醫(yī)院有線網(wǎng)絡(luò)建設(shè)方案■密級：公開!文檔歸屬：產(chǎn)品管理部：i使用對象：全員iTOC\o"1-5"\h\z\o"CurrentDocument"背景介紹 4\o"CurrentDocument"信息化在醫(yī)院建設(shè)中的背景與應(yīng)用 4\o"CurrentDocument"網(wǎng)絡(luò)技術(shù)在醫(yī)院應(yīng)用的現(xiàn)狀 6\o"CurrentDocument"技術(shù)現(xiàn)狀 6\o"CurrentDocument"性能現(xiàn)狀 6\o"CurrentDocument"安全現(xiàn)狀 7\o"CurrentDocument"無線現(xiàn)狀 7\o"CurrentDocument"網(wǎng)絡(luò)技術(shù)在醫(yī)院應(yīng)用的發(fā)展趨勢 8\o"CurrentDocument"需求分析 10\o"CurrentDocument"醫(yī)院特點 10\o"CurrentDocument"場景分析 11\o"CurrentDocument"用戶需求框架 13\o"CurrentDocument"用戶需求分析 14\o"CurrentDocument"設(shè)計原則 15\o"CurrentDocument"基礎(chǔ)網(wǎng)絡(luò)設(shè)計方案 18\o"CurrentDocument"網(wǎng)絡(luò)總體設(shè)計 18\o"CurrentDocument"網(wǎng)絡(luò)技術(shù)選型 19\o"CurrentDocument"網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計 20\o"CurrentDocument"醫(yī)院網(wǎng)絡(luò)安全三級架構(gòu)拓撲圖 22\o"CurrentDocument"核心層設(shè)計 22\o"CurrentDocument"匯聚層設(shè)計 24\o"CurrentDocument"接入層設(shè)計 25\o"CurrentDocument"網(wǎng)絡(luò)路由設(shè)計 25\o"CurrentDocument"無線設(shè)計 26\o"CurrentDocument"安全模塊設(shè)計 29\o"CurrentDocument"細部設(shè)計 31\o"CurrentDocument"醫(yī)院三級網(wǎng)絡(luò)架構(gòu)劃分 31\o"CurrentDocument"網(wǎng)絡(luò)區(qū)域細化 31\o"CurrentDocument"設(shè)備及設(shè)備端口命名規(guī)則 34\o"CurrentDocument"線纜標識和描述規(guī)則 35\o"CurrentDocument"設(shè)備選型設(shè)計 35關(guān)鍵技術(shù)點 40\o"CurrentDocument"萬兆網(wǎng)絡(luò)技術(shù) 40\o"CurrentDocument"VSU虛擬化技術(shù) 42\o"CurrentDocument"無線零漫游 43\o"CurrentDocument"網(wǎng)絡(luò)安全管理 47RIIL運維管理 49\o"CurrentDocument"解決方案價值 56\o"CurrentDocument"''實用”的網(wǎng)絡(luò)設(shè)計 56\o"CurrentDocument"''實用”的網(wǎng)絡(luò)架構(gòu) 56\o"CurrentDocument"''實用"的安全體系 56\o"CurrentDocument"''實用”的管理體系 57\o"CurrentDocument"黑龍江中醫(yī)藥大學(xué)第一附屬醫(yī)院的成功實踐 58\o"CurrentDocument"客戶情況簡介 58\o"CurrentDocument"客戶主要問題和需求 58\o"CurrentDocument"解決方案簡介 59\o"CurrentDocument"解決方案應(yīng)用效果 601背景介紹信息化在醫(yī)院建設(shè)中的背景與應(yīng)用隨著國民經(jīng)濟的迅猛發(fā)展，人民醫(yī)療保健意識的日益提高，人們自然就對醫(yī)療環(huán)境提出了更高的要求，各地醫(yī)院的新建或改擴建項目與日俱增，醫(yī)院如何適應(yīng)醫(yī)學(xué)科技發(fā)展和醫(yī)學(xué)模式轉(zhuǎn)變，營造以人為本的醫(yī)院人文環(huán)境；如何依靠先進的設(shè)計理念、工程技術(shù)，創(chuàng)造符合時代要求的醫(yī)院；如何根據(jù)我國國情，切實解決好我國眾多醫(yī)院建筑的改擴建問題，將是今后一段時間醫(yī)療機構(gòu)和設(shè)計機構(gòu)共同研究的課題。衛(wèi)生部關(guān)于印發(fā)《全國衛(wèi)生信息化發(fā)展規(guī)劃綱要2003-2010年》的通知中提到：二、各省、自治區(qū)、直轄市和新疆生產(chǎn)建設(shè)兵團衛(wèi)生廳（局）、部直屬單位、各級醫(yī)療衛(wèi)生機構(gòu)要根據(jù)《規(guī)劃》所確立的目標和任務(wù)，結(jié)合本地區(qū)、本單位的管理及業(yè)務(wù)需求，制定出相應(yīng)的衛(wèi)生信息化發(fā)展規(guī)劃。在規(guī)劃制定中，要嚴格遵守：''標準統(tǒng)一，保證安全，以法治業(yè)，經(jīng)濟實效，因地制宜〃的基本原則，既要滿足近期的目標與任務(wù)，又要兼顧未來的開拓與發(fā)展。六、加快衛(wèi)生信息化標準制定，建立、健全衛(wèi)生信息化建設(shè)規(guī)章和政策，創(chuàng)建良好的衛(wèi)生信息化發(fā)展環(huán)境。依照目前國情和衛(wèi)生部在信息化發(fā)展綱要中的精神，我司在醫(yī)療行業(yè)提出了一系列解決方案并實施了部分醫(yī)院樣板，總結(jié)出一套完整的建設(shè)思路：1、主動幫助醫(yī)院工程技術(shù)人員和信息中心，把醫(yī)、護、技、管理人員的具體要求，轉(zhuǎn)變?yōu)椤肮こ陶Z言”，需注明各種使用功能之間的相互關(guān)系，提供齊全準確的IT設(shè)備場地、環(huán)境條件數(shù)據(jù)，重點提出醫(yī)院管理經(jīng)營上對醫(yī)院建筑智能化的要求，不可只用單純的數(shù)字表示，而要提供有參考價值或指導(dǎo)價值的方案草圖、工藝圖。2、協(xié)助醫(yī)院發(fā)展規(guī)劃定位，根據(jù)當(dāng)?shù)貐^(qū)域醫(yī)療發(fā)展規(guī)劃、醫(yī)療機構(gòu)基本情況、專科特色、管理體制、人群病種發(fā)病率、醫(yī)學(xué)技術(shù)發(fā)展水平、技術(shù)人才配備狀況、大型和基礎(chǔ)醫(yī)療設(shè)備配備狀況、患者經(jīng)濟負擔(dān)能力等，推測出醫(yī)院發(fā)展空間所包含的具體內(nèi)容，包含近期、中期、遠期發(fā)展規(guī)劃定位，具體落實為“社會效益和經(jīng)濟效益分析報告”。3、共同制定醫(yī)院建筑可持續(xù)發(fā)展，主要是節(jié)約化、生態(tài)化、人性化、無害化、集約化的規(guī)劃，在配水、電、汽、醫(yī)用氣體、暖通、消防、安全、計算機網(wǎng)絡(luò)留有發(fā)展空間，特別是醫(yī)療信息化發(fā)展要求很高的醫(yī)療軟件上線和對應(yīng)的網(wǎng)絡(luò)設(shè)備規(guī)劃。4、提供龍頭醫(yī)院管理者“以病人為中心”的服務(wù)理念、“優(yōu)質(zhì)、高效、低耗”的經(jīng)營理念、先進的醫(yī)療技術(shù)發(fā)展趨勢。幫助信息中心，把院領(lǐng)導(dǎo)對醫(yī)院管理的理解，具體表現(xiàn)在方案或施工圖設(shè)計之中。一個好的醫(yī)院智能建筑，是“引導(dǎo)”醫(yī)院采用先進、科學(xué)管理的“硬件”，它能解決多方面管理上解決不了的問題。網(wǎng)絡(luò)技術(shù)在醫(yī)院應(yīng)用的現(xiàn)狀技術(shù)現(xiàn)狀醫(yī)院特定的應(yīng)用必須要有特定的技術(shù)來實現(xiàn)，才能得到預(yù)期的應(yīng)用效果，分析醫(yī)院的網(wǎng)絡(luò)應(yīng)用，屬于集中式應(yīng)用（客戶機/數(shù)據(jù)中心），網(wǎng)絡(luò)的數(shù)據(jù)流量有大約80%集中于網(wǎng)絡(luò)的主干，所以網(wǎng)絡(luò)的主干應(yīng)該是高性能的交換式結(jié)構(gòu)，而且具有較高的系統(tǒng)擴展能力（如端口數(shù)量）和新技術(shù)應(yīng)用能力（如萬兆、千兆以太網(wǎng)）。性能現(xiàn)狀系統(tǒng)的安全高效運行需要系統(tǒng)內(nèi)的各個設(shè)備具有獨立的高性能和協(xié)同的高性能：為使網(wǎng)絡(luò)結(jié)構(gòu)盡量穩(wěn)定可靠，一般采用星型拓撲結(jié)構(gòu)，中心節(jié)點與邊緣節(jié)點間為1G以太網(wǎng)，服務(wù)器以1G接入數(shù)據(jù)中心交換機。中心交換機支持無阻塞交換，各種模塊支持熱插拔，支持引擎、電源備份，并支持基于板卡智能分布式的基礎(chǔ)上實現(xiàn)端口同步級處理等功能。