医院无线网络方案.docx
《医院无线网络方案.docx》由会员分享,可在线阅读,更多相关《医院无线网络方案.docx(31页珍藏版)》请在冰豆网上搜索。
医院无线网络方案
医院无线网络方案
一. 应用需求
随着信息技术的快速发展,医院信息系统在我国已得到了较快发展,国内多数医院已建立起以管理为主的HIS系统,建立了以管理为主的HIS系统,当前的发展重点则是建设以病人为中心的临床信息系统CIS(ClinicalInformationSystem)。
临床信息化系统包括医生工作站系统、护理信息系统、检验信息系统(LIS)、放射信息系统(RIS)、手术麻醉信息系统、重症监护信息系统、医学图像管理系统(PACS)等子系统,而这些系统将以病人电子病历EMR(ElectronicMedicalRecord,EMR)为核心整合在一起。
随着医疗改革的推进,医院正朝着以终末质量管理向环节质量管理转变,从而提高医疗服务质量,缓和医患关系,提高医院的服务效率。
与以病人为中心的服务理念相适应,医院信息化也从传统的内部管理为主的HIS系统,向以病人为核心的临床信息化系统转变。
伴随着临床信息化,医院正逐步地实现无纸化、无胶片化和无线化。
随着无线局域网技术的不断成熟和普及,无线局域网在全球范围内医疗行业中的应用已经成为了一种趋势。
作为医院有线局域网的补充,无线局域网(WLAN)有效地克服了有线网络的弊端,利用PDA、平板无线电脑和移动手推车随时随地进行生命体征数据采集、医护数据的查询与录入、医生查房、床边护理、呼叫通信、护理监控、药物配送、病人标识码识别,以及基于WLAN的语音多媒体应用等等,充分发挥医疗信息系统的效能,突出数字化医院的技术优势。
二. 无线网络整体设计方案
2.1. Trapeze医疗行业WLAN设计思想
2.1.1. 医院中WLAN的设计要求
为客户提供好的系统解决方案,首先要准确地了解该系统应用的具体业务模式,以及实现该业务模式所需要的技术。
通过医疗信息化建设中对无线网络平台应用模式的综合分析,我们总结出医疗信息化系统对无线网络平台具体要求:
(a)数据保密性要求高,病人数据不能被盗取
(b)无线网络系统整体安全性要求高,包括物理设备,因为医院内人员流动性很大
(c)PACS对网络带宽稳定性要求很高,VoWLAN对网络时延要求高
(d)系统可靠性要求高,医院的有线网和供电系统都有双备份机制,当然要求无线网络也能具有着这样的保险机制。
(e)系统可维护性要求高,无线网络的维护不能成为医院信息科的负担
(f)每个病区的并发用户数较低,主要提供给医生和护士使用。
如无线网络也提供给病人和访客使用,则必须与医院内网做有效隔离,同时要求能够对访客网的带宽占用做有效的限制。
2.1.2. 医院中WLAN的用途
2.1.2.1. 用于病区移动查房
在传统有线网络情况下,医生查房有两种选择:
一是手持打印的纸质病历,供查房时查阅;二是医生在办公室工作站上事先调阅病历,并记忆分管病人的主要病史、生命体征数据,待查房时,凭记忆呈现病人情况。
第一种方式,由于要经常打印病历,增加了工作量。
第二种查房,极容易造成记忆不全甚至错误情况发生。
在病区组建WLAN后,医生不再受网线的困扰,可以方便、自由地携带电脑在病区内移动,利用无线网络登陆医生工作站,随时调阅病历,迅速地获取患者的住院信息、病史、检验、检查结果和其他生命体征信息,尽可能有效地与患者交流,从而获得高效率、高质量的床边探视和护理。
医生还可以根据查房情况,及时将信息录入计算机,并根据病情变化当即开出检验、检查、治疗和其它医嘱,避免了查房后再次转抄医嘱或凭记忆补开医嘱、记录病程,造成重复工作甚至错误情况发生。
结合临床用药知识库、药物配伍禁忌报警系统,医生在住院病人床边诊断就能最大限度地避免错误的发生,及时修正医嘱并采用合理的药物和治疗。
2.1.2.2. 用于床边护理
