1.1. 網絡性能需求分析
目前醫院的應用系統主要是以HMIS(醫院管理信息系統)和靜東CIS(臨床信息系統)為(wèi)主,各信科種系統對網絡的性能都有不(bù)一樣的需要。
管理信息系統的應用主要是以文字、圖表和簡單的圖形信息業也為(wèi)主,雖然信息量不(bù)大(dà),但是對于基礎架構的可靠性和安街計全性需要較高,對服務質量也有一定的要求。
臨床信息系統的應用内容則較為(wèi)豐富。除了一般文字信息外,醫療應用數據們吃包含大(dà)量的圖形、視頻和語音信息。如還市(rú)PACS系統的應用其在傳輸患者的放射物拍圖像信息時(shí),需要消耗大(dà)量有鄉的網絡傳輸帶寬。要求安全、可靠、保證服務質量和高機子性能,需要同時(shí)支持語音、視頻和數據等多種業務,又商商要方便以後的擴展。在某些關鍵應用上,對于服務質量、高性能、高可用性都提出場吃了很高的要求。
同時(shí),随着未來醫院内部辦公系統應用系統的開(美子kāi)展,基于網絡系統的語音電話、視頻會(huì)議等系統的應我高用開(kāi)展,需要網絡系統提供更高容量的網絡傳輸帶寬,确師術保視頻、語音等實時(shí)性服務在網絡中傳輸的低(dī)延遲和數據帶寬恒光視定,以提升醫院的現代化辦公效率。
1.2. 安全需求分析
醫院信息系統的安全性包括實體安全、網絡安全、傳一在輸安全、用戶安全。
網絡系統安全也是網絡系統穩定的根本性保障謝笑,無法保障系統安全的網絡是無法實現網絡系統的穩定性的,然而,根據公安部車筆的統計,網絡系統的安全事件,有70%是由内部的使用者造成船通的,因此,一個能夠輕松使用内部網絡系統的用戶,其有意或無意造成的網還秒絡安全影響會(huì)比一個外部的黑客造成的影響還要大(dà)。
醫院的内部信息主要是以病人的病例、處方和醫囑等信息為(wèi)主,而是間醫院是有義務保障病人的信息安全,保證病人的病日站例、處方和醫囑信息不(bù)被沒有必要的部門或用睡人員查看,同時(shí)也要保證信息不(bù)能外傳。醫院的信息必須月紅要被保存7-21年甚至更長(cháng)時(shí朋動)間。因此,如(rú)何保證整個系統的保密性、完整性他為、可用性也是醫院信息系統安全性的一部分。
1.3. 無線網絡需求分析
無線局域網的應用,使醫院信息網絡更加靈活,而且能夠經濟、快捷的實現無縫覆蓋。錯好在需要頻繁上網的病房區域,在網絡終端不(藍了bù)固定的會(huì)議室等區域,無線些司網絡都是理想的選擇。配合無線掌上電腦,可以實現很多适合醫院應兒可用的無線接入服務。
醫院臨床醫學信息系統,突出體現的就是“以鐘坐病人信息為(wèi)核心,以病人診療過程為(wèi)主線”的理念。樂個目前醫院使用的包括:病房醫生站,門診醫生站從風,病房護士站,病人床旁移動信息站(包括醫生和護士,臨床檢驗分析系統等能有等),這些信息化系統的配合使用,使得(de機妹)醫護人員在醫院中可以随時(shí)随地獲取病人的最新信息,做可北出快速反應處理,緊密跟蹤治療過程,大(dà)大(dà)提木小高了醫院的診療效率和縮短(duǎn)了病人等待的周期。
基于“無線網絡”的平台,讓移動信息系統(BMIS)的功能充分的發揮了出來藍劇,醫護人員可以借助它大(dà)力協助自己在病人身邊治療護理的放資工(gōng)作。它是一個移動信息中心,用戶可以随時(shí)對數據進行查閱,高分浏覽,記錄,采集,傳輸等處理,還同時(shí)實現了人機交流和人人交流。
1.4. 内網網絡構架設計
醫院内網采用萬兆核心、千兆接入的高速以太網二層或三層架構設計,可通(tōn舞熱g)過增加模塊的方式實現接入萬兆到核心的平滑升級,滿足未來3-5年未來業開花務擴展的需求。
