网络信息系统整改方案

网络信息系统整改方案（精选8篇）

篇1：网络信息系统整改方案

公司网络信息系统整改方案

1． 方案背景：

公司目前拥有的PC数量大约为180台（全部在用约为180台左右，闲置台数约为30台），网络体系架构比较复杂，大部分PC机均在同一网段，这样在目前没有部署企业级杀毒软件的情况下，很容易发生一台电脑中毒，致使整个网络瘫痪的事件；其二，机房网络结构繁琐，网络布线比较混乱，这样网络管理维护非常的困难；其三，财务部使用的CRM/K3服务器由于使用时间过长，系统运行速度很慢，机箱内部已有硬件不能正常，且目前该服务器硬盘存储空间已严重不足，该服务器已经严重影响公司的办事效率，由于硬件故障该服务器即将面临崩溃；其四，由于公司最初设计的未考虑上网安全管理，目前局域中存在着BT下载，IP地址盗用，以及通过USB接口泄露公司的机密等问题。

2． 方案简介：

1．网络优化处理：增加路由接口。目前公司的中心路由器只有两个接口，一个接防火墙，设置的ip是10.10.10.2另一个接口公司内网网关:192.168.10.200/24,还设置了一个路由接口192.168.2.2/30的路由口接工厂，在一个口上设置两个IP，严重影响了路由性能，对内网的冲击也大，非常不合理。因此建议将大榭的路由接口接到防火墙的DMZ区，并增加cisco2811的以太网口，增加几个网段。这样做的好处可以划分更多的网络区域（vlan），可以有效隔离广播风暴，和蠕虫病毒。将病毒爆发的影响范围缩小，不至于拖垮整个公司网络，需增加HWIC-4ESW模块一个，该模块预算：2500元左右。同时对公司的网络布线进行综合整理。2．病毒处理方案：建议公司购买企业级杀毒软件，集中部署，这样可以集中管理每台电脑的病毒情况，由服务器端每天检查下面所有客户段的病毒情况，定期每周做一次集中的扫毒情况。不用管理员经常一台台的检查电脑病毒情况。其次，部署了企业杀毒后，可以避免客户段任意卸载杀毒软件，因为卸载该杀毒软件需要输入管理员密码。目前公司的PC电脑，基本都是网络下载的测试版、试用版的杀毒软件，包含卡巴斯基，诺顿，瑞星，品牌众多，病毒码更新不及时，且有使用盗版之嫌疑，给公司法务带来不必要的麻烦。在这里推荐公司使用企业中广泛使用的趋势企业杀毒软件。购买软件使用后，将保证公司所有电脑都能得到防病毒软件的保护，和病毒码的时时更新。防病毒，是公司首要改善措施。按公司150台电脑的情况，安装趋势客户端和服务器端软件一年共需要预算：22000左右。三年的预算大约为：32000元左右 3．设置代理服务器：现在公司局域网上网都是通过firewall直接NAT上网，主干网络达到100兆。这种模式internet的网络带宽都是非常有限的，容易导致网络传输速度变慢。所以需要在（ICS，NAT，PROXY）三种代理上网的技术中有所选取。推荐使用proxy服务器。它可以Cache大量internet缓存，存储在服务器本地硬盘或内存里。在不同的用户访问相同的网址时，proxy只需向internet提交一次处理。然后存储在服务器的cache里。其他用户就可以直接从服务器cache里调用数据即可，这种方案节省了大量的的多余的internet流量。同时代理认证上网实施，既代理上网的用户在访问internet的时候需要提交用户名和密码，这样可以有效的解决目前公司哪些人能上网，哪些人不能上网的需求。不会出现靠盗用IP上网的情况。该部分需要购买一台新服务器，建议型号为：HP DL380G5405，预算大约为2.0万。

4．Acl规则限制服务：目前公司上网无任何规则限制，这样导致员工上网自由，资源浪费，一个人在访问在线电影或者下载BT，就会导致公司所有员工上网缓慢。如果在防火墙和路由器上做响应的acl限制，以规定上网访问行为，封毒一些常见的病毒端口和攻击漏洞。加强对重要设备的保护。

5．资料安全方案：考虑到公司客户定单和公司设计资料的安全，可以通过做ACL设置用户访问权限，防止用户访问不该访问的机密电脑资料，并且并部分控制对EMAIL，QQ等的泄密管道，防止资料外泄，因此加强防火墙的安全管理很重要，可以在防火墙上设置禁止对外的smtp服务，禁止通过外部邮箱outlook传递资料，关于USB的封堵，本来应该靠购买行为软件来规范，或者通过AD域的组策略来实施，但考虑到预算成本，可以通过脚本（一个exe的可执行文件），只需要用管理员的身份登陆电脑，点击一下，就可以完成PC注册表的修改，禁止该电脑的USB口。而类似的上网行为软件价格大概在200-300/元每客户端，可为公司节省近4-6万元左右。

6．财务CRM/K3服务器，由于该服务器积累了公司财务、合同、定单、固定资产等对公司至关重要的数据，目前该服务器已使用7年，CPU 频率过低，系统运行缓慢，经查该服务器内部硬件已坏，且硬盘存储空间已严重不足，建议更换最好一台新的服务器，并作好定期该服务器的数据备份。该部分需要购置一台新的服务器，建议型号为：HP DL380G5405，预算大约为2.0万。

7． 积极使用地OA系统，目前该系统运行良好，但自从新的组织结构调整后，但是由于使用人数比较少，没能更好利用它的功能，目前该系统外挂组织结构已基本和公司实际组织架构相符，但OA系统内部电子审批流程还未做更改，关于这方面我会与OA系统的售后服务人员协同把内部电子审批流程做出合理并符合当前公司审批流程，同时建议公司，提倡员工每天登陆，并利用OA系统功能尽量实现无纸化办公！

