要：

本人在某醫(yī)院信息中心工作，我院建設(shè)于2011年，隨著醫(yī)療信息化建設(shè)的不斷深入，我院的信息化建設(shè)已經(jīng)有了很大進步，在發(fā)展過程中我們發(fā)現(xiàn)，隨著醫(yī)院數(shù)據(jù)量、業(yè)務(wù)量的增加，我院網(wǎng)絡(luò)帶寬已經(jīng)不能滿足現(xiàn)有需求，IP資源已經(jīng)枯竭，核心設(shè)備存在單故障點，內(nèi)網(wǎng)病毒不能得到有效控制。院領(lǐng)導(dǎo)決定投入200萬，進行網(wǎng)絡(luò)升級改造，于2017年7月開始實施，工期為5個月。本人作為信息中心負責人，主持本次改造工作，我在資金有限的前提下，對醫(yī)院網(wǎng)絡(luò)進行了全面細致的規(guī)劃，主要規(guī)劃內(nèi)容有：IP地址重新規(guī)劃、網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整、重新布線、設(shè)備選型及核心交換虛擬化、部署背靠背模式防火墻、內(nèi)網(wǎng)殺毒軟件部署等。項目實施完畢后，取得了良好的效果，得到領(lǐng)導(dǎo)的肯定。由于資源投入有限，本次網(wǎng)絡(luò)改造并未部署入侵檢測系統(tǒng)，將會在后期的改造中加以完善。

正文：

隨著我國醫(yī)療改革新體制等一系列政策的實施，我國醫(yī)療衛(wèi)生系統(tǒng)信息化建設(shè)也呈現(xiàn)出快速發(fā)展的趨勢。本人在某醫(yī)院信息中心工作，我院建設(shè)于2011年，隨著醫(yī)療信息化建設(shè)的不斷深入，最近幾年我院的信息化建設(shè)已經(jīng)有了很大進步，逐步建設(shè)實施了HIS系統(tǒng)，PACS系統(tǒng)，LIS系統(tǒng)，電子病歷系統(tǒng)等，在發(fā)展過程中我們發(fā)現(xiàn)，隨著信息化建設(shè)的深入，我院網(wǎng)絡(luò)規(guī)劃方面存在的問題，逐漸顯示出來，如：大樓建造時設(shè)計的全網(wǎng)百兆鏈路，已經(jīng)不能滿足現(xiàn)在醫(yī)學影像傳輸；IP地址規(guī)劃不合理，導(dǎo)致目前IP地址資源即將耗盡；醫(yī)院核心交換機存在單故障點，一旦出現(xiàn)問題嚴重影響醫(yī)院正常運轉(zhuǎn)；工作人員上網(wǎng)行為得不到有效管理，在工作時間經(jīng)常瀏覽、下載與工作無關(guān)的內(nèi)容；工作人員私自插U盤，內(nèi)網(wǎng)各種病毒得不到有效防治；針對以上問題，院領(lǐng)導(dǎo)決定投入資金200萬，進行網(wǎng)絡(luò)升級改造，于2017年7月開始實施，工期為5個月。本人作為信息中心負責人,主持本次項目，我在資金有限的前提下，充分利用現(xiàn)有條件和成熟技術(shù)，對醫(yī)院網(wǎng)絡(luò)進行了全面合理的升級改造，本文將介紹我在提升網(wǎng)絡(luò)帶寬、增強網(wǎng)絡(luò)安全性、可靠性方面采取的一些技術(shù)和方法，主要內(nèi)容有：IP地址重新規(guī)劃、網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整、重新布線、設(shè)備選型、設(shè)備的重用、核心交換機虛擬化、部署背靠背模式防火墻、內(nèi)網(wǎng)防毒部署等。

