人民医院能力建设项目信息平台.docx
《人民医院能力建设项目信息平台.docx》由会员分享,可在线阅读,更多相关《人民医院能力建设项目信息平台.docx(55页珍藏版)》请在冰豆网上搜索。
人民医院能力建设项目信息平台
人民医院能力建设项目
信息化平台建设方案
重庆市某某区(县)人民医院
重庆市博恩科技集团有限公司
2011年5月
目 录
第一章建设项目概述
一、前言
依照2009年《中共中央国务院关于深化医药卫生体制改革的意见》中关于加强县级医院能力建设的要求,以及卫生部《2010年县医院能力建设项目信息化建设技术方案》、《基于电子病历的医院信息平台建设技术解决方案(1.0版)》、《陈竺部长在2011年全国卫生工作会议上的工作报告:
《奋发努力,开创卫生事业科学发展新局面》文件精神,以及重庆市卫生信息系统“服务民生、统一规划、集成开发、共建共用”的建设思路,重庆市县医院能力建设项目信息化建设将于2011年全面达到卫生部规定的高级水平,即在遵循重庆市市区两级卫生信息交换平台相关规范和标准的前提下,围绕电子病历全面建设临床信息系统、医学影像传输与存储系统、检验信息系统、体检系统、电子病历管理系统、医院智能决策支持系统、医疗行为监管系统等,并实现区域医疗卫生信息共享、远程医疗、双向转诊,落实“保基本、强基层、建机制”的目标。
当前,我院经过多年的发展,在信息化建设上的投入逐年追加,初步实现了HIS(电子病历、PACS、LIS)等系统,承担着我院临床业务运行的重要平台。
随着国家对医疗卫生系统的重视,以及信息化新技术的发展如云技术、虚拟化等,以及双向转诊、远程医疗等新型医疗模式正成为今后的趋势,也对我院信息化建设提出了更高的要求。
同时,临床业务的开展直接与“人命”相关,业务中断或暂停将会造成非常严重的后果,因此医院最为核心关注的问题之一就是如何保障医院临床业务的7*24小时不间断、稳定的运行。
因此作为临床业务的支撑环境——医院IT环境的稳定、可靠,也同样成为医院最为核心的关注点。
也是医院信息化建设中首要考虑的问题。
根据重庆市卫生局《基于卫生部2011年重庆卫生信息试点项目技术方案(县级医院能力建设)》相关原则要求,结合我院实际情况,特拟定本建设方案,以期达成高级信息化水平的县医院的要求,同时向标准化方向建设,接入重庆市市区两级卫生信息交换平台。
二、建设内容及目标
(一)系统建设内容
本次信息化系统建设的主要内容为两部分:
1.第一部分为系统硬件支撑平台建设
1网络平台建设
2信息安全建设
3服务器及数据存储备份系统建设
4中心机房建设
2.第二部分为应用系统软件平台
(二)医院能力建设项目信息化平台建设目标
本次电子政务系统建设完成后可实现以下目标:
1.核心网络平台
1统一的网络平台
根据《基于卫生部2011年重庆卫生信息试点项目技术方案(县级医院能力建设)》的有关要求,提升我院满足未来FULLPACS系统应用传输带宽的要求,以及先进性和网络资源预留,为后期各种网络应用系统的部署奠定坚实的基础。
拟建成骨干光纤网络,1000M桌面的能力,以满足各横向纵向网络传输的需求,承载语音、视频和数据的传输,在安全的前提下实现信息数据高度共享。
2统一的安全体系
根据《基于卫生部2011年重庆卫生信息试点项目技术方案(县级医院能力建设)》有关信息安全的原则,参照《计算机信息系统安全保护等级划分准则》(GB17859-1999)以及结合我院的实际情况,建立健全我院信息化系统的网络安全、应用安全、数据安全、主机安全以及安全认证、VPN、应急和灾难恢复以及日常管理维护体系。
2.医院门户网站安全平台
建成高效、通畅的对外医院门户网站以及安全平台,保证对公众服务的连续性、正确性、完整性。
3.实现基于SOA的整合一体化应用系统平台
围绕“以病人为中心,以疾病和治疗为主线,以安全和质量为主题”这个思路进行设计,以电子病历为中心,业务支持为核心,医院医疗行为监管为目标,为医院管理提供可持续更新的管理支撑体系,提高医院的服务质量和效率,提升医院的形象和竞争力。
