医院信息化建设技术建议书.docx
《医院信息化建设技术建议书.docx》由会员分享,可在线阅读,更多相关《医院信息化建设技术建议书.docx(49页珍藏版)》请在冰豆网上搜索。
医院信息化建设技术建议书
XX医院信息化建设
技术建议书
2016年10月
1.项目背景
XXX医院是一所集医疗、教学、科研为一体的现代化中西医结合的专科医院,由于医院业务快速增长,规划在XX市东部建立分院区,初期规划床位800张;需要依据新建分院建筑分布,楼层功能分布,信息节点分布、应用功能需求等情况建设一套符合XXX医院信息化办公的现代化数据交换网络,满足XXX医院现在及未来5-10年内的业务规划发展需要。
2.需求分析
根据XXX医院现有业务要求及物理建筑分布状态。
要求新建信息化网络符合以下几点要求:
1、要求网络分层、分区建设,便于以后网络扩容及新增。
2、新建网络涉及到有线与无线覆盖,要求内外网做逻辑隔离,可以灵活调整网络到网络、终端到资源的权限控制。
3、要求采用万兆骨干,千兆到桌面,保证数据交互的高带宽要求。
4、针对外网移动办公接入提供安全的专用接入点,便于移动办公人员接入到内网进行相应工作的开展及信息的获取。
3.建设目标
根据XXX医院上述几点建设需求及新建医院具体情况,结合相应医疗信息化网络的建网原则,提出以下建设目标:
1、新建园区包括一栋门诊楼,一栋住院楼。
门诊楼合计3层,每层15个诊室,每层60个信息点位。
住院部4层,共计800张床位。
门诊楼及住院楼根据各楼层信息点分布情况,建设有线网络。
2、网络主体采用核心层-汇聚层-接入层的三层网络组网结构,满足万兆骨干,千兆接入的建设标准。
3、针对服务器区域单独建设数据中心区域,数据中心区域放置汇聚层交换机,采用千兆接入,万兆上行。
4、考虑到无线医疗的应用需求,针对住院楼做重点无线覆盖。
要求楼层内移动实现零漫游。
门诊楼一楼大厅处(300人)、挂号区(2*150人)做无线覆盖,满足排队挂号及预约看病的无线上网需求。
门诊楼其他区域(楼长80m)根据楼层情况在走廊处做无线覆盖。
无线覆盖需根据场景选用合适的设备。
5、有线无线网络采用一张物理网络,不仅要满足内部办公需求,还要满足病患及家属的无线上网需求。
因此整体网络需要针对内部办公人员,采用基于IP、VLAN等方式进行内网及外网的隔离。
针对无线网络需要基于SSID划分用于内部无线医疗的专用Work网络及用于病患上网的Guest网络。
且在网路与网络间,网络与内部办公资源及外部网络资源需要有建设一套控制系统。
可对资源访问做灵活的权限控制及等级划分。
6、由于互联网的不安全性,需要在网络出口处部署防火墙等安全设备,做网络整体的安全防护。
7、由于公安82号令要求,针对公开性场所的无线网络接入,建设一套上网行为审计设备,对网内人员的上网行为做审计及记录。
8、针对在外出差或办公人员,建设VPN系统,提供专有的安全VPN通道满足移动办公的应用需求。
4.建设思想
1、由于本次XXX医院网络建设涵盖有线和无线覆盖,且有线和无线网络共用基础硬件,不做物理分离,因此建议采用华为敏捷网络有线无线一体化解决方案。
通过利用华为敏捷交换机的无线融合特性,即作为有线网络的数据转发核心节点,同时又做为无线网络的核心控制及转发节点,做到有线无线的深度一体化融合,不用再单独建设和部署两套网络,即减轻了运维人员压力,又提高了各层次设备的利用率,保证用户的资金投入。
2、由于无线网络的公开性及审计需求特性,建议对开放性无线网络采用基于短信的认证方式,确保网络接入的实名制原则,在网内出现发送或上传非法内容或言论时,结合上网行为审计设备,基于日志记录进行溯源。
3、考虑到内网安全性,在网路出口区域部署安全防火墙,对进出网数据流做安全检查及过滤,保护内部网络不受来自互联网的安全威胁及恶意攻击。
4、针对无线网络覆盖,结合应用场景采用不同的产品及组网方案,实现全网无缝无死角的无线覆盖,实现网内的任意无缝漫游。
