思科医疗行业方案简介

思科医疗行业方案简介内容摘要：

上终接的，也能看作仅在另一台交换机上终接。 VSS 1440的系统虚拟化技术将多个 Cisco Catalyst 6500系列交换机整合为单一虚拟交换机，将系统带宽容量扩展到 Tbps。 VSS 成员通过虚拟交换链路（ VSL）连接。 VSL在虚拟交换机成员之间使用标准万兆以太网连接（多达 8条，以提供冗余性）。 通过在 72010G或 WSX670810G模块的任意 福建黎明纪元信息技术有限公司 端口上使用万兆以太网上行链路，即能形成 VSL。 除在 VSS成员间进行控制通信外， VSL也能传输普通用户流量。 使用 VSS技术在可靠性和可管理性方面优势如下：  对两台核心交换机实现单管理点，包括配置文件和单一网关 IP地址（无需 HSRP/ VRRP/GLBP），即逻辑上可以认为是一台设备；  多机箱以太捆绑 （ MEC）创建了简单的无环路拓扑结构，汇聚层到核心的连接以及核心之间的连接不再依靠生成树协议（ STP），而是直接按照以太捆绑通道来实现；链路的收敛不再 需要经过漫长的生成树收敛过程，而是使用（ 或 PAgP）能在一秒内完成 L2链路恢复；  将系统带宽容量扩展到 Tbps：通过使用冗余 Cisco Catalyst 650系列交换机上所有可用的 L2带宽，提供自动、精确的负载均衡。 Cisco VSS 1440消除了因园区中不对称路由造成的单播洪泛现象，并能最大限度地发挥虚拟交换机中的所有万兆以太网端口的作用。 IP SLA技术： IP SLA服务等级协议技术是思科领先的技术，并集成内嵌在大多数采用思科 IOS的设备，包括思科 3560交换机。 通过 IP SLA，能够实时收集网络性能信息：响应时间、单向延迟、抖动、丢包、语音质量数据及其它网络统计数据。 用户能够以持续、可靠、可预测的方式测量网络性能，并主动监控网络状态。 利用 IP SLA，企业不但能自动执行服务水平监控，使 IP服务水平得到保证，还能主动检查网络运营情况，并准确测量网络性能。 主动监控能够持续测量网络中多条路径之间的网络性能，并提供持续性能基线。 用户在实际使用网络的过程中不论出任何问题，都是反映网络不行。 在终端用户理解上，无论是网络连通性问题、还是服务器问题、还是应用软件问题他们都认为是网络平台出 问题，他们天然认为网络就是代表一切。 通过使用 IP SLA，就能实时地监控每一个终端用户到所有访问线路及服务器设备上的延时、抖动、丢包、拥挤的状况，也能实时模拟终端用户访问相应服务器，确定服务器的回应时间，从而分析出当用户反映网络有问题时，究竟是网络设备问题、还是某段线路问题、还是服务器的问题，并能整理出完整的报告。 福建黎明纪元信息技术有限公司 （图）思科 IOS IP SLA生命周期 EEM内嵌事件管理 技术： 内嵌事件管理器（ EEM）是集成在思科 IOS路由器和交换机（包括 3560交换机）中的一个非常有用的功能。 EEM是一种事件检测和 恢复工具，可为用户提供客户化的安全、可靠性等方面的增强能力。 通过内嵌的大量事件检测工具， 例如内存过高，线路误码太大，时间到等事件触发后， EEM将自动执行事先定义好的行为，例如执行一段代码，或发送通知，切换引擎等来自动修复网络故障，由此实现对高可靠性的保障。 通过 EEM，可以为网络设备赋予更多的智能，提高管理效率，降低管理成本。 EEM适用范围非常广泛，例如：  当内存占有率到 95%，将流量交换到另一台交换机；  当链路错误高但是没有中断时，关闭该链路，使用冗余链路；  需要在晚上 12:00使用更高级别 ACL，第二天 上班又使用普通 ACL等等。 ERSPAN技术： 在日常网络管理中，有时需要使用 IDS或流量监控设备来分析处理流量，这是就需要使用交换机上的一个功能：端口镜像（ SPAN）来捕获网络流量。 有时需要监控远端流量，将 IDS设备或流量监控设备带到远端不太现实，这时就需要采用远程端口镜像功能，对于 福建黎明纪元信息技术有限公司 中间全部是二层的局域网环境，使用的是 RSPAN功能。 