泰达国际心血管病医院信息化建设汇报v1.0

泰达心血管医院信息化建设整体汇报目录泰达心血管医院新建IP网络平台需求和设计思路泰达心血管医院新建网络平台设计泰达心血管医院新建网络平台安全设计泰达心血管医院新建网络平台管理设计Page3数字化医院整体解决说明业务网络管理网络路由器安全网关路由交换机IDS/IPS防病毒网关网络连接&安全模块远程接入VPN接入远程接入CIS业务模块HMISHGIS存储区1存储区2存储区3综合存储区存储模块维护管理区安全管理中心管理模块InternetPACSRIS无线接入业务监测网关终端安全LIS分院集成化、智能化、区域化网络IP交换机路由器无线安全存储会议电视监控VOIP以IP为标准进行多业务融合HISPACS手术示教区域医疗…网络建设需求分析门诊系统业务需求分析门诊业务突发性强并发性强实时性高可靠性高高带宽快速响应高可靠数据影像系统业务需求分析影像数据资料海量传输影像数据资料传输可靠PACS/HIS等系统快捷响应Page7住院系统业务需求分析生命数据传输可靠呼叫系统迅速快捷视频监控交流方便病房查询效率提高费用病案存储安全住院业务1、随着医院业务量不断增加，未来信息点必然需要增加。2、医院未来必然会开展无线业务，从现有网络平滑扩展到有线无线一体化先进网络。3、平滑扩展升级承载远程会诊、手术示教系统。

1、骨干万兆、千兆到桌面高性能网络平台。2、医院各种业务系统繁多，这些系统都运行在网络平台基础上3、医院门诊高峰期同时读取和存储病人资料数据，瞬间业务数据量巨大，需要设备对数据有极高的处理能力。1、按照等保三级要求进行整体网络安全设计2、确保门诊收费、药库管理、医生工作站等重要终端设备的合法使用，避免各种医疗事故的产生。3、确保病人电子病历信息的安全，避免患者个人隐私的泄露4、确保网络系统安全，避免各种攻击、病毒等对内部网络系统的危害，保障网络系统的稳定可靠运行。

