一���、項目背景
隨著信息技術的快速發展�����,網絡應用更新頻繁�,無線網絡也日趨成熟�,許多網絡問題也不斷涌現�����。XX醫院職工的上網行為主要集中于文獻查詢���、網頁瀏覽��、郵件的收發等��,但也存在觀看視頻�����、購物����、玩游戲等行為����,這會嚴重影響職工的工作效率�,造成寬帶的濫用�����。此外�,部分職工網絡安全意識薄弱��,其隨意點擊互聯網鏈接的行為也給醫院帶來很大的安全隱患�����。因此���,有效避免網絡攻擊�����,解決網絡安全管理問題��,有效提高帶寬的利用率��,這在醫院信息化建設中顯得尤為重要��。
二���、解決方案
(1) 在實際網絡中�����,總避免不了各種非技術因素造成的網絡故障和服務中斷����。因此��,提高系統容錯能力���、提高故障恢復速度�、降低故障對業務的影響�����,是提高系統可靠性的有效途徑��。本次項目中��,AZ6000設備以主-備模式的HA方式透明部署��,增加鏈路的可靠性����。
(2)XX醫院上網過程中缺乏合理的應用管理和URL控制�����,網絡中存在著不同的訪問需求���,職工的上網行為主要集中于文獻查詢�、網頁瀏覽����、郵件的收發等�����,但也存在觀看視頻�����、購物��、玩游戲等行為��,互聯網提供給大家各種便利的同時�����,也充斥著各種色情�����、暴力���、惡意掛馬���、釣魚等網站�����,另外一些惡意應用往往可能帶來一些個人信息泄露�、非法收集個人信息��、電信詐騙等風險�,因此如何屏蔽這些風險URL和禁止這些惡意應用軟件是本次項目的一個關注點����。AZ6000設備預置5000+應用規則�����,內置2000萬url庫�,對各種url進行細致分類��,進行精細判別���,另外還指定自定義url和自定義應用�����。
(3)針對住院部病人及其家屬的大量wifi接入����,在不限制速度和進行貸款合理控制的情況下�,一些人的大量的高清����、超清視頻影音的本地緩存讓其他人打不開網頁�,多個人同時緩存時����,幾乎全部耗盡住院部所有網絡帶寬����,影響到住院部的其他病人及家屬的使用�����,更嚴重的是已經嚴重干擾到了正常的辦公秩序��,這是當前急需要解決的問題�。
AZ6000上網行為管理設備可以做到對網絡流量進行精細的管理���,通過對帶寬管理和多線路策略功能實現對帶寬質量的保證以及網絡的有效管理����,并能對P2P軟件進行智能識別���,并對其進行限速或封堵�����,除此之外�����,AZ6000采用智能流控��、智能阻斷��、智能路由等技術���,可基于時長����、額度設置上網時長��、流量額度閾值���,當達到一定額度�,禁止其上網或者對其限速��,讓其放棄繼續訪問網絡的念頭�,從而在一定程度上控制病人及家屬的上網時間�,使其保持在合理范圍����,合理安排休息時間��,更有利于身體康復����。
(4)流控通道的動態調配�����,高優先級通道可借用其他低優先級通道帶寬����,如低優先級通道擁堵���,則將借用帶寬返還�,無需人工干預�����,實現流量動態調配����。讓帶寬充分利用��。
(5) BA(Behavior Awareness)用戶行為分析感知平臺主要是基于上網行為管理的日志��,是北京安州科技有限公司在傳統上網行為領域以創新形式打造的一款新型可視化產品���,平臺基于網絡內上網行為管理設備產生的海量數據��,對上網用戶進行建模分析��,以不同上網行為建立對應的行為應用����,深挖數據����,分析用戶上網行為�����,提前預知風險����,可視化的呈現�����,更大程度的提升運維管理機制����,體現數據價值�����。
通過部署BA分析平臺��,可對數據進行挖掘���,實現用戶畫像����,針對職工上網行為 ���,分析用戶行為數據����,通過多維屬性分析建模���,給出用戶行為標簽��,全面洞察用戶線上行為特征����,提升HR業務延續性���,避免醫院人才損失�����,解決了HR對于離職員工無法掌握動態���,不能及時有效制定策略���,導致人力資源出現隱患���;另外可審計醫生���、護士��、職工以及病人及技術的一些上網數據�,分析其最近特別的關注點�,可以得到其核心關注問題��,以數據形式展示�,可針對醫生�����、護士病人及家屬定向溝通�,緩解“醫患”關系�����。
三��、設備部署方式
設備部署:為保障網絡的可靠性�,AZ6000設備以主-備模式的HA方式透明部署���,增加鏈路的可靠性�。
