浙江省卫生系统业务专网规划电信IP增量台州.docx

1、浙江省卫生系统业务专网规划电信IP增量台州浙江省卫生系统业务专网规划电信(IP增量)-台州 作者： 日期： 浙江省卫生系统业务专网建设方案（讨论稿）浙江省卫生信息中心二一年六月在一、背景和目的随着医疗改革不断深化，卫生行政管理水平不断提高，公众对公共卫生服务需求日益增长，在新形势下，对卫生信息化提出 了更高的要求。目前，我省卫生系统点、线卫生信息化水平较高，但条块分隔、各自为政和医疗卫生信息资源不能共享、各种应用系统低水平重复的现状较严重。为更好地贯彻落实医疗改革精神，为公众提供调高质量的公共卫生服务；为有利于各系统之间数据交换，解决行业内“孤岛”问题，进一步整合行业资源，利用现有系统中的数据

2、，建立基于居民电子健康档案为核心的省、市、县三级数据中心平台，急需建立一张与互联网隔绝的横向到边，纵向到底，实现纵横贯通、覆盖整个卫生系统包括卫生行政部门、各级医疗卫生服务机构和公共卫生服务机构的业务网络。卫生信息化是本次国家医改政策的重要组成部分，2009年5月31日，卫生部发布基于健康档案的区域卫生信息平台建设指南（试行），陈竺部长在2010年全国卫生工作会议上的讲话中强调，医药卫生信息化建设重点任务是抓好平台建设和连点成面工作，减少信息孤岛。为了深化医疗卫生体制改革，加快建设惠及全体居民的基本医疗卫生服务体系，由浙江省科技厅作为牵头单位，浙江省卫生厅和卫生部科教司作为组织单位联合申报“国

3、家数字卫生关键技术和区域示范运用研究”（简称：国家数字卫生）项目，该项目是一项关系民生、改善民生为重点的建设项目，是“十一五”国家科技支撑计划重点项目。以区域卫生信息资源中心为平台，建立统一、规范的居民健康档案、电子病历，为主管部门提供更加全面及时的宏观决策依据，进而实现国家层面的卫生信息资源集中规划和管理，将是信息化支撑医改目标全面实现的基本途径，也是是“国家数字卫生”项目的重要研究内容。2009年06月24日,卫生部颁发的关于在省和设区市级新型农村合作医疗定点医疗机构开展即时结报工作的指导意见（卫农卫发200962号）文件要求，从2009年起，各省（区、市）要分别选择12家省级和设区市级新

4、农合定点医疗机构开展试点工作，积极探索，创造条件，3年内以省为单位实现参合农民在大部分省市级定点医疗机构住院医药费能即时结报的目标，切实方便广大参合农民。目前，我省有80个县（市、区）同时实现了乡镇医疗机构新农合门诊信息化管理，有45个县（市、区）同时实现了村医疗机构新农合信息化管理，在区域内实现了实时结报。未有业务专网以前，参合农民在省级定点医院住院或跨区就医后，需要回到参合地才能结报，经常出现因就医资料丢失或不全，或者需要相关医疗证明文书等原因，参合农民及家属要再次回到就诊医院补充资料，甚至反复多次异地奔波的问题，手工输入省级定医院就诊发票数据到参合地的信息中，容易产生错误，也无法杜绝“人

5、情”报销操作的漏洞。我省新农合信息化具有良好的基础，只需要有一张安全性好、传输稳定的业务专网，少量的系统改造，则可实现全省参合民的跨区直报，将有效地减轻异地就诊数据需要手工输入工作量，降低数据差错率，方便跨区就诊参保农民报销，同时可对全省的农医保报销数据进行有效管理、全面汇总、准确统计以及实时监控，通过对上报数据的分析，为领导决策提供参考。2009年5月，省卫生厅下发了浙江省医院门诊管理暂行办法，并于6月1日在全省二级以上医疗机构施行。该办法要求医院提供多种形式的挂号方式（窗口挂号、自助挂号、电话预约挂号、网络预约挂号等），按照“公开、公平”的原则，制订挂号制度和流程。各地积极响应，提供各种模

6、式的挂号服务，不断完善预约挂号工作。2009年9月30日国家卫生部下发关于在公立医院施行预约诊疗服务工作的意见，要求从2009年11月开始，所有三级医院都要开展预约诊疗服务，要逐步提高门诊预约挂号比例、加强病人复诊的预约服务，拓宽提供预约诊疗服务的途径，做好预约诊疗患者的服务工作。有条件的地方也可以探索组织若干家医院联合建立网络挂号平台。2010年1月13日，浙江省卫生厅发布关于开展医院预约挂号平台建设及试点工作的通知：“为有效开展医院门诊实名制预约挂号工作，方便群众就医，缓解百姓“看病难”和“看病烦”问题，建立全省统一的预约挂号服务平台，提供标准化和规范化预约挂号服务。目前，我省统一的对预约

