视频中心

优力普医院网络方案

 

1.1. 网络性能需求分析

目前医院的应用系统主要是以HMIS(医院管理信息系统)和CIS(临床信息系统)为主,各种系统对网络的性能都有不一样的需要。

管理信息系统的应用主要是以文字、图表和简单的图形信息为主,虽然信息量不大,但是对于基础架构的可靠性和安全性需要较高,对服务质量也有一定的要求。

临床信息系统的应用内容则较为丰富。除了一般文字信息外,医疗应用数据包含大量的图形、视频和语音信息。如PACS系统的应用其在传输患者的放射图像信息时,需要消耗大量的网络传输带宽。要求安全、可靠、保证服务质量和高性能,需要同时支持语音、视频和数据等多种业务,又要方便以后的扩展。在某些关键应用上,对于服务质量、高性能、高可用性都提出了很高的要求。

同时,随着未来医院内部办公系统应用系统的开展,基于网络系统的语音电话、视频会议等系统的应用开展,需要网络系统提供更高容量的网络传输带宽,确保视频、语音等实时性服务在网络中传输的低延迟和数据带宽恒定,以提升医院的现代化办公效率。

 

1.2. 安全需求分析

医院信息系统的安全性包括实体安全、网络安全、传输安全、用户安全。

网络系统安全也是网络系统稳定的根本性保障,无法保障系统安全的网络是无法实现网络系统的稳定性的,然而,根据公安部的统计,网络系统的安全事件,有70%是由内部的使用者造成的,因此,一个能够轻松使用内部网络系统的用户,其有意或无意造成的网络安全影响会比一个外部的黑客造成的影响还要大。

医院的内部信息主要是以病人的病例、处方和医嘱等信息为主,而医院是有义务保障病人的信息安全,保证病人的病例、处方和医嘱信息不被没有必要的部门或人员查看,同时也要保证信息不能外传。医院的信息必须要被保存7-21年甚至更长时间。因此,如何保证整个系统的保密性、完整性、可用性也是医院信息系统安全性的一部分。

 

1.3. 无线网络需求分析

无线局域网的应用,使医院信息网络更加灵活,而且能够经济、快捷的实现无缝覆盖。在需要频繁上网的病房区域,在网络终端不固定的会议室等区域,无线网络都是理想的选择。配合无线掌上电脑,可以实现很多适合医院应用的无线接入服务。

医院临床医学信息系统,突出体现的就是“以病人信息为核心,以病人诊疗过程为主线”的理念。目前医院使用的包括:病房医生站,门诊医生站,病房护士站,病人床旁移动信息站(包括医生和护士,临床检验分析系统等等),这些信息化系统的配合使用,使得医护人员在医院中可以随时随地获取病人的最新信息,做出快速反应处理,紧密跟踪治疗过程,大大提高了医院的诊疗效率和缩短了病人等待的周期。

基于“无线网络”的平台,让移动信息系统(BMIS)的功能充分的发挥了出来,医护人员可以借助它大力协助自己在病人身边治疗护理的工作。它是一个移动信息中心,用户可以随时对数据进行查阅,浏览,记录,采集,传输等处理,还同时实现了人机交流和人人交流。

 

1.4. 内网网络构架设计

医院内网采用万兆核心、千兆接入的高速以太网二层或三层架构设计,可通过增加模块的方式实现接入万兆到核心的平滑升级,满足未来3-5年未来业务扩展的需求。

 

1.4.1 网络架构设计

⑴ 核心骨干设计

  • ● 核心骨干网采用2台万兆核心交换机通过万兆多模光纤互联,实现万兆核心网络并可平滑升级到未来的10万兆核心。

  • ● 两台核心交换机通过虚拟化技术,虚拟为一台,进行管理,实现接入到核心的链路负载均衡与热备份,一旦一台核心交换机出现故障,链路切换时间在50ms内,保障所有业务数据无中断的转发。

  • ⑵ 核心交换机的选型

  • ● 为了保障未来业务的扩展,核心交换机至少具备3个业务槽位,支持双引擎的热冗余;交换容量至少在4.8Tbps以上,包转发至少在1400Mpps以上;

  • ● 核心交换机须支持虚拟化技术,将内网两台核心交换机虚拟成为一台管理,同时实现负载均衡;

  • ● 核心交换机必须支持基于硬件的CPU保护技术与安全策略自动下发技术,充分保障核心交换机的安全运行;