4.医院统一的门户网站应用系统平台
按照《基于卫生部2011年重庆卫生信息试点项目技术方案(县级医院能力建设)》的原则,建立对医务人员门户、医院管理门户、患者公众服务门户,以实现我院实现对外宣传、医务公开、双向转诊、远程医疗等对内管理、对外公共服务的信息化、网络化平台。
5.数据交换中心
根据业务的发展,可满足未来数据安全交换共享,建立标准化的数据交换体系和严格的安全体系。
6.中心机房
按照国家关于计算机机房B类要求,建设一个不低于40M2的标准化机房。
根据系统建设需求,适度超前,配置相应软硬件,为全院信息化系统建设提供安全可靠的物理环境。
三、系统总体框架
(一)总体框架建设
按照《基于卫生部2011年重庆卫生信息试点项目技术方案(县级医院能力建设)》有关要求,结合我院实际,本信息系统总体框架建设如下:
(二)网络总体框架示意图
第二章系统硬件支撑平台建设
一、设计原则
我院信息化网络平台网络系统的建设在实用的前提下,应当在投资保护及长远性方面做适当考虑,在技术上、系统能力上要保持五年左右的先进性。
并且从用户的利益出发,一个好的系统应当给用户一定的自由度,而不是束缚住他们的手脚,从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。
根据信息化网络平台的总体需求,结合对应用系统的考虑,我们提出网络系统的设计目标是:
高性能、高可靠性、高稳定性、高安全性、可管理、可增值的信息化网络平台和应用系统。
我们遵循以下的原则进行贵医院信息化平台设计:
1.先进性和成熟性
系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。
不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,保证贵医院网络建设的领先地位,网络主干设备选用高带宽的、千兆位及万兆位线速路由交换技术。
服务器和存储应选用国际先进的技术、高性能CPU、高速并行处理技术、和先进冗余技术等。
2.高性能
系统建设应始终贯彻面向应用,注重实效的方针,保证系统具有足够的数据传输带宽,并为可预计的业务提供足够的系统容量和提供QOS,COS服务品质,建设贵医院的高性能网络系统,保护用户的投资。
3.可靠性和稳定性
在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间。
方案中涉及核心层设备,要求提供电源备份,模块的热插拔维护。
在网络结构设计中,也考虑了一定的冗余和负载均衡,保证网络和系统高可用性。
4.安全性和保密性
在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等,如划分VLAN、MAC地址绑定、802.1x、802.1d、802.1w、802.1s、VRRP、ACL、PORT+IP+MAC绑定等。
5.可扩展性和可管理性
为了适应系统变化的要求,必须充分考虑以最简便的方法、最佳的投资,实现系统的扩展和维护,建议全线采用可网管产品,提供堆叠、集群功能,降低了人力资源的费用,提高网络的易用性、可管理性,同时又具有很好的可扩充性,实现网络的可维性。
服务器的扩展性能强,比如可因业务量的增加将CPU的数目增至4路进行大规模并行处理,其他优异特点可参考其性能指标;RAID盘阵的扩展性能也极其强劲。
6.结构化设计
结构化的设计思想是将整个网络划分成不同的层次,各个层次各司其职。
对于贵医院信息化网络平台来说,网络主要由以下三个层次组成:
1)接入层:
连接各端末设备,做为网络智能安全接入和策略的边缘。
2)汇聚层:
为接入设备提供汇聚端口,提供各项网络策略;
3)核心层:
连接各接入设备和服务器群设备提供路由管理、网络服务、网络管理、数据高速交换、快速收敛和扩展性,完成高速转发。
二、网络架构设计
网络结构化的设计思想是将整个网络划分成不同的层次和区域,各个层次和区域各司其职。
根据我院的网络规模和实际应用情况,我院信息化平台采用分层网络架构设计,包括核心层和接入层:
核心层:
连接各接入设备和服务器群设备提供路由管理、网络服务、网络管理、数据高速交换、快速收敛和扩展性,完成高速转发。
汇聚层:
为接入设备提供汇聚端口,提供各项网络策略。
接入层:
连接各端末设备,直接与用户机对接。
做为网络智能安全接入和策略的边缘。
根据我院的网络规模和实际应用情况,我院信息化平台采用分区域架构设计,包括核心区域、网络出口区域、应用系统区域以及接入区域。
三、网络设备选择
遵循网络的层次化、模块化的设计思想,采用标准的三级网络架构,同时为后期的网络扩展做好准备,为用户提供高速无阻塞的数据交换。
设备的选型是网络设计当中非常关键的部分,严格的选型可以达到最佳的效果,即系统相对独立,升级简便,组网方式灵活,以保护现有投资和未来的发展。
所以为了满足贵医院目前的需求,立足长远发展,网络设备的选型除了依据提出的需求外,还需遵循上面的设计原则。
根据贵医院需求分析,需要对2个类型交换机和出口设备进行设备选型:
1)核心交换机;2)汇聚交换机;3)接入交换机4)出口设备。
为了满足贵医院需求和长远利益,核心层推荐使用H3CS7506E-S高性能万兆交换机,汇聚推荐使用H3CS5500-EI以太网交换机,接入层推荐使用H3CE系列安全智能交换机,而网络出口采用集传统防火墙、VPN、病毒防护、漏洞攻击防护、P2P/IM应用层流量控制等安全功能于一身的绿盟安全网关设备SG1200。
核心交换机通过防火墙上联到互联网和医保网等外部网络。
核心交换机设备上配有8个插槽,其中6个业务插槽,可适用于多种网络接入。
1.核心层设备选型
网络中心节点作为信息化网络平台络系统的心脏,必须提供全线速的数据交换,当网络流量较大时,对关键业务的服务质量提供保障。
另外作为整个网络的交换中心,在保证高性能、无阻塞交换的同时,还必须保证稳定可靠的运行。
因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。
在本方案中,核心层选用由高性能的万兆核心路由交换机组成,对全网的数据进行高速无阻塞的交换,负责路由管理、网络管理、网络服务、核心数据处理等,选用一台H3CS7506E-S构成核心节点。
H3CS7506E-S是杭州华三通信技术有限公司(以下简称H3C公司)面向融合业务网络的高端多业务路由交换机,该产品基于H3C自主知识产权的ComwareV5操作系统,以IRF2(IntelligentResilientFramework2,第二代智能弹性架构)技术为系统基石的虚拟化软件系统,进一步融合MPLSVPN、IPv6、网络安全、无线、无源光网络等多种网络业务,提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。
H3CS7500E符合“限制电子设备有害物质标准(RoHS)”,是绿色环保的路由交换机。
H3CS7506E-S其背板带宽高达1.6Tbps、交换容量高达768Gbps,包转发速率大于492Mpps,具备L2/L3线速交换能力。
可广泛应用于城域网、数据中心、园区网核心和汇聚等多种网络环境,为用户提供了有线无线一体化、有源无源一体化的行业解决方案。
2.汇聚交换机设备选择
汇聚层交换设备选用H3CS5500-EI。
H3CS5500-EI系列交换机是H3C最新开发的增强型IPv6强三层万兆以太网交换机产品,具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。
