GIẢI PHÁP TỔNG THỂ
a) Lựa chọn công nghệ mạng
Hệ thống mạng nội bộ triển khai kết nối theo các chuẩn dùng trong LAN, Cáp mạng chuẩn UTP Cat5E đạt tiêu chuẩn CE khoảng cách dưới 100m,Băng thông hỗ trợ 100/1000 Mbps. Giữa các khu vực cách xa nhau trên 100m trở lên được kết nối bằng cáp Cat6 E đạt tiêu chuẩn CE.
Để đảm bảo tốc độ kết nối và trao đổi thông tin tốc độ cao cần bố trí các nút mạng sao cho khoảng cách dây từ mỗi thiết bị đầu cuối về trung tâm trong khoảng cách trên Khi kết nối mạng diện rộng WAN sẽ sử dụng cáp quang multi mode, cáp quang single mode và các module quang tương ứng).
Do các tòa nhà có khoảng cách xa và để đảm bảo việc quản trị, thi công hệ thống được thuận lợi, dễ bảo trì, cần xây dựng các đường trục chính của mạng bằng cáp cat 6 E để đảm bảo băng thông 1000 Mbps. Khi cần thiết có thể nâng cấp sủa dụng cáp quang multi mode để đảm bảo tốc độ đường truyền.
Các đầu cuối dây mạng UTP phần kết nối với trạm làm việc, máy chủ kết nối với hộp kết nối (wall plate) loại giao tiếp RJ45, đầu cuối phía kết nối với thiết bị chuyển mạch được đấu qua bảng đấu dây (spatch panel) giao tiếp RJ45 giúp cho việc quản trị hệ thống được dễ dàng. Qua các ổ cắm tường, bảng đấu dây patch panel, hệ thống dây mạng sẽ được kết nối với các thiết bị bằng dây nhẩy (patch cord) loại dây UTP CAT5e, CAT6 giao tiếp RJ45.
Để bảo vệ cáp, các đường cáp mạng UTP được đi trong ống gen nhựa nổi trên tường hoặc âm sàn. Tại trung tâm, các thiết bị được lắp đặt trong tủ Rack loại 42U vừa đảm bảo tính thẩm mỹ cho trung tâm mạng, vừa đảm bảo tính an toàn cho thiết bị tại trung tâm.
Với thiết kết được đưa ra trên đây, cạc mạng yêu cầu đạt chuẩn 10/100/1000 Mbps Gigabit Ethernet Adapter, 32-bit PCI, RJ45. Switch cần lựa chọn loại có 48 cổng giao tiếp và switch 24 cổng giao tiếp RJ45, tốc độ đạt chuẩn 10/100/1000 Mbps., mỗi Switch có 2 cổng quang( Mini GBIC) để kết nối về Switch Trung tâm.
Toàn bộ hệ thống mạng được thiết kế, thi công và thiết bị được lựa chọn tuân theo các tiêu chuẩn ANSI/TIA/EIA 568, 569, 570 về hệ thống mạng cáp có cấu trúc.
– Sẵn sàng kết nối internet bằng công nghệ truyền dẫn cáp CAT6E, đảm bảo băng thông rộng.
– Sẵn sàng sử dụng hệ thống SAN để lưu trữ dữ liệu tập trung và đảm bảo tính chịu lỗi cho dữ liệu.
– Triển khai mô hình quản trị tập trung theo miền (Domain), thuận tiện dễ dàng cho việc quản trị hệ thống mạng một cách tập trung.
– Khi kết nối mạng diện rộng (WAN), hệ thống mạng nội bộ Bệnh viện, Doanh nghiệp (LAN) sẽ được tách biệt với môi trường bên ngoài bằng cách sử dụng hệ thống tường lửa (Firewall).
b) Thiết kế hệ thống mạng
– Hệ thống mạng vật lý được thiết kế chia làm hai khu vực riêng biệt. Hệ thống mạng nội bộ bên trong và môi trường bên ngoài mạng nội bộ.
– Bên trong hệ thống mạng nội bộ sẽ được chia thành 4 phân vùng VLAN. Mỗi VLAN sẽ phục vụ cho mục đích khác nhau, đảm bảo tính an toàn bảo mật cao của hệ thống, loại trừ các nguy cơ về virus lan truyền trong môi trường mạng, an toàn thông tin.
– VLAN01: Dành cho hệ thống LAN Nội Bộ
– VLAN02: Dành cho Hệ thống WiFi.
– VLAN03: Dành cho hệ thống Camera
– VLAN04: Vùng mạng ngoại vi.
Đây là phân vùng đặt thiết bị tường lửa lọc và giám sát các truy cập người dùng ra internet cũng như ngăn chặn các truy cập bất hợp lệ từ bên ngoài vào hệ thống mạng nội bộ bên trong.
