第一篇：中小醫院信息系統網絡整改方案

中國電信安徽公司創新成果主報告

（2010年度）

成果名稱成果類別：申報單位：報送日期：

中國電信安徽公司創新管理委員會

目 錄

第一章 項目創新背景......3

第二章 項目創新總體思路.........3

第三章 項目創新方案和實施過程..........3

第四章 項目創新成效......4第一章 項目創新背景（黑體三號，撰寫時刪除）

中小醫院信息系統是以實現區域內的村衛生室管理信息化為目的，建立一套以區（縣）級衛生局為管理平臺，并以此為中心，通過與全區（縣）的各個衛生院聯網，實現整個區（縣）的衛生室的信息化管理；實現病人就診的計算機管理，包括門診掛號、門診收費、出入院結算、藥品庫存管理、統計分析等功能在內的信息系統。

區域鄉鎮衛生院通過ADSL寬帶建立VPN隧道訪問信息系統平臺，其業務數據全部存放于遠端服務器，保證數據安全。在醫院的規模逐漸變大和農村合作醫療政策發展的情況下，普通ADSL帶寬已不不能滿足醫院的數據交互需求。

在adsl撥號上網的情況下，醫院操作系統訪問服務器的延時很大。我們將adsl接入更改為LAN接入系統業務平臺。

第二章 項目創新總體思路（黑體三號，撰寫時刪除）LAN接入大多是網吧客戶和企事業單位訪問Internet（公網）所采用的方式。在鄉鎮機房的二層交換機上通過VLAN管理用固定IP地址來訪問公網。如何才能讓醫院通過光纖上行來訪問私網呢？

通過私網IP地址固然可以，但是這樣就要求客戶端通過專線電路訪問遠端服務器。更方便的操作是把基于公網的LAN接入也通過VPN認證方式接入業務平臺。

由于VPN的撥號模式可以更便攜，更方便的接入城域網，這樣可以通過城域網來訪問遠端服務器。

第三章 項目創新方案和實施過程（黑體三號，撰寫時刪除）LAN接入可以以更大的帶寬來訪問Internet,我們把原來客戶通過公網IP地址訪問更改為撥號上網方式便可以解決問題。

在局端用光纖收發器接入二層或三層交換機，用戶端同樣也使用

光纖收發器，光電轉換。用戶端路由器內設定為PPPOE撥號模式，并WAN口指定私網段IP地址來接入公網。

第四章 項目創新成效（黑體三號，撰寫時刪除）

LAN接入模式提升了醫院接入信息網的速度，大大提高了信息處理能力。VPN撥號也并不局限于adsl，通過LAN接入也可以實現。中小醫院信息系統在光纖接入的情況下使得農合結報，病人信息上傳更加快速，減少了信息上傳錯誤包出現。

實現LAN接入更加提升了網絡穩定安全，也增加了收入。

第二篇：網絡信息系統整改方案

公司網絡信息系統整改方案

1． 方案背景：

公司目前擁有的PC數量大約為180臺（全部在用約為180臺左右，閑置臺數約為30臺），網絡體系架構比較復雜，大部分PC機均在同一網段，這樣在目前沒有部署企業級殺毒軟件的情況下，很容易發生一臺電腦中毒，致使整個網絡癱瘓的事件；其二，機房網絡結構繁瑣，網絡布線比較混亂，這樣網絡管理維護非常的困難；其三，財務部使用的CRM/K3服務器由于使用時間過長，系統運行速度很慢，機箱內部已有硬件不能正常，且目前該服務器硬盤存儲空間已嚴重不足，該服務器已經嚴重影響公司的辦事效率，由于硬件故障該服務器即將面臨崩潰；其四，由于公司最初設計的未考慮上網安全管理，目前局域中存在著BT下載，IP地址盜用，以及通過USB接口泄露公司的機密等問題。