在西欧和美国,已有少数医院取消了病区护士站,护理数据用无线电脑直接在患者床边采集和录入,这不仅提高了护理效率和质量,还增加了医护人员与患者的亲和力,使患者得到更多的护理。
将PDA、条码腕带等技术手段应用于临床护理,给医院管理带来的成效将体现在多个方面:
一是帮助护士正确执行医嘱;二是全程追踪医疗服务过程;三是为医护人员的绩效考核提供客观的依据,帮助医院真正做到奖勤罚懒。
其根本目的是降低出错率,提高医疗服务质量,体现以病人为中心这一核心原则。
2.1.2.3. 无线网络用于呼叫通信
组建WLAN后,医院可以利用IP语音(VoIP)系统代替传统的通信系统(如寻呼台),实现在网络中传输语音和视频数据,提供双向的语音视频通信。
医护人员可以通过手持设备接收患者的呼叫,直接与患者通话,并能从系统中的任何位置立即了解患者的需求,许多危重病人因此可以得到及时抢救和特殊护理,同时医生也可以通过WLAN语音系统了解一些传染性隔离患者(如SARS)的情况,有效地保护医护人员的健康安全。
目前在这方面最广泛的应用为WLAN手机——基于WLAN的手机,可以在无线局域网覆盖范围内实现清晰畅通的无线通讯,无须支付任何话费,此类手机只需在交换机上进行简单的参数设置后就能方便的使用。
在网络中使用无线手机能够呼叫普通电话和手机,用户通话时在WLAN覆盖区域内自由移动,通话质量不受影响。
2.1.2.4. 无线网络用于护理监控
目前,国内较先进的住院病房安装有有线视频监控系统,组建WLAN后,只需增配无线摄像头,进行简单的网络参数配置即可,摆脱了重新布线的烦琐。
这种技术可以用于对病房、药房和其他重要场所的监控。
无线摄像头的管理软件可以同时监控多个现场。
在监控中心可以对现场进行录像记录。
无线摄像头在应用时结合医院的无线通讯系统,能够进一步提供医护人员的工作效率。
工作人员在收到病人的寻呼信号后,通过网络即可在计算机终端直接监控到病人的状况,并采取相应的医疗措施,这对于危重病人的监护有着重要作用。
2.1.2.5. 无线网络用于药库管理
WLAN结合无线射频识别技术(RFID)进行药库药品管理。
药品进库时通过RFID标签扫描,记录下进库药品的名称、制造商、功效等详细属性,并利用RFID进行药品存放的定位。
这些数据都通过WLAN上传到医院的药品管理信息系统,方便医院对药品进行统一调配、管理。
药品管理人员也无需人工输入大量数据以及花时间到处寻找药品,只需手持无线电脑或PDA等设备,进行药品的清点核对。
在美国,许多医院在采用了药物条码无线识别设备后,WLAN环境下的药品配送和药库管理就显得更加简单、方便、准确和高效。
2.1.2.6. 无线网络用于临床教育科研
无线网络极大地方便了临床教育科研。
教师和科研人员可以在病人床边一边讲解一边通过无线移动终端实时调用病人的基本情况,包括:
病史信息、病理信息、化验检验信息、放射信息、影像信息等。
2.1.2.7. 无线网络用于病人识别与资产管理
利用无线条码标识带将病人的重要资料标注其中,并带于病人腕部。
在病床旁,护士使用无线识别设备(PDA),扫描患者的条码标识带,关于患者的标识、用药、剂量及方法等的详细信息就会通过WLAN在护士工作站得到确认,如果存在任何差异,报警系统会显示警告,避免可能发生的任何差错。
无线网络还用于加强对医院设备的管理。
在可移动的医院设备上安装RFID标签后,配合无线读取器,医院就可以通过资产定位管理系统对电脑、医疗设备等贵重物品进行定位和管理。
管理人员可以通过电子界面准确了解它们的位置,避免设备遗失以及无法及时定位而造成的损失。
2.1.3. Trapeze无线网络的设计思想
xx,是中国第一侨乡的医学殿堂,创建于1912年,前身是加拿大基督教会(UnitedChurchofCanada)在江门北街开办的仁济医院。
经过多年的发展,医院成为集医疗、科研、教学、预防、保健和康复于一体的三级甲等综合性医院。
