. 医院WiFi项目建设方案中麦互联网络科技年 月 日目录一、项目背景3二、建设要点3三、建设计划4四、带宽规划5五、网络拓扑5六、设备选型7七、点位数与POE交换机数计算方法7八、网络安全91、无线设备安全92、用户信息安全93、后台系统安全94、基于角色的访问控制10九、业务模式与分工界面10十、售后服务11一、 项目背景本文档重点说明无线网络与移动医疗的技术方案,具体建设围、建设工期、业务要求等商务条件在商业协议中另行约定我司在医院场景下为用户免费提供移动互联网接入服务(外网),主要覆盖门诊、病房区域初期目标是在两年建立覆盖全国1000家二甲以上医院的WIFI运营平台,日均覆盖300万患者与陪护人群通过广告(非医疗类)、应用分发、游戏下载、基于医院与本地社区的生活服务等移动互联网业务,进行后向运营2012年11月,《国家智慧城市试点暂行管理方法》和《国家智慧城市(区、镇)试点指标体系(试行)》,2013年8月,国务院印发《“宽带中国”战略级实施方案》和《关于促进信息消费扩大需若干意见》,2013年12月9日,国家卫生计生委《关于加快推进人口健康信息化建设的指导意见》,要求充分运用大数据、云计算、物联网、视联网、智能卡等新技术,有效提升人口健康信息化业务应用水平。
医院的性质决定了患者是在相对封闭的环境中排队和候诊,不受外界干扰在这样的场景下,催生用户无线上网需求,满足医院信息化前提下,缓解医患紧关系无线网络成为医院宣传的新途径,丰富医院对外宣传的形式和手段的同时,减少医院宣传费用;提升就诊人员对医院的满意度,带动就诊量的增加;表达医院便民、惠民的原则,加快提升医院综合服务能力我司目前已经完成全国围62家医院上线运营,签约医院300家典型案例包括:大学第三医院、中国医科大学航空总医院、煤炭总医院、大学积水潭医院、大学首钢医院、大学肿瘤医院、首都医科大学附属潞河医院、医科大学第一医院、医科大学第一附属医院等等我司愿意与院方合作,为医院信息化建设与移动医疗领域新模式的探索做出自己的贡献二、 建设要点我司提供全部网络设备、至少50Mbps的出口带宽(日均挂号量+病房床位>5000的医院,提供至少100Mbps出口带宽)、综合布线施工、上线后运营维护等,医院仅需提供场地、机柜位置与建设指导意见即可,无需其他投入出口带宽可确保同时用户200Kbps上行速率,在运营过程中,根据用户使用情况加大出口带宽,并通过负载均衡等机制,保证公平使用网络设备采用国主流WLAN解决方案提供商华三、锐捷、中兴的企业级无线网络产品,在网络安全、设备稳定性、网络性能等方面,比目前涌现出的大量商业WIFI AP厂商更具专业性,确保医疗信息安全。
我司无线网络可实现基于角色的访问控制,针对患者家属和医生护士提供不同的认证方式和访问控制策略,并提供类型的上网服务基于我司无线网络,可向用户提供各类互联网容服务的同时,提供医院APP、公众号、医院微官网、医院WAP页等多种形式的移动互联网展现形式,提供网络硬件和医疗软件一体化解决方案三、 建设计划无线WiFi建设工期分初步地勘、详细地勘、网络规划、宽带接入、设备比价、POE布线、设备到货、AP安装、系统调试、正式上线十个阶段,全部完成预计需要6个月时间,其中门诊、急诊区域可在合同签订后30个工作日完成施工开通具体计划如下:阶段任务预计建设工期实施日期初步地勘初步确定设备总量、走线、投资规模1个工作日详细地勘与设备提供商实施人员一起进行详细勘察,取得医院各楼层平面图,确定详细实施方案;1个工作日网络规划网络规划详细方案5个工作日宽带接入宽带比价、签合同、光纤接入20个工作日(可并行)设备比价比较各设备商设备性能、价格,确定最适合的设备类型与实施流程15个工作日(可并行)门诊急诊医技区域POE布线确定施工队,根据AP点位进场实施布线10个工作日门诊急诊医技区域设备到货签订采购合同,付款,到货10个工作日门诊急诊医技区域AP安装根据预装点,安装AP,调试AP2个工作日门诊急诊医技区域调试上线AP与交换机、AC、用户认证系统对接调试3个工作日门急诊门诊、急诊、医技楼总共大约需要30个工作日病房区域POE布线确定施工队,根据AP点位进场实施布线30个工作日病房区域设备到货签订采购合同,付款,到货20个工作日(可并行)病房区域AP安装根据预装点,安装AP,调试AP10个工作日病房区域系统调试AP与交换机、AC、用户认证系统对接调试5个工作日整体上线测试网络接入情况,网速评测、正式上线5个工作日总结院方批准建设方案后,启动施工部署约110个工作日全部完工说明:上述实施计划为预估工期,宽带接入、设备到场时间存在不确定性,有延期风险。