安全現(xiàn)狀由于病人病歷、醫(yī)保等數(shù)據(jù)的特殊性，網(wǎng)絡(luò)系統(tǒng)的安全性成為突出的矛盾，所以，各醫(yī)院都在不同程度解決以下幾點：1、在上午9點到11點就診高峰期，禁止非法的組播源播放非法的組播信息，保證數(shù)據(jù)傳輸高峰期的網(wǎng)絡(luò)帶寬，但高峰期時仍然經(jīng)常出現(xiàn)網(wǎng)絡(luò)阻塞現(xiàn)象。2、使用桌面屏蔽終端計算機U口，并進行終端可執(zhí)行程序限制，有效控制和預(yù)防外來終端對網(wǎng)絡(luò)的攻擊，但桌面管理軟件一旦被卸載就喪失防護能力。3、安裝防火墻和防毒墻，定期對殺毒工具進行更新，有效把病毒拒絕在網(wǎng)絡(luò)之外，但各種病毒在被公布前很難防范。無線現(xiàn)狀伴隨著醫(yī)療改革逐步取得成功，醫(yī)院的住院人次增多、門診量也在呈現(xiàn)飛躍式發(fā)展，伴隨而來的醫(yī)生接診效率相對變低，護理過程中出現(xiàn)失誤而導(dǎo)致的醫(yī)療糾紛越來越多。為了解決醫(yī)院面臨的新問題，二級甲等以上醫(yī)院，一致將目光對準無線應(yīng)用，而醫(yī)院現(xiàn)有的無線網(wǎng)絡(luò)處于空白狀態(tài)。網(wǎng)絡(luò)技術(shù)在醫(yī)院應(yīng)用的發(fā)展趨勢（一）醫(yī)院信息系統(tǒng)建設(shè)情況醫(yī)院信息系統(tǒng)在運行中結(jié)合網(wǎng)絡(luò)設(shè)備的強大功能，對醫(yī)院實際業(yè)務(wù)進行了不斷完善、優(yōu)化、改進，使信息系統(tǒng)更加適合醫(yī)院工作需要和患者需求。醫(yī)院信息系統(tǒng)基于災(zāi)難恢復(fù)的核心交換機通信，實現(xiàn)了雙機鏡像熱備、定期異地備份模式，各個模塊相互關(guān)聯(lián)、環(huán)環(huán)相扣，將傳統(tǒng)的事后控制轉(zhuǎn)變?yōu)槭轮锌刂?。基于網(wǎng)絡(luò)平臺的數(shù)據(jù)交互，打破傳統(tǒng)的信息孤島模式，實現(xiàn)了就診“一卡通”、檢查圖像和報告的實時共享、分析、存儲及遠程調(diào)取，為病人預(yù)約就診、分診提供方便快捷的服務(wù)，減少等待時間，優(yōu)化就診流程，進一步規(guī)范了診療行為，使醫(yī)院的管理水平和服務(wù)水平得到明顯提高。（二）醫(yī)院電子病歷運行情況以結(jié)構(gòu)化電子病歷系統(tǒng)為主線覆蓋門診、住院電子病歷，打破了傳統(tǒng)的病歷書寫模式及信息查閱繁瑣、共享不便的難題，提高了病歷書寫效率、規(guī)范了病歷樣式、提升了病歷質(zhì)量，已成為全國醫(yī)院建設(shè)的模式。40G端口的大數(shù)據(jù)轉(zhuǎn)發(fā)功能，幫助醫(yī)院完全實現(xiàn)并且確保了全院Pacs圖像傳輸系統(tǒng)、Lis系統(tǒng)，無縫集成到His管理系統(tǒng)，實現(xiàn)了與His管理系統(tǒng)一站式登陸，使得電子病歷系統(tǒng)的內(nèi)容得到廣泛延伸。（三）區(qū)域平臺建設(shè)情況各省會和地市衛(wèi)生局要求全市進行區(qū)域平臺建設(shè)，需要實現(xiàn)管得?。嚎v向到底、橫向到邊；系統(tǒng)自動生成各類數(shù)據(jù)，確保數(shù)據(jù)的全面準確安全；各級各類用戶要使用好，提高工作效率。為了實現(xiàn)區(qū)域衛(wèi)生平臺建設(shè)規(guī)劃，網(wǎng)絡(luò)集成目標就要保證一張網(wǎng)互通順暢，電子病例和健康檔案調(diào)用安全，數(shù)據(jù)中心大數(shù)據(jù)量交互分析快捷，監(jiān)督管理等五項關(guān)鍵業(yè)務(wù)運行高效。（四）新農(nóng)合系統(tǒng)應(yīng)用情況各省衛(wèi)生廳要求全省新農(nóng)合患者實現(xiàn)院內(nèi)直補，縣、鄉(xiāng)、村全地域覆蓋，全人員覆蓋。患者就診信息實時與國家衛(wèi)生部信息中心統(tǒng)一。在這個過程中網(wǎng)絡(luò)設(shè)備起到關(guān)鍵作用，提供統(tǒng)一標準的接口配置文檔，改造網(wǎng)絡(luò)、開發(fā)高安全總分式接口、進行接口測試。保質(zhì)保量地完成醫(yī)院his系統(tǒng)與新農(nóng)合平臺的對接，方便了患者就醫(yī)報銷、醫(yī)務(wù)人員安排轉(zhuǎn)診結(jié)算，衛(wèi)生局的統(tǒng)籌管理。2需求分析醫(yī)院特點眾所周知，由于多方面的原因，目前我國的醫(yī)院信息化建設(shè)還不是很規(guī)范，每個地區(qū)甚至每個醫(yī)院都有自己的一些特點。為此醫(yī)院的方案設(shè)計應(yīng)充分考慮醫(yī)院管理的具體特點，結(jié)合目前國際信息化發(fā)展的動向和潮流來設(shè)計整個應(yīng)用系統(tǒng)，設(shè)計方案里面應(yīng)該充分體現(xiàn)“整體規(guī)劃、分部實施”的理念?！罢w規(guī)劃、分部實施”的理念，主要是因為系統(tǒng)在進行局部實施的時候要有一個整體的觀念，要能夠服從整體的需要。同時，進行了整體規(guī)劃以后，才能避免各部門出現(xiàn)數(shù)據(jù)不一致的情況。另外，進行整體規(guī)劃還可以降低整個信息化建設(shè)的投資，避免資源浪費。“整體規(guī)劃”，主要是正確規(guī)劃整個醫(yī)院信息化系統(tǒng)建設(shè)的邏輯結(jié)構(gòu)和物理結(jié)構(gòu)，確定醫(yī)院現(xiàn)階段的軟件和硬件建設(shè)目標，以醫(yī)院的觀點規(guī)定好信息的流向，達到信息資源的充分共享。首先，由于網(wǎng)絡(luò)系統(tǒng)建設(shè)涉及病人的影像信息、醫(yī)療信息及醫(yī)療證據(jù)等重要信息的傳輸，任何失誤都可能造成極其重大的后果。所以整個系統(tǒng)長期可靠的運行，對保證醫(yī)院日常業(yè)務(wù)和管理工作的正常運轉(zhuǎn)，具有非常重大的意義。因此，網(wǎng)絡(luò)系統(tǒng)準確、不間斷的運行變得十分重要。其次，由于整個信息系統(tǒng)的將來是相當(dāng)復(fù)雜和龐大的，將全面管理醫(yī)院的大量信息（病人、圖片、職員、財務(wù)、影像、物品、病歷等信息），對網(wǎng)絡(luò)活動必須進行實時的控制和管理，在不改變系統(tǒng)運行的情況下對網(wǎng)絡(luò)進行修改，10不管網(wǎng)絡(luò)設(shè)備的物理位置在何處，網(wǎng)絡(luò)都應(yīng)該是可以控制的。“分步實施”，主要是根據(jù)醫(yī)院工作的流程和醫(yī)院管理的實際狀況確定系統(tǒng)實施的步驟，后一步驟應(yīng)以前一步驟提供的軟件、硬件基礎(chǔ)作更大范圍的擴展和應(yīng)用，這樣醫(yī)院的信息化建設(shè)就可以逐級提煉，實現(xiàn)從低級到高級的平滑過渡。首先，由于醫(yī)院的軟件系統(tǒng)和網(wǎng)絡(luò)設(shè)備會不斷的增加，隨著信息化建設(shè)的不斷完善，越來越多臨床科室會依賴于系統(tǒng)所提供的診斷結(jié)果和圖像信息，系統(tǒng)中的數(shù)據(jù)量也會越來越大，規(guī)模和要求越來越大，所以整個基礎(chǔ)網(wǎng)絡(luò)架構(gòu)設(shè)計上要符合今后系統(tǒng)擴充的要求。其次，由于醫(yī)院的信息系統(tǒng)越來越龐大和信息維護人員少、技能低等矛盾日益凸顯。應(yīng)用系統(tǒng)的設(shè)計應(yīng)充分考慮系統(tǒng)的易維護性，設(shè)計上盡量采用易于維護的網(wǎng)絡(luò)系統(tǒng)平臺，保證操作簡單，且在保證系統(tǒng)能夠安全、可靠運行的前提下，應(yīng)該最大限度地降低系統(tǒng)造價，保護原有的計算機設(shè)備及應(yīng)用系統(tǒng)投資。場景分析對于為醫(yī)院新建有線網(wǎng)絡(luò)工程，其醫(yī)院信息化建設(shè)的重心已開始逐步從“以醫(yī)療管理為中心”向“以服務(wù)病人為中心”轉(zhuǎn)移，并對于建筑內(nèi)部語音、數(shù)據(jù)、圖像傳輸要求較高，往往對同時存在的多套網(wǎng)絡(luò)性能要求也各不相同。為更快更好的理解，采用化繁為簡的設(shè)計思想，提煉出以下幾種常見的應(yīng)用場景：111、業(yè)務(wù)網(wǎng)絡(luò)全病區(qū)實施住院病歷的醫(yī)囑、病程記錄、護理記錄、檢查、檢驗和申請單等的電子化，實現(xiàn)信息平臺對醫(yī)療過程進行全程監(jiān)控，保障醫(yī)療質(zhì)量并達到住院病歷無紙化存儲，最終實現(xiàn)全國各地所有公民的電子病例和健康檔案的調(diào)用。如何夠確保電子病例和健康檔案數(shù)據(jù)的上傳和下載無丟失，及時、快速的調(diào)用數(shù)據(jù)，多系統(tǒng)實施監(jiān)控并且保證長期無故障運行，是醫(yī)院信息化建設(shè)的重中之重。2、辦公網(wǎng)絡(luò)以O(shè)A、ERP、科研為主的辦公網(wǎng)絡(luò)，網(wǎng)內(nèi)用戶辦公地點分散，數(shù)據(jù)流量復(fù)雜，對網(wǎng)絡(luò)帶寬，數(shù)據(jù)轉(zhuǎn)發(fā)性能要求不高，但需要網(wǎng)絡(luò)具備便捷接入和安全接入的雙重屬性，既要提供便捷的網(wǎng)絡(luò)服務(wù)，也要保障網(wǎng)絡(luò)自身安全和準入控制。