篇2：网络信息系统整改方案

（2010）

成果名称成果类别：申报单位：报送日期：

中国电信安徽公司创新管理委员会

目 录

第一章 项目创新背景......3

第二章 项目创新总体思路.........3

第三章 项目创新方案和实施过程..........3

第四章 项目创新成效......4第一章 项目创新背景（黑体三号，撰写时删除）

中小医院信息系统是以实现区域内的村卫生室管理信息化为目的，建立一套以区（县）级卫生局为管理平台，并以此为中心，通过与全区（县）的各个卫生院联网，实现整个区（县）的卫生室的信息化管理；实现病人就诊的计算机管理，包括门诊挂号、门诊收费、出入院结算、药品库存管理、统计分析等功能在内的信息系统。

区域乡镇卫生院通过ADSL宽带建立VPN隧道访问信息系统平台，其业务数据全部存放于远端服务器，保证数据安全。在医院的规模逐渐变大和农村合作医疗政策发展的情况下，普通ADSL带宽已不不能满足医院的数据交互需求。

在adsl拨号上网的情况下，医院操作系统访问服务器的延时很大。我们将adsl接入更改为LAN接入系统业务平台。

第二章 项目创新总体思路（黑体三号，撰写时删除）LAN接入大多是网吧客户和企事业单位访问Internet（公网）所采用的方式。在乡镇机房的二层交换机上通过VLAN管理用固定IP地址来访问公网。如何才能让医院通过光纤上行来访问私网呢？

通过私网IP地址固然可以，但是这样就要求客户端通过专线电路访问远端服务器。更方便的操作是把基于公网的LAN接入也通过VPN认证方式接入业务平台。

由于VPN的拨号模式可以更便携，更方便的接入城域网，这样可以通过城域网来访问远端服务器。

第三章 项目创新方案和实施过程（黑体三号，撰写时删除）LAN接入可以以更大的带宽来访问Internet,我们把原来客户通过公网IP地址访问更改为拨号上网方式便可以解决问题。

在局端用光纤收发器接入二层或三层交换机，用户端同样也使用

光纤收发器，光电转换。用户端路由器内设定为PPPOE拨号模式，并WAN口指定私网段IP地址来接入公网。

第四章 项目创新成效（黑体三号，撰写时删除）

LAN接入模式提升了医院接入信息网的速度，大大提高了信息处理能力。VPN拨号也并不局限于adsl，通过LAN接入也可以实现。中小医院信息系统在光纤接入的情况下使得农合结报，病人信息上传更加快速，减少了信息上传错误包出现。

篇3：大型医院信息系统网络改造方案

随着医院信息网规模的逐渐扩大和各种应用的不断增加和深化,网络系统越来越庞大,网络环境也变得越来越复杂,运行中出现了网络性能下降、不时遭受计算机病毒的滋扰和网络攻击等问题,影响了医院信息网的正常使用[1]。在充分考虑网络技术发展并结合医院业务发展的背景,我院于2010年对网络系统进行了全面升级,合理调整了网络架构,取得了良好的效果。下面根据医院普遍存在的问题,探讨改造医院计算机网络的具体方案。

1 医院网络改造需求

以往的信息网络存在以下缺陷[2]:(1)网络布局不合理;(2)信息点严重不足;(3)网络骨干的带宽过窄;(4)核心网络设备不具备容错功能;(5)核心网络设备的可扩展性、可管理性差。

新的信息网络目标:医院信息化建设以患者诊疗信息和医疗质量为中心,实现医院医疗、教学、科研及信息的网络化管理。从应用系统的角度来看,网络系统应具有较高的数据处理能力,能满足数字化医院大规模数据采集、存储、传输、处理、共享等需要。

2 网络的设计与规划

网络系统的设计要有灵活的扩展能力,要充分考虑医院信息系统未来几年的发展需要;网络系统应具有数据的全方位安全防护措施,防止病毒、外部入侵和黑客攻击;在实现各项功能基础上,应充分利用现有资源,节省投资、统一规划、分步实施,真正满足高速、稳定、可靠、网络系统安全、易管理及网络无故障升级等性能要求。简而言之,以实用性、先进性、开放性、可扩展性和安全可靠性为建网的主要原则[3]。综合各种网络技术的特点,综合考虑到医学信息对网络传输速度和传输带宽的具体要求,以及目前网络技术发展的趋势和网络的可扩展性,可以采用以光纤为主要数据干线、6类非屏蔽双绞线(UTP)为水平传输介质的高速以太网,主干网络符合TIA/EIA-568B CAT6的性能要求,传输频宽达350 MHz,对语言和视频的传输都可以达到较好的效果。

3 网络架构改造方案

网络是医院信息系统(HIS)得以稳定、快速运行的基础,网络建设不但要考虑目前系统的要求,更要为今后的发展保留足够的可扩充余地。既要满足门诊、住院等系统的数据量传输需求,又要为PACS等大数据量传输的系统做好准备。针对我院目前的网络状况,结合医院信息化建设的发展趋势,网络改造采用流行的三层网络架构方案,全面升级为1 000 MB交换式以太网。

3.1 网络结构设计

3.1.1 网络核心层

通过更换网络中心交换机和楼宇交换机构成医院的网络核心层。网络主干线布设可有2种方案[4]:(1)利用原有的光纤进行升级,核心层部署1 000 MB网络交换设备,增加带宽,以提高网络传输速率;(2)重新铺设网络中心至各楼宇1 000 MB光纤,全面提升为1 000 Mbit/s快速以太网。

3.1.2 网络分布层

楼宇的层间视为网络分布层,楼宇交换机采用1 000 MB光纤接入。根据实际情况决定楼宇交换机至楼层交换机的连接,楼层信息点多,可采用1 000 MB光纤引入各楼层交换机,反之,可采用超5类双绞线100 MB引入到楼层交换机。

