规划设计卫生服务站局域网

1、目 录一、问题背景概述-4二、需求分析-42.1社区卫生服务站局域网概述-42.2组织架构-6三、设计方案概述-53.1设计目标-63.2设计原则-63.3网络功能及结构设计-7四、规划设计方案-10 4.1技术设计-10 4.1.1网络拓扑图-10 4.1.2网络层次划分-11 4.1.3子网划分-12 4.2网络协议-12 4.3网络流量规划-14 4.4安全策略-15 五、前景展望-195.1建设局域网的优点-195.2存在的问题-20六、方案总体预算-21七、总结-23附录：参考文献-24 一、问题背景概述中国社区卫生服务的雏形始于20世纪80年代初，1997年全国卫生工作会议上提出了

2、实施社区卫生服务；2000年打开了社区卫生服务的全新局面，引进卫生健康新概念。近年来，卫生部在加快建设以社区为基础的新型卫生服务体系，优化城市医疗卫生资源配置，重点发展社区卫生服务以及社区卫生服务站网络建设等方面。社区卫生服务站信息化的发展，接入社区服务站局域网络的终端计算机越来越多，应用的范围越来越广，要求社区卫生服务站的信息系统具有很高的可用性，而局域网安全保证医院信息系统的正常运行。随着医疗信息化的不断发展，网络作为社区卫生服务站信息化的基石越来越被重视。社区卫生服务站网络的安全直接关系到其正常运转，一旦网络发生故障, 社区卫生服务站的正常就医秩序无法维持, 社区卫生服务站的形象会大打折

3、扣.运用局域网技术,将社区卫生服务站按工作职能分为多个VLAN,将社区卫生服务站局域网进行隔离,极大的提高了社区卫生服务站信息系统的稳定性。二、需求分析2.1社区卫生服务站局域网概述充分利用现有的市卫生局卫生数据中心机房和网络平台，规划搭建社区卫生服务信息化建设总体网络架构，并采用数据集中的模式，统一设计涵盖医疗、预防、保健、康复、健康教育、计划生育技术指导服务、社区卫生综合管理和辅助决策分析，以及政府对社区卫生服务的综合评估等功能为一体的社区卫生服务信息架构。社区卫生服务中心计算机和相关硬件设备、网络建设由镇街财政负责投入。实现分析决策为主导的全面的科学化管理，提高社区卫生服务站的管理水平和

4、经济效益，通过局域网的实施，提高信息共享能力，减轻劳动强度，提高工作效率。注重科学化，智能化，标准化，也更加方便实用，易于操作和掌握是此次设计局域网的总体目标需求。以病人为中心进行设计，始终贯彻社区卫生服务以一切工作以满足人民群众为前提，突出设计思想的人性化。实现技术支持的本地化服务。2.2社区卫生服务站组织架构(1)按要求，一般一个生产中心局域网信息点共有204个。其中办公楼60个，分别分布在3个楼层、门诊中心118个分布于3个楼层，药房的26个信息点。各楼之间以光缆连接，构成社区卫生服务站局域网。社区卫生服务站局域网的中心机房设在办公楼的三层西侧。门诊中心的配线间设在三楼东侧的北面。为适应

5、社区卫生服务站将来对各种网络应用的需求，另外随着技术和工艺的进步，考虑到目前各类布线材料在价格方面比较接近，因此拟对所有信息点都按超五类UTP标准布线，每个信息点可实现不低于100Mb的带宽，这样不仅可支持一般的企业信息管理应用对网络传输带宽的要求，而且完全支持MPEG-2等格式的多媒体信息传输。此布线方案只考虑数据信息点布线，不涉及语音信息点及其设备。(2)支持决策,能在短时间内获得信息 高速的内部网各个信息点，及时的传递业务信息，供应信息，生产信息，管理信息。供管理层及时决策。(3)外出人员与服务站沟通WWW应用是Intranet的标志性应用，最核心的应用服务集中在WWW服务器上完成。因而

6、对于WWW服务器的设计首要考虑的就是服务器性能问题，另外考虑到将来在Intranet平台上做应用开发的可能，对于WWW服务器同数据库互联的问题也应作为重点考虑。(4)接入INTERNET功能对广域网的连接需求主要表现在：能够与国际互联网连接，与国际交流信息；能够与CERNET国内各个单位交流信息。C11inaNet连接、与国内各个单位交流信息。为此应通过DDN、无线网等公用或者专用数据网络与CERNET连接，再连到Internet。网络布线按照国际有关计算机网络通信的标准进行设计。申请正式IP和域名，配置路由器，安装Server（资源共享，Web），完成与Internet的连接，整体网络既可在

