华山医院网络设计方案Word文档下载推荐.docx
- 文档编号:17787291
- 上传时间:2022-12-10
- 格式:DOCX
- 页数:14
- 大小:131.53KB
华山医院网络设计方案Word文档下载推荐.docx
《华山医院网络设计方案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《华山医院网络设计方案Word文档下载推荐.docx(14页珍藏版)》请在冰豆网上搜索。
随着电子病例应用越来越广泛,一旦电子病例出现泄密或者被恶意篡改,都会给医院带来严重的医患纠纷甚至法律纠纷,网络安全已经成为医院新一代网络建设的关注重点;
网络的管理控制功能薄弱,单纯设备级的网络管理已经不能满足医院用户对业务可靠性要求,业务的可靠性除了要求网络稳定,还依赖于服务器可靠和数据存储可靠等多种技术组合
1.3常见的医院数字化系统包括:
1.3.1医院信息系统(HIS,HospitalInformationSystem)
HIS就是应用计算机和网络通信等高科技手段对医院内大量信息进行数字化管理的现代信息系统,它能提供全院的经济运行状态、医疗质量状态、工作质量状态等等,以及获取各部门的信息反馈,从而使各部门的管理者进行计划决策、组织实施、协调控制。
HIS是整个应用系统的主干,也就是数字化医院的数据中心,起到了整合其它辅助系统的作用。
1.3.2临床信息系统(CIS,ClinicalInformationSystem)
CIS主要目的是实现医院电子病历的全程管理。
主要解决以下问题:
电子病历的法律地位及技术标准;
全程实现电子病历的业务流程标准;
表格化医学文档标准格式;
建立医学字典库集;
国际系统医学术语(SNOMED)的改造和汉化;
医学术语汉字输入法研究。
临床信息系统(CIS)主要包括:
问诊和病房医生工作站、电子病历(ERP)、图像存储和传输系统(PACS)、检验信息系统(LIS)、放射科信息系统(RIS)、危重病员监护系统(CCIS)等。
1.3.3其它系统
(1)医院财务系统(FIS,FinancialInformationSystem)
它导入HIS中采集的诊疗收入和成本支出数据,集成标准化财务分析系统,正确评估医院的资金运作状况。
(2)医院智能决策支持系统(IDSS,IntelligentDecisionSupportSystem)
IDSS由定量分析为主的决策支持系统和定性分析为主的专家系统结合组成。
IDSS以模型库系统为主体,其模型库中包括数学模型、数据处理模型、图形模型等多种形式,涵盖医院的管理、医疗、科研等多种内容。
IDSS将多个广义模型有机组合起来,对数据库中的数据进行处理和挖掘,使其辅助决策能力从运筹学、管理科学的单模型辅助决策发展到多模型综合决策。
通过IDSS为医院管理者提供客观、详尽的决策帮助。
1.4医院数字化网络目标
医疗服务质量管理指标体系研究
各地“应用信息技术提高医疗服务质量”的研究项目
有流程再造
流程优化
流程管理与临床路径
病重管理与临床路径
病种管理等诊疗流程标准化得研究
满意度评价
绩效考评
医院评审等
第二章:
华山医院网络的用户需求分析
2.1摘要
医院有8个研究室,肾透析中心,重症监护中心都具有相当规模和水平,为医院的强项之一。
目前还建立了“上海卫星远程会诊中心”,可为全国各地病人通过卫星进行远程会诊,并即将与澳洲联网开通国际间远程卫星会诊及教学。
2.2网络安全需求
结合交换机对病毒的传播蔓延有控制手段;
防止对设备、对系统、对其它合法用户恶意攻击;
丰富的日志记录。
当出现安全事件时能协助审计快速定位。
2.3网络技术需求分析
华山医院的网络系统建设应在实用的前提下,应当在投资保护以及长远性方面做适当考虑,在技术上系统能力上要保持五年左右的先进性,从技术上讲应该采用标准、开放、可扩充的能与其他厂商产品配套使用的设计。
医院网作为一种独特的模式,既具有一般企业网的特质,又有其特殊的地方。
相同之处在于:
作为集团用户,接入网络都需要具有一定的独立性和相当的可统计性;
较之一般的企业网,豫园网又会面临更复杂的用户类型和业务需求,它不是单纯的办公网络。