支持最多4个万兆扩展接口,支持IPv4/IPv6硬件双栈及线速转发,使客户能够从容应对即将带来的IPv6时代;除此以外,其出色的安全性,可靠性和多业务支持能力使其成为大型企业网络和园区网的汇聚,中小企业网核心、以及城域网边缘设备的第一选择。
H3CS5500-EI其背板带宽高达256GGbps、交换容量达到192Gbps、包转发速率为96Mpps,具备L2/L3线速交换能力。
H3CS5500-EI系列是H3C推出的硬件支持IPv6的万兆多层交换机。
该系列产品为IPv4网络的建设、IPv4向IPv6网络过渡、以及IPv6网络的建设和通信提供了最直接和最方便灵活的技术实现和方案保障。
S5500-28C-EI配置了24个10/100/1000Base-T以太网端口,4个复用的SFP千兆端口(Combo),两个扩展槽位。
3.接入交换机设备选择
全网的接入交换机,必须考虑到全网统一安全接入控制、安全防护、完善的管理、智能QOS服务质量保证、组播应用支持等技术。
在本方案中,建议接入层选用可提供千兆上联,并在可全部采用认证和流控等手段进行接入控制,充分满足用户的高速安全接入等,同时必须具备以下功能:
强大的ACL控制功能(病毒预防和控制,网络资源访问控制)
IP+MAC+端口绑定功能(防止网络攻击和资源被非法访问)
强大的堆叠功能(弹性的扩充能力)
完善的802.1X认证体系
支持802.1X接入访问控制,功能更加强大,与Radius配合,可实现用户账号、VLAN号、MAC地址、用户IP、交换机端口、交换机IP之间的任意绑定进行认证,达到严格控制用户接入功能。
灵活的带宽控制
基于交换机端口、MAC地址、IP地址、协议、应用组合等进行灵活的带宽限速,充分提高网络带宽的利用率,实施网络带宽合理分配,适合在医疗网的应用。
ARP攻击抵御
支持ARP入侵检测同时动态防御ARP主机欺骗和ARP网管欺骗,不用手工配置网关IP地址,智能防御各种ARP欺骗行为。
高可靠性
支持生成树协议802.1d、802.1w、802.1s,完全保证链路快速收敛,提高容错能力,保证网络的稳定运行和链路的负载均衡,网络通道得到合理化使用,提供冗余链路利用率;支持端口环路检测,可快速检测端口下联出现环路的情况,并能自动将有环路端口关闭和定时启动,保障了网络的可靠。
本方案采用H3CE系列安全智能交换机担任接入交换机,千兆上行到核心交换机。
H3CE126A/E152安全智能交换机是H3C公司为构建高安全、高智能网络需求而专门设计的新一代以太网交换机产品,在满足园区网高性能、高密度的接入的基础上,提供更全面的安全接入策略和更强的网络管理维护易用性,是理想的园区网接入层交换机。
4.网络出口设备选择
网络出口设备是内部网络到外部网络的边界,在本方案中网络出口采用绿盟安全网关SG1200作为网络出口。
绿盟安全网关采用先进的多核CPU和ASIC转发芯片,其构建的专用硬件平台既满足了传统网关产品对转发性能的需要,又很好解决了传统安全网关应用层计算能力不足的问题;同时绿盟安全网关采用了绿盟独有的“智能协议识别”技术——NIPR(NsfocusIntelligentProtocolRecognition)和智能内容识别技术——NsfocusIntelligentContentRecognition(NICR),对各种应用协议、攻击进行准确解析判断;绿盟安全网关集成防火墙、VPN、抗拒绝服务、流量管理、入侵检测及防护、上网行为管理、内容过滤、WEB安全、防病毒、反垃圾邮件等多种功能模块,满足用户多重防护需要,从而真正实现了对用户业务的立体全方位防护。
四、网络路由及地址规划
1.IP地址规划
1)IP地址规划原则
IP地址规划应依据科学性、系统性、完整性及可扩展性原则,采用先进的网络编码技术,保证信息交换的效率和质量,既要在相当时期内保持技术的先进性,同时也充分考虑现期工程的可实施性,为了更加便于记忆和管理,在贵医院信息化网络平台网络建设中,网络IP地址规划采用统一的IP地址分配方式,保证IP地址的唯一性。