7、内部使用，又可与外网互联访问Internet，实现与外界的数据交换。三、局域网设计方案概述3.1 设计目标：按功能需求要求1） 根据社区卫生服务站对信息点的安排和网络应用的需求制定合理的社区卫生服务站网总体建设规划和实施方案；2） 对社区卫生服务站办公楼、门诊、药房和辅助管理部门等几座主要建筑物实施局域网结构化布线；3） 完成从办公楼的网络中心分别到门诊、药房所在平房的2条六芯室外主干网光缆的敷设。4） 实现社区卫生服务站核心交换机与二级交换机的连接、安装、配置和调试；5） 实施对新购服务器和部分微机网络工作站的连接和入网调试。3.2设计原则3.2.1先进性我们设计的网络方案采用三层分布式结构

8、。核心层选用包括了锐捷网络高性能的万兆以太网交换机，可以实现对全网的数据进行高速无阻塞的交换，负责路由管理、网络管理、网络服务、核心数据处理等。汇聚层由华为AR2220千兆路由组成，负责接入层汇聚，提供高速无阻塞的链路到核心层，抑制广播风暴和分流核心数据处理压力等，可实施分布式三层，大大提升网络性能。接入层选用提供上联千兆，10/100M桌面接入，并在全部采用认证和流控等手段进行接入控制，充分满足用户的高速接入等，并可灵活扩展，增加端口密度。选用STAR-S2100。采用WINDOWS XP操作系统3.2.2 安全可靠性可靠性：对工作站、服务器、交换机及其他主要相关设备在厂家、品牌、服务等方面

9、进行充分调研、论证、选择，确保硬件设备的基本品质。 采用WINDOWS XP作为网络操作系统，并以“数据库”的方式建立各种生产、装配中心和管理应用系统，保证网络系统和应用系统的安全稳定。容错技术采用：双工磁盘技术在网络系统上建立起两套同样的且同步工作的文件服务器，如果其中一个出现故障，另一个将立即自动投入系统，接替发生故障的文件服务器的全部工作。3.2.3 实用性实用性：性能指标能满足各项业务处理能力社区卫生服务站组网的方案在接入交换机将用户账号、MAC地址与端口的捆绑实现高效的用户控制；采用网络管理系统TCLView，使网络易维护、易管理，可实施性好。3.2.4 可扩展性可扩展性：网络核心层

10、、汇聚层采用模块化交换机，按照需求灵活配置各种模块，做到既满足需求，由留有余地。整个网络架构采用三层结构，使网络具有较好的伸缩性、可以根据网络建设的不同阶段灵活配置和扩展，具有能不断吸收新技术、新方法的功能。3.2.5 开放性 本次设计的中央集成管理系统将是一个完全开放性的系统，通过编制系统的接口软件将解决不同系统和产品间接口协议的“标准化”，以使他们之间具备“互操作性”。所有接口均基于标准的TCP/IP数据接口协议和内容。系统的开放性设计完全遵循国际主流标准以及工业标准。3.3网络功能及结构设计3.3.1网络功能根据社区卫生服务站现有规模,业务需要及发展范围建立的网络有如下功能:（1）建立社

11、区卫生服务站自己的网站,可向外界发布信息,并进行网络上的业务；（2）要求办公楼可以连接Internet,与各医疗单位保持联络,其他部门都不能连接Internet,但要求社区卫生服务站内部由网络连接；社区卫生服务站内部网络实现资源共享,以提高工作效率；（3）建立网络时应注意网络的扩展性,以方便日后的网络升级和增加计算机。3.3.2网络结构设计（1）现场勘察分析根据办公、门诊及药房楼的结构特点制定详细的网络连接图,其中包括如下信息:l 网络上个信息点的分布图,工作空间大小与距离；l 电源插座的位置,包括目前正在使用的插座的设备；l 所有不可移动的物品的位置(如支撑柱,分隔墙,内置柜等)，l 所有计

12、算机和类似打印机的外部设备的位置；l 门和窗口的位置；l 通风管道和目前电线的位置。另外,在记录每台设备是要为每台设备建立一张配置表，如计算机的CPU、硬盘、显示器、软驱。（2）网络互连方式首先要确定网络的拓扑结构,建议采用星状结构，其中100Base-T星型结构的快速以太网是理想的。选择用双绞线作为传输线缆，星状总线网的物理结构采用星状连接，逻辑结构采用总线状的，采用IEEE的802.3协议标准。网卡,集线器和双绞线应选100M的。然后确定互连方式,因为有一部分用户可以连接Internet,另一部分不可以,所以有两种方式:分成两个子网,各连接一个交换机,并连接到服务器的不同的网卡上,在服务器