医院长期以来是中山大学等6所大、中专院校的教学医院和实习医院。
2005年成为中山大学附属江门医院,是中山大学硕士研究生教学基地和博士后流动站科研基地。
医院占地面积5.6万M2,建筑面积达9万M2。
建筑风格独特,承传着仁济医院的精神,融汇着现代化浓郁的文化气息。
医院编制床位1200张,在职员工1548人,医务人员占87%,其中高级职称243人,临床兼职正、副教授69人,市授予的著名专家、中青年专家、名医14人,医学博士、硕士122人,硕士研究生导师18人。
设职能科室16个,临床、医技科室45个,功能检查室21个,专科专病门诊91个,专家门诊62个。
设分门诊一个,年门诊量130多万人次,住院4万人次,住院手术1.6万例。
医院配备有总值2亿多元的先进医疗设备,包括日本东芝64排螺旋CT、德国西门子螺旋CT、德国西门子核磁共振(MR)、荷兰飞利普DSA数字减影血管造影机、美国GEhPET/CT、德国西门子直线加速器(多叶光栅、TPS)、日本岛津数字胃肠机、美国GEDR、荷兰飞利普DR、美国GE心脏彩色超声多普勒、实时三维彩色超声、美国鹰视眼科准分子激光治疗仪、日本奥林巴斯电子超声胃镜、各类内窥镜、多台全自动生化分析仪等。
实验室也拥有能开展分子生物学、基因水平检测的先进仪器。
医院建成以光纤为主干的网络拥有工作站1000多个,建成使用的系统有:
HIS、CIS、LIS、PACS、办公自动化系统(OA)、绩效分析、体检、病案扫描、医学情报查询、医保等70多个子系统,信息化建设在全国医院中达到了领先水平,成为全国20家数字化试点示范医院之一。
近年来,医院步入一个快速增长期,医院的信息化建设也已初具规模。
医院正逐步实现医院管理的科学化、现代化、数字化,与国际、国内信息化建设的新技术接轨。
医院目前已经建成一套完整的医院管理系统,而无线局域网在医院的实施则必将推动医院信息化系统的建设提高到一个新的阶段。
信尚安公司针对xx具体情况和要求,结合公司在医院无线网络建设方面的丰富经验,为xx提出了此无线医疗网络解决方案。
鉴于采用传统的“胖AP”技术部署无线网时,安装复杂,管理困难,整网安全强度不高,在实际应用中会存在以下问题:
(a)不能实现全面的、统一的全网级的管理策略
(b)不便于无线网络业务的划分
(c)不能实现无线网用户的2、3层无缝漫游
(d)没有RF自动调节能力
(e)整体无线网容量过小,不能轻松扩容
(f)对室内、室外无线接入点无法做到集中管理、统一配置和固件升级
(g)对于基于WiFi的高级功能,如安全、语音等支持能力很差
为了解决传统“胖AP”存在的上述问题,采用Trapeze公司“THINAP”技术的智能无线网络产品代替传统AP的方法来解决这一问题。
Trapeze无线网络系统主要由以下三部分组成:
无线网络管理系统(RingMaster™SoftwareSystem)
无线交换机(MobilityExchangeSystem™)MX-200R
无线接入点(MobilityPoint™)MP-422
2.2. 无线网络总体描述
无线网络组网拓扑示意图
接入网络部分:
无线覆盖区域物理分布在医院住院部二到十五层的室内建筑区域,我们在本次无线网络项目建设中室内覆盖采用TrapezeMP-422型AP。
无线网控制、管理部分:
在网络核心层,我们采用了目前基于最先进的第三代无线网络技术的无线交换机对整个无线网路进行统一的管理。
采用TrapezeMX-200R型无线交换机对全网AP进行集中管理和控制,各覆盖区域内AP通过有线连接至MX-200R无线交换机,实现了无线集中控制。
无线网络管理部分:
RingMaster™是TrapezeNetwork公司推出的无线网络交换机管理系统,主要提供增强的管理、无缝的安全性,并且易于规划各种规模的无线网络,同时还兼容了TrapezeNetwork的路由器、以太网交换机设备组网,提供对AP、交换机和控制器的全面控制以优化网络并增强安全性。