1、IP地址的重新規(guī)劃：我院由一座辦公樓、一座體檢樓、一座功能科室樓、一座新建綜合大樓組成，機房位于新建綜合大樓二層，建網(wǎng)初期由于對信息化發(fā)展的預(yù)見性不足，為每座樓劃分的一個192.168.X.0/24的C類網(wǎng)，目前辦公樓、體檢樓、功能科室樓的計算機數(shù)量較少，IP地址尚且夠用。由于所有門診部和住院部科室全在新建綜合大樓，隨著計算機的不斷增加，IP地址目前已經(jīng)基本耗盡。所以對新建大樓IP地址重新規(guī)劃：因各個服務(wù)器都采用固定IP地址，故沿用原來地址不做改動；門診部重新劃分一個192.168.X.0/24的C類網(wǎng)；住院部根據(jù)內(nèi)科、外科、婦科分類，每科重新劃分一個192.168.X.0/24的C類地址；各樓層均有自助繳費設(shè)備，自助繳費設(shè)備需要與銀行專線連接，劃分一個192.168.X.0/24的C類網(wǎng)，便于管理；大廳報銷窗口設(shè)備與市醫(yī)保專網(wǎng)連接，報銷窗口設(shè)備單獨劃分一個192.168.X.0/24的C類網(wǎng)，便于管理。DMZ區(qū)域各類前置服務(wù)器劃分一個192.168.X.0/24的C類網(wǎng)。此次劃分共將我院網(wǎng)絡(luò)劃分成了15個C類網(wǎng)絡(luò)，每個網(wǎng)絡(luò)對應(yīng)一個VLAN。重新劃分之后，發(fā)現(xiàn)檢查設(shè)備配有的IP地址需要廠家專業(yè)人員修改，故所有檢查設(shè)備及所連計算機暫時不做改動，在接入層交換機預(yù)留端口，等廠家專業(yè)人員修改IP之后再調(diào)整網(wǎng)線連接。

2、網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整、重新布線、設(shè)備選型：我院網(wǎng)絡(luò)結(jié)構(gòu)原為二層扁平化設(shè)計，只有接入層和核心層設(shè)備，沒有匯聚層，隨著計算機數(shù)量的增加，廣播風暴變得非常龐大，且所有VLAN間數(shù)據(jù)交換都要經(jīng)過核心交換機，使核心交換壓力越來越大。此次改造決定通過對網(wǎng)絡(luò)結(jié)構(gòu)進行調(diào)整，網(wǎng)絡(luò)重新布線，網(wǎng)絡(luò)設(shè)備更換等方法，將原來的二層網(wǎng)絡(luò)結(jié)構(gòu)改為三層網(wǎng)絡(luò)結(jié)構(gòu)以適應(yīng)今后的發(fā)展。布線方面，我院新建大樓共分為12層，12層至10層線路，匯聚到11層配線間，9層至8層線路，匯聚到8層配線間，7層至6層線路，匯聚到6層配線間，5層至4層線路，匯聚到4層配線間，3層至1層線路，匯聚到2層配線間。終端到配線間線路采用6類屏蔽雙絞線，實現(xiàn)千兆到桌面的標準，11層、8層、6層、4層的配線間到中心機房匯聚層交換機采用24芯光纖連接，每層分得6芯，2層配線間離中心機房距離近，采用6類屏蔽雙絞線連接，接入層到匯聚層為千兆鏈路。匯聚層交換機與核心交換機之間采用萬兆光纖連接。設(shè)備選型及配置方面，為實現(xiàn)千兆到桌面，淘汰原有百兆端口的接入層交換機，采購臺華為S5700系列全千兆端口三層交換機作為接入層交換機，每個配線間的接入層交換機做堆疊處理，簡化管理，并增加交換機的交換能力。采購華為S6700系列全萬兆端口三層交換機作為匯聚層交換機，匯聚層交換機之間用4條鏈路做鏈路聚合，增加帶寬并實現(xiàn)鏈路冗余。采用2臺華為S7900系列全萬兆端口三層交換機作為核心交換機。