13、上设置一个网卡可以连接Internet,另一个不可以.分成三个子网,都连接到路由器上,在路由器上设置IP,其中两个子网的IP设置为内部IP,不允许访问Internet.建议用第二种方式，便于以后扩展网络。（3）布线系统设计综合布线要符合楼宇管理自动化，办公自动化，通信自动化和计算机网络化等多功能需要的布线系统。系统应能支持话音，图像，图形，数据多媒体，安全监控，传感等各种信息传输，支持光纤，非屏蔽双绞线(UTP)，屏蔽双绞线(STP)，同轴电缆等各种传输载体，支持多用户多类型产品的应用，支持高速网络的应用。综合布线系统通常包括六个子系统:工作区子系统，水平布线子系统，干线子系统，设备间子系统，

14、管理子系统和建筑群子系统。综合布线系统设计要根据建筑结构和用户需求来确定，这一过程主要包括以下几个要点:l 尽量满足用户的通信要求；l 要了解建筑物内部的通信环境；l 确定合适的通信网络拓扑结构；l 选取将要使用的传输介质；l 以开放式为基础，尽量与大多数厂家的产品和设备兼容，按照通用的标准进行设计；l 系统初步设计成本估算；l 将系统初步设计和建设费用预算告知用户。最后在征得用户意见并签订合同后，在制定详细的设计方案综合布线可采用UTP、STP或者光缆，在欧洲综合布线所采用的线缆占主流的是屏蔽系统，而在北美广泛使用的是非屏蔽系统，在高容量主干及严重干扰的情况下就使用光缆作为屏蔽系统。但STP

15、屏蔽式系统若使用不当，非但达不到整体的屏蔽的完整性，其性能会比UTP系统更差。UTP是目前较为成熟，可靠的商用建筑综合布线系统所采用的线缆，通常情况下也可以满足在干扰环境下的使用需求。所以建议使用UTP或光缆。四、局域网规划设计方案4.1技术规划4.1.1网络体系结构社区卫生服务站网络拓扑图4.1.2网络层次划分核心层：核心层配置设备承担的任务主要是通过核心层设备与汇聚层间信息的交流、分发与管理，因此核心层设备是整个网络的中心枢纽，应具有强大的交换能力，保证不会发生信息拥塞；强大的安全防护能力，保证不会因单点故障而影响整个系统的正常运行；有效的故障恢复能力，保证任何一种单点故障都能在短时间内迅

16、速予以恢复。汇聚层：汇聚层设备承担的任务，一是构造本地网络核心，二是通过核心设备实现与其他部分大量信息交换。汇聚层设备具备较高的吞吐能力和上连带宽，同时还具备强有力的用户访问控制能力（即三、四层交换能力、虚网功能）。接入层：接入层的功能在于将各种媒体、各种速度、任何地方的最终用户接入IP网络。这一层主要实现各单位终端节点设备的接入，并上连到网络汇聚层。这一层网络建设可以根据各节点的具体情况分期分批建设。4.1.3网络IP子网划分 把一个大网缩小为若干小网，叫子网，而要把一个或几个小网扩大为一个大网，叫超网，后者一般应用于电信等其它领域，我们不作讨论。划分IP子网，有利于我们搞好系统维

17、护，合理配置系统资源，减少资源浪费，社区卫生服务站信息点以楼层划分。根据的保留地址划分社区卫生服务站内部局域网，属于C类地址，子网掩码。根据结构分析，门诊中心一层，数量最大，30台，为每个楼层划分单独的网段公式：2N-2=Hosts2N-2=30 N=5N代表掩码中0的个数，5个零则意味着二进制掩码为11100000，即十进制的224加上前面24个1，1 的总数为27个。子网掩码24确定掩码规则以后，就要确认每一个子网的具体地址段。当前的IP地址的最后一位是0，二进制表示为00000000；而我们已

18、经算出的掩码24的最后一位是224，二进制表示11100000000000001110000000000000与结果：0 001000001110000000100000与 结果：32去除网络回环地址，广播地址依次类推办公楼一层2办公楼二层4办公楼三层6门诊中心一层28门诊中心二层60门诊中心三层92药房244.2网络协议网络协议是通信双方共同遵守的约定和规范，网络设备必须安装或设置各种网络协议之后才能完成数据的传输

