医院有线网络建设方案

医院有线网络建设方案■密级：公开!文档归属：产品管理部：i使用对象：全员iTOC\o"1-5"\h\z\o"CurrentDocument"背景介绍 4\o"CurrentDocument"信息化在医院建设中的背景与应用 4\o"CurrentDocument"网络技术在医院应用的现状 6\o"CurrentDocument"技术现状 6\o"CurrentDocument"性能现状 6\o"CurrentDocument"安全现状 7\o"CurrentDocument"无线现状 7\o"CurrentDocument"网络技术在医院应用的发展趋势 8\o"CurrentDocument"需求分析 10\o"CurrentDocument"医院特点 10\o"CurrentDocument"场景分析 11\o"CurrentDocument"用户需求框架 13\o"CurrentDocument"用户需求分析 14\o"CurrentDocument"设计原则 15\o"CurrentDocument"基础网络设计方案 18\o"CurrentDocument"网络总体设计 18\o"CurrentDocument"网络技术选型 19\o"CurrentDocument"网络结构设计 20\o"CurrentDocument"医院网络安全三级架构拓扑图 22\o"CurrentDocument"核心层设计 22\o"CurrentDocument"汇聚层设计 24\o"CurrentDocument"接入层设计 25\o"CurrentDocument"网络路由设计 25\o"CurrentDocument"无线设计 26\o"CurrentDocument"安全模块设计 29\o"CurrentDocument"细部设计 31\o"CurrentDocument"医院三级网络架构划分 31\o"CurrentDocument"网络区域细化 31\o"CurrentDocument"设备及设备端口命名规则 34\o"CurrentDocument"线缆标识和描述规则 35\o"CurrentDocument"设备选型设计 35关键技术点 40\o"CurrentDocument"万兆网络技术 40\o"CurrentDocument"VSU虚拟化技术 42\o"CurrentDocument"无线零漫游 43\o"CurrentDocument"网络安全管理 47RIIL运维管理 49\o"CurrentDocument"解决方案价值 56\o"CurrentDocument"''实用”的网络设计 56\o"CurrentDocument"''实用”的网络架构 56\o"CurrentDocument"''实用"的安全体系 56\o"CurrentDocument"''实用”的管理体系 57\o"CurrentDocument"黑龙江中医药大学第一附属医院的成功实践 58\o"CurrentDocument"客户情况简介 58\o"CurrentDocument"客户主要问题和需求 58\o"CurrentDocument"解决方案简介 59\o"CurrentDocument"解决方案应用效果 601背景介绍信息化在医院建设中的背景与应用随着国民经济的迅猛发展，人民医疗保健意识的日益提高，人们自然就对医疗环境提出了更高的要求，各地医院的新建或改扩建项目与日俱增，医院如何适应医学科技发展和医学模式转变，营造以人为本的医院人文环境；如何依靠先进的设计理念、工程技术，创造符合时代要求的医院；如何根据我国国情，切实解决好我国众多医院建筑的改扩建问题，将是今后一段时间医疗机构和设计机构共同研究的课题。卫生部关于印发《全国卫生信息化发展规划纲要2003-2010年》的通知中提到：二、各省、自治区、直辖市和新疆生产建设兵团卫生厅（局）、部直属单位、各级医疗卫生机构要根据《规划》所确立的目标和任务，结合本地区、本单位的管理及业务需求，制定出相应的卫生信息化发展规划。在规划制定中，要严格遵守：''标准统一，保证安全，以法治业，经济实效，因地制宜〃的基本原则，既要满足近期的目标与任务，又要兼顾未来的开拓与发展。六、加快卫生信息化标准制定，建立、健全卫生信息化建设规章和政策，创建良好的卫生信息化发展环境。