浙江省卫生系统业务专网规划电信IP增量台州Word文档格式.docx
《浙江省卫生系统业务专网规划电信IP增量台州Word文档格式.docx》由会员分享,可在线阅读,更多相关《浙江省卫生系统业务专网规划电信IP增量台州Word文档格式.docx(26页珍藏版)》请在冰豆网上搜索。
要实现上述政策文件和客观实际业务需求的要求,从业务需求上分析,我省卫生系统需要有联接各医疗机构的网络,该网络必须是与互联网是隔离的,安全性高和传输稳定的,可实时扩容的,可承载多业务的业务专网。
卫生系统业务专网还应具有以下优势:
1、简单高效、减少费用。
以新农合直报系统为例,浙江有80多个新农合机构,单点直连每家医院需80多条线路,如果100家医院就要8000多条线路。
如果建立卫生业务专网,每个医疗机构和新农合机构连接只需一根线路,共80多条。
可以节省大量费用。
2、一网多用,避免重复建设。
以浙江省人民医院为例,目前与其他机构的网络线有14条,分别是省医保、市医保、萧山医保、余杭医保、富阳医保、德请医保线路6条,望江山院区、滨江分院2条,省委党校、省工商、金色年华、中国美院医务室4条,省卫生厅、老干部局2条。
各条线路都是独立传输单一数据。
如果这些应用可以通过整合,合并在一个业务专网上,避免了重复建设,节约了资金。
3、便于拓展,简捷方便。
今后有新的应用,如各医疗机构之间信息互通,没有加入专网的机构只需申请加入,即可共享网内资源。
随着应用的增加,如果传输速度不够,只需申请增加带宽。
基于公共卫生服务需求、卫生行政管理和卫生信息化发展需要,根据国家的具体要求和浙江省的实际情况,在保障网络安全性和网络传输高效稳定的前提下,经过我厅三年的具体实践,通过省级医院新农合出院直报、门诊预约挂号、健康档案跨区调阅和医疗机构之间信息共享的具体行业运用的实践工作,对比传统树形网络拓扑组网方式,多种应用多点接入,核心节点不通全网瘫痪的缺点,决定采用MPLS-VPN技术来建立我省卫生系统业务专网,特制定《浙江省卫生系统业务专网建设方案》(下文简称《专网建设方案》)。
本《专网建设方案》为专网建设提出了网络架构定义,制定了各地区、各类别的IP,规范了专网管理相关流程,为实现全省卫生机构实现网络互联互通提出了规范性文件,为国家区域卫生信息化建设提供网络建设的战略性参考文件。
二、建设目标
建立基于MPLS-VPN技术的卫生系统业务专网,可简化网络拓扑结构、方便接入单位网络管理、降低接入费用。
在统一的网络平台上可以实现不同机构、不同行业应用之间的受控互访和隔离。
基于MPLS-VPN技术的卫生系统业务专网平台能够平滑扩展以及承载更多的业务系统,实现“一网多用”。
满足实际工作中以需求为指导,业务运用逐步扩展的状况,我省卫生系统业务专网的建设目标:
1.省市县纵向覆盖;
2.各级单位横向连接;
3.使用单位单点接入;
4.行业运用逐步扩展。
基于MPLS-VPN技术的卫生系统业务专网,与传统组网方式相比较,其优势明显,主要表现在:
1、单点接入,方便管理。
每家接入单位,只需管理一个接入点,管理一条专线,与一家网络服务运营商协调。
2、一条专线,费用降低。
传统的工作模式,每增加一个行业应用,增加一条专线,专线利用率不高,费用却逐条增加。
3、单点联接,全网通讯。
理论上,业务专网中的每个节点,在不增加网络设备和网线联接的情况下,可与网中的任何一节点进行通讯。
4、一个专网,承载多种应用。
全省卫生系统内单位接入后,在这个相对封闭的网络环境下,各单位、各行业应用系统之间可交叉进行数据交换和信息共享,承载多种业务应用。
5、可片、线管理,网中组网。
随着接入单位和行业应用的增长,专网可按照条线管理模式、区域划分、行业应用使用范围来规划子网,方便管理。
我省卫生业务管理和业务系统分级管理示意图:
省级健康档案、业务数据中心
市级健康档案、业务数据中心
区县健康档案、业务数据中心
区县行政部门、数据中心
以MPLS-VPN技术组建的卫生系统业务专网,可利用扁平的网络实现数据平行交换和分组业务管理,业务专网的网络拓扑结构示意图如下:
三、与现有网络整合