7、挂号服务平台已进入试运行阶段。2010年2月1日，卫生部的关于改进公立医院服务管理方便群众看病就医的若干意见（卫医管发201014号）指出： 制定统一的预约诊疗工作制度和规范，不断提高患者预约就诊的比例。探索建立以城市或全省（区、市）为单位的预约平台，在保证信息安全的同时，做到信息互通，资源共享。要实现上述政策文件和客观实际业务需求的要求，从业务需求上分析，我省卫生系统需要有联接各医疗机构的网络，该网络必须是与互联网是隔离的，安全性高和传输稳定的，可实时扩容的，可承载多业务的业务专网。卫生系统业务专网还应具有以下优势：1、 简单高效、减少费用。以新农合直报系统为例，浙江有80多个新农合机构，单

8、点直连每家医院需80多条线路，如果100家医院就要8000多条线路。如果建立卫生业务专网，每个医疗机构和新农合机构连接只需一根线路，共80多条。可以节省大量费用。2、 一网多用，避免重复建设。以浙江省人民医院为例，目前与其他机构的网络线有14条，分别是省医保、市医保、萧山医保、余杭医保、富阳医保、德请医保线路6条，望江山院区、滨江分院2条，省委党校、省工商、金色年华、中国美院医务室4条，省卫生厅、老干部局2条。各条线路都是独立传输单一数据。如果这些应用可以通过整合，合并在一个业务专网上，避免了重复建设，节约了资金。3、 便于拓展，简捷方便。今后有新的应用，如各医疗机构之间信息互通，没有加入专网

9、的机构只需申请加入，即可共享网内资源。随着应用的增加，如果传输速度不够，只需申请增加带宽。基于公共卫生服务需求、卫生行政管理和卫生信息化发展需要，根据国家的具体要求和浙江省的实际情况，在保障网络安全性和网络传输高效稳定的前提下，经过我厅三年的具体实践，通过省级医院新农合出院直报、门诊预约挂号、健康档案跨区调阅和医疗机构之间信息共享的具体行业运用的实践工作，对比传统树形网络拓扑组网方式，多种应用多点接入，核心节点不通全网瘫痪的缺点，决定采用MPLS-VPN技术来建立我省卫生系统业务专网，特制定浙江省卫生系统业务专网建设方案（下文简称专网建设方案）。本专网建设方案为专网建设提出了网络架构定义，制定

10、了各地区、各类别的IP，规范了专网管理相关流程，为实现全省卫生机构实现网络互联互通提出了规范性文件，为国家区域卫生信息化建设提供网络建设的战略性参考文件。二、建设目标建立基于MPLS-VPN技术的卫生系统业务专网，可简化网络拓扑结构、方便接入单位网络管理、降低接入费用。在统一的网络平台上可以实现不同机构、不同行业应用之间的受控互访和隔离。基于MPLS-VPN技术的卫生系统业务专网平台能够平滑扩展以及承载更多的业务系统，实现“一网多用”。满足实际工作中以需求为指导，业务运用逐步扩展的状况，我省卫生系统业务专网的建设目标：1. 省市县纵向覆盖；2. 各级单位横向连接；3. 使用单位单点接入；4.

11、行业运用逐步扩展。基于MPLS-VPN技术的卫生系统业务专网，与传统组网方式相比较，其优势明显，主要表现在：1、单点接入，方便管理。每家接入单位，只需管理一个接入点，管理一条专线，与一家网络服务运营商协调。2、一条专线，费用降低。传统的工作模式，每增加一个行业应用，增加一条专线，专线利用率不高，费用却逐条增加。3、单点联接，全网通讯。理论上，业务专网中的每个节点，在不增加网络设备和网线联接的情况下，可与网中的任何一节点进行通讯。4、一个专网，承载多种应用。全省卫生系统内单位接入后，在这个相对封闭的网络环境下，各单位、各行业应用系统之间可交叉进行数据交换和信息共享，承载多种业务应用。5、可片、线