依照目前国情和卫生部在信息化发展纲要中的精神，我司在医疗行业提出了一系列解决方案并实施了部分医院样板，总结出一套完整的建设思路：1、主动帮助医院工程技术人员和信息中心，把医、护、技、管理人员的具体要求，转变为“工程语言”，需注明各种使用功能之间的相互关系，提供齐全准确的IT设备场地、环境条件数据，重点提出医院管理经营上对医院建筑智能化的要求，不可只用单纯的数字表示，而要提供有参考价值或指导价值的方案草图、工艺图。2、协助医院发展规划定位，根据当地区域医疗发展规划、医疗机构基本情况、专科特色、管理体制、人群病种发病率、医学技术发展水平、技术人才配备状况、大型和基础医疗设备配备状况、患者经济负担能力等，推测出医院发展空间所包含的具体内容，包含近期、中期、远期发展规划定位，具体落实为“社会效益和经济效益分析报告”。3、共同制定医院建筑可持续发展，主要是节约化、生态化、人性化、无害化、集约化的规划，在配水、电、汽、医用气体、暖通、消防、安全、计算机网络留有发展空间，特别是医疗信息化发展要求很高的医疗软件上线和对应的网络设备规划。4、提供龙头医院管理者“以病人为中心”的服务理念、“优质、高效、低耗”的经营理念、先进的医疗技术发展趋势。帮助信息中心，把院领导对医院管理的理解，具体表现在方案或施工图设计之中。一个好的医院智能建筑，是“引导”医院采用先进、科学管理的“硬件”，它能解决多方面管理上解决不了的问题。网络技术在医院应用的现状技术现状医院特定的应用必须要有特定的技术来实现，才能得到预期的应用效果，分析医院的网络应用，属于集中式应用（客户机/数据中心），网络的数据流量有大约80%集中于网络的主干，所以网络的主干应该是高性能的交换式结构，而且具有较高的系统扩展能力（如端口数量）和新技术应用能力（如万兆、千兆以太网）。性能现状系统的安全高效运行需要系统内的各个设备具有独立的高性能和协同的高性能：为使网络结构尽量稳定可靠，一般采用星型拓扑结构，中心节点与边缘节点间为1G以太网，服务器以1G接入数据中心交换机。中心交换机支持无阻塞交换，各种模块支持热插拔，支持引擎、电源备份，并支持基于板卡智能分布式的基础上实现端口同步级处理等功能。安全现状由于病人病历、医保等数据的特殊性，网络系统的安全性成为突出的矛盾，所以，各医院都在不同程度解决以下几点：1、在上午9点到11点就诊高峰期，禁止非法的组播源播放非法的组播信息，保证数据传输高峰期的网络带宽，但高峰期时仍然经常出现网络阻塞现象。2、使用桌面屏蔽终端计算机U口，并进行终端可执行程序限制，有效控制和预防外来终端对网络的攻击，但桌面管理软件一旦被卸载就丧失防护能力。3、安装防火墙和防毒墙，定期对杀毒工具进行更新，有效把病毒拒绝在网络之外，但各种病毒在被公布前很难防范。无线现状伴随着医疗改革逐步取得成功，医院的住院人次增多、门诊量也在呈现飞跃式发展，伴随而来的医生接诊效率相对变低，护理过程中出现失误而导致的医疗纠纷越来越多。为了解决医院面临的新问题，二级甲等以上医院，一致将目光对准无线应用，而医院现有的无线网络处于空白状态。网络技术在医院应用的发展趋势（一）医院信息系统建设情况医院信息系统在运行中结合网络设备的强大功能，对医院实际业务进行了不断完善、优化、改进，使信息系统更加适合医院工作需要和患者需求。医院信息系统基于灾难恢复的核心交换机通信，实现了双机镜像热备、定期异地备份模式，各个模块相互关联、环环相扣，将传统的事后控制转变为事中控制。基于网络平台的数据交互，打破传统的信息孤岛模式，实现了就诊“一卡通”、检查图像和报告的实时共享、分析、存储及远程调取，为病人预约就诊、分诊提供方便快捷的服务，减少等待时间，优化就诊流程，进一步规范了诊疗行为，使医院的管理水平和服务水平得到明显提高。（二）医院电子病历运行情况以结构化电子病历系统为主线覆盖门诊、住院电子病历，打破了传统的病历书写模式及信息查阅繁琐、共享不便的难题，提高了病历书写效率、规范了病历样式、提升了病历质量，已成为全国医院建设的模式。40G端口的大数据转发功能，帮助医院完全实现并且确保了全院Pacs图像传输系统、Lis系统，无缝集成到His管理系统，实现了与His管理系统一站式登陆，使得电子病历系统的内容得到广泛延伸。（三）区域平台建设情况各省会和地市卫生局要求全市进行区域平台建设，需要实现管得住：纵向到底、横向到边；系统自动生成各类数据，确保数据的全面准确安全；各级各类用户要使用好，提高工作效率。为了实现区域卫生平台建设规划，网络集成目标就要保证一张网互通顺畅，电子病例和健康档案调用安全，数据中心大数据量交互分析快捷，监督管理等五项关键业务运行高效。