3、核心交換機虛擬化：我院網(wǎng)絡(luò)為單核心結(jié)構(gòu)，存在單點故障，一旦發(fā)生交換機故障，將會導(dǎo)致全網(wǎng)癱瘓，直接影響我院的數(shù)據(jù)安全性、業(yè)務(wù)連續(xù)性。此次改造，我院新采購2臺華為S7900系列全萬兆端口三層交換機，做核心交換，通過CSS技術(shù)將兩臺核心交換虛擬成一臺邏輯交換機，實現(xiàn)核心交換機的負載均衡，統(tǒng)一管理，避免單點故障。同時把所有匯聚層交換機與虛擬化之后的核心交換機之間兩條上聯(lián)鏈路進行跨設(shè)備的鏈路聚合，使網(wǎng)絡(luò)不僅有設(shè)備上和鏈路上的冗余，還能負載均衡，充分利用網(wǎng)絡(luò)資源，防止帶寬浪費。CSS技術(shù)可能因為線纜、堆疊卡故障導(dǎo)致分裂，分裂后的狀態(tài)會變成兩臺配置完全相同、且相互獨立的核心交換設(shè)備，這樣會引起整個網(wǎng)絡(luò)的全面癱瘓，為了避免此類故障發(fā)生，在核心交換之間配置雙主檢測，實現(xiàn)CSS分裂的處理和恢復(fù)。為進一步加強安全防護，將所有接入層、匯聚層交換機未連接設(shè)備的端口全部禁用。經(jīng)過此次改造，解決了核心交換設(shè)備的冗余及負載均衡問題，提高了網(wǎng)絡(luò)的可靠性，簡化了核心交換的管理，避免了匯聚層到核心層之間的鏈路環(huán)路和帶寬浪費。

4、設(shè)備的重用：網(wǎng)絡(luò)改造是對現(xiàn)有資源重新配置并增加功能的過程，合理地保護現(xiàn)有投資是在網(wǎng)絡(luò)改造時必須考慮的問題。由于大樓建設(shè)時，設(shè)計為百兆到桌面，墻體內(nèi)的布線均為百兆的5類雙絞線，現(xiàn)在醫(yī)院的醫(yī)學影像類文件，多為1G、2G的文件，百兆帶寬的鏈路傳輸非常慢，已經(jīng)不能滿足現(xiàn)在的需求，所以線路無法再重用，只能重新布線為6類屏蔽雙絞線。替換下來的交換機多為百兆交換機，也不能適應(yīng)現(xiàn)在的千兆到桌面設(shè)計，不過此次改造只涉及到綜合大樓的線路改造，其他大樓還是百兆鏈路，辦公樓主要做一些文件處理、在線填報報表之類的工作，不涉及影像圖片的查看，百兆鏈路還能滿足當前需求，所以選用一些故障率低的百兆交換機，作為辦公樓的備用設(shè)備，一些經(jīng)常出故障的設(shè)備直接淘汰，不在維修。原有的一臺核心交換機為千兆端口的三層交換機，放到功能科室樓，作為匯聚層交換機使用，因為幾個未改造的大樓，從數(shù)據(jù)流量來看，功能科室樓的數(shù)據(jù)流量比較大，將功能科室樓與綜合大樓之間的鏈路升級成千兆鏈路，最為合適。

