1、业务需求分析通过建立、健全医院信息系统,加强以电子病历为核心的医院信息平台的建设,满足以下业务需求:(1) 规范医院的财务管理,加强财务核算,改善医院收支状况。(2) 加强医疗质量过程管理,减少医疗差错,提高医疗质量,保障医疗安全,增加病人的满意度。(3) 优化整合医院的业务流程,提高工作效率;标准化医院的业务流程,提高工作质量。(4) 加强各类业务数据的采集、传递、存储和使用管理,促进医院内信息共享,并为实现未来的医疗信息的区域共享打下基础。2、整体架构设计方案建议县级医院网络采用内外网分离的网络架构设计,就是指将医院的内外网分别建设,两网物理隔离。内网主要承载医疗核心业务,如HIS、LIS
2、、PACS和计价系统等。外网作为行政办公、对外发布、互联网医学资料查询的主要平台,对于稳定性和保密性的要求低于内网,并且接入终端及数据流特点也更为复杂。内外网无共用设备和链路,两网之间互不影响。此种网络架构设计,能够最大程度保证内网安全。根据医院的规模(床位数,门诊量,工作站数量以及软件系统的数量)列出三种典型的网络硬件系统部署,分别针对大型、中型和小型医院。大型医院信息系统服务器与存储系统部署方案1、 HIS、EMR、LIS等关键业务系统,医院的服务器可采用X86架构服务器或小型机,操作系统应为Windows Server、LINUX、UNIX等主流操作系统,有条件的医院可采用双机集群方案。
3、2、 PACS/RIS、以及超声、病理、心电等影像系统相对比较独立,医院可以单独进行部署,影像系统的服务器通常由数据库服务器、应用服务器等组成,有条件的医院可采用可将PACS主数据库服务器部署为双机模式。3、 其他各种应用和管理类服务器一般采用X86架构PC服务器,主要有中间件(双机)、集成平台(双机)、网络管理、备份管理、终端桌面管理、防病毒管理、域控制器等等。4、 医院信息系统是支撑医院基本业务开展的基础应用系统,因此有条件的医院应部署门急诊应急服务器,当在线系统故障时,临时启用应急系统。5、 医院信息系统与外部网络的连接相当广泛,主要分为两部分:一是与专网连接的部分,例如医保系统、新农合
4、系统等,这些系统的接入应部署前置服务器;二是与公网连接的部分,例如门户系统、OA系统、短信平台等,这些系统的接入应部署相应的服务器。中等规模医院信息系统服务器与存储部署方案1、 HIS、EMR、LIS等关键业务系统,医院的服务器可采用X86架构服务器,操作系统应为Windows Server、LINUX等主流操作系统,有条件的医院可采用双机备份或集群方案。2、 中型医院对各类外部业务系统的接入,如医保、新农合等,应部署前置机。对于OA系统服务器各医院可以根据自身情况选择部署在内网或DMZ区。3、 医院信息系统是支撑医院基本业务开展的基础应用系统,因此有条件的医院应部署门急诊应急服务器,当在线系
5、统故障时,临时启用应急系统。小型医院信息系统服务器和存储部署方案1、 小型医院的服务器,可采用单机或双机模式。服务器可采用X86架构服务器,操作系统应为Windows Server、LINUX等主流操作系统。2、 根据需要会有一些前置服务器,比如社区EHR接入、医保、新农合等等。 3、 小型医院的信息系统应有备份机制,应采用本地和异地备份策略。3、网络基础建设整个网络采用扁平化设计理念,分成核心层、汇聚层、接入层、服务器、存储网络。整个网络的建设方案示意图如图1所示: 外网接入层:接入层采用华为USG5000系列高端UTM防火墙,不但具有路由器的特性,同时可以满足高安全、高可靠的要求,通过接入
6、层接入到Internet环境。 核心层:核心层采用华为S9300高性能三层交换机,启用三层转发功能,和汇聚层设备运行路由协议,并提供冗余链路,使得整个网络的路由交换运行无阻。同时内外业务资源、一些重要的终端可以直接接入到核心层,满足高性能的要求。 汇聚层:汇聚层采用华为S5700高性能汇聚交换机,对接入层提供二层接入,对核心层启用三层转发。同时可以提供QinQ技术,可以很好的满足终端灵活接入的要求。 接入层:接入层由S2700二层交换机、无线接入交换机等接入设备构成,可以满足不同终端的接入要求,提供的QinQ技术保证了每端口每VLAN的设计,在终端管理上提供了良好的技术保证。3.1、 数据中心