（四）新农合系统应用情况各省卫生厅要求全省新农合患者实现院内直补，县、乡、村全地域覆盖，全人员覆盖。患者就诊信息实时与国家卫生部信息中心统一。在这个过程中网络设备起到关键作用，提供统一标准的接口配置文档，改造网络、开发高安全总分式接口、进行接口测试。保质保量地完成医院his系统与新农合平台的对接，方便了患者就医报销、医务人员安排转诊结算，卫生局的统筹管理。2需求分析医院特点众所周知，由于多方面的原因，目前我国的医院信息化建设还不是很规范，每个地区甚至每个医院都有自己的一些特点。为此医院的方案设计应充分考虑医院管理的具体特点，结合目前国际信息化发展的动向和潮流来设计整个应用系统，设计方案里面应该充分体现“整体规划、分部实施”的理念。“整体规划、分部实施”的理念，主要是因为系统在进行局部实施的时候要有一个整体的观念，要能够服从整体的需要。同时，进行了整体规划以后，才能避免各部门出现数据不一致的情况。另外，进行整体规划还可以降低整个信息化建设的投资，避免资源浪费。“整体规划”，主要是正确规划整个医院信息化系统建设的逻辑结构和物理结构，确定医院现阶段的软件和硬件建设目标，以医院的观点规定好信息的流向，达到信息资源的充分共享。首先，由于网络系统建设涉及病人的影像信息、医疗信息及医疗证据等重要信息的传输，任何失误都可能造成极其重大的后果。所以整个系统长期可靠的运行，对保证医院日常业务和管理工作的正常运转，具有非常重大的意义。因此，网络系统准确、不间断的运行变得十分重要。其次，由于整个信息系统的将来是相当复杂和庞大的，将全面管理医院的大量信息（病人、图片、职员、财务、影像、物品、病历等信息），对网络活动必须进行实时的控制和管理，在不改变系统运行的情况下对网络进行修改，10不管网络设备的物理位置在何处，网络都应该是可以控制的。“分步实施”，主要是根据医院工作的流程和医院管理的实际状况确定系统实施的步骤，后一步骤应以前一步骤提供的软件、硬件基础作更大范围的扩展和应用，这样医院的信息化建设就可以逐级提炼，实现从低级到高级的平滑过渡。首先，由于医院的软件系统和网络设备会不断的增加，随着信息化建设的不断完善，越来越多临床科室会依赖于系统所提供的诊断结果和图像信息，系统中的数据量也会越来越大，规模和要求越来越大，所以整个基础网络架构设计上要符合今后系统扩充的要求。其次，由于医院的信息系统越来越庞大和信息维护人员少、技能低等矛盾日益凸显。应用系统的设计应充分考虑系统的易维护性，设计上尽量采用易于维护的网络系统平台，保证操作简单，且在保证系统能够安全、可靠运行的前提下，应该最大限度地降低系统造价，保护原有的计算机设备及应用系统投资。场景分析对于为医院新建有线网络工程，其医院信息化建设的重心已开始逐步从“以医疗管理为中心”向“以服务病人为中心”转移，并对于建筑内部语音、数据、图像传输要求较高，往往对同时存在的多套网络性能要求也各不相同。为更快更好的理解，采用化繁为简的设计思想，提炼出以下几种常见的应用场景：111、业务网络全病区实施住院病历的医嘱、病程记录、护理记录、检查、检验和申请单等的电子化，实现信息平台对医疗过程进行全程监控，保障医疗质量并达到住院病历无纸化存储，最终实现全国各地所有公民的电子病例和健康档案的调用。如何够确保电子病例和健康档案数据的上传和下载无丢失，及时、快速的调用数据，多系统实施监控并且保证长期无故障运行，是医院信息化建设的重中之重。2、办公网络以OA、ERP、科研为主的办公网络，网内用户办公地点分散，数据流量复杂，对网络带宽，数据转发性能要求不高，但需要网络具备便捷接入和安全接入的双重属性，既要提供便捷的网络服务，也要保障网络自身安全和准入控制。怎么能够基于医院业务优先级的带宽划分，确保关键业务运行同时，保障非关键业务；办公人员在医院范围内，终端接入认证“无感知”成了医院信息化建设焦点。3、安全网络医院存储着当地所有居民健康信息的计算机网络系统，卫生部颁布的《卫12生行业信息安全等级保护工作的指导意见》从物理安全、网络安全、主机安全、应用安全、数据安全五个维度全面进行信息安全防护，构建总体安全保密体系。如何将终端设备、应用软件、服务主机、数据进行无缝互通，实现融合安全，是全国二级以上医院讨论的热点话题。用户需求框架根据场景分析，结合网络和业务模型，用户对于基础网络要求主要包含有以下方面：.物理链路网络：以有线和无线构建全覆盖的基础网络链路，并要求易扩展易维护；2,计算机网络：网络架构清晰，易于快速部署和搭建，并具有高转发性能和系统安全；3.