⑶ 接入层设计

● 考虑到影像中心接入信息点集中,同时医院的应用多元化,PACS系统大流量高性能的需求。要求影像中心接入层的设备具有端口高密度和设备的高性能、高安全、多功能的特点。接入层采用全千兆智能接入交换机,满足了网络流量成倍提高和多媒体业务的迅速增长的需要。在提供高性能、高带宽的同时,全千兆智能接入交换机提供智能的流分类、完善的服务质量(QoS)和组播应用管理特性,并可以根据网络的实际使用环境,实施灵活多样的安全控制策略,有效防止和控制病毒传播和网络攻击,控制非法用户接入和使用网络,保证合法的用户合理化地使用网络资源,充分保障了网络高效安全、网络合理化使用和运营。

● 医院内网接入设计为采用千兆24口交换机,通过两条千兆多模光纤分别与核心交换机连接。通过核心交换机的虚拟交换技术,实现接入交换机到核心交换机的2G带宽,同时实现链路的热冗余。并通过千兆6类双绞线与桌面计算机连接,实现千兆到桌面的访问。

⑷ 接入层交换机的选型

  • ● 24口接入交换机配置24个10M/100M/1000自适应电口,同时配置4个SFP复用口用于钱少光纤上行;

  • ● 24口接入交换机交换容量至少在200Gbps以上,包转发至少在50Mpps以上;

  • ● 接入交换机必须支持防ARP、DHCP SNOOPING等攻击;并支持802.1x、WEB认证等功能;

 

 

1.5. 无线网络设计

医院的网络建设需要对整栋楼等室内区域的的每一个区域进行无线覆盖,真正达到医护人员能够在医院的每一个角落接入无线网络。为了达到稳定的无线网络连接和高速的网络带宽,无线网络建设采用室内覆盖的方式进行无线网络的建设。

  1. 1.5.1. 业务对无线网络的要求

⑴ 覆盖效果

医院的所有房间、角落都需要确保有稳定的无线信号。

⑵ 漫游

护士/医生在病房间穿梭会不会掉线,甚至重新登录。

 

⑶ 带宽

用PDA记录生命体征、执行医嘱保障实时处理。保障用平板电脑看PACS影像快速看片子。

⑷ 稳定

7X24小时的不间断运行。

⑸ 安全

无线网络的特性导致安全性较低。除了自身无线SSID加密的方式保障安全以外,还需要通过额外措施保障网络的安全。

1.5.2. 无线网络的部署设计

按照医院业务对无线网络的要求,采用以下无线网络的设计。

在每层楼内部署支持802.11 b/g/n/ac的无线AP,802.11ac技术可使网络达到1200M的带宽。

POE交换机部署全千兆三层交换机,带有24个千兆POE电口,同时还带有4个千兆SFP口。POE交换机分别部署在每个配线间,并通过2条千兆多模光纤分别与2台核心交换机连接。无线AP通过6类双绞线方式就进连接到POE交换机,并通过POE方式供电。

 

1.6. 网络安全设计

1.6. 1. 基础网络安全设计

⑴ 关键部件的安全稳定

● 核心交换机主机支持冗余的管理模块、冗余的电源模块、各种模块热拔插等安全稳定保障技术。

● 核心交换机主机实时检测CPU的使用状态,并提供硬件CPU保护技术对发往CPU的数据进行流区分和流限速,避免非法攻击包对CPU的攻击和资源消耗。

⑵ 病毒和攻击防护

● 交换机采用硬件方式提供多种安全防护能力,例如防DoS攻击、非法数据包检测、数据加密、防源IP地址欺骗等等,避免了传统软件实现方式对整机性能的影响。

● 交换机提供业界最为强大的ACL特性,提供IP标准、IP扩展、MAC扩展、时间、专家级等丰富的ACL技术。

⑶ 设备管理安全

● 交换机提供SSHv1/v2的加密登陆和管理功能,避免管理信息明文传输引发的潜在威胁。

● 交换机支持Telnet/Web登录的源IP限制功能,避免非法人员对网络设备的管理。

● 交换机支持SNMPV3提供加密和鉴别功能,可以确保数据从合法的数据源发出,确保数据在传输过程中不被篡改,并且加密报文,确保数据的机密性。

 

2. 基础网络安全设计

2.1 网络架构设计

 

● 外网主要服务于住院楼内所有需要在互联网上使用的业务。

● 外网的核心层交换机采用单核心架构,网络主干采用千兆骨干链路。核心交换机使用千兆多模光纤连接到楼层交换机,楼层交换机使用百兆端口直接到桌面提供网络接入。

● 整个网络核心设计为支持万兆扩展的核心交换机,接入设计为支持千兆上行的接入交换机。

 