2． 方案簡介：

1．網絡優化處理：增加路由接口。目前公司的中心路由器只有兩個接口，一個接防火墻，設置的ip是10.10.10.2另一個接口公司內網網關:192.168.10.200/24,還設置了一個路由接口192.168.2.2/30的路由口接工廠，在一個口上設置兩個IP，嚴重影響了路由性能，對內網的沖擊也大，非常不合理。因此建議將大榭的路由接口接到防火墻的DMZ區，并增加cisco2811的以太網口，增加幾個網段。這樣做的好處可以劃分更多的網絡區域（vlan），可以有效隔離廣播風暴，和蠕蟲病毒。將病毒爆發的影響范圍縮小，不至于拖垮整個公司網絡，需增加HWIC-4ESW模塊一個，該模塊預算：2500元左右。同時對公司的網絡布線進行綜合整理。2．病毒處理方案：建議公司購買企業級殺毒軟件，集中部署，這樣可以集中管理每臺電腦的病毒情況，由服務器端每天檢查下面所有客戶段的病毒情況，定期每周做一次集中的掃毒情況。不用管理員經常一臺臺的檢查電腦病毒情況。其次，部署了企業殺毒后，可以避免客戶段任意卸載殺毒軟件，因為卸載該殺毒軟件需要輸入管理員密碼。目前公司的PC電腦，基本都是網絡下載的測試版、試用版的殺毒軟件，包含卡巴斯基，諾頓，瑞星，品牌眾多，病毒碼更新不及時，且有使用盜版之嫌疑，給公司法務帶來不必要的麻煩。在這里推薦公司使用企業中廣泛使用的趨勢企業殺毒軟件。購買軟件使用后，將保證公司所有電腦都能得到防病毒軟件的保護，和病毒碼的時時更新。防病毒，是公司首要改善措施。按公司150臺電腦的情況，安裝趨勢客戶端和服務器端軟件一年共需要預算：22000左右。三年的預算大約為：32000元左右 3．設置代理服務器：現在公司局域網上網都是通過firewall直接NAT上網，主干網絡達到100兆。這種模式internet的網絡帶寬都是非常有限的，容易導致網絡傳輸速度變慢。所以需要在（ICS，NAT，PROXY）三種代理上網的技術中有所選取。推薦使用proxy服務器。它可以Cache大量internet緩存，存儲在服務器本地硬盤或內存里。在不同的用戶訪問相同的網址時，proxy只需向internet提交一次處理。然后存儲在服務器的cache里。其他用戶就可以直接從服務器cache里調用數據即可，這種方案節省了大量的的多余的internet流量。同時代理認證上網實施，既代理上網的用戶在訪問internet的時候需要提交用戶名和密碼，這樣可以有效的解決目前公司哪些人能上網，哪些人不能上網的需求。不會出現靠盜用IP上網的情況。該部分需要購買一臺新服務器，建議型號為：HP DL380G5405，預算大約為2.0萬。

4．Acl規則限制服務：目前公司上網無任何規則限制，這樣導致員工上網自由，資源浪費，一個人在訪問在線電影或者下載BT，就會導致公司所有員工上網緩慢。如果在防火墻和路由器上做響應的acl限制，以規定上網訪問行為，封毒一些常見的病毒端口和攻擊漏洞。加強對重要設備的保護。

5．資料安全方案：考慮到公司客戶定單和公司設計資料的安全，可以通過做ACL設置用戶訪問權限，防止用戶訪問不該訪問的機密電腦資料，并且并部分控制對EMAIL，QQ等的泄密管道，防止資料外泄，因此加強防火墻的安全管理很重要，可以在防火墻上設置禁止對外的smtp服務，禁止通過外部郵箱outlook傳遞資料，關于USB的封堵，本來應該靠購買行為軟件來規范，或者通過AD域的組策略來實施，但考慮到預算成本，可以通過腳本（一個exe的可執行文件），只需要用管理員的身份登陸電腦，點擊一下，就可以完成PC注冊表的修改，禁止該電腦的USB口。而類似的上網行為軟件價格大概在200-300/元每客戶端，可為公司節省近4-6萬元左右。

6．財務CRM/K3服務器，由于該服務器積累了公司財務、合同、定單、固定資產等對公司至關重要的數據，目前該服務器已使用7年，CPU 頻率過低，系統運行緩慢，經查該服務器內部硬件已壞，且硬盤存儲空間已嚴重不足，建議更換最好一臺新的服務器，并作好定期該服務器的數據備份。該部分需要購置一臺新的服務器，建議型號為：HP DL380G5405，預算大約為2.0萬。