安全体系：从接入控制、访问控制、网关安全到内容安全的安全体系架构；4,业务系统：分析用户的业务和应用对于网络的要求；5,管理套件：系统设备管理和运维管理；6,原网络核心的平滑接入或迁移。132.4用户需求分析医院信息中心需要一份具有更贴近信息中心工作的方案：使无论技术高低的信息科内部工程师，都能轻松工作；让医院从院长到护士，便捷访问数据资源，而不用担心数据阻塞、丢失等隐患；让院内无线网络充斥任意地点，比有线网络使用更频繁；让院领导不再为医院信息安全担忧。1、支撑“云”计算的数据中心建设。随着医院网络应用的发展，“云”在医院的使用场景越来越清晰，使用方式也越来越具体。“云”计算的融合网络需要：在以太网数据不丢包的基础上，将业务流进行标记，按医院需求进行队列排序；有限数量的交换机多合一虚拟化保证交换性能，一分多虚拟化满足激增业务应用；构建无阻塞数据中心，实现海量数据转发。2、医院全局安全体系建设。医院信息安全的发展，既要满足国家政策的要求，又要真正解决医院实际存在的安全隐患，从根本解除医院由于区域卫生建设、国家单病种研究等业务发展带来的安全问题，彻底杜绝黑客攻击和工程师误操作等不良网络行为。3、信息科运维体系建设。信息科采购了品牌、型号繁多的硬件设备和应用软件，这既是医院信息化运行的根本和保障，也是人员少、技术力量薄弱的信息中心的“鸡肋”：一旦14发生故障，协调厂家资源耗时多、花费大、定位难。快速解决故障成为医院信息中心稳定运行的保障。2.5设计原则基础网络及安全是一个多系统的集成工作，它与网络规模、结构、通信协议、应用业务程序的功能和实现方式密切相关，一个好的网络设计应该结合现有网络和业务特点并充分考虑发展需求。一般应遵循以下原则：1,方案实用网络设计不仅要求能够满足目前医院使用的要求，而且还应适应未来若干年以后的网络发展需要。系网络的扩展可以在现有网络的基础上通过简单的增加设备和提高电路带宽的方法来解决，以适应不断增长的业务需求，保护本次网络建设的投资。网络系统在设计时应采用国际标准协议，如网络传输协议TCP/IP、IPX/SPX等，支持SNMP、RMON等网络管理协议、支持VLAN802.1Q标准，支持基于策略的服务RSVP、802.1P等。网络平台应具备多网络协议的支持能力，支持和兼容所有主流产品，以避免原有网络设备投资的浪费。2,性能卓越随着业务的增加和计算机技术的发展，接入局域网的用户将越来越多，终15端和工作站的处理能力越来越强，以及图形图像和多媒体的应用越来越广泛，要求每个用户实际可用带宽很高才能使网络通信流畅，网络将成为提供多种业务的统一网络平台，并应该为不同的业务提供服务质量保证（QoS）。因此，设计时应充分考虑到将来业务量的增大，保证当前及今后一定时期内网络的高效与通畅。3,稳定可靠网络的可靠性是网络设计中需要考虑的一个主要原则。作为信息系统应用的依赖和基础，要求系统必须具备连续安全可靠地运行的能力，所以在系统结构设计中选用高可靠性网络产品，合理设计网络架构，尽可能利用成熟技术，网络关键部分要制定可靠的网络备份策略，对于重要的网络节点应采用先进可靠的容错技术，以保证网络系统具有故障自愈的能力，最大限度地支持专网内各业务系统的正常运行。4,易于管理随着网络规模的扩大和系统复杂程度的增加，网络管理和故障排除变得越来越困难。采用先进的网络管理工具，通过图形界面对网络设备进行集中化统一管理，对网络实行集中监测、分权管理，统一分配带宽资源，进行流量统计分析和故障自动报警，大大简化网络管理难度。5,整体安全16从一个完整的安全体系结构出发，综合考虑安全保密的各种用户身份认证和各个环节，采用多种安全手段，包括防止非法接入、访问控制、入侵检测、网关安全、边界防护、身份认证、内容安全等等。即保证网络的安全可靠，又尽量符合界面友好人性化的特点。6,行业特点行业业务特征决定了网络设备的需求，也决定了网络设备的技术选型要求，因此必须以用户的实际需求出发，合理的选择使用网络技术和产品。173基础网络设计方案网络总体设计计算机网络系统以目前国际流行的TCP/IP为基础，采用OSI体系结构，遵循国际标准，整个计算机网络系统采用星型拓扑结构。一般医院新建楼内网信息点较多，涉及所有部门办公，其重要性不言而喻。为了保证网络质量，合理分担网络流量，网络整体采用三层设计，分为核心层、汇聚层和接入层，不同的层次可以归入不同的功能而采用预先设计好的功能模块，不同层次可能需要采用不同的功能模块，或者某一个层次嵌入多种功能模块。整体网络采用路由方式，广播包终止在汇聚交换机，交换式以太网就不会因为网络设备对资源的争用而影响整个网络的使用效率和传输速度，从而大大提高整个网络的性能，降低了网络拥塞的发生概率。