怎么能夠基于醫(yī)院業(yè)務(wù)優(yōu)先級的帶寬劃分，確保關(guān)鍵業(yè)務(wù)運行同時，保障非關(guān)鍵業(yè)務(wù)；辦公人員在醫(yī)院范圍內(nèi)，終端接入認證“無感知”成了醫(yī)院信息化建設(shè)焦點。3、安全網(wǎng)絡(luò)醫(yī)院存儲著當(dāng)?shù)厮芯用窠】敌畔⒌挠嬎銠C網(wǎng)絡(luò)系統(tǒng)，衛(wèi)生部頒布的《衛(wèi)12生行業(yè)信息安全等級保護工作的指導(dǎo)意見》從物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全五個維度全面進行信息安全防護，構(gòu)建總體安全保密體系。如何將終端設(shè)備、應(yīng)用軟件、服務(wù)主機、數(shù)據(jù)進行無縫互通，實現(xiàn)融合安全，是全國二級以上醫(yī)院討論的熱點話題。用戶需求框架根據(jù)場景分析，結(jié)合網(wǎng)絡(luò)和業(yè)務(wù)模型，用戶對于基礎(chǔ)網(wǎng)絡(luò)要求主要包含有以下方面：.物理鏈路網(wǎng)絡(luò)：以有線和無線構(gòu)建全覆蓋的基礎(chǔ)網(wǎng)絡(luò)鏈路，并要求易擴展易維護；2,計算機網(wǎng)絡(luò)：網(wǎng)絡(luò)架構(gòu)清晰，易于快速部署和搭建，并具有高轉(zhuǎn)發(fā)性能和系統(tǒng)安全；3.安全體系：從接入控制、訪問控制、網(wǎng)關(guān)安全到內(nèi)容安全的安全體系架構(gòu)；4,業(yè)務(wù)系統(tǒng)：分析用戶的業(yè)務(wù)和應(yīng)用對于網(wǎng)絡(luò)的要求；5,管理套件：系統(tǒng)設(shè)備管理和運維管理；6,原網(wǎng)絡(luò)核心的平滑接入或遷移。132.4用戶需求分析醫(yī)院信息中心需要一份具有更貼近信息中心工作的方案：使無論技術(shù)高低的信息科內(nèi)部工程師，都能輕松工作；讓醫(yī)院從院長到護士，便捷訪問數(shù)據(jù)資源，而不用擔(dān)心數(shù)據(jù)阻塞、丟失等隱患；讓院內(nèi)無線網(wǎng)絡(luò)充斥任意地點，比有線網(wǎng)絡(luò)使用更頻繁；讓院領(lǐng)導(dǎo)不再為醫(yī)院信息安全擔(dān)憂。1、支撐“云”計算的數(shù)據(jù)中心建設(shè)。隨著醫(yī)院網(wǎng)絡(luò)應(yīng)用的發(fā)展，“云”在醫(yī)院的使用場景越來越清晰，使用方式也越來越具體?！霸啤庇嬎愕娜诤暇W(wǎng)絡(luò)需要：在以太網(wǎng)數(shù)據(jù)不丟包的基礎(chǔ)上，將業(yè)務(wù)流進行標記，按醫(yī)院需求進行隊列排序；有限數(shù)量的交換機多合一虛擬化保證交換性能，一分多虛擬化滿足激增業(yè)務(wù)應(yīng)用；構(gòu)建無阻塞數(shù)據(jù)中心，實現(xiàn)海量數(shù)據(jù)轉(zhuǎn)發(fā)。2、醫(yī)院全局安全體系建設(shè)。醫(yī)院信息安全的發(fā)展，既要滿足國家政策的要求，又要真正解決醫(yī)院實際存在的安全隱患，從根本解除醫(yī)院由于區(qū)域衛(wèi)生建設(shè)、國家單病種研究等業(yè)務(wù)發(fā)展帶來的安全問題，徹底杜絕黑客攻擊和工程師誤操作等不良網(wǎng)絡(luò)行為。3、信息科運維體系建設(shè)。信息科采購了品牌、型號繁多的硬件設(shè)備和應(yīng)用軟件，這既是醫(yī)院信息化運行的根本和保障，也是人員少、技術(shù)力量薄弱的信息中心的“雞肋”：一旦14發(fā)生故障，協(xié)調(diào)廠家資源耗時多、花費大、定位難。快速解決故障成為醫(yī)院信息中心穩(wěn)定運行的保障。2.5設(shè)計原則基礎(chǔ)網(wǎng)絡(luò)及安全是一個多系統(tǒng)的集成工作，它與網(wǎng)絡(luò)規(guī)模、結(jié)構(gòu)、通信協(xié)議、應(yīng)用業(yè)務(wù)程序的功能和實現(xiàn)方式密切相關(guān)，一個好的網(wǎng)絡(luò)設(shè)計應(yīng)該結(jié)合現(xiàn)有網(wǎng)絡(luò)和業(yè)務(wù)特點并充分考慮發(fā)展需求。一般應(yīng)遵循以下原則：1,方案實用網(wǎng)絡(luò)設(shè)計不僅要求能夠滿足目前醫(yī)院使用的要求，而且還應(yīng)適應(yīng)未來若干年以后的網(wǎng)絡(luò)發(fā)展需要。系網(wǎng)絡(luò)的擴展可以在現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上通過簡單的增加設(shè)備和提高電路帶寬的方法來解決，以適應(yīng)不斷增長的業(yè)務(wù)需求，保護本次網(wǎng)絡(luò)建設(shè)的投資。網(wǎng)絡(luò)系統(tǒng)在設(shè)計時應(yīng)采用國際標準協(xié)議，如網(wǎng)絡(luò)傳輸協(xié)議TCP/IP、IPX/SPX等，支持SNMP、RMON等網(wǎng)絡(luò)管理協(xié)議、支持VLAN802.1Q標準，支持基于策略的服務(wù)RSVP、802.1P等。網(wǎng)絡(luò)平臺應(yīng)具備多網(wǎng)絡(luò)協(xié)議的支持能力，支持和兼容所有主流產(chǎn)品，以避免原有網(wǎng)絡(luò)設(shè)備投資的浪費。2,性能卓越隨著業(yè)務(wù)的增加和計算機技術(shù)的發(fā)展，接入局域網(wǎng)的用戶將越來越多，終15端和工作站的處理能力越來越強，以及圖形圖像和多媒體的應(yīng)用越來越廣泛，要求每個用戶實際可用帶寬很高才能使網(wǎng)絡(luò)通信流暢，網(wǎng)絡(luò)將成為提供多種業(yè)務(wù)的統(tǒng)一網(wǎng)絡(luò)平臺，并應(yīng)該為不同的業(yè)務(wù)提供服務(wù)質(zhì)量保證（QoS）。因此，設(shè)計時應(yīng)充分考慮到將來業(yè)務(wù)量的增大，保證當(dāng)前及今后一定時期內(nèi)網(wǎng)絡(luò)的高效與通暢。3,穩(wěn)定可靠網(wǎng)絡(luò)的可靠性是網(wǎng)絡(luò)設(shè)計中需要考慮的一個主要原則。作為信息系統(tǒng)應(yīng)用的依賴和基礎(chǔ)，要求系統(tǒng)必須具備連續(xù)安全可靠地運行的能力，所以在系統(tǒng)結(jié)構(gòu)設(shè)計中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計網(wǎng)絡(luò)架構(gòu)，盡可能利用成熟技術(shù)，網(wǎng)絡(luò)關(guān)鍵部分要制定可靠的網(wǎng)絡(luò)備份策略，對于重要的網(wǎng)絡(luò)節(jié)點應(yīng)采用先進可靠的容錯技術(shù)，以保證網(wǎng)絡(luò)系統(tǒng)具有故障自愈的能力，最大限度地支持專網(wǎng)內(nèi)各業(yè)務(wù)系統(tǒng)的正常運行。4,易于管理隨著網(wǎng)絡(luò)規(guī)模的擴大和系統(tǒng)復(fù)雜程度的增加，網(wǎng)絡(luò)管理和故障排除變得越來越困難。采用先進的網(wǎng)絡(luò)管理工具，通過圖形界面對網(wǎng)絡(luò)設(shè)備進行集中化統(tǒng)一管理，對網(wǎng)絡(luò)實行集中監(jiān)測、分權(quán)管理，統(tǒng)一分配帶寬資源，進行流量統(tǒng)計分析和故障自動報警，大大簡化網(wǎng)絡(luò)管理難度。5,整體安全16從一個完整的安全體系結(jié)構(gòu)出發(fā)，綜合考慮安全保密的各種用戶身份認證和各個環(huán)節(jié)，采用多種安全手段，包括防止非法接入、訪問控制、入侵檢測、網(wǎng)關(guān)安全、邊界防護、身份認證、內(nèi)容安全等等。即保證網(wǎng)絡(luò)的安全可靠，又盡量符合界面友好人性化的特點。6,行業(yè)特點行業(yè)業(yè)務(wù)特征決定了網(wǎng)絡(luò)設(shè)備的需求，也決定了網(wǎng)絡(luò)設(shè)備的技術(shù)選型要求，因此必須以用戶的實際需求出發(fā)，合理的選擇使用網(wǎng)絡(luò)技術(shù)和產(chǎn)品。173基礎(chǔ)網(wǎng)絡(luò)設(shè)計方案網(wǎng)絡(luò)總體設(shè)計計算機網(wǎng)絡(luò)系統(tǒng)以目前國際流行的TCP/IP為基礎(chǔ)，采用OSI體系結(jié)構(gòu)，遵循國際標準，整個計算機網(wǎng)絡(luò)系統(tǒng)采用星型拓撲結(jié)構(gòu)。一般醫(yī)院新建樓內(nèi)網(wǎng)信息點較多，涉及所有部門辦公，其重要性不言而喻。為了保證網(wǎng)絡(luò)質(zhì)量，合理分擔(dān)網(wǎng)絡(luò)流量，網(wǎng)絡(luò)整體采用三層設(shè)計，分為核心層、匯聚層和接入層，不同的層次可以歸入不同的功能而采用預(yù)先設(shè)計好的功能模塊，不同層次可能需要采用不同的功能模塊，或者某一個層次嵌入多種功能模塊。整體網(wǎng)絡(luò)采用路由方式，廣播包終止在匯聚交換機，交換式以太網(wǎng)就不會因為網(wǎng)絡(luò)設(shè)備對資源的爭用而影響整個網(wǎng)絡(luò)的使用效率和傳輸速度，從而大大提高整個網(wǎng)絡(luò)的性能，降低了網(wǎng)絡(luò)擁塞的發(fā)生概率。