5、部署背靠背模式防火墻：我院原有一臺網(wǎng)御硬件防火墻，隨著互聯(lián)網(wǎng)業(yè)務(wù)不斷發(fā)展，逐步開放了醫(yī)院網(wǎng)站平臺、網(wǎng)上預(yù)約等業(yè)務(wù)，為加強安全防護，采購一臺深信服硬件防火墻，將防火墻改造為背靠背模式，使用兩臺不同廠家的防火墻，可以有效避免因設(shè)備自身安全性引起的網(wǎng)絡(luò)安全問題。并且將我院網(wǎng)絡(luò)進行了區(qū)域劃分，F(xiàn)TP服務(wù)器、數(shù)據(jù)庫服務(wù)器、DHCP服務(wù)器、內(nèi)網(wǎng)計算機所在的區(qū)域劃分為信任區(qū)域。web服務(wù)器、郵件服務(wù)器、預(yù)約掛號服務(wù)器等所在的區(qū)域劃分為DMZ區(qū)域。互聯(lián)網(wǎng)劃分為非信任區(qū)域。新購的深信服防火墻為外部防火墻，部署在非信任區(qū)域與DMZ區(qū)域之間，做訪問控制限制除辦公樓以外的其他計算機在任何時間都不能訪問外網(wǎng)，辦公樓的計算機只能在上班時間訪問衛(wèi)生系統(tǒng)要求在線上報的網(wǎng)站。為了保證非信任區(qū)域的用戶可以訪問WEB等服務(wù)器，在外部防火墻上配置NAT，將WEB等服務(wù)器的私網(wǎng)地址和公網(wǎng)地址進行一對一靜態(tài)地址轉(zhuǎn)換。將信任區(qū)域用戶的私網(wǎng)地址和公網(wǎng)地址進行多對多的端口地址轉(zhuǎn)換NAPT，有效的節(jié)省了公網(wǎng)IP資源，同時可以使信任區(qū)域用戶和DMZ區(qū)域的服務(wù)器對非信任區(qū)域隱藏真實地址，進而有效避免非信任區(qū)域的直接攻擊，保障了業(yè)務(wù)的正常使用。網(wǎng)御防火墻為內(nèi)部防火墻，部署在信任區(qū)域與DMZ區(qū)域之間，做訪問控制，限制由DMZ區(qū)域、非信任區(qū)域發(fā)起的對信任區(qū)域所有非必要的訪問。2臺防火墻同時啟用監(jiān)控審計功能，對于可疑情況及時報警，并提供網(wǎng)絡(luò)受到探測和攻擊的詳細信息，以便我們可以清楚的知道網(wǎng)絡(luò)安全存在的問題，并及時進行改進。

6、內(nèi)網(wǎng)防毒部署。我院原來采用的內(nèi)網(wǎng)安全措施為，啟用聯(lián)想商用機自帶的還原功能，即每次重啟對指定盤符進行恢復(fù)。經(jīng)常會因為恢復(fù)功能，使存放不當?shù)母黝愜浖罩净蛞恍┕ぷ魅藛T數(shù)據(jù)資料丟失。對于U盤等存儲設(shè)備采用物理封堵、注冊列表禁用方式，效果也不太理想。本次改造采用方式為對我院所有計算機和服務(wù)器安裝防毒軟件，并在DMZ區(qū)域部署一臺防毒軟件服務(wù)器，提供信任區(qū)域的計算機和DMZ區(qū)的服務(wù)器在線升級病毒庫。防毒軟件服務(wù)器通過外網(wǎng)在軟件廠家網(wǎng)站下載更新包，實現(xiàn)病毒庫自動更新，并通過對外網(wǎng)防火墻做訪問策略，嚴格限制防毒軟件服務(wù)器只能訪問病毒庫更新地址，拒絕所有非病毒庫地址對防毒軟件服務(wù)器的訪問。在防毒軟件控制平臺將所有醫(yī)院系統(tǒng)軟件進程加入白名單，防止誤殺。對安裝客戶端的計算機進行分組管理，對于普通用戶組計算機禁止所有外接存儲類設(shè)備、無線網(wǎng)卡、光驅(qū)、軟驅(qū)、藍牙等，且網(wǎng)絡(luò)訪問權(quán)限為只能讀取不能寫入。對于服務(wù)器組禁止所有外接存儲類設(shè)備。全網(wǎng)定時殺毒及更新病毒庫，時間定為患者相對較少，計算機又全部開機的時間段，每周六周日下午4點。經(jīng)過部署防毒軟件之后，內(nèi)網(wǎng)的病毒得到了有效控制，工作人員亂插U盤的現(xiàn)象也徹底杜絕。

