1、中小型醫院網絡平安保障解決方案一、中小型醫院的網絡平安現狀及挑戰現階段，醫院信息系統正在變成醫療體系結構中不可或缺的根底架構。該架構的網絡平安和數據可用性變得異常重要。任何的網絡不可達或數據喪失輕那么降低患者的滿意度，影響醫院的信譽，重那么引起醫患糾紛、法律問題或社會問題。和其它行業的信息系統一樣,醫療信息系統在日常運行中面臨各種平安風險帶來的平安應用事故。當前，中小型醫院在網絡和應用系統保護方面均釆取了一定的平安措施，例如在每個網絡、應用系統分別部署了防火墻、訪問控制設備；也可能在一定程度上實現了區域性的病毒防御，實現了病毒庫的升級和防病毒客戶端的監控和管理；釆用系統賬號管理、防病毒等方面具

2、有一定流程。但在網絡平安管理方面的流程相比照擬薄弱，需要進一步進行加強；另外主要業務應用人員平安意識有待加強，日常業務處理中存在一定非平安操作情況，終端使用和接入情況復雜。此外,隨著移動醫療應用越來越廣泛的部署，以及依托互聯網平臺的遠程醫療應用的日趨廣泛,如何保障移動和遠程應用的平安性也是一個重要的課題。網絡平安問題越演越烈，也為中小型或成長型的醫療機構帶來另外一個挑戰：如何利用較為有限的投資預算，解決當前最為迫切的平安威脅，同時也要預留先進性和可擴展能力，防止造成投資浪費。思科自防御網絡的出現，為中小型醫療網絡提供了由低級到高級不斷開展、演進的平安解決方案，思科網絡設備集成了獨特的平安功能，

3、以及各個平安設備的聯動并主動進行防護,是思科自防御網絡的具體實現。基于思科自防御平安體系的建設指導思想，同時結合中小型醫療機構的平安現狀，我們建議從以下幾個方面構筑中小型醫療機構的平安體系。二、構建平安的根底網絡平臺在諸多的局域網平安問題中，因為歷史原因，令網絡管理員感到最頭痛的問題就是IP地址的管理；最擔憂的問題就是賬號、密碼的盜取以及信息的失竊和篡改；而最棘手的問題就是木馬、蠕蟲病毒爆發對網絡造成的危害。據CSI/FBI計算機犯罪與平安調査顯示，信息失竊已經成為當前最主要的犯罪。在造成經濟損失的所有攻擊中，有75%都是來自于園區內部。這樣，企業網絡內部就必須釆用更多創新方式來防止攻擊，如果

4、我們將網絡中的所有端口看成潛在敵對實體獲取通道的“端口防線”，網絡管理員就必須知道這些潛在威脅都有那些，以及需要設谿哪些平安功能來鎖定這些端口并防止這些潛在的來自網絡第二層的平安攻擊。網絡第二層的攻擊是網絡平安攻擊者最容易實施，也是最不容易被發現的平安威脅,它的目標是讓網絡失效或者通過獲取諸如密碼這樣的敏感信息而危及網絡用戶的平安。因為任何一個合法用戶都能獲取一個以太網端口的訪問權限，這些用戶都有可能成為黑客，同時因為設計OSI模型的時候，允許不同通信層在相互不了解情況下也能進行工作，所以第二層的平安就變得至關重要。如果這個層受到黑客的攻擊，網絡平安將受到嚴重威脅，而且其他層之間的通信還會繼續

5、進行，同時任何用戶都不會感覺到攻擊已經危及應用層的信息平安。所以，僅僅基于認證如)和訪問控制列表(ACL,AccessControlLists)的平安措施是無法防止來自網絡第二層的平安攻擊。一個經過認證的用戶仍然能夠有惡意，并能夠很容易地執行本文提到的所有攻擊。當前這類攻擊和欺騙工具己經非常成熟和易用。以上所提到的攻擊和欺騙行為主要來自網絡的第二層。在網絡實際環境中，其來源可概括為兩個途徑：人為實施，病毒或蠕蟲。人為實施通常是指使用一些黑客的工具對網絡進行掃描和嗅探,獲取管理帳戶和相關密碼，在網絡上中安插木馬，從而進行進一步竊取機密文件。攻擊和欺騙過程往往比較隱蔽和安靜，但對于信息平安要求高的