在本方案中，網(wǎng)絡(luò)系統(tǒng)按系統(tǒng)結(jié)構(gòu)規(guī)劃為：局域網(wǎng)和廣域網(wǎng)兩個部分。廣域網(wǎng)主要由各種功能的路由器、應(yīng)用服務(wù)器、網(wǎng)絡(luò)安全設(shè)備等組成。局域網(wǎng)按網(wǎng)絡(luò)層次分為：核心層、匯聚層、接入層。無線系統(tǒng)作為局域網(wǎng)的重要組成部分不僅能覆蓋有線難以敷設(shè)區(qū)域，同時滿足移動辦公和訪客需求，由各型終端AP和控制器組成。18網(wǎng)絡(luò)技術(shù)選型在以太網(wǎng)技術(shù)中，1000BaseT是一個里程碑，確立了以太網(wǎng)技術(shù)在桌面的統(tǒng)治地位。千兆以太網(wǎng)以及隨后出現(xiàn)的萬兆以太網(wǎng)標準是兩個比較重要的標準，以太網(wǎng)技術(shù)通過這兩個標準從桌面的局域網(wǎng)技術(shù)延伸到園區(qū)網(wǎng)以及城域網(wǎng)的匯聚和骨干。以太網(wǎng)采用CSMA/CD機制，即帶碰撞檢測的載波監(jiān)聽多重訪問。千兆以太網(wǎng)接口基本應(yīng)用在點到點線路，不再共享帶寬。碰撞檢測，載波監(jiān)聽和多重訪問已不再重要。千兆以太網(wǎng)與傳統(tǒng)低速以太網(wǎng)最大的相似之處在于采用相同的以太網(wǎng)幀結(jié)構(gòu)。萬兆以太網(wǎng)技術(shù)與千兆以太網(wǎng)類似，仍然保留了以太網(wǎng)幀結(jié)構(gòu)。通過不同的編碼方式或波分復(fù)用提供10Gbit/s傳輸速度。所以就其本質(zhì)而言，10G以太網(wǎng)仍是以太網(wǎng)的一種類型。根據(jù)昌吉州醫(yī)院的實際情況：1.主干網(wǎng)絡(luò)采用萬兆以太網(wǎng)技術(shù)，千兆到桌面；2,核心層與匯聚層通過1組千兆光纖采用鏈路匯聚連接，后續(xù)為了的鏈路冗余擴展考慮，在核心和匯聚之間預(yù)留光接口，使得后續(xù)兩者之間的光鏈路可以升級為2組；3.匯聚層到接入層采用1組千光纖連接；19

4,樓層接入交換機根據(jù)物理臺數(shù)合理選擇堆疊上聯(lián)或是單機上聯(lián)模式，千兆到桌面；5,樓層接入交換機根據(jù)無線終端AP、監(jiān)控節(jié)點合理選擇POE模式；6,現(xiàn)有感染科和神經(jīng)外科樓層新增核心交換機，升級原來所有交換機之間級聯(lián)的模式。3.3網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計較大規(guī)模的網(wǎng)絡(luò)設(shè)計通常要遵循層次化設(shè)計模型。網(wǎng)絡(luò)可分為核心層、匯聚層和接入層。以無線網(wǎng)絡(luò)作為有益的補充或替代。*■SNC網(wǎng)管系統(tǒng)，*■SNC網(wǎng)管系統(tǒng)，SMP身份系統(tǒng)20基礎(chǔ)網(wǎng)絡(luò)結(jié)構(gòu)模型核心層主要承擔(dān)高速數(shù)據(jù)交換的任務(wù)，同時要為各匯聚節(jié)點提供最佳傳輸通道。匯聚層的主要任務(wù)是把大量來自接入層的訪問路徑進行匯聚和集中，承擔(dān)路由聚合和訪問控制的任務(wù)。這就要求匯聚層設(shè)備必須具備良好的可擴展性，必須使用模塊化的體系結(jié)構(gòu)，可通過增加板卡提高端口密度，以便匯接更多的接入層設(shè)備。接入層的主要任務(wù)是完成用戶的接入，它直接和用戶連接，可能遭受ARP風(fēng)暴、MAC掃描、ICMP風(fēng)暴、帶寬攻擊等等攻擊方式，對安全性的要求很高，另一方面必須提供靈活的用戶管理手段。通過層次化的網(wǎng)絡(luò)設(shè)計，網(wǎng)絡(luò)的不同層次設(shè)備承擔(dān)不同的任務(wù)，使整個網(wǎng)絡(luò)結(jié)構(gòu)清晰，便于維護和管理，便于以后的網(wǎng)絡(luò)擴展。21醫(yī)院網(wǎng)絡(luò)安全三級架構(gòu)拓撲圖萬兆光紇兒童醫(yī)院昌吉州人民醫(yī)院（內(nèi)外陽）網(wǎng)絡(luò)拓撲圖小內(nèi)科樓千兆光纖精神衛(wèi)生樓中醫(yī)樓無稅控詞典門沙內(nèi)科樓外科樓萬兆光紇兒童醫(yī)院昌吉州人民醫(yī)院（內(nèi)外陽）網(wǎng)絡(luò)拓撲圖小內(nèi)科樓千兆光纖精神衛(wèi)生樓中醫(yī)樓無稅控詞典門沙內(nèi)科樓外科樓內(nèi)外網(wǎng)融合架構(gòu)下網(wǎng)絡(luò)拓撲圖核心層設(shè)計核心層：由高性能的設(shè)備和高速冗余的鏈路構(gòu)成，實現(xiàn)數(shù)據(jù)的高速轉(zhuǎn)發(fā)、負載均衡、流量控制、網(wǎng)絡(luò)管理等功能。在網(wǎng)絡(luò)的中心節(jié)點，核心層的設(shè)備傳統(tǒng)上會使用高性能的交換機和高速路由器來進行第二層交換和第三層路由。在網(wǎng)絡(luò)核心層，網(wǎng)絡(luò)核心設(shè)備不僅要能保證第二層的交換和第三層的路由，還要提供完善的虛擬網(wǎng)劃分，多協(xié)議路由，QoS處理，以及多媒體的通信支持。22網(wǎng)絡(luò)核心設(shè)備一定有可靠性。例如電源供應(yīng)雙備份，主處理器模塊雙備份，網(wǎng)絡(luò)端口模塊支持熱插拔，以及能做到雙機備份。這樣萬一設(shè)備出現(xiàn)單點故障，也不影響整個網(wǎng)絡(luò)的正常運行。針對醫(yī)療行業(yè)特點和行業(yè)用戶需求，核心層設(shè)計為數(shù)據(jù)中心交換機：1、將核心交換機全部虛擬化，建造網(wǎng)絡(luò)池塘。虛擬交換單元（VSU）多變一虛擬化，消除單點故障的同時，提升交換機的工作性能，實現(xiàn)1+1>2的效果；虛擬機交換方式（VEPA）：將服務(wù)器軟的虛擬交換機回歸到硬件的虛擬交換機，降低服務(wù)器CPU使用性能、讓網(wǎng)絡(luò)管理邊界清晰、網(wǎng)絡(luò)流量可監(jiān)管。2、數(shù)據(jù)中心交換機為每個連接到當(dāng)前以太網(wǎng)接口的主機動態(tài)/靜態(tài)生成一個“FCoE接口”，幫助醫(yī)院輕松整合異構(gòu)的光纖和以太網(wǎng)兩張網(wǎng)，減少網(wǎng)絡(luò)中的設(shè)備數(shù)量，既能真正實現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)的融合，又能充分保護既有投資。3、為了完美應(yīng)對全院PACS影像傳輸系統(tǒng)，輕松實現(xiàn)高峰期歷史病歷隨時調(diào)用，保證主、備機房海量數(shù)據(jù)傳輸實時，交換機提供單板48口萬兆模塊，4口100G高速轉(zhuǎn)發(fā)模塊，大容量緩存。4、為了保證以太網(wǎng)數(shù)據(jù)傳輸0丟失，和基于業(yè)務(wù)的優(yōu)先級排隊。（PFC）技術(shù)對802.3中規(guī)定的以太網(wǎng)Pause機制進行了增強，提供一種基于隊列的無丟包技術(shù)，帶寬管理技術(shù)（ETS）,可以在多種以太網(wǎng)流量共存情況下進行共享帶寬的處理，對以太網(wǎng)光纖通道（FCoE）的流量報文進行帶寬保障。23匯聚層設(shè)計匯聚層，是多臺接入層交換機的匯聚點，它必須能夠處理來自接入層設(shè)備的所有通信量，并提供到核心層的上行鏈路，匯聚層交換機極易形成網(wǎng)絡(luò)瓶頸，因此要保證交換機具備真正線速無阻塞。根據(jù)匯聚層交換機端口數(shù)和速率計算，其主要性能參數(shù)應(yīng)滿足：包轉(zhuǎn)發(fā)率理論應(yīng)滿足：28*1.488Mbps+12*14.88M>219Mbps交換容量理論應(yīng)滿足：28*1Gbps*2+12*10Gbps*2>296Gbps匯聚層交換機同時應(yīng)具備足夠千兆光模塊接口，并支持萬兆模塊上聯(lián)。針對醫(yī)療行業(yè)特點和行業(yè)用戶需求，匯聚層設(shè)計為數(shù)據(jù)中心交換機：1、匯聚交換機通過千兆/萬兆鏈路和骨干核心交換機連接，實現(xiàn)雙歸屬設(shè)計，保證鏈路的高可靠性。2、匯聚交換機支持高性能的數(shù)據(jù)處理能力，匯總路由，降低核心路由表項，降低核心路由交換壓力。3、匯聚交換機可以通過核心層設(shè)備構(gòu)成環(huán)狀結(jié)構(gòu)，快速定位故障點、對網(wǎng)絡(luò)攻擊、病毒和破壞盡量控制在邊緣完成，使全網(wǎng)架構(gòu)更加健壯，提升網(wǎng)絡(luò)高可用性。244、匯聚到接入采用千兆下聯(lián)，確保網(wǎng)絡(luò)高帶寬、低時延，提升看病的效率。接入層設(shè)計接入層負責(zé)所有信息節(jié)點的接入，由高性能設(shè)備和高速冗余的鏈路構(gòu)成，實現(xiàn)數(shù)據(jù)的高速轉(zhuǎn)發(fā)、路由快速匯聚、負載均衡、流量控制、網(wǎng)絡(luò)管理等功能。針對醫(yī)療行業(yè)特點和行業(yè)用戶需求，接入層設(shè)計為可網(wǎng)管交換機：1、提供特有的CPU保護控制機制，對發(fā)送到CPU的數(shù)據(jù)進行帶寬控制，以避免非法者對CPU的惡意攻擊，充分保障了接入交換在發(fā)生安全事件時的穩(wěn)定性。