卫生信息专网关键技术探讨(最终稿)课件

1、重庆市卫生信息平台二期工程专网建设关键技术探讨西南政法大学 胡华重庆市卫生信息平台二期工程专网建设关键技术探讨一、什么是专网专网指的是专门为了某项目或单位而建设的数据通信网。 所谓的“专”指两个层面： 1、传输交换“专”门的信息。 2、使用者是“专”门的群体。一、什么是专网专网指的是专门为了某项目或单位而建设的数据通信为什么要建“专”网基于信息安全需要 传统的专网是一个“封闭”系统，将使用者以及传输的信息“封闭”在专网内部，使得敏感数据信息不能“外泄”。基于高速度、大流量数据传输处理 专网能屏蔽无关的数据传输，只传输处理“专门”的信息，利于最大化数据传输处理。为什么要建“专”网基于信息安全需要

2、二、重庆市卫生信息“专”网传输、交换的“专”门信息： 重庆市医疗卫生相关信息，包括： 1、健康档案信息 2、电子病历信息 3、医疗卫生资源信息 4、医疗卫生管理类信息 5、其他相关信息二、重庆市卫生信息“专”网传输、交换的“专”门信息：“专”门的使用群体 重庆市相关医疗卫生群体 1、重庆市医疗卫生管理人员 2、重庆市医疗卫生从业人员 3、重庆市其他相关医疗卫生人员 4、重庆市上级或横向医疗卫生单位等 5、重庆市病患人员或关心自身健康的人员小范围，专业级，基于业务流转大范围，非专业级，基于公众服务“专”门的使用群体小范围，大范围，三、卫生信息“专”网并非封闭传统专网卫生部要求的专网模式（三级平台

3、模式）国家级平台省级平台地市区级平台省级平台地市区级平台重庆市平台渝中区平台沙坪坝区平台辖区内医疗机构辖区内卫生管理机构三、卫生信息“专”网并非封闭传统专网卫生部要求的专网模式（三重庆市卫生信息化专网上联国家卫计委，横向连接公网服务民众，专网不“封闭”。国家级平台省级平台地市区级平台省级平台地市区级平台重庆市平台渝中区平台沙坪坝区平台辖区内医疗机构辖区内卫生管理机构Internat公众重庆市卫生信息化专网上联国家卫计委，横向连接公网服务民众，专重庆市卫生信息专网从设计上就考虑了非“封闭”性重庆市卫生信息专网从设计上就考虑了非“封闭”性四、卫生信息专网建设原则分段建设，各自负责 区县级专网各区县

4、 重庆市专网重庆市 国家级专网卫计委形成统一网络，必须要服从上级建设要求 区县级专网重庆市专网国家级专网四、卫生信息专网建设原则分段建设，各自负责医疗卫生信息专网建设目标卫生信息“专”网 用于卫生信息数据交换、共享。辖区内所有医疗卫生机构以及卫生管理机构联网 覆盖完全、多方式接入（有线网、无线网）和其他专网的连接 医保、政府网络连接互联网，服务民众 为辖区内民众提供健康、医疗信息等高速、稳定可靠的网络安全的网络要有前瞻性，为未来医疗卫生信息发展奠定基础医疗卫生信息专网建设目标卫生信息“专”网五、区县级医疗卫生专网数据链路层建设怎样将所有医疗卫生机构以及卫生管理机构联网？怎样上联重庆市卫生信息市

5、级平台？怎样实现与互联网的连接？五、区县级医疗卫生专网数据链路层建设怎样将所有医疗卫生机构以数据链路层常规建设方式实体专网 自架设光纤、铜缆或租用裸纤等组建专网。 （如军网、公安网、Cernet网）优点：线路自有，安全性高，数据传输不受速度限制。缺点：费用昂贵，施工困难，维护不容易。数据链路层常规建设方式实体专网优点：线路自有，安全性高，数据虚拟专网 依靠网络服务提供者在公用网络建立专用的数据通信网络的技术 （如烟草专卖网、电子政务网等等）优点：无需自己建设、维护线路，费用低廉。缺点：容易受运营商限制，网络安全要重视。当前国内VPN商用尚不成熟，暂缺相关法律法规，市场无规可循，实际上是在“灰色

6、运营”中。虚拟专网优点：无需自己建设、维护线路，费用低廉。缺点：容易受虚拟专网主要原理通过互联网连接VPN服务器，然后通过VPN服务器进入企业内网。为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样，但实际上VPN使用的是互联网上的公用链路，因此VPN称为虚拟专用网络，其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。 虚拟专网主要原理通过互联网连接VPN服务器，然后通过VPN服国内常见的数字专线业务1、“裸纤”专线 电信运行商在自身光纤资源比较空余的情况下，可以提供纯光