總結(jié)：

在本次項目中我通過采取上述技術(shù)和方法，在資金有限的情況下，使醫(yī)院網(wǎng)絡(luò)的安全性、可靠性得到了很大的提升。通過對交換機、防火墻等設(shè)備的重用，有效的保護了已有投資，得到了院領(lǐng)導(dǎo)的肯定。不過隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，會不斷涌現(xiàn)新的網(wǎng)絡(luò)攻擊手段與安全威脅，網(wǎng)絡(luò)安全也將會面臨新的挑戰(zhàn)。本次改造中由于資金有限，也存在一些問題沒有得到完善，如：內(nèi)網(wǎng)并沒有部署入侵檢測系統(tǒng)，對于來自網(wǎng)絡(luò)內(nèi)部的攻擊和安全隱患無法及時發(fā)現(xiàn)，下一步在資金允許的情況下將部署IDS與IPS來進一步加強內(nèi)部網(wǎng)絡(luò)的安全，并隨著信息化建設(shè)的發(fā)展不斷完善。

要：

本人在某醫(yī)院信息中心工作，我院建設(shè)于2012年，隨著醫(yī)療信息化建設(shè)的不斷深入，我院的信息化建設(shè)已經(jīng)有了很大進步，在發(fā)展過程中我們發(fā)現(xiàn)，目前的有線網(wǎng)絡(luò)已經(jīng)不能滿足智慧醫(yī)療的發(fā)展趨勢，智慧醫(yī)療中的移動查房、遠程查房、遠程會診等系統(tǒng)，都需要基于無線網(wǎng)絡(luò)的支持，院領(lǐng)導(dǎo)決定投入200萬，于2017年7月進行我院無線網(wǎng)絡(luò)的全面建設(shè)，工期6個月，本人作為信息中心負責人，主持本次項目。我通過對醫(yī)院環(huán)境、需求進行分析，從無線AP的分布及模式選擇、無線接入的認證方式、無線網(wǎng)絡(luò)的設(shè)備冗余、接入用戶的訪問控制等幾個方面，進行無線網(wǎng)絡(luò)的建設(shè)。項目完成后，經(jīng)過一個月的試運行，網(wǎng)絡(luò)運行基本穩(wěn)定，得到了院領(lǐng)導(dǎo)的肯定。不過由于資金有限，在入侵檢測方面還存在一些不足之處，會在下次無線改造的項目中會加以完善。

正文：

隨著我國醫(yī)療改革新體制等一系列政策的實施，我國醫(yī)療衛(wèi)生系統(tǒng)信息化建設(shè)也呈現(xiàn)出快速發(fā)展的趨勢。無線網(wǎng)絡(luò)在我國各個行業(yè)的廣泛應(yīng)用，使得醫(yī)療行業(yè)的醫(yī)療終端也開始無線轉(zhuǎn)型，在智慧醫(yī)療建設(shè)中，基于醫(yī)院無線建設(shè)是必不可少的。本人在某醫(yī)院信息中心工作，我院建設(shè)于2012年，隨著醫(yī)療信息化建設(shè)的不斷深入，最近幾年我院的信息化建設(shè)已經(jīng)有了很大進步，逐步建設(shè)實施了HIS系統(tǒng)，PACS系統(tǒng)，LIS系統(tǒng)，電子病歷系統(tǒng)，在發(fā)展過程中我們發(fā)現(xiàn)原有的有線網(wǎng)絡(luò)已經(jīng)不能滿足智慧醫(yī)療的發(fā)展趨勢，智慧醫(yī)療中的移動護士站、移動醫(yī)生站、移動查房、遠程會診等系統(tǒng)、都需要基于無線網(wǎng)絡(luò)的支持，我院領(lǐng)導(dǎo)決定于2017年7月進行我院無線網(wǎng)絡(luò)的全面建設(shè)，工期6個月，本人作為信息中心負責人，負責本次項目的建設(shè)工作。考慮到我院原有內(nèi)網(wǎng)的網(wǎng)絡(luò)安全性和可靠性，本次無線網(wǎng)絡(luò)建設(shè)并非在原有的有線基礎(chǔ)上進行拓展建設(shè)，而且將無線網(wǎng)絡(luò)從無到有整體建設(shè)，然后再通過防火墻和我院內(nèi)網(wǎng)連接，將我院網(wǎng)絡(luò)打造成2套獨立運行又可以相互訪問的網(wǎng)絡(luò)。我通過對醫(yī)院環(huán)境、患者及醫(yī)護人員需求進行分析，從無線AP的分布及模式選擇、無線接入的認證方式、無線網(wǎng)絡(luò)的設(shè)備冗余、接入用戶的訪問控制、流量控制等幾個方面進行了無線網(wǎng)絡(luò)的建設(shè)工作。

