【摘要】 運用vlan技術將資訊網中不同的資訊子系統使用者、不同工作性質的使用者進行分組,既劃分為不同的vlan(虛擬區域網)。從網路安全、使用者工作性質和必須訪問資訊的內容等情況考慮,合理制定各vlan使用者的訪問策略和對各vlan使用者工作站的管理策略。充分發揮交換機、防火牆的功能,在不增加投資、確保網路安全的情況下,改善資訊網路環境,提高工作效率。
【關鍵詞】 網路設計 vlan技術 網路結構模型 網路互連
隨著計算機網路技術的不斷髮展,虛擬區域網(vlan)技術在各行業網路中的應用越來越普遍,以千兆3層交換為核心的網路模型更是為vlan技術的應用創造了條件。
1 問題的提出
在傳統的區域網網路模型結構設計中,所有使用者設在同一區域網內,將會引起網路效能的下降,浪費頻寬資源,而且容易形成廣播風暴和隱藏網路安全方面的問題,甚至不得已將原來的網路推倒重建。
為了防止計算機病毒和網路入侵影響醫院資訊系統的穩定執行,理論上要求醫院資訊網與其他外網物理隔離; 另一方面, 院決策機關和醫務人員對internet網上資訊資源的需求很大,工作人員的計算機希望連入 internet網,這就形成了一對矛盾。解決的方法,可以採用雙工作站或一個工作站雙網絡卡、雙硬碟、雙系統的方式。但是,這種方式不但要增加醫院網路建設的投資,而且只能解決醫院資訊網與院外網的物理隔離問題,既不能充分利用院外網的網路資源來改變醫院資訊網仍然是資訊孤島的現狀,也不能解決醫院資訊網的其他安全問題和網路的執行效率問題。LOcALHost而通過vlan技術和防火牆的合理設定,問題就可迎刃而解了。
2 vlan技術的應用
2.1 vlan的劃分 醫院資訊目前大致可以這樣劃分:his的資訊、ris資訊、lis的資訊、pacs的資訊、圖書雜誌資料庫資訊、監控系統音視訊資訊等。在醫院資訊網內部各業務子系統間,原則上按資訊系統劃分vlan;對決策機關使用者,根據使用者的工作性質、各伺服器被訪問的情況綜合考慮後進行分組劃分vlan。
2.2 vlan使用者訪問策略的制定 根據各vlan使用者必須訪問的資訊內容和工作性質,決定其訪問網路資訊的'許可權,利用三層交換機訪問控制列表及其路由功能,制定各vlan使用者之間的互訪和跨vlan訪問資訊的策略。如his、lis、ris、pacs這些業務子系統使用者可以互訪,所有使用者可以訪問圖書雜誌資料庫資訊、辦公資訊等。政工、行政管理部門的人員所在vlan使用者、院外網上的其他使用者(既有光碟機、軟碟機的工作站)不能直接訪問his、lis、ris、pacs這些業務子系統的資訊。禁止有光碟機、軟碟機的工作站與無光碟機、無軟碟機並禁用移動儲存介質和無線上網絡卡的工作站互相訪問。
2.3 vlan使用者工作站管理策略的制定 對醫院資訊網路來說,his、li s、ris、pacs這些業務子系統的資訊是最重要的,因此,對這些vlan使用者宜採用無光碟機、無軟碟機、禁用移動儲存介質和無線上網絡卡的工作站。在圖書室建立電子閱覽室,供業務人員上internet網查閱資料。對同時允許機關管理、科室業務人員、外網使用者訪問的存放共享資訊的伺服器群vlan使用者應該重點加裝軟、硬體防火牆和查殺計算機病毒程式。政工、行政管理部門的人員所在vlan使用者、允許訪問外網的其他使用者一般採用有盤工作站,這些工作站必須路經防火牆後才能訪問醫院網路上的公共資訊。
3 防火牆的應用
在醫院資訊網路到院外網的出口處加裝硬體防火牆,主要功能為實現資料包的轉發、包過濾、訪問控制和防止入侵與攻擊。政工、行政管理部門的人員所在vlan使用者有盤工作站也從防火牆外接入,確保his、lis、ris、pacs這些業務子系統的安全。在同時允許醫院、外網使用者訪問的存放共享資訊的伺服器群vlan上安裝網路防毒軟體、計算機病毒防火牆和網路管理軟體,強化網路管理。
4 結論
通過vlan的劃分,對醫院內部區域網來說,在原有his的網路裝置基礎上進行升級,擴充套件醫院辦公資訊系統、pacs、lis、ris以及監控系統時,可以將上述系統集在同一區域網內,由於網路的環境得到了改善,可以滿足各系統對網路頻寬的要求,pacs的影像傳輸速度和lis、his的資訊呼叫及傳送速度可以明顯加快,而his本身的速度並不會受到影響,醫院本身的網路佈線並不需要發生大的改變,硬體設施也不需要過多增加;對internet網上和地方醫保網來說,只需在院內區域網出口處加裝硬體防火牆確保網路安全外,不需要任何其他投資,就可以實現醫院資訊網與internet網上和地方醫保網的連線,使醫院在節約成本的同時提高了醫院資訊網的工作效率,能夠適應醫院管理不斷提出新要求的特點,為建立全國性醫療衛生資訊網做好準備。