3.1.3 网络访问层

根据医院规划和各建筑物的医疗功能布局,全面扩容访问层网络信息点,采用1 000 MB光纤介入楼层交换机,通过水平布线系统100 MB交换到桌面。为保护利用原有资源,对于访问量不大的信息点,可以考虑采用10 MB HUB或10 MB Switch到桌面。

3.2 对网络布线的要求

针对医院目前的网络现状,我认为对网络布线应遵循“总体规划、分步实施、水平布线尽量到位”的设计原则。在网络结构上,采用楼宇结构化综合布线设计,尽量做到局部设计一步到位,减少日后的反复施工。

布线工程质量控制、网络工程质量控制,是工程组织和工程实施过程中十分重要的环节。网络建设应注意进行科学设计和规范化管理。必须按照国家有关智能化建筑中弱电系统施工的标准和技术规范对工程进行设计、施工和验收。

3.3 设备选择[5]

目前,以太网交换技术的主要特点集中体现在高速度、高带宽、能适应不同的网络规模和提供服务质量保证上,能满足Internet/Intranet发展所需的高性能。

核心层交换设备的选择应考虑以下指标:(1)提供10100/1 000 Mbit/s速率;(2)提供线速度IP路由功能,网络能简便地扩展到几百个上行用户;(3)服务质量(Qo S)采用包括带宽管理、优先级、拥塞控制和带宽预留技术,有基于策略的服务质量保证;(4)支持多种容错功能及基于策略的Qo S功能;(5)既具有三层交换功能,又具有端口中断能力;(6)支持VLAN功能、全双工/半双工操作,支持多生成树,支持远程管理。

访问层交换设备的选择应考虑以下指标:(1)采用直接转发或存储转发技术;(2)交换机数据交换延长时间;(3)交换机提供的可管理功能;(4)端口提供的MAC地址数;(5)交换机智能化管理功能;(6)提供扩展树算法或其他算法,检测并限制拓扑环;(7)允许端口同时收/发,全双工通讯;(8)提供高速端口连接关键业务服务器或上行主干;(9)支持VLAN功能,支持多生成树,支持远程管理。

4 网络改造工程

4.1 网络主干改造

采用6芯单模光缆重新铺设网络中心至各楼宇的主干光纤,在网络核心层和网络分布层接入1 000 MB的网络交换设备,全面提升医院主业务网络的传输速率。

4.2 网络分布层改造

由于医院目前大多数楼宇在结构设置上没有设置弱电井和网络间,因此,在楼宇干线布设和设备安放地点选择上应根据楼宇结构,遵循既安全可靠又方便维护、不破坏大楼原设计功能的原则,在满足综合布线技术规范的前提下,尽可能简化网络分布结构。

4.3 网络设备改造

设备选型应考虑因素:(1)根据医院网络应用及今后4~5 a内网络设备技术储备的应用空间,选择网络设备类型;(2)主干交换机应能满足今后一段时期内医院业务扩展的需要;(3)网络中心交换设备光/电接口应满足应用要求,并有端口冗余;(4)楼宇工作组交换机具备1 000 Mbit/s上连端口及10/100 Mbit/s自适应接入端口;(5)所有交换机应具备智能管理功能,可进行网络远程控制管理。

设备选型:(1)核心交换机。在实际改造升级方案中选用CISCO 4507R-E机箱式带扩展插槽交换机,既有无阻塞的第三层交换、Qo S功能,又有事务优先级设置、组播过滤、VLAN、多点链路聚合等功能;≥48 Gbit/s的交换矩阵,实现无阻塞的网络交换性能并确保不间断运行;智能化网络管理功能;≥240 Gbit/s容量的背板速度。(2)楼宇交换机。由于在楼宇网络布局结构上基本采取设备集中管理的模式,在改造升级方案中,选用3COM Super Stack 3Switch 4400访问层交换机,通过1 000 MB光纤接口直接上连核心交换机,交换机配有24或48口10BASE-T/100BASE-TX自适应端口,1 000 MB上行光线端口;既有网络质量服务(Qo S),实现流量的优先级和带宽预留功能,又支持热插拔堆叠,便于维护和扩展;交换机结构性能≥17.6 Gbit/s交换能力,≥10.1 Mbit/s转发速率。

5 讨论

在医院信息网络系统改造方案设计中,应以总体发展的眼光规划系统的建设,不能只满足当前使用的要求,适当超前可为医院信息化建设的持续发展奠定一个长久坚实的基础。医院网络布局中内部的业务网与外部的互联网之间应实行隔离,以防止病毒入侵造成对医院关键数据的破坏。

6 结语

我院通过对网络改造的精心准备、合理规划、分步实施,加之医院领导对信息化建设的大力支持,使得医院网络改造工程项目的实施取得了预期的效果[6]。网络改造后,为医院信息系统的稳定运行提供了良好的运行环境,提高了系统的运行效率,减少了信息系统的运行故障,有效地确保了医院各网络站点稳定、可靠和高效的运行,满足了我院对未来信息化发展的需要,取得了良好的社会效益和经济效益。

参考文献

[1]梁建新.构建医院网络信息安全体系的建议[J].医疗设备信息,2004,19(8):17-18.

[2]任忠敏.数字化医院中的网络改造建设[J].医学信息,2007,8(20):1 313-1 315.

[3]柳明.医院信息系统安全策略探讨[J].医疗卫生装备,2011,32(3):47-49,51.

[4]郑蕾,翁盛鑫,黄影.医院信息系统客户端的安全管理和实践[J].医疗卫生装备,2010,31(3):62-63.

[5]徐艳.数字化医院建设[J].中国医疗器械信息,2006,12(7):73-75.