针对住院部,由于其房间密集特性,又要求无线漫游的切换时间及无线信号的覆盖强度及稳定性,采用华为敏捷分布式无线覆盖组网方案。
通过中心AP+敏分单元的方式,单AP下可最多覆盖48个房间。
针对门诊大厅及挂号区的场景,属于高密覆盖场景,小范围内并发要求高,因此采用华为的高密型无线AP进行型号覆盖。
针对传统走廊的覆盖场景,则采用放装AP的方式在走廊吊顶处或墙壁处进行无线AP的安装,对走廊及相邻房间进行无线的信号覆盖,且通过统一SSID的方式实现楼层内及楼层间移动时的无缝漫游需求,保证信号连接的持续性及稳定性。
5、对于医院内部网络,针对不同部门,不同职级,资源类型,定义不同的安全及资源组。
结合华为敏捷网络的业务随行解决方案,做到业务随行,策略随身。
在初期进行策略及权限划分时,一键式全网部署,下发策略。
办公人员不论移动到医院内任何一个位置节点,不论是通过有线网络或者无线网络,都拥有一致的网络访问及使用权限,同时还可以基于角色进行接入带宽的分配及管控。
6、为保证网络的健壮性、可升级性及易扩容特性,网络采用模块化的三层网络结构建设,由于核心层的重要性,针对核心层采用双机冗余部署,结合华为CSS2集群方案,实现设备的横向虚拟化。
且快达21μs的跨板时延、高达320G的横向虚拟化带宽、N+1的主控备份方式、独立专用的集群网版,保证核心节点的可靠性及快速的数据交换特性。
7、为减轻运维人员的运维压力,建议采用华为敏捷网络的SVF全网虚拟化解决方案,实现从核心+汇聚+接入+AP的全网融合虚拟化。
全网设备虚拟化后对外呈现一个逻辑的管理节点,通过一个节点可实现整网设备的配置管理及业务下发。
汇聚及接入节点只相当于核心节点的一块普通业务板卡,AP经虚拟化融合后相当于核心节点的一个普通业务端口。
8、为便于无线及有线的可视化运维,在网络发生问题和故障时,运维人员能第一时间收到邮件或者短信提醒,并通过运维管理系统快速的定位鼓掌源头,依据相关修复建议实现网络的快速恢复。
特别是无线网络,通过一键式诊断,判断无线登陆失败节点的故障原因,极大的减轻了运维人员的工作压力,提高运维人员的工作效率。
5.XXX医院网络总体建设规划
5.1.网络规划拓扑图
5.2.基础敏捷网络建设规划
5.2.1.网络设计原则
医疗网络通常是一种用户高密度的非运营网络,在有限的空间内聚集了大量的终端和用户。
同时对于医疗网络而言,注重的是网络的简单可靠、易部署、易维护。
因此在网络中,拓扑结构通常以星型结构为主,较少使用环网结构(环网结构较多的运用在运营商的城域网络和骨干网络中,可以节约光纤资源)。
基于星型结构的园区网设计,通常遵循如下原则:
1、层次化
将网络划分为核心层、汇聚层、接入层。
每层功能清晰,架构稳定,易于扩展和维护。
2、模块化
将网络中的每个部门或者每个功能区划分为一个模块,模块内部的调整涉及范围小,易于进行问题定位。
3、冗余性
关键设备采用双节点冗余设计;关键链路采用Trunk方式冗余备份或者负载分担;关键设备的电源、主控板等关键部件冗余备份。
提高了整个网络的可靠性。
4、安全隔离
网络应具备有效的安全控制。
按业务、按权限进行分区逻辑隔离,对特别重要的业务采取物理隔离。
5、可管理性和可维护性
网络应当具有良好的可管理性。
为了便于维护,应尽可能选取集成度高、模块可通用的产品。
5.2.2.总体网络架构
网络的逻辑架构如下图所示,包括五大部分。
1、终端层
包含网内的各种终端设备,例如PC、笔记本电脑、打印机、传真、POTS话机、SIP话机、手机、摄像头等。
2、接入层
负责将各种终端接入到网络,通常由以太网交换机组成。
对于某些终端,可能还要增加特定的接入设备,例如无线接入的AP设备、POTS话机接入的IAD等。
3、汇聚层
汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层,扩展核心层接入用户的数量。