2、針對網(wǎng)絡(luò)的實際使用環(huán)境，實施靈活多樣的安全控制策略，有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊，控制非法用戶接入和使用網(wǎng)絡(luò)，充分保證安全設(shè)備和網(wǎng)絡(luò)設(shè)備的聯(lián)動控制。3、千兆到桌面，合理化地使用網(wǎng)絡(luò)資源，滿足了PACS影像系統(tǒng)對網(wǎng)絡(luò)流量成倍提高和遠程會診等多媒體業(yè)務(wù)的迅速增長的需要。網(wǎng)絡(luò)路由設(shè)計根據(jù)二附院新建大樓項目情況，在方案中選擇采用OSPF路由技術(shù)。OSPF25通過路由器之間通告網(wǎng)絡(luò)接口的狀態(tài)來建立鏈路狀態(tài)數(shù)據(jù)庫，生成最短路徑樹，每個OSPF路由器使用這些最短路徑構(gòu)造路由表。OSPF最佳適用環(huán)境：,“開放式最短路徑優(yōu)先（OSPF）”路由環(huán)境最適合較大型到特大型、多路徑、動態(tài)IP網(wǎng)際網(wǎng)絡(luò)；.大型到特大型網(wǎng)際網(wǎng)絡(luò)包含50個以上的網(wǎng)絡(luò)；.網(wǎng)絡(luò)細分區(qū)域較多，路由策略復(fù)雜，不適宜采用靜態(tài)路由的網(wǎng)絡(luò)；.大中型企業(yè)、園區(qū)廠區(qū)、校園；.全球性企業(yè)或校園網(wǎng)際網(wǎng)絡(luò)。3.3.6無線設(shè)計無線局域網(wǎng)（WLAN）使用的傳輸不再使用雙絞線或光纖，而是是紅外線（IR）或射頻（RF）?，F(xiàn)在大多數(shù)無線LAN都在使用2.4千兆赫（GHz）的頻率波段。無線網(wǎng)絡(luò)的自由性和靈活性既可用于建筑物內(nèi)部也可用于建筑物之間，特別是在古建筑、玻璃幕墻、空曠開間等物理線纜不易敷設(shè)的情況時。將WLAN技術(shù)應(yīng)用于桌面系統(tǒng)可以為一個組織提供傳統(tǒng)LAN所不能提供的靈活性。桌面客戶機系統(tǒng)可以被放置在不可能進行或不適于進行布線的地方。桌面PC可以根據(jù)需要在設(shè)施內(nèi)的任何地方進行重新部署，這一特性使無線方26案成為臨時工作組或快速成長組織的理想選擇無線網(wǎng)絡(luò)已經(jīng)得到越來越多的應(yīng)用，成為有線網(wǎng)絡(luò)覆蓋的有力補充和替代方案，無線網(wǎng)絡(luò)設(shè)計在醫(yī)院具體來說有以下幾個方面的具體需求：1、無線網(wǎng)絡(luò)信號覆蓋。在很多醫(yī)院大樓，不僅墻體厚、鋼筋配比非常高，在大樓裝修方面更是挖空心思、不遺余力，使得病房信號極差，尤其值得一提的是衛(wèi)生間后面，沒有信號或者只有微弱的信號，而那里正是人民醫(yī)院醫(yī)護人員查房輸液停留時間最長的地方。無線使用零漫游方案（詳見無線建設(shè)方案），一個接入點下面分出48根天線，每根天線都伸到房間里面，這樣每個接入點只管48個房間，既保證了每個房間里面信號無死角而且很強，還使得維護很方便（如果同一個接入點下面的48個房間都有信號問題，那一定是接入點有問題，如果只有一個房間有問題，那肯定是這個接入點的天線接口或者天線有問題）。同時，因為每兩個接入點的距離拉開了，信號之間的干擾也變得很小，經(jīng)過我公司的現(xiàn)場測試，使用者幾乎感覺不到移動終端設(shè)備的中斷掉線或者系統(tǒng)的重新登陸。2、無線網(wǎng)絡(luò)數(shù)據(jù)傳輸傳統(tǒng)的部署方式，通過核心交換機將數(shù)據(jù)傳給控制器，再由控制器轉(zhuǎn)發(fā)給服務(wù)器或者數(shù)據(jù)庫，一旦控制器壞了或者鏈接控制器的線纜接口有問題，無線27網(wǎng)絡(luò)就斷了，就算將控制器做成互備的，也只是達到了相對安全（人工手動啟動另一臺控制器，操作技術(shù)含量高，難實現(xiàn)，且可能存在另一臺控制器長時間不用已經(jīng)壞掉了，卻不知道。）。當(dāng)控制器斷開時候，不論是哪種原因斷開，本系統(tǒng)選用設(shè)備的接入點直接將數(shù)據(jù)通過核心交換機發(fā)送給數(shù)據(jù)庫或者服務(wù)器，再一次使無線系統(tǒng)具備了有線核心交換機的穩(wěn)定策略。真正做到：只要接入點不發(fā)生物理故障損壞，無線網(wǎng)絡(luò)保證沒問題。3、無線網(wǎng)絡(luò)接入安全2011年多家醫(yī)院出現(xiàn)黑客通過有線端口連接無線路由器，在患者候診區(qū)進行醫(yī)院數(shù)據(jù)盜取。國家衛(wèi)生部頒發(fā)的等級保護實施指導(dǎo)意見中，安全接入策略是要兩種或兩種以上的安全策略同時開啟，進行保護。本方案中選擇的無線安全結(jié)合傳統(tǒng)有線的安全策略IP和MAC地址的綁定基礎(chǔ)上，又增加了WEB界面的認證、802.1X認證等策略，保證登到無線網(wǎng)絡(luò)中的主機安全。28

3.3.7安全模塊設(shè)計應(yīng)用奈筑、網(wǎng)站服落應(yīng)用奈筑、網(wǎng)站服落安全保證體系入侵防爐安全網(wǎng)關(guān)安全保證體系入侵防爐安全網(wǎng)關(guān)網(wǎng)絡(luò)室統(tǒng)基礎(chǔ)運行環(huán)境 : [/ 一]「[機房珥境）[UPE電源 綜合布線系統(tǒng)如圖所示，安全保障體系可以劃分為身份鑒別、訪問控制、安全防護和存儲備份幾部分，其中，訪問控制層包括安全網(wǎng)關(guān)、訪問控制系統(tǒng)，身份鑒別層包括用戶身份認證系統(tǒng)、證書注冊管理系統(tǒng)、用戶鑒權(quán)訪問系統(tǒng)和實體鑒別器，安全防護層包括防病毒系統(tǒng)、防火墻、入侵防御、漏洞掃描系統(tǒng)、安全監(jiān)控系統(tǒng)、網(wǎng)頁防篡改系統(tǒng)等。針對醫(yī)療行業(yè)特點和行業(yè)用戶需求，網(wǎng)絡(luò)安全設(shè)計凸顯為各安全產(chǎn)品全局聯(lián)動控制：1、通過網(wǎng)絡(luò)準入（SMP）與桌面管理軟件聯(lián)動：兩者相結(jié)合的統(tǒng)一部署、統(tǒng)一管理的方式，實現(xiàn)終端的安全管理；2、通過SMP和IDS的聯(lián)動：IDS對網(wǎng)絡(luò)中的應(yīng)用數(shù)據(jù)進行安全檢測，當(dāng)29

發(fā)現(xiàn)異常數(shù)據(jù)（如多次嘗試數(shù)據(jù)庫帳號等），將告警信息直接轉(zhuǎn)化為安全策略，下發(fā)至該用戶的接入交換機，對該用戶進行安全控制，讓信息科員工無為而治；3、通過SMP與防火墻聯(lián)動：通過防火墻對業(yè)務(wù)系統(tǒng)進行安全隔離，并針對不同科室的用戶分配訪問不同業(yè)務(wù)區(qū)域的權(quán)限，實現(xiàn)基于用戶、基于業(yè)務(wù)的網(wǎng)絡(luò)權(quán)限控制；4、通過SMP與數(shù)據(jù)庫審計（DBS）聯(lián)動：將網(wǎng)絡(luò)準入時的身份認證與數(shù)據(jù)庫的審計操作相關(guān)聯(lián)，五位一體（誰在什么時間、什么地點，對什么應(yīng)用，做了什么樣的操作）精準定位。這不僅讓客戶真正對統(tǒng)方行為、竊取或者篡改數(shù)據(jù)的人有了威懾的工具，還可以在發(fā)生安全事故時候免責(zé)，甚至立功。30

3.4細部設(shè)計醫(yī)院三級網(wǎng)絡(luò)架構(gòu)劃分萬兆光線昌吉州人民醫(yī)院（內(nèi)外網(wǎng)）網(wǎng)絡(luò)拓撲困千兆光纖萬兆光線昌吉州人民醫(yī)院（內(nèi)外網(wǎng)）網(wǎng)絡(luò)拓撲困千兆光纖門診內(nèi)科樓醫(yī)院三級醫(yī)院網(wǎng)絡(luò)拓撲圖上圖所示為設(shè)計的二附院醫(yī)院網(wǎng)絡(luò)架構(gòu)設(shè)計，在該項目中，應(yīng)始終將網(wǎng)絡(luò)架構(gòu)設(shè)計和用戶群體屬性相結(jié)合，充分考慮網(wǎng)絡(luò)性能需求和關(guān)鍵業(yè)務(wù)要求，合理設(shè)計網(wǎng)絡(luò)設(shè)備和各樓宇接入劃分，并制定相應(yīng)的訪問合理的控制策略。網(wǎng)絡(luò)區(qū)域細化VLAN的劃分可以遵循很多種方式，可以基于業(yè)務(wù)、部門、地理位置、用戶等信息進行劃分，經(jīng)過劃分VLAN，可以減小廣播域的范圍，可以緩解廣播31型的攻擊對網(wǎng)絡(luò)的影響，同時，急于某種原則進行VLAN的劃分也有利于網(wǎng)絡(luò)工程師對網(wǎng)絡(luò)進行管理。某醫(yī)院項目引用廣泛，對網(wǎng)絡(luò)的安全性、穩(wěn)定性要求較高，希望通過VLAN的劃分較少病毒攻擊影響的范圍，且能夠簡單方便的進行日常的網(wǎng)絡(luò)維護?；谝陨闲枨螅t(yī)院網(wǎng)絡(luò)按照部門進行VLAN的劃分。VLAN規(guī)劃及IP地址分配部門網(wǎng)段掩碼vlanid網(wǎng)關(guān)地址領(lǐng)導(dǎo)辦公室（7-8層）/246054傳染病與地方病防治所/246254性病與艾滋病防治研究所/246454學(xué)校衛(wèi)生與食品營養(yǎng)安全所/246654慢病防治與健康教育所/246854質(zhì)量管理科/247054免疫預(yù)防所/247254環(huán)境衛(wèi)生監(jiān)測所/247454職業(yè)衛(wèi)生監(jiān)測所/247654預(yù)防醫(yī)學(xué)診療中心/247854病媒生物防治所/248054消毒檢測所/248254樣品受理辦公室/248454理化檢驗所/248654微生物檢驗所/248854病毒檢驗所/249054中心辦公室/249254業(yè)務(wù)辦公室/249454組織人事科/249654監(jiān)察室離退休人員管理科/24985432