篇4：医院信息系统网络信息安全研究

关键词：医院信息系统；安全；数据；网络

中图分类号：TP309 文献标识码：A文章编号：1007-9599 (2011) 07-0000-01

Hospital Information System Network Information Safety Research

Qin Yisi

(Zhanjiang Center People's Hospital,Zhanjiang524037,China)

Abstract:With the deepening of information technology,hospital information system applications are increasingly widespread.Hospitals for all sorts of information networking,sharing,also brought a degree of security for the test.This paper analyzes the characteristics of hospital information system,its data security and confidentiality of information were of technical and management.

Keywords:Hospital information system;Safety;Data;Net

医院信息系统是一个复杂庞大的计算机网络系统，其以医院的局域网为基础依托、以患者为信息采集对象、以财务管理为运转中心，对医院就诊的所有患者进行全面覆盖。医院信息系统包括了医患信息和医院管理等各种信息，对信息的网络安全进行保护，保证其信息的完整性和可靠性，是医院信息系统正常运转的根本条件。因此有必要对医院信息系统的网络数据进行安全管理，避免各种自然和人为因素导致的安全问题，保证整个系统的安全有效。

一、医院信息系统特点分析

医院信息系统的网络结构决定着系统功能性及有效性。系统的各种集散数据、通信和所提供的系统的扩充能力、自我维护、信息服务等都很大程度上依赖与医院信息计算机系统的网络结构。星形拓扑结构有利于信息的集中控制，能避免局部或个体客端机故障影响整个系统的正常工作，因此可以采用以星形拓扑为基础的分层复合型结构的信息系统进行医院数据的全面管理。其次，作为医院信息系统的主要数据管理模式和管理工具，医院的数据库系统是保证医院信息系统完整性和安全性的关键。

一般认为网络安全就是针对黑客、病毒等攻击进行的防御，而实际上对于医院的信息系统而言，网络安全还受到其他很多因素的威胁，比如：网络设计缺陷、用户非法进入、通讯设备损坏等。网络出现故障将造成患者重要信息损坏和财务管理数据丢失，导致医院的正常作业不能开展。因此本文从技术和管理两个层面对医院信息系统的网络安全维护进行了探讨。

二、医院信息系统网络安全的技术实现

网络、应用、数据库和用户这四个方面是建立医院信息系统安全体系的主要组成部分，只有保证了这些结构的安全，才能从基本上实现医院信息系统的网络安全。

首先是确保网络的安全。医院网络安全包括医院内部网络安全和内外网络连接安全，防火墙、通讯安全技术和网络管理工具等是最常用的技术。其次是确保应用系统的安全。计算机的应用系统完整性主要包括数据库系统和硬件、软件的安全防护。可以采用风险评估、病毒防范、安全审计和入侵检测等安全技术对系统的完整性进行保护。其中，网络安全事件的80%是来自于病毒，因此病毒防范是保证系统完整性的主要措施。然后是确保数据库的安全。对处于安全状态的数据库，可以采用预防性技术措施进行防范；对于已发生损坏的数据库，可以采用服务器集群、双机热备、数据转储及磁盘容错等技术进行数据恢复。最后是确保用户账号的安全。采用用户分组、用户认证及唯一识别等技术对医院信息系统的用户账号进行保护。

三、医院信息系统网络安全的管理体系

除了在技术上对医院信息系统的网络安全进行确保，还需要建立完善合理的安全管理体系，更高层次的保证医院所有有用数据的安全。

（一）进行网络的信息管理。作为现代化医院的重要资产，且具有一定的特殊性，医院的所有信息都有必要根据实际情况，对不同类型的信息因地制宜的制定各种合理的管理制度，分类管理，全面统筹。（二）进行网络的系统安全管理。随时关注网络上发布的系统补丁相关信息，及时完善医院信息系统，对需要升级的系统进行更新，通过确保系统的安全达到保护整个医院信息管理安全的目的。（三）进行网络的行为管理。由专门的网络管理人员利用网络管理软件对医院信息系统内的各种操作和网络行为进行实时监控，制定网络行为规范，约束蓄意危害网络安全的行为。（四）进行身份认证与授权管理。通过规定实现身份认证与权限核查，对医院信息系统的用户身份和操作的合法性进行检查验证，从而区分不同用户以及不同级别用户特征，授权进入信息系统。（五）进行网络的风险管理。通过安全风险评估技术，定期研究信息系统存在的缺陷漏洞和面临的威胁风险，对潜在的危害进行及时的预防和补救。（六）进行网络的安全边界管理。现代化医院的信息交流包括其内部信息和内外联系两部分。与外界的联系主要是通过Internet进行，而Internet由于其传播性和共享性，给医院的信息系统带来较大的安全隐患。（七）进行桌面系统安全管理。桌面系统作为用户访问系统的直接入口，用户能够直接接触的资源和信息一般都存放其上，因此对其进行安全管理非常重要。用户可以采用超级兔子魔法设置或Windows优化大师等应用软件对无关操作和非法行为进行限制。（八）进行链路安全管理。针对链路层下层协议的攻击一般是通过破坏链路通信而窃取系统传输的数据信息。因此要对这些破坏和攻击进行防御，医院可以通过加密算法对数据处理过程实施加密，并联合采用数字签名和认证仪器确保医院信息数据的安全。（九）进行病毒防治管理。网络技术和信息技术的不断发展，也滋长了各种病毒的出现。病毒是计算机系统最大的安全隐患，对系统信息的安全造成很大的威胁。（十）进行数据库安全管理。对数据库的安全管理应该配备专人专机，对不同的数据库类型采取不同的使用方式和广利制度，保护医院信息系统的核心安全。（十一）进行灾难恢复与备份管理。百密总有一疏，任何安全防护体系都不肯能完全对病毒进行防杀，因此为了避免数据的损坏和事故的发生，需要制定相应的数据恢复措施，对重要数据进行定期备份。