汇聚层通常还作为用户三层网关,承担L2/L3边缘设备的角色,提供用户管理、安全管理、QoS(QualityofService)调度等各项跟用户和业务相关的处理。
4、核心层
核心层负责整个网络的高速互联,一般不部署具体的业务。
核心网络需要实现带宽的高利用率和网络故障的快速收敛。
5、网络出口
网络出口是园区网络到外部公网的边界,内部用户通过边缘网络接入到公网,外部用户(包括合作伙伴、分支机构、远程用户等)也通过边缘网络接入到内部网络。
6、数据中心区
部署服务器和应用系统的区域。
为内部和外部用户提供数据和应用服务。
7、DMZ(DemilitarizedZone)区
通常公用服务器部署于该区域,为外部访客(非职工)提供相应的访问业务,其安全性受到严格控制。
8、网络管理区
对网络、服务器、应用系统进行管理的区域。
包括故障管理、配置管理、性能管理、安全管理等。
5.2.3.物理组网规划
核心区域建议采用网络出口、核心层、汇聚层和接入层的架构模型,具有如下的优势:
Ø层次化设计:
核心层、汇聚层、接入层,每层功能清晰,架构稳定,易于扩展和维护。
Ø模块化设计:
每一个模块一个部门,部门内部调整涉及范围小,定位问题也容易。
Ø冗余性设计:
双节点冗余性设计,适当的冗余性提高可靠性,过度的冗余不便于运行维护。
Ø对称性设计:
网络的对称性便于业务部署,拓扑直观,便于设计和分析。
5.2.4.网络出口规划
网络出口指医院接入广域网和Internet的出口,出口的主要功能是外部的互访,出差职工的访问。
Internet网络的安全性低、可靠性低、费用低,WAN安全性高、可靠性高、费用高。
为保证WAN/Internet链路的高可靠性,可申请两条链路,实现冗余备份,也可以WAN作为主用链路,Internet作为备份链路。
出口网关需要配置防火墙、IPS等,根据不同的安全性要求和投资规模选择安全部件。
5.2.5.核心层设计规划
核心层部署医院的核心设备,连接所有的汇聚交换机,转发各个楼层的流量。
核心层需要采用全连接结构,保持核心层设备的配置尽量简单。
核心层设备需要具有高带宽、高转发性能,否则将无法支撑医院内外部的业务流量。
核心层采用华为S12708敏捷交换机,使用CSS2(ClusterSwitchSystem)技术,将两台交换机从逻辑上整合成一台交换机。
这种技术支持主控1+N备份,集群系统中只要保证任意一框的一个主控板运行正常,多框业务即可稳定运行。
相对于传统业务口集群系统,每个框至少要有一块主控单元运行正常的限制。
通过集群+堆叠的无环网络方案保障网络可靠,再通过设备本身99.999%的电信级可靠综合保障校园网应用的稳定运行。
S12708敏捷交换机的业务板卡直接融合AC功能,可以对网络中的AP进行管控,实现有线无线深度融合接入、转发、管理。
5.2.6.汇聚层设计规划
汇聚层是部门的核心,转发部门用户间的“横向”流量。
同时提供到核心层的“纵向”流量。
对接入层隐藏核心层,作为网络的配线架,将大量用户接入到互联的网络中,扩展核心层设备接入用户的数量。
汇聚层需要双归到核心层并支持接入层的双归接入。
通常汇聚层承担着L2/L3边缘的角色,需要具有高带宽、高端口密度、高转发性能等特点,用于支撑该汇聚层下各部门之间的流量。
5.2.7.接入层设计规划
接入层是最靠近用户的网络,为用户提供各种接入方式,是终端接入网络的第一层,一般部署二层设备,归属到汇聚层交换机。
接入层除了需要部署丰富的二层特性外,还需要部署安全、可靠性等相关功能。
接入层需要具有高端口密度,以支持更多的终端接入网络。
接入层交换机使用iStack(IntelligentStack)技术,将多台交换机从逻辑上整合成一台交换机。
这样既简化了配置和管理,又提高了网络的可靠性和扩展能力。
5.2.8.可靠性设计规划
