*本文根据中国医科大学附属盛京医院信息中心主任全宇演讲整理撰写,文章将以第一人称视角还原其观点。
中国医科大学附属盛京医院信息中心主任全宇
如何定义“智能网络”
现在网络太多了,动不动就叫网络,物联网或者智慧物联网、智能网络,很宽泛。回想一下,这么多年来我们还是在用很传统的以太网络,并没有变,我们还是在使用一个天生就带着安全缺陷的TCP/IP协议,所以“网络”看上去真是没有太多变化,而且在我们医院信息化建设中涉及网络的话题也确实太少了。那么如何定义智能网络呢?
我个人的理解是,当网络“淡”出到思考之外,使用者不用担心网络是不是好用、不用担心是不是有病毒攻击等等问题的时候,我认为这就是一个比较智能的网络——它的存在是感觉不到的。
要会开车,也要会保养
要会开车,也要懂保养车。所以应该了解基础网络的建设。我学计算机出身,对网络的了解是从拨号网络开始的,拨号调节的“吱吱”声表明网络通了,很有成就感。
每一个做信息化的人都是“全科医生”——要懂网络、懂数据库、懂代码、懂中间件……任何一项其实都是一门专业,包括作为基础设施的网络,也是一门专业。
网络有七层。这七层是每个做信息化的、与网络供应商打交道的人都应该了解的,懂这七层就不会被“牵着走”。我们一般看到的都是第七层,或者是五到七层上的东西,认为这就是网络。其实了解网络最基本的构成对于理解网络作为基础设施的重要性非常有帮助。
第一层是物理层,负责机械、电子、定时接口通信信道上的原始比特流传输。通俗点说,其代表就是网线。网线的极限是100米,所以在网络布线的时候不能想当然地“一根网线牵到底”,否则会影响传输效果。
资料卡 关于无线网络部署
无线网络部署是基于有线实现的,但是无线网络的管理比有线更难。从部署上来看,无线网络部署需要进行实地测试,考察楼宇建设;从安全上来看,无线终端认证、无缝漫游、第三方无线非法接入的防控,都是需要考虑的;从带宽上来说,要考虑AP带宽、POE带宽、汇聚交换机带宽和终端性能的影响。
第二层是数据链路层,负责物理寻址,同时将原始比特波转变为逻辑传输线路。这一层的应用代表是交换机。我们为什么要防交换机被攻击?为什么要把网络划分WLAN?为什么交换机一般要一个楼层布一个?因为在同一个网络里大家是可以互相“欺骗”的,所以要尽可能分开,利用PIN码区别是否是“自己人”。交换机的第一个属性就是处理能力,第二个属性是处理速度,第三个属性是兼容性,第四个属性是私有性。这四个能力决定了交换机能在多大程度上保障数据传输量和传输速度。我们重点谈一下兼容性。在网络最底层架构中很多协议,国际上也有个标准叫RFC,这里面很多都是企业在长年累月的实践中形成的标准、协议,也是不同品牌交换机能在一起运行的基础。在网络世界里,有统一标准是共赢的基础。但是第四个属性就是“私有性”,这又该如何理解呢?私有性就是各个企业在共有协议之上添加的独一无二的产品特性,这种特性有时候可能会减弱产品的兼容性。
资料卡 关于核心交换机和汇聚交换机
一般大型三甲医院的系统是标准三层架构,或者四层(三层半)。我们在选网络的时候,选标准三层网络接入汇聚交换机为核心,这是一种网络架构。很多医院把交换机和服务器接到一起,虽然大部分时候没问题,但网络“通”和“断”的时候,这两个设备收敛时间,就是从“断”到“通”,或者从“通”到“断”,都是有一个时间段的。如果在一个交换机上既接交换机又接网络设备和接服务器,交换机就无法准确自动实现收敛。所以在交互机房里一定是把服务器单独剥离出来放在交换机里边的。
总结一下,标准的三层网络由核心网络和汇聚网络构成,这是整个网络的“大脑”——确保“永远”稳定、确保速度足够快、确保能力足够强,同时,通过核心交换机和汇聚交换机,避免单点故障,确保结构合理。
第三层是网络层,控制子网的运行,如逻辑编址、分组传输、路由选择。
第四层是传输层,接受上一层数据、并在必要的时候将数据进行分割后交给网络层,保证数据段有效地到达对端。
第五层是会话层,不同机器上的用户之间建立及管理会话。
第六层是表示层,信息的语法、语义以及它们的关联,如加密解密、转换翻译、压缩解压缩等等。
第七层是应用层,包括各类应用的程序协议,如HTTP、FTP、SMTP、POP3。
关于交换网络安全
我认为交换网络安全可以从四个方面来说,即双机热备、自身访问控制、连接设备类型、运行状态监控。
双机热备的初衷是为了避免单点故障,真正的双机热备需要做到核心交换机上连接的设备完全一致。
对自身的访问控制是通过关闭不需要的端口、限制IP地址访问权限来实现的。关于连接设备类型和运行状态监控,很多医院都有网络拓扑图,当网络变得越来越“大”的时候,对稳定的需求压倒一切,我们更多地想要及时、预先发现问题,所以监控软件要能监控到每个设备类型的运行状态、具体到日志分析和有针对性的用户分析。监管、及时发现问题、预先发现告警,这是目前大型三甲医院在交换网络安全方面有必要做到的。
网络安全涉及到的类别很多,如IPS、防火墙、IDS、漏洞扫描、WAF、VPN等。
盛京医院的机房安全主要从四个方面来保障。
一是安全设备包围机房:机房内的设备大多承载医院核心业务或者数据转发的中心,一旦出现问题,通常都会给医院造成明显的影响。互联网上的攻击是必须防止的,但医院内部的网络也不是一片无攻击、无病毒的网络,不能因为在医院内部就忽视了防范。所以,我们要把医院信息化中网络核心基础设施安全地保护起来,究竟什么算做安全,根据每个医院的实际情况出发,当然一些基础的安全设备是不可缺少的,比如:防火墙、IP、定期的漏洞扫描、风险评估等。多一份安全,增加一份稳定。在图中,可以看到凡是基础机房的数据都需要经过安全设备的“检查”。
二是外联网络通过防火墙。“互联网+”来临,我们在与应用“互联网+”的时候,必须更加充分关注所提供服务的安全性,至少服务必须通过防火墙来做一道防护,把服务放在防火墙的DMZ区域内。当然,不只是这一种安全措施,但至少应该这样。
三是交换机进行双机热备。核心交换机双机热备是机房里基础设施建设的标准配置,这个标准配置我们大家都知道,但我们也需要把这个标准的配置落地,而不是停留在知道和了解,目标是实现。这就好像,公共场所禁止吸烟一样,大家都知道,我们不但要知道,而且要达到目标。
四是服务器区域独立。从网络架构上说服务器和交换机是不同类别的设备。服务器是单点设备,它的联通目标就是所连接的交换机端口,或者说是点到点。交换机不同,交换机是整个网络链路中的一个转发数据节点,关注交换机,不应该只关注它自身,而应该关注其所在的整条网络链路。服务器网卡通断可以简单理解位就是自己的通断,但交换机不同,它有双机热备,双链路等,支撑这些功能的一些算法是针对交换机设计的,如果服务器参与到其中,在某些情况下就会造成网络上莫名奇妙的不稳定,当然不稳定不是一定会出现,但这带来了不稳定的因素,我们应该尽量避免。
声明:本文来自e医疗,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。