医院WIFI项目建设概要方案.doc

医院WiFi项目建设方案北京中麦互联网络科技有限公司 年 月 日目 录一、项目背景3二、建设要点3三、建设计划4四、带宽规划5五、网络拓扑5六、设备选型7七、点位数及POE交换机数计算方法7八、网络安全91、无线设备安全92、用户信息安全93、后台系统安全94、基于角色的访问控制10九、业务模式及分工界面10十、售后服务11一、 项目背景本文档重点说明无线网络及移动医疗的技术方案，具体建设范围、建设工期、业务要求等商务条件在商业协议中另行约定。我司在医院场景下为用户免费提供移动互联网接入服务（外网），主要覆盖门诊、病房区域。初期目标是在两年内建立覆盖全国1000家二甲以上医院的WIFI运营平台，日均覆盖300万患者及陪护人群。通过广告（非医疗类）、应用分发、游戏下载、基于医院及本地社区的生活服务等移动互联网业务，进行后向运营。2012年11月，国家智慧城市试点暂行管理办法和国家智慧城市（区、镇）试点指标体系（试行），2013年8月，国务院印发“宽带中国”战略级实施方案和关于促进信息消费扩大内需若干意见，2013年12月9日，国家卫生计生委关于加快推进人口健康信息化建设的指导意见，要求充分运用大数据、云计算、物联网、视联网、智能卡等新技术，有效提升人口健康信息化业务应用水平。医院的性质决定了患者是在相对封闭的环境中排队和候诊，不受外界干扰。在这样的场景下，催生用户无线上网需求，满足医院信息化前提下，缓解医患紧张关系。无线网络成为医院宣传的新途径，丰富医院对外宣传的形式和手段的同时，减少医院宣传费用；提升就诊人员对医院的满意度，带动就诊量的增加；体现医院便民、惠民的原则，加快提升医院综合服务能力。我司目前已经完成全国范围内62家医院上线运营，签约医院300家。典型案例包括：北京大学第三医院、中国医科大学航空总医院、煤炭总医院、北京大学积水潭医院、北京大学首钢医院、北京大学肿瘤医院、首都医科大学附属北京潞河医院、河北医科大学第一医院、安徽医科大学第一附属医院等等。我司愿意与院方合作，为医院信息化建设及移动医疗领域新模式的探索做出自己的贡献。二、 建设要点我司提供全部网络设备、至少50Mbps的出口带宽（日均挂号量+病房床位5000的医院，提供至少100Mbps出口带宽）、综合布线施工、上线后运营维护等，医院仅需提供场地、机柜位置及建设指导意见即可，无需其他投入。出口带宽可确保同时在线用户200Kbps上行速率，在运营过程中，根据用户使用情况加大出口带宽，并通过负载均衡等机制，保证公平使用。网络设备采用国内主流WLAN解决方案提供商华三、锐捷、中兴的企业级无线网络产品，在网络安全、设备稳定性、网络性能等方面，比目前涌现出的大量商业WIFI AP厂商更具专业性，确保医疗信息安全。我司无线网络可实现基于角色的访问控制，针对患者家属和医生护士提供不同的认证方式和访问控制策略，并提供类型的上网服务。基于我司无线网络，可向用户提供各类互联网内容服务的同时，提供医院APP、微信公众号、医院微官网、医院WAP页等多种形式的移动互联网展现形式，提供网络硬件和医疗软件一体化解决方案。三、 建设计划无线WiFi建设工期分初步地勘、详细地勘、网络规划、宽带接入、设备比价、POE布线、设备到货、AP安装、系统调试、正式上线十个阶段，全部完成预计需要6个月时间，其中门诊、急诊区域可在合同签订后30个工作日内完成施工开通。具体计划如下：阶段任务预计建设工期实施日期初步地勘初步确定设备总量、走线、投资规模1个工作日详细地勘与设备提供商实施人员一起进行详细勘察，取得医院各楼层平面图，确定详细实施方案；1个工作日网络规划网络规划详细方案5个工作日宽带接入宽带比价、签合同、光纤接入20个工作日（可并行）设备比价比较各设备商设备性能、价格，确定最适合的设备类型及实施流程15个工作日（可并行）门诊急诊医技区域POE布线确定施工队，根据AP点位进场实施布线10个工作日门诊急诊医技区域设备到货签订采购合同，付款，到货10个工作日门诊急诊医技区域AP安装根据预装点，安装AP，调试AP2个工作日门诊急诊医技区域调试上线AP与交换机、AC、用户认证系统对接调试3个工作日门急诊门诊、急诊、医技楼总共大约需要30个工作日病房区域POE布线确定施工队，根据AP点位进场实施布线30个工作日病房区域设备到货签订采购合同，付款，到货20个工作日（可并行）病房区域AP安装根据预装点，安装AP，调试AP10个工作日病房区域系统调试AP与交换机、AC、用户认证系统对接调试5个工作日整体上线测试网络接入情况，网速评测、正式上线5个工作日总结院方批准建设方案后，启动施工部署约110个工作日全部完工说明：上述实施计划为预估工期，宽带接入、设备到场时间存在不确定性，有延期风险。