1.4.1.網絡架構設計
(1) 核心骨幹設計
• 核心骨幹網采用2台萬兆核心交換機通(t小通ōng)過萬兆多模光纖互聯,實現萬兆核心網絡并可平滑升級到未來的10萬兆核心門刀。
• 兩台核心交換機通(tōng)過虛拟化技術,虛拟為(wèi)一話媽台,進行管理,實現接入到核心的鍊路負載均衡與熱備份,一友劇旦一台核心交換機出現故障,鍊路切換時(sh鄉人í)間在50ms内,保障所有業務數據無中斷這兵的轉發。
(2) 核心交換機的選型
• 為(wèi)了保障未來業務的擴展,核大離心交換機至少具備3個業務槽位,支持雙引擎的熱冗餘;交換容量至少在信朋4.8Tbps以上,包轉發至少在1400Mp紅吧ps以上;
• 核心交換機須支持虛拟化技術,将内網兩台核心交換機虛拟成為(wèi)一台管理司分,同時(shí)實現負載均衡;
• 核心交換機必須支持基于硬件的CPU保護技術與安全策略自動下發司火技術,充分保障核心交換機的安全運行;
(3) 接入層設計
考慮到影像中心接入信息點集中,同時(shí)醫院的應用多元化術員,PACS系統大(dà)流量高性能的需求。要求影像男師中心接入層的設備具有端口高密度和設備的高性能、高安學鄉全、多功能的特點。接入層采用全千兆智能接入交換機,滿足了亮街網絡流量成倍提高和多媒體業務的迅速增長(cháng)的需要。要錢在提供高性能、高帶寬的同時(shí),全千跳黃兆智能接入交換機提供智能的流分類、完善的服務質量(Q書女oS)和組播應用管理特性,并可以根據網絡的實際使用環境,刀花實施靈活多樣的安全控制策略,有效防止和控制病毒傳播票哥和網絡攻擊,控制非法用戶接入和使用網絡,保證合法的用戶合理化地使用網絡資西樂(zī)源,充分保障了網絡高效安全、網絡合生著理化使用和運營。
醫院内網接入設計為(wèi)采用千兆24口交換機,通(tōn看錯g)過兩條千兆多模光纖分别與核心交換機連接。通(tōng)過核心遠玩交換機的虛拟交換技術,實現接入交換機到核心交換機的2G帶寬,同時(shí)實土但現鍊路的熱冗餘。并通(tōng)過千兆6類雙絞線與區藍桌面計算機連接,實現千兆到桌面的訪問。
(4) 接入層交換機的選型
• 24口接入交換機配置24個10M/100M/100海水0自适應電口,同時(shí)配置4個SFP複用口用于錢少光纖上行上件;
• 24口接入交換機交換容量至少在200G票什bps以上,包轉發至少在50Mpps以上;
• 接入交換機必須支持防ARP、DHCP裡拍 SNOOPING等攻擊;并支持802.1x、WEB認證等功能;
1.5. 無線網絡設計
醫院的網絡建設需要對整棟樓等室内區域的的每一個區域進笑快行無線覆蓋,真正達到醫護人員能夠在醫院的每一個角落接入無線空分網絡。為(wèi)了達到穩定的無線網絡連接和高姐可速的網絡帶寬,無線網絡建設采用室内覆蓋的頻信方式進行無線網絡的建設。
1.5.1.業務對無線網絡的要求
(1) 覆蓋效果
醫院的所有房間、角落都需要确保有穩定的無線信号。
(2) 漫遊
護士/醫生在病房間穿梭會(huì)不(bù)會(huì)掉線,甚票呢至重新登錄。
(3) 帶寬
用PDA記錄生命體征、執行醫囑保障實時(shí)處理。保障用平闆電腦看PACS商離影像快速看片子(zǐ)。
(4) 穩定
7X24小時(shí)的不(bù)間斷運行。
(5) 安全
無線網絡的特性導緻安全性較低(dī)。除火農了自身無線SSID加密的方式保障安全以外,還需要通(通場tōng)過額外措施保障網絡的安全。
