《管理信息化某某医院信息化建设技术建议书》由会员分享,可在线阅读,更多相关《管理信息化某某医院信息化建设技术建议书(53页珍藏版)》请在金锄头文库上搜索。
1、XX医院信息化建设技术建议书2016年10月目录1.项目背景42.需求分析43.建设目标44.建设思想55.XXX医院网络总体建设规划65.1.网络规划拓扑图65.2.基础敏捷网络建设规划75.2.1.网络设计原则75.2.2.总体网络架构85.2.3.物理组网规划95.2.4.网络出口规划95.2.5.核心层设计规划95.2.6.汇聚层设计规划105.2.7.接入层设计规划105.2.8.可靠性设计规划105.2.9.安全性设计规划115.3.远程访问规划125.4.有线无线融合规划145.5.业务随行规划145.6.SVF全网虚拟化规划155.7.用户接入认证规划155.7.1.有线用户接
2、入155.7.2.无线用户接入165.8.无线网络建设规划165.8.1.无线医疗简介165.8.2.无线医疗的总体需求185.8.3.无线网络安全问题185.8.4.无线网络规划实施问题185.8.5.无线用户漫游问题195.8.6.无线网络管理问题195.8.7.无线医疗基础网络设计195.8.8.WLAN覆盖规划215.8.9.容量规划225.8.10.覆盖规划235.8.11.SSID和漫游规划245.8.12.漫游规划255.8.13.业务带宽规划265.8.14.可靠性规划275.8.15.安全性规划315.9.网络安全防护规划375.9.1.网络安全375.9.2.威胁管理385
3、.9.3.网络安全管理385.9.4.网络安全设计原则385.9.5.网络边界防护规划395.10.网络审计管控规划405.10.1.行为管控需求405.10.2.网络设计原则405.10.3.具体系统设计415.11.网络运维管理规划425.11.1.安全管理425.11.2.拓扑管理435.11.3.告警管理435.11.4.性能管理445.11.5.服务器管理455.11.6.存储管理455.11.7.网络设备管理475.11.8.WLAN管理475.11.9.应用管理496.方案价值526.1.使用体验极佳的网络526.1.1.极致高速的网络体验526.1.2.无线全覆盖,全网零漫游5
4、26.1.3.业务随行的高体验网络526.1.4.安全可靠的体验网络536.2.极简维护管理的敏捷网络536.2.1.整网超级虚拟化,极致简化日常运维管理工作536.2.2.全网安全稳定CSS2架构,实现99.999%的稳定性531. 项目背景XXX医院是一所集医疗、教学、科研为一体的现代化中西医结合的专科医院,由于医院业务快速增长,规划在XX市东部建立分院区,初期规划床位800张; 需要依据新建分院建筑分布,楼层功能分布,信息节点分布、应用功能需求等情况建设一套符合XXX医院信息化办公的现代化数据交换网络,满足XXX医院现在及未来5-10年内的业务规划发展需要。2. 需求分析根据XXX医院现
5、有业务要求及物理建筑分布状态。要求新建信息化网络符合以下几点要求:1、 要求网络分层、分区建设,便于以后网络扩容及新增。2、 新建网络涉及到有线与无线覆盖,要求内外网做逻辑隔离,可以灵活调整网络到网络、终端到资源的权限控制。3、 要求采用万兆骨干,千兆到桌面,保证数据交互的高带宽要求。4、 针对外网移动办公接入提供安全的专用接入点,便于移动办公人员接入到内网进行相应工作的开展及信息的获取。3. 建设目标根据XXX医院上述几点建设需求及新建医院具体情况,结合相应医疗信息化网络的建网原则,提出以下建设目标:1、 新建园区包括一栋门诊楼,一栋住院楼。门诊楼合计3层,每层15个诊室,每层60个信息点位