四、结束语

当今信息化的不断发展给医院的管理和高效运转带来了方便，但同时也带来了挑战。为了维护病人医患信息和医院财务信息，需要从技术和管理上加强对网络的安全工作，需要与时俱进，不断采用新技术，引进新方法，适应社会需求，将医院的信息化建设推向更高平台。

参考文献

[1]尚邦治.医院信息系统安全问题[J].医疗设备信息,2004,9

[2]从卫春.浅谈医院信息系统安全稳定运行[J].医疗装备,2009,15

[3]任忠敏.医院信息系统安全体系的建立[J].医学信息,2004,13

[4]黄慧勇.医院信息系统安全按风险与应对[J].医学信息,2009,15

篇5：网络信息系统整改方案

根据国家等级保护有关要求，省级政府门户网站系统的信息安全保护等级应定为三级，建立符合三级等级保护相关要求的安全防护措施，能够形成在同一安全策略的指导下，网站系统应建立综合的控制措施，形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析，形成网站系统的安全需求，从而建立有针对性的安全保障体系框架和安全防护措施。

网站系统安全需求

根据网站系统的应用情况，针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析，具体需求如下：

1、业务流程安全需求

针对网站类业务重点需要关注发布信息的准确性，采集分析和汇总信息的可控性，以及服务平台的可用性，系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击，应加强对于这些威胁的对抗和防护能力，通过严格控制业务流程中的各个环节，包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求，同时要加强系统自身的完整性保护和抗抵赖机制的实现。

2、软件安全需求

网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面，由于几个层面涉及的主要功能和软件实现存在一定的差异性，因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成，针对业务系统此层面是一个访问入口，从安全需求方面应当减少入口对于系统的攻击可能性，对于指定的接入和入口可以通过建立可信机制进行保护，对于非指定的接口可以通过控制权限进行防护；展现层是系统内容的展示区域，要确保系统展示信息的完整性，降低被篡改的风险；应用层是对数据信息进行处理的核心部分，应加强系统自身的安全性和软件编码的安全性，减少系统自身的脆弱性；基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务，该层次重点是确保系统组件自身的安全性，同时要加强与应用之间接口的安全性；信息资源层是由业务数据库和平台数据库共同构成，此层次重点的安全在于数据库安全；基础支撑运行环境层，支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境，该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁，应加强资产的综合管理。

3、数据安全需求

网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息，以及前台的交互信息和后台的数据交换信息，针对这些信息各个环节中的访问关系不同，信息的敏感和重要程度不同，可能面临威胁也存在一定的差异性，其中读取过程要结合信息的敏感和重要程度进行访问控制，降低越权、滥用等威胁的发生；录入关注信息自身的完整性和合法性，注意防止恶意代码和木马对系统造成的攻击；管理和审核涉及信息系统的关键性信息，所以基本属于系统中的敏感信息或关键流程管理，加强人员的安全管理；交互和数据交换要通过系统自身的安全防护机制，抵抗网络攻击和加强抗抵赖机制。

4、网络和物理安全需求

网络层面重点在于设计合理的网络架构，部署冗余的网络设备，形成可以建立不同安全策略的安全域，从而确保网站系统能够正常稳定运行。

物理安全主要涉及的方面包括环境安全（防火、防水、防雷击等）设备和介质的防盗窃防破坏等方面。具体包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的需求，应确保机房的建设符合国家相关要求。

5、IT资产安全需求

IT资产重点关注资产本身的漏洞风险，同时根据资产类型的不同，可以区分成硬件资产、软件资产，其中硬件资产可能面临的关键威胁是软硬件故障、物理攻击等；软件资产可能面临的威胁包括篡改、泄密、网络攻击、恶意代码和抗抵赖。

6、综合安全需求

通过对各个方面综合的安全风险和需求分析，网站系统相关的业务、软件、数据、网络和相关IT资产，由于其应用类型、环境等因素导致主要威胁分布在网络攻击、篡改、物理攻击、恶意代码、越权、滥用和抗抵赖等几个方面，由于其威胁发生的可能性较高，威胁利用后影响较大，导致其安全风险较高，因此应形成对抗这些威胁的必要的安全措施，加强对系统自身的安全性。同时结合信息安全等级保护基本要求的相关技术和管理控制点，进一步完善物理安全、网络安全、主机安全、应用安全和数据安全的相关控制措施，并要能够落实组织、制度、人员、建设和运维相关的管理要求。

网站系统安全方案设计

根据对网站系统安全需求的分析，对于网站系统的安全防护主要从以下两个方面进行设计，一方面是系统的安全保护对象，合理分析系统的安全计算环境、区域边界和通信网络，形成清晰的保护框架；另一方面还是要建立综合的安全保障体系框架，形成对网站系统综合的控制措施架构，同时加强网站系统可能面临威胁的各项防护机制。

1、安全保护对象

根据网站系统的IT资产和业务功能，网站系统的安全保护对象和防护等级如下表所示：

安全计算环境：重点落实等级保护基本要求的主机、应用、数据部分的安全控制项，结合安全设计技术要求中的主要防护内容包括用户身份鉴别、主机和应用访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、主机入侵、防病毒等措施； 安全区域边界：重点落实等级保护基本要求的网络部分的安全控制项，结合安全设计技术要求中的主要防护内容包括边界访问控制、网络安全审计和完整性保护等；

安全通信网络：重点落实等级保护基本要求的网络和数据部分的安全控制项，结合安全设计技术要求中的主要防护内容包括通信网络安全审计、通信网络数据传输保密性保护、数据传输完整性保护和可信接入保护。

2、安全保障框架

结合等级保护基本要求的整体框架以及安全需求分析的成果，设计安全保障框架如下：

图1：安全保护体系框架

结合网站系同自身的安全需求，应加强对于网站系统的安全风险评估，同时建立配套的安全管理体系和安全技术体系，其中安全管理体系包括安全策略、安全组织和安全运作的相关控制管理；安全技术体系结合等级保护的物理、网络、主机、应用和数据安全，进一步加强系统的软件架构安全、业务流程安全和信息访问安全的控制，确保系统自身的防病毒、防篡改、方攻击能力的提升。

结合网站系统的具体实施，具体的措施部署和网络示意图如下所示：

篇6：网络信息系统整改方案

乘客信息系统是轨道交通系统的重要组成部分,根据上海轨道交通网络化运行的需求,在现有的上海轨道交通乘客信息系统基础上,综合了按线路域划分和按功能划分的系统方案,提出基于综合域系统的网络解决方案.从而为轨道交通智能化、信息化的.可持续性发展提供可靠的保证.