– Trên phân vùng mạng nội bộ của người dùng sẽ được triển khai hệ thống quản trị tập trung để quản lý các tài nguyên mạng và quản lý người dùng. trong Hệ thống sever Domain quản trị người dùng bằng các chính sách: policy, sao lưu backup/restore,….v.
c) Mô tả các thành phần hệ thống mạng
Hệ thống mạng về cơ bản được chia thành các phân hệ:
– Hệ thống hạ tầng mạng cáp cấu trúc.
– Hệ thống làm mát thiết bị.
– Hệ thống lưu trữ và dự phòng dữ liệu.
– Hệ thống máy chủ và máy trạm.
– Hệ thống thiết bị bảo mật.
– Hệ thống đường truyền kết nối internet (sẵn sàng).
d) Thiết kế chi tiết hệ thống mạng
– Hệ thống mạng cáp:
– Được chia thành hai lớp chính:
+ Lớp lõi: Do 01 thiết bị chuyển mạch lớp 3 (Switch Layer 3) đảm nhiệm, nhiệm vụ của lớp này là cho phép chia hệ thống mạng thành nhiều vùng mạng ảo (VLAN) và đảm bảo việc chuyển mạch với tốc độ cao giữa các vùng mạng này.
+ Lớp kết nối người dùng: Sử dụng các thiết bị chuyển mạch lớp 2 (Switch Layer 2) để cung cấp kết nối mạng đến máy trạm người sử dụng cuối, máy chủ.
Sử dụng cáp UTP Cat5E cho việc kết nối mạng nội bộ, các máy trạm của người dùng đầu cuối sẽ kết nối đến máy chủ quản trị tập trung, máy chủ cơ sở dữ liệu bằng hệ thống cáp mạng này thông qua các bộ chuyển mạch dữ liệu lớp 2 (Switch) tốc độ 10/100/1000 Mbps.
– Hệ thống làm mát thiết bị:
Phòng trung tâm CNTT cần lắp đặt máy điều hòa đảm bảo an toàn cho hoạt động của thiết bị, có tủ Rack chuyên dụng kích thước 42 U, để đảm bảo thông thoáng cho các thiết bị lắp đặt bên trong.
– Hệ thống lưu trữ và dự phòng dữ liệu (SAN):
Vì đặc trưng của hệ thống dữ liệu trong Bệnh viện, Doanh nghiệp tương đối quan trọng nên cần đặt vấn đề về hệ thống lưu trữ dự phòng cho dữ liệu, đảm bảo an toàn trước các nguy cơ, rủi ro về mất mát dữ liệu. Trong đó tính sẵn sàng cao, tính chịu lỗi của hệ thống được được chú trọng. Để thỏa mãn điều này hệ thống lưu trữ dự phòng tập trung theo hai hướng:
*1/ Sử dụng giải pháp SAN (Storage Area Networks) đáp ứng yêu cầu cho việc lưu trữ, dự phòng cho dữ liệu lưu trữ và dữ liệu tác nghiệp hàng ngày. Hệ thống kết hợp sử dụng công nghệ Cluster và RAID 5 để tăng khả năng chịu lỗi và tính sẳn sàng của hệ thống.
- Mô hình triển khai hệ thống SAN tại Bệnh viện, Doanh nghiệp
Được thiết kế với các máy chủ và thiết bị lưu trữ nối với nhau qua thiết bị chuyển mạch lưu trữ (SAN switch), giải pháp mạng lưu trữ riêng biệt cho phép truy cập và lưu trữ thông tin với tốc độ cao mà không ảnh hưởng đến băng thông mạng LAN. Với ưu việt về tính ổn định, độ bảo mật cao và quản trị mềm dẻo, giải pháp lưu trữ này đặc biệt phù hợp cho các ứng dụng đòi hỏi tốc độ truy cập và tính sẵn sàng cao như các hệ thống cluster, cơ sở dữ liệu và hệ thống tính toán hiệu năng cao.
*2/ Sử dụng Tape backup với chức năng sao lưu nhanh, dung lượng lớn, an toàn để dự phòng dữ liệu với chi phí thấp.
– Công nghệ hiện đại thì người ta sử dụng giải pháp SAN. Tuy nhiên với nhu cầu hiện tại, Bệnh viện chưa cần lắp đặt hệ thống lưu trữ SAN nhằm tiết kiệm kinh phí. Hệ thống lưu trữ SAN sẽ được lắp đặt sau khi triển khai phần mềm Quản lý bệnh viện tổng thể 2 năm khi mà cơ sở dữ liệu tăng cao.
– Hệ thống máy chủ và máy trạm:
* Máy chủ: Trang bị mới 01 máy chủ cấu hình mạnh để triển khai các ứng dụng tác nghiệp và quản lý, đồng thời đảm bảo dự phòng cho hoạt động của toàn bộ hệ thống.
