嘉兴市区域卫生信息平台一期网络和硬件建设方案.docx

嘉兴市区域卫生信息平台一期网络和硬件建设方案.docx

《嘉兴市区域卫生信息平台一期网络和硬件建设方案.docx》由会员分享，可在线阅读，更多相关《嘉兴市区域卫生信息平台一期网络和硬件建设方案.docx（21页珍藏版）》请在冰豆网上搜索。

嘉兴市区域卫生信息平台一期网络和硬件建设方案

嘉兴市区域卫生信息平台（一期）

网络和硬件建设方案

中国电信股份有限公司嘉兴分公司

2011年5月

目录

一、建设背景1

二、设计原则2

1.技术的先进性与实用性结合2

2.架构的高度灵活性和可扩性2

3.系统的高可靠性和高安全性2

4.系统的易管理和低运营成本2

三、系统架构设计3

1.“数据中心”设计背景3

2.“数据中心”建设目标3

3.“数据中心”系统架构4

四、建设方案5

1.网络系统5

1.1.网络规划设计5

1.2.IP地址规划8

1.3.主要设备配置清单11

2.存储部分12

2.1.存储系统12

2.2.主要配置清单14

3.服务器建设部分15

3.1.主机系统15

3.2.主要配置清单19

一、建设背景

卫生部按照国家发展改革委关于编制国家重大信息化工程建设规划工作要求，在充分借鉴国内外卫生信息化发展经验的基础上，研究提出了“十二五”期间卫生信息化建设总体框架，即建设国家、省和地市3级卫生信息平台，加强公共卫生、医疗服务、城乡居民合作医疗、基本药物制度和综合管理等5项业务应用，建设居民电子健康档案、电子病历等2个基础数据库和1个专用网络，简称“3521工程”。

围绕“3521工程”，卫生部决定在上海、浙江、安徽、重庆、新疆等五省（区、市）开展“3521”工程建设试点。

浙江省选择了宁波、嘉兴、绍兴、舟山4个地市，列为国家医改信息化“3521”工程试点市，并要求选择部分县（市、区）作为试点县（市、区），嘉兴市将南湖区、秀洲区、经开区、嘉善县、平湖市、海盐县、海宁市、桐乡市8个全部列为试点县（市、区）。

初步建成市、县两级卫生信息平台（数据中心）；建设电子健康档案和电子病历二个医药卫生基础数据资源库；探索五大核心业务领域的相关工作，提升社区公共卫生服务能力，建立和完善预约诊疗和远程医疗，实现城乡居民合作医疗异地网络出院即时结报和基金监管，建设基本药物监测管理信息系统，逐步实现基本药物制度全程监测管理，分步实现基于市、县卫生信息平台（数据中心）的卫生综合信息管理；初步建成覆盖试点区域互联互通的卫生信息专网；实现区域内卫生信息互送共享。

嘉兴市区域卫生信息平台网络和硬件建设（一期）（以下简称“数据中心”）是我市区域卫生信息化项目数据共享和交换的枢纽和基础，“数据中心”不仅承担全市医疗卫生数据的存储，需要支持来自卫生行业内部以及互联网用户的海量数据交换共享访问请求，并且还需承担向省级卫生数据中心转发数据的枢纽功能。

本方案主要阐述架构一个足以支撑“数据中心”，具备高可用性、稳定、高效的网络系统、服务器系统以及存储系统等基础设施。

二、设计原则

“数据中心”系统架构设计应遵循以下原则：

1.技术的先进性与实用性结合

“数据中心”应在充分考虑技术发展趋势的前提下，采用先进、成熟的技术，通过选用具有技术前瞻性设计的软硬件设备，使得设计时效年限达到五年，并充分利用这些设备对新技术的应用扩充能力，实现八年以上的使用时效。

2.架构的高度灵活性和可扩性

“数据中心”架构应根据功能划分、采用模块化设计，使得系统具有较高灵活性；选用的网络、服务器、存储等硬件设备应具有良好的扩充性能，以满足我市卫生业务流程不断优化及卫生数据海量增长的需求。

3.系统的高可靠性和高安全性

在预算充足的条件下，“数据中心”应选用高品质的软硬件设备，通过部件级、设备级和系统级冗余，努力消除单点故障，提高系统的可靠性，达到业务永续的目标。

并通过建立完善的安全保护机制实现数据、应用和基础设施的安全。

4.系统的易管理和低运营成本

“数据中心”应通过系统的整合，尽量减少设备的品牌、型号和数量，降低系统的复杂度，使系统具备良好的可管理性，并应可通过易用的图形化管理工具实现对设备、系统的管理，简化日常维护工作、增强故障处理能力、降低运营成本。