12、管理，网中组网。随着接入单位和行业应用的增长，专网可按照条线管理模式、区域划分、行业应用使用范围来规划子网，方便管理。我省卫生业务管理和业务系统分级管理示意图：省级健康档案、业务数据中心市级健康档案、业务数据中心市级健康档案、业务数据中心市级健康档案、业务数据中心区县健康档案、业务数据中心区县健康档案、业务数据中心区县健康档案、业务数据中心区县健康档案、业务数据中心区县健康档案、业务数据中心区县健康档案、业务数据中心区县行政部门、数据中心区县行政部门、数据中心区县行政部门、数据中心以MPLS-VPN技术组建的卫生系统业务专网，可利用扁平的网络实现数据平行交换和分组业务管理，业务专网的网络拓扑结

13、构示意图如下： 三、与现有网络整合我省卫生系统各地市的信息化发展不平衡，有些地区以区域卫生信息化为牵引，以行政管理为手段，以服务公众为目的，建立了管辖区内的业务专网，承载区域内的各种业务系统和数据交换功能。为节约专网建设投入，保护现有信息化投资效益，省级业务专网可用以下几种方式与现有建成的网络进行联接。（一）与地市级业务专网联接若地市区内已建设了辖区内业务专网，为保护现有网络投资，减少网络建设工作量和资金投入，不管原专网是哪家网络运营商，可以在已建业务专网的核心节点前端，部署一台CE设备，联接到卫生系统的业务专网中。以舟山为例，该地市已经在本地市范围内组建了一张专网，因此我们可以在该专网的核心

14、节点，设置一台CE，接入到卫生系统业务专网，可采用以下组网方式。见下图：采用此种模式，对网络中PE与CE的链接不涉及与其它电信运营商互联，对整个网络出口无影响。（二）大型单位组网方案组网方式一示意图浙江省卫生系统业务专网PEFirewall汇聚交换机组网方式二示意图在出口处配置一台汇聚交换机作为CE设备，对不同应用，如果有必要，可以划分不同VLAN，配置不同的IP地址段，以区分、隔离不同的业务。对于较大型网络的，可以考虑采用方式一组网，以便分级管理。 考虑安全因素，对较大型的单位可以在网络出口处设置防火墙，以充分保证网络的安全。（三）小型部门单位接入组网方案浙江省卫生系统业务专网PECE小型部

15、门单位组网示意图对于较小的单位接入，CE设备可以采用小型路由器或交换机，并且应在终端上装杀毒软件，防火墙软件等保证安全；同时要求做到专机专用，专机上不要轻易使用移动存储设备，不允许接入其它网络。四、IP地址规划原则IP地址是整个网络系统运行的基石，IP地址规划不仅应该满足当前的需求，还应该充分的考虑系统将来的扩展性。因此，本方案遵循的原则如下：实用性。保证网络结构和网络运行的稳定性，必须保持IP地址的唯一性。标准性。采用国际互联网标准RFC1918规定的私有地址网段，保障网络的互连互通。安全性。通过MPLS VPN专网的加密、防DDos等技术手段，确保各类业务数据在网络运行中的安全保障。扩展性

16、。适应医疗卫生系统的应用需求，具有灵活的扩展能力。可管理性。易于管理、维护，明确网络分级管理与维护的责任。五、IP地址算法与规划卫生系统各类单位的 CE 设备（路由器、交换机、防火墙）分别与当地电信部门的PE 设备相连。IP地址规划包含用户地址和互联地址两部分。首先按地市进行大段划分，然后再细分到县（市、区），最后按类别分配具体的IP地址段。（一）用户地址卫生系统用户地址分配算法如下：首先以地市划分，省厅加上11个地市共12个地域各需要分配一个B类地址段，详见下表：地区 规划地址段 每段掩码厅直属 10.10.0.010.10.255.255/16位杭州 10.171.0.010.171.25

17、5.255/16位湖州 10.172.0.010.172.255.255 /16位嘉兴 10.173.0.010.173.255.255/16位宁波 10.174.0.010.174.255.255 /16位绍兴 10.175.0.010.175.255.255 /16位台州 10.176.0.010.176.255.255 /16位温州 10.177.0.010.177.255.255/16位丽水 10.178.0.010.178.255.255/16位金华 10.179.0.010.179.255.255/16位舟山 10.180.0.010.180.255.255 /16位衢州 10.1

18、70.0.010.170.255.255 /16位地市所辖各县区（包括地市市本级）包含16个C类地址，第一个C类地址从所在市IP地址段的第三字节开始，根据中华人民共和国行政区划代码排序（市本级为0）16，依次累计。如舟山市市本级为10.180.（016）.10.180.15.；舟山市普陀区为10.180.（116）.10.180.31.。然后在地区范围内按接入单位类型划分，目前包括卫生局、新农合、疾控、监督、医院5类，除卫生局单位子网掩码为26位，IP地址分配64个外；其余每类单位子网掩码为27位，IP地址分配32个。如舟山市卫生局为10.180.0.0/26，舟山市疾控中心为10.180.0