7． 積極使用地OA系統，目前該系統運行良好，但自從新的組織結構調整后，但是由于使用人數比較少，沒能更好利用它的功能，目前該系統外掛組織結構已基本和公司實際組織架構相符，但OA系統內部電子審批流程還未做更改，關于這方面我會與OA系統的售后服務人員協同把內部電子審批流程做出合理并符合當前公司審批流程，同時建議公司，提倡員工每天登陸，并利用OA系統功能盡量實現無紙化辦公！

第三篇：網絡整改方案

網絡整改方案

因公司現在網絡質量太差，主干網絡布線方式很容易導致公司庫房網絡不穩定。（1）現整改方案如下：

從2樓行政辦公室布超六類網線2根到機房505房間，一根用于直接連接主服務器，另一根用于連接505的交換機，且用PVC管穿線布線。另原2樓主交換機換成千兆（華為或者H3C）交換機，保證主干網絡質量。且單獨分一條ADSL線路供主服務器使用，保證外網接入主服務器的帶寬。其余內部網絡結構暫不變。

如果要辦理光纖就直接把主服務器接光纖使用。費用預算：1、2、3、4、超六類線一箱

800元 H3C千兆交換機一臺

3000元

PVC管

1.4元*300米=420 輔材（如PVC管卡子）

20元

5、半天人工費

200元 共計：800+3000+420+20+200=4400元（2）網絡圖：

第四篇：網絡整改方案

網絡整改方案

現有網絡存在的問題

目前網絡線路凌亂、病毒現象嚴重、權限管理混亂、Internet連接不穩定等，主

要總結為以下幾個問題：

1、網絡組成無專用機柜，理線不清；線路標示不明確，無線路走向標示圖，節點標示不明確；

2、與Internet連接無任何安全措施，網絡中病毒傳播現象嚴重；使用簡易路由器接口，Internet網絡經常斷線；

1.網絡中IP地址使用不規范，名字解析失效，無法用計算機名進行內部網

絡互訪；

2.Internet訪問權限不受控制，BT一類網絡下載工具濫用，造成網速慢、不穩定；

3.數據中心服務器無任何管理權限，網絡中成員可任意訪問服務器上資源，服務器上的資源無任何安全性、保密性可言。

4.計算機使用人員無安全意識、無保密意識，沒有明確的計算機使用管理規

范管理制度。

網絡整改的目標

綜合上述的幾點問題，網絡的整改在現有設備的基礎上，采用先進的系統集成技術和管理模式，實現一個高效的辦公網絡體系。公司內部形成高效、暢通、安全的網絡體系，初步實現公文管理、資源共享、打印管理的電子化、網絡化。對外連接到Internet，使公司保持與外界先進事物以及合作伙伴，公司客戶的密切聯

系。

為了保證基本網絡的安全性、穩定性，建設一個快速、高效、通暢、安全的校園網絡，整改后的網絡架構必須具備以下幾點： 1.實用性，網絡系統應實用、滿足應用為主，不追求最高、最新； 2.安全可靠性，同時考慮應用系統的設計、網絡系統的設計、硬件設備的選

型配置幾個方面，以確保數據的安全；

3.兼容性與可擴展性，要采用成熟的技術，保證當前網絡系統可以在廣泛的設備上使用，具備更新與升級的能力；

4.經濟性，在滿足功能與性能的基礎上的性能與價格比最優；

5.易管理性，隨著網絡規模和復雜程度的增加，網絡系統的管理故障排除將成為較難的事情，針對各種設備都應選用易管理或具備管理功能的。

網絡整改的原則

本次網絡整改必須按照統一規劃、著眼未來、注重實效的原則，兼顧先進性和實用性，盡量采用先進的技術以提高系統的效率和可靠性，還要結合公司特點，避

免造成不必要的浪費。

網絡系統設計

校園網組織結構概況

1.辦公網 2.廣播網 3.監控網

系統需求

網絡整改是為了滿足校園各項管理需要而實施的，考慮到今后功能與信息增長的要求，整改后的網絡系統應具有充分的先進性和可擴展性。

服務器是網絡系統的重要組成部分，要求對客戶端訪問快速響應，采用嚴格的權限控制，保證系統的安全穩定運行，同時要生成完善實用的系統日志，以便根據實際應用情況優化系統。日常文件管理要求實現電子化，根據公司的文件管理制度，對公司的文件提供完善的管理，以及訪問權限的控制。