1.5.2. 無線網絡的部署設計
按照醫院業務對無線網絡的要求,采用以下無線網絡的設計。
在每層樓内部署支持802.11 b/g/n/ac的無線AP,8理離02.11ac技術可使網絡達到1200M的帶寬。
POE交換機部署全千兆三層交換機,帶有2是習4個千兆POE電口,同時(shí)還帶有4個千兆S理短FP口。POE交換機分别部署在每個配線間,體紙并通(tōng)過2條千兆多模光纖分别與2台核心交換機連接。無線AP通(tō坐年ng)過6類雙絞線方式就進連接到POE交換機,并通(t東鄉ōng)過POE方式供電。
1.6. 網絡安全設計
1.6.1. 基礎網絡安全設計
(1) 關鍵部件的安全穩定
• 核心交換機主機支持冗餘的管理模塊、冗餘的電源模塊爸裡、各種模塊熱拔插等安全穩定保障技術。
• 核心交換機主機實時(shí)檢測CPU的使用狀态,并提供硬件C讀物PU保護技術對發往CPU的數據進行流區分和流限速,避免非法攻擊包對照火CPU的攻擊和資(zī)源消耗。
(2) 病毒和攻擊防護
交換機采用硬件方式提供多種安全防護能力,例如(rú)防DoS攻擊、非法數據刀冷包檢測、數據加密、防源IP地址欺騙等等,避免了傳統軟件實現舊雪方式對整機性能的影響。
交換機提供業界最為(wèi)強大(dà)的ACL特性,提供IP标準、IP擴術農展、MAC擴展、時(shí)間、專家(jiā)級等豐富暗好的ACL技術。
(3) 設備管理安全
• 交換機提供SSHv1/v2的加密登陸和管理功能,避免管理信息員資明文傳輸引發的潛在威脅。
• 交換機支持Telnet/W如城eb登錄的源IP限制功能,避免非法人員對網絡設備的管理。
• 交換機支持SNMPV3提供加密和鑒别功能,可以确保錢做數據從合法的數據源發出,确保數據在傳輸過程中不(朋術bù)被篡改,并且加密報文,确保數據的機密性。子來
2. 外網設計
2.1. 網絡架構設計
外網主要服務于住院樓内所有需要在互聯網上使用麗公的業務。
外網的核心層交換機采用單核心架構,網絡主幹采用千兆骨幹鍊路。核著藍心交換機使用千兆多模光纖連接到樓層交換機,樓層交換跳信機使用百兆端口直接到桌面提供網絡接入。
整個網絡核心設計為(wèi)支持萬兆擴展的核心交換機,接入設計藍妹為(wèi)支持千兆上行的接入交換機。
2.1.1. 網絡結構設計
2.1.1.1. 出口設計
考慮到醫院外網無專用出口,為(wèi)了村船保障内網安全、出口質量等,特在出口區域部署防火牆及出口網關。整個網城草關提供高速NAT轉換、深度流量控制、防火牆功能。
(1) 防火牆,做好(hǎo)内、外網的舊錯安全保護
報文過濾是防火牆最基本的功能,根據安全策略對數據流進行檢查,厭頻讓合法的流量通(tōng)過,将非法的流量阻止,從而達到訪問控制的目的筆電。對基于六元組來識别網絡流量,并針對每條網絡流量建立他也從二層至七層的狀态信息。并基于這些狀态信息進行各種豐富的安全控制和更女湖深粒度的報文過濾。基于狀态檢測,UR系列防火牆可以防禦的各議近種網絡攻擊包括:IP畸形包攻擊、IP假冒、TCP劫持入侵、SYN fl長動ood、Smurf、Ping of Death、Tear紅呢dorp、Land、ping flood看報、UDP Flood等。
(2) 出口網關設計,提高上網質量
• 專業流控保障網絡出口帶寬
UR系列出口網關提供網絡流量的實時(shí)采快地集、監控和精細分析使得(de)網絡運行狀況、應用情況吃一、帶寬使用情況等狀況完全可視化。
過濾非法網絡訪問
• 深層次内容審計,本地化日志記和懂錄,基于用戶身份的審計功能
