XX医院机房改造方案.docx

《XX医院机房改造方案.docx》由会员分享，可在线阅读，更多相关《XX医院机房改造方案.docx（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、XX医院机房改造方案一.项目背景为了更好适应时代发展，迎接网络与信息技术快速发展创新带来的安全新问 题、新挑战，保障单位关键信息基础设施在新技术、新设施、新应用为代表的新 经济、新环境下的平稳运行与数据安全，医院根据监管单位相关标准要求，以安 全技术保障、安全管理运营、安全监测预警、安全应急响应为核心，开展监管体 系卜机房建设整改，切实保障单位业务系统稳定运作与网络安全。机房建设需求分析2.1 应用系统现状医院应用系统数量较多，涉及HIS、LIS、PACS、健康体检、掌上医院、 电子发票等多个系统。现阶段互联网前置机与内网重要业务系统运行在同一安全 域，未对内外网应用系统进行严格划分，由于互联

2、网恶意攻击多，易造成内网 HIS、LIS、PACS等系统的数据泄露或停止服务。因此本次改造是将内网应用与互联网应用进行严格划分，将原有服务器用以 承载健康体检和掌上医院等互联网系统。采购新超融合服务器用以承载HIS、LIS、 PACS等内容应用。2.2 网络现状分析医院目前核心交换机暂时借用其他楼宇的汇聚交换机，网络架构需要优化， 并且核心交换处理性能要求较高，其主要的作用是快速转发来自汇聚层的数据， 核心交换机的端口要求数量多且带宽高，具备更高的可靠性、冗余性、吞吐量等 和相对较低的延时性。本次针对网络交换改造如F：采购两台高性能核心交换机部署在内网核心处, 一台交换机处理4联网应用系统的数

3、据交换，一台较高性能交换机处理内网应用 系统的数据交换。2.3 安全现状分析医院现阶段内外网没有进行严格划分，容易遭受来自互联网的恶意攻击。例 如：系统数据有可能被篡改，账号及资金缺乏安全保障、服务器中勒索病毒等。边界防护不完善：专线出口未采用入侵防御措施，存在较大的安全风险。缺失主机安全防护：服务器缺乏病毒检测与查杀，一旦发生勒索事件，将造 成巨大损失。缺少必要的审计手段：包括不限于上网行为日志，全网安全事件日志，数据 库操作审计，运维操作审计等，出现安全事件时，无法第一时间进行追溯，同时 日志审计也是国家的法律网络安全法的要求内容之一。缺少数据库安全防护：易出现对数据库的攻击从而导致数据泄

4、露或丢失的风 险。为保障医院所有系统的安全稳定运行，采用网闸设备对内外网进行安全隔离, 再采用防火墙、入侵防护设备部署在互联网出口区，防火墙设备部署在内网应用 服务器区、互联网（前置）应用服务器区。合理划分安全域，保证各个区域安全 稳定运转。三.整体架构体系设计3.1 医院信息系统外网建设外网信息系统需要建设的方面主要是：边界防护、区域划分、利旧服务器、 新建网络交换、主机安全。区域划分：划分互联网出口区和互联网应用服务器区。边界防护：采用防火墙和入侵防御系统部署在互联网出UK,采用防火墙设 备部署在互联网应用服务器区，对恶意流量进行识别和防护。采用上网行为管理 对办公上网用户做安全管控与审计

5、。利旧服务器：将原有服务器部署在互联网应用服务器区，承载健康体检和学 上医院等互联网系统。新建网络交换：采用台交换机处理互联网应用系统的数据交换。主机安全：通过给外网服务牌和终端电脑安装终端安全管理软件，对所有终 端进行同一管理和杀毒，避免出现内网被勒索、种马等情况。3.2 医院信息系统内网建设内网信息系统需要建设的方面主要是:边界防护、区域划分、新建应用系统、 新建网络交换、主:机安全、安全管理。区域划分：划分内网核心交换区和内网应用服务器区。边界防护：采用防火堵部署在内网应用服务器区，对恶意流量进行识别和防 护。新建应用服务：采用新超融合服务器用以承我HIS、LIS、PACS等内容应 用。

6、新建网络交换：采用两台高性能核心交换机部署在内网核心处，采用一台较 高性能交换机处理内网应用系统的数据交换。新建安全管理区：采用日志审计和堡垒机部署在内网核心处，通过日志审计 对内网网络和安全设备进行口志统一收集和分析展示，通过堡垒机对内网所有设 备进行统管理。主机安全：通过给外网服务器和终端电脑安装终端安全管理软件，对所有终 端进行同管理和杀毒，避免出现内网被物索、种马等情况。3.3 内外网间数据交换设计严格划分内网信息系统和外网信息系统后，内网系统数据库与外网系统数据 库需要进行部分数据交换，因此需要考虑数据交换的安全稳定。采用网闸设备部署在内网核心交换机与互联网交换机之间，网闸采用2+1

7、 架构（两个主机一个隔离硬件），对内外网数据进行安全交换。3.4 机柜设计本次需要将以上设备使用新的机柜进行承载，本次采用标准机柜，要求能将 新采购的设备放置完好。四、产品建设清单超融合平台服务罂机柜1个标准机柜服务器2台与之前采购的联想服务器同型号和配置超融合软件1套深信服超融合软件，4节点网络设备服务器交换机1台需要款华为有万兆口的交换机机房核心交换机2台目前用户核心使用华为S7703, A 前好像该型号没有万兆，因此需要 一款华为有万兆的交换机互联网核心交换机1台需要一款华为有万兆的交换机(性能比核心低)网络安全设备隔离网闸1台采用双主机架构，内外网各6个千兆 电口，内外各2个扩展插槽，

8、2个 RJ45 串口和 4 个 USB3.0 口，2U 机箱，冗余电源，1Gbps吞吐量， 含全部功能模块。服务器防火墙1台1U机型，含交流单电源，1*RJ45 串口，1*RJ45 管理口，2*1158 接口, 4*GE 电口(2 路 bypass), 1 个接口 扩展槽位,3Gbps吞吐量。互联网出口防火墙1台1U机型，含交流单电源，1*RJ45 串口，1 *RJ45 管理 口, 2*USB 接, 4*GE 电口(2 路 bypass), 1 个接口 扩展槽位，3Gbps吞吐量。前置业务防火墙1台1U机型，含交流单电源，1*RJ45串口, 1*RJ45管理口，2理SB接口,批注:需要补充批注

9、:需要补充4*GE 电口（2 路 bypass）, 1 个接口 扩展槽位,3Gbps吞吐量。日志审计1台1U,含交流冗余电源模块，2*USB 接口，TRJ45 串口，1*GE 管理口， 4*千兆SFP插槽，6*GE电口, 1个 接口扩展槽位，1TB SATA硬盘。授权接入40个日志源。堡垒机1台1U,交流单电源，4GCF卡，4T SATA硬盘，4G内存，4GE电口，2*USB 接口，TRJ45 串口，TGE 管理口，1个接口扩展槽位。授权管理,50台设备。杀毒软件1套提供病毒防护、漏洞管理、边界管理、 软件管理、IP/MAC管控、网络管控、 XP防护盾、流量管控等功能。上网行为管理1台1U,含交流单电源模块,10个兆电 口,4个千兆Comb。接口（光电复 用），1T硬盘数据库审计1台1U,含交流单电、USB2.0*2、RJ45 串口*1、管理网口*1、千兆光口*4, 千兆电口*6 （三组bypass）、1个网 络扩展位吞吐量：200M安装调试费机房设备安装、机 房网络改造调试费1批机房设备安装、机房网络改造调试费