具体来说,IP地址规划应该遵循以下原则:
可扩展性:
IP地址的规划与划分应该考虑到城域网的业务飞速发展,能够满足未来发展的需要;即要满足本期工程对IP地址的需求,同时要充分考虑未来业务发展,预留相应的地址段;
唯一性:
一个IP网络中不能有两个主机采用相同的IP地址;
简单性:
地址分配应简单、易于管理,降低网络扩展的复杂性,简化路由表的款项;
灵活性:
IP地址的分配需要有足够的灵活性,能够满足用户不同的联网需要;
连续性:
连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率。
高效性:
IP地址的分配必须采用VLSM技术,充分合理利用已申请的地址空间,保证IP地址的利用效率,采用CIDR技术,减小路由器路由表的大小,加快路由器路由的收敛速度,也可以减小网络中广播的路由信息的大小;
2)IP地址规划的依据和参照标准
GB/T1.1–1993《标准化工作导则》
GB/T2260-1992《中华人民共和国行政区划代码》
RFC0793《TransmissionControlProtocol》
RFC0791《InternetProtocol》
3)我院信息化网络平台IP地址规划建议。
(或根据市卫生局网络资源规划建设)
根据我院信息化网络平台的建设需求和网络规模,我们初步提出如下建议:
a)本次网络建设我们采用192.168.X.X的地址区,这样有利有网络的统一化管理和扩展,降低未来扩展的工作难度和成本。
b)采用192.168.X.X的地址区,可充分满足网络扩展的需要,对各类地址需求都可以做到足够的预留。
2.信息化网络平台VLAN划分
在医院的整个网络规划当中,VLAN的划分是非常重要的部分,很好的利用VLAN技术的功能,能起到事半功倍的效果,对整个网络的性能也是事关重要的。
主要突出为以下几点:
1)VLAN划分,可以避免广播风暴,在信息化网络平台尤为突出,在多媒体、视频点播等很容易引起广播信息;划分之后,VLAN是广播只在子网中进行,不会做无意义的广播,消除了广播风暴产生的条件。
2)VLAN划分,可以增加网络的安全性,在不同的VLAN之间不能随意通讯,只限与本子网间通讯,不会对其他的子网产生干扰。
要进行访问,需要通过三层交换,这样信息流就得到相当好的控制。
3)网络管理系统采用完全独立的IP子网和VLAN,实现更加安全的对所有网络设备进行管理。
建立VLAN和IP子网的对应关系。
4)提高管理效率,实现虚拟的工作组,减少站点的移动和改变的开销。
5)VLAN间的子网访问,可以在核心三层功能上实现,优化了组网。
建议在每个交换机划分特定的VLAN,每个VLAN对应一个C类的私有地址192.168.0.0等网段。
3.路由选择
大型路由网络中选择适当的路由协议,进行认真的地址和路由规划,对于优化整个网络的性能,保证网络的扩展性,健壮性具有非常重要的意义。
贵医院信息化网络平台具有规模大、应用复杂(不仅有普通数据应用、核心数据流,还将有音频、视频等多种类型的流媒体应用),容量要求高等特点。
因此,在IP网络方案中应该非常重视路由的策略及优化。
路由协议包括两部分:
域间路由协议,域内路由协议。
域间路由协议:
BGP是Internet特有的对等路由协议,目前的版本是BGP-4。
BGP-4分为EBGP和IBGP。
EBGP用于ISP之间或者ISP与大客户之间交换路由信息,IBGP用于在ISP内部传递外部路由信息。
建议在国际、国内出口处、省际网之间均运行EBGP,同时在网内必要的节点上运行IBGP(如,构建MPLS-VPN时),由于IBGP必须作全连接,所有核心路由器或核心路由交换机。
上配置全网状的IBGP连接。
一般采用BGP-4。
分域的目的是为了减少每个域内路由条目的数量,便于维护和管理。