19、和发送，在社区卫生服务站网上用到的协议主要有ICP/IP协议、IPX/SPX协议等。在这里主要讲一下 TCP/IP协议：TCP/IP协议是目前在网络中应用得最广泛的协议，ICP/IP实际上是一个关于Internet的标准，并随着的Internet广泛应用而风靡全球，它也成为局域网的首选协议。TCP/IP是一种分层协议，它共被分为个4层次，大约包含近期100个非专有协议，通过这些协议，可以高效和可靠地实现计算机系统之间的互连。TCP/IP协议中的核心协议有TCP（传输控制协议）、UDP（用户数据报协议）和IP（因特网协议）TCP协议可以在网络用户启动的软件应用进程之间建立通信会话，并实现数据流量

20、控制和错误检测，这样就可以在不可靠的网络上提供可靠的端到端数据传输。UDP协议是一种无连接的协议，它在传输数据之前不建立连接，也不提供良好的可靠性和差错检查，只仅仅依赖于校验来保证可靠性。UDP不进行流量控制，没有序列或者确认，因此它处理和传输数据的速度快，还被用来传输关键的网络状态消息。IP协议的基本功能是提供数据传输、数据包编址、数据包路由，分段等。通过IP编址约定，可以成功地将数据通过路由传输到正确的网络或者子网。每个网络站点具有一个32位的IP地址，它和48位MAC地址一起协作，完成网络通信，IP协议也是一种无连接的协议。4.3网络流量规划一个设计成功的社区卫生服务站网，其网络流量合理

21、，系统各部分负载均衡。那么什么是网络流量呢？网络流量简而言之就是网络上传输的数据量。就像要根据来往车辆的多少和流向来设计道路的宽度和连接方式一样，根据网络流量设计企业网络是十分必要的。（1）“80 /20”规则在传统网络中，一般将使用相同应用程序的用户放到同一工作组中，他们经常使用的服务器也放在一起。工作组位于同一物理网段或VLAN（虚拟局域网）中。这样做的目的是将网络上客户机与服务器之间产生的数据流量限制在同一网段中。在同一网段，可以使用带宽相对高的交换机连接客户机和服务器，而不必使用带宽相对较低的路由器。将大部分网络流量控制在本地的这种网络设计模式，被称为“80/20规则”，即80%的网络

22、流量是本地流量（采用交换机交换数据），在同一网段中传输；只有20%的网络流量才需要通过网络主干（路由器或三层交换机）。“80/20”规则中的“80”和“20”不能简单地理解为数字，应该理解为网络流量分布的方式，即大部分网络流量局限在本地工作组，小部分流量通过网络主干。因此在实际网络设计中，只要大部分网络流量在本地、小部分网络流量通过主干，就认为它符合了“80/20”规则，而不管实际的数字比例是多少。后面谈及的“20/80”规则也是如此。按照“80/20”规则，分支交换机可以使用不支持VLAN的交换机，如全向的QS-6924交换机，这样能够大大降低不必要的开支。当然使用支持VLAN的交换机产品就

23、更好了，如果以后想划分子网也比较方便，全向系列交换机中，带有“V”的型号具有VLAN功能，如QS-532V交换机、QS-516V交换机等。（2）“20/80”规则随着网络应用的逐渐丰富，“80/20”规则已经不能完全满足网络设计的需要。而一种被称为“集中存储、分布计算”的模式逐渐得到推广。集中存储，就是数据集中在网络中心存储，如已经得到普遍使用的Web服务、电子邮件系统和逐渐流行的VOD（视频点播）、多媒体资源库等；分布计算，就是数据被下载到各个工作站上处理，如使用网络上的多媒体资源库制作多媒体课件等。在“集中存储、分布计算”的网络应用模式下，对网络流量的要求已经大大偏离了“80/20”规则，

24、一种新的规则应运而生，这就是“20/80”规则。在符合“20/80”规则的网络中，只有大约20%的网络流量局限在本地工作组，而大约80%网络流量经过网络主干传输。这种网络流量模式的转变，给社区卫生服务站网主干交换机带来了很大的负荷。因此理想状态下主干交换机应该能够提供与下面连接的支干交换机相匹配的性能，即提供线速三层交换，也就是说，下面的支干交换机能够跑多快，上面的主干交换机也应该能够跑多快。同样，如果网络中有许多按功能划分的VLAN，这些VLAN也很难管理。在以往的“80/20”规则中，服务器往往分布在VLAN中，因此对于各工作组来说，访问起来比较快。但是在“20/80”规则中，服务器往往集

