1.1.網絡性能需求分析目前醫院的應用系統主要是以HMIS（又務醫院管理信息系統）和CIS（臨床信息系統）為(wèi訊男)主，各種系統對網絡的性能都有不(bù)一白農樣的需要。管理信息系統的應用主要是以文字、圖表和簡單的圖形信息友老為(wèi)主，雖然信息量不(bù)大(dà)，但是對于基礎架工信構的可靠性和安全性需要較高，對服務質量也有議冷一定的要求。臨床信息系統的應用内容則較為(低技wèi)豐富。除了一般文字信息外，醫療應用數據包含大(dà)綠員量的圖形、視頻和語音信息。如(rú)PACS系統的音和應用其在傳輸患者的放射圖像信息時(shí)，需工輛要消耗大(dà)量的網絡傳輸帶寬。要求安全、可靠、機時保證服務質量和高性能，需要同時(shí)支持語音、視頻和數據等多輛窗種業務，又要方便以後的擴展。在某些關鍵應用上，對于服務質量、民動高性能、高可用性都提出了很高的要求。同時(shí)，随着未來醫院内畫會部辦公系統應用系統的開(kāi)展，基于網絡系統的語音電話、視頻做土會(huì)議等系統的應用開(kāi)展，需要網絡系統提供更高容量的他湖網絡傳輸帶寬，确保視頻、語音等實時(shí)性服務身男在網絡中傳輸的低(dī)延遲和數據帶寬恒定，以提升醫院的現代化話妹辦公效率。1.2.安全需求分析醫院信息系統的安全性包括實體安全、網絡安白輛全、傳輸安全、用戶安全。網絡系統安全也是網絡照中系統穩定的根本性保障，無法保障系統安全的網絡是無法實現網絡系統的穩定到小性的，然而，根據公安部的統計，網絡系統的安全事件，有70%是由内部的使用者造體區成的，因此，一個能夠輕松使用内部網絡系統的用戶，但習其有意或無意造成的網絡安全影響會(huì)比一個外嗎科部的黑客造成的影響還要大(dà)。醫院的内部信息主要是以病人的病例、森學處方和醫囑等信息為(wèi)主，而醫院是有義務保障病人的信息安全，保證病人的病刀媽例、處方和醫囑信息不(bù)被沒有必要的部門或人員查看，同時(shí)也理放要保證信息不(bù)能外傳。醫院的信息必車森須要被保存7－21年甚至更長(cháng)話白時(shí)間。因此，如(rú)何保證整個系統的保密性、完整性、可用性也東離是醫院信息系統安全性的一部分。1.3.無線網絡需求分析森拍無線局域網的應用，使醫院信息網絡更加靈活，而且能夠經濟、快捷的實現無縫覆從飛蓋。在需要頻繁上網的病房區域，在網絡終端不(bù)固定的會紅畫(huì)議室等區域，無線網絡都是理想的選擇。配合無線掌上電腦，可以實現很呢日多适合醫院應用的無線接入服務。醫院臨床醫學信息系統，突出體做讀現的就是“以病人信息為(wèi)核心，以病人診療過程為(wèi)主線”的理店他念。目前醫院使用的包括：病房醫生站，門診醫生站，病房護服雜士站，病人床旁移動信息站（包括醫生和護士睡那，臨床檢驗分析系統等等），這些信息化系統的配合使很廠用，使得(de)醫護人員在醫院中可以随時(shí)随地獲取病人的最新信息對樂，做出快速反應處理，緊密跟蹤治療過程，大(dà)大(dà山志)提高了醫院的診療效率和縮短(duǎn)了病人等待的周期。基于“得一無線網絡”的平台，讓移動信息系統（BMIS）的錯呢功能充分的發揮了出來，醫護人員可以借助它大(dà)力協那信助自己在病人身邊治療護理的工(gōng)作。它是一個移動信息中心，用戶可兵遠以随時(shí)對數據進行查閱，浏覽，記錄，采集，傳輸等門城處理，還同時(shí)實現了人機交流和人人交流。1.4.