* Máy trạm: phục vụ tác nghiệp của CBVC, nhân viên….v
– Hệ thống đường truyền kết nối internet: trong tương lai, kết nối internet bằng đường truyền FTTH băng thông rộng đảm bảo triển khai hệ thống hội nghị truyền hình và các dịch vụ khác.
e) An ninh mạng và phòng chống truy cập trái phép
Khi kết nối mạng diện rộng ( WAN), chúng ta sử dụng giải pháp tường lửa đảm bảo được an toàn, kiểm soát được các luồng thông tin truy cập từ môi trường bên trong ra bên ngoài cũng như ngăn chặn các truy cập trái phép từ bên ngoài Internet vào trong hệ thống mạng nội bộ. Với hệ thống tường lửa chúng ta có thể thiết lập nhiều policy để quản lý người dùng bên trong và bên ngoài mạng với nhiều tính năng như :
* Tính năng Multi-networking: Kỹ thuật thiết lập các chính sách truy cập dựa trên địa chỉ mạng, thiết lập tuờng lửa (firewall) để lọc thông tin dựa trên từng địa chỉ mạng con,…
* Unique per-network policies: Đặc điểm Multi-networking cho phép bảo vệ hệ thống mạng nội bộ bằng cách giới hạn truy xuất của các máy trạm (Client) bên ngoài internet, bằng cách tạo ra một vùng mạng ngoại vi perimeter network (được xem là vùng DMZ, demilitarized zone, hoặc screened subnet), chỉ cho phép Client bên ngoài truy xuất vào các Server trên mạng ngoại vi, không cho phép Client bên ngoài truy xuất trực tiếp vào mạng nội bộ.
* Application Layer Filtering (ALF): là một trong những điểm mạnh không giống như các gói lọc packet filtering firewall truyền thống, nó có thể thao tác sâu hơn như có thể lọc được các thông tin trong tầng ứng dụng. Một số đặc điểm nổi bậc của ALF:
+ Cho phép thiết lập bộ lọc HTTP inbound và HTTP outbound.
+ Chặn được các cả các loại tập tin thực thi chạy trên nền Windows như .pif, .com,…
+ Có thể giới hạn HTTP download.
+ Có thể giới hạn truy xuất Web cho tất cả các Client dựa trên nội dung truy cập.
+ Có thể điều kiển truy xuất HTTP dựa trên chữ ký (signature).
+ Điều khiển một số phương thức truy xuất của HTTP.
* Stateful inspection of all traffic: Cho phép giám sát tất cả các lưu lượng mạng.
* NAT and route network relationships: Cung cấp kỹ thuật NAT và định tuyến dữ liệu cho mạng con.
* Network templates: Cung cấp các mô hình mẫu (network templates) về một số kiến trúc mạng, kèm theo một số luật cần thiết cho mô hình mẫu tương ứng.
* Cung cấp một số đặc điểm mới để thiết lập mạng riêng ảo (VPN network) và truy cập từ xa như: giám sát, ghi nhận log, quản lý session cho từng VPN Server, thiết lập access policy cho từng VPN Client, cung cấp tính năng tương thích với VPN trên các hệ thống khác.
* Cung cấp một số kỹ thuật bảo mật (security) và thiết lập Firewall cho hệ thống như Authentication, Publish Server, giới hạn một số traffic.
* Cung cấp một số kỹ thuật cache thông minh (Web cache) để làm tăng tốc độ truy xuất mạng, giảm tải cho đường truyền, Web proxy chia sẻ truy xuất Web.
– Cung cấp một số tính năng quản lý hiệu quả như: giám sát lưu lượng, reporting qua Web, export và import cấu hình từ XML configuration file, quản lý lỗi hệ thống thông qua kỹ thuật gởi thông báo qua email.
Giải Pháp Hệ Thống Mạng Lan
Giải Pháp Hệ Thống Mạng Lan
f) Biện pháp phòng chống virus máy tính
Để đảm bảo an toàn cho hệ thống trước nguy cơ virus máy tính cần thiết triển khai hệ thống Anti-virus theo mô hình tập trung. Có thể Sử dụng giải pháp các phần mềm phòng chống virus với một số tính năng đặc trưng như:
– Bảo vệ linh hoạt trước những chương trình phá hoại máy tính mới nhất
– Quét email và các dữ liệu mạng đang gửi và nhận.
– Tường lửa cá nhân với IDS và IPS.
– An toàn hơn khi làm việc trên môi trường mạng.
– Công nghệ tự bảo vệ trước những chương trình xấu ảnh hưởng đến phần mềm phòng chống virus.
– Cách ly các phần tử nghi ngờ.
– Tự động cập nhật dữ liệu.
Hệ thống phòng chống virus máy tính nên hoạt động theo mô hình tập trung, các chương trình trên máy trạm sẽ kết nối đến máy chủ antivirus nội bộ để cập nhật các nhận dạng virus mới cho phép tối ưu việc sử dụng đường truyền.
g) Hệ thống bảo vệ
– Tủ chứa thiết bị được sơn cách điện và đảm bảo không bị rò rỉ điện ra môi trường bên ngoài.
– Thiết bị chống sét:Đề phòng trường hợp hệ thống máy tính, thiết bị mạng bị hỏng do sét đánh vào đường dây điện. Để đảm bảo an toàn toàn bộ hệ thống máy chủ, máy trạm, thiết bị mạng cần có hệ thống cắt sét lan truyền trên đường điện.