7、接入方案数据中心、服务器、业务系统等采用独立的华为S5700交换机接入到核心层,构建三层交换网络,这样的结构有助于业务系统的稳定运行,具体组网图需要根据实际情况修改。业务接入系统的网络拓扑图所示,对于服务器、网管终端等采用独立的交换机接入到核心层,构建一个独立的三层交换网络。这样可以更进一步保证这些重要的业务系统的网络可靠性,同时采用独立的防火墙隔离,可以很好的保证业务安全。3.2、 高可靠的网络模型高可靠的模型是根据组网方案来统一考虑的,主要的高可靠的手段有:A/B双平面、双机模式、主备模式、链路冗余、设备结构冗余等。高可靠的组网模型 核心网络采用双平面组网,可以最大程度上保证网络的100可
8、靠。 核心设备采用双引擎设计,汇聚层采用双归属主备链路。 网络设备秉承华为公司电信级可靠性设计理念:单板热插拔、电源冗余、风扇热插拔等。3.3、 接入层网络隔离在接入层必须对必要的业务划分VLAN,VLAN划分的方法可以基于端口、基于用户的业务等。根据用户的实际情况更改。图1 接入层VLAN划分组网示意图 华为系列接入交换机具有灵活的VLAN划分方法; 可以有效的防止ARP等二层攻击; 同时华为交换机支持QinQ技术,可以突破4K个VLAN的限制,为将来网络的合理改造以及扩容打下坚实的基础。采用QinQ技术可以提供每用户每VLAN的组网方式,将VLAN终结在核心层上。在行业网中此类方案现在应用
9、较少,可以做交流性尝试,我司的灵活QinQ在业界具有绝对领先的优势。图2 采用QinQ技术隔离终端QinQ技术采用嵌套VLAN技术,突破了4K VLAN的限制,无论何种接入设备都可以满足整个网络可靠性、安全的设计,同时每个终端一个VLAN的设计方式保证了二层方式的终端是隔离的,防止了广播风波、ARP病毒等对局域网危害很大的不安全因素的蔓延。采用这种方式的组网可以大大提高整网的可靠性和安全性,使得网络对二层设备的依赖降低,并且有助于降低建设成本,因为所有的终端访问都必须经过汇聚交换,这样的网络设计非常方便网络的管理、控制,避免因为流量的过渡分散造成的安全失控。二、医院数据中心解决方案伴随着信息化
10、技术的飞速发展,医院信息化步伐也不断加快,IT资源的应用和管理模式正发生着深刻的变革,将逐步从独立、分散的功能性资源发展成以数据中心为承载平台的服务型创新资源。顺应趋势,各级医院通过建设集中的数据中心获取高效、专业的IT资源及高可靠服务,进而可以更加专注于自身业务的创新与发展。然而,在各种网络及自营数据业务快速增长的同时,数据中心规模和复杂性也不断增加;资源紧缺、能耗高、运营管理效率低等问题日益突出,严重制约医院信息化建设的发展。如何降低TCO、提升运营管理效率、增进业务创新能力成为医院面临的严峻挑战。华为丰富的ICT融合经验和领先的技术创新理念,提供面向服务的绿色数据中心解决方案,帮助医院解
11、决数据中心面临的高成本、低效益问题,建设业务发展的重要战略信息平台,构筑卓越绩效的基石。2、解决方案华为医院数据中心解决方案全貌“面向服务的绿色数据中心”是华为全面集合自身优势资源,贴近医院客户需求,基于业务视角开发的端到端医院数据中心综合解决方案。方案引入模块化设计理念,以绿色节能为核心,综合运用机房热管理和IT虚拟化技术,应用自动化运营管理平台,全面助力客户构建可运营、可维护、可扩展的业务增值与创新中心。方案分为以下主要方面:前期咨询:方案咨询、项目规划与设计服务 。中期建设:机房建设、IT架构集成、业务开发和综合运营管理平台建设服务。后期运维:专业维保服务,长期战略性业务创新合作。商业咨
12、询服务华为领先的IT解决方案供应商,长期的积淀铸就了我们对行业的深刻理解,形成了完善的商业咨询体系、高效的商业咨询流程与方法论;同时具有大量资深商业咨询专家和丰富的数据中心建设、运营和业务咨询经验,可为客户提供一流的咨询服务,带来独特的商业价值。华为可以帮助您评估当前医院IT系统现状与未来发展需求,提供全面、专业的数据中心建设方案或改造建议,让您清晰把握未来趋势,利用新技术、新的IT管理理念构建医院面向服务的下一代绿色数据中心。集成交付方案针对数据中心建设中面临的设备复杂、差异性强、厂商众多、交付维护困难等问题,华为提供端到端的总集成和一站式交付方案;同时与业界著名厂商深入合作,提供强大的数据