6、企業危害是極大的。木馬、蠕蟲病毒的攻擊不但僅是攻擊和欺騙，同時還會帶來網絡流量加大、設備CPU利用率過高、二層生成樹環路、網絡癱瘓等現象。歸納前面提到的局域網當前普遍存在的平安問題，根據這些平安威脅的特征分析，這些攻擊都來自于網絡的第二層，主要包括以下幾種：MAC地址泛濫攻擊DHCP效勞器欺騙攻擊ARP欺騙IP/MAC地址欺騙利用CiscoCatalyst交換機內部集成的平安特性，采用創新的方式在局域網上有效地進行IP的地址管理、阻止網絡的攻擊并減少病毒的危害。CiscoCatalyst智能交換系列的創新特性針對這類攻擊提供了全面的解決方案,將發生在網絡第二層的攻擊阻止在通往內部網的第一入口處

7、，主要基于下面的幾個關鍵的技術。PortSecurityDHCPSnoopingDynamicARPInspection(DAI)IPSourceGuard我們可通過在思科交換機上組合使用和部署上述技術，從而防止在交換環境中的“中間人”攻擊、MAC/CAM攻擊、DHCP攻擊、地址欺騙等，更具意義的是通過上面技術的部署能夠簡化地址管理，直接跟蹤用戶IP和對應的交換機端口，防止IP地址沖突。同時對于大多數具有地址掃描、欺騙等特征的病毒能夠有效的報警和隔離。通過啟用端口平安功能，可有效防止MAC地址泛洪攻擊，網絡管理員也能夠靜態設谿每個端口所允許連接的合法MAC地址，實現設備級的平安授權。動態端口平

8、安那么設谿端口允許合法MAC地址的數目，并以一定時間內所學習到的地址作為合法MAC地址。通過配谿PortSecurity能夠控制：端口上最大能夠通過的MAC地址數量端口上學習或通過哪些MAC地址對于超過規定數量的MAC處理進行違背處理端口上學習或通過哪些MAC地址，能夠通過靜態手工定義，也能夠在交換機自動學習。交換機動態學習端口MAC,直到指定的MAC地址數量，交換機關機后重新學習。當前較新的技術是StickyPortSecurity,交換機將學到的mac地址寫到端口配谿中，交換機重啟后配谿仍然存在。對于超過規定數量的MAC處理進行處理一般有三種方式針對交換機型號會有所不同）：Shutdown

9、：端口關閉。Protect：丟棄非法流量，不報警。Restrict：丟棄非法流量，報警。Catalyst交換機可通過DHCPSnooping技術保證DHCP平安特性,通過建立和維護DHCPSnooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區域的DHCP信息。通過截取一個虛擬局域網內的DHCP信息,交換機能夠在用戶和DHCP效勞器之間擔任就像小型平安防火墻這樣的角色，“DHCP監聽”功能基于動態地址分配建立了一個DHCP綁定表，并將該表存貯在交換機里。在沒有DHCP的環境中，如數據中心，綁定條目可能被靜態定義，每個DHCP綁定條目包含客戶端地址一個靜態地址或者一個從DHCP

10、效勞器上獲取的地址）、客戶端MAC地址、端口、VLANID、租借時間、綁定類型（靜態的或者動態的）。通過部署動態ARP檢査DAI,DynamicARPInspection）來幫助保證接入交換機只傳遞“合法的”的ARP請求和應答信息。DHCPSnooping監聽綁定表包括IP地址與MAC地址的綁定信息并將其與特定的交換機端口相關聯，動態ARP檢測(DAI-DynamicARPInspection)能夠用來檢査所有非信任端口的ARP請求和應答(主動式ARP和非主動式ARP),確保應答來自真正的ARP所有者。Catalyst交換機通過檢查端口記錄的DHCP綁定信息和ARP應答的IP地址決定是否真正的