四、 带宽规划我司承诺提供至少50Mbps的企业级互联网专网接入，确保用户上网速率不低于200Kbps；并针对接入用户做最大速率限制及负载均衡，确保所有用户机会均等地使用无线互联网接入服务。我司承诺在运营过程中，根据并发用户数的增加不断优化带宽，调整接入带宽资源。五、 网络拓扑医院不同办公楼、门诊楼分别汇聚后，最终汇聚到中心机房，并通过中心机房核心交换机和互联网网关连接。并通过中心机房核心交换机分别与医院内网和互联网网关连接。其中，内网与外网之间需增加防火墙，根据院方要求制定访问控制策略并部署，确保内网安全。通过对内网和外网划分不同vlan，设定不同SSID，为不同需求提供网络接入，为不同用户群体提供不同服务。内网接入时，如果还需要进行基于角色或组的身份认证及访问控制策略制定（例如，医生和护士的访问权限不同，科室主任和其他医生的访问权限不同，等等），则需要追加基于身份认证的无线准入软件系统。外网接入时，按照公安部82号令相关安全规定，用户需要提供手机号进行实名认证，并在系统后台记录所有登录用户最近60天的互联网访问记录。面向外网用户的身份认证系统、访问日志审计系统由我司的运营平台统一提供。具体拓扑图说明如下：无线AP 无线APPOE交换机(12口)Web服务器核心交换机外网出口网关（内置防火墙）AC控制器用户身份认证、审计日志服务器中心机房配线间病区/门诊/体检中心互联网云端服务汇聚交换机光纤无线APPOE交换机(12口)详细描述如下：设备上行设备连接方式放置位置说明APPOE交换机六类网线安装在候诊区、病房走廊区放装AP POE交换机汇聚交换机六类网线放在各病房楼、门诊楼的指定配线间汇聚交换机核心交换机光纤汇聚交换机放在各分区每个分区各放置一台核心汇聚交换机出口网关六类网线中心机房出口网关光猫六类网线中心机房内置防火墙、病毒库等AC控制器出口网关六类网线中心机房宽带接入光纤中心机房宽带运营商带宽接入云服务云端服务器提供用户认证、审计、日志服务六、 设备选型设备类型规格描述数量光纤收发器电信通光纤接入时提供的企业级光纤收发器1出口网关RG-EG2000SE固化8个千兆电口，固化2个千兆光口，内置500G硬盘，内置风扇（流控及URL特征库免费升级，IPsec VPN免费 ，SSL VPN 免费赠送5个授权）1核心交换机RG-S5750-24GT/8SFP-E增强型24端口千兆交换机，8个复用的100/1000M自适应SFP光口，2个扩展槽，1个USB 2.0接口1汇聚交换机RG-S5750-24GT/8SFP-E增强型24端口千兆交换机，8个复用的100/1000M自适应SFP光口，2个扩展槽，1个USB 2.0接口详细地勘后确定POE交换机RG-S2928G-12P24口10/100/1000M自适应电口(最多支持12口PoE供电或6口PoE+远程供电)，4口SFP非复用端口，每端口最大PoE功率输出30W，整机输出最大PoE功率为185W详细地勘后确定APRG-AP3220室内灵动天线型无线接入点，内置天线，双路双频，支持2条空间流，整机最大接入速率600Mbps，可支持802.11a/ n和802.11 b/g/n同时工作，胖/瘦模式切换、WAPI、千兆电口上联、PoE和本地供电（PoE和本地电源适配器需单独选购）详细地勘后确定AC控制器RG-WS5504千兆无线控制器，可扩展为512个授权1七、 点位数及POE交换机数计算方法详细的点位数及POE交换机数，需要实地勘察后提供。一般原则如下：1. 在候诊区等相对空旷、人员密集区域，一个AP可覆盖半径为30米的区域（约300平米）；2. 在病房区，根据病房及医生办公室的大小，每4个房间6个房间需在走廊安装一个AP（在房间两两相对的情况下，如果只有单侧有房间，相应换算即可）；3. 在输液室、留观室等独立房间区域，需额外加装一个或多个AP（一般为一个AP就足够了）4. POE交换机需放置在楼层弱电间中，AP点位距离POE交换机的网线实际长度不得大于80米（AP应尽量与最近距离的POE交换机连接）；5. 单台POE交换机可连接12、16或24个AP，为了提高可维护性的同时能最大限度控制成本，应采取最经济的POE交换机部署方式。举例来说，（1）当两个楼层的AP点位总和小于16，但大于12时，可考虑两个楼层只采用一台16口POE交换机的方式来部署；（2）每个楼层的AP点位约10个左右，则在每个楼层放置一台12口POE交换机；（3）每个楼层的AP点位约5个左右，但如果两个楼层放置一台POE交换机，则AP点位距离POE交换机距离超过80米，此时必须在每个楼层放置1台POE交换机；6. 