三、系统架构设计

1.设计背景

嘉兴市共有2个区、3个县级市、2个县，现有户籍人口达341.6万人，新居民数190万。

2010年，市本级年门诊量达823.85万人次，平均每天2.3万人次。

“数据中心”是嘉兴市卫生数据储存和交换的枢纽，横向与嘉兴市医疗卫生机构互联，纵向与省、县（市、区）数据中心对接，实现区域卫生数据的采集、存储和交换功能。

“数据中心”存储及交换健康档案、电子病历及其他卫生专题数据（包含妇幼保健数据、疾病预防控制数据、卫生监督数据、卫生应急数据、综合管理数据等）。

仅健康档案数据就包含了医疗类、体检类、免疫接种类、慢性疾病管理类、出生医学证明类、计划生育指导类、居民保健类、居民康复类、死亡医学证明类等九大类健康数据。

预计三年内，就将形成TB级的海量数据。

随着卫生信息化的不断推进，区域卫生数据量将增长到几十TB级。

2.建设目标

一个完整的“数据中心”由网络系统、存储系统、服务器系统、远程容灾系统、网络管理系统等部分组成。

“数据中心“的建设目标是：

建设经济、高效的网络系统，为用户提供海量的数据交换和传输能力。

建设实用、高效的存储网络，为用户提供高效的数据访问能力以及具有数据保护的数据存储和备份功能。

建设稳定、高效的数据库系统及采用虚拟化技术，可扩展的应用服务器系统。

“数据中心”的网络、存储和服务器系统应能高效协同运行，具备良好的架构和扩展性，此次建设应能满足“数据中心”未来五年应用需求。

囿于有限的投入，此次建设仅考虑了核心设备的冗余，任有单点故障之虞，拟通过良好地维护和管理，以及购买完善地售后保障，稀释部分风险。

容灾、负载均衡、系统安全监控、入侵检测、网络管理以及数据库审计等设备拟列入二期建设中。

3.系统架构

“数据中心”拓扑图（建议配置）

“数据中心”拓扑图（基础配置）

四、建设方案

1.网络系统

“数据中心”汇聚了嘉兴市区县内居民电子健康档案数据及其他卫生业务数据，为市政府、卫生行政等决策部门提供卫生海量数据挖掘、分析及决策的支持服务；为同级医疗卫生机构和县市级数据中心提供数据采集、交换和共享的业务应用服务；为市民提供诸如个人健康档案检索、健康“一卡通”、双向转诊、网上预约挂号等便民服务，同时向省卫生信息平台提供上传数据，共享信息，因此，“数据中心”的网络系统应具备海量数据的交换和传送能力，在核心交换部分考虑设备冗余，消除单点故障。

1.1.网络规划设计

嘉兴卫生专网通过统一出口对接省卫生厅专网，该出口采用100MMPLSVPN线路。

嘉兴卫生专网的组网方式为，嘉兴市卫生局、市级医疗卫生机构、市本级区级卫生数据中心通过点对点裸光纤连接到中国电信股份有限公司嘉兴分公司IDC机房，嘉兴所辖县市卫生数据中心可采用点对点裸光纤、VPN或者MSTP等方式接入嘉兴卫生专网，具体连接方式由县市自行确定。

县（市、区）卫生专网组网方式由县（市、区）自行确定。

1.2.IP地址规划

IP地址的合理设计是网络设计中的重要一环，大型计算机网络必须对IP地址进行统一规划并得到实施。

IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。

设计原则

IP地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表路由数量，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，降低网络动荡成都，隔离网络故障，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。

具体分配时要遵循以下原则：

⏹唯一性：

一个IP网络中不能有两个主机采用相同的IP地址；

⏹简单性：

地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项；

⏹连续性：

连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率；

⏹可扩展性：

地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性；

⏹灵活性：

地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空。

⏹IP地址分配既要考虑到扩充，又要能做到连续；尽量分配连续的IP地址空间，并为将来的网络扩展预留一定的地址空间；在每个接入网络中，相同的业务和功能尽量分配连续的IP地址空间，有利于路由聚合以及安全控制。

⏹IP地址的分配必须采用VLSM技术，保证IP地址的利用率；采用CIDR技术，可减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小。

具体到本项目，IP地址分配应尽量符合RFC1918的标准，采用结构化的分层、分区方式分配。

IP地址规划建议

IP地址规划的主要内容有：

设备Loopback接口地址、设备互联地址、业务网段地址等几个方面。

对于业务系统IP地址的分配，建议利用本期工程具体实施之前，对嘉兴市卫生局各业务系统的IP地址进行统一的规划，以便路由信息的聚合，从而降低网络扩展的复杂性，同时方便基于路由信息的安全控制。