2.3. 无线网络组网方案
2.3.1. AP电源的供给
对许多网络系统的设计来讲,当建筑中某些区域的用途不确定或布线施工难度较大时,部署无线接入点(AP)是十分必要的解决方案。
但是,十分具有讽刺意义的是,在大多数情况下,无线接入点仍然需要电源,这就削弱了无线局域网的优势。
而且,在安装时,我们不得不考虑电源插口是否存在,以及连接是否可靠,电源是否会从墙板上脱落等不确定因素。
为了解决这上述问题,我们在本次无线网络项目建设中室内覆盖采用TrapezeMP-422型AP,Trapeze的MP-422型AP均支持IEEE802.3af标准的双路冗余PoE供电,可采用支持IEEE802.3af标准的PoE交换机或PoE供电器通过网线对AP进行供电。
(POE交换机
交换机端口支持输出功率达15.4W,符合IEEE802.3af标准,通过网线供电的方式为标准的PoE终端设备供电,免去额外的电源布线。
经调研研华推出的符合IEEE802.3aT标准的POE交换机,端口输出功率可以达到25-30W.通俗的说,POE交换机就是支持网线供电的交换机,其不但可以实现普通交换机的数据传输功能还能同时对网络终端进行供电。
)
2.3.2. 分布式的AP部署
目前,随着网络应用和数据量的急剧增长,为了减少广播包对网络性能的影响,普遍采用的解决方法是采用VLAN技术进行子网划分,通过三层交换技术对各子网进行路由交换;另外,在医院进行有线网络建设时也考虑到将来可能会有扩展,在有线信息点、光纤和交换机端口等资源上都留有余量,因此在进行无线网络建设时,医院网络中心希望建成的无线网络系统能够尽可能利用原先的网络资源,以降低工程造价和施工周期,因此一般采用AP就近接入空余的接入层交换机端口上,采用无线网络与有线网混合组网方式。
由于有线网的固定性,一般采用根据楼层或楼宇方式进行子网划分,而无线网络必须承载于有线网络之上,因此,造成所接AP也分别划到各个子网之中,造成了原本应该统一管理的无线网络被有线网络分割成了独立的无线“网络孤岛”,这种“网络孤岛”在实际应用中会存在以下问题:
1. 不能实现全面的、统一的全网级的管理策略
2. 不便于无线网络业务的划分
3. 不能实现无线网用户的漫游
4. 对无线接入点无法做到集中管理、统一配置和固件升级
为了解决传统有线与无线混合组网存在的上述问题,采用一种被称作“THINAP”代替传统AP的方法来解决这一问题。
本方案中采用的是TrapezeMP-422型AP,并配合TrapezeMX-200R型无线交换机进行组网。
下图为以TrapezeMobilitySystem组成的移动域示意图:
MP-422型AP本身不带任何软件及配置,当AP在加电后,AP通过广播、DHCP或DNS方式来获得位于网络骨干上的无线交换机MX-200R的IP地址信息,AP在得到无线交换机地址之后,便采用CAPWAP协议与无线交换机MX-200R取得通信,随后由无线交换机MX-200R将AP运行所需的固件以及AP的相关配置发送给AP,AP收到这些信息后,随即进行系统启动并根据无线交换机提供的配置进行自身参数的配置。
在AP启动完毕后,AP与无线交换机MX-200R之间采用TUNNEL方式进行互连,用户的数据包在进入AP后,被AP重新封包进入该TUNNEL传入无线交换机MX-200R,由于数据全部被封入TUNNEL,用户的数据并不因AP与无线交换机之间跨了路由而改变路由路径,从用户角度来看,用户的数据直接跨越了层层路由,直接进入了无线交换机,无需改变现有网络拓扑结构、也无需考虑协议兼容性,从而实现了拓扑无关的组网。
采用“THINAP”组网的优势在于:
1. AP与无线交换机之间建立跨越路由的TUNNEL,从而将无线业务与有线网络策略区分开