審計科信息管理科/2410054藥品器械管理科/2410254計劃財務(wù)科/2410454總務(wù)科/2410654Other/2410854無線用戶/2411054服務(wù)器區(qū)/2411254無線設(shè)備管理/2460054VLAN間訪問控制策略訪問控制策略一xx服務(wù)器Vlanxx服務(wù)器Vlanxx終端機Vlanxx服務(wù)器Vlanxx終端機Vlanxx終端機Vlanxx服務(wù)器Vlan--允許允許允許允許允許xx服務(wù)器Vlan允許--禁止允許禁止禁止xx終端機Vlan允許禁止--允許禁止禁止xx服務(wù)器Vlan允許允許禁止--禁止禁止xx終端機Vlan允許禁止禁止允許--禁止xx終端機Vlan允許禁止禁止禁止禁止--信息節(jié)點對應(yīng)表序號部門責(zé)任人主機名IPMACVLAN墻面信息點號對端設(shè)備連接端口1001XX001XX001XX0010010012002XX002XX002XX0020020023003XX003XX003XX0030030034004XX004XX004XX0040040045005XX005XX005XX0050050056006XX006XX006XX0060060067007XX007XX007XX0070070078008XX008XX008XX0080080089XXXXXXXXXXXXXXXXXXNXXXXXXXXXXXXXXXXXX333.4.3設(shè)備及設(shè)備端口命名規(guī)則以二附院為例，內(nèi)部網(wǎng)絡(luò)網(wǎng)絡(luò)設(shè)備命名規(guī)則如下:字段1連接符號字段2連接符號字段3連接符號字段4設(shè)備序號EFYYYYZZZWWWnn字段1：用于標識設(shè)備物理區(qū)域位置，對XX醫(yī)院為：以“TCFY醫(yī)院內(nèi)網(wǎng)〃為例，可以標識為IN以“TCFY醫(yī)院外網(wǎng)〃為例，可以標識為OUT字段2：用于標識設(shè)備功能，根據(jù)二附院醫(yī)院的整體網(wǎng)絡(luò)結(jié)構(gòu)，定義為:核心層交換機：CS接入層交換機：AS廣域網(wǎng)接入路由器：AR字段3：字段3用于標識設(shè)備位置，根據(jù)XX醫(yī)院的整體邏輯層次，定義為：5層接入交換機：L0510層接入層交換機：L10如果是單臺設(shè)備，可跟設(shè)備型號?字段4：字段4用于標識設(shè)備型號?Nn：標識網(wǎng)絡(luò)設(shè)備編號（01?99）例如：“內(nèi)網(wǎng)11層第二臺S2928G接入交換機”，根據(jù)以上的原則命名為:34INASL11S2927G02“外網(wǎng)8層第1臺S2952G接入交換機”，根據(jù)以上的原則命名為:OUTASL08S2952G013.4.4線纜標識和描述規(guī)則線纜標識規(guī)則設(shè)備名稱-Slot-Portto設(shè)備名稱-Slot-Port注：設(shè)備名稱遵循設(shè)備命名規(guī)則。設(shè)備配置中的端口描述規(guī)則:設(shè)備名稱-Slot-Portto設(shè)備名稱-Slot-Port3.5設(shè)備選型設(shè)計適用性與先進性相結(jié)合的原則：不同品牌的交換機產(chǎn)品價格差異較大，功能也不一樣，因此選擇時不能只看品牌或追求高價，也不能只看價錢低的，應(yīng)該根據(jù)應(yīng)用的實際情況，選擇性能價格比高，既能滿足目前需要，又能適應(yīng)未來幾年網(wǎng)絡(luò)發(fā)展的交換機。選擇市場主流產(chǎn)品的原則：選擇交換機時，應(yīng)選擇在國內(nèi)市場上有相當(dāng)?shù)姆蓊~，具有高性能、高可靠性、高安全性、高可擴展性、高可維護性的產(chǎn)品。安全可靠的原則：交換機的安全決定了網(wǎng)絡(luò)系統(tǒng)的安全，選擇交換機時這一點是非常重要的，支持MAC-IP-端口綁定、交換機私自串聯(lián)報35

警、ACL、QoS等技術(shù)。產(chǎn)品與服務(wù)相結(jié)合的原則：選擇交換機時，既要看產(chǎn)品的品牌又要看生產(chǎn)廠商和銷售商品是否有強大的技術(shù)支持、良好的售后服務(wù)，否則買回的交換機出現(xiàn)故障時既沒有技術(shù)支持又沒有產(chǎn)品服務(wù)，使企業(yè)蒙受損失。.選型推薦根據(jù)醫(yī)院實際使用需求，在方案中核心交換機采用N18K，匯聚交換機采用55750，接入交換采用S2952G-E，無線控制器采用WS-5708,無線接入點采用AP320-I，安全產(chǎn)品采用IDP、DBS、SMP、防火墻和桌面管理組件。.部署與配置根據(jù)上節(jié)推薦型號組合情況，簡單示意出其邏輯連接圖。 .sOSPFAREA0 .sOSPFAREA036圖3-4三層協(xié)議規(guī)劃12000-2mTiOi8G0e-38606-4MSTP-40VRRP匯聚區(qū)匯票區(qū)醫(yī)院服務(wù)器區(qū)SB6即,2ISTP=81I92OSPFAREAOSERVER:VRR;門診樓MSTP:4DMBPDUFilter+RLDP環(huán)路檢測+自動恢復(fù)方案樓層接入?yún)^(qū) S2952G走共計招臺MSTF:B19212000-2mTiOi8G0e-38606-4MSTP-40VRRP匯聚區(qū)匯票區(qū)醫(yī)院服務(wù)器區(qū)SB6即,2ISTP=81I92OSPFAREAOSERVER:VRR;門診樓MSTP:4DMBPDUFilter+RLDP環(huán)路檢測+自動恢復(fù)方案樓層接入?yún)^(qū) S2952G走共計招臺MSTF:B192S120001VRRPmWp：軸96MSTFTB19OSPFAREA0住院樓醫(yī)院戰(zhàn)勢器區(qū);樓層接入?yún)^(qū);F兆單模光纖；千兆弟嗓光纖'■千罪雙線錢圖圖3-5 二層協(xié)議規(guī)劃無線零漫游部署圖無線零漫游部署圖3737EMREMR安全產(chǎn)品安全管理平臺EMREMR安全產(chǎn)品安全管理平臺圖3-7網(wǎng)絡(luò)安全效果保障圖4,主設(shè)備選型詳細參數(shù)及產(chǎn)品制造商資質(zhì)序號設(shè)備名稱參數(shù)類別詳細參數(shù)1匯聚交換機A硬件規(guī)格★固化端口：耳28個10/100/1000Mbps電口，14個SFP+光口★設(shè)備可提供2個擴展槽★交換容量1598Gbps★包轉(zhuǎn)發(fā)率1222Mpps整機采用綠色環(huán)保設(shè)計，滿負荷情況下電源功率W70W,要求提供官網(wǎng)截圖?！餅樘嵘O(shè)備適應(yīng)環(huán)境的能力，保證壽命更長，要求所投產(chǎn)品必須涂裝三防漆，充分提升設(shè)備防腐蝕能力，符合GB-T2423.51-2000標準，需提供第三方權(quán)威機構(gòu)測試報告；★設(shè)備MAC地址164K,以第三方權(quán)威機構(gòu)測試報告為準★設(shè)備ARP表項120K,以第三方權(quán)威機構(gòu)測試報告為準基本功能★支持RIP,OSPF,BGP,RIPng,OSPFv3,BGP4+★支持IGMPv1/v2/v3,IGMPv1/v2/v3Snooping★支持基本的QinQ,支持靈活的QinQ★產(chǎn)品支持sFlow網(wǎng)絡(luò)監(jiān)測技術(shù)，可提供完整的第二層到第四層信息，可以適應(yīng)超大網(wǎng)絡(luò)流量環(huán)境下的流量分析，讓用戶詳細、實時地分析網(wǎng)絡(luò)傳輸流的性能、趨勢和存在的問題。以第三方權(quán)威機構(gòu)測試報告為準。38

★支持虛擬化功能（通過堆疊模塊或非堆疊模塊兩種方法實現(xiàn)）★產(chǎn)品支持ITU-TG.8032ERPS★符合國家低碳環(huán)保等政策要求，支持IEEE802.3az標準的EEE節(jié)能技術(shù)?！锂a(chǎn)品支持軟件定義網(wǎng)絡(luò)SDN,符合OpenFlow1.3協(xié)議標準，支持SDN和SDNReady功能，需提供第三方權(quán)威結(jié)構(gòu)測試報告；產(chǎn)品資質(zhì)★提供工信部IPv4/IPv6三層設(shè)備進網(wǎng)許可證復(fù)印件，提供Ipv4/IPv6入網(wǎng)測試報告；提供電信設(shè)備進網(wǎng)管理官方網(wǎng)站鏈接和說明；★設(shè)備遵守國家標準的設(shè)計規(guī)則，并提供中國質(zhì)量認證中心出具的《中國國家強制性產(chǎn)品認證證書》★設(shè)備支持IPv6Ready第二階段認證證書公司資質(zhì)★設(shè)備生產(chǎn)公司通過CMMIL4級評估，有能力為客戶提供更加穩(wěn)定、更高質(zhì)量保證的產(chǎn)品2匯聚交換機B硬件規(guī)格★固化端口：耳28個10/100/1000Mbps光口，14個SFP+光口★設(shè)備可提供2個擴展槽★交換容量1598Gbps★包轉(zhuǎn)發(fā)率1222Mpps基本功能★支持RIP,OSPF,BGP,RIPng,OSPFv3,BGP4+★支持IGMPv1/v2/v3,IGMPv1/v2/v3Snooping★支持基本的QinQ,支持靈活的QinQ★要求所投產(chǎn)品支持sFlow網(wǎng)絡(luò)監(jiān)測技術(shù)，可提供完整的第二層到第四層信息，可以適應(yīng)超大網(wǎng)絡(luò)流量環(huán)境下的流量分析，讓用戶詳細、實時地分析網(wǎng)絡(luò)傳輸流的性能、趨勢和存在的問題。