XX医院网络安全系统

还是医院都非常关键，需要严格保密，因此如何保护这些数据，对医院有着重大的意义。 ③高效的管理推动系统的稳定，提高维护的效果

HIS经过几年的建设，已经初具规模。如何管好整个医院的业务系统，包括用户、服务器、数据库、存储设备和网络等，提高医院管理效率，保证医院网络的正常运转已经成为医院急需解决的大问题。 ④医院数据的安全存储

医院需要存储包括病人信息、病案信息、费用信息和影像等数据，对数据存储的安全性和扩展性要求非常高。 ⑤区域医疗的建设

为了在区域范围内实现远程会诊、网上学术研讨等业务，迫切需要医院之间的资源共享。 3.3.XX医院内网安全解决方案

①在接入层，选用的千兆接入交换机（S5120-24/48P-EI）具备24/48个10/100/1000Base-T以太网端口和4个复用的1000Base-X SFP千兆以太网端口

（Combo），根据网络的点位把接入层设备堆叠以扩展设备端口。千兆位以太网逐渐延伸到桌面已经成为最迫切的需要之一，在诸如医疗行业的会诊、医疗影像、医疗科研协作等，应用在消耗大量带宽的同时，也在追求终端用户的满意度，基于铜缆的千兆以太网可以将更多的应用从低速链路中解放出来，并且为医务工作者创新提供了一个崭新高效能工作平台。

②在汇聚层，选用千兆全光纤交换机（S5500-28F-EI），具备24 个SFP千兆端口，8 个复用的10/100/1000Base-T以太网端口（Combo），两个扩展槽位，提供了高性能、大容量的交换服务，支持10GE的上行接口，为接入设备提供了更高的带宽。汇聚层交换机万兆上联至核心交换机，千兆下行连接千兆桌面交换机，起到医疗网络中非常重要的上承启下的作用。

③在核心层，推荐选用S7506E万兆性能交换机，医院网络同时承载多种业务，所有交易业务都要经过核心交换机处理，采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发；采用无单点故障设计，所有关键部件，如主控板、交换网、电源和风扇等采用冗余设计；无源背板避免了机箱出现单点故障；所有单板和电源模块支持热插拔功能；H3C S7500E系列可以在恶劣的环境下长时间稳定运行，达到99.999％的电信级可靠性；面向数据中心技术的演进，推出了以智能弹性架构（IRF）为代表的软件虚拟化技术，提供多台主机的协同工作、统一管理和不间断维护功能；IRF不仅成为数据中心交换设备高性能、虚拟化的关键技术，而且对于传统企业网应用，IRF所提供的高可靠性和无缝升级、扩展能力，也成为H3C用户增值服务的重要组成部分。 3.4.XX医院外网安全解决方案

由于外网主要用于医院OA办公、图书馆信息查询、楼内视频监控、视频会议，外网相对于内网来说可靠性要求相对级别次低一级，初期按照采单核心交换机、单引擎、百兆接入到桌面设计，采用接入直接到核心的二层结构。

①在接入层，选用（S3600SI)系列百兆三层智能弹性交换机，分别具备24个10/100Base-TX以太网端口，2个1000Base-X SFP千兆以太网端口，2个10/100/1000Base-T以太网端口；48个10/100Base-TX以太网端口，4个1000Base-X SFP千兆以太网端口。系统采用创新的IRF技术，在安全可靠、多业务融合、易管理和维护等方面为用户提供全新的技术特性和解决方案，是理想接入交换机。

②在核心层，选用S7506E作为外网的核心交换机，S7500E作为高端多业务路由交换机，融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。

SecPath 1000-S集成防火墙、VPN、内容过滤和NAT地址转换等功能，提升了网络

设备的安全业务能力，为用户提供全面的安全防护。能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能，有效的保证网络的安全。采用H3C ASPF（Application Specific Packet Filter）应用状态检测技术。提供邮件告警、攻击日志、流日志和网络管理监控等功能，协助用户进行网络管理。在出口网络出口，高性能处理的SecPath 1000S防火墙同时作为路由设备，与Internet、银联系统、图书馆系统、视频会议系统相连接。

出口路由器选用SR6602，SR6600是业界首款基于多核多线程的高端路由器，具备高性能、易编程、灵活的L4-L7层业务应用等特点。多核多线程处理器的应用，使网络设备具备高性能和灵活性等特点，其良好的可编程性和易用性，使SR6600对未来的新业务具备快速响应能力和良好的适应能力，满足用户不断发展的、在路由器上实现应用层业务管理的需求。

第四章 医院网络安全防护技术

4.1. 地址扫描攻击防护能力

地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时，网络设备会给该网段下的每个地址发送ARP报文，地址不存在的话，还需要发送目的主机不可达报文。如果直连网段较大，攻击流量足够大时，会消耗网络设备较多的CPU和内存资源，可能引起网络中断。

H3C网络设备实现了地址扫描攻击的防护能力。当交换机收到目的IP是直连网段的报文时，如果该目的IP的ARP表项不存在，会发送一个ARP请求报文，并针对目的地址下一条丢弃表项，以防止后续报文持续冲击CPU。如果有ARP应答，则立即删除相应的丢弃表项，并添加正常的ARP表项。否则，经过一段时间后丢弃表项自动老化。这样，既防止直连网段扫描攻击对交换机造成影响，又保证正常业务流程的畅通。Comware网络系统平台提供相应的配置命令，用于控制设备的地址扫描攻击防护功能是否启用。