2. “THINAP”运行所需的固件及配置在启动时由无线交换机动态下发,轻而易举的实现了传统“FATAP”方案无法动态升级AP固件和配置的问题
由于采用THINAP的组网方式,即使是在分布式网络中,彼此被子网路由隔开了的AP也可作为一个整体结构运行,以便于按需扩展或修改无线局域网。
3.3.3. 提供灵活的多业务支持(Multi-SSID)
早先,由于技术及成本的制约,AP只能提供单一SSID,因此要想在使得无线网所能提供的服务均混合在一个服务集之上,无法实现业务的区分,无法支持QoS,不同权限用户的隔离;随后出来的第二代产品诸如CiscoAironet系列AP,支持广播最多16个SSID,并可以对每一个SSID分配不同的认证、加密、QoS和VLAN策略,用户一旦连接上一SSID后,可以被赋予该SSID所提供的属性,但是由于用户的属性受到所连SSID的制约,第二代的这种基于SSID的业务策略属于静态的策略,因此无法实现基于用户的策略控制。
本方案提供的Trapeze系列无线系统,MP-422最多支持64个SSID,并且可以根据用户属性,动态的分配用户认证方式、加密方法、QoS及所属VLAN,实现了基于用户的动态业务策略。
基于用户的动态业务策略能够实现全网范围的漫游,而不用考虑所在地点的AP是否支持这些策略,从而让无线网业务系统功能更多、更为灵活。
2.4. AP的集中管理与自动配置
在传统无线网络建设中,有一个始终令网管人员感到头痛的问题,那就是对AP的管理、监控以及AP自身固件的升级。
由于传统AP是一种称作为“FATAP”,即自身需要有相应控制软件以及独立的配置才能运行,而由于AP是一种接入层设备,数量较多,且由于医院网络的复杂性以及业务的多样性,导致需要根据各“热点”区域进行相应配置,并且还需要网管员对这些特殊配置进行记录,以方便日后维护;此外,在日常运行中,还需要了解这些数量众多AP的工作状态及性能等数据,而一般AP管理工具功能太过简单,如果采用有线网络网管软件,由于没有很好的对无线网络做相应的开发与支持,从而不能很好的管理无线网络。
而采用TrapezeMobilitySystem架构下的无线网络,AP是一种被称作“THINAP”的结构,由于AP本身没有任何需要配置的参数,同时AP与中心无线交换机之间采用CAPWAP协议进行通信,AP的固件、配置信息均由中心的无线交换机MX-200R提供,并且AP与Trapeze无线交换之间采用“心跳”机制定时保持通讯,为了解决传统“FATAP”能够集中管理、配置、升级AP;AP与Trapeze无线交换机之间采用“心跳”机制,定时保持通讯,中心网管系统能够非常及时的了解AP的工作状态,并将工作状态直接反映给TrapezeRingMaster网管系统,RingMaster直观显示出AP的拓扑结构,以及部署位置及工作状态,并记入日志,以被日后查验。
2.5. 基于用户身份的管理
2.5.1. 用户认证及加密
众所周知,无线网络采用电磁波作为传出媒介进行数据传输,而电磁波由于可以穿透建筑物而泄漏到外部空间,因此对于无线网络的安全策略就不能采用有线网的思路,因而必须采取一些切实有效的方法来保护无线网络免遭黑客入侵及避免用户数据被非法窃取。
目前国际上比较流行的方法是对用户进行身份的认证以及认证成功后要对用户数据加密来反制非法入侵。
TrapezeMobilitySystem支持国际最为先进的认证及加密技术:
多种认证方式:
支持基于数字证书的强安全认证方式RSN(WPA2,IEEE802.11i)、WPA;同时也兼容一些使用较为广泛的WebPortal认证及MAC认证,以便于临时来访用户的接入
数据加密:
1. 多种加密方式:
借助于TrapezeMP-422AP执行高级加密标准(AES)、临时密钥交换协议(TKIP)以及有线对等加密(WEP)加密有助于保护所有的通信连接。
2. 每用户的加密分配:
对每用户或每组执行不同的安全策略,以便进行灵活、深入的安全控制和管理。