在本方案中，网络系统按系统结构规划为：局域网和广域网两个部分。广域网主要由各种功能的路由器、应用服务器、网络安全设备等组成。局域网按网络层次分为：核心层、汇聚层、接入层。无线系统作为局域网的重要组成部分不仅能覆盖有线难以敷设区域，同时满足移动办公和访客需求，由各型终端AP和控制器组成。18网络技术选型在以太网技术中，1000BaseT是一个里程碑，确立了以太网技术在桌面的统治地位。千兆以太网以及随后出现的万兆以太网标准是两个比较重要的标准，以太网技术通过这两个标准从桌面的局域网技术延伸到园区网以及城域网的汇聚和骨干。以太网采用CSMA/CD机制，即带碰撞检测的载波监听多重访问。千兆以太网接口基本应用在点到点线路，不再共享带宽。碰撞检测，载波监听和多重访问已不再重要。千兆以太网与传统低速以太网最大的相似之处在于采用相同的以太网帧结构。万兆以太网技术与千兆以太网类似，仍然保留了以太网帧结构。通过不同的编码方式或波分复用提供10Gbit/s传输速度。所以就其本质而言，10G以太网仍是以太网的一种类型。根据昌吉州医院的实际情况：1.主干网络采用万兆以太网技术，千兆到桌面；2,核心层与汇聚层通过1组千兆光纤采用链路汇聚连接，后续为了的链路冗余扩展考虑，在核心和汇聚之间预留光接口，使得后续两者之间的光链路可以升级为2组；3.汇聚层到接入层采用1组千光纤连接；19

4,楼层接入交换机根据物理台数合理选择堆叠上联或是单机上联模式，千兆到桌面；5,楼层接入交换机根据无线终端AP、监控节点合理选择POE模式；6,现有感染科和神经外科楼层新增核心交换机，升级原来所有交换机之间级联的模式。3.3网络结构设计较大规模的网络设计通常要遵循层次化设计模型。网络可分为核心层、汇聚层和接入层。以无线网络作为有益的补充或替代。*■SNC网管系统，*■SNC网管系统，SMP身份系统20基础网络结构模型核心层主要承担高速数据交换的任务，同时要为各汇聚节点提供最佳传输通道。汇聚层的主要任务是把大量来自接入层的访问路径进行汇聚和集中，承担路由聚合和访问控制的任务。这就要求汇聚层设备必须具备良好的可扩展性，必须使用模块化的体系结构，可通过增加板卡提高端口密度，以便汇接更多的接入层设备。接入层的主要任务是完成用户的接入，它直接和用户连接，可能遭受ARP风暴、MAC扫描、ICMP风暴、带宽攻击等等攻击方式，对安全性的要求很高，另一方面必须提供灵活的用户管理手段。通过层次化的网络设计，网络的不同层次设备承担不同的任务，使整个网络结构清晰，便于维护和管理，便于以后的网络扩展。21医院网络安全三级架构拓扑图万兆光纥儿童医院昌吉州人民医院（内外阳）网络拓扑图小内科楼千兆光纤精神卫生楼中医楼无税控词典门沙内科楼外科楼万兆光纥儿童医院昌吉州人民医院（内外阳）网络拓扑图小内科楼千兆光纤精神卫生楼中医楼无税控词典门沙内科楼外科楼内外网融合架构下网络拓扑图核心层设计核心层：由高性能的设备和高速冗余的链路构成，实现数据的高速转发、负载均衡、流量控制、网络管理等功能。在网络的中心节点，核心层的设备传统上会使用高性能的交换机和高速路由器来进行第二层交换和第三层路由。在网络核心层，网络核心设备不仅要能保证第二层的交换和第三层的路由，还要提供完善的虚拟网划分，多协议路由，QoS处理，以及多媒体的通信支持。22网络核心设备一定有可靠性。例如电源供应双备份，主处理器模块双备份，网络端口模块支持热插拔，以及能做到双机备份。这样万一设备出现单点故障，也不影响整个网络的正常运行。针对医疗行业特点和行业用户需求，核心层设计为数据中心交换机：1、将核心交换机全部虚拟化，建造网络池塘。虚拟交换单元（VSU）多变一虚拟化，消除单点故障的同时，提升交换机的工作性能，实现1+1>2的效果；虚拟机交换方式（VEPA）：将服务器软的虚拟交换机回归到硬件的虚拟交换机，降低服务器CPU使用性能、让网络管理边界清晰、网络流量可监管。2、数据中心交换机为每个连接到当前以太网接口的主机动态/静态生成一个“FCoE接口”，帮助医院轻松整合异构的光纤和以太网两张网，减少网络中的设备数量，既能真正实现数据中心网络架构的融合，又能充分保护既有投资。3、为了完美应对全院PACS影像传输系统，轻松实现高峰期历史病历随时调用，保证主、备机房海量数据传输实时，交换机提供单板48口万兆模块，4口100G高速转发模块，大容量缓存。4、为了保证以太网数据传输0丢失，和基于业务的优先级排队。