是一个承载各种病例资料、办公自动化、住院部等多种业务和应用的平台,并且有部分网络资源用来经营因此对投资回报有更高的要求。
2.4具体需求如下:
2.4.1网络系统现状及需求分析
医疗行业由于其特殊性,对于各种系统的未定性和可靠性都有非常高的要求,华山医院在稳定可靠的基础上,以实用为先,应用各种网络技术,提高网络数据传输的可靠性、安全性和高效率是目前医疗行业应用的发展趋势,同时,也要不断提高医院领导和信息中心对信息化建设的基础神色是网络系统建设的认识。
2.4.2网络系统稳定性需求
医疗行业是关系到病人生命安危的重要行业,华山医院的各种应用系统和基础设备都要抱着高潮的稳定性,系统的稳定性,是投入运行的一条系统的生命线。
由此可见,华山医院对于各种系统的稳定性需求是对所有系统的最高需求也是最根本的需求。
而作为基础设施的网络系统的稳定性也就成为华山医院信息化建设的重要指标
2.4.3网络传输性能需求
目前华山医院的应用系统主义是以HMIS和CIS为主。
各种系统对网络的性能都有不一样的需求。
管理信息系统的应用主要是以文字、图表和简单的图形信息为主,虽然信息量不大,是对于基础架构的可靠性和安全性需要较高,对服务质量也有一定的要求。
临床信息系统的应用内容则较为丰富,除了一般文字信息外,医疗应用数据包含大量图形、视频和语音信息。
要求安全,可靠、保证服务质量和高性能,需要同时支持语音、视频和数据等多种业务,又要方便以后的扩展。
在某些关键应用上,对于服务质量、高性能、高可用性都提出了很高的要求。
在华山医院每天的信息量中,有带昂的信息是PACS系统的数据,医院对于这种TB数量级的数据需要经常的进行调阅。
对于网络系统,必须用于强大的数据传输能力。
将PACS系统的数据安全、可靠、高速的传输给需要的可是以及供需要的主治医生或研究人员调阅,保证放射科、CT室等图示的图像能够有效的上传到PACS系统通过有效的网络带宽控制技术和服务质量保证技术来满足华山医院对于不同数据传输的需要。
是后期华山医院网络平台发展的需要。
2.4.4网络系统安全性需求
华山医院信息系统的安全性包括实体安全、网络安全传输安全、用户安全。
卫生部新《规范》重点强调了系统的可靠性和安全性的问题,要求门诊系统恢复时间在5到10分钟之内,系统支持7X24小时工作,关键设备不许有备份系统。
一般网络和服务器等一个键设备在2到3年之内不易出现故障。
2.4.5网络系统刮泥维护需求
随着华山医院信息化建设的不断完善,医院网络的规模也在不断的扩展,如何及时有效的发现网络中的一场流量,如有有效的控制网络设备,如何及时的对一场网络设备进行远程控制,这一些网络管理和维护问题都必须在网络建设在可靠的基础上,尽量降低网络的复杂度,便于日后的管理维护。
2.4.6无限网络需求
无限局域网的应用,使华山医院信息网络更加灵活,而且能够经济、快捷的实现无缝覆盖。
在需要频繁上网设备的病房,在网络终端不固定的会议室等区域,无线网络都是理想的选择。
配合无限掌上电脑,可以实现很多适合医院应用的无限介入服务。
“移动信息化系统”表现出其灵活,快捷,实时等多项有事,对固定信息站的工作起到了必不可少的补充作用,基于“无线网络”平台,让移动信息中心,用户可以随时对数据进行查阅,浏览,记录,采集,传输等处理,还同时实现了人机交流和人人交流。
BMIS运用科技手段,帮助医院接生大量的人力物力财力,提高医院在病患中的服务形象和科技形象,真正实现“无纸化”,对医院的信息化发展而言是必不可少,势在必行的环节。
2.4.7远程接入需求
远程医疗和医院间的学术交流、专家会诊等症状迅猛发展。
我国的远程医疗近几年发展迅速,一些著名的医学院校、医院都建立了远程会诊中心。
通过广域网的数据传输,不仅可以让病人在家中得到及时诊断,对于一些重症患者,还可以通过远程会诊等方式提出有效的医疗方案但是,对于一些特殊的医学资源,例如:
患者的病例信息,医药学文献,医院内部的行政信息等等,这些信息在需要被医院以外的特殊用户访问的同时,其安全性和保密性要得到最高的保证。
因此,如果有效的为医院外部特殊用户提供安全保密的信息是我们在进行医院远程网络接入中需要考虑的重点。
大体设计如下:
1、医院网主干结构采用当前的主流技术,并保证一定的技术先进性。
2、组建专门的网络中心,负责医院网运行和管理,核心网络设备应具备很强的交换能力,为将来的网络容量需求的成倍增长预留足够的扩展空间。
3、网关设备(软、硬件)能实现对网络设备的实时监控和网络流量的监控。
4、要有完善的安全机制,防止来自外部和内部的非法访问。
5、医院校网应能够提供一下应用服务:
WWW服务、Eamil服务、医院外图书资料和检索医院行政管理。
2.5设计目标
网络实施建设:
1、以院区网络建设为契机,将医院网络建设成为信息一体化、管理集中化、业务多样化和优秀医院网络;
2、网络结构清晰,网络层次合理数据网络需要采用分布式布线,各个配线节点通过多模光纤与中心交换机相连,形成万兆骨干、桌面千兆接入的宽带网络,网络建成后,应对实现各信息点的高速上网、能为多部门科研提供一个高速承载平台,支持MPLS、IPPV6等特性,方便的网络管理、安全认证;
3、运营商级的网络系统安全性、运营安全性;
4、网络带宽大幅提升;
核心层与汇聚层之间全部采用万兆升级接口连接,汇聚层之间采用万兆连接,当前采用1个万兆,并预留3个万兆接口以便于将来扩容,消除带宽瓶颈;
5、多样性访问权限控制与管理;
针对不同类别用户采取不同认证策略。
第三章网络拓扑设计及安全
网络拓扑结构,特别是网络主干拓扑结构的设计直接关系到网络性能的好坏。
一般来说局域网总体结构使用三层网络结构。
包括核心层、汇聚层和接入层。
三层结构除了方便用户管理和设备管理之外,也提供了良好的网络安全性和扩展性。
根据这种层次化网络设计思想的原则,我们可以把易缘网的整个网络体系结构分为以下三个层次:
(1)由位于中心机房的核心交换机组成的核心层;
(2)由位于楼宇机房的汇聚层交换机组成汇聚层;
(3)由位于各楼层的信息点和接入组成接入层
3.1拓扑结构图
总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理和统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性、并采用模块化的设计方法。
组网图如下所示:
根据上图,整个医院信息系统网络采用三层交换技术的网络架构,以保证网络的稳定性,可靠性,高速,高安全,可扩展性为前提,图下方为接入层设备,由接入层设备直接连接终端与无线设备,实现即插即用,并通过1000M光纤与三层交换机进行楼层间的汇聚,再由汇聚层直接通过10000M光纤连到核心层,楼层间交换机可采用带台或堆叠方式,实现1000M到桌面。
核心层我们使用双核心构架,体现硬件冗余,当一台核心设备出现故障造成无法通信,另一台核心设备就可以代替工作,不影响网络障碍,图左连接两台服务器,用于身份验证安全管理以及网络管理,图上方连接服务器群组,出网口则在图右方,根据用户需求,图中核心层到各点间采用光纤相连,达到高速上联并备份冗余考虑。
3.2Vlan规划:
楼层
信息点
VLAN号
Ip地址具体划分
地址范围
网关
上网方式
IP获取方式
1
150
VLAN10
192.168.1.0/24
1-254
192.168.1.1
NAT
DHCP
2
200
VLAN20
192.168.2.0/24
192.168.2.1
3
VLAN30
192.168.3.0/24
192.168.3.1
4
VLAN40
192.168.4.0/24
192.168.4.1
5
VLAN50
192.168.5.0/24
192.168.5.1
6
VLAN60
192.168.6.0/24
192.168.6.1
7
100
VLAN70
192.168.7.0/24
1-126
192.168.7.1
8
VLAN80
192.168.7.128/24
129-254
192.168.7.129
9
VLAN90
192.168.8.0/24
192.168.8.1
10
VLAN100
192.168.8.128/24
192.168.8.129
11
VLAN110
192.168.9.0/24
192.168.9.1
12
VLAN120
192.168.9.128/24
192.168.9.129
