处理；l 不断增加的网络安全管理人员，以及预算投入l 管理者希望通过简洁直观的报告来判断网络安全状况，确定投资重点；l 海量日志数据无法长期保存，无法追踪用户行为的后果，审计活动难以开展； SecCenter方案主要功能特性包括：（1）不仅能够支持H3C各种设备类型，同时可以支持业界主流安全产品，支持产品类型高达上百种，其中包括防火墙、IPS、IDS、路由器、交换机、交换机，VPN，路由器，防火墙，IDS/IPS，内容过滤系统，防病毒系统，防间谍软件系统，防垃圾邮件系统和Windows，Unix和Linux 主机等。管理设备数量高达近千台。（2）通过监控台用户可实时地监控正在发生的紧急安全事件，SecCenter提供了上百种监控器，用户可根据关注重点定制监控台浏览内容帮助有效的管理安全环境。SecCenter提供了几十种预定义的关联告警模板智能的“专家系统”，同时能够允许用户自定义安全策略，设定关联模板，过滤重复信息，帮助用户快速发现真正的安全隐患，并做重点处理，防止问题发生。自定义关联警告设置灵活。关联告警可通过SNMP、Email等方式通知非现场用户及时处理。通过关联告警，一个实时的事件管理者可以从上百种不同网络设备中查看关联事件。 这些事件可以按照优先级被区分，及时对影响最大的行为进行纠正。（3）提供综合完善的报告。SecCenter提供了基于角色的访问报告功能，能够满足个人，部门以及高级管理等各层次的需求。（4）强大的日志管理。SecCenter兼容主流厂商日志格式，并通过多种方式获取设备日志信息，包括主动收集、被动接收等。能提供有价值的集中化日志管理，接收性能高达每秒近万条事件。不同格式的日志信息能够归一化存储，能够实现日志的海量存储，自动压缩和加密。（5）深度查询与审计分析。SecCenter为用户提供了强有力的搜索查询及分析能力，可以快速查询几个月甚至几年前的数据。通过深入的数据查询，对具体的安全事件深入分析，能够一步一步追踪，剥茧抽丝，最终发现安全事件攻击来源及根本原因。由于数据查询的广度和深度，可以实现很好的审计功能。（6）安全拓扑和可视化威胁。SecCenter综合所有网络信息，产生整网安全拓扑视图，安全管理员能够通过一个界面直观的查看整个网络安全状态，查看与安全相关的事件，使网络威胁可视化。（7）容易部署。SecCenter中已经集成了日志采集器、数据库、大容量存储、日志分析、报表服务器等一系列核心功能，无需增加其他软硬件设备，减少了用户安装及部署过程，接入网络后只需配置网络设备日志源指向SecCenter即可。用户可以通过一个安全、基于Web的界面实现远程管理，同时可支持多用户角色。