（PFC）技术对802.3中规定的以太网Pause机制进行了增强，提供一种基于队列的无丢包技术，带宽管理技术（ETS）,可以在多种以太网流量共存情况下进行共享带宽的处理，对以太网光纤通道（FCoE）的流量报文进行带宽保障。23汇聚层设计汇聚层，是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，汇聚层交换机极易形成网络瓶颈，因此要保证交换机具备真正线速无阻塞。根据汇聚层交换机端口数和速率计算，其主要性能参数应满足：包转发率理论应满足：28*1.488Mbps+12*14.88M>219Mbps交换容量理论应满足：28*1Gbps*2+12*10Gbps*2>296Gbps汇聚层交换机同时应具备足够千兆光模块接口，并支持万兆模块上联。针对医疗行业特点和行业用户需求，汇聚层设计为数据中心交换机：1、汇聚交换机通过千兆/万兆链路和骨干核心交换机连接，实现双归属设计，保证链路的高可靠性。2、汇聚交换机支持高性能的数据处理能力，汇总路由，降低核心路由表项，降低核心路由交换压力。3、汇聚交换机可以通过核心层设备构成环状结构，快速定位故障点、对网络攻击、病毒和破坏尽量控制在边缘完成，使全网架构更加健壮，提升网络高可用性。244、汇聚到接入采用千兆下联，确保网络高带宽、低时延，提升看病的效率。接入层设计接入层负责所有信息节点的接入，由高性能设备和高速冗余的链路构成，实现数据的高速转发、路由快速汇聚、负载均衡、流量控制、网络管理等功能。针对医疗行业特点和行业用户需求，接入层设计为可网管交换机：1、提供特有的CPU保护控制机制，对发送到CPU的数据进行带宽控制，以避免非法者对CPU的恶意攻击，充分保障了接入交换在发生安全事件时的稳定性。2、针对网络的实际使用环境，实施灵活多样的安全控制策略，有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，充分保证安全设备和网络设备的联动控制。3、千兆到桌面，合理化地使用网络资源，满足了PACS影像系统对网络流量成倍提高和远程会诊等多媒体业务的迅速增长的需要。网络路由设计根据二附院新建大楼项目情况，在方案中选择采用OSPF路由技术。OSPF25通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表。OSPF最佳适用环境：,“开放式最短路径优先（OSPF）”路由环境最适合较大型到特大型、多路径、动态IP网际网络；.大型到特大型网际网络包含50个以上的网络；.网络细分区域较多，路由策略复杂，不适宜采用静态路由的网络；.大中型企业、园区厂区、校园；.全球性企业或校园网际网络。3.3.6无线设计无线局域网（WLAN）使用的传输不再使用双绞线或光纤，而是是红外线（IR）或射频（RF）。现在大多数无线LAN都在使用2.4千兆赫（GHz）的频率波段。无线网络的自由性和灵活性既可用于建筑物内部也可用于建筑物之间，特别是在古建筑、玻璃幕墙、空旷开间等物理线缆不易敷设的情况时。将WLAN技术应用于桌面系统可以为一个组织提供传统LAN所不能提供的灵活性。桌面客户机系统可以被放置在不可能进行或不适于进行布线的地方。桌面PC可以根据需要在设施内的任何地方进行重新部署，这一特性使无线方26案成为临时工作组或快速成长组织的理想选择无线网络已经得到越来越多的应用，成为有线网络覆盖的有力补充和替代方案，无线网络设计在医院具体来说有以下几个方面的具体需求：1、无线网络信号覆盖。在很多医院大楼，不仅墙体厚、钢筋配比非常高，在大楼装修方面更是挖空心思、不遗余力，使得病房信号极差，尤其值得一提的是卫生间后面，没有信号或者只有微弱的信号，而那里正是人民医院医护人员查房输液停留时间最长的地方。无线使用零漫游方案（详见无线建设方案），一个接入点下面分出48根天线，每根天线都伸到房间里面，这样每个接入点只管48个房间，既保证了每个房间里面信号无死角而且很强，还使得维护很方便（如果同一个接入点下面的48个房间都有信号问题，那一定是接入点有问题，如果只有一个房间有问题，那肯定是这个接入点的天线接口或者天线有问题）。同时，因为每两个接入点的距离拉开了，信号之间的干扰也变得很小，经过我公司的现场测试，使用者几乎感觉不到移动终端设备的中断掉线或者系统的重新登陆。2、无线网络数据传输传统的部署方式，通过核心交换机将数据传给控制器，再由控制器转发给服务器或者数据库，一旦控制器坏了或者链接控制器的线缆接口有问题，无线27网络就断了，就算将控制器做成互备的，也只是达到了相对安全（人工手动启动另一台控制器，操作技术含量高，难实现，且可能存在另一台控制器长时间不用已经坏掉了，却不知道。）