2.5.2. 基于策略的用户访问控制
TrapezeMobilitySystem不仅支持丰富的安全认证及加密方法以外,还提供基于用户身份的服务,以使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表(ACL)、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容。
还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。
2.5.3. 用户漫游及QoS保障
由于无线局域网采用类似于移动通信网中的“蜂窝”覆盖方式,来实现大面积覆盖,当终端在移动一点到另外一点的移动过程中,不可避免的需要从一个AP切换到另外一个AP,在切换过程中,移动终端需要进行“取消关联”及“重关联”的操作,该过程一般需要300-500ms的时间,此外,在有后台认证系统存在的情况下,用户还需要进行重认证、sessionkey重分发及重新分配IP地址的过程,这种方式无法满足一些对时延非常敏感的业务诸如VOD点播、VoWLAN等的支持,因为传统无线网络的漫游只停留在IEEE802.11协议层上,并没有对用户会话进行完整性保持。
而在本方案中,我们采用TrapezeMobilitySystem方案,该方案也无线交换机为核心,对所有AP上接入的用户采用统一会话管理,所有已认证终端均在中心无线交换机中保存相应会话,AP仅仅只负载传输用户数据,因此无论终端移动到哪个AP下,用户信息和授权都在无线交换机所管辖的移动域内快速的交互,可以有效保持会话完整性及可靠移动性的前提下实现无缝漫游。
另外,TrapezeMobilitySystem还率先支持WMM(WirelessMedia-Media)无线多媒体协议,能够将语音、视频数据包以更高的优先级进行传送,提供了对无线QoS的保障。
2.5.4. 用户动态负载均衡
传统上,由于受到客户端无线网卡底层驱动算法机制的限制,用户总是会连上信号最强的AP,而并没有考虑到该AP是否能够提供最佳的服务。
TrapezeMX-200R无线交换机可以根据周围无线信号覆盖情况以及用户的流量需求,动态的将用户强制连接到其他可用AP上,将用户流量分配到其他可用AP,从而保证了整个无线网络的高效能和高可用度。
例如在一个用户较多的会议室,正常情况下大约有15人左右,采用一个AP即可满足需求,但当用户数突然增加后,导致该AP无法连接数过多,而此时,位于会议室外的AP由于相对与会议室来说,信号虽然比较弱,但仍然是可以满足一定的网络用量,此时无线交换机则强制后来的一部分用户连接信号较弱的AP,从而实现了负载均衡,保障了网络的畅通。
2.6. 无线信号监控
2.6.1. 无线信号自动优化与调整
传统“FATAP”组建的无线网络,在建设初期,需要对无线频谱及channel和发射功率进行规划,以降低同频干扰,但是无线信号受到用户数、天气、湿度等环境影响因素较大,一旦外界因素发生变化后,如果AP仍使用原始参数进行运行,必然导致信号强度降低、覆盖区域缩小等情况,导致网络运行不稳定。
采用TrapezeMobilitySystem解决方案,支持RFAuto-Tune技术。
MP-422AP可以监听、扫描所在空域中的信号强度和使用量,并将数据传送至位于核心的TrapezeMX-200R无线交换机上,MX-200R根据各AP报告的测量数据进行一个全局的调配,例如,当某一区域多数AP报告信号不足时,MX-200R可以动态改变该区域内相关AP的发射功率;当AP报告该区域内有相同信道信号时,则可以动态调整相关AP,以避开信道的重叠。
TrapezeMobilitySystem的RFAuto-Tune技术以可动态地调整流量负载、功率、射频覆盖区域和信道分配,以使覆盖范围和容量最大化。
2.6.2. 非法信号的侦测、告警