1、随着医院信息化不断推进，数据量显著加大，尤其是病人的影像资料进入医生工作站（PACS系统应用）。2、区域医疗建设，比如远程会诊，远程学术研讨等对网络带宽都提出了更高的要求高性能细分性安全可靠易扩展高带宽网络设备选型思路分布实施第一步：先进、智能的医疗基础网络搭建高可靠、清晰的模块化、高效的层次化网络，为终端设备提供接入服务。基础网络具备完善的安全特性，保证上层医务信息系统的正常运行第二部：基础医疗网络安全防护按照等保三级要求，构建智能防御系统，对网络设备和接入网络的医疗终端提供全面的安全防护，具备完善的网络安全监控、分析和响应手段；第三步：移动医疗、医疗协作、医院数据中心等多种应用网络将作为一个开放的平台，承接移动医护、医疗协作等多个系统，并建设集中的医疗级数据中心。目录泰达心血管医院新建IP网络平台需求和设计思路泰达心血管医院新建网络平台设计泰达心血管医院新建网络平台安全设计泰达心血管医院新建网络平台管理设计1、多：可以接入较多医院用户。2、快：模块化网络结构，使网络建设与业务部署更快速。3、易：网络层次清晰，管理和维护更加容易。4、省：汇聚层到核心层之间采用万兆光纤，省掉大量接入交换机到核心的光纤链路。1、网络模块易于复制2、局部易于重设计3、易于增加功能模块4、局部不影响整网5、利于故障定位6、利于故障隔离7、强化网络管理三层架构模块化设计网络架构特点以建筑物或区域功能为单位，将网络模块化、组件化，使模块内功能集中，模块之间最少耦合HISCISPACS网站挂号……DMZInternet安全审计医保2F3F4、5、6F7、8、9F10、12、HA服务器区楼层接入核心1FIPS防毒墙核心交换机1.全分布式转发2.支持虚拟化技术3、支持BFD，故障切换毫秒级4.最长匹配逐包转发，天然防护DOS攻击5.支持热补丁技术1、分模块设计2、全网运行OSPF协议3、骨干万兆、千兆到桌面先进设计3、双链路冗余保护4、全网支持MPLSVPN，可实现科室之间逻辑隔离5、汇聚交换机也支持虚拟化技术1、无线WLAN网络采用业界主流的FITAP组网模式2、实现指定区域的WLAN信号无线覆盖3、实现自动的漫游功能4、有线无线一体化5、统一的安全策略1、统一的、模块化的运维管理平台2、实现人、资源、业务的统一管理网络管理平台千兆万兆AC虚拟化部署MSTP+VRRPMSTP生成树的实例打破原有组网模型，通过虚拟化技术，在逻辑上将两台核心交换机合成一台，与接入交换机相连，所连的多线路合成一条，共同使用（如2条千兆链路，原先组网为主备关系，只有1G的带宽，当采用虚拟化，2条链路可进行捆绑，变成2G的带宽），不仅提升了带宽，而且提高了网络的可靠性。…统一的管理界面…一致的转发表项…跨设备链路捆绑物理上两台设备逻辑上一台设备虚拟化特性虚拟化部署效果目录泰达心血管医院新建IP网络平台需求和设计思路泰达心血管医院新建网络平台设计泰达心血管医院新建网络平台安全设计泰达心血管医院新建网络平台管理设计蠕虫/病毒DDoS攻击带宽滥用etc…安全风险分析杀毒软件、防毒墙、IPS抗DDoS设备、IPS带宽管理etc……网络安全问题解决技术端点部署内/外网关部署网络边界部署etc…安全产品部署机密性完整性可用性确立安全目标业务流程安全规划系统安全体系规划业务持续性规划安全体系规划业务流程安全建设系统安全体系建设业务持续性实现安全体系建设面向业务的安全保障：分析业务流程，制定针对性安全规划优点：明确目标、明确规划、问题明确、响应迅速安全设计思路—面向业务安全设计思路-全局安全面向业务关键点安全：分析安全的脆弱点并在关键点部署安全产品缺点：问题层出不穷，网管疲于应付等级保护－－完全实施过程信息系统定级安全总体规划安全设计与实施安全运行维护信息系统终止安全等级测评信息系统备案安全整改设计等级符合性检查应急预案及演练安全要求整改安全等级整改局部调整等级变更结构安全关键设备冗余空间主要设备冗余空间访问控制访问控制设备（用户、网段）应用层协议过滤拨号访问限制会话终止安全审计日志记录审计报表边界完整性检查内部的非法联出非授权设备私自外联网络安全要点子网/网段控制核心网络带宽整体网络带宽重要网段部署路由控制带宽分配优先级端口控制最大流量数及最大连接数防止地址欺骗审计记录的保护定位及阻断入侵防范检测常见攻击记录、报警恶意代码防范网络边界处防范网络设备防护基本的登录鉴别组合鉴别技术特权用户的权限分离身份鉴别基本的身份鉴别访问控制安全策略管理用户的权限分离特权用户的权限分离安全审计服务器基本运行情况审计审计报表剩余信息保护空间释放及信息清除主机安全的要点组合鉴别技术敏感标记的设置及操作审计记录的保护入侵防范最小安装原则重要服务器：检测、记录、报警恶意代码防范主机与网络的防范产品不同资源控制监视重要服务器最小服务水平的检测及报警重要客户端的审计升级服务器重要程序完整性防恶意代码软件、代码库统一管理对用户会话数及终端登录的限制结构安全访问控制安全审计边界完整性检查入侵防范HISCISPACS……网站挂号DMZInternet安全审计医保2F3F4、5、6F7、8、9F10、12、HA服务器区楼层接入核心1F终端管理、身份认证服务器IPS防毒墙网络管理平台千兆万兆AC目录泰达心血管医院新建IP网络平台需求和设计思路泰达心血管医院新建网络平台设计泰达心血管医院新建网络平台安全设计泰达心血管医院新建网络平台管理设计网络资源存储资源计算资源路由器、交换机等设备以及由它们所构成的网络高速的报文转发能力安全的网络访问控制磁盘阵列、磁带、存储管理等存储设备低成本、易扩展的存储空间高效的数据读取数据安全保护包括Windows、Unix等各类服务器及其上的业务应用软件系统高效、稳定的数据计算能力资源使用者（人）业务牵引人对IT资源的调配和使用资源的安全使用人与资源的融合管理设计思路—综合管理管理设计思路-统一管理增值业务流功能组件平台框架统一资源访问，基础资源管理设备/文件/数据访问适配层设备资源管理用户资源管理数据库设备/终端文件系统SNMPRADIUS按需装配组件化平台化……基础管理拓扑管理网络告警