19、.64/27，舟山市卫生监督所为10.180.0.96/27，舟山市新农合办为10.180.0.128/27，舟山市医院类单位从10.180.0.160/2710.180.15.224/27（共124个医院接入点）。IP地址的扩展性：以所辖的县区最多的杭州市为例，保留32个C类地址，以单位子网掩码为27位的算法计算，因此还预留256个接入点待扩展。（二）互联地址用户CE 设备及电信网络接入 PE 设备分配算法如下：（1） CE 设备IP地址：为所分配IP地址段的第一个IP地址，如舟山市卫生局CE设备IP地址为10.180.0.1。（2） PE 设备IP地址：为所分配IP地址段的最后一个IP地址

20、-1，如舟山市卫生局PE 设备IP地址为10.180.0.62。全省IP地址规划表详见附录IP地址规划表。六、安全管理（一）技术安全管理因为MPLS-VPN具有以下技术安全特点：一地址空间和路由独立；二隐藏MPLS核心网，不会暴露任何不必要的信息给外界；三攻击防范，直接实施对某一VPN的攻击几乎不可能，只能通过MPLS核心网实现；四拒绝标记哄骗，数据包转发是依据PE路由器所附加的标记来完成的，而非目标IP地址。从以上特点可得出，MPLS VPN都可以达到与ATM、帧中继同样的安全程度。但是，仅靠MPLS的自身技术安全性还不足以让人放心。对SP来说，采取附加措施保护MPLS核心网安全非常重要。首

21、先要考虑以下因素。1、可信任设备：PE及P路由器、远程访问服务器、AAA服务器等，都必须被看作可信任的系统，这需要非常强大的安全管理，包括物理安全系统及访问控制列表、安全配置管理等等。而CE路由器不属于SP的管理范围，被视作不可信任系统。2、CE/PE接口：PE和CE路由器之间的接口对于MPLS网络的安全来说至关重要，PE路由器的配置应尽可能严密。从安全角度讲，最好将CE路由器配置为非指定IP地址，并使用静态路由。但考虑到应用的交互性，本规范中CE路由器配置为指定IP地址。3、防火墙：有条件的单位可以CE端架设硬件防火墙。（二）日常安全管理为保障卫生系统业务专网的安全，在日常运行中，网络承建方

22、和使用单位有义务承担专网的安全管理工作：1、 网络承建方为客户电路提供24小时不间断主动监控，发现问题，主动维护。2、 使用单位需专人负责专网管理，不得私自在专网上运行未在省卫生信息中心备案的应用系统。3、 使用单位不得私自把其它网络桥接到业务专网。4、 使用单位需承担CE端内的相关安全策略设置、相关设备安全管理、系统补丁升级等工作，保护自己就是保护专网。（三）故障报维管理当使用单位发现电路故障时，可以采取以下步骤申报故障：1、准备好电路编号（在首次开通时，电信贴在电路接入点标签上），电路编号形式如杭州CTVPN52967A。2、拨打10000+9（建议首选）。3、拨打客户经理联系电话，请客户

23、经理协调处理。4、如果是政企大客户，可以拨打相应的客户工程师联系电话，协调处理。5、如果是电信集团级大客户，可以拨打8008281000进行故障申告。6、客户设备（如路由器、交换机及电脑终端）需要客户自行维护。七、管理流程我省卫生系统业务专网，是一个涉及多单位，承载多业务应用的专网，为保障网络有序运行，管理到位，对网络的接入、退出，新业务应用的运行都必须遵循以下流程。（一）接入申请流程审阅材料申请单位省卫生信息中心没通过通过省电信公司本流程涉及两个函，一是关于接入浙江省卫生系统业务专网的申请函（接入业务专网申请函），二是关于开通浙江省卫生系统业务专网接入点的联系函（接入业务专网联系函），详细请

24、见附录。（二）业务应用备案流程省卫生信息中心备案入库管理通过未通过应用使用单位本流程涉及浙江省卫生系统业务专网应用系统备案表（应用系统备案表），详见附录。八、投资与效益本卫生系统业务专网的发起单位是浙江省卫生信息中心，全省卫生系统单位为参与者或使用者。卫生系统业务专网各接入单位即是投资主体，也是受益者，各自承担自身的网络通讯费用。目前，中国电信浙江公司给出的报价如下 ：接入速率元/月初装费/点2M12503500元10M2250100M3750卫生系统业务专网建成后，其“一网多用”的特点，将有利于卫生系统内单位和行业应用系统之间的数据交换；有利于建立基于居民电子健康档案为核心的省、市、县三级数

