医院WIFI项目建设概要方案.docx

医院WIFI项目建设概要方案.docx

《医院WIFI项目建设概要方案.docx》由会员分享，可在线阅读，更多相关《医院WIFI项目建设概要方案.docx（13页珍藏版）》请在冰豆网上搜索。

医院WIFI项目建设概要方案

医院WiFi项目建设方案

北京中麦互联网络科技有限公司

年月日

一、项目背景

本文档重点说明无线网络及移动医疗的技术方案，具体建设范围、建设工期、业务要求等商务条件在商业协议中另行约定。

我司在医院场景下为用户免费提供移动互联网接入服务（外网），主要覆盖门诊、病房区域。

初期目标是在两年内建立覆盖全国1000家二甲以上医院的WIFI运营平台，日均覆盖300万患者及陪护人群。

通过广告（非医疗类）、应用分发、游戏下载、基于医院及本地社区的生活服务等移动互联网业务，进行后向运营。

2012年11月，《国家智慧城市试点暂行管理办法》和《国家智慧城市（区、镇）试点指标体系（试行）》，2013年8月，国务院印发《“宽带中国”战略级实施方案》和《关于促进信息消费扩大内需若干意见》，2013年12月9日，国家卫生计生委《关于加快推进人口健康信息化建设的指导意见》，要求充分运用大数据、云计算、物联网、视联网、智能卡等新技术，有效提升人口健康信息化业务应用水平。

医院的性质决定了患者是在相对封闭的环境中排队和候诊，不受外界干扰。

在这样的场景下，催生用户无线上网需求，满足医院信息化前提下，缓解医患紧张关系。

无线网络成为医院宣传的新途径，丰富医院对外宣传的形式和手段的同时，减少医院宣传费用；提升就诊人员对医院的满意度，带动就诊量的增加；体现医院便民、惠民的原则，加快提升医院综合服务能力。

我司目前已经完成全国范围内62家医院上线运营，签约医院300家。

典型案例包括：

北京大学第三医院、中国医科大学航空总医院、煤炭总医院、北京大学积水潭医院、北京大学首钢医院、北京大学肿瘤医院、首都医科大学附属北京潞河医院、河北医科大学第一医院、安徽医科大学第一附属医院等等。

我司愿意与院方合作，为医院信息化建设及移动医疗领域新模式的探索做出自己的贡献。

二、建设要点

我司提供全部网络设备、至少50Mbps的出口带宽（日均挂号量+病房床位>5000的医院，提供至少100Mbps出口带宽）、综合布线施工、上线后运营维护等，医院仅需提供场地、机柜位置及建设指导意见即可，无需其他投入。

出口带宽可确保同时在线用户200Kbps上行速率，在运营过程中，根据用户使用情况加大出口带宽，并通过负载均衡等机制，保证公平使用。

网络设备采用国内主流WLAN解决方案提供商华三、锐捷、中兴的企业级无线网络产品，在网络安全、设备稳定性、网络性能等方面，比目前涌现出的大量商业WIFIAP厂商更具专业性，确保医疗信息安全。

我司无线网络可实现基于角色的访问控制，针对患者家属和医生护士提供不同的认证方式和访问控制策略，并提供类型的上网服务。

基于我司无线网络，可向用户提供各类互联网内容服务的同时，提供医院APP、微信公众号、医院微官网、医院WAP页等多种形式的移动互联网展现形式，提供网络硬件和医疗软件一体化解决方案。

三、建设计划

无线WiFi建设工期分初步地勘、详细地勘、网络规划、宽带接入、设备比价、POE布线、设备到货、AP安装、系统调试、正式上线十个阶段，全部完成预计需要6个月时间，其中门诊、急诊区域可在合同签订后30个工作日内完成施工开通。