以第三方權(quán)威機構(gòu)測試報告為準?！镏С痔摂M化功能（通過堆疊模塊或非堆疊模塊兩種方法實現(xiàn)）?！锂a(chǎn)品支持ITU-TG.8032ERPS★符合國家低碳環(huán)保等政策要求，支持IEEE802.3az標準的EEE節(jié)能技術(shù)。產(chǎn)品支持端口休眠；產(chǎn)品支持模塊化操作系統(tǒng)，支持針對單一模塊打熱補丁，故障模塊升級中不影響其他進程的正常運行和業(yè)務(wù)轉(zhuǎn)發(fā)；★產(chǎn)品支持軟件定義網(wǎng)絡(luò)SDN,符合OpenFlow1.3協(xié)議標準，支持SDN和SDNReady功能，提供第三方權(quán)威結(jié)構(gòu)測試報告；產(chǎn)品資質(zhì)★具備工信部IPv4/IPv6三層設(shè)備進網(wǎng)許可證復(fù)印件,可提供Ipv4/IPv6入網(wǎng)測試報告；可提供電信設(shè)備進網(wǎng)管理官方網(wǎng)站鏈接和說明；★設(shè)備遵守國家標準的設(shè)計規(guī)則，可提供中國質(zhì)量認證中心出具的《中國國家強制性產(chǎn)品認證證書》39

★設(shè)備支持IPv6Ready第二階段認證證書公司資質(zhì)★所投產(chǎn)品生產(chǎn)制造公司通過CMMIL4級評估，有能力為客戶提供更加穩(wěn)定、更高質(zhì)量保證的產(chǎn)品3接入交換機整機性能★交換容量1256Gbps★轉(zhuǎn)發(fā)性能150Mpps★固化10/100/1000M以太網(wǎng)端口124,非復(fù)用SFP千兆光接口14個，最大可用千兆口128★配置及日志存儲等簡化維護和管理，支持USB端口要求設(shè)備采用靜音無風(fēng)扇節(jié)能設(shè)計，要求提供官網(wǎng)截圖?；竟δ堋镏С諭Pv4和IPv6的三層路由和組播功能支持DHCPClient、DHCPRelay、DHCPSnooping、DHCPSnoopingTrust★支持IPv4ACL,配置支持源/目的IPv6地址、源/目的端口的硬件中丫6ACL,人6180,可提供國家級權(quán)威機構(gòu)測試報告作為證明★設(shè)備能檢測到攻擊源，并將攻擊源隔離，保護交換機工作的穩(wěn)定性，提供國家級權(quán)威機構(gòu)測試報告作為證明★支持同時開啟IPv4、IPv6ACL、802.1X認證、web認證、防ARP欺騙，CPU保護功能同時開啟，不會相互沖突、制約；提供國家級權(quán)威機構(gòu)測試報告作為證明。設(shè)備具有堆疊功能，堆疊后單端口堆疊帶寬12.56,雙向達到56?？商峁﹪壹墮?quán)威機構(gòu)測試報告。符合國家低碳環(huán)保等政策要求，支持IEEE802.3az標準的EEE節(jié)能技術(shù)★設(shè)備具有節(jié)能設(shè)計，滿載工作情況下功耗W27W。管理特性支持SNMPv1/v2C/v3、CLI(Telnet/Console)、RMON(1,2,3,9)、SSH、Syslog、NTP/SNTP產(chǎn)品資質(zhì)提供工信部進網(wǎng)許可證復(fù)印件4光纖模塊基本功能千兆單模光纖模塊3.6關(guān)鍵技術(shù)點萬兆網(wǎng)絡(luò)技術(shù)醫(yī)院的一個主要業(yè)務(wù)特點是數(shù)據(jù)量大，醫(yī)療數(shù)據(jù)從自由文本發(fā)展到結(jié)構(gòu)化，如患者的電子病歷，再到醫(yī)學(xué)影像以及動態(tài)影像等，大型醫(yī)院每天可產(chǎn)生超過10G的新增數(shù)據(jù)，數(shù)據(jù)總量以數(shù)百TB計算。40核心到匯聚設(shè)備的骨干鏈路采用萬兆帶寬，核心設(shè)備采用兩臺基于100G平臺的數(shù)據(jù)中心交換機RG-S86E系列，配置高性能40G模塊互聯(lián)，滿足穩(wěn)定可靠、高寬帶、大容量、高性能和高速率及網(wǎng)絡(luò)擴展的要求。RG-S86E采用先進的多級矩陣交換架構(gòu)和CLOS轉(zhuǎn)發(fā)機制，采用性能更高、可擴展性更好的多級多平面無阻塞交換架構(gòu)，充分滿足醫(yī)院數(shù)據(jù)中心應(yīng)用及未來發(fā)展需要。ngress圖3-8控制突發(fā)性流量示意圖RG-12010核心設(shè)備分布式大緩存吸附鏈路突發(fā)流量。上行、下行分別獨立報文緩存配置，啟動流控后，上下行緩存配合使用，上行、下行緩存獨立可擴展。整機擴展支持6G超大緩存，業(yè)界緩存能力最高，分布式緩存能緩沖更大的突發(fā)業(yè)務(wù)流量，增強數(shù)據(jù)中心持續(xù)業(yè)務(wù)能力，吸附數(shù)據(jù)中心與核心網(wǎng)突發(fā)流量，尤其適應(yīng)未來云計算網(wǎng)絡(luò)中的搜索等各種突發(fā)性業(yè)務(wù)。41VSU虛擬化技術(shù)醫(yī)院網(wǎng)絡(luò)因為門診樓、醫(yī)技樓、住院樓等多樓宇群連接，網(wǎng)絡(luò)拓撲復(fù)雜，機柜跳線連接凌亂，經(jīng)常出現(xiàn)冗余鏈路連接錯誤，使得網(wǎng)絡(luò)中出現(xiàn)環(huán)路，不得不配置MSTP協(xié)議消除環(huán)路。可是實際應(yīng)用中存在影像圖片傳輸時候，鏈路流量比較大導(dǎo)致BPDU報文丟失，MSTP拓撲振蕩，影響網(wǎng)絡(luò)的正常運行；數(shù)據(jù)中心交換通常采用雙機熱備，但是故障恢復(fù)時間一般在秒級。如VRRP協(xié)議，狀態(tài)為master的交換機發(fā)生故障，處于backup狀態(tài)的交換機至少要等3秒鐘甚至更久，才會切換成master，可是因為醫(yī)療數(shù)據(jù)傳輸具有很強的敏感性，一旦丟包2到3個，檢驗（LIS）、電子病歷（EMR）等系統(tǒng)需要重新登陸，使得正在操作數(shù)據(jù)丟失導(dǎo)致返工；和傳統(tǒng)網(wǎng)絡(luò)相比，VSU虛擬化技術(shù)的優(yōu)勢有:VSU圖3-9VSU組網(wǎng)示意圖42簡化管理。兩臺交換機組成VSU以后，管理員可以對兩臺交換機統(tǒng)一管理，而不需要連接到兩臺交換機分別進行配置和管理。簡化網(wǎng)絡(luò)拓撲。VSU在網(wǎng)絡(luò)中相當(dāng)于一臺交換機，通過聚合鏈路和外圍設(shè)備連接，不存在二層環(huán)路，沒必要配置MSTP協(xié)議，各種控制協(xié)議是作為一臺交換機運行的，例如單播路由協(xié)議，VSU作為一臺交換機，減少了設(shè)備間大量協(xié)議報文的交互，縮短了路由收斂時間。故障恢復(fù)時間縮短到毫秒級。VSU和外圍設(shè)備通過聚合鏈路連接，如果其中一條成員鏈路出現(xiàn)故障，切換到另一條成員鏈路的時間是50到200毫秒。VSU和外圍設(shè)備通過聚合鏈路連接，既提供了冗余鏈路，又可以實現(xiàn)負載均衡，充分利用所有帶寬。無線零漫游目前醫(yī)院采用的無線設(shè)計有放裝、室分和智分三種方式，通過對比看到無線智分是最適合醫(yī)院，同時也是最適合弱電施工的部署方案：AP放裝方式指的是AP和天線都部署在走廊的方式，這種方式為傳統(tǒng)部署方式，其特點為部署簡單，造價較低，但是如密集部署，會導(dǎo)致干擾過大，性能下降，只適合于人員較少，較為空曠的部署場景。不適合于密集部署的醫(yī)院，在住院病房樓中不利于無線信號的衍射，一般來說，這樣會造成信號在房間中衰減過大，將導(dǎo)致房間外信號非常強，而房間內(nèi)信號弱，無法滿足正常上43

網(wǎng)。具體部署方式如圖所示:圖3-10放裝部署圖AP室分方式是把AP部署在走廊或弱電間，而天線部署在房間內(nèi)，AP和天線之間通過饋線連接，中間還需要加裝功分器和耦合器等設(shè)備。這樣雖然解決了信號不穩(wěn)定，無法上網(wǎng)的問題。但此種部署十分復(fù)雜，不僅需要AP、天線、饋線，還需要功分器、耦合器等設(shè)備，增加了部署實施難度，加大了投資成本，而且增加了故障節(jié)點，不利于網(wǎng)絡(luò)的管理和維護。同時由于目前室分AP只能做到單射頻卡，性能較為低下。具體部署方式如圖所示：圖3-11室分部署圖AP智分方式綜合了放裝解決方案和室分解決方案的優(yōu)點，并加以改良。整44