建议采用如下规则为各业务系统分配IP地址：

“三维编址”，业务系统优先、作为为第一维，地域为第二维，主机系统为第三维。

IP地址具体规划建议见下表：

地区

单位

CE端口互联IP地址

PE端口互联IP地址

用户LAN网段地址/子网掩码

嘉兴市本级

嘉兴市卫生局

10.173.0.1

10.173.0.126

10.173.0.0/25

嘉兴市疾控中心

10.173.0.129

10.173.0.190

10.173.0.128/26

嘉兴市卫生监督所

10.173.0.193

10.173.0.254

10.173.0.192/26

嘉兴市新农合

10.173.1.1

10.173.1.62

10.173.1.0/26

嘉兴市医院类

10.173.1.64/26-10.173.15.192/26,10.73.0.0/20

秀城区

秀城区卫生局

10.173.16.1

10.173.16.126

10.173.16.0/25

秀城区疾控中心

10.173.16.129

10.173.16.190

10.173.16.128/26

秀城区卫生监督所

10.173.16.193

10.173.16.254

10.173.16.192/26

秀城区新农合

10.173.17.1

10.173.17.62

10.173.17.0/26

秀城区医院类

10.173.17.64/26-10.173.31.192/26,10.73.16.0/20

秀洲区

秀洲区卫生局

10.173.32.1

10.173.32.126

10.173.32.0/25

秀洲区疾控中心

10.173.32.129

10.173.32.190

10.173.32.128/26

秀洲区卫生监督所

10.173.32.193

10.173.32.254

10.173.32.192/26

秀洲区新农合

10.173.33.1

10.173.33.62

10.173.33.0/26

秀洲区医院类

10.173.33.64/26-10.173.47.192/26,10.73.32.0/20

嘉善县

嘉善县卫生局

10.173.48.1

10.173.48.126

10.173.48.0/25

嘉善县疾控中心

10.173.48.129

10.173.48.190

10.173.48.128/26

嘉善县卫生监督所

10.173.48.193

10.173.48.254

10.173.48.192/26

嘉善县新农合

10.173.49.1

10.173.49.62

10.173.49.0/26

嘉善县医院类

10.173.49.64/26-10.173.63.192/26,10.73.48.0/20

海盐县

海盐县卫生局

10.173.64.1

10.173.64.126

10.173.64.0/25

海盐县疾控中心

10.173.64.129

10.173.64.190

10.173.64.128/26

海盐县卫生监督所

10.173.64.193

10.173.64.254

10.173.64.192/26

海盐县新农合

10.173.65.1

10.173.65.62

10.173.65.0/26

海盐县医院类

10.173.65.64/26-10.173.79.192/26,10.73.64.0/20

海宁市

海宁市卫生局

10.173.80.1

10.173.80.126

10.173.80.0/25

海宁市疾控中心

10.173.80.129

10.173.80.190

10.173.80.128/26

海宁市卫生监督所

10.173.80.193

10.173.80.254

10.173.80.192/26

海宁市新农合

10.173.81.1

10.173.81.62

10.173.81.0/26

海宁市医院类

10.173.81.64/26-10.173.95.192/26,10.73.80.0/20

平湖市

平湖市卫生局

10.173.96.1

10.173.96.126

10.173.96.0/25

平湖市疾控中心

10.173.96.129

10.173.96.190

10.173.96.128/26

平湖市卫生监督所

10.173.96.193

10.173.96.254

10.173.96.192/26

平湖市新农合

10.173.97.1

10.173.97.62

10.173.97.0/26

平湖市医院类

10.173.97.64/26-10.173.111.192/26,10.73.96.0/20

桐乡市

桐乡市卫生局

10.173.112.1

10.173.112.126

10.173.112.0/25

桐乡市疾控中心

10.173.112.129

10.173.112.190

10.173.112.128/26

桐乡市卫生监督所

10.173.112.193

10.173.112.254

10.173.112.192/26

桐乡市新农合

10.173.113.1

10.173.113.62

10.173.113.0/26

桐乡市医院类

10.173.113.64/26-10.173.127.192/26,10.73.112.0/20

1.3.设备选型

预估指标性，大型医疗机构根据日门诊量数据为X人次暂定（23000人次）估测，仅电子病历数据上传一项，根据80/20原则估算其上传数据峰值就要达到约:

网络传输数据量=2GB*80%/（8小时工作*60分钟*60秒*20%）*5倍=1.5MB/S

同时“数据中心”还需向省卫生数据中转发数据，估测项峰值要达到1.8MB/S。

再加上病人就诊时的个人健康档案检索、健康“一卡通”、社区/医院转诊等应用服务的数据量，应考虑申请100Mbps带宽的通信线路；在实际建设使用的过程中建议如下：

一般医疗卫生机构（如社区医疗机构、小型医疗机构）申请十兆以太网单模光纤线路；中、大型医疗机构、县市级数据中心申请百兆以太网单模光纤线路；嘉兴市区域卫生信息平台数据中心申请千兆以太网单模光纤线路；初始开通的可用带宽建议为10Mbps，然后再根据实际使用的情况调整可用带宽。

因此，我们认为嘉兴市区域卫生信息平台数据中心广域网接入路由器应选用企业级千兆核心路由器。

为确保广域网接入的可靠性，广域网接入路由器必须支持冗余电源、冗余路由交换引擎等设备级高可靠性特性，并且应配置冗余的接口模块，以实现设备级的高可靠性。

并且通过冗余配置设备来实现系统级的高可靠性、可扩展性，接入路由器应至少提供6个以上网络接口：

其中卫生数据中心接入1个接口、卫生厅内网接入1个接口，接入局域网核心交换机2个接口。

全线速的千兆以太网端口的最大包转发率（64字节），因此，广域网接入路由器性能至少要有6Mpps以上的最大包转发率。

网络安全与防御

虽然嘉兴市区域卫生信息平台数据中心广域网接入的是浙江省卫生专网和卫生系统内网，但是仍不能忽视接入的网络对数据中心带来的网络安全隐患。

内网接入的网络安全隐患主要表现为如下几种情形：

1、XX的网络访问；2、病毒与黑客攻击。

针对以上情况我们建议在广域网接入路由器后端放置高性能的防火墙系统，为嘉兴市区域卫生信息平台数据中心提供基于身份或网络的精细访问控制，防止非法访问应用或信息。

因此我们认为广域网接入防火墙系统建议采用支持“主/主”或“主/主”全网状高可用性模式的千兆防火墙解决方案。

目前，广域网接入线路共有2路（卫生专网和卫生厅内网），均为千兆以太网光纤接口，最大带宽为1Gbps，未来可能还要根据不同的应用为不同类型的接入单位增加接入线路（如为企业或保险公司接入，提供可公开的个人健康档案查询）。

因此，广域网接入防火墙必须采用处理能力（最大吞吐量）3Gbps以上（1Gbps以上余量）的千兆防火墙。

“数据中心”核心交换

“数据中心”核心交换是整个“数据中心”网络系统的基石。

鉴于嘉兴市区域卫生信息平台数据中心是嘉兴市数字卫生公共卫生信息数据共享和应用服务的主汇聚点，并对内承担了对医疗卫生海量数据进行数据挖掘、分析决策及展示服务的功能，建议采用两台高性能的企业级千兆以太网交换机作为核心交换机，组成一个高性能、高可靠性的千兆以太网交换骨干网络。

为确保高可靠性，设备应支持交换引擎、电源、接口模块和服务模块N+1冗余配置。

初始可配置：

一台台企业级千兆以太网核心交换机，每台交换机配置单交换引擎、交流电源N+1冗余配置、并配置必须的以太网接口模块，逐步升级至交换引擎、交流电源及必需的以太网接口模块和服务模块N+1冗余配置，以实现系统最大限度的可靠性。