安裝行為分析感知平臺“BA”�����,實現對數據的深度挖局��,完成用戶畫像��,體現數據價值�。
部署優點:
l AZ6000設備以主-備模式的HA方式透明部署�,增加鏈路的可靠性�。
l 不改變現有網絡的網絡拓撲��,結合bypass功能��,可靠性進一步提高
l 實施速度快����,不影響網絡正常運行
l 透明模式可實現控制��、管理�����、審計等全功能��。
l 在已有AAA設備的情況下����,也可識別職工身份認證信息
l BA平臺可對上網數據進行深度發掘�����,實現用戶畫像�,體現數據價值
四�、審計日志存儲
本審計系統設計遵循中華人民共和國公安部第82號令關于《互聯網安全保護技術措施規定》的要求:審計設備能夠詳盡記錄用戶的上網內容及行為日志���,并且以滿足大流量環境下保存60天審計日志的要求�。
存儲空間的占用與出口帶寬����、網絡應用模型�、審計策略配置等密切相關����,因此不同的使用環境���,對存儲空間使用情況也是有差異的�����。根據安州科技以往的部署經驗���,提供如下參考值:
|
序號
|
審計
策略
|
出口
帶寬
|
日均存儲量
(GB)
|
月均存儲量
(GB)
|
|
1
|
非內容級
|
100M
|
1
|
30
|
|
2
|
1000M
|
10
|
300
|
|
3
|
內容級
|
100M
|
5
|
150
|
|
4
|
1000M
|
80
|
2400
|
為了保障設備的健康���、高效運行�����,安州科技建議�����,大量審計數據和日志數據采用外置數據中心進行審計日志的存儲���。
外置數據中心服務器推薦配置:
|
序號
|
組件
|
配置需求
|
備注
|
|
1
|
處理器
|
8顆Intel Xeon E5520 2.27 GHz 或更高
|
|
|
2
|
內存
|
DDR4 16G或更高
|
|
|
3
|
硬盤槽位
|
6個3.5 英寸磁盤驅動器支架或更高
|
支持 SAS�、SATA 硬盤驅動器
|
|
4
|
網口
|
2個 1000 Base-T 以太網端口
|
|
|
6
|
硬盤
|
SATA硬盤1T或2T
|
按需求配置
|
|
7
|
raid卡
|
支持RAID5
|
|
如果當前環境中不存在日志存儲服務器或者日志審計類的平臺�,AZ Manager具有設備的批量管理��、策略下發�、日志存儲等多重功能���,是您的不二選擇���。
AZ Manager硬件環境要求:
|
設備名稱
|
設備型號
|
設備數量
|
推薦配置
|
|
上網行為管理設備
|
----------
|
1臺或多臺
|
---------
|
|
服務器/虛擬機
|
Centos7.6 操作系統
|
1臺或多臺
|
具體的服務器配置參考服務器配置要求
|
操作系統推薦CentOS 7.6 64Bit�,SWAP分區推薦為內存的2倍以上��。
AZ Manager安裝服務器配置要求:
|
設備數量
|
CPU
|
內存
|
硬盤
|
|
50-100臺
|
2*2核CPU
|
8G內存
|
2TB
|
|
100-500臺
|
2*2核CPU
|
16G內存
|
2*2TB
|
|
500-1000臺
|
2*2核CPU
|
32G內存
|
4*2TB
|
|
1000臺+
|
8核CPU
|
64G內存
|
5*2TB
|
BA行為分析感知平臺安裝環境硬件要求:
|
設備名稱
|
設備型號
|
設備數量
|
推薦配置
|
|
上網行為設備
|
-----------
|
1臺或多臺
|
R5.1及以上版本
|
|
服務器/虛擬機
|
Centos7.6 操作系統
|
1臺或多臺
|
CPU:4核�����,內存:32G���,硬盤:100G及以上配置�����。
|
五��、設備選型
根據XX醫院對上網行為管理設備功能需求和性能的要求��,并考慮后期的可擴展性�����,安州科技針對其需求���,推薦采用AZ6750����,產品參數如下所示:
|
推薦型號
|
AZ6750
|
|
接入用戶數
|
最高5000人
|
|
固定接口
|
12SFP+12GE
|
|
硬盤
|
標配500G
|
|
Bypass對
|
1對
|
|
外形尺寸
|
440×86×415mm
|
|
溫度
|
0~50 ℃/32-122 ℉(工作溫度)
-40-70 ℃/-40-158 ℉(貯存溫度)
|
|
相對濕度
|
10%-90%無凝結(工作濕度)
5%-95%無凝結(貯存濕度)
|
|
電源
|
100~240V AC,50~60Hz
|
|
冗余電源
|
1+1冗余
|