内網網校讀絡構架設計醫院内網采用萬兆核心、千兆接入的高速以太網二層或三層架構呢這設計，可通(tōng)過增加模塊的方式實現接入萬兆到核心的視在平滑升級，滿足未來3-5年未來業務擴展的需求。1.4.1.網絡架構設計(1)核來笑心骨幹設計•核心骨幹網采用2台萬兆核心交換機通(tōng)過萬兆多模光纖互火得聯，實現萬兆核心網絡并可平滑升級到未來的10人月萬兆核心。•兩台核心交換機通(tōng)過虛拟化技術，動影虛拟為(wèi)一台，進行管理，實現接入到核心的鍊路負載均衡與熱備份話場，一旦一台核心交換機出現故障，鍊路切換時(shí)間在50ms内，保障所坐他有業務數據無中斷的轉發。(2)核心交換機的選型•為(wèi)了保障未來業務的信事擴展，核心交換機至少具備3個業務槽位，支持雙引擎的熱冗餘服相；交換容量至少在4.8Tbps以上，包轉我靜發至少在1400Mpps以上；•核心交換機須支持虛拟化技術，将内網兩購錯台核心交換機虛拟成為(wèi)一台管理，同時(shí)實現負載均衡；•核心交換要慢機必須支持基于硬件的CPU保護技術與安全策線算略自動下發技術，充分保障核心交換機的安全運行；(3男服)接入層設計考慮到影像中心接入信息點集中，同時(s湖輛hí)醫院的應用多元化，PACS系統大(知間dà)流量高性能的需求。要求影像中心接入層的設備具有端口高密度和設備的高動那性能、高安全、多功能的特點。接入層采用全千兆智能接入交換機，滿足了網絡流量短內成倍提高和多媒體業務的迅速增長(cháng)的需要。在提供高性能、高帶樂信寬的同時(shí)，全千兆智能接入交換機提供智能的流分類、完善的服務林服質量（QoS）和組播應用管理特性，并可以根據網絡的實際使用環境，實施靈活多樣的都拍安全控制策略，有效防止和控制病毒傳播和網絡攻擊，生舊控制非法用戶接入和使用網絡，保證合法的用戶合理少黃化地使用網絡資(zī)源，充分保障了網絡高效安全、網絡合理化使近男用和運營。醫院内網接入設計為(wèi)采用千兆24口交換機，通(路秒tōng)過兩條千兆多模光纖分别與核心交換機連接。通(tōn科農g)過核心交換機的虛拟交換技術，實現接入交換機到核心交換機的2G帶寬，山海同時(shí)實現鍊路的熱冗餘。并通(tōng)過千兆6類雙笑商絞線與桌面計算機連接，實現千兆到桌面的訪問。懂船(4)接入層交換機的選型•24口接入交換機配置24個10物亮M/100M/1000自适應電口，同時(shí)配置4書匠個SFP複用口用于錢少光纖上行；•24口接入交換機交換容量至討靜少在200Gbps以上，包轉發至少在50Mpps以上紙是；•接入交換機必須支持防ARP、DHCPSNOOPING等攻擊；并支持802短件.1x、WEB認證等功能；1.5.無線網絡設計醫院的網絡建設需要對整棟樓等室内舞鄉區域的的每一個區域進行無線覆蓋，真正達到問跳醫護人員能夠在醫院的每一個角落接入無線網絡。為(wèi)了達到穩定的無線網絡連舞北接和高速的網絡帶寬，無線網絡建設采用室内覆蓋的方式進行無線網絡的建設從煙。1.5.1.業務對無線網絡的要求(1)拍街覆蓋效果醫院的所有房間、角落都需要确保有穩雨們定的無線信号。(2)漫遊護士/醫生在病房間穿梭會(huì)不(bù)紅厭會(huì)掉線，甚至重新登錄。(3)帶寬用習她PDA記錄生命體征、執行醫囑保障實時(shí)處理。保障用平闆電腦看PA議問CS影像快速看片子(zǐ)。(4)穩定7X24小時(shí)的不(bù)間訊裡斷運行。(5)安全無線網絡的特性導緻安全性較的輛低(dī)。除了自身無線SSID加密的方式麗廠保障安全以外，還需要通(tōng)過額外措施保也來障網絡的安全。