作 者：杨伟 韩君 YANG Wei HAN jun 作者单位：杨伟,YANG Wei(同济大学交通运输工程学院,上海,04;浙江国际海运职业技术学院,浙江,舟山,31)

韩君,HAN jun(浙江国际海运职业技术学院,浙江,舟山,312021)

篇7：网络整改方案

一、防水墙服务器的实施计划……………………………………………….1

二、路由器的实施计划…………………………………………………………………..5

三、交换机的实施计划…………………………………………………………………..7

四、防火墙的实施计划…………………………………………………………………..9

五、IPS 的实施计划……………………………………………………………………….11

六、后期的完善方案………………………………………………………………………12

七、定期网络知识的培训………………………………………………………………13

一、防水墙服务器的实施计划 1.1 防水墙服务器的作用

1.防水墙通过可信网络认证授权系统管理用户的登陆，对于没有授权的用户限制登陆；对于一些非法用户的强行登陆进行了控制，并有相应的日志记录

2.防水墙通过可信桌面管理系统实现了对于终端用户操作的实时监控，并控制用户使用USB接口和打印机的权限，同样该系统可以通过远程方式进行客户端的维护工作；该系统的资产管理功能对公司电脑的资产盘点工作有很大帮助。

3.防水墙通过可信网络监控系统管理对公司邮件进行了系统的管理，包括邮件的内容，所挂附件的内容等；该系统对于网络流量进行了详细的划分，可以对用户进行流量控制，管理非法BT或其他下载行为。

4.防火墙通过可信移动存储介质管理系统保障了公司文件的安全，它提供了移动设备的注册授权功能，对于不同设备采取不同的权限控制，并提供详细的使用日志记录。

1.2 投入成本

1.防水墙的所有功能是分散的，也就是说可以把几个需要的功能拼凑到一个模块中。所以价格也会根据功能的多少而定。

1.3 进度跟踪

1.防水墙搭建相对容易，时间较短，但是后期碰到的问题会很多，比如邮件的审核人归属问题，远程监控时间问题等，都需要一个长期的磨合完善。

二、路由器的实施计划 2.1 路由器的作用

1.路由器是公司网络接入后遇到的第一个网络设备，它主要通过相互连接的网络把信息从源地点移动到目标地点的活动。2.通过配置路由器的路由协议（OSPF,EIGRP等）保证网络数据包的正确走向，配置IP地址、网关和DNS保证网络的正常运行。

3.路由器需要两台同样配置的，两者之间通过使用现今流行的热备份路由器协议（HSRP）：假如一台路由器出现软件或者硬件问题导致外部网络中断，HSRP协议会自动让外部网络流量自动走向另一台备份路由器，保证了公司内部网络访问外部网络处于一个正常的状态。

4.路由器的网络地址转换（NAT），是一种将私有地址（公司内部地址）转化为合法IP地址的转换技术，通过配置该协议能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

2.2 投入成本

1.目前思科路由器的型号较多，目前根据公司的规模采用28或29系列的路由器即可满足，价格大概在1万元左右每台

2.其他品牌的路由器也可以基本满足公司需要，但是从性能上来说不如思科产品。2.3 进度跟踪

1.首先可以通过模拟器完成路由器的各项试验，包括多台路由器的实验。再通过模拟PC机配合模拟路由完成防御外部攻击的实验。2.实验成功后，在真实路由器上配置相应协议，在周末测试网络情况，通过关闭主路由器端口模拟HSRP协议的实验。整个路由器的搭建及后期测试初步计划2个月左右。

三、交换机的实施计划

3.1交换机的作用

1.交换机主要负责把一条网络流量分成多条流量的硬件设备，目前主要分为二层交换机和三层交换机，二层交换机主要是交换机本身的功能，三层交换机还包括了路由器的部分功能。需根据网络实际情况进行选择。

2.交换机的vlan划分功能提高了网络的安全性，vlan可以按照部门划分。假如一个部门中了传染性的蠕虫病毒，那么病毒的扩散区域只局限在这个部门的vlan区域，不会波及到整个公司。3.交换机的生成树协议可以保证网络中不出现环路现象（环路会产生广播风暴，导致整个网络瘫痪）

4.多台交换机之间需要通过配置“端口通道模式”保证在一条端口出现故障时整个网络不会受任何影响。多台交换机之间也可以通过HSRP协议进行备份工作。但是在整个交换机的体系中一定要有一台核心交换机保证网络流量的合理化分布。

3.2投入成本

1.核心交换机要求配置较高，而且负载量会很大，根据公司现有情况，可选择29系列交换机，目前不需要三层交换机。价格大概在5千元左右。

2.底层交换设备可选用目前公司使用的小型交换机或者低端配置的交换机。

3.3进度跟踪

1.首先可以通过模拟器完成交换机的各项试验，包括多台交换机的实验。

2.试验完成后，在真实交换机上配置相应协议，并测试网络情况，整个交换机的搭建及后期测试初步计划2个月左右。

四、防火墙的实施计划

4.1防火墙的作用

1.防火墙是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。

2.防火墙的vpn功能保证了远程登录到公司内网中，方便了出差或者在家需要办公的同事。安全方面通过ipsec协议保护了传输的数据。

3.防火墙的主要功能是防止外来的“入侵者”，但要随时更新标签（类似病毒库）。而且所有的访问控制列表（ACL）不能在路由器中写入（承载不了太多ACL），要在防火墙中写入，访问控制列表可以限制员工不能访问一些不良网站，保证了内部网络的安全。