1、無線AP的分布及模式選擇。從AP模式選擇上考慮，部署FAT AP需要逐個配置，管理難度大，維護困難，而且醫(yī)院門診部人口較為密集，流動性較大，F(xiàn)AT AP無法實現(xiàn)負載均衡及無縫漫游，會導(dǎo)致用戶的體驗很差。部署FIT AP+AC的模式，F(xiàn)IT AP可以做到零配置，只需在AC做配置下發(fā)，AC可以對FIT AP進行自動分配信道，在受到干擾時切換到最優(yōu)信道。當個別FIT AP故障之后鄰居AP可以提高自身功率彌補覆蓋漏洞。防止某個FIT AP接入用戶過多，可以實現(xiàn)用戶在不同 FIT AP 下的負載均衡。在同一AC控制下的FIT AP之間漫游時可以做到無縫漫游。對比之后決定選擇瘦AP+AC模式部署我院的無線網(wǎng)絡(luò)。從AP點的分布上考慮，我院大樓共有12層，1-3層為門診部，考慮到室內(nèi)承重墻對信號的阻隔，門診部患者較為集中，走廊、醫(yī)生辦公室附近每20米放置一個FIT AP，同時每個拐角處放置一個FIT AP，電梯口放置一個FIT AP，對于患者排隊等待區(qū)域，根據(jù)每日平均患者門診人次，在等候區(qū)域四周均勻放置，每30人次放置一個FIT AP，且FIT AP之間覆蓋區(qū)域重疊。4-11層為住院部，住院部人員較少，病房、走廊、醫(yī)生和護士辦公室附近每20米放置一個FIT AP，每個拐角放置一個FIT AP，電梯口放置一個FIT AP。12層為手術(shù)室，手術(shù)室為無菌封閉空間，只在醫(yī)生辦公室和樓層的電梯口放置一個FIT AP。在醫(yī)院停車場部署的FIT AP，采用防水、防雷的室外型產(chǎn)品，在架設(shè)天線時確保天線主波束方向正對覆蓋目標區(qū)域，保證其良好的覆蓋效果。通過以上部署，實現(xiàn)我院從停車場到大樓的全范圍無線覆蓋。

2、無線接入的認證方式。從我院無線網(wǎng)絡(luò)接入的用戶角色區(qū)分，可分為兩類，一類是就診的患者及家屬，主要通過無線網(wǎng)絡(luò)訪問外網(wǎng)。一類是我院智慧醫(yī)療的各種移動設(shè)備終端，主要通過無線網(wǎng)絡(luò)訪問我院DMZ區(qū)域各服務(wù)器、前置機。考慮到移動設(shè)備終端的操作系統(tǒng)局限性，所有用戶都采用portal認證不現(xiàn)實，所以采用MAC和portal兩種認證方式。在AC上創(chuàng)建2個無線網(wǎng)絡(luò)，使2個無線網(wǎng)絡(luò)接入的用戶獲取不同的IP地址，劃分成不同的VLAN，一個供患者及家屬使用，默認啟用SSID廣播，使用portal認證方式，portal認證可以不需要用戶安裝客戶端軟件，通過WEB頁面進行認證，同時將WEB頁面設(shè)為公益廣告、國家醫(yī)療政策推廣、醫(yī)院醫(yī)療水平介紹，可以加大各方面的宣傳力度，同時可以對接入用戶做安全策略，限制接入用戶可訪問的資源。一個供我院智慧醫(yī)療移動設(shè)備終端使用，默認禁用SSID廣播，受限于移動終端的操作系統(tǒng)局限性，不能使用portal認證，使用MAC認證方式，由于設(shè)備數(shù)量不多，具有實現(xiàn)方便，規(guī)劃簡單等優(yōu)點。