具体计划如下：

阶段

任务

预计建设工期

实施日期

初步地勘

初步确定设备总量、走线、投资规模

1个工作日

详细地勘

与设备提供商实施人员一起进行详细勘察，取得医院各楼层平面图，确定详细实施方案；

1个工作日

网络规划

网络规划详细方案

5个工作日

宽带接入

宽带比价、签合同、光纤接入

20个工作日（可并行）

设备比价

比较各设备商设备性能、价格，确定最适合的设备类型及实施流程

15个工作日（可并行）

门诊急诊医技区域POE布线

确定施工队，根据AP点位进场实施布线

10个工作日

门诊急诊医技区域设备到货

签订采购合同，付款，到货

10个工作日

门诊急诊医技区域AP安装

根据预装点，安装AP，调试AP

2个工作日

门诊急诊医技区域调试上线

AP与交换机、AC、用户认证系统对接调试

3个工作日

门急诊

门诊、急诊、医技楼总共大约需要30个工作日

病房区域POE布线

确定施工队，根据AP点位进场实施布线

30个工作日

病房区域设备到货

签订采购合同，付款，到货

20个工作日（可并行）

病房区域AP安装

根据预装点，安装AP，调试AP

10个工作日

病房区域系统调试

AP与交换机、AC、用户认证系统对接调试

5个工作日

整体上线

测试网络接入情况，网速评测、正式上线

5个工作日

总结

院方批准建设方案后，启动施工部署

约110个工作日全部完工

说明：

上述实施计划为预估工期，宽带接入、设备到场时间存在不确定性，有延期风险。

四、带宽规划

我司承诺提供至少50Mbps的企业级互联网专网接入，确保用户上网速率不低于200Kbps；并针对接入用户做最大速率限制及负载均衡，确保所有用户机会均等地使用无线互联网接入服务。

我司承诺在运营过程中，根据并发用户数的增加不断优化带宽，调整接入带宽资源。

五、网络拓扑

医院不同办公楼、门诊楼分别汇聚后，最终汇聚到中心机房，并通过中心机房核心交换机和互联网网关连接。

并通过中心机房核心交换机分别与医院内网和互联网网关连接。

其中，内网与外网之间需增加防火墙，根据院方要求制定访问控制策略并部署，确保内网安全。

通过对内网和外网划分不同vlan，设定不同SSID，为不同需求提供网络接入，为不同用户群体提供不同服务。

内网接入时，如果还需要进行基于角色或组的身份认证及访问控制策略制定（例如，医生和护士的访问权限不同，科室主任和其他医生的访问权限不同，等等），则需要追加基于身份认证的无线准入软件系统。

外网接入时，按照公安部82号令相关安全规定，用户需要提供手机号进行实名认证，并在系统后台记录所有登录用户最近60天的互联网访问记录。

面向外网用户的身份认证系统、访问日志审计系统由我司的运营平台统一提供。

具体拓扑图说明如下：

详细描述如下：

设备

上行设备

连接方式

放置位置

说明

AP

POE交换机

六类网线

安装在候诊区、病房走廊区

放装AP

POE交换机

汇聚交换机

六类网线

放在各病房楼、门诊楼的指定配线间

汇聚交换机

核心交换机

光纤

汇聚交换机放在各分区

每个分区各放置一台

核心汇聚交换机

出口网关

六类网线

中心机房

出口网关

光猫

六类网线

中心机房

内置防火墙、病毒库等

AC控制器

出口网关

六类网线

中心机房

宽带接入

光纤

中心机房

宽带运营商带宽接入

云服务

云端服务器

提供用户认证、审计、日志服务

六、设备选型

设备类型

规格

描述

数量

光纤收发器

电信通光纤接入时提供的企业级光纤收发器

1

出口网关

RG-EG2000SE

固化8个千兆电口，固化2个千兆光口，内置500G硬盘，内置风扇（流控及URL特征库免费升级，IPsecVPN免费，SSLVPN免费赠送5个授权）

1

核心交换机

RG-S5750-24GT/8SFP-E

增强型24端口千兆交换机，8个复用的100/1000M自适应SFP光口，2个扩展槽，1个USB2.0接口

1

汇聚交换机

RG-S5750-24GT/8SFP-E

增强型24端口千兆交换机，8个复用的100/1000M自适应SFP光口，2个扩展槽，1个USB2.0接口

详细地勘后确定

POE交换机

RG-S2928G-12P

24口10/100/1000M自适应电口（最多支持12口PoE供电或6口PoE+远程供电），4口SFP非复用端口，每端口最大PoE功率输出30W，整机输出最大PoE功率为185W

详细地勘后确定

AP

RG-AP3220

室内灵动天线型无线接入点，内置天线，双路双频，支持2条空间流，整机最大接入速率600Mbps，可支持802.11a/n和802.11b/g/n同时工作，胖/瘦模式切换、WAPI、千兆电口上联、PoE和本地供电（PoE和本地电源适配器需单独选购）