7、纤租赁业务。一般价格非常高，价格跟距离有关系。例如长安集团ERP租赁的10KM裸纤，10万/月。目前电信基本不提供裸纤，联通、移动有部分空余裸纤提供（巫山县卫生信息专网）。国内常见的数字专线业务1、“裸纤”专线2、SDH专线 SDH是一种基于时分复用的同步数字技术。对于上层的各种网络，SDH相当于一个透明的物理通道。稳定性好：SDH基于时分复用，稳定性高，提供了丰富的检、纠错能力。SDH可以组成各种形式的环网，具有完善的自愈保护功能，使得传输链路的可用性很高。 高速率性：SDH可提供2Mbps至10Gbps的电路速率。它可以作为链路来支持IP网，它的作用只是将路由器以点到点的方式连接起来。 高

8、可靠性：SDH网络可提供高质量、高可靠性的传输通道。通过自愈环的结构，可确保通道的切换时间小于50ms。2M 1200元/月6M 1600元/月10M 2000元/月20M 4000元/月50M 6000元/月公开报价：2、SDH专线2M 1200元/月6M 1600元/月13、GPON专线 GPON(Gigabit-Capable PON) 技术是基于ITU-TG.984.x标准的最新一代宽带无源光综合接入标准，具有高带宽，高效率，大覆盖范围，用户接口丰富等众多优点。 缺点：非对称，下行速度高，上行速度低。 GPON还是处在宣传和培养市场阶段，并没有多少厂家推出商用产品，电信和联通不提供，移

9、动有提供。 2M 280元/月4M 320元/月6M 390元/月10M 500元/月公开报价：3、GPON专线2M 280元/月4M 320元/月6M4、MPSL-VPN专线 MPLS-VPN是指采用MPLS技术在骨干的宽带IP网络上构建企业IP专网，实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信，并结合差别服务、流量工程等相关技术，将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全 、灵活、高效结合在一起，为用户提供高质量的服务。优点：实现多点组网互联，可实现安全、高速、稳定的内部数据传输。 缺点：费用稍高，中心网方式不适用，容易受电信运行商控制。 注意：电信和联通为MP

10、SL-VPN，而移动的为PTN。4、MPSL-VPN专线优点：实现多点组网互联，可实现安全、其他专线 目前还有ATM、DDN等专线业务。这些都是传统专线，基于最低层的数据传输，安全性、可靠性及传输速度都很高。但费用非常高，建议不采用。其他专线区县级医疗卫生专网数据链路层建设建议辖区内卫生机构的互联采取分两个层次： 1、管理机构和县级、乡镇级医院由于是区县平台的数据的主要提供者和使用者，相对地理位置集中（运行商线路资源丰富），因此建议采用租赁专线连接。 2、村卫生室由于数量多，比较分散，数据量不大，因此采用ADSL接入（或其他单点接入方式）互联网，然后在互联网上利用SSL-VPN接入平台。区县级

11、医疗卫生专网数据链路层建设建议辖区内卫生机构的互联采取怎样上联重庆市卫生信息市级平台？ 重庆市卫生信息市级平台，已经搭建起适合多种专线的接入平台，所以无论是SDH、MPLS-VPN、ATM等远程专线均可以接入。要求：网关不能由运行商控制，市级平台核心交换机网关和区县级核心交换机网关对接，数据的核心交换必须由市平台完成。怎样上联重庆市卫生信息市级平台？怎样实现与互联网的连接？ 区县级平台接入互联网目的有三个： 1、信息平台数据服务公众 2、提供SSLVPN入口。 3、区县卫生局互联网访问。 所以必须租用基于IPV4的，带固定IP地址的互联网高带宽光纤线路。 固定IP地址至少8个，最好16个。越多

12、越好。 固定IP用处： 1、互联网接口地址（1对，一个在平台入口，一个在通讯商处） 2、公用信息发布IP（3-10个） 3、内部网络访问互联网转换地址（1-4个） 4、SSLVPN入口地址（1-2个）怎样实现与互联网的连接？六、专网组网一般原则网络组网，是专网设计最重要的一环。 古人云：谋定而后动 网络规划必不可少 实施网络工程的首要工作就是要进行规划 深入细致的规划是成功构建网络的一半 缺乏规划的网络必然是失败的网络 通过科学合理的规划能够 用最低的成本建立最佳的网络 达到最高的性能 提供最优的服务六、专网组网一般原则网络组网，是专网设计最重要的一环。组网原则（一）网络的先进性和实用性（二）

13、网络的开放性和兼容性 （三）网络的可扩展和可升级性 （四）网络运行的安全性和稳定性 （五）网络的易管理和维护性 组网原则（一）网络的先进性和实用性(一)网络的先进性和实用性 实用性和先进行并重的原则 一方面要采用世界先进技术和设备，由于IT行业的技术更新换代很快，为了保证网络能够满足今后一段时间内应用的发展。 另一方面一种新技术在刚出现时往往有很大不稳定和不确定因素，需要一段时间的完善、成长和实践检验的过程，要考虑所用技术设备的成熟性和实用效果好等方面的因素。应紧密结合实际需要，来选择网络技术和设备。 (一)网络的先进性和实用性 实用性和先进行并重的原则 （二）网络的开放性和兼容性 网络的开放