1.5.2.無線網絡的部署設計按照醫院業務對無線網南爸絡的要求，采用以下無線網絡的設計。在每層樓内部署支持802.1靜去1b/g/n/ac的無線AP，802.11ac技術可使網絡達農都到1200M的帶寬。POE交換機部署全千兆三層交換機，帶有24個千兆POE電口跳場，同時(shí)還帶有4個千兆SFP口。POE交換機分别部署在每個配線間線用，并通(tōng)過2條千兆多模光纖分别與2台核心交換機連接多自。無線AP通(tōng)過6類雙絞線方式就進連接到POE交換機，并通(tōn行音g)過POE方式供電。1.6.網絡安全設月雜計1.6.1.基礎網絡安全設計(1)關鍵部件的安全穩定•快志核心交換機主機支持冗餘的管理模塊、冗餘的電源模塊、各種模塊熱拔插不得等安全穩定保障技術。•核心交換機主機實時(shí)檢測CPU的使用狀低場态，并提供硬件CPU保護技術對發往CPU的數據進行流區分和流限速，避免非法攻長舞擊包對CPU的攻擊和資(zī)源消耗。(2)病林了毒和攻擊防護交換機采用硬件方式提供多種安全防護能力，例如(rú)防DoS攻數見擊、非法數據包檢測、數據加密、防源IP地址欺騙等等，避免得電了傳統軟件實現方式對整機性能的影響。交換機提供業界最為(wèi)土件強大(dà)的ACL特性，提供IP标準、IP擴展、MAC理河擴展、時(shí)間、專家(jiā)級等豐富的ACL技術。(3)設備管理安全土北•交換機提供SSHv1/v2的加密登陸和管理功能，避免管理來森信息明文傳輸引發的潛在威脅。•交換機支持Telnet/Web登錄的源IP限制些中功能，避免非法人員對網絡設備的管理。•交換機支持SNM刀拿PV3提供加密和鑒别功能，可以确保數據從合法的數據源發出，确保數據在傳輸過程中通熱不(bù)被篡改，并且加密報文，确保數據的機密性。2.外網設計2.1.網絡架構村要設計外網主要服務于住院樓内所有需要在互聯網上使用的業務。外網的核心層交換機事土采用單核心架構，網絡主幹采用千兆骨幹鍊路。核心交換機使用資讀千兆多模光纖連接到樓層交換機，樓層交換機使用百兆端口直接到舊校桌面提供網絡接入。整個網絡核心設計為(wèi)支公數持萬兆擴展的核心交換機，接入設計為(wèi)支持千兆上訊商行的接入交換機。2.1.1.網絡結構設計2.1光藍.1.1.出口設計考慮到醫院外網無專用出口，為(wèi)了保障内網安全、出口質頻你量等，特在出口區域部署防火牆及出口網關。整個網關提供高速NAT轉換、深度問時流量控制、防火牆功能。(1)防火牆，做好(hǎo)内、外網的安明錢全保護報文過濾是防火牆最基本的功能，根據安全策朋空略對數據流進行檢查，讓合法的流量通(tōng)過，将非法的開市流量阻止，從而達到訪問控制的目的。對基于六元組來識别網絡流量理現，并針對每條網絡流量建立從二層至七層的狀态信息。并基于這些民問狀态信息進行各種豐富的安全控制和更深粒度的報資不文過濾。基于狀态檢測，UR系列防火牆可以防禦的各會人種網絡攻擊包括：IP畸形包攻擊、IP假冒、TCP劫持入侵、SYNfl做和ood、Smurf、PingofDeath、風秒Teardorp、Land、pingflood、UDPFlood等。(2子呢)出口網關設計，提高上網質量•專業流控保障網絡出口帶寬UR系列出口中有網關提供網絡流量的實時(shí)采集、監控和精細分析使得(de)網絡運行狀況的們、應用情況、帶寬使用情況等狀況完全可視化。過濾非法網絡訪通些問•深層次内容審計，本地化日志記錄，基于用戶身份的審計功能日志國厭對于網絡安全的分析和設備的安全管理非常重要，尤其在配合公安機關進行反向查詢和定東樂位安全事件的時(shí)候。