4.2 投入成本

1.目前公司的防火墙功能性不强，可根据升级方式提升性能，具体情况需在升级观察，如标签数量不够或功能不强，则需更换高端防火墙，具体品牌则根据公司实际情况而定。

4.3 进度跟踪

1.由于没有防火墙模拟器使用，可先用公司本身的防火墙进行测试，找出现有防火墙的不足。2.测试完成后，根据实际情况决定升级或者更换高端防火墙，并且配置相关协议和功能，进行远程和攻击型的实验。整个防火墙完善工作需要3-5个月时间。

五、IPS的实施计划

5.1 IPS的作用

1.入侵预防系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的安全设备，它能够隔离一些具有危害性的网络恶意行为。也可说是对防火墙的补充。2.入侵预防系统安装在防火墙之后，通过监测网络情况和防火墙的工作情况，可以做到随时查看网络情况，并有相关日志生成，保证能够准确的分析到网络中存在的问题。

5.2 投入成本

1.由于有些防火墙和IPS是一体的，但是性能方面别单独的防火墙和IPS差，所以要根据当时的实际情况而定。

5.3 进度跟踪

1.由于没有IPS模拟器使用，所以前期将找一些第三方软件替代，进行简单的测试

2.测试完成后，效果好的话，再引进真实设备，并测试监控等效果，整个IPS搭建的时间需要2个月左右

六、后期的完善方案

1.当初期整体网络完成后，通过对内部网络和外部网络的监控，查看日志等工作，解决公司网络的常见问题。

2.当初期的网络稳定后，根据公司实际情况，在现有设备中增加更高级别更系统化的的安全功能和网络管理功能。

3.后期网络的高级搭建，如不能在原有设备上采取升级或者增加模块方式实现，则需添加其他的硬件设备来完善。

七、定期网络知识的培训

1.培训一些计算机办公软件方面的基本应用常识，包括office、PDF等大家常用的办公软件。还会根据大家对常用办公软件的其他需求进行统一培训指导。

2.培训解决计算机系统常见问题的知识，有硬件和软件问题。硬件问题包括鼠标键盘等小问题的解决方法；软件方面包括系统速度慢和相关软件报错问题。

篇8：网络信息系统整改方案

随着IT技术的发展和医院信息化建设步伐的加快,信息化程度不断提高,以HIS信息网络为主干的实验室信息系统(laboratory information system,LIS)的建设也越来越备受关注。同时,随着具有双向和三项通信功能的全自动化检验仪器在医院检验科的运用,检验科室的工作量、检验仪器能够测定的项目种类以及检验结果的数据量均飞速增长。因此,LIS的建设给我们提出了更高的目标,选择什么样的方案建设LIS系统,才能使该系统不仅能与HIS信息网络全面连动,成为HIS子系统,实现检验信息的全院共享;而且又可最大限度发挥检验仪器所具有的自动化和智能化的功能,优化检验科室的工作业务流程,提高检验科室的管理水平和工作效率,成为LIS建设目标和关注的重点[1,2,3]。

本文主要从系统的网络架构和接口程序的管理方面介绍了LIS系统的建设方案和该方案的测试与应用效果,与目前我国流行的传统方案相比,该建设方案采用高性能“双数据库”的数据管理体系,利用了国外先进的模块化接口技术和一种新的网络结构模式,使得LIS系统具有更高的网络集成性和数据安全性。

2 传统LIS系统的网络建设方案

2.1 网络架构

目前,我国普遍采用的LIS网络架构是仪器和工作站直接相连、工作站与LIS数据库服务器相连接的方式。其中,数据接受工作站和检验仪器通过RS232串行通讯端口或者RJ45口连接,采集结果数据。其网络架构图如图1所示。

2.2 接口程序管理和数据的采集处理

在图1的架构模式下,接口程序只能采用分散管理模式,即直接把接口程序安装在工作站上,由工作站进行管理。这种管理模式下结果数据的采集处理方式为:仪器中的结果数据直接传送到工作站,在工作站上将采集的结果数据进行分析处理,然后将结果数据存入LIS数据库服务器相应的结果表中。

2.3 应用效果

这种仪器和工作站直连的方式,每台工作站最多只能连接2台仪器,每台仪器的结果数据只能使用与其相连接的工作站进行传输,这就大大降低了LIS的稳定性和网络集成度。同时,由于接口程序分散在不同的工作站上,在增加投资成本的同时,也不便于系统的维护。

3 新型LIS系统的网络建设方案

3.1 系统结构

新的LIS系统采用“双数据库”的数据管理体系,其体系结构如下图2。

在本系统中采用SQL Server作为LIS系统的数据库,所有的检验数据存储在该服务器,而检验结果数据和相应检验的计费信息还会存入医院的HIS数据库服务器,从而实现检验数据的共享。采用Cache数据库对仪器服务器接受的检验结果数据进行处理,然后存入LIS的数据库服务器。

3.2 网络架构

该LIS系统采用了如图3的网络架构,该系统中需要用到的硬件设备主要有:仪器服务器、LIS数据库服务器和TS(Terminal Server,终端服务器),给这些设备分配固定的IP连接到医院的主干网络,从而为LIS和HIS的数据融合做准备。