25、据中心平台；有利于整合现有资源提供高质量的公共卫生服务；有利于打破传统的点、线管理和“电杆型”信息系统孤岛，加速行业数据融合，提高行业整体水平。一条专线，解决接入单位的所有应用系统数据交换网络问题，不仅有利于管理，提高工作效率，还可以节约网络成本，减少经费支出，具有良好的经济效益。八、附录接入专网申请函关于接入浙江省卫生系统业务专网的申请函浙江省卫生信息中心：依据浙江省卫生系统业务专网建设方案和我单位实际工作需要，我单位申请接入浙江省卫生系统业务专网，并承诺：1、 严格遵守浙江省卫生系统业务专网建设方案中的管理规定；2、 承担因我单位原因引起的法律和经济责任。附件：浙江省卫生系统业务专网申请表

26、XXXXXXX单位（盖章）二一 年 月 日浙江省卫生系统业务专网申请表单位信息单位名称单位地址通信地址邮政编码单位类型A卫生局 B.疾控中心 C.卫生监督所D.新农合 E.医院 F.其他（ ）联系人信息联系人姓名电话传真网络负责人姓名电话传真手机职务EMAIL 通信地址邮政编码单位网络技术信息接入地点入网用途申请带宽 M （可选：2M，4M，10M，100M）主机数量 台（拟入网的计算机）租期 年申报单位意见意见：领导签字： （单位盖章） 日期： 年 月 日浙江省卫生信息中心处理意见收到时间年 月 日受理人处理意见：领导签字： （单位盖章） 日期： 年 月 日接入专网联系函关于开通浙江省卫生系

27、统业务专网接入点的联系函中国电信浙江公司：依据浙江省卫生系统业务专网建设方案和实际工作需要，我省卫生系统 单位申请接入浙江省卫生系统业务专网。费用由申请单位承担，请贵公司大力支持！附件：浙江省卫生系统业务专网接入技术参数表浙江省卫生信息中心二一 年 月 日浙江省卫生系统业务专网接入技术参数表单位信息单位名称单位地址通信地址邮政编码联系人信息联系人姓名电话传真网络负责人姓名电话传真手机职务EMAIL 通信地址邮政编码网络技术信息接入地点CE所在城市接入电路类型EthernetCE端速率要求完成时间CE端口类型RJ45PE-CE路由方式静态/BGPCE端口互联IP地址PE端口互联IP地址用户LAN

28、网段地址/子网掩码电路开通回执表接入单位开通时间电路编号电信联系人客户经理联系电话技术联系人联系电话请传真到申请单位和省卫生信息中心：87709174。退出专网申请函关于退出浙江省卫生系统业务专网的申请函浙江省卫生信息中心：我单位“电路编号XXXXXXX”的浙江省卫生系统业务专网接入点，因 原因，现申请退出，请批准！XXXXXXX单位（盖章）二一 年 月 日退出专网联系函关于注销浙江省卫生系统业务专网接入点的联系函中国电信浙江公司：我省卫生系统 单位，电路编号为XXXXXXX的浙江省卫生系统业务专网接入点，申请注销。请贵公司及时关闭电路。浙江省卫生信息中心二一 年 月 日应用系统备案表浙江省卫

29、生系统业务专网应用系统备案表备案单位信息单位名称（盖章）应用联系人联系电话手机EMAIL应用系统信息应用名称绑定IP数据交换实时 非实时数据交换占用速率应用服务对象应用使用对象应用涉及单位卫生局 疾控中心 监督所 医院 新农合办 血液中心 其它应用涉及现有系统应用功能描述开发公司信息（涉及多家公司时可扩展）公司名称通讯地址邮编技术联系人联系电话手机EMAILIP地址规划表地区单位 CE端口互联IP地址PE端口互联IP地址用户LAN网段地址/子网掩码直属卫生厅10.1.1.110.1.1.25410.1.1.0/24省疾控中心10.10.3.110.10.3.25410.10.3.0/24省卫生监督局10.10.4.110.10.4.25410.10.4.0/27血液中心系统10.10.5.0/27-10.10.11.224/27浙医一院10.10.1.3310.10.1.6210.10.1.32/27浙医二院10.10.1.6510.10.1.9410.10.1.64/27省人民医院10.10.1.110.10.1.3010.10.1.0/27浙江医院10.10.12.65