我省卫生系统各地市的信息化发展不平衡,有些地区以区域卫生信息化为牵引,以行政管理为手段,以服务公众为目的,建立了管辖区内的业务专网,承载区域内的各种业务系统和数据交换功能。
为节约专网建设投入,保护现有信息化投资效益,省级业务专网可用以下几种方式与现有建成的网络进行联接。
(一)与地市级业务专网联接
若地市区内已建设了辖区内业务专网,为保护现有网络投资,减少网络建设工作量和资金投入,不管原专网是哪家网络运营商,可以在已建业务专网的核心节点前端,部署一台CE设备,联接到卫生系统的业务专网中。
以舟山为例,该地市已经在本地市范围内组建了一张专网,因此我们可以在该专网的核心节点,设置一台CE,接入到卫生系统业务专网,可采用以下组网方式。
见下图:
采用此种模式,对网络中PE与CE的链接不涉及与其它电信运营商互联,对整个网络出口无影响。
(二)大型单位组网方案
组网方式一示意图
浙江省卫生系统业务专网
PE
Firewall
汇聚交换机
组网方式二示意图
在出口处配置一台汇聚交换机作为CE设备,对不同应用,如果有必要,可以划分不同VLAN,配置不同的IP地址段,以区分、隔离不同的业务。
对于较大型网络的,可以考虑采用方式一组网,以便分级管理。
考虑安全因素,对较大型的单位可以在网络出口处设置防火墙,以充分保证网络的安全。
(三)小型部门单位接入组网方案
CE
小型部门单位组网示意图
对于较小的单位接入,CE设备可以采用小型路由器或交换机,并且应在终端上装杀毒软件,防火墙软件等保证安全;
同时要求做到专机专用,专机上不要轻易使用移动存储设备,不允许接入其它网络。
四、IP地址规划原则
IP地址是整个网络系统运行的基石,IP地址规划不仅应该满足当前的需求,还应该充分的考虑系统将来的扩展性。
因此,本方案遵循的原则如下:
实用性。
保证网络结构和网络运行的稳定性,必须保持IP地址的唯一性。
标准性。
采用国际互联网标准RFC1918规定的私有地址网段,保障网络的互连互通。
安全性。
通过MPLSVPN专网的加密、防DDos等技术手段,确保各类业务数据在网络运行中的安全保障。
扩展性。
适应医疗卫生系统的应用需求,具有灵活的扩展能力。
可管理性。
易于管理、维护,明确网络分级管理与维护的责任。
五、IP地址算法与规划
卫生系统各类单位的CE设备(路由器、交换机、防火墙)分别与当地电信部门的PE设备相连。
IP地址规划包含用户地址和互联地址两部分。
首先按地市进行大段划分,然后再细分到县(市、区),最后按类别分配具体的IP地址段。
(一)用户地址
卫生系统用户地址分配算法如下:
首先以地市划分,省厅加上11个地市共12个地域各需要分配一个B类地址段,详见下表:
地区规划地址段每段掩码
厅直属10.10.0.0-10.10.255.255/16位
杭州10.171.0.0-10.171.255.255/16位
湖州10.172.0.0-10.172.255.255/16位
嘉兴10.173.0.0-10.173.255.255/16位
宁波10.174.0.0-10.174.255.255/16位
绍兴10.175.0.0-10.175.255.255/16位
台州10.176.0.0-10.176.255.255/16位
温州10.177.0.0-10.177.255.255/16位
丽水10.178.0.0-10.178.255.255/16位
金华10.179.0.0-10.179.255.255/16位
舟山10.180.0.0-10.180.255.255/16位
衢州10.170.0.0-10.170.255.255/16位
地市所辖各县区(包括地市市本级)包含16个C类地址,第一个C类地址从所在市IP地址段的第三字节开始,根据《中华人民共和国行政区划代码》排序(市本级为0)×
16,依次累计。
如舟山市市本级为10.180.(0×
16).*——10.180.15.*;
舟山市普陀区为10.180.(1×
16).*——10.180.31.*。
然后在地区范围内按接入单位类型划分,目前包括卫生局、新农合、疾控、监督、医院5类,除卫生局单位子网掩码为26位,IP地址分配64个外;