如果中间是三层的路由环境，则要使用 ERSPAN技术，需要利用到思科 6500交换机上的 GRE功能才能实现。 通过 SPAN、RSPAN和 ERSPAN功能的有机结合，网管人员在网络中 心就可以方便的监控网络中任意点的网络流量，从而有效管理网络，保障整体可靠性。 3. 建立医疗数据中心 的存储整合和数据灾备（详见本文第五部分：医疗级数据中心解决方案） 思科高可靠医疗级网络基础设施解决方案设备 参考  核心层（两台） 6500系列交换机 4500系列交换机  汇聚层 （两台或者一台） 4500系列交换机 3750系列交换机 3560系列交换机  接入层 （若干台） 3750系列交换机 3560系列交换机 2960系列交换机  数据中心交换机 （两台或者多台） ： Catalyst 4900交换机 Catalyst 3750交换机 Catalyst 3560交换机 详细信息欢迎垂询思科区域 医疗行业客户经理 和 医疗行业客户 技术支持系统工程师，或参考思科网站： 福建黎明纪元信息技术有限公司  English：  中文： 思科 高可靠 医疗级网络 基础设施解决方案客户 成功案例举例 华西医院 早在 2020 年，华西医院就已经完成了医院园区网络的阶段性建设 ，形成了以百兆为主、千兆为辅的光纤主干网。 整个网络接入了近千台客户终端，支持以数据传输为主的医院信息系统、办公系统的运行，也为工作人员、学生和部分家属区提供互联网接入。 在之前的网络建设过程中，华西医院一直采用思科的路由器、交换机和防火墙等多种网络设备。 华西医院信息化负责人黄主任表示： “思科在整个过程中给了华西医院大力的支持，包括针对医院的需求组织工程师上门系统讲解，帮助医院的工程技术人员更好的认识、了解、选择、配置思科的产品并应用于管理。 ”良好的合作关系促成了进一步的协作，思科被华西医院选定为其规划并部署 更高性能的医院骨干网络架构。 基于思科提供的骨干网，华西医院将部署 PACS 系统等高信息吞吐量的解决方案。 华西医院信息化负责人黄主任表示： “面对危急病人，我们将可以保证在他被送进手术室之前，他的检验片子就已被送到医生的电脑上，这使我们可以对他展开 „争分夺秒 ‟的抢救工作。 ”。 思科根据其需求特点，核心网络采用配以万兆端口的两台 Cisco 6509交换机，各大楼主要汇聚层交换机采用 Cisco 4507R，配以双万兆引擎和双电源冗余。 为了保证网络安全性，中心机房两台核心交换机上配置了 IDS模块，以实现实时入侵检测。 同 时，该网络通过使用思 科安全监控和响应系统 (CSMARS)实现安全信息收集和攻击路径实时分析。 在网络出口，还应用了 SCE流量分析监控设备。 上海第二医科大学附属瑞金医院 上海瑞金医院原是国内著名的三级甲等综合性教学医院，在医疗、教学、科研、管理等方面在全国卫生系统名列前茅。 作为全国医疗卫生行业的领先医院，瑞金医院自 1985年以来，就不断投入计算机辅助管理系统的建设，较早实施了 HIS、 PACS 等核心医疗应用，对整体网络提出了更高的要求。 福建黎明纪元信息技术有限公司 瑞金医院采用 3 台 Cisco 7600 和 1 台 Catalyst 6500， 分别分布在 2 栋不同的楼宇中，形成全院的网络核心，并实现异楼双核心冗余备份。 此外还采用了多台 Catalyst4500、Catalyst3750、 Catalyst3500作为汇聚层交换机。 全院汇聚和骨干之间通过路由连接，提高了网络的可靠性。 在 PACS 网络中全部采用千兆接入交换机。 存储设备采用光纤通道存储局域网络（ SAN）和光纤网络存储（ NAS），以保证医院对大容量、高速度、高可靠扩充性的数据存储要求。 另外，瑞金医院还在病房、急诊楼中部署了思科无线产品，为病人、医生提供更便捷的医疗服务。 上海瑞金医院信息中心 认为，之所以一直选择思科，除了因为其产品具有高性能、高可靠性、高安全性等因素外，更主要的是看重思科的综合实力和品牌。 