25、中在网络中心，因此对于各工作组，必须实现跨VLAN的访问。没有三层交换机，VLAN之间无法通信，VLAN类似于硬盘的逻辑分区，可以简单地理解为把同一硬盘划分成不同的硬盘盘符。但是与逻辑盘不同的是，VLAN之间通信可不像把文件从一个逻辑盘复制到另一个逻辑盘那样简单，而是必须依靠路由器才能使VLAN之间相互通信。社区卫生服务站网适用哪一条规则在社区卫生服务站络环境中，有的地方“80/20”规则适用，数据流量一般局限在本地子网中，如果将专用的服务器架设在网络中心，必将大大增加网络主干的负担。有的地方“20/80”规则适用，比如电子邮件服务器、Web服务器等，是任何网络用户都会使用的，就应当放置在网络

26、主干上，如果放在某一个子网中，不仅增加该子网的负担，其他子网的用户访问起来也会很慢。4.4安全策略4.4.1病毒防治（1） 禁用没用的服务Windows提供了许许多多的服务。 Telnet就是一个非常典型的例子。在Windows2003的服务中是怎么解释的：“允许远程用户登录到系统并且使用命令行运行控制台程序” 。建议禁止该服务还有一个值得一提的就是NetBIOS。Windows还有许多服务，在此不做过多地介绍。可以根据自己实际情况禁止某些服务。禁用不必要的服务，除了可以减少安全隐患 （2）打补丁Microsofe公司时不时就会在网上免费提供一些补丁，可以去打补丁。除了可以增强兼容性外，更重要

27、的是堵上已发现的安全漏洞。（3）反病毒监控选择一流的反病毒软件。用反病毒软件的根本目的是防病毒。另外，安装反病毒软件后必须对其进行必要的设置和时刻开启反病毒监控。这样才能发挥其最大的威力。4.4.2建立防火墙网络地址转化NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。 在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网

28、络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。4.4.3网络的保密措施（1）堵住服务器操作系统安全漏洞任何网络操作系统的安全性都是相对的，无论是UNIX还是NT都存在安全漏洞，他们的站点会不定期

29、发布系统补丁，系统管理员应定期下载，及时堵住系统漏洞。（2）注意保护系统管理员的密码用户名和密码应当设置合理，口令应大小写混合，最好加上特殊字符和数字，至少不能少于16位，同时应定期修改；口令不得以明文方式存放在系统中；建立帐号锁定机制，当同一帐号的密码校验错误若干次时，自动断开连接并锁定该帐号。（3）关闭不必要的服务端口。谨慎开放缺乏安全保障的端口：很多黑客攻击程序是针对特定服务和特定服务端口的。a、常用服务端口有：WEB：80，SMTP：25，POP3：110，可根据情况选择关闭。b、比较危险(很可能存在系统漏洞)的服务端口：TELNET：23，FINGER：79，建议关闭掉。c、对必须打

30、开的服务(如SQL数据库等)进行安全检查。（4）制定完善的安全管理制度定期使用网络管理软件对整个局域网进行监控，发现问题及时防范。定期使用黑客软件攻击自己的系统，以便发现漏洞，及时补救。谨慎利用共享软件，不应随意下载使用共享软件。做好数据的备份工作，有了完整的数据备份。（5）注意WEB服务的安全问题WEB编程人员编写的CGI、ASP、PHP等程序存在的问题，会暴露系统结构或使服务目录可读写，这样黑客入侵的发挥空间就更大。在给WEB服务器上传前，要进行脚本安全检查。（6）警惕DOS攻击和DDOS攻击DOS攻击和DDOS攻击可以使网站系统失去与互联网通信的能力，甚至于系统崩溃。建议：如果有条件允许

31、的话，可以使用具有DoS和DdoS防护的防火墙。4.4.4数据安全性和完整性措施数据安全性和完整性就是数据的安全技术。为了解决上述问题，就必须利用另外一种安全技术-数字签名。PKI（Publie Key Infrastucture）技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触，因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术，他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控

32、制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构（CA）、注册机构（RA）、策略管理、密钥（Key）与证书（Certificate）管理、密钥备份与恢复、撤消系统等功能模块的有机结合。 （1）认证机构 CA（Certification Authorty）就是这样一个确保信任度的权威实体，它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明证书，任何相信该CA的人，按照第三方信任原则，也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关