其余每类单位子网掩码为27位,IP地址分配32个。
如舟山市卫生局为10.180.0.0/26,舟山市疾控中心为10.180.0.64/27,舟山市卫生监督所为10.180.0.96/27,舟山市新农合办为10.180.0.128/27,舟山市医院类单位从10.180.0.160/27——10.180.15.224/27(共124个医院接入点)。
IP地址的扩展性:
以所辖的县区最多的杭州市为例,保留32个C类地址,以单位子网掩码为27位的算法计算,因此还预留256个接入点待扩展。
(二)互联地址
用户CE设备及电信网络接入PE设备分配算法如下:
(1)CE设备IP地址:
为所分配IP地址段的第一个IP地址,如舟山市卫生局CE设备IP地址为10.180.0.1。
(2)PE设备IP地址:
为所分配IP地址段的最后一个IP地址-1,如舟山市卫生局PE设备IP地址为10.180.0.62。
全省IP地址规划表详见附录IP地址规划表。
六、安全管理
(一)技术安全管理
因为MPLS-VPN具有以下技术安全特点:
一地址空间和路由独立;
二隐藏MPLS核心网,不会暴露任何不必要的信息给外界;
三攻击防范,直接实施对某一VPN的攻击几乎不可能,只能通过MPLS核心网实现;
四拒绝标记哄骗,数据包转发是依据PE路由器所附加的标记来完成的,而非目标IP地址。
从以上特点可得出,MPLSVPN都可以达到与ATM、帧中继同样的安全程度。
但是,仅靠MPLS的自身技术安全性还不足以让人放心。
对SP来说,采取附加措施保护MPLS核心网安全非常重要。
首先要考虑以下因素。
1、可信任设备:
PE及P路由器、远程访问服务器、AAA服务器等,都必须被看作可信任的系统,这需要非常强大的安全管理,包括物理安全系统及访问控制列表、安全配置管理等等。
而CE路由器不属于SP的管理范围,被视作不可信任系统。
2、CE/PE接口:
PE和CE路由器之间的接口对于MPLS网络的安全来说至关重要,PE路由器的配置应尽可能严密。
从安全角度讲,最好将CE路由器配置为非指定IP地址,并使用静态路由。
但考虑到应用的交互性,本规范中CE路由器配置为指定IP地址。
3、防火墙:
有条件的单位可以CE端架设硬件防火墙。
(二)日常安全管理
为保障卫生系统业务专网的安全,在日常运行中,网络承建方和使用单位有义务承担专网的安全管理工作:
1、网络承建方为客户电路提供24小时不间断主动监控,发现问题,主动维护。
2、使用单位需专人负责专网管理,不得私自在专网上运行未在省卫生信息中心备案的应用系统。
3、使用单位不得私自把其它网络桥接到业务专网。
4、使用单位需承担CE端内的相关安全策略设置、相关设备安全管理、系统补丁升级等工作,保护自己就是保护专网。
(三)故障报维管理
当使用单位发现电路故障时,可以采取以下步骤申报故障:
1、准备好电路编号(在首次开通时,电信贴在电路接入点标签上),电路编号形式如杭州CTVPN52967A。
2、拨打10000+9(建议首选)。
3、拨打客户经理联系电话,请客户经理协调处理。
4、如果是政企大客户,可以拨打相应的客户工程师联系电话,协调处理。
5、如果是电信集团级大客户,可以拨打8008281000进行故障申告。
6、客户设备(如路由器、交换机及电脑终端)需要客户自行维护。
七、管理流程
我省卫生系统业务专网,是一个涉及多单位,承载多业务应用的专网,为保障网络有序运行,管理到位,对网络的接入、退出,新业务应用的运行都必须遵循以下流程。
(一)接入申请流程
审阅材料
申请单位
省卫生信息中心
没通过
通过
省电信公司
本流程涉及两个函,一是《关于接入浙江省卫生系统业务专网的申请函》(接入业务专网申请函),二是《关于开通浙江省卫生系统业务专网接入点的联系函》(接入业务专网联系函),详细请见附录。
(二)业务应用备案流程
备案
入库管理
未通过
应用使用单位
本流程涉及《浙江省卫生系统业务专网应用系统备案表》(应用系统备案表),详见附录。
八、投资与效益
本卫生系统业务专网的发起单位是浙江省卫生信息中心,全省卫生系统单位为参与者或使用者。