在当前国际上 IT 公司之间兼并收购频繁的情况下，如果所选择的供应商被收购，其产品的后续研发和服务就有可能脱节，投资得不到保护。 而选择有实力、财务稳健的思科系统公司，这方面的风险可以控制到最小。 北医三院 1998 年北医三院首次部署全院园区网络就采用了思科系统公司的网络设备， 2020年再次扩容时仍然选择思科。 最近，北医三楼又对网络进行扩容升级改造，北医三院第三次牵手思科。 “我们与思科有良好的互动和 相互了解， ”沈韬介绍， “更主要的是思科的综合实力、品牌和产品支持让我们现有的投资能够得到可靠保障。 ” 思科的网络解决方案以千兆以太网为主干、百兆到桌面，保证了医院高速度、高可靠性的数据传输要求。 在安全方面，思科多层次深度防护的自防御安全系统解决方案，既能对医疗网络提供全面的安全防护，又不会因性能损失造成瓶颈。 对北医三院以后的应用规模，网络解决方案具有充分的后续扩容能力。 只需通过简单地添加模块或软件升级，即可实现平滑升级到高密度万兆性能，升级到高性能防火墙等功能。 “我们现有的网络平台可以满足未来至少 3 到 5 年内 业务扩展的需求。 ” 沈韬主任说。 福建黎明纪元信息技术有限公司 二． 医疗级网络安全 保障 解决方案 医院网络安 全现 状 及挑战 现阶段，医院信息系统正在变成医疗体系结构中不可或缺的基础架构。 该架构的网络安全和数据可用性变得异常重要。 任何的网络不可达或数据丢失轻则降低患者的满意度，影响医院的信誉，重则引起医患纠纷、法律问题或社会问题。 和其它行业的信息系统一样，医疗信息系统在日常运行中面临各种安全风险带来的安全应用事故。 各医院在网络和应用系统保护方面分别采取了很多安全措施，例如在每个网络、应用系统分别部署了防火墙、访问控制设备，采取了备份、负载 均衡、硬件冗余等安全措施；也可能实现了区域性的集中防病毒，实现了病毒库的升级和防病毒客户端的监控和管理；采用系统账号管理、防病毒等方面具有一定流程。 但在网络安全管理方面的流程相对比较薄弱，需要进一步进行加强；另外主要业务应用人员安全意识有待加强，日常业务处理中存在一定非安全操作情况，终端使用和接入情况复杂。 这可以说是现阶段具有代表性的网络安全建设和使用的现状，不仅仅是在医院。 从另一个角度来看，单纯依靠网络安全技术的革新，不可能完全解决网络安全的隐患，很难从根本上克服网络安全问题，我们首先来分析目前医院网络环 境所面临的安全威胁究竟是什么，这也是我们最关心的安全问题：  网络安全管理体系不完善，需要通过实施策略对流程进行细化，其它体系也需要按照网络安全管理体系和流程要求不断完善其内容。  在物理与环境安全、系统和网络安全管理、系统接入控制方面仍然存在一定差距，在安全策略、安全组织、人员管理、资产分类控制、安全审计方面存在明显不足。  防病毒系统没有实现整体统一，存在防病毒的局部能力不足。  历史原因造成网络自身安全防护不足，大量的第二层的攻击（如 MAC地址泛洪、DHCP服务器欺骗、 ARP欺骗、 IP/MAC欺骗）让 网络失效或者通过获取诸如密 福建黎明纪元信息技术有限公司 码这样的敏感信息而危及网络用户的安全。 而传统的 IP/MAC/Port绑定技术复杂而且效率较低。  没有部署针对服务器 /主机的安全保护，而大量的基于 Web的应用导致病毒或非法攻击，甚至于非法 copy等，无法保护业务数据的安全。 而针对医院来说，业务数据就是核心，这点尤其重要。  网络、应用系统防护上虽然采取了防火墙等安全产品和硬件冗余等安全措施，但安全产品之间无法实现联动，安全信息无法挖掘，安全防护效果低，投资重复，存在一定程度的安全孤岛现象。 另外，安全产品部署不均衡，各个系统部署了多个安 全产品，但在系统边界存在安全空白，没有形成纵深的安全防护。  对终端管理没有统一策略，操作系统版本、操作系统补丁等没有统一的标准和管理。  没有应急响应流程和业务持续性计划，发生安全事件后的处理和恢复流程不足，对可能造成的业务中断没有紧急预案。 综上所述，网络安全问题越演越烈，不仅仅是一个单独的设备能防御的，在技术上也陷入了被动应付的局面。 思科自防御网络的出现，为医院。