当某栋楼的POE交换机数量多于一台，则需要在该栋楼增加一台汇聚交换机各楼区域点位描述举例如下（详细地勘后提供）：楼楼层描述放装门诊楼1层2层3层4层小计急诊楼1层2层3层4层小计医技楼1层2层3层4层小计全院总计综上统计，全院共需AP约 个。相应需要的POE交换机数量及汇聚交换机数量举例如下（详细地勘后提供）：楼汇聚交换机POE交换机放置位置门诊楼急诊楼医技楼全院总计八、 网络安全1、 无线设备安全中麦互联与华为、中兴、锐捷等国内一流无线设备及整体解决方案提供商都有良好合作关系，为医院提供企业级网络设备及安全保障。设备端的具体安全措施包括：内置防火墙、无线认证的端口安全机制、支持多种用户认证方式、支持IPSEC VPN和GRE VPN方式与后台系统组网。用户认证方式包括802.1x认证、MAC地址认证、Web认证、AAA认证、RADIUS认证、HWTACACS认证。除此之外，设备还支持广播风暴抑制、ARP安全、ICMP反攻击、URPF、IP Source Guard、DHCP Snooping、CPCAR、黑名单、攻击源追踪等常见网络安全机制。同时，所有无线设备可通过统一的后台网管系统进行一站式管理配置，将访问控制策略统一下发部署到全部无线热点。设备端的安全措施作为整个网络和系统安全的第一道屏障，有效保障了网络接入的安全性。2、 用户信息安全为了能完整实现用户认证和访问控制，无线接入设备需要对手机IMEI信息等进行临时保存，当手机脱离无线网络后，设备即删除相关信息。由于手机IMEI信息并不会泄露手机用户的个人信息（包括手机号、用户名等），因此并不会直接导致信息泄露。而在用户认证时收集的信息，包括手机号、认证密码等，直接通过后台web服务器，提交到后台认证服务器留存，无线接入设备不保存相关信息。因此不会导致信息泄露。此外，无线接入设备会临时保留网址访问日志、流量日志等，并即时上传到后台日志服务器保存。由于日志信息并不包含用户个人信息，因此也不会导致用户信息的泄露。如“设备安全”部分的说明，设备内置防火墙，从而避免了设备内临时留存的用户访问日志被非法取得。根据公安部82号令的相关要求，实名认证手机号信息、用户上网行为日志均保留至少60天（一般保留90天）。3、 后台系统安全如“WiFi业务”网络拓扑图所示，后台业务支撑系统确保“WiFi业务”的正常运营。整个后台系统部署在防火墙边界之内，并与所有设备构成安全虚拟局域网络。后台系统包括用户认证、日志留存、统一网管、业务支撑等系统，并通过双机热备、定期数据备份、自身系统告警、服务器虚拟化、定期漏洞扫描等机制，确保后台系统本身的安全可靠。4、 基于角色的访问控制基于角色的访问控制是指将所有用户分组进行访问控制。当AP设备接收到某个用户终端发起的网络连接请求时，即根据此终端（对应某个用户）所处分组（即角色）对应的应采取的访问控制方案，动态制定针对该终端的访问控制策略。当要求针对某类用户或某些MAC地址的用户进行接入限制或访问控制时，可通过配置访问控制策略或用户认证等措施来进行配置。此类访问控制策略，一旦确定后即可通过网管系统远程分发到所有AP设备上，即时生效。九、 业务模式及分工界面基于医院无线网络外网环境的业务包括互联网接入业务和移动医疗服务。面向患者及陪护家属开展互联网接入业务，进行后向运营。具体业务模式见下表。模式互联网接入服务业务模式后向运营广告非医药、保健品类的广告投放（投放之前必须征得院方许可）游戏应用下载面向安卓系统的游戏及应用免费下载资讯信息提供医疗、新闻、天气、本地资讯信息本地生活服务提供医院周边的商家优惠券、活动信息其他符合国家法律法规规定的移动互联网服务互联网医疗服务免费向患者提供，后期与院方协商共同推出差异化定价的医疗增值服务。我司负责医院无线外网全部网络设备、出口带宽、后台运营平台的开发、部署和运营维护，院方除提供必要机柜及电源外，无需承担其他任何工作。具体如下：项目中麦互联承担院方协助设备安装设备安装位置调查、讨论；设备安装、走线、供电实施；设备验收测试、调试、配置；为设备安装位置提供建议意见设备线缆走线提供协助设备供电提供协助访问控制策略设定根据院方要求，整理访问控制策略细则；远程部署访问控制策略并测试；根据院方要求，调整现有访问控制策略；提供访问控制具体要求；服务器部署服务器硬件采购；服务器软件研发、安装；服务器部署、调试、测试、日常维护；提供服务器部署场所，一般仅需要5U空间的机柜位置；提供服务器网络环境；宽带申请确定宽带具体需求规格；与宽带运营商商务洽谈、比价；宽带接入施工；院方对宽带的具体需求提出；宽带运营商接入资格审核；宽带接入施工协助；信息对接根据院方要求，开发医务信息发布系统；根据院方要求，按时发布医院信息、科室介绍、专家查询、