。当控制器断开时候，不论是哪种原因断开，本系统选用设备的接入点直接将数据通过核心交换机发送给数据库或者服务器，再一次使无线系统具备了有线核心交换机的稳定策略。真正做到：只要接入点不发生物理故障损坏，无线网络保证没问题。3、无线网络接入安全2011年多家医院出现黑客通过有线端口连接无线路由器，在患者候诊区进行医院数据盗取。国家卫生部颁发的等级保护实施指导意见中，安全接入策略是要两种或两种以上的安全策略同时开启，进行保护。本方案中选择的无线安全结合传统有线的安全策略IP和MAC地址的绑定基础上，又增加了WEB界面的认证、802.1X认证等策略，保证登到无线网络中的主机安全。28

3.3.7安全模块设计应用奈筑、网站服落应用奈筑、网站服落安全保证体系入侵防炉安全网关安全保证体系入侵防炉安全网关网络室统基础运行环境 : [/ 一]「[机房珥境）[UPE电源 综合布线系统如图所示，安全保障体系可以划分为身份鉴别、访问控制、安全防护和存储备份几部分，其中，访问控制层包括安全网关、访问控制系统，身份鉴别层包括用户身份认证系统、证书注册管理系统、用户鉴权访问系统和实体鉴别器，安全防护层包括防病毒系统、防火墙、入侵防御、漏洞扫描系统、安全监控系统、网页防篡改系统等。针对医疗行业特点和行业用户需求，网络安全设计凸显为各安全产品全局联动控制：1、通过网络准入（SMP）与桌面管理软件联动：两者相结合的统一部署、统一管理的方式，实现终端的安全管理；2、通过SMP和IDS的联动：IDS对网络中的应用数据进行安全检测，当29

发现异常数据（如多次尝试数据库帐号等），将告警信息直接转化为安全策略，下发至该用户的接入交换机，对该用户进行安全控制，让信息科员工无为而治；3、通过SMP与防火墙联动：通过防火墙对业务系统进行安全隔离，并针对不同科室的用户分配访问不同业务区域的权限，实现基于用户、基于业务的网络权限控制；4、通过SMP与数据库审计（DBS）联动：将网络准入时的身份认证与数据库的审计操作相关联，五位一体（谁在什么时间、什么地点，对什么应用，做了什么样的操作）精准定位。这不仅让客户真正对统方行为、窃取或者篡改数据的人有了威慑的工具，还可以在发生安全事故时候免责，甚至立功。30

3.4细部设计医院三级网络架构划分万兆光线昌吉州人民医院（内外网）网络拓扑困千兆光纤万兆光线昌吉州人民医院（内外网）网络拓扑困千兆光纤门诊内科楼医院三级医院网络拓扑图上图所示为设计的二附院医院网络架构设计，在该项目中，应始终将网络架构设计和用户群体属性相结合，充分考虑网络性能需求和关键业务要求，合理设计网络设备和各楼宇接入划分，并制定相应的访问合理的控制策略。网络区域细化VLAN的划分可以遵循很多种方式，可以基于业务、部门、地理位置、用户等信息进行划分，经过划分VLAN，可以减小广播域的范围，可以缓解广播31型的攻击对网络的影响，同时，急于某种原则进行VLAN的划分也有利于网络工程师对网络进行管理。某医院项目引用广泛，对网络的安全性、稳定性要求较高，希望通过VLAN的划分较少病毒攻击影响的范围，且能够简单方便的进行日常的网络维护。基于以上需求，医院网络按照部门进行VLAN的划分。VLAN规划及IP地址分配部门网段掩码vlanid网关地址领导办公室（7-8层）/246054传染病与地方病防治所/246254性病与艾滋病防治研究所/246454学校卫生与食品营养安全所/246654慢病防治与健康教育所/246854质量管理科/247054免疫预防所/247254环境卫生监测所/247454职业卫生监测所/247654预防医学诊疗中心/247854病媒生物防治所/248054消毒检测所/248254样品受理办公室/248454理化检验所/248654微生物检验所/248854病毒检验所/249054中心办公室/249254业务办公室/249454组织人事科/249654监察室离退休人员管理科/24985432