14、性是指应最大限度的采用国际流行的公用标准，保护用户的投资，保证用户系统的可持续发展。基于国际开放式标准，包括各种广域网、局域网、计算机，坚持统一规范的原则，从而为未来的发展奠定基础。 网络的兼容性是指较大型的、应用涉及面广泛的网络更为重要，由于现在网络和应用上涉及的比较广泛，所以网络内可能会是多种品牌和型号的产品共存。这些不同型号不同品牌的网络设备之间的相互协调的工作，这就是网络的兼容性。 （二）网络的开放性和兼容性 网络的开放性是指应最大限度的采用（三）网络的可扩展和可升级性 网络的可扩展性和可升级性是指可以方便的对网络容量、性能等进行扩展和更新。如可以根据需要，通过增加软、硬件模块或相应设

15、备等简便方法，不断改进网络性能，提高网络带宽和扩充网络规模。 不要“牵一发动全身”（三）网络的可扩展和可升级性 网络的可扩展性和可升级性是指可（四）网络运行的安全性和稳定性 保证各种在网数据安全、完整，保证各类网络应用的畅通和稳定。 在网络设计和选用设备时充分考虑冗余、容错能力，在出现局部故障时应不影响网络其它部分的运行 ，并且故障便于诊断和排除。 网络设计必须符合安全性要求，具有能阻挡网络攻击的能力。网络在硬件和软件上考虑防止非法入侵和破坏的能力。 （四）网络运行的安全性和稳定性 保证各种在网数据安全、完整，（五）网络的易管理和维护性 在网络设计中，必须建立一个全面的网络管理解决方案。 采用

16、智能化，可管理的设备，同时采用先进的网络管理软件，实现先进的分布式管理。 实现监控、监测整个网络的运行状况，合理分配网络资源、动态配置网络负载，可以迅速确定网络故障等 。通过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网络的维护工作。 （五）网络的易管理和维护性 在网络设计中，必须建立一个全面的七、区县卫生信息专网组网规划区县卫生信息专网组网规划要解决以下问题：辖区内卫生机构的互联后怎样管控？ 既要实现辖区内各机构的互联互通，又要保证各卫生机构间相互不干扰、不相互破坏。怎样安全联入市级平台？ 既要和市级平台进行互通，又要防止区县平台干扰、破坏全市网络，还要注意因市级平台规划漏洞造成

17、其他区县干扰、破坏自身网络。怎样安全联接互联网？ 既要服务于民众，同时更要注意联接进互联网后非常严重的网络安全问题。七、区县卫生信息专网组网规划区县卫生信息专网组网规划要解决以辖区内卫生机构互联后的管控建议1、辖区内卫生机构互联目的，是为了和区县数据库及应用系统进行数据交互。2、辖区内卫生机构之间不是直接的资源共享。建议：1、所有的数据交换必须在区县核心交换机的管控下。2、各卫生机构间必须网络隔离，不能直接进行资源共享。3、所有的信息资源共享必须是在区县数据中心进行的。数据库审计系统？4、建议区县数据库的访问增加数据库审计系统等必要的安全设备。辖区内卫生机构互联后的管控建议1、辖区内卫生机构互

18、联目的，是安全联入市级平台保证市级、区县级平台数据互通。保障辖区内各卫生机构访问市级平台。防止辖区内各卫生机构因病毒或恶意攻击干扰市级平台。防止市级平台规划漏洞，其他区县干扰自己区县平台。最佳方案：性能优越的防火墙及严格的配置。安全联入市级平台保证市级、区县级平台数据互通。安全接入互联网互联网和平台专网内网必须要严格管控。互联网一般用户不能直接触及区县平台数据库及应用系统核心部分。方案：成套的安全设备策略、镜像数据库及应用系统。安全接入互联网互联网和平台专网内网必须要严格管控。其他问题专网用户访问互联网要有管控 实名上网、日志记录由于各县级医院内部已经成网，县级医院在专网内的访问需要地址转换，要注意审计和日志。专网内IP地址统一规划，防止IP地址冲突。 建议不要用DHCP，一律采用静态地址。专网建设规划比较复杂，建议由集成商来实施。其他问题专网用户访问互联网要有管控卫生信息专网关键技术探讨(最终稿)课件各区县卫生信息专网建设地址规划必须服从重庆市统一规划安排各区县卫生信息专网建设地址规划必须服从重庆市统一规划安排几个实际案例医院组网问题 “两张网”是目前重庆市各医院通行做法。问题：1、“办公网”和“业务网”完全物理隔离，相互之间如何传输交换数据？2、成本增高。两套网，两套网络设备，两套线路，两套计算