11、ARP所有者，不合法的ARP包將被刪除。DAI配務針對VLAN,對于同一VLAN內的接口能夠開啟DAI也能夠關閉，如果ARP包從一個可信任的接口接收到，就不需要做任何檢査，如果ARP包在一個不可信任的接口上接收到，該包就只能在綁定信息被證明合法的情況下才會被轉發出去。這樣，DHCPSnooping對于DAI來說也成為必不可少的，DAI是動態使用的，相連的客戶端主機不需要進行任何設爵上的改變。對于沒有使用DHCP的效勞器個別機器能夠釆用靜態添加DHCP綁定表或ARPaccess-list實現。另外，通過DAI能夠控制某個端口的ARP請求報文頻率。一旦ARP請求頻率的頻率超過預先設定的閾值，立即關

12、閉該端口。該功能能夠阻止網絡掃描工具的使用，同時對有大量ARP報文特征的病毒或攻擊也能夠起到阻斷作用。除了ARP欺騙外，黑客經常使用的另一手法是IP地址欺騙。常見的欺騙種類有MAC欺騙、IP欺騙、IP/MAC欺騙，其目的一般為偽造身份或者獲取針對IP/MAC的特權。CatalystIP源地址保護(IPSourceGuard)功能翻開后，能夠根據DHCP偵聽記錄的IP綁定表動態產生PVACL,強制來自此端口流量的源地址符合DHCP綁定表的記錄，這樣攻擊者就無法通過假定一個合法用戶的IP地址來實施攻擊了，這個功能將只允許對擁有合法源地址的數據保進行轉發，合法源地址是與IP地址綁定表保持一致的，它也

13、是來源于DHCPSnooping綁定表。所以,DHCPSnooping功能對于這個功能的動態實現也是必不可少的，對于那些沒有用到DHCP的網絡環境來說，該綁定表也能夠靜態配谿。IPSourceGuard不但能夠配谿成對IP地址的過濾也能夠配務成對MAC地址的過濾，這樣，就只有IP地址和MAC地址都于DHCPSnooping綁定表匹配的通信包才能夠被允許傳輸。此時，必須將IP源地址保護IPSourceGuard與端口平安PortSecurity功能共同使用，并且需要DHCP效勞器支持Option82時，才能夠抵御IP地址+MAC地址的欺騙。與DAI不同的是，DAI僅僅檢查ARP報文，IPSour

14、ceGuard對所有經過定義IPSourceGuard檢查的端口的報文都要檢測源地址。通過在交換機上配密IPSourceGuard,能夠過濾掉非法的IP/MAC地址，包含用戶成心修改的和病毒、攻擊等造成的。同時解決了IP地址沖突的問題。此外，在最新的Catalyst3750-X和Catalyst3560-X交換機內，還內谿了一系列全新的TrustSec平安技術。例如，釆用基于標準的MACSecurity技術，交換機在面向主機的端口上提供了對以太網數據在數據鏈路層的線速加密，以防止中間人攻擊；支持包括、MAC認證旁路、Web認證等多種認證方式為不同類型的接入終端提供一致的平安體熟，寸文。以上所列

15、的根底平安防護的功能，均內務在思科的Catalyst交換機內，無需另外購置。方案涉及的主要Catalyst系列交換機包括：產品系列說明Catalyst3750-X支持堆疊和萬兆上行的智能三層交換機Catalyst3560-X支持萬兆上行的智能三層交換機Catalyst2960-S支持堆疊、萬兆上行和靜態路由的交換機此外，思科還提供了精睿系列交換機，通過根本的認證、基于MAC的端口平安、基于MAC/IP的訪問控制列表(ACL)、私有VLAN邊緣(PVE)等技術，專為入門級的小型醫療網絡提供根底的平安網絡接入效勞。精睿交換機的主要系列包括：產品系列說明CiscoSF300支持靜態路由的可網管交換機