體方案由無線控制器，智分AP,饋線，天線4部分組成，無需功分器、耦合器等。部署簡單，易于管理和維護，也節(jié)省了成本。同時由于集成了射頻卡，使得性能不再成為瓶頸。非常適合宿舍網(wǎng)這樣的密集部署環(huán)境。每個AP負責(zé)4-6個房間，具體部署方式如下所示：圖3-12 零漫游部署圖圖3-12 零漫游部署圖三種部署方式對比分析:解決方案實現(xiàn)原理實現(xiàn)效果方案弊端病AP放裝部署在在有窗戶，房間結(jié)構(gòu)有一定要求：房樓內(nèi)病房走廊里，無線信大開間等的情況一般情況下房間應(yīng)有大飄窗放裝方號$輻射到隔壁相鄰的下，終端用戶使結(jié)構(gòu)，假如采用防盜門結(jié)構(gòu)案房間用體驗較好，網(wǎng)將會對信號有較大影響。45速較快室 AP部署在任意在上網(wǎng)高峰分系統(tǒng)方案位置，通過饋線延伸期，會出現(xiàn)網(wǎng)速可以把天線部署在房慢的情況間內(nèi)，覆蓋房間數(shù)比較有彈性，視每房間內(nèi)上網(wǎng)的人數(shù)而定可維護性低：施工配件多，需要額外增加功分器或耦合器以及接頭等配件。增加故障點，增加排查問題的工作量可實施性不足：需要計算線路損耗，線纜走線有較為嚴格的要求。對施工人員的專業(yè)性要求高終端用戶使用體驗不佳：室分系統(tǒng)部署方案所用的AP都是單射頻芯片產(chǎn)品，單射頻芯片帶40個終端在高峰期會導(dǎo)致過度沖突，嚴重降低網(wǎng)速。46i-\-f零漫游方案AP部署在任意位置，通過饋線延伸可以把天線部署在病房內(nèi)，覆蓋房間數(shù)比較有彈性若AP覆蓋48個病房，累計40臺無線終端，在上網(wǎng)高峰期，網(wǎng)速可保持穩(wěn)定以一層樓40個病房計算，信號質(zhì)量增強40%，重要的是保證該區(qū)域內(nèi)的終端不會出現(xiàn)漫游丟包。網(wǎng)絡(luò)安全管理目前，醫(yī)院為了防護主機，買了入侵檢測設(shè)備，卻因為每天大量的告警無法處理而放棄使用；為了控制終端，買了桌面管理軟件，卻不能解決桌面管理軟件被卸載的問題；為了保證數(shù)據(jù)安全，買了數(shù)據(jù)庫審計設(shè)備，卻因為一臺電腦多人用，審計無法定位到人而功虧一簣……經(jīng)過我司全局安全管理方案部署，可實現(xiàn)人即邊界的融合安全體系：1、終端設(shè)備準入。根據(jù)終端設(shè)備的MAC地址、硬盤ID號等信息進行驗證，只有許可的終端設(shè)備才能接入到網(wǎng)絡(luò)。支持異構(gòu)網(wǎng)絡(luò)環(huán)境下的任何地點、任何方式下的接入安全準入控制，如無線網(wǎng)絡(luò)、VPN接入網(wǎng)絡(luò)等。2、USB接口控制。可允許打印機的使用，而對于U盤等存儲設(shè)備，可靈活控制，既可以禁止使用，也可以只允許通過認證的U盤在指定主機使用。可47設(shè)置USB端口、串口、并口的開關(guān)狀態(tài)。3、應(yīng)用程序控制。對工作時間不允許進行的程序，如游戲、炒股等，如果一旦運行，管理系統(tǒng)自動感知，并對客戶端發(fā)出警告，并可以選擇斷開該主機的網(wǎng)絡(luò)連接。而對于桌管軟件，如果被卸載或不安裝，同樣發(fā)出警告或斷開網(wǎng)絡(luò)連接。4、操作系統(tǒng)補丁和其他程序的自動下發(fā)?？山y(tǒng)一自動下發(fā)并自動安裝Windows系統(tǒng)補丁、HIS客戶端軟件等，大大減輕管理員的工作量。5、遠程桌面控制。網(wǎng)管人員在接到故障報修電話時，可遠程接管醫(yī)護人員的終端主機，控制其鍵盤、鼠標，并監(jiān)視其顯示畫面，快速遠程處理故障，而不需要去現(xiàn)場，大大減少工作量。6、用戶準入控制。用戶接入網(wǎng)絡(luò)時，需要輸入用戶名和密碼，只有驗證正確后才能登錄到網(wǎng)絡(luò)。非法人員無法登錄網(wǎng)絡(luò)。7、用戶訪問權(quán)限控制。用戶登錄到網(wǎng)絡(luò)后，只能按照事先設(shè)置的訪問權(quán)限進行訪問，而不是可以訪問任意整個網(wǎng)絡(luò)。支持內(nèi)網(wǎng)訪問和外網(wǎng)訪問進行邏輯隔離的功能。8、入侵檢測無為而治。IDS對網(wǎng)絡(luò)中的應(yīng)用數(shù)據(jù)進行安全檢測，當(dāng)發(fā)現(xiàn)異常數(shù)據(jù)（如多次嘗試數(shù)據(jù)庫帳號等），將告警信息直接轉(zhuǎn)化為安全策略，下發(fā)至該用戶的接入交換機，對該用戶進行安全控制。489、數(shù)據(jù)庫審計控制。真正做到事前威懾、事中監(jiān)管、事后定責(zé)的效果。圖3-13人即邊界的融合安全體系運維管理隨著信息化整體水平不斷提升，醫(yī)院采購了越來越多的硬件設(shè)備、以及關(guān)鍵業(yè)務(wù)系統(tǒng)例如HIS、LIS、PACS等等，那么隨之而來，管理的復(fù)雜度也越來越高，給醫(yī)院信息中心系統(tǒng)維護人員的運維工作造成了越來越大的難度和壓力；信息部門在醫(yī)院相對并不是特別受到重視，院領(lǐng)導(dǎo)認為信息科只是花錢投資，但并沒有直觀的數(shù)據(jù)和依據(jù)來體現(xiàn)信息化建設(shè)的效果，IT部門的價值也不如門診科室明顯，一直處于被動的地位；IT部門的人員數(shù)量相對來說一直比較少，而當(dāng)硬件和軟件系統(tǒng)出現(xiàn)了故障之后，處理起來非常被動，查找問題也很49難準確定位到底根源在哪里，由之帶來的業(yè)務(wù)部門的投訴也比較多。針對州人民醫(yī)院的信息化管理現(xiàn)狀，我司選用的運維管理系統(tǒng)基于以下原則和功能特點：按照我院目前IT資源規(guī)模，要求系統(tǒng)提供不少于100個全資源監(jiān)控授權(quán)，不少于100個無線資源管理，不少于5個告警客戶端；要求提供醫(yī)院綜合管理門戶、醫(yī)療業(yè)務(wù)服務(wù)管理、告警中心、資源管理（資源、拓撲和無線）、腳本監(jiān)控、IP地址管理、自動巡檢、統(tǒng)計報表管理、高級功能包含醫(yī)療行業(yè)專用故障管理模塊、醫(yī)療行業(yè)專用項目管理、醫(yī)療行業(yè)績效報表管理等功能。3年質(zhì)保系統(tǒng)主要特點如下：1）系統(tǒng)采用B/S架構(gòu)，提供良好的可視化效果，包括交互界面、拓撲效果和故障捕獲效果。支持對網(wǎng)絡(luò)設(shè)備、無線設(shè)備、主機、數(shù)據(jù)庫、中間件、應(yīng)用的一體化管理，并能實現(xiàn)各IT資源的相互影響分析管理及聯(lián)動。所有資源、拓撲圖都需支持事件播放功能，提供基于windows平臺的告警客戶端，實時接收系統(tǒng)告警信息、查詢各監(jiān)控對象運行狀況。2）提供無線設(shè)備深度監(jiān)控管理，包括對AC、FitAP、FatAP、Radio（射頻卡）、在線用戶、WLAN等的管理；提供無線設(shè)備分布定位與信號覆蓋動態(tài)視圖、提供接入終端分布、無線用戶體驗動態(tài)視圖、可對POE交換機執(zhí)行遠程管理開關(guān)機。3）提供基于醫(yī)院診療、收費等關(guān)鍵應(yīng)用的業(yè)務(wù)監(jiān)控，從業(yè)務(wù)管理的角度50管理IT資源，能夠根據(jù)業(yè)務(wù)系統(tǒng)流程、關(guān)聯(lián)資源、用戶等元素建模，支持業(yè)務(wù)拓撲視圖，提供業(yè)務(wù)故障分析及影響用戶范圍。提供基于指標卡片的形式，顯示該業(yè)務(wù)的運行狀態(tài)，并通過分配各資源權(quán)重占比，計算該業(yè)務(wù)的健康度、繁忙度、可用性等易于衡量的指標；也可將多組業(yè)務(wù)集合為一條業(yè)務(wù)健康度曲線，直觀反應(yīng)任意時間點，幫助用戶了解我院整體IT運行水平和趨勢。4）系統(tǒng)具備統(tǒng)一的告警管理平臺，運維人員可通過客戶端、郵件、短信等方式了解告警，可針對資源、閾值、業(yè)務(wù)等內(nèi)容進行告警，并提供故障分析。5）為方便運維人員進行數(shù)據(jù)分析和網(wǎng)絡(luò)規(guī)劃，提供多視角報表模版，比如資源分析報表、趨勢分析報表、TOPN報表、故障報表等。6）系統(tǒng)實現(xiàn)IP地址管理，支持設(shè)定基準表，基準表按照IP地址范圍、子網(wǎng)掩碼設(shè)定網(wǎng)段信息。支持基準表操作日志，記錄基準表的操作信息。支持子網(wǎng)容量、使用率、規(guī)劃率的計算；支持子網(wǎng)規(guī)劃IPTOP10、子網(wǎng)在線IPTOP10。支持接入監(jiān)控的子網(wǎng)中判定IP地址的在線、未登記、非法接入狀態(tài)，并以不同的圖標進行展示，IP變更、接口變更會自動生成事件并告警。7）提供分權(quán)門戶，實現(xiàn)多系統(tǒng)統(tǒng)一認證、登陸，方便權(quán)限擁有者直接查看關(guān)注范圍內(nèi)的所有IT變化，通過過濾器方式收集資源、接口、業(yè)務(wù)等多種類型數(shù)據(jù)匯總，且過濾器配置可分享給類似權(quán)限人員，實現(xiàn)IT服務(wù)體系快速組建。518）實現(xiàn)對IT資源進行關(guān)鍵指標的自動巡檢，內(nèi)容包括網(wǎng)絡(luò)設(shè)備、主機、應(yīng)用、基礎(chǔ)服務(wù)、無線資源等所有IT資源，多組巡檢任務(wù)可同時執(zhí)行，生成報告并推送給運維人員。9）系統(tǒng)具備移動化辦公需求，實現(xiàn)運維業(yè)務(wù)的移動化；移動客戶端需同時需支持IOS和Android平臺，提供良好的交互體驗和實時的消息通知，支持告警及時通知，并根據(jù)權(quán)限設(shè)置過濾對應(yīng)的告警信息；支持查看告警相關(guān)資源的全部性能指標、子資源指標10）提供無限制管理人員授權(quán)，提供全院適用的的自助服務(wù)臺，即可在服務(wù)臺進行簡單自助查詢服務(wù)，也可以通過服務(wù)臺直接報障，達到統(tǒng)一運維入口和監(jiān)督故障處理進度的目的；提供事件管理平臺，服務(wù)臺信息自動轉(zhuǎn)化為工單，并指派給系統(tǒng)分類預(yù)設(shè)的運維人員，實現(xiàn)故障處理的標準化流程。11）提供項目模版管理組件，內(nèi)置醫(yī)院常見項目管理流程及模版，并可靈活定制；提供項目進度