33、重要的，这不仅与密码学有关系，而且与整个PKI系统的构架和模型有关。此外，灵活也是CA能否得到市场认同的一个关键，它不需支持各种通用的国际标准，能够很好地和其他厂家的CA产品兼容。 （2）注册机构 RA（Registration Authorty）是用户和CA的接口，它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记，也必须支持远程登记。要确保整个PKI系统的安全、灵活，就必须设计和实现网络化、安全的且易于操作的RA系统。 （3）策略管理 在PKI系统中，制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求，并且能通过CA和RA技术融入到CA 和RA的

34、系统实现中。同时，这些策略应该符合密码学和系统安全的要求，科学地应用密码学与网络安全的理论，并且具有良好的扩展性和互用性。 （4）密钥备份和恢复 为了保证数据的安全性，应定期更新密钥和恢复意外损坏的密钥是非常重要的，设计和实现健全的密钥管理方案，保证安全的密钥备份、更新、恢复，也是关系到整个PKI系统强健性、安全性、可用性的重要因素。 （5）证书管理与撤消系统 证书是用来证明证书持有者身份的电子介质，它是用来绑定证书持有者身份和其相应公钥的。通常，这种绑定在已颁发证书的整个生命周期里是有效的。但是，有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消，证书撤消的理由是各种各样的，可能包

35、括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制，随时查询被撤消的证书。 国外的PKI应用已经开始，开发PKI的厂商也有多家。许多厂家，如Baltimore，Entrust等推出了可以应用的PKI产品，有些公司如VerySign等已经开始提供PKI服务。网络许多应用正在使用PKI技术来保证网络的认证、不可否认、加解密和密钥管理等。尽管如此，总的说来PKI技术仍在发展中。按照国外一些调查公司的说法，PKI系统仅仅还是在做示范工程。IDC公司的Internet安全知深分析家认为：PKI技术将成为所有应用的计算基础结构的核心部件，包括那些越出传统

36、网络界限的应用。B2B电子商务活动需要的认证、不可否认等只有PKI产品才有能力提供这些功能。五、前景展望5.1建设局域网的优点5.1.1合理的系统结构社区卫生服务站主干采用具有第三层交换功能的千兆位以太网(Gigabit Ethernet)以 满足广大用户的各种要求。主干设备应能满足10，000用户接入访问的要求。支持IP多目广播(Multicast)与服务质量(Qos)或服务类型(CoS)，满足远程教育的需求。支持虚拟网络(VLAN)，网管软件应具备对接入层交换设备进行远程可操作的能力。5.1.2 可靠的安全防护软件采用反病毒软件，关键数据传递使用数字签名技术。网络骨干线路的冗余备份，网络核

37、心设备的冗余备份和电源冗余备份等方面保证社区卫生服务站网的可靠性。内部网络之间，内部网络与外部公共网之间的互联，利用VLAN/ ELAN ，防火墙等对访问进行控制，确保网络的安全。5.1.3充分的扩充余地主干网络设备的选型及其模块，插槽个数，管理软件 和网络整体结构，以及技术的开放性和对相关协议的支持等方面，来保证网络系统的开放性和扩充性。5.1.4稳定的系统性能对使用负担较重的服务器，可以建立多快速以太网通道和服务器负载平衡来提高访问服务器性能。采用VLAN技术，根据不同的部门和用户需要划分不同子网，并赋予一定的访问权限，配合NAT技术，大大提高了整个网络的安全性和可管理性。同时对网络骨干进

38、行了备份，充分考虑了冗余性，降低了网络瘫痪的可能。关键的服务器都采用多快速以太网通道技术，使访问速度成倍提高。5.2存在问题（1） 目前社区卫生服务站与合作医院连接速率相对较低(100M)，但已经符合日常办公的需求。（2） 由于本方案是模拟方案，主要针对题目要求进行卫生服务站网络的设计，有一定的局限性。在网络主干部分部署了具有足够性能和优良扩展性的网络设备(如Quidway S6503路由交换机)以支持办公楼和门诊、药房网络的接入。（3）由于工程比较大型，所以所需要的费用比较庞大。但所采用的设备都是比较好的设备，符合社区卫生服务站的需求。总体来说还是价格还是比较合理的。(3) 本方案虽然只是模拟方案，但设计时已经考虑到实际需求情况，可操作性也比较强。本方案在设备选型上也考虑了办公楼及门诊、药房网的接入需要