日志對于網絡安全的分析和設備的安全管理非常重要,尤其在配合公安機關進相匠行反向查詢和定位安全事件的時(shí)候。安全懂了網關針對經過出口的數據流、設備和網絡攻擊進行相器慢關日志信息的記錄。為(wèi)用戶事後分析、審計提校多供重要信息(日志支持遠程web查看和檢索)。
2.1.1.2. 核心骨幹網設計
醫院對互聯網業務訪問以及對外提供服務業務,将核師們心骨幹網設計為(wèi)萬兆核心的網絡。核心交換機通(tōn農月g)過千兆光纖直接與接入交換機連接。
核心骨幹交換機的選型
至少提供3個業務插槽。交換容量4.8Tbps話微,包轉發1440Mpps;配置單引擎,雙電源;
2.1.1.3. 接入網設計
根據醫院外網信息點數量以及業務應用情況,接入網設計為(wèi)和如全千兆交換機。每台交換機通(tōng)過千兆光纖直接與核心交子鄉換機連接。
接入交換機至少提供24個千兆電口,4個千兆光口;支持防ARP欺騙、門飛DHCP SNOOPING攻擊等,為(wèi)了更好(hǎo)節能,接入交關山換機要求是無散熱片設計。
2.2. 網絡安全設計
醫院外網安全設計結合身份認證系統和業界成熟先進的安全理念進行設計。刀日
網絡基礎平台安全:網絡設備、網絡結構自身具業黃備安全措施,保障在出現安全事件時(shí),網絡設備、網絡結構可用。
(1) CPU及引擎保護技術保障設備穩定運行
随着交換機應用的逐漸普及,以及網絡攻擊的不(bù快通)斷增多,越來越需要為(wèi)數據交換機提供一種保護機制,對發往交換很在機CPU的數據流,進行流分類和優先級分級處草但理,以及CPU的帶寬限速,以确保在任何情況下CPU都不(b長可ù)會(huì)出現負載過高的狀況。
(2) 基礎網絡保護策略減少網絡攻擊
通(tōng)過對交換機基礎策略的配置能夠防止目前網絡上常見的多種攻擊行看手段,包括ARP攻擊、ICMP攻擊、IP掃描攻擊及DHCP耗竭攻擊等,形成一套亮間完整的保護體系,為(wèi)用戶提供一個安全可靠的網絡平台。
3. VNMS綜合監控管理運維系統
3.1全網設備統一運維管理,全景拓撲自動生成:
醫院智能化系統子(zǐ)系統多、終端種類繁來下雜、網絡規模龐大(dà)。優力普VNMS綜合監控管理運維系統提供多系統統一管理西體:一張物理網絡承載計算機網、通(tōng)信網、物放設備網,業務邏輯隔離,平台自帶網閘功能,在保障内網安全前提下,實視笑現多網統一管理,節省投資(zī)成本。運維平台自動生成網絡拓撲,全網架構清喝頻晰可見,故障快速精準定位。
VNMS綜合監控管理運維系統
基于統一的信息集成平台,實現數據信息一體化、運行監控一體懂廠化、維護管理一體化:
通(tōng)過統一管理平台對醫院基礎網絡設備狀态進弟不行實時(shí)監測,防患設備故障隐患,提高醫院管理效率,使整用物體系統具有信息彙聚、資(zī)源共享及協同管理的綜合應用些業功能;并具有為(wèi)醫院主體業務提供高效的信息短綠化運行服務及完善的支持輔助功能。
3.2 軟硬融合一體化實現應用、數據可視化大(d學明à)屏展示:
優力普VNMS綜合監控管理運維系統視頻交互顯示模塊支持4K超高清視頻信号匠火采集與傳輸,采用純網絡系統架構和模塊化設計理念,不我報(bù)僅具有純硬件架構穩定高效的優勢,同時(shí吃道)可支持各種接口、業務模塊混合搭配滿足不(bù)同的應用謝頻場景,并且各個節點之間傳輸距離不(bù)受限制。系統提供雲拼接、雲解碼、雲輸入西火、雲預監、雲回顯等多種數據展示應用功能,針對可視化多業務控制指揮中心呢河的應用需求而設計。
VNMS綜合監控視頻交互顯示系統