四、 带宽规划我司承诺提供至少50Mbps的企业级互联网专网接入,确保用户上网速率不低于200Kbps;并针对接入用户做最大速率限制与负载均衡,确保所有用户机会均等地使用无线互联网接入服务 我司承诺在运营过程中,根据并发用户数的增加不断优化带宽,调整接入带宽资源五、 网络拓扑医院不同办公楼、门诊楼分别汇聚后,最终汇聚到中心机房,并通过中心机房核心交换机和互联网网关连接并通过中心机房核心交换机分别与医院网和互联网网关连接其中,网与外网之间需增加防火墙,根据院方要求制定访问控制策略并部署,确保网安全通过对网和外网划分不同vlan,设定不同SSID,为不同需求提供网络接入,为不同用户群体提供不同服务网接入时,如果还需要进行基于角色或组的身份认证与访问控制策略制定(例如,医生和护士的访问权限不同,科室主任和其他医生的访问权限不同,等等),则需要追加基于身份认证的无线准入软件系统外网接入时,按照公安部82号令相关安全规定,用户需要提供号进行实名认证,并在系统后台记录所有登录用户最近60天的互联网访问记录面向外网用户的身份认证系统、访问日志审计系统由我司的运营平台统一提供具体拓扑图说明如下:无线AP …无线AP…POE交换机(12口)Web服务器核心交换机外网出口网关(内置防火墙)AC控制器用户身份认证、审计日志服务器中心机房配线间病区/门诊/体检中心…互联网云端服务汇聚交换机光纤无线AP ……POE交换机(12口)详细描述如下:设备上行设备连接方式放置位置说明APPOE交换机六类网线安装在候诊区、病房走廊区放装APPOE交换机汇聚交换机六类网线放在各病房楼、门诊楼的指定配线间汇聚交换机核心交换机光纤汇聚交换机放在各分区每个分区各放置一台核心汇聚交换机出口网关六类网线中心机房出口网关光猫六类网线中心机房置防火墙、病毒库等AC控制器出口网关六类网线中心机房宽带接入光纤中心机房宽带运营商带宽接入云服务云端服务器提供用户认证、审计、日志服务六、 设备选型设备类型规格描述数量光纤收发器电信通光纤接入时提供的企业级光纤收发器1出口网关RG-EG2000SE固化8个千兆电口,固化2个千兆光口,置500G硬盘,置风扇(流控与URL特征库免费升级,IPsec VPN免费 ,SSL VPN 免费赠送5个授权)1核心交换机RG-S5750-24GT/8SFP-E增强型24端口千兆交换机,8个复用的100/1000M自适应SFP光口,2个扩展槽,1个USB 2.0接口1汇聚交换机RG-S5750-24GT/8SFP-E增强型24端口千兆交换机,8个复用的100/1000M自适应SFP光口,2个扩展槽,1个USB 2.0接口详细地勘后确定POE交换机RG-S2928G-12P24口10/100/1000M自适应电口(最多支持12口PoE供电或6口PoE+远程供电),4口SFP非复用端口,每端口最大PoE功率输出30W,整机输出最大PoE功率为185W详细地勘后确定APRG-AP3220室灵动天线型无线接入点,置天线,双路双频,支持2条空间流,整机最大接入速率600Mbps,可支持802.11a/ n和802.11 b/g/n同时工作,胖/瘦模式切换、WAPI、千兆电口上联、PoE和本地供电(PoE和本地电源适配器需单独选购)详细地勘后确定AC控制器RG-WS5504千兆无线控制器,可扩展为512个授权1七、 点位数与POE交换机数计算方法详细的点位数与POE交换机数,需要实地勘察后提供。
一般原则如下:1. 在候诊区等相对空旷、人员密集区域,一个AP可覆盖半径为30米的区域(约300平米);2. 在病房区,根据病房与医生办公室的大小,每4个房间—6个房间需在走廊安装一个AP(在房间两两相对的情况下,如果只有单侧有房间,相应换算即可);3. 在输液室、留观室等独立房间区域,需额外加装一个或多个AP(一般为一个AP就足够了)4. POE交换机需放置在楼层弱电间中,AP点位距离POE交换机的网线实际长度不得大于80米(AP应尽量与最近距离的POE交换机连接);5. 单台POE交换机可连接12、16或24个AP,为了提高可维护性的同时能最大限度控制成本,应采取最经济的POE交换机部署方式举例来说,(1)当两个楼层的AP点位总和小于16,但大于12时,可考虑两个楼层只采用一台16口POE交换机的方式来部署;(2)每个楼层的AP点位约10个左右,则在每个楼层放置一台12口POE交换机;(3)每个楼层的AP点位约5个左右,但如果两个楼层放置一台POE交换机,则AP点位距离POE交换机距离超过80米,此时必须在每个楼层放置1台POE交换机;6. 当某栋楼的POE交换机数量多于一台,则需要在该栋楼增加一台汇聚交换机各楼区域点位描述举例如下(详细地勘后提供):楼楼层描述放装门诊楼1层2层3层4层小计急诊楼1层2层3层4层小计医技楼1层2层3层4层小计全院总计综上统计,全院共需AP约 个。
相应需要的POE交换机数量与汇聚交换机数量举例如下(详细地勘后提供):楼汇聚交换机POE交换机放置位置门诊楼急诊楼医技楼全院总计八、 网络安全1、 无线设备安全中麦互联与华为、中兴、锐捷等国一流无线设备与整体解决方案提供商都有良好合作关系,为医院提供企业级网络设备与安全保障设备端的具体安全措施包括:置防火墙、无线认证的端口安全机制、支持多种用户认证方式、支持IPSEC VPN和GRE VPN方式与后台系统组网用户认证方式包括802.1x认证、MAC地址认证、Web认证、AAA认证、RADIUS认证、HW。