【摘要】運用VLAN技術將信息網中不同的信息子系統(tǒng)用戶����、不同工作性質的用戶進行分組,既劃分為不同的VLAN(虛擬局域網)。從網絡安全、用戶工作性質和必須訪問信息的內容等情況考慮���,合理制定各VLAN用戶的訪問策略和對各VLAN用戶工作站的管理策略。充分發(fā)揮交換機����、防火墻的功能,在不增加投資�����、確保網絡安全的情況下�����,改善信息網絡環(huán)境�����,提高工作效率���。
【關鍵詞】網絡設計 VLAN技術 網絡結構模型 網絡互連
隨著計算機網絡技術的不斷發(fā)展���,虛擬局域網(VLAN)技術在各行業(yè)網絡中的應用越來越普遍,以千兆3層交換為核心的網絡模型更是為VLAN技術的應用創(chuàng)造了條件。
1 問題的提出
在傳統(tǒng)的局域網網絡模型結構設計中��,所有用戶設在同一局域網內��,將會引起網絡性能的下降�,浪費帶寬資源,而且容易形成廣播風暴和隱藏網絡安全方面的問題�,甚至不得已將原來的網絡推倒重建。
為了防止計算機病毒和網絡黑客入侵影響醫(yī)院信息系統(tǒng)的穩(wěn)定運行��,理論上要求醫(yī)院信息網與其他外網物理隔離����; 另一方面, 院決策機關和醫(yī)務人員對Internet網上信息資源的需求很大�����,工作人員的計算機希望連入 Internet網��,這就形成了一對矛盾���。解決的方法��,可以采用雙工作站或一個工作站雙網卡、雙硬盤、雙系統(tǒng)的方式�。但是,這種方式不但要增加醫(yī)院網絡建設的投資����,而且只能解決醫(yī)院信息網與院外網的物理隔離問題,既不能充分利用院外網的網絡資源來改變醫(yī)院信息網仍然是信息孤島的現狀��,也不能解決醫(yī)院信息網的其他安全問題和網絡的運行效率問題��。而通過VLAN技術和防火墻的合理設置����,問題就可迎刃而解了。
2 VLAN技術的應用
2.1 VLAN的劃分
醫(yī)院信息目前大致可以這樣劃分:HIS的信息�、RIS信息、LIS的信息���、PACS的信息����、圖書雜志數據庫信息����、監(jiān)控系統(tǒng)音視頻信息等���。在醫(yī)院信息網內部各業(yè)務子系統(tǒng)間,原則上按信息系統(tǒng)劃分VLAN�;對決策機關用戶,根據用戶的工作性質�、各服務器被訪問的情況綜合考慮后進行分組劃分VLAN.
2.2 VLAN用戶訪問策略的制定
根據各VLAN用戶必須訪問的信息內容和工作性質,決定其訪問網絡信息的權限�����,利用三層交換機訪問控制列表及其路由功能��,制定各VLAN用戶之間的互訪和跨VLAN訪問信息的策略��。如HIS����、LIS、RIS�、PACS這些業(yè)務子系統(tǒng)用戶可以互訪,所有用戶可以訪問圖書雜志數據庫信息���、辦公信息等�。政工�、行政管理部門的人員所在VLAN用戶�����、院外網上的其他用戶(既有光驅、軟驅的工作站)不能直接訪問HIS����、LIS、RIS�、PACS這些業(yè)務子系統(tǒng)的信息。禁止有光驅��、軟驅的工作站與無光驅�、無軟驅并禁用移動存儲介質和無線上網卡的工作站互相訪問。 2.3 VLAN用戶工作站管理策略的制定 對醫(yī)院信息網絡來說��,HIS�����、LI S���、RIS�����、PACS這些業(yè)務子系統(tǒng)的信息是最重要的���,因此����,對這些VLAN用戶宜采用無光驅�、無軟驅、禁用移動存儲介質和無線上網卡的工作站���。在圖書室建立電子閱覽室����,供業(yè)務人員上Internet網查閱資料�����。對同時允許機關管理�����、科室業(yè)務人員�����、外網用戶訪問的存放共享信息的服務器群VLAN用戶應該重點加裝軟、硬件防火墻和查殺計算機病毒程序����。政工、行政管理部門的人員所在VLAN用戶��、允許訪問外網的其他用戶一般采用有盤工作站����,這些工作站必須路經防火墻后才能訪問醫(yī)院網絡上的公共信息��。
3 防火墻的應用
在醫(yī)院信息網絡到院外網的出口處加裝硬件防火墻��,主要功能為實現數據包的轉發(fā)�����、包過濾�����、訪問控制和防止入侵與攻擊���。政工�、行政管理部門的人員所在VLAN用戶有盤工作站也從防火墻外接入,確保HIS���、LIS��、RIS����、PACS這些業(yè)務子系統(tǒng)的安全��。在同時允許醫(yī)院�����、外網用戶訪問的存放共享信息的服務器群VLAN上安裝網絡殺毒軟件�、計算機病毒防火墻和網絡管理軟件,強化網絡管理�����。
4 結論
通過VLAN的劃分���,對醫(yī)院內部局域網來說��,在原有HIS的網絡設備基礎上進行升級�����,擴展醫(yī)院辦公信息系統(tǒng)����、PACS、LIS���、RIS以及監(jiān)控系統(tǒng)時�����,可以將上述系統(tǒng)集在同一局域網內,由于網絡的環(huán)境得到了改善���,可以滿足各系統(tǒng)對網絡帶寬的要求��,PACS的影像傳輸速度和LIS�����、HIS的信息調用及發(fā)送速度可以明顯加快�����,而HIS本身的速度并不會受到影響�����,醫(yī)院本身的網絡布線并不需要發(fā)生大的改變��,硬件設施也不需要過多增加�����;對Internet網上和地方醫(yī)保網來說���,只需在院內局域網出口處加裝硬件防火墻確保網絡安全外���,不需要任何其他投資,就可以實現醫(yī)院信息網與Internet網上和地方醫(yī)保網的連接�,使醫(yī)院在節(jié)約成本的同時提高了醫(yī)院信息網的工作效率,能夠適應醫(yī)院管理不斷提出新要求的特點��,為建立全國性醫(yī)療衛(wèi)生信息網做好準備�����。
責任編輯:棋雯