域内路由协议:
域内路由协议要求采用动态路由协议(RIP、RIPV2、OSPF、EIGRP、IS-IS、IGRP),常用的路由协议有RIP、RIPV2、和OSPF。
RIP不支持变长子网,网络收敛速度较慢,设备间转发的路由信息比较多,每次交换路由信息都会把整个路由表广播出去,严重浪费带宽;RIPV2虽然支持变长子网,但依然有收敛速度慢,交换内容多等弊端,不适合作为一个运行商内部的网络路由协议。
OSPF具有收敛速度宽,占用带宽资源少等特点。
下表是对不同路由协议的比较:
比较项
RIP
RIPv2
OSPF
协议类型
距离矢量
距离矢量
连接状态
支持变长子网]
不支持
支持
支持
网络规模
最多16跳
最多16跳
100个路由器
支持域的划分
不支持
不支持
支持
信息交换间隔
30秒
30秒
有变动就交换
无变动2小时
路由表交换内容
全部路由表
全部路由表
更新过的内容
路由收敛时间
180秒
180秒
30秒
目前网络通信平台采用静态路由,随着后期网络规模的越来越大,可扩展为动态路由,如果采用动态路由,建议采用最短路由优先协议(OSPF)作为我院信息化网络平台IP网的域内路由协议。
4.QOS规划
(1)QoS介绍
随着Internet的迅速发展,Internet上不仅流量急剧增长,流量的特征也发生了很大的变化。
新型的网络应用系统(如实时多媒体应用,IP电话、VOD视频点播等)在网络带宽、延迟及丢包率方面有着不同的要求,这需要网络能够针对不同类型的业务提供服务质量(QoS)的保证。
但是,IP技术本身只能提供“尽力(best-effort)”服务模式,缺乏完善的QoS机制,无法适应计算机及应用系统多样化的要求。
现今的网络环境,要想真正改变网络的效率,更好的应用服务,就要实现端到端的QOS,相对于从数据帧在一进入网络时(接入层)就给它有针对性的做出不同优先级,分配不同带宽应用于服务,做到智能到边缘的网络结构,来更好的保证网络的运营。
(2)QoS的规划:
本方案交换机均拥有完善的QoS功能,能够提供传输品质服务。
你可以针对某种类别的数据流,为它赋予某个级别的传输优先级、标识它的相对重要性,并使用交换机所提供的各种分优先级转发策略、拥塞避免等机制为这些数据流提供特殊的传输服务。
配置了QoS的网络环境,增加了网络的性能可预知性,并能够有效地分配网络带宽,更加合理地利用网络资源。
本方案交换机的QoS实现以IETF的DiffServ体系为基础,因此可以与基于DiffServ体系实现的其它厂商设备实现QOS互操作。
DiffServ体系规定每一个传输报文将在网络中被分类到不同的类别,分类信息被包含在了IP报文头中,DiffServ体系使用了IP报文头中的TOS(TypeOfService)中的前6个比特来携带报文的分类信息。
当然分类信息也可以被携带在链路层报文头上。
一般地,附带在报文中的分类信息有:
携带在802.1Q帧头的TagControlInformation中的前3个比特,它包含了8个类别的优先级信息,通常称这三个比特为为UserPrioritybits。
携带在IP报文头中的TOS字段前3个比特,称作IPprecedencevalue;或者携带在IP报文头中的TOS字段前6个比特,称作DifferentiatedServicesCodePoint(DSCP)value。
在遵循DiffServ体系的网络中,各交换机和路由器对包含同样分类信息的报文采取同样的传输服务策略,对包含不同分类信息的报文采取不同的传输服务策略。
报文的分类信息可以被网络上的主机、交换机、路由器或者其它网络设备赋予。
可以基于不同的应用策略或者基于报文内容的不同为报文赋予类别信息。
识别报文的内容以便为报文赋予类别信息的做法往往需要消耗网络设备的大量处理资源,为了减少骨干网络的处理开销,做到了赋予类别信息在网络边缘进行实现
升级会员 