仪器的连接方式与传统的LIS组网方式不同,它是通过TS连接到医院的主干网络。本系统选用MOXA-NPort Serve(串口设备联网服务器)作为TS,首先TS的10/100BaseT以太网端口连接到医院的主干网络,自动化检验仪器通过RS232串行通讯端口连接到2、4、8、16、32口的TS。利用TS设备提供的NPort Web Console控制台界面对TS进行相关设置,可以实现实验室众多串口仪器设备到医院网络的连接。从而各组仪器不需计算机中转连接,仪器服务器可以对它们进行集中管理。主要的设置如下:

Network Settings(网络设置):主要包括IP地址、子网掩码和网关的设置。

Serial Settings(串口设置):对TS的通讯端口进行设置,根据不同端口所连接仪器的波特率、数据位、停止位、奇偶校验和端口类别等分别进行设置。

Operating Settings(操作模式设置):主要是对TS通讯端口的操作模式进行设置,将各个端口的操作模式设置为TCP server Mode。在TCP Server Mode模式下主要利用TCP端口控制通讯服务器的通讯端口,其中包括Local TCP por(本地TCP端口)和Command port(命令端口)这2个逻辑的端口号的设置。本地TCP端口用来接受和发送仪器的数据,命令端口用来设定通讯参数和读取信号状态。这样TS的通讯端口在网络上作为串行端口使用,网络上的仪器服务器主机就可以通过TCP协议对这个通讯端口进行读取操作。

Line(连接设置):通过该设置使每台仪器设备与仪器管理服务器相连,实现仪器服务器对所有检验仪器的集中管理。

3.3 接口程序的管理和数据的采集处理

在图3的网络架构模式下,仪器的接口程序可以采用模块化的集中管理模式。每台仪器的接口程序安装在仪器服务器这一台计算机上,由专门的接口管理程序进行集中管理。通过接口管理程序,管理员用户可以检测每台仪器详细的设置信息和连接状态。处于正常连接状态的仪器,一旦有结果数据传输,可以实时检测传输情况。

这种集中管理模式下检验结果数据的采集处理流程为:仪器中的结果数据发送至仪器服务器→仪器的接口程序接受检验结果数据→对接受的数据进行分析处理→对每一个标本的结果状态进行检测核对,结果数据存储到LIS数据库中→检验员审核结果→上传至HIS数据库。

检验结果数据在上述处理的过程中,接口程序将接收到的结果数据转换生成频道文件(CDF文件),以每一个检验样本号为单位,单独生成一个CDF文件,按照设定的路径暂存在仪器服务器上。然后专门的LIS传输程序将对文件中的结果上传至LIS数据库,其中主要是结果数据所对应的样本号和数据项与检验医嘱所对应的样本号和数据项比较且进行匹配,比较一致的数据被写入LIS数据库,同时仪器服务器上暂存的相应CDF文件将自动删除。否则,CDF文件将转换成带NF后缀的文件存储在相应的位置,以便于核查。

3.4 应用效果

这种仪器通过TS连接器与仪器服务器和医院网络进行连接的网络架构模式,使多个串口仪器设备与网络连接更加方便快捷,大大增强了系统的网络集成度,并且维护方便,节省了维护费用和PC资源。

4 运行测试和实例

上述实验室信息系统的网络建设方案目前在解放军总医院第二附属医院已经成功实施,实现LIS与HIS数据库完全融合,共有多个实验室的30多台串口检验仪器实现了不同通讯模式的连接方式。

4.1 与HIS数据库的融合

LIS和HIS数据库的完全融合,使检验数据全院范围内共享,主要体现在LIS可以从HIS医嘱中直接获取检验申请项目,护士站或者样本采集中心根据医生开出的电子申请单产生条形码,医生从工作站快速查看患者检验结果,以手机短信形式把检验结果发送给患者本人。具体的工作过程如下:

(1)首先医生通过门诊医生站或者病房医生工作站开电子检验单,产生申请单号。

(2)然后各病区护士站或者样本采集中心根据电子检验单的申请单号产生并且打印样本号的条形码,粘贴到样本容器上,样本送到检验科。对于住院患者在护士站产生条形码,门诊或者体检中心等非住院患者则在样本采集中心产生条码。

(3)检验科室进行条码签收登记、患者与标本配对、标本上机、仪器接受检验项目进行检测,出检验结果。

(4)根据结果采集处理流程结果分别上传至LIS和HIS。医生就可以从工作站看到患者的检验结果;同时根据患者的手机短信请求信息,检验结果相关信息也可以直接发送给患者本人。

4.2 几种不同的通讯模式

(1)单项通讯模式

本系统对于少数具有单项通讯功能的设备依然采用传统的单项通讯模式进行检验数据的传输。在该通讯模式下,利用设备自动产生的流水号对标本进行检测,通过LIS系统签收登记时此流水号就与标本号建立了对照关系。如果检验设备的检验项目不固定,需要检验员在仪器上手工录入检验项目,这就造成了患者资料的重复录入,势必会增加劳动量,使得患者资料和标本易于混乱。这种传统的通讯模式设备将逐渐由双向或三项通讯设备替代。

(2)双向和三项通讯模式

具有双向通讯功能的设备采用双向通讯模式,具有3项通讯功能的设备采用3项通讯模式。这2种通讯模式与传统的单项通讯模式不同,服务器统一向检验设备发放标本编号和任务清单,时刻等待接收试验结果;检验设备执行完检测后将结果传回服务器。其中3项通讯模式又区别于双向通讯模式,它的自动化程度更高,仪器读取条码后,主动向服务器索取任务清单。与传统的单项通讯模式相比,这2种通讯模式无需在仪器上手工设定检验项目,从而可以减少错误,减少劳动,提高了工作效率,充分利用了设备资源,这也是未来LIS的发展方向。

参考文献

[1]郭幽燕,韩向非,李昕.医院联机实验室信息系统的设计与实现[J].计算机工程与应用,2005(10):227-228.

[2]马锡坤,吴爱民,马百坤.医学检验信息网路系统的建立与应用[J].医疗设备信息,2006,21(7):22-23.