3、無線網(wǎng)絡(luò)核心設(shè)備冗余。考慮到無線網(wǎng)絡(luò)由于交換機或鏈路故障造成的網(wǎng)絡(luò)癱瘓，采用雙核心網(wǎng)絡(luò)結(jié)構(gòu)，采購2臺華為S7900系列全萬兆端口三層交換機，做核心交換，通過CSS技術(shù)將兩臺核心交換虛擬成一臺邏輯交換機，實現(xiàn)核心交換機的負載均衡，統(tǒng)一管理，避免單點故障。同時把所有匯聚層交換機與虛擬化之后的核心交換機之間兩條上聯(lián)鏈路進行跨設(shè)備的鏈路聚合，使網(wǎng)絡(luò)不僅有設(shè)備上和鏈路上的冗余，還能負載均衡，充分利用網(wǎng)絡(luò)資源，防止帶寬浪費。CSS技術(shù)可能因為線纜、堆疊卡故障導(dǎo)致分裂，分裂后的狀態(tài)會變成兩臺配置完全相同、且相互獨立的核心交換設(shè)備，這樣會引起整個網(wǎng)絡(luò)的全面癱瘓，為了避免此類故障發(fā)生，在核心交換之間配置雙主檢測，實現(xiàn)CSS分裂的處理和恢復(fù)。為進一步加強安全防護，將所有接入層、匯聚層交換機未連接設(shè)備的端口全部禁用。考慮到由于AC故障或鏈路中斷可能導(dǎo)致的無線網(wǎng)絡(luò)故障問題，我們采購2臺華為AC6000系列無線接入控制器，雙AC采用熱備方式，分別旁掛在2個核心交換機上，當主AC出現(xiàn)故障后備用AC立即接替主AC的工作，保障網(wǎng)絡(luò)正常運行，有效避免出現(xiàn)網(wǎng)絡(luò)的單點故障。

4、接入用戶的訪問控制、流量控制。考慮到我院內(nèi)網(wǎng)的安全性、可靠性，在新建無線網(wǎng)絡(luò)和有線內(nèi)部網(wǎng)絡(luò)之間部署一套硬件防火墻，設(shè)置安全策略只允許我院智慧醫(yī)療移動設(shè)備終端所在網(wǎng)段可以訪問DMZ區(qū)域的智慧醫(yī)療前置機，拒絕其他無線用戶的訪問。開啟監(jiān)控審計功能，對于可疑情況及時報警，并提供網(wǎng)絡(luò)受到探測和攻擊的詳細信息，以便我們可以清楚的知道網(wǎng)絡(luò)安全存在的問題，并及時進行改進。在出口路由器上做網(wǎng)絡(luò)流量控制，對我院移動終端設(shè)備的網(wǎng)段進行帶寬保障，保證接入用戶高峰時段，我院智慧醫(yī)療業(yè)務(wù)的正常開展不受影響，對患者接入網(wǎng)段進行限速，限制P2P下載、網(wǎng)絡(luò)視頻等應(yīng)用占用過多帶寬。

總結(jié)：

在本次項目中我通過采取上述技術(shù)和方法，在資金有限的情況下，完成了我院無線網(wǎng)絡(luò)的建設(shè)。同時在醫(yī)院內(nèi)部網(wǎng)絡(luò)不受到安全威脅的情況下，使無線網(wǎng)絡(luò)的安全性、可靠性得到了保障。經(jīng)過一個月的試運行，網(wǎng)絡(luò)運行基本穩(wěn)定、用戶體驗良好，得到了院領(lǐng)導(dǎo)的肯定。不過隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，會不斷涌現(xiàn)新的網(wǎng)絡(luò)攻擊手段與安全威脅，網(wǎng)絡(luò)安全也將會面臨新的挑戰(zhàn)，本次無線網(wǎng)絡(luò)建設(shè)沒有部署入侵檢測系統(tǒng)，下一步在資金允許的情況下將部署IDS與IPS來進一步加強網(wǎng)絡(luò)的安全，并隨著信息化建設(shè)的發(fā)展不斷完善。