对于双设备、链路冗余的网络,如果接入层进三层,在接入层和核心层之间采用三层路由的方式,通过等价路径再辅助部署BFD(BidirectionalForwardingDetection)快速检测故障,就能够保证链路故障、设备故障的快速切换,同时也能够充分利用冗余链路。
更多的组网方式是在汇聚层进三层,这样就需要解决接入层和汇聚层之间二层流量的环路问题。
传统的方案是STP+VRRP的方案。
该方案通过阻塞某些链路的转发实现二层破环,虽然该方案采用了标准的协议,支持多个厂家设备的混合组网,但是其缺点也是显而易见的:
●收敛时间
传统的STP(SpanningTreeProtocol)技术收敛速度慢,在故障发生时,故障收敛时间>10秒;虽然采用RSTP进行优化,但收敛时间任是秒级,秒级的业务中断,会导致较差的用户体验。
●链路利用率低
如果同一机架内的服务器属于同一VLAN,则有一个上行链路的带宽无法利用。
带宽利用率只有50%;虽然MSTP基于VLAN进行优化,但不能从根本上解决问题。
●配置维护复杂,网络故障率高
每个接入交换机和汇聚交换机都需要运行STP协议,随着接入交换机的增加,交换机需要处理的STP也越来越复杂,会导致可靠性问题。
我们推荐采用集群+堆叠的无环网络方案来解决上面的这些缺陷。
核心采用两台框式交换机集群。
接入层采用盒式交换机,盒式交换机每两台堆叠。
接入层交换机和核心/汇聚层交换机间的链路进行链路捆绑。
这个方案有四大优势:
●简化管理和配置
首先,集群和堆叠技术将需要管理的设备节点减少一半以上。
其次,组网变得简洁不需要配置复杂的协议,如:
STP/SmartLink/VRRP等。
●快速的故障收敛
链路故障收敛时间可以控制在<10ms,大大降低了网络链路/节点的故障对业务的影响。
●带宽利用率高
采用链路Trunk的方式,带宽利用率可以达到100%。
●扩容方便、保护投资
随着业务的增加,当用户进行网络升级时,只需要增加新设备,而不需要更改网络配置。
平滑扩容,很好的保护了投资。
该方案极大提高了可靠性,以单链路故障率为1小时/1千小时为例,增加到两条链路,就可以将故障率降低到3.6秒/1千小时,可靠性从3个9提高到6个9。
可靠性的另一个重要方面是设备可靠性,核心区设备一般为框式设备,在可靠性方面的要求包括:
●支持主控单元的备份
●支持电源模块的备份
●支持模块化的风扇设计,支持单风扇失效
●支持所有模块的热插拔
5.2.9.安全性设计规划
核心层与网络出口部署防火墙设备,主要解决如下几个安全问题:
●网内、外网之间的访问控制,实现内、外网的安全隔离。
●分支与内网的访问控制,实现分支和内网业务的安全隔离。
●出差职工与服务器区的访问控制,实现出差职工与内网的安全隔离。
合作伙伴/访客与服务器的访问控制,实现合作伙伴/访客与内网的安全隔离。
5.3.远程访问规划
远程访问在网络最重要的两个场景,一个是与分支或总部的整体网络互联互通,一个是个体用户因为出差或者其他原因,需要在外网访问内网的资源或者办公系统。
VPN设备是一个非常具有性价比的安全解决方案。
其易用性,安全性在全球的各个行业环境中都得到了使用。
在本方案中,通过利用USG下一代防火墙的VPN特性,建设院区之间与提供外部用户安全远程访问的平台。
利用互联网的资源实现灵活VPN组网一般有IPSecVPN和SSLVPN两种方式。
IPSecVPN
IPSec(IPSecurity)是一组开放协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。
IPSec协议有两种工作模式:
隧道模式和传输模式。
在隧道模式下,IPSec将整个原始IP数据包放入一个新的IP数据包中,这样每一个IP数据包都有两个IP包头:
外部IP包头和内部IP包头。
外部IP包头指定将对IP数据包进行IPSec处理的目的地址,内部IP包头指定原始IP数据包最终的目的地址。
IP包的源地址和目的地址都被隐藏起来,使IP包能安全地在网上传送。