系統管理提供以下管理：

1.用戶安全、帳戶管理 2.用戶權限管理 3.網絡訪問控制 4.事件日志

施工案例

第五篇：網絡整改方案

網絡整改方案

一、防水墻服務器的實施計劃……………………………………………….1

二、路由器的實施計劃…………………………………………………………………..5

三、交換機的實施計劃…………………………………………………………………..7

四、防火墻的實施計劃…………………………………………………………………..9

五、IPS 的實施計劃……………………………………………………………………….11

六、后期的完善方案………………………………………………………………………12

七、定期網絡知識的培訓………………………………………………………………13

一、防水墻服務器的實施計劃 1.1 防水墻服務器的作用

1.防水墻通過可信網絡認證授權系統管理用戶的登陸，對于沒有授權的用戶限制登陸；對于一些非法用戶的強行登陸進行了控制，并有相應的日志記錄

2.防水墻通過可信桌面管理系統實現了對于終端用戶操作的實時監控，并控制用戶使用USB接口和打印機的權限，同樣該系統可以通過遠程方式進行客戶端的維護工作；該系統的資產管理功能對公司電腦的資產盤點工作有很大幫助。

3.防水墻通過可信網絡監控系統管理對公司郵件進行了系統的管理，包括郵件的內容，所掛附件的內容等；該系統對于網絡流量進行了詳細的劃分，可以對用戶進行流量控制，管理非法BT或其他下載行為。

4.防火墻通過可信移動存儲介質管理系統保障了公司文件的安全，它提供了移動設備的注冊授權功能，對于不同設備采取不同的權限控制，并提供詳細的使用日志記錄。

1.2 投入成本

1.防水墻的所有功能是分散的，也就是說可以把幾個需要的功能拼湊到一個模塊中。所以價格也會根據功能的多少而定。

1.3 進度跟蹤

1.防水墻搭建相對容易，時間較短，但是后期碰到的問題會很多，比如郵件的審核人歸屬問題，遠程監控時間問題等，都需要一個長期的磨合完善。

二、路由器的實施計劃 2.1 路由器的作用

1.路由器是公司網絡接入后遇到的第一個網絡設備，它主要通過相互連接的網絡把信息從源地點移動到目標地點的活動。2.通過配置路由器的路由協議（OSPF,EIGRP等）保證網絡數據包的正確走向，配置IP地址、網關和DNS保證網絡的正常運行。

3.路由器需要兩臺同樣配置的，兩者之間通過使用現今流行的熱備份路由器協議（HSRP）：假如一臺路由器出現軟件或者硬件問題導致外部網絡中斷，HSRP協議會自動讓外部網絡流量自動走向另一臺備份路由器，保證了公司內部網絡訪問外部網絡處于一個正常的狀態。

4.路由器的網絡地址轉換（NAT），是一種將私有地址（公司內部地址）轉化為合法IP地址的轉換技術，通過配置該協議能夠有效地避免來自網絡外部的攻擊，隱藏并保護網絡內部的計算機。

2.2 投入成本

1.目前思科路由器的型號較多，目前根據公司的規模采用28或29系列的路由器即可滿足，價格大概在1萬元左右每臺

2.其他品牌的路由器也可以基本滿足公司需要，但是從性能上來說不如思科產品。2.3 進度跟蹤

1.首先可以通過模擬器完成路由器的各項試驗，包括多臺路由器的實驗。再通過模擬PC機配合模擬路由完成防御外部攻擊的實驗。2.實驗成功后，在真實路由器上配置相應協議，在周末測試網絡情況，通過關閉主路由器端口模擬HSRP協議的實驗。整個路由器的搭建及后期測試初步計劃2個月左右。

三、交換機的實施計劃

3.1交換機的作用

1.交換機主要負責把一條網絡流量分成多條流量的硬件設備，目前主要分為二層交換機和三層交換機，二層交換機主要是交換機本身的功能，三層交換機還包括了路由器的部分功能。需根據網絡實際情況進行選擇。