6、。住院部4层,共计800张床位。门诊楼及住院楼根据各楼层信息点分布情况,建设有线网络。2、 网络主体采用核心层-汇聚层-接入层的三层网络组网结构,满足万兆骨干,千兆接入的建设标准。3、 针对服务器区域单独建设数据中心区域,数据中心区域放置汇聚层交换机,采用千兆接入,万兆上行。4、 考虑到无线医疗的应用需求,针对住院楼做重点无线覆盖。要求楼层内移动实现零漫游。门诊楼一楼大厅处(300人)、挂号区(2*150人)做无线覆盖,满足排队挂号及预约看病的无线上网需求。门诊楼其他区域(楼长80m)根据楼层情况在走廊处做无线覆盖。无线覆盖需根据场景选用合适的设备。5、 有线无线网络采用一张物理网络,不仅要满
7、足内部办公需求,还要满足病患及家属的无线上网需求。因此整体网络需要针对内部办公人员,采用基于IP、 VLAN等方式进行内网及外网的隔离。针对无线网络需要基于SSID划分用于内部无线医疗的专用Work网络及用于病患上网的Guest网络。且在网路与网络间,网络与内部办公资源及外部网络资源需要有建设一套控制系统。可对资源访问做灵活的权限控制及等级划分。6、 由于互联网的不安全性,需要在网络出口处部署防火墙等安全设备,做网络整体的安全防护。7、 由于公安82号令要求,针对公开性场所的无线网络接入,建设一套上网行为审计设备,对网内人员的上网行为做审计及记录。8、 针对在外出差或办公人员,建设VPN系统,
8、提供专有的安全VPN通道满足移动办公的应用需求。4. 建设思想1、 由于本次XXX医院网络建设涵盖有线和无线覆盖,且有线和无线网络共用基础硬件,不做物理分离,因此建议采用华为敏捷网络有线无线一体化解决方案。通过利用华为敏捷交换机的无线融合特性,即作为有线网络的数据转发核心节点,同时又做为无线网络的核心控制及转发节点,做到有线无线的深度一体化融合,不用再单独建设和部署两套网络,即减轻了运维人员压力,又提高了各层次设备的利用率,保证用户的资金投入。2、 由于无线网络的公开性及审计需求特性,建议对开放性无线网络采用基于短信的认证方式,确保网络接入的实名制原则,在网内出现发送或上传非法内容或言论时,结
9、合上网行为审计设备,基于日志记录进行溯源。3、 考虑到内网安全性,在网路出口区域部署安全防火墙,对进出网数据流做安全检查及过滤,保护内部网络不受来自互联网的安全威胁及恶意攻击。4、 针对无线网络覆盖,结合应用场景采用不同的产品及组网方案,实现全网无缝无死角的无线覆盖,实现网内的任意无缝漫游。针对住院部,由于其房间密集特性,又要求无线漫游的切换时间及无线信号的覆盖强度及稳定性,采用华为敏捷分布式无线覆盖组网方案。通过中心AP+敏分单元的方式,单AP下可最多覆盖48个房间。针对门诊大厅及挂号区的场景,属于高密覆盖场景,小范围内并发要求高,因此采用华为的高密型无线AP进行型号覆盖。针对传统走廊的覆盖
10、场景,则采用放装AP的方式在走廊吊顶处或墙壁处进行无线AP的安装,对走廊及相邻房间进行无线的信号覆盖,且通过统一SSID的方式实现楼层内及楼层间移动时的无缝漫游需求,保证信号连接的持续性及稳定性。5、 对于医院内部网络,针对不同部门,不同职级,资源类型,定义不同的安全及资源组。结合华为敏捷网络的业务随行解决方案,做到业务随行,策略随身。在初期进行策略及权限划分时,一键式全网部署,下发策略。办公人员不论移动到医院内任何一个位置节点,不论是通过有线网络或者无线网络,都拥有一致的网络访问及使用权限,同时还可以基于角色进行接入带宽的分配及管控。6、 为保证网络的健壮性、可升级性及易扩容特性,网络采用模