其最大优点在于终端系统不必为了适应IP安全而作任何改动。
隧道模式既可以用于两个主机之间的IP通信,又可以用于两个安全网关之间或一个主机与一个安全网关之间的IP通信。
在传输模式下,要保护的内容是IP包的载荷,在IP包头之后和传输层数据字段之前插入IPSec包头(AH或ESP或二者同时),原始的IP包头未作任何修改,只对包中的净荷(数据)部分进行加密。
由于传输模式的IP包头暴露在外,因而容易遭到攻击。
传输模式常用于两个终端节点间的连接,如客户机和服务器之间。
IPSec定义了一套用于认证、保护私有性和完整性的标准协议。
它支持一系列加密算法如DES、3DES;检查传输数据包的完整性,以确保数据没有被修改。
IPSec可用来在多个防火墙和服务器之间提供安全性,确保运行在TCP/IP协议上的VPN之间的互操作性。
SSLVPN
SSLVPN是以SSL/TLS协议为基础,利用标准浏览器都内置支持SSL/TLS的优势,对其应用功能进行扩展的新型VPN。
SSL协议最初是由Netscape公司开发,用于保护web通信安全。
到目前为止,SSLv3和TLS1.0(也被成为SSLv3.1)得到了广泛的应用,2006年IETF推出了TLS1.1协议(RFC4346),2006年IETF推出了TLS1.2(RFC5246)并在2011年对其进行了修正(RFC6176)。
随着SSL协议的不断完善,包括微软IE在内的愈来愈多的浏览器支持SSL,SSL协议成为应用最广泛的安全协议之一。
SSL协议分为两层,上层是握手协议,底层是记录协议。
SSL握手协议主要完成客户端与服务器之间的相互认证,协商加密算法与密钥。
在握手协议中,认证可以是双向的,协商密钥的过程是可靠的,协商得到的密钥是安全的。
SSL记录协议建立在可靠的传输协议之上,主要完成数据的加密和鉴别。
通过对称密码算法确保了数据传输的机密性,通过HMAC算法确保数据传输过程的完整性。
由此可见,SSL协议从以下方面确保了数据通信的安全:
认证-在建立SSL连接之前,客户端和服务器之间需要进行认证,认证采用数字证书,可以是客户端对服务器的认证,也可以是双方进行双向认证。
机密性-采用加密算法对需要传输的数据进行加密。
完整性-采用数据鉴别算法验证所接收的数据在传输过程中是否被修改。
除了web访问、TCP/UDP应用之外,SSLVPN还能够对IP通信进行保护。
在保证通信安全性的基础上,SSLVPN实现了更加细致的访问控制能力,大大增强了对内网的安全保护。
同时,SSLVPN通信基于标准TCP/IP,因而不受NAT限制,能够穿越防火墙,使用户在任何地方都能够通过SSLVPN网关代理访问内网资源,使得远程安全接入更加灵活简单。
另外,使用SSLVPN访问B/S应用时不需要安装任何客户端软件,只要用标准的浏览器就可以实现对内网Web资源的访问,省去了客户端的繁琐的维护和支持工作,不仅极大地解放了IT管理员的时间和精力,更提高了远程接入人员(如出差员工)的工作效率,节省了企业的培训和IT服务费用;同时,也意味着远程用户在进行远程访问时不会再受到地域的限制,不论是在公共网吧或是在商业合作伙伴那里,甚至是随手借一台笔记本,只要有网络,远程访问就没问题。
5.4.有线无线融合规划
传统网络中常见的无线部署方式有独立AC或插卡式AC,不管采用哪种,所有无线流量都要通过AC集中转发,有线和无线网络在转发和控制层面上是分离的。
随着802.11ac时代的到来和智能终端设备的普及,网络中存在手持智能手机、Pad、便携等多种设备高速上网,AC设备由于转发能力、端口各方面的限制将逐渐成为流量瓶颈。
因而有线和无线网络如果想要获得一致的使用和管理体验,不能仅仅依靠目前常见的AC插卡式整合部署的方式,还需要在此基础之上向深度融合演进。
在本部署方案中采用敏捷交换机12700的有线无线融合理念实现有线无线流量深度融合,具体包括:
融合转发:
敏捷交换机支持随板AC功能,有线无线流量都直接在交换机处理,报文转发行为一致,不存在AC集中后再通过有线转发的情况,消除无线流量瓶颈限制,整机转发能力能达到Tbit,学校不需要单独购买AC设备或者插卡,既解决了节省了投资又减少了故障点。
融合管理:
借鉴业界AC管理AP的成功经验,让敏捷交换机把接入层交换机也管理起来,有线无线采用一种协议,通过CAPWAP隧道实现一致的管理机制,实现接入交换机即插即用,降低信息中心老师日常工作中的管理复杂度。
5.5.业务随行规划
业务随行是敏捷网络中一种能够满足不管用户身处何地、使用哪个IP地址,都可以保证该用户获得相同的网络访问策略的解决方案。
在网络中,为实现用户不同的网络访问需求,可在接入设备上为用户部署不同的网络访问策略。
但随着企业网络移动化、BYOD等技术的应用,用户的物理位置以及IP地址变化愈加频繁,这就使得原有基于物理端口、IP地址的网络控制方案很难满足用户网络访问体验一致性的需求(譬如网络访问权限不随用户物理位置变化而变化)。
在传统网络中,当用户的物理位置发生变化时,为保证用户的网络访问体验一致,管理员需要在用户的每个接入设备上为其部署相同的网络访问策略,这在用户物理位置变更频繁时会给管理员带来巨大的工作量。
而在敏捷网络中,通过业务随行方案,管理员仅需在控制器上统一为用户部署网络访问策略,然后将其下发到所有关联的接入设备即可满足不管用户的物理位置以及IP地址如何变化,都可以使其获得相同的访问策略。
业务随行通过在网关设备上统一管理用户的访问策略,并且在网关设备和接入设备执行用户的访问策略,来解决网络中策略强度与复杂度之间矛盾的一种解决方案。
控制设备和接入设备之间使用CAPAndProvisioningofWirelessAccessPoints)通道建立连接。
并且,通过CAPWAP通道完成控制设备和接入设备之间的用户关联、消息通信、用户授权策略下发、用户同步等处理。
5.6.SVF全网虚拟化规划
传统网络多采用树状分层结构,分为核心、汇聚、接入三层,其中核心/汇聚层多采用横向集群,接入交换机数量庞大。
本部署方案旨在通过SVF超级虚拟交换网,将整个网络虚拟化为一台设备,实现将盒式交换机虚拟为核心敏捷交换机的板卡,将AP虚拟为核心敏捷交换机的无线端口,使得原来“核心/汇聚+接入交换机+AP”的校园网络架构,虚拟化为一台设备,整个网络成为“OneBox”,从而最大程度简化运维人员的日常运维工作,同时降低多协议应用下的网络配置、运行复杂度,提升网络可靠性。
5.7.用户接入认证规划
5.7.1.有线用户接入
(1)接入交换机配置端口隔离,每个接入交换机配置一个VLAN,VLAN编号可以重复。
(2)S12700做为用户网关,Portal用户上线到后DHCP服务器给用户分配IP地址,在通过认证之前用户只能访问认证前域的服务器,用户的第一个HTTP报文进行重定向到Portal服务器,实现WEB认证,认证通过后允许用户访问认证后域。
(3)S127作为用户网关,1X用户直接到第三方AAA服务器进行用户名和密码认证。
(4)有线用户的互访都需要通过S12700进行流量转发。
5.7.2.无线用户接入
S12700内置硬件随板T-bitAC,并支持统一用户管理功能,更敏捷地实现了丰富的业务特性。
S12700内置硬件随板T-bitAC,可节省用户额外购买AC硬件的费用。
此外,S12700内置硬件随板T-bitAC突破外置AC处理性能的瓶颈,从容面向高速无线时代。
S12700支持统一用户管理功能,屏蔽了接入层设备能力和接入方式的差异。
S12700不仅支持802.1X/MAC/Portal等多种认证方式,还支持对终端进行分组/分域/分时的管理,使终端、业务可视可控,实现了从“以设备管理为中心”到“以用户管理为中心”的飞跃。
交换机配套X1E接口板,可以部署WLANAC功能,集中管理大量的AP,对海量用户提供Wi-Fi接入服务。
AC通过CA
升级会员 