16、CiscoSLM224G2支持基于WEB瀏覽器簡單網管三、內網平安與網絡出口平安解決方案現在的網絡面臨多種多樣的平安威脅，醫院需要建立縱深防御體系來防止因某個局部的侵入而導致整個系統的崩潰。只有基于網絡系統之間邏輯關聯性和物理位路、功能特性，劃分清楚的平安層次和平安區域，在部署平安產品和策略時，才能夠定義清楚地平安策略和部署模式。平安保障包括網絡根底設施、業務網、辦公網、本地交換網、信息平安根底設施等多個保護區域。這些區域是一個緊密聯系的整體，相互間既有縱向的縱深關系，又有橫向的協作關系，每個范圍都有各自的平安目標和平安保障職責。積極防御、綜合防范的方針為各個保護范圍提供平安保障，有效地協調縱

17、向和橫向的關系，提高網絡整體防御能力。針對醫院的網絡系統，我們能夠根據物理位谿、功能區域、業務應用或者管理策略等等劃分平安區域。不同的區域之間進行物理或邏輯隔離。物理隔離很簡單，就是建立兩套網絡對應不同的應用或效勞,最典型的就是醫院業務網絡和互聯網訪問網絡的隔離。而對于內部各部門或應用來說，我們經常采用的是利用防火墻邏輯隔離的方法。另一方面，互聯網對各種規模的醫院來說都十分重要。它帶來了業務開展的新機遇。通過VPN連接，它使得醫院可與合作伙伴和遠程員工保持聯系。但它也是將威脅帶入醫院網絡的渠道，這些威脅可能會對醫院造成重大影響：病毒一可感染系統，使其停運，從而導致運行中斷和收入損失間諜軟件和黑

18、客一會導致公司數據喪失和所以引起法律問題垃圾郵件和泄密一需要繁瑣的處理過程，降低員工生產率瀏覽與工作無關的網站一會導致員工生產率降低，并可能使公司承擔法律責任受感染的VPN流量一使威脅因素進入網絡，中斷業務針對上述的平安威脅特點和需求狀況，我們建議中小型醫療機構能夠從以下幾個方面部署思科的平安解決方案。通過CiscoASA5500部署一體化平安解決方案CiscoASA5500系列提供了一體化平安解決方案，提供了一個易于使用、且具有醫院需要的平安功能的全面平安解決方案，結合了防火墻、入侵保護、Anti-X和VPN功能，您可對您的醫院網絡受到的保護充滿信心。通過終止垃圾郵件、間諜軟件和其他互聯網威

19、脅,員工生產率得到了提高。IT人員也從處理病毒和間諜軟件消除以及系統清潔任務中解放出來。您可集中精力開展業務，而無需為最新病毒和威脅擔憂。圖：ASA5500系列一體化平安解決方案CiscoASA5500系列為醫院提供了全面的網關平安和VPN連接。憑借其集成的防火墻和Anti-X功能，CiscoASA5500系列能在威脅進入網絡和影響業務運營前，就在網關處將它們攔截在網絡之外。這些效勞也可擴展到遠程接入用戶，提供一條威脅防御VPN連接。最值得信賴、廣為部署的防火墻技術CiscoASA5500系列構建于CiscoPIX平安設備系列的根底之上，在阻擋不受歡迎的來訪流量的同時，允許合法業務流量進入。憑

20、借其應用控制功能，該解決方案可限制對等即時消息和惡意流量的傳輸，因為它們可能會導致平安漏洞，進而威脅到網絡。市場領先的Anti-X功能一通過內容平安和控制平安效勞模塊(CSC-SSM)提供的強大的Anti-X功能，CiscoASA5500系列提供了全面保護所需的重要的網絡周邊平安性。防間諜軟件一阻止間諜軟件通過互聯網流量(HTTP和FTP)和電子郵件流量進入您的網絡。通過在網關處阻攔間諜軟件，使IT支持人員無需再進行昂貴的間諜軟件去除過程，并提高員工生產率。防垃圾郵件一有效地阻攔垃圾郵件，且誤報率極低，有助于保持電子郵件效率，不影響與客戶、供應商和合作伙伴的通信。防病毒一屢獲大獎的防病毒技術在