详细地勘后确定

AC控制器

RG-WS5504

千兆无线控制器，可扩展为512个授权

1

七、点位数及POE交换机数计算方法

详细的点位数及POE交换机数，需要实地勘察后提供。

一般原则如下：

1.在候诊区等相对空旷、人员密集区域，一个AP可覆盖半径为30米的区域（约300平米）；

2.在病房区，根据病房及医生办公室的大小，每4个房间—6个房间需在走廊安装一个AP（在房间两两相对的情况下，如果只有单侧有房间，相应换算即可）；

3.在输液室、留观室等独立房间区域，需额外加装一个或多个AP（一般为一个AP就足够了）

4.POE交换机需放置在楼层弱电间中，AP点位距离POE交换机的网线实际长度不得大于80米（AP应尽量与最近距离的POE交换机连接）；

5.单台POE交换机可连接12、16或24个AP，为了提高可维护性的同时能最大限度控制成本，应采取最经济的POE交换机部署方式。

举例来说，

（1）当两个楼层的AP点位总和小于16，但大于12时，可考虑两个楼层只采用一台16口POE交换机的方式来部署；

（2）每个楼层的AP点位约10个左右，则在每个楼层放置一台12口POE交换机；

（3）每个楼层的AP点位约5个左右，但如果两个楼层放置一台POE交换机，则AP点位距离POE交换机距离超过80米，此时必须在每个楼层放置1台POE交换机；

6.当某栋楼的POE交换机数量多于一台，则需要在该栋楼增加一台汇聚交换机

各楼区域点位描述举例如下（详细地勘后提供）：

楼

楼层

描述

放装

门诊楼

1层

2层

3层

4层

小计

急诊楼

1层

2层

3层

4层

小计

医技楼

1层

2层

3层

4层

小计

全院总计

综上统计，全院共需AP约个。

相应需要的POE交换机数量及汇聚交换机数量举例如下（详细地勘后提供）：

楼

汇聚交换机

POE交换机

放置位置

门诊楼

急诊楼

医技楼

全院总计

八、网络安全

1、无线设备安全

中麦互联与华为、中兴、锐捷等国内一流无线设备及整体解决方案提供商都有良好合作关系，为医院提供企业级网络设备及安全保障。

设备端的具体安全措施包括：

内置防火墙、无线认证的端口安全机制、支持多种用户认证方式、支持IPSECVPN和GREVPN方式与后台系统组网。

用户认证方式包括802.1x认证、MAC地址认证、Web认证、AAA认证、RADIUS认证、HWTACACS认证。

除此之外，设备还支持广播风暴抑制、ARP安全、ICMP反攻击、URPF、IPSourceGuard、DHCPSnooping、CPCAR、黑名单、攻击源追踪等常见网络安全机制。

同时，所有无线设备可通过统一的后台网管系统进行一站式管理配置，将访问控制策略统一下发部署到全部无线热点。

设备端的安全措施作为整个网络和系统安全的第一道屏障，有效保障了网络接入的安全性。

2、用户信息安全

为了能完整实现用户认证和访问控制，无线接入设备需要对手机IMEI信息等进行临时保存，当手机脱离无线网络后，设备即删除相关信息。

由于手机IMEI信息并不会泄露手机用户的个人信息（包括手机号、用户名等），因此并不会直接导致信息泄露。

而在用户认证时收集的信息，包括手机号、认证密码等，直接通过后台web服务器，提交到后台认证服务器留存，无线接入设备不保存相关信息。

因此不会导致信息泄露。

此外，无线接入设备会临时保留网址访问日志、流量日志等，并即时上传到后台日志服务器保存。

由于日志信息并不包含用户个人信息，因此也不会导致用户信息的泄露。

如“设备安全”部分的说明，设备内置防火墙，从而避免了设备内临时留存的用户访问日志被非法取得。

根据公安部82号令的相关要求，实名认证手机号信息、用户上网行为日志均保留至少60天（一般保留90天）。

3、后台系统安全

如“WiFi业务”网络拓扑图所示，后台业务支撑系统确保“WiFi业务”的正常运营。

整个后台系统部署在防火墙边界之内，并与所有设备构成安全虚拟局域网络。

后台系统包括用户认证、日志留存、统一网管、业务支撑等系统，并通过双机热备、定期数据备份、自身系统告警、服务器虚拟化、定期漏洞扫描等机制，确保后台系统本身的安全可靠。