13
220
VLAN130
192.168.10.0/24
192.168.10.1
14
330
VLAN140
192.168.12.0/24
192.168.13.0/24
15
320
VLAN150
192.168.14.0/24
192.168.15.0/24
16
300
VLAN160
192.168.16.0/24
192.168.17.0/24
17
260
VLAN170
192.168.18.0/24
18
VLAN180
192.168.20.0/24
VLAN(VirtualLocalAreaNetwork)称为虚拟局域网,在逻辑上将物理的LAN分成不同小的逻辑子网,每一个逻辑子网就是一个单独的播域。
简单地说,就是将一个大的物理的局域网(LAN)在交换机上通过软件划分成若干个小的虚拟的局域网(VLAN)。
因为交换机通信的原理就是要通过“广播”来发现通往的目的MAC地址,以便在交换机内部的MAC数据库建立MAC地址表,而广播不能跨越不同网段。
通过划分VLAN子网,能划小了广播域,避免了数据碰撞在大的物理LAN内产生严重后果的可能,也避免了广播风暴的产生。
提高交换网络的交换效率,保证网络稳定。
提高网络安全性,通过划分VLAN,LAN被划分不同子网段,因此不能直接通信。
必要的通信必须经过路由来实现,因此可在路由器(或三层交换机)上配置访问列表来进行跨子网段的授权访问,从而提高企业内部网络访问的安全性。
方便网络管理:
采用VLAN技术来划分企业网络,一个VLAN可以根据部门、项目组或者服务器组将不同地理位置的工作站划分为一个逻辑网段。
在不改动网络物理连接的情况下可以任意地将工作站在子网之间移动,VLAN提供了网段和机构的弹性组合机制。
VLAN技术很好的解决了网络管理的问题,能实现网络监督与管理的自动化,从而更有效的进行网络监控。
因为各个子网产生的广播将被限制在小的虚拟局域网内。
当LAN中的不同VLAN间进行相互通信时,由于处于不同的IP子网段,不能象原先大的LAN那样直接通信,因此需要路由来转发,这时就需要增加路由设备——要实现路由功能。
上表局域网内划分VLAN,这样的设计是为了更好更安全的管理,如下:
VLAN实现流量控制:
部分广播数据被直接送往所以网络设备,从而导致网络拥塞。
而vlan能设置每个vlan中只包含那些必须相互通信的设备,从而减少广播、提高网络效率。
VLAN提供更高的安全性。
在每个vlan中的设备只能与在同一vlan中的设备直接通信。
3.3网络应用安全
谈到网络应用安全,人们首先想到的是网络黑客。
确实,网络黑客几乎与网络同时诞生,黑客与反黑的斗争从来就没有停止过。
要有效防止黑客,就必须首先了解黑客所使用的手段。
针对黑客一般所使用的手段我们重点处理以下网络攻击;
1、网络嗅探
2、APR欺骗
3、IP地址欺骗
4、DOS攻击及DDOS攻击
以上安全隐患将在网络设备上实现安全的实施运用。
例如:
源地址确认拒绝所有来自其他地址的Ip包。
其主要特征如下:
1、确认地址是否对于源地址的电路有效。
2、拒绝任何不正确的源地址。
3、有效地防止HACKER地址欺骗和发起DOS攻击,如ICMPEcho/PING和SYNFlood
3.4网络出口设计
网络出口设计需要考虑四条出口,一是社保局的VPN出口,二是医保VPN出口,三是银行机构VPN出口、四是干保VPN出口,且各条VPN出口均是独立的电信或者联通线路。
出口设计要求安全、可控。
在这里,我们在结构上,使用一台高端路由器加一台防火墙/VPN设备来组合提供完整解决方案。
路由器配置中,使用策略路由功能,首先在上联出口商,建立四个三层网络接口,分别配置四个VPN地址段的地址,然后采用基于源地址+目的地址的策略,优先指定某些特殊地址段,只能通过指定的地址向上级转发;
另外一些用户,需要访问多个网络的,则根据其访问的目的地址,选择4个VPN的下一跳地址。
在路由器上面,配置VPN设备,在VPN设备上,建立四条VNP通道,分别连接社保局的VPN出口,医保VPN出口,银行机构VPN出口、干保VPN出口。