21、您根底設施中最有效的地點一互聯網網關處防御和未知攻擊，保護您的內部網絡資源。在周邊清潔您的電子郵件和Web流量，即無需再進行消耗大量資源的惡意軟件感染去除工作，有助于確保業務連續性。防泄密一確定針對泄密攻擊的防盜竊保護，所以可防止員工無意間泄漏公司或個人信息，以導致經濟損失。針對Web接入、電子郵件(SMTP和POP3)以及FTP的實時保護。即使機構的電子郵件已進行了保護，但很多員工仍會通過公司PC或筆記本電腦訪問自己的個人電子郵件，從而為互聯網威脅提供了另一個入點。同樣，員工可能直接下載受到感染的程序或文件。在互聯網網關對所有Web流量進行實時保護，可減少這個常被忽略的平安易損點。URL過濾

22、一Web和URL過濾可用于控制員工對于互聯網的使用，阻止他們訪問不適當的或與業務無關的網站，從而提高員工生產率，并減少因員工訪問了不應訪問的Web內容而承擔法律責任的時機。電子郵件內容過濾一電子郵件過濾減少了公司因收到通過電子郵件傳輸的攻擊信息而承擔法律責任的時機。過濾也有助于符合法律法規，可幫助機構到達GrahamLeachBliley和數據保護法案等的要求。威脅防御VPNCiscoASA5500系列為遠程用戶提供了威脅防御接入功能。該解決方案提供了對內部網絡系統和效勞的站點間訪問和遠程用戶訪問。此解決方案結合了對于SSL和IPSecVPN功能的支持,可實現最高靈活性。因為這個解決方案將防火

23、墻和Anti-X效勞與VPN效勞相結合，可確保VPN流量不會為醫院帶來惡意軟件或其他威脅。方便的部署和管理一隨此解決方案提供了思科自適合平安設備管理器(ASDM),它具有一個基于瀏覽器的、功能強大、易于使用的管理和監控界面。這個解決方案在單一應用中提供了對于所有效勞的全面配谿。此外，向導可指導用戶完成配銘的設谿，實現迅速部署。部署CiscoIronPortS系列Web平安網關應對來自互聯網的Web威脅當前，基于互聯網Web數據流傳播的各種平安威脅，開始在全球范圍盛行，使商用網絡暴露在這些威脅帶來的內在危險之下。現行的網關防御機制己經證明缺乏以抵御多種基于Web的惡意軟件入侵。據業內估計，大約7

24、5%的商用電腦感染了間諜軟件，但是在網絡周邊部署了惡意軟件防御系統的企業卻缺乏10%。基于Web的惡意軟件傳播速度快，變種能力強，其危害性日益嚴重，對醫療機構特別是網絡平安技術相對薄弱的中小型醫療機構來說，擁有一個強健的能夠保護醫院網絡周邊并抵御這些平安威脅侵害的平安平臺就顯得極為重要。除此以外，當今基于Web的威脅87%是通過合法的網站發出的。基于Web的惡意軟件有著速度快、多樣性強和變種頻繁出現的攻擊威脅特點，這要求醫院必須使用一個強大的、平安平臺才能將日益嚴峻的上網威脅屏蔽在醫院網絡之外。CiscoIronPortS系列Web平安網關是業界開創先河的，也是唯一的將傳統的URL過濾、信譽過

25、濾和惡意軟件過濾功能集中到單一平臺來消除上述風險的Web平安設備。通過綜合利用這些創新的技術,CsicoIronPortS系列網關能夠幫助企業在保證Web數據流平安和控制Web數據流風險方面，應對所面臨的日益嚴峻的挑戰。CiscoIronPortS系列網關結合了多種先進技術，通過單臺、集成的網關抵御惡意軟件，幫助企業實施平安策略及控制網絡流量。提供的多層防護包括CiscoIronPortWeb名譽過濾器叫多層防惡意軟件掃描引擎和第四層(L4)數據流監視器，它能夠監控非80端口的惡意軟件活動。所有這個切為企業提供了一個強大的具有最優性能和成效的Web平安平臺。同時CiscoIronPortS系列