卫生系统业务专网各接入单位即是投资主体,也是受益者,各自承担自身的网络通讯费用。
目前,中国电信浙江公司给出的报价如下:
接入速率
元/月
初装费/点
2M
1250
3500元
10M
2250
100M
3750
卫生系统业务专网建成后,其“一网多用”的特点,将有利于卫生系统内单位和行业应用系统之间的数据交换;
有利于建立基于居民电子健康档案为核心的省、市、县三级数据中心平台;
有利于整合现有资源提供高质量的公共卫生服务;
有利于打破传统的点、线管理和“电杆型”信息系统孤岛,加速行业数据融合,提高行业整体水平。
一条专线,解决接入单位的所有应用系统数据交换网络问题,不仅有利于管理,提高工作效率,还可以节约网络成本,减少经费支出,具有良好的经济效益。
八、附录
接入专网申请函
关于接入浙江省卫生系统业务专网的申请函
浙江省卫生信息中心:
依据《浙江省卫生系统业务专网建设方案》和我单位实际工作需要,我单位申请接入浙江省卫生系统业务专网,并承诺:
1、严格遵守《浙江省卫生系统业务专网建设方案》中的管理规定;
2、承担因我单位原因引起的法律和经济责任。
附件:
浙江省卫生系统业务专网申请表
XXXXXXX单位(盖章)
二○一年月日
单位信息
单位名称
单位地址
通信地址
邮政编码
单位类型
A卫生局B.疾控中心C.卫生监督所
D.新农合E.医院F.其他()
联系人信息
联系人
姓名
电话
传真
网络
负责人
手机
职务
EMAIL
单位网络技术信息
接入地点
入网用途
申请带宽
M(可选:
2M,4M,10M,100M)
主机数量
台(拟入网的计算机)
租期
年
申报单位意见
意见:
领导签字:
(单位盖章)日期:
年月日
浙江省卫生信息中心处理意见
收到时间
年月日
受理人
处理意见:
接入专网联系函
关于开通浙江省卫生系统业务专网接入点的联系函
中国电信浙江公司:
依据《浙江省卫生系统业务专网建设方案》和实际工作需要,我省卫生系统单位申请接入浙江省卫生系统业务专网。
费用由申请单位承担,请贵公司大力支持!
浙江省卫生系统业务专网接入技术参数表
网络技术信息
CE所在城市
接入电路类型
Ethernet
CE端速率
要求完成时间
CE端口类型
RJ45
PE-CE路由方式
静态/BGP
CE端口互联IP地址
PE端口互联IP地址
用户LAN网段地址/子网掩码
电路开通回执表
接入单位
开通时间
电路编号
电信联系人
客户经理
联系电话
技术联系人
请传真到申请单位和省卫生信息中心:
87709174。
退出专网申请函
关于退出浙江省卫生系统业务专网的申请函
我单位“电路编号XXXXXXX”的浙江省卫生系统业务专网接入点,因原因,现申请退出,请批准!
退出专网联系函
关于注销浙江省卫生系统业务专网接入点的联系函
我省卫生系统单位,电路编号为XXXXXXX的浙江省卫生系统业务专网接入点,申请注销。
请贵公司及时关闭电路。
应用系统备案表
浙江省卫生系统业务专网应用系统备案表
备案单位信息
(盖章)
应用联系人
EMAIL
应用系统信息
应用名称
绑定IP
数据交换
□实时□非实时
数据交换占用速率
应用服务对象
应用使用对象
应用涉及单位
□卫生局□疾控中心□监督所□医院□新农合办□血液中心□其它
应用涉及现有系统
应用功能描述
开发公司信息(涉及多家公司时可扩展)
公司名称
通讯地址
邮编
IP地址规划表
地区
单位
直属
卫生厅
10.1.1.1
10.1.1.254
10.1.1.0/24
省疾控中心
10.10.3.1
10.10.3.254
10.10.3.0/24
省卫生监督局
10.10.4.1
10.10.4.254
10.10.4.0/27
血液中心系统
10.10.5.0/27-10.10.11.224/27
浙医一院
10.10.1.33
10.10.1.62
10.10.1.32/27
浙医二院
10.10.1.65
10.10.1.94
10.10.1.64/27
省人民医院
10.10.1.1
10.10.1.30
10.10.1.0/27
浙江医院
10.10.12.65