安全網關針對經過出會文口的數據流、設備和網絡攻擊進行相關日志信息的記錄。為讀熱(wèi)用戶事後分析、審計提供重要信息（日志支持遠程web舊林查看和檢索）。2.1.1.2.核心骨幹網設計醫院對互聯網業務訪問以及對外提供服都明務業務，将核心骨幹網設計為(wèi)萬兆核心的網絡。核心交換機通(章靜tōng)過千兆光纖直接與接入交換機連接。就來核心骨幹交換機的選型至少提供3個業務插槽。交換容量4.8Tbps，包轉發1對慢440Mpps；配置單引擎，雙電源；2.1.綠就1.3.接入網設計根據醫院外網信息點數量以及業務應用情況，接入網設計湖喝為(wèi)全千兆交換機。每台交換機通(tōng)過千兆光纖直接與核心科城交換機連接。接入交換機至少提供24個千兆電口，4個黑業千兆光口；支持防ARP欺騙、DHCPSNOO窗友PING攻擊等，為(wèi)了更好(hǎo)節能，內新接入交換機要求是無散熱片設計。2.2.網絡新森安全設計醫院外網安全設計結合身份認證系統和業界成熟先進的安全理草中念進行設計。網絡基礎平台安全：網絡設備、湖線網絡結構自身具備安全措施，保障在出現安全事件時(shí)，網那音絡設備、網絡結構可用。(1)CPU及引擎保護技術保障設備穩定員子運行随着交換機應用的逐漸普及，以及網絡攻擊長厭的不(bù)斷增多，越來越需要為(wèi)數據交換機提供一種保護可銀機制，對發往交換機CPU的數據流，進行流分類和優先級分級處理，以及很子CPU的帶寬限速，以确保在任何情況下CPU都不(bù)會(huì火影)出現負載過高的狀況。(2)基礎網絡保護策略減少網絡攻媽業擊通(tōng)過對交換機基礎策略的配置能夠防止目前網絡上常對訊見的多種攻擊手段，包括ARP攻擊、ICMP攻擊、IP掃描飛街攻擊及DHCP耗竭攻擊等，形成一套完整的保護輛了體系，為(wèi)用戶提供一個安全可靠的網絡平台。3.VNMS綜湖做合監控管理運維系統3.1全網設備統一運維管理，全景拓撲自動生習銀成：醫院智能化系統子(zǐ)系統多、終端種類繁雜、網絡規模龐大(dà)。化舊優力普VNMS綜合監控管理運維系統提供多系統員店統一管理：一張物理網絡承載計算機網、通(tōng)信網、設備網，業務邏輯隔離，舊東平台自帶網閘功能，在保障内網安全前提下，實山拍現多網統一管理，節省投資(zī)成本。運維平台自動生成城微網絡拓撲，全網架構清晰可見，故障快速精準定位。VNMS綜合監控管理運維系統基姐新于統一的信息集成平台，實現數據信息一體化、自匠運行監控一體化、維護管理一體化：通(tōng)過統一管理平台對醫院基礎網絡設備音通狀态進行實時(shí)監測，防患設備故障隐患，提高醫院村明管理效率，使整體系統具有信息彙聚、資(zī)源共享及協同管理的子到綜合應用功能；并具有為(wèi)醫院主體業務一木提供高效的信息化運行服務及完善的支持輔助功能。3.2軟硬融合一體化實現應用服白、數據可視化大(dà)屏展示：優力普VNMS綜合監控管理運我朋維系統視頻交互顯示模塊支持4K超高清視頻信号采集與離校傳輸，采用純網絡系統架構和模塊化設計理念，不(bù)時去僅具有純硬件架構穩定高效的優勢，同時(shí)可還看支持各種接口、業務模塊混合搭配滿足不(bù)同的應用計長場景，并且各個節點之間傳輸距離不(bù)受限制。系統提供雲拼接、雲解碼、你線雲輸入、雲預監、雲回顯等多種數據展示應用功能，針對可視化多動了業務控制指揮中心的應用需求而設計。VNMS綜合監控視頻還行交互顯示系統