13、中心基础设备和软件应用整合服务。华为在全球7大片区设立合作分部,100多家区域级战略合作伙伴,300多家SP/CP合作伙伴,拥有全球化的集成交付资源和数据中心集成服务经验,可为客户提供从规划、设计、建设到运维全方位的集成服务和快速的响应交付,降低建设成本。3、方案特点华为医院数据中心解决方案主要侧重于对医院建设数据中心平台的思路提出整体建议,最终保证数据中心的高性能、安全、可靠。从而使数据中心能承载更多高品质的业务,提升医院的品牌,提高业务运行效率,提升体验,创造更高的价值。华为IT技术集成整合能力。整合不是简单将各个产品集成在一起。医院数据中心项目集成中的每一个解决方案都经过在联合实验室的反
14、复测试,确保每一项承诺建立在可靠的实际经验基础之上。华为在数据中心IT基础设施集成领域具有高水平的服务解决方案团队,服务的理念贯穿始终,从项目的前期咨询规划到项目的实施建设以及到项目验收的运营维护,我们提供整套的解决方案。华为有着完善的本地化服务支撑体系,能够充分保证医院客户在任何时候的任何需求都能得到充分的响应;我们持续跟踪用户需求,并借助多年高可靠级业务的开发管理经验,为医院提供及时有效的、符合实际需求的服务,并且及时响应需求,根据最新需求提供适应的解决方案,为各级医院提供实实在在的服务。三、医疗业务连续性方案对于医疗行业来说,患者的各种数据是现在以及未来医疗行业充分服务于患者的基础之一,
15、保护数据并加以合理的利用已成为未来医院发展的关键因素。对已有数据进行集中存储与分析,有助于对病因、病情进行分析,快速有效处理各类紧急情况,提高患者的满意度并帮助医院占据更有利的竞争位置。因此,数据的集中管理与灾备成为医疗信息管理的关键任务。HIS、LIS、PACS等应用系统对于医院中正常业务开展极其重要,任何的系统停机或数据丢失轻则降低患者的满意度、医院的信誉丢失,重则引起医患纠纷、法律问题或社会问题。为了保证系统的高可用性,医院的重要应用系统应该建设成一个724不停机的应用系统,在确保本地业务连续性和数据可用性同时,我们还应对关键重要医疗数据和科研数据实施异地容灾,使医疗系统的数据得到更高级
16、别的保护。针对医疗业务连续性需求,华为提出了以下建设方案:一、 首先,实现集中存储,采用高性能存储设备在医疗中心实现本地数据的集中存储,同时在院内容灾机房部署一套磁盘阵列,避免产生系统的单点故障,采用专业存储容灾设备Oceanspace VIS6000,将医疗中心机房中关键数据通过镜像技术,传输到院内容灾机房,实现关键数据冗余保护。其次,为了实现医院信息系统7X24提供持续服务,对于医院的应用系统HIS、LIS、PACS及后台数据库服务器安装集群软件,可以配置成多点集群方式,业务集群系统主要负责灾难发生时应用系统的切换,结合容灾镜像数据,能够满足医院对业务连续性的需求。第三,为了满足医疗数据更
17、高级别的灾备需求,可以将院内容灾磁盘阵列的数据通过远程异步复制功能,复制到远程灾备机房的磁盘阵列中。当本地医疗中心发生设备级灾害时,利用远程保护的数据,可以在尽可能短的时间内恢复应用系统的运行。提高存储效率,统一管理 通过存储容灾设备构建的容灾系统,解决了统一容灾的问题,不需要单独为不同的应用系统单独构建容灾,基于统一的平台为不同的应用和不同的存储提供相同的容灾。整个系统可以统一管理。高可靠性和高扩展性, 提升IT的投资价值 对于整个系统中的关键链路,关键的设备,均采用冗余的设计方式,切实保证在发生任何一个单点故障时,均不会影响整个灾备系统的运行,提高了灾备中心的保护级别,使灾备中心真正成为可