路由器位置,我们建议选择RG-R3740路由器,提供2个10/100/1000M自适应速度以太网口/1000MSFP光以太口。
VPN网关位置,我们建议选择RG-WALLV1600E,作为SSL/IPsecVPN安全网关,提供固化6个GE口+2个SFP口;
提供2个模块化插槽,支持4GE/4SFP扩展,可扩展至24个千兆口,配置冗余电源,标准2U设备;
自带10个RG-SRA-LICENSE,SSL/IPsecVPN共用隧道
3.5增强的设备管理能力
对以太网络中的通用IP设备、SNMP管理型设备提供了Web、Telnet、MIB-Browser、RMONView等多种综合管理方式,并在此基础上,为锐捷网络设备,提供了增强的设备管理和功能管理。
为锐捷网络设备提供各自的管理窗口及其管理功能。
为管理员提供逼真的锐捷网络设备面板图,直观显示端口的连接状态,并可在设备面板图上进行点击操作,完成设备整体或接口的信息配置、浏览以及性能监视。
3.6智能化的事件管理机制
结合拓朴管理和性能管理器于一体,集中管理Trap事件、拓朴管理事件、阈值报警事件和未知类型事件。
事件管理器提供丰富的事件分类查看和存储功能,使管理员可在大量的网络事件中迅速查找并标识重要事件,从而进行有效处理。
事件管理器使用标准数据库作为Trap解释模板库,通过编辑配置数据库,管理员可使用自定义的方式扩展软件支持的事件类型,从而避免了多设备混用时事件管理混乱问题。
第四章网络设备选型
4.1核心层交换机
RG-S8600系列产品支持下一代的以太网100G速率接口,提供14横插槽设计、10竖插槽设计和6横插槽。
RG-S8600系列高密度多业务IPV6核心路由交换机提供高性能背板带宽,并支持将来更高带宽的扩展能力,高达1786Mpps/1190Mpps/595Mpps的二/三层包转发速率可为用户提供高密度端口的高速无阻塞数据交换。
RG-S8600系列高密度多业务IPV6核心路由交换机提供全面的安全防护体系,提供分布式的业务融合平台,满足未来网络对安全和业务的更高需求。
4.2汇聚层交换机
RG-S6506是锐捷网络推出的万兆骨干路由交换机,拥有6个模块扩展槽,提供管理模块冗余,支持万兆、千兆和百兆模块线速转发,可以根据用户的需求灵活配置,构建弹性可为用户提供高速无阻塞的线速交换,强大的交换路由功能、安全只能技术可同锐捷各系列交换机配合,为用户提供完整的端到端解决方案,是小型网络核心和大型网络骨干交换机的理想选择。
4.3接入层交换机
RG-S2900系列交换机是锐捷网络推出的全千兆安全智能二层交换机,适用于园区网络的接入层,提供千兆到桌面的解决方案,凭借高性能、高安全、多业务、易用性的特点,使得RG-S2900系列可广泛应用于各行业的千兆网络,在提供高性能、高带宽的同时,S2900交换机提供智能的流分类、完善的服务质量和组播应用管理特性,可以实施灵活多样的安全控制策略,有效防止和控制病毒传播和网络攻击,控制非法用户接入和使用网络,保证合法的用户合理化地使用网络资源,充分保障了网络高效安全、网络合理化使用和运营。
RG-S2900系列交换机以极高的性价比为各类型网络提供高性能、完善的端到端的QOS服务质量、灵活丰富的安全策略管理,最大化满足企业网高速、高效、安全、智能的新需求。
4.4服务器群交换机
RG-S5760系列是锐捷网络推出的融合了高性能、高安全的全千兆智能机架式多层交换机,十分适合在企业网的接入层或者汇聚层使用。
全千兆的端口邢态,机身自带4个SFP
千兆光纤接口,不仅满足网络的弹性扩展,和高带宽传输需要,也满足网络建设中不同传输介质的连接需要。
特别适合高带宽、高性能和灵活扩展的大型网络汇聚层,中型网络核心层,以及数据中心服务器群的接入使用。
RG-S5760系列交换机以极高的性价比为大型网络汇聚、中型网络核心、数据中心服务器接入提供了高性能、完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管,最大化满足高速、安全、智能的企业网需求。
4.5防火墙
RG-WALL1600s
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华山医院 网络 设计方案