2.1.1.  网络结构设计

2.1.1.1.  出口设

考虑到医院外网无专用出口,为了保障内网安全、出口质量等,特在出口区域部署防火墙及出口网关。整个网关提供高速NAT转换、深度流量控制、防火墙功能。

⑴ 防火墙,做好内、外网的安全保护

● 报文过滤是防火墙最基本的功能,根据安全策略对数据流进行检查,让合法的流量通过,将非法的流量阻止,从而达到访问控制的目的。对基于六元组来识别网络流量,并针对每条网络流量建立从二层至七层的状态信息。并基于这些状态信息进行各种丰富的安全控制和更深粒度的报文过滤。基于状态检测,UR系列防火墙可以防御的各种网络攻击包括:IP畸形包攻击、IP假冒、TCP劫持入侵、SYN flood、Smurf、Ping of Death、Teardorp、Land、ping flood、UDP Flood等。

⑵ 出口网关设计,提高上网质量

  • ● 专业流控保障网络出口带宽

UR系列出口网关提供网络流量的实时采集、监控和精细分析使得网络运行状况、应用情况、带宽使用情况等状况完全可视化。

过滤非法网络访问

  • ● 深层次内容审计,本地化日志记录,基于用户身份的审计功能

日志对于网络安全的分析和设备的安全管理非常重要,尤其在配合公安机关进行反向查询和定位安全事件的时候。安全网关针对经过出口的数据流、设备和网络攻击进行相关日志信息的记录。为用户事后分析、审计提供重要信息(日志支持远程web查看和检索)。

 

2.1.1.2. 核心骨干网设计

医院对互联网业务访问以及对外提供服务业务,将核心骨干网设计为万兆核心的网络。核心交换机通过千兆光纤直接与接入交换机连接。

核心骨干交换机的选型

至少提供3个业务插槽。交换容量4.8Tbps,包转发1440Mpps;配置单引擎,双电源;

 

2.1.1.3. 接入网设计

根据医院外网信息点数量以及业务应用情况,接入网设计为全千兆交换机。每台交换机通过千兆光纤直接与核心交换机连接。

接入交换机至少提供24个千兆电口,4个千兆光口;支持防ARP欺骗、DHCP SNOOPING攻击等,为了更好节能,接入交换机要求是无散热片设计。

 

2.2. 网络安全设计

医院外网安全设计结合身份认证系统和业界成熟先进的安全理念进行设计。

网络基础平台安全:网络设备、网络结构自身具备安全措施,保障在出现安全事件时,网络设备、网络结构可用。

⑴ CPU及引擎保护技术保障设备稳定运行

● 随着交换机应用的逐渐普及,以及网络攻击的不断增多,越来越需要为数据交换机提供一种保护机制,对发往交换机CPU的数据流,进行流分类和优先级分级处理,以及CPU的带宽限速,以确保在任何情况下CPU都不会出现负载过高的状况。

⑵ 基础网络保护策略减少网络攻击

● 通过对交换机基础策略的配置能够防止目前网络上常见的多种攻击手段,包括ARP攻击、ICMP攻击、IP扫描攻击及DHCP耗竭攻击等,形成一套完整的保护体系,为用户提供一个安全可靠的网络平台。

 

3. VNMS综合监控管理运维系统

3.1全网设备统一运维管理,全景拓扑自动生成:

医院智能化系统子系统多、终端种类繁杂、网络规模庞大。优力普VNMS综合监控管理运维系统提供多系统统一管理:一张物理网络承载计算机网、通信网、设备网,业务逻辑隔离,平台自带网闸功能,在保障内网安全前提下,实现多网统一管理,节省投资成本。运维平台自动生成网络拓扑,全网架构清晰可见,故障快速精准定位。

VNMS综合监控管理运维系统

 

 

基于统一的信息集成平台,实现数据信息一体化、运行监控一体化、维护管理一体化:

通过统一管理平台对医院基础网络设备状态进行实时监测,防患设备故障隐患,提高医院管理效率,使整体系统具有信息汇聚、资源共享及协同管理的综合应用功能;并具有为医院主体业务提供高效的信息化运行服务及完善的支持辅助功能。

3.2. 软硬融合一体化实现应用、数据可视化大屏展示:

优力普VNMS综合监控管理运维系统视频交互显示模块支持4K超高清视频信号采集与传输,采用纯网络系统架构和模块化设计理念,不仅具有纯硬件架构稳定高效的优势,同时可支持各种接口、业务模块混合搭配满足不同的应用场景,并且各个节点之间传输距离不受限制。系统提供云拼接、云解码、云输入、云预监、云回显等多种数据展示应用功能,针对可视化多业务控制指挥中心的应用需求而设计。

VNMS综合监控视频交互显示系统