核心交换机的千兆以太网接口配置：

数据库服务器上连需要1个端口，加上各类应用服务器，并且为以后扩展成双网络配置，至少不小于24个端口。

序号

设备

设备说明

数量

1

核心交换机

>=24端口千兆以太网电口（RJ45），

>=24端口千兆以太网光口业务板，冗余电源、风扇

1

2

核心路由器

≥2个100/1000M以太业务口

≥2个千兆以太网高速光接口板（SFP）

≥2个百兆以太网高速光接口板（SFP）

IP包转发率≥6Mpps

1

3

防火墙（带bypass）

千兆级防火墙，多核处理器架构，网络处理能力》5G，并发连接≥200万，冗余电源、风扇

1

4

网闸

百兆级网闸

1

5

汇聚交换机

24端口，背板带宽48Gbps,支持VLAN,包转发率35.71Mpps,传输速率10Mbps/100Mbps/1000M

1

2.存储部分

2.1.存储系统

2.1.1存储架构

目前市场主流的存储架构主要包括：

NAS和SAN。

NAS（网络附加存储）集成了处理器，文件系统和磁盘/磁盘柜，通过TCP/IP网络连接，通过文件存取协议存取数据，实现在不同操作系统平台下的文件共享应用。

优点：

价格适中、安装简便、不占用任何主机资源、管理方便、容量大、特别适合非结构化文件的存取，可以取代系统中原有的文件服务器。

缺点：

不支持块（block）文件的读取，无法支持高性能的数据库系统、扩展性一般、数据通过IP网络，性能不如光纤通道网络。

SAN（存储区域网络）分FC－SAN和IP－SAN二种方式。

它是通过FC光纤或IP网络连接，与存储设备组成的单独网络。

其中FC－SAN通过光纤连接，IP－SAN通过IP网络连接。

在SAN环境下，服务器和存储设备间可以任意连接，所有的服务器将被整合到一个存储池内，共享所有的资源，用户可根据服务器的实际需求来分配资源；允许任何服务器连接到任何存储阵列，让多主机访问存储器和主机间互相访问一样方便；随着存储容量的增长，允许用户独立地增加存储容量。

FC-SAN具有高性能的数据传输能力、高性能的IOPS、可扩展性好、高效率的可管理性、容错性好、多种灾难恢复能力。

在两种SAN技术中，FC－SAN性能高，IP-SAN组网方便，成本低。

卫生数据中心需要处理的数据类型可作如下划分：

考虑到“数据中心”支撑的卫生业务应用系统和数据类型的多样性，既有数据块数据（关系型数据库等），也有大量的文件数据，要求存储有较高的稳定性和较高的响应速度，应考虑能集成NAS和SAN的统一存储设备，在一个存储设备中同时支持FC-SAN、IP-SAN和NFS、CIFS多协议连接能力。

数据块应用，主要是包括虚拟化服务器平台、数据库服务器、其他核心应用服务器等，采用光纤连接SAN存储。

而对于文件共享数据和其他应用服务器，则建议采用NAS方式访问存储。

在硬盘配置类型上，设计时考虑了配置少量高性能的SSD硬盘，大部分高性能的15000转SAS硬盘作为数据的存储空间，以适应不同的业务数据访问对性能的要求。

2.1.2存储软件

存储软件功能应能支持FC、iSCSI、CIFS和NFS多种数据访问协议，支持虚拟（精简）资源调配，能优化容量利用率，能向主机呈现大容量的空间，提供按需使用共享池中的空间。

通过减少最初的存储容量过度分配、减少扩容时的步骤，降低总体拥有成本。

当共享池中空间不足时，可以通过向共享池中增加空间（磁盘扩容）来解除告警。

2.1.3备份系统

建立完善有效的存储备份管理系统需要考虑多方面的因素，基本上可归为以下几点：

备份硬件、备份软件、备份技术、备份策略、管理和维护。

备份设备

对于选择什么样的设备作为备份设备需要考虑具体的业务性质与数据性质。

现在常用的备份设备主要是基于磁带和基于磁盘两种。

这两种设备各有其优劣。

磁带设备是是一种离线设备，备份数据的容量大，是作为长期备份的理想备份介质；但由于磁带一种顺序读写设备，读写速度低于磁盘，查找定位的速度慢，所以数据备份和恢复的效率不如磁盘，而且磁带机由于没有RAID保护，由于磁带的物理特性，保管不当造成容易造成磁带受损，数据容易丢失。

磁盘设备的优点是存取数据的速度快、查询定位快，所以备份和恢复的效率高，而且磁盘设备由于有RAID保护等，数据的安全性相对较高；采用大容量SATA硬盘作为备份的空间也大幅度的降低了磁盘设备的价格；而随着近年来，企业数据的爆发式增长，大量的备份数据使得备份存储容量需求非常大，所以近年来被业界所推崇的基于磁盘的、具有高效重复数据消融的备份设备是非常理想的选择。

在选择备份设备时，应充分考虑使用重复数据消融技术，这样可将保留和保护数据所需要的磁盘存储容量减少至1/10甚至更多，从而使磁盘成为了磁带的经济高效取代者。

磁盘上的数据可以在线使用，并且可在现场保留更长时间，还原操作将变得快速且可靠。

由于仅在磁盘上存储唯一的数据，因而在未来还可通过现有网络将数据经济高效地复制到远程站点，以便实现灾难恢复（DR）和整合式磁带操作。

备份管理软件

备份管理软件的选择对于整个系统的性能至关重要。

备份软件不仅要提供良好的数据备份和恢复能力，还应提供简便易用的管理方法和良好的扩展性与技术先进性。

备份软件需要对生产系统的方方面面进行保护：

包括文件系统的备份、数据库/应用系统的在线的备份、服务器的操作系统等进行统一的备份。

备份技术

备份技术多种多样，主要来说，有LAN备份、LAN