18、信赖的数据保护基地。Oceanspace VIS6000保证了设备的冗余性,为IT系统构建了一个标准、开放、统一的容灾平台。随着数据中心业务的扩展和技术的发展,Oceanspace VIS6000可进行节点上的增加,可扩展至8节点,同时由于Oceanspace VIS6000的模块化接口设计,保证业务扩展时IT系统的平滑扩展。多种保护策略,提供周全保护 在本地,数据可以在存储资源池中自由流动,不再是多个SAN孤岛,解决数据迁移的难题,资源池中的各阵列还可实现互相之间的热备,保证存储业务的连续。异地的远程复制策略多元化,可支持同步、异步和周期三种复制模式,每一种复制模式均可以有效保证数据的一致性
19、,为数据中心提供周全的保护。四、HDP一体化存储备份解决方案在业内专业技术网站eNet硅谷动力上,一篇国内存储市场2010年十大应用前景发展预测 的文章中对于2010年一体化存储设备的在国内的前景给出了自己的预测。文章指出历年来,采用存储设备提供备份方案一直局限于基于存储介质的保护方案上,如NetApp等厂商倡导的快照或CDP等。但基于存储介质的保护方案需要用户进行存储整合,这将大大提高项目实施难度,尤其是中高端用户通常都有较成熟的数据中心,为了备份而进行存储整合真是牵一发而动全身,所以一直不能大规模被用户广泛采用。而对于一体化存储备份设备,文章也认为基于主机备份方案的一体化存储设备设备,预计
20、2010年在中国市场将广泛流行起来。行业特点随着国家的改革开放,国民经济水平的不断提高,对医疗水平的要求也不断提高,人们的保健意识不断增强。而医疗行业的信息化建设经过了几个阶段的发展,逐渐形成了HIS、LIS、RIS以及PACS等众多内容丰富、功能强大的应用软件。随着应用软件的运行时间逐渐延长,功能逐步增强,医院数据的价值也越来越大。因此,如何保护医院信息系统的数据并加以合理的利用成为了未来医院发展的关键因素。为保证信息系统数据的可用性和可靠性,各级医疗机构都需要对其信息系统数据进行集中管理与备份,以保证信息系统数据的安全可靠。分析需求在医院信息化发展和成熟的过程中,许多医院已经完成了业务系统
21、和基础设备的构建,但可能由于某些客观的原因(人员变更、系统更换、设备升级),业务系统很难拥有一个长期和统一的规划。因此针对不同的业务系统或者不同的数据库,可能采用不同的方法来保证数据的安全,而对于这些备份后数据的管理,则需要管理者投入更多的精力。这样对于系统管理员来说,无形中增加了其工作的难度和复杂度,降低工作效率。面对如此复杂的系统和数据环境,部署数据保护解决方案往往需要足够的采购预算、充足的维护投入或具有专业知识的管理人员。因此提供一个本身具有完备的数据备份恢复功能、管理维护简单、低成本投入,又能够提供统一存储和管理备份数据平台的解决方案,对于医疗行业的数据备份管理具有重要的意义。3、解决
22、方案面对医院复杂的信息架构,如果由人工来进行数据的备份工作将给系统管理带来很大的工作量。而且对于备份存储设备,如磁盘阵列、磁带的空间管理,都将是很大的问题。在这里,我们推荐HDP一体化存储备份解决方案。HDP一体化备份产品是业界首个完全一体化、自动化、基于磁盘备份的备份解决方案级产品。由HDP组建的解决方案将为客户数据提供完美的保护,实现信息生命周期的全面管理。HDP典型应用目前医院的信息化系统中以HIS系统为核心,而且还有可能配有LIS,RIS,PACS等业务系统。现阶段多数以 Windows/LINUX平台为主,主流应用 为Oracle、SQL等,备份系统需对这些业务系统的数据库进行集中备
23、份、并实现主机操作系统的保护。方案描述:基于 HDP 的备份系统,实现对Windows/LINUX平台的文件数据、数据库以及业务主机操作系统全面保护 减少传统解决方案的网络连接、使备份恢复演示和实验清晰简单,整体备份系统管理维护便捷,更易学员上机实验 支持 Windows 所有应用数据的备份和恢复、并支持快速高效的 Windows 系统恢复,配备备份系统及产品全套的培训体系课程,满足医院的要求 采用LAN-Based 或者独立备份LAN 组网方式 保护客户Windows 应用服务器的业务数据 保护客户LINUX应用服务器的业务数据 Windows 应用服务器操作系统智能灾难恢复 对办公区域桌面