4、基于角色的访问控制

基于角色的访问控制是指将所有用户分组进行访问控制。

当AP设备接收到某个用户终端发起的网络连接请求时，即根据此终端（对应某个用户）所处分组（即角色）对应的应采取的访问控制方案，动态制定针对该终端的访问控制策略。

当要求针对某类用户或某些MAC地址的用户进行接入限制或访问控制时，可通过配置访问控制策略或用户认证等措施来进行配置。

此类访问控制策略，一旦确定后即可通过网管系统远程分发到所有AP设备上，即时生效。

九、业务模式及分工界面

基于医院无线网络外网环境的业务包括互联网接入业务和移动医疗服务。

面向患者及陪护家属开展互联网接入业务，进行后向运营。

具体业务模式见下表。

模式

互联网接入服务业务模式

后向运营

广告

非医药、保健品类的广告投放（投放之前必须征得院方许可）

游戏应用下载

面向安卓系统的游戏及应用免费下载

资讯信息

提供医疗、新闻、天气、本地资讯信息

本地生活服务

提供医院周边的商家优惠券、活动信息

其他

符合国家法律法规规定的移动互联网服务

互联网医疗服务免费向患者提供，后期与院方协商共同推出差异化定价的医疗增值服务。

我司负责医院无线外网全部网络设备、出口带宽、后台运营平台的开发、部署和运营维护，院方除提供必要机柜及电源外，无需承担其他任何工作。

具体如下：

项目

中麦互联承担

院方协助

设备安装

设备安装位置调查、讨论；

设备安装、走线、供电实施；

设备验收测试、调试、配置；

为设备安装位置提供建议意见

设备线缆走线提供协助

设备供电提供协助

访问控制

策略设定

根据院方要求，整理访问控制策略细则；

远程部署访问控制策略并测试；

根据院方要求，调整现有访问控制策略；

提供访问控制具体要求；

服务器部署

服务器硬件采购；

服务器软件研发、安装；

服务器部署、调试、测试、日常维护；

提供服务器部署场所，一般仅需要5U空间的机柜位置；

提供服务器网络环境；

宽带申请

确定宽带具体需求规格；

与宽带运营商商务洽谈、比价；

宽带接入施工；

院方对宽带的具体需求提出；

宽带运营商接入资格审核；

宽带接入施工协助；

信息对接

根据院方要求，开发医务信息发布系统；

根据院方要求，按时发布医院信息、科室介绍、专家查询、健康教育等信息；

提出信息发布具体要求；

提供现有医务信息数据及集成开发的接口；

定制化要求

配合院方，完成定制化要求开发

其他定制化要求提出

运营维护

承担所有运营维护和售后服务

院方提供指导意见及需求

十、售后服务

我司承诺提供如下售后服务保障：

1.服务周期：

从验收合格日起五年维保

2.维保范围：

前期提供管理系统驻场维护，定期巡检、故障处理及应急响应、系统性能及基础功能优化、特殊情况（如重大保供电事件）的值守、新增业务系统接入、变更等相关配合工作、按时提交相应运维文档、定期更新系统配置表及系统变更记录、每年按需修编应急响应预案与系统作业指导书等服务。

3.工作内容：

3.1定期巡检：

通过对管理系统软、硬件设备的巡检，保证设备的稳定运行，保障设备24小时不间断地运行，要求每月至少一个工作日在现场。

3.2故障处理及应急响应：

巡检过程中发现问题及时进行处理，对于突发性故障，通过及时的紧急应急措施，确保短信平台管理系统设备高运行率及高可用率。

特殊情况下的运维人员现场值守。

3.3运行情况分析：

周期性对现有系统设备运转状况进行跟踪、分析，科学地预测和掌握设备的性能状态，使设备能够满足一定增长的业务应用需要。

3.4系统性能及基础功能优化：

通过运行数据分析，对现有系统性能及基础功能进行优化。

3.5新增业务系统接入、变更等相关配合工作：

配合新增业务系统接入、短信接口变更、短信数据查询等工作。

3.6定期更新系统配置表及系统变更记录：

通过定期巡检及日常变更记录，定期更新系统配置表及系统变更记录，确保系统配置表准确性。