26、提供智能化的HTTPS解密的能力，從而對加密數據流應用所有的平安及訪問策略。在實際的應用環境中，醫療機構能夠選擇以下兩種模式部署S系列網關：直連模式：客戶機直接連接到S系列，由S系列提供HTTP/HTTPS/FTP流量的代理支持。FirewallClient connecting in Explicit Forward Mode to S-SerlesL4TrafficMonitorPortsconnectedviaTAPorspanport透明模式：由第四層交換機或WCCP路由器轉發流量至S系列，由SClients connecting Transparently to the S-Seri

27、esFirewall系列提供對客戶機透明的代理支持。部署CiscoIronPortC系列電子郵件平安網關應對來自互聯網電子郵件的平安威脅垃圾郵件以及隨郵件傳播的病毒、惡意程序、間諜軟件等是當前來自互聯網的另一種主要的平安威脅。對于平安技術相對薄弱的中小型醫療機構，這種威脅往往會帶來極大的平安風險：隨意翻開來歷不明的電子郵件或者點擊郵件中的附件或鏈接都有可能形成對醫療業務系統的攻擊。此外，網絡管理人員需要消耗大量精力用于清理垃圾郵件，也嚴重影響了對正常業務系統的管理和維護。所以，如何對電子郵件應用進行高效的平安防御和管理,也是當前中小型醫療機構部署平安解決方案時需要重點考慮的內容。CiscoIr

28、onPortC系列電子郵件平安網關是針對電子郵件平安威脅的最正確解決方案。基于CiscoIronPort專有的為企業目標設定的AsyncOS操作系統，IronPortC系列能夠滿足對電子郵件的大容量和高可用性的掃描需求，減少與垃圾郵件、病毒和其他各種威脅相關的系統宕機時間，從而支持對醫院郵件系統的高效管理并有效減輕網絡管理人員的工作負擔。IronPortC系列在一個網關設備上集成了思科獨有的預防性過濾器和基于特征碼的反響性過濾器，配合內容過濾和高級加密技術,為客戶提供了當前業界最高級的郵件平安效勞。同時，利用思科平安情報運營中心和全球威脅協作組織使CiscoIronPort網關產品更聰明，更迅

29、速。這個先進技術使企業能夠從最新的互聯網威脅中提高他們的平安性，并且使得保護用戶更加透明化。以下圖描述了C系列郵件平安網關的部署方式。對于中小型醫療機構，本方案涉及的ASA和IronPort系列主要產品如下表所示：產品系列說明CiscoASA5505提供一體化的平安解決方案，包括防火墻隔離、IPS、VPN、內容過濾等CiscoASA5510提供一體化的平安解決方案，包括防火墻隔離、IPS、VPN、內容過濾等CiscoIronPortS160面向中小型醫療機構的Web平安網關CiscoIronPortC160面向中小型醫療機構的電子郵件平安網關四、平安的醫療分支機構解決方案隨著國家不斷深化鄉鎮醫

30、療保障體系的建設，鄉鎮衛生院、醫療點與城區中心醫院之間的聯系也日趨緊密。互聯網的普及，一方面為這個趨勢提供了便利的信息高速公路，但同時也帶來了形形色色的平安隱患。在眾多的廣域網接入技術中，虛擬專網(VPN)能夠說是解決這個問題的最具經濟實用性的解決方案。基于集成多業務路由器(ISR)的企業級VPN解決方案，在可擴展的平臺、平安性、效勞、應用和管理五大VPN實施要素方面，具有基于標準的開放式的體系結構和可擴充的端到端網絡互連能力。借助先進的ISR路由器，中小型醫療機構用戶能夠部署多種VPN連接方式，通過平安可靠的加密手段，保護醫療應用系統的信息資源。以下圖是基于ISR路由器的一個典型的VPN實施