　　在儲存信息方面，硬盤與DNA相去甚遠。我們的基因編碼只需一克就能包含數(shù)十億Gb信息，一毫克就能收錄美國國會圖書館中的所有藏書內(nèi)容，而且還能剩下足夠多的空間。當然，所有這一切只是理論上的推斷。現(xiàn)在，研究人員成功將一本書儲存在不到1微微克（10?12克）DNA中。這本HTML格式的書包含53,000個單詞和11幅JPEG圖像，以及一段JavaScript程序，大小為5.3MB，研究人員將其翻譯成DNA序列，每比特一堿基，堿基流然后以96堿基分組，每組鏈接到一個19堿基地址，地址指示了數(shù)據(jù)儲存在位置。所有這些序列用合成機器轉(zhuǎn)成DNA，打印在DNA芯片上。

　　DNA是已知密度最高也最穩(wěn)定的信息存儲介質(zhì)。理論上而言，DNA的每個核苷酸可以編碼兩個比特，每克單鏈DNA的存儲容量可達455艾字節(jié)（1艾字節(jié)=10的18次方字節(jié)，1字節(jié)=8比特），大約相當于1000億張DVD光盤的容量，存儲密度幾乎是閃存等現(xiàn)有數(shù)字媒體的五六百倍。而且，存儲在DNA中的數(shù)據(jù)時隔幾千后年仍能夠被讀出。

　　此前曾有研究人員嘗試過將數(shù)據(jù)寫進活細胞的基因組內(nèi)，但這種方法存在很多問題：首先，一旦細胞死亡，存儲的內(nèi)容將會丟失；其次，細胞會分裂復(fù)制，在這一過程中可能會產(chǎn)生新的變異，從而更改存儲數(shù)據(jù)。此外，利用DNA長序列讀取和寫入數(shù)據(jù)存在一定難度，而且成本很高，這使得利用DNA進行大規(guī)模數(shù)據(jù)存儲不太現(xiàn)實。

　　為了解決這些問題，哈佛醫(yī)學院合成生物學家喬治·丘吉爾帶領(lǐng)的研究團隊不使用細胞，而是用噴墨打印機將化學合成的DNA短片段嵌入到一個微小的玻璃芯片表面。他們將一本由丘吉爾參與編寫的遺傳學課本轉(zhuǎn)換成“0”和“1”的比特形式，并用DNA的4個堿基中的A或C來編碼 “0”，G或T來編碼“1”，從而將課本內(nèi)容寫入了DNA中。這個DNA芯片采用了類似于計算機硬盤分區(qū)的方式，將課本內(nèi)容分散為數(shù)據(jù)塊來存儲。

　　讀取這些數(shù)據(jù)則需要一個DNA測序儀和一臺計算機。由于每個DNA片段中都包含著一個數(shù)字“條形碼”，記錄了其在原始文件中的位置，因此所有的片段可被重新組裝，并轉(zhuǎn)換成數(shù)字格式。電腦還能幫助糾錯：每個數(shù)據(jù)塊都被復(fù)制了數(shù)千次，通過與其他副本相比較，任何一個小錯誤都可以被識別并修復(fù)。

　　研究人員將課本內(nèi)容存入DNA，然后又重新轉(zhuǎn)化為數(shù)字形式讀出，結(jié)果顯示，這個存儲系統(tǒng)的底層讀取錯誤率為每百萬比特只有兩個錯誤，可與DVD比肩，遠遠優(yōu)于磁性硬盤驅(qū)動器。不過，由于數(shù)據(jù)編碼是與DNA合成同步完成的，因此這種方式不支持可擦寫數(shù)據(jù)存儲，但適用于長期歸檔存儲。

　　研究人員表示，因受操作成本、速度（此次花了大約幾天時間）和測序儀大小的制約，將DNA作為一種通用的數(shù)據(jù)存儲介質(zhì)目前還不切實際，但這一領(lǐng)域正在快速發(fā)展，未來5年到10年內(nèi)有望開發(fā)出比傳統(tǒng)數(shù)字存儲設(shè)備更快、更小、更便宜的DNA存儲技術(shù)。