24、机重要数据进行保护 4、方案特点全面(Comprehensive)全面的 Windows 和 Linux 下业务数据保护 权限管理和数据加密保障数据安全 智能 Windows 操作系统恢复 桌面机重要数据保护 不间断的业务数据保护 简便(Convenience)中文支持的人性化的管理界面 一体化备份产品维护便捷 新增 HDP产品时不改动现有组网扩展方便 可以灵活选择LAN-based 和 独立备份LAN的组网方式 性价比(Cost Effective)服务器、备份软件、存储设备一体化降低客户TCO、高性价比 高效的电源模块、智能调速的风扇系统节省能源 可回收材料制造绿色环保 五、网络安全解决方
25、案1、安全总体建设方案安全整体防护由边界UTM防火墙通过IPS、AV等功能构筑第一道防线,抵御攻击,防止非法访问。由服务器区UTM防火墙构筑第二道防线,作安全隔离与访问控制由NIP构筑第三道防线,实时检测、预警黑客扫描攻击、蠕虫病毒攻击或内部用户违规操作等行为,并通知防火墙进行阻断(对于TCP协议,NIP可通过TCP Reset自行阻断),通过对网络行为作记录审计,可以在事后调查取证。Secospace TSM构筑最后一道主机防线,通过主机防火墙、主机防病毒,保护终端用户的安全。2、统一UTM网关网络安全威胁正在向多层次,复合型的方向发展,各种病毒、木马、蠕虫、钓鱼网站等网络安全问题给用户的业
26、务系统带来了巨大的挑战。USG5000系列产品将多种威胁的防护技术集成于一体,为用户的网络建立了多重防护,可以有效的解决用户网络面临的多重威胁。同时,多种技术复合防护的需求需要用户采购更多的安全设备,采购和后期维护的成本急剧上升,而USG5000系列产品集多重防护技术于一体,大大降低了用户的采购及维护成本,有效的提升用户设备的利用率。 业界领先的UTM技术强大的IPS、反病毒融合赛门铁克先进的IPS和反病毒技术,检测率达到95%以上,业界领先,支持引擎和特征库实时升级,有效防御各类攻击和病毒。 业界领先的URL过滤90%的精准识别率具有强大的安全能力中心支撑,2500万URL分类特征库以及实时
27、9000000域名监控,支持多种语言查询,识别率高达90%,业界领先。 强大的安全能力中心引领安全技术前沿拥有业界一流的协议分析团队,在DPI、URL、IP信誉库方面具有深厚积累,可以实现500种以上网络协议的识别, 2500万URL分类特征库以及实时9000000域名监控,同时,现网部署有6000G的监控能力,及时跟踪响应业界最新动态。尤其是具有快速应对用户网络安全服务的响应能力。 保护用户关键业务强大的DDoS攻击防护能力业界同档产品中第一的每秒新建连接数(15万/秒),可以快速处理各种不同的DDoS攻击报文,应对大流量DDoS攻击。拥有业界一流的攻防团队支撑,支持对攻击特征库的升级,攻击
28、识别技术业界领先。 有效保护用户带宽最全的P2P协议控制可识别4大类50多种P2P协议,业界同类产品中识别率最高,支持P2P协议特征库升级,应对不断出现的新P2P协议的威胁。 环保的防火墙超低功耗将多种节能技术融合于一体,平均功耗7080W,仅为同类产品的1/4,绿色环保,可大幅度降低用户的后期维护成本。USG5000是华为专业公司推出的具有防火墙功能的统一安全网关。USG5000基于华为专业的多核硬件平台以及强大的VRP软件平台,不仅具备优异的攻击防范处理能力,而且能够提供完备的地址转换(NAT)功能。为了更好地满足企业的实际需要,USG5000还支持丰富的多媒体协议和路由协议,组网方式灵活多样,是大中企业理想的网络安全防护设备。采用华为USG5000系列网关,不但具有VPN网关的特性,同时可以满足高安全、高可靠的状态过滤要求,为服务器区域和内外网边界提供隔离和过滤保护。采用华为专有的数据特征检测技术,高效防范SYN FLOOD,UDP FLOOD,ICMP FLOOD,DNS FLOOD等多种网络层攻击外,有效检测和阻断来自应用层的攻击。有效便捷
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1