2.交換機的vlan劃分功能提高了網絡的安全性，vlan可以按照部門劃分。假如一個部門中了傳染性的蠕蟲病毒，那么病毒的擴散區域只局限在這個部門的vlan區域，不會波及到整個公司。3.交換機的生成樹協議可以保證網絡中不出現環路現象（環路會產生廣播風暴，導致整個網絡癱瘓）

4.多臺交換機之間需要通過配置“端口通道模式”保證在一條端口出現故障時整個網絡不會受任何影響。多臺交換機之間也可以通過HSRP協議進行備份工作。但是在整個交換機的體系中一定要有一臺核心交換機保證網絡流量的合理化分布。

3.2投入成本

1.核心交換機要求配置較高，而且負載量會很大，根據公司現有情況，可選擇29系列交換機，目前不需要三層交換機。價格大概在5千元左右。

2.底層交換設備可選用目前公司使用的小型交換機或者低端配置的交換機。

3.3進度跟蹤

1.首先可以通過模擬器完成交換機的各項試驗，包括多臺交換機的實驗。

2.試驗完成后，在真實交換機上配置相應協議，并測試網絡情況，整個交換機的搭建及后期測試初步計劃2個月左右。

四、防火墻的實施計劃

4.1防火墻的作用

1.防火墻是一項協助確保信息安全的設備，會依照特定的規則，允許或是限制傳輸的數據通過。

2.防火墻的vpn功能保證了遠程登錄到公司內網中，方便了出差或者在家需要辦公的同事。安全方面通過ipsec協議保護了傳輸的數據。

3.防火墻的主要功能是防止外來的“入侵者”，但要隨時更新標簽（類似病毒庫）。而且所有的訪問控制列表（ACL）不能在路由器中寫入（承載不了太多ACL），要在防火墻中寫入，訪問控制列表可以限制員工不能訪問一些不良網站，保證了內部網絡的安全。

4.2 投入成本

1.目前公司的防火墻功能性不強，可根據升級方式提升性能，具體情況需在升級觀察，如標簽數量不夠或功能不強，則需更換高端防火墻，具體品牌則根據公司實際情況而定。

4.3 進度跟蹤

1.由于沒有防火墻模擬器使用，可先用公司本身的防火墻進行測試，找出現有防火墻的不足。2.測試完成后，根據實際情況決定升級或者更換高端防火墻，并且配置相關協議和功能，進行遠程和攻擊型的實驗。整個防火墻完善工作需要3-5個月時間。

五、IPS的實施計劃

5.1 IPS的作用

1.入侵預防系統(Intrusion-prevention system)是一部能夠監視網絡或網絡設備的網絡資料傳輸行為的安全設備，它能夠隔離一些具有危害性的網絡惡意行為。也可說是對防火墻的補充。2.入侵預防系統安裝在防火墻之后，通過監測網絡情況和防火墻的工作情況，可以做到隨時查看網絡情況，并有相關日志生成，保證能夠準確的分析到網絡中存在的問題。

5.2 投入成本

1.由于有些防火墻和IPS是一體的，但是性能方面別單獨的防火墻和IPS差，所以要根據當時的實際情況而定。

5.3 進度跟蹤

1.由于沒有IPS模擬器使用，所以前期將找一些第三方軟件替代，進行簡單的測試

2.測試完成后，效果好的話，再引進真實設備，并測試監控等效果，整個IPS搭建的時間需要2個月左右

六、后期的完善方案

1.當初期整體網絡完成后，通過對內部網絡和外部網絡的監控，查看日志等工作，解決公司網絡的常見問題。

2.當初期的網絡穩定后，根據公司實際情況，在現有設備中增加更高級別更系統化的的安全功能和網絡管理功能。

3.后期網絡的高級搭建，如不能在原有設備上采取升級或者增加模塊方式實現，則需添加其他的硬件設備來完善。

七、定期網絡知識的培訓

1.培訓一些計算機辦公軟件方面的基本應用常識，包括office、PDF等大家常用的辦公軟件。還會根據大家對常用辦公軟件的其他需求進行統一培訓指導。

2.培訓解決計算機系統常見問題的知識，有硬件和軟件問題。硬件問題包括鼠標鍵盤等小問題的解決方法；軟件方面包括系統速度慢和相關軟件報錯問題。

3.培訓時間將會根據各個部門的實際情況而定，初期準備采用以部門為單位的培訓計劃。