11、块化的三层网络结构建设,由于核心层的重要性,针对核心层采用双机冗余部署,结合华为CSS2集群方案,实现设备的横向虚拟化。且快达21s的跨板时延、高达320G的横向虚拟化带宽、N+1的主控备份方式、独立专用的集群网版,保证核心节点的可靠性及快速的数据交换特性。7、 为减轻运维人员的运维压力,建议采用华为敏捷网络的SVF全网虚拟化解决方案,实现从核心+汇聚+接入+AP的全网融合虚拟化。全网设备虚拟化后对外呈现一个逻辑的管理节点,通过一个节点可实现整网设备的配置管理及业务下发。汇聚及接入节点只相当于核心节点的一块普通业务板卡,AP经虚拟化融合后相当于核心节点的一个普通业务端口。8、 为便于无线及有线
12、的可视化运维,在网络发生问题和故障时,运维人员能第一时间收到邮件或者短信提醒,并通过运维管理系统快速的定位鼓掌源头,依据相关修复建议实现网络的快速恢复。特别是无线网络,通过一键式诊断,判断无线登陆失败节点的故障原因,极大的减轻了运维人员的工作压力,提高运维人员的工作效率。5. XXX医院网络总体建设规划5.1. 网络规划拓扑图5.2. 基础敏捷网络建设规划5.2.1. 网络设计原则医疗网络通常是一种用户高密度的非运营网络,在有限的空间内聚集了大量的终端和用户。同时对于医疗网络而言,注重的是网络的简单可靠、易部署、易维护。因此在网络中,拓扑结构通常以星型结构为主,较少使用环网结构(环网结构较多的
13、运用在运营商的城域网络和骨干网络中,可以节约光纤资源)。基于星型结构的园区网设计,通常遵循如下原则:1、 层次化将网络划分为核心层、汇聚层、接入层。每层功能清晰,架构稳定,易于扩展和维护。2、 模块化将网络中的每个部门或者每个功能区划分为一个模块,模块内部的调整涉及范围小,易于进行问题定位。3、 冗余性关键设备采用双节点冗余设计;关键链路采用Trunk方式冗余备份或者负载分担;关键设备的电源、主控板等关键部件冗余备份。提高了整个网络的可靠性。4、 安全隔离网络应具备有效的安全控制。按业务、按权限进行分区逻辑隔离,对特别重要的业务采取物理隔离。5、 可管理性和可维护性网络应当具有良好的可管理性。
14、为了便于维护,应尽可能选取集成度高、模块可通用的产品。5.2.2. 总体网络架构网络的逻辑架构如下图所示,包括五大部分。1、 终端层包含网内的各种终端设备,例如PC、笔记本电脑、打印机、传真、POTS话机、SIP话机、手机、摄像头等。2、 接入层负责将各种终端接入到网络,通常由以太网交换机组成。对于某些终端,可能还要增加特定的接入设备,例如无线接入的AP设备、POTS话机接入的IAD等。3、 汇聚层汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层,扩展核心层接入用户的数量。汇聚层通常还作为用户三层网关,承担L2/L3边缘设备的角色,提供用户管理、安全管理、QoS(Quality o
15、f Service)调度等各项跟用户和业务相关的处理。4、 核心层核心层负责整个网络的高速互联,一般不部署具体的业务。核心网络需要实现带宽的高利用率和网络故障的快速收敛。5、 网络出口网络出口是园区网络到外部公网的边界,内部用户通过边缘网络接入到公网,外部用户(包括合作伙伴、分支机构、远程用户等)也通过边缘网络接入到内部网络。6、 数据中心区部署服务器和应用系统的区域。为内部和外部用户提供数据和应用服务。7、 DMZ(Demilitarized Zone)区通常公用服务器部署于该区域,为外部访客(非职工)提供相应的访问业务,其安全性受到严格控制。8、 网络管理区对网络、服务器、应用系统进行管理的区域。包括故障管理、配置管理、性能管理、安全管理等。5.2.3. 物理组网规划核心区域建议采用网络出口、核心