31、方式：SSL VPN合作伙伴思科VPN軟件客分支機構1分支機構”分支機構2冗余聚合的VPN網關Cisco DMVPN移動電遠程辦公人員 話VPN On-Oemand Tunnels遠程Easy VPNCisco_ Easy VPN使用思科ISR高端路由器2900系列做為中心醫院的VPN網關,用來聚合來自分支醫療機構、合作單位、移動/遠程醫療終端的VPN各種應用o在分支醫療機構中，根據機構的規模和應用狀況可選擇思科ISR路由器中的1900系列、890c系列或880c系列做為VPN的網關。方案特點：平安保障雖然實現VPN的技術和方式很多,但所有的VPN均應保證通過公用網絡平臺傳輸數據的專用性和平安

32、性。在平安性方面，因為VPN直接構建在公用網上，實現簡單、方便、靈活，但同時其平安問題也更為突出。醫院必須確保其VPN上傳送的數據不被攻擊者窺視和篡改，并且要防止非法用戶對網絡資源或私有信息的訪問。效勞質量保證(QoS)VPN網理應為醫院數據提供不同等級的效勞質量保證。不同的用戶和業務對效勞質量保證的要求差異較大。在網絡優化方面，構建VPN的另一重要需求是充分有效地利用有限的廣域網資源,為重要數據提供可靠的帶寬。廣域網流量的不確定性使其帶寬的利用率很低，在流量頂峰時引起網絡阻塞，使實時性要求高的數據得不到及時發送；而在流量低谷時又造成大量的網絡帶寬空閑。QoS通過流量預測與流量控制策略，能夠按

33、照優先級分實現帶寬管理，使得各類數據能夠被合理地先后發送，并預防阻塞的發生。可擴充性和靈活性VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流，方便增加新的節點，支持多種類型的傳輸媒介，能夠滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。可管理性從用戶角度和運營商角度應可方便地進行管理、維護。VPN管理的目標為：減小網絡風險、具有高擴展性、經濟性、高可靠性等優點。事實上，VPN管理主要包括平安管理、設備管理、配谿管理、訪問控制列表管理、QoS管理等內容。多種VPN的連接方式基于ISR路由器VPN解決方案為中小型醫院用戶提供了多種VPN的連接方式，包括

34、IPSec、SSL、動態多點VPN(DMVPN)等。與中心醫院通常有較為完善的網絡平安部署不同，對于大量的分支醫療機構，如鄉鎮衛生院、醫療效勞點等，如何部署適宜的網絡連接設備應對當前的各種網絡威脅，例如：黑客攻擊，蠕蟲病毒，非法上網行為等等，是另外一個需要考慮的重要問題。這些網絡威脅，既沖擊了分支醫療機構的網絡平安，又消耗了大量網絡資源，嚴重影響了醫療系統的正常運行。思科的ISR800系列路由器為中小型的分支機構和小型辦公室提供了可靠的網絡解決方案，來防御各種網絡中的威脅，保證了網絡資源應用，確保了醫療機構廣域網絡的正常運行。思科ISR路由器部署在分支機構，提供了平安的Internet訪問提供

35、先進的防火墻，能夠監控電子郵件，即時消息傳遞和HTTP流量能夠在分支機構的本地設備實施防御蠕蟲病毒的平安策略，節省廣域網絡帶寬入侵防御系統(IPS)：這種深度包檢測特性能夠有效阻止各種網絡攻擊內容過濾：一種基于預訂的集成平安解決方案，能夠提供基于類別的分級；關鍵字攔截；并可抵御廣告軟件、惡意軟件、間諜軟件和URL阻截即使是DOS攻擊，也可保持可用性方案中涉及的主要ISR路由器產品：產品系列說明Cisco2921部署在中心醫院Ciscol941部署在較大規模的分支機構，例如分院Cisco860/880C/890C部署在衛生院、醫療效勞站等此外，思科還提供精睿系列VPN路由器，專為需要根本遠程平安互連且嚴格控制投資預算的小型醫療分支機構提供入門級的IPSecVPN連接，并且能夠與中心醫療機構的思科ISR路由器統一部署，提供一體化的VPN解決方案。常用的精睿系列VPN路由器如下：產品系列說明CiscoRV120W部署在小型分支機構，支持10個IPSec隧道和CiscoWRV210部署在小型分支機構，支持5個IPSec隧道和CiscoRVS4000部署在小型分支機構，支持5個IPSec隧道和IP