审计科信息管理科/2410054药品器械管理科/2410254计划财务科/2410454总务科/2410654Other/2410854无线用户/2411054服务器区/2411254无线设备管理/2460054VLAN间访问控制策略访问控制策略一xx服务器Vlanxx服务器Vlanxx终端机Vlanxx服务器Vlanxx终端机Vlanxx终端机Vlanxx服务器Vlan--允许允许允许允许允许xx服务器Vlan允许--禁止允许禁止禁止xx终端机Vlan允许禁止--允许禁止禁止xx服务器Vlan允许允许禁止--禁止禁止xx终端机Vlan允许禁止禁止允许--禁止xx终端机Vlan允许禁止禁止禁止禁止--信息节点对应表序号部门责任人主机名IPMACVLAN墙面信息点号对端设备连接端口1001XX001XX001XX0010010012002XX002XX002XX0020020023003XX003XX003XX0030030034004XX004XX004XX0040040045005XX005XX005XX0050050056006XX006XX006XX0060060067007XX007XX007XX0070070078008XX008XX008XX0080080089XXXXXXXXXXXXXXXXXXNXXXXXXXXXXXXXXXXXX333.4.3设备及设备端口命名规则以二附院为例，内部网络网络设备命名规则如下:字段1连接符号字段2连接符号字段3连接符号字段4设备序号EFYYYYZZZWWWnn字段1：用于标识设备物理区域位置，对XX医院为：以“TCFY医院内网〃为例，可以标识为IN以“TCFY医院外网〃为例，可以标识为OUT字段2：用于标识设备功能，根据二附院医院的整体网络结构，定义为:核心层交换机：CS接入层交换机：AS广域网接入路由器：AR字段3：字段3用于标识设备位置，根据XX医院的整体逻辑层次，定义为：5层接入交换机：L0510层接入层交换机：L10如果是单台设备，可跟设备型号•字段4：字段4用于标识设备型号•Nn：标识网络设备编号（01〜99）例如：“内网11层第二台S2928G接入交换机”，根据以上的原则命名为:34INASL11S2927G02“外网8层第1台S2952G接入交换机”，根据以上的原则命名为:OUTASL08S2952G013.4.4线缆标识和描述规则线缆标识规则设备名称-Slot-Portto设备名称-Slot-Port注：设备名称遵循设备命名规则。设备配置中的端口描述规则:设备名称-Slot-Portto设备名称-Slot-Port3.5设备选型设计适用性与先进性相结合的原则：不同品牌的交换机产品价格差异较大，功能也不一样，因此选择时不能只看品牌或追求高价，也不能只看价钱低的，应该根据应用的实际情况，选择性能价格比高，既能满足目前需要，又能适应未来几年网络发展的交换机。选择市场主流产品的原则：选择交换机时，应选择在国内市场上有相当的份额，具有高性能、高可靠性、高安全性、高可扩展性、高可维护性的产品。安全可靠的原则：交换机的安全决定了网络系统的安全，选择交换机时这一点是非常重要的，支持MAC-IP-端口绑定、交换机私自串联报35

警、ACL、QoS等技术。产品与服务相结合的原则：选择交换机时，既要看产品的品牌又要看生产厂商和销售商品是否有强大的技术支持、良好的售后服务，否则买回的交换机出现故障时既没有技术支持又没有产品服务，使企业蒙受损失。.选型推荐根据医院实际使用需求，在方案中核心交换机采用N18K，汇聚交换机采用55750，接入交换采用S2952G-E，无线控制器采用WS-5708,无线接入点采用AP320-I，安全产品采用IDP、DBS、SMP、防火墙和桌面管理组件。.部署与配置根据上节推荐型号组合情况，简单示意出其逻辑连接图。 .sOSPFAREA0 .sOSPFAREA036图3-4三层协议规划12000-2mTiOi8G0e-38606-4MSTP-40VRRP汇聚区汇票区医院服务器区SB6即,2ISTP=81I92OSPFAREAOSERVER:VRR;门诊楼MSTP:4DMBPDUFilter+RLDP环路检测+自动恢复方案楼层接入区 S2952G走共计招台MSTF:B19212000-2mTiOi8G0e-38606-4MSTP-40VRRP汇聚区汇票区医院服务器区SB6即,2ISTP=81I92OSPFAREAOSERVER:VRR;门诊楼MSTP:4DMBPDUFilter+RLDP环路检测+自动恢复方案楼层接入区 S2952G走共计招台MSTF:B192S120001VRRPmWp：轴96MSTFTB19OSPFAREA0住院楼医院战势器区;楼层接入区;F兆单模光纤；千兆弟嗓光纤'■千罪双线钱图图3-5 二层协议规划无线零漫游部署图无线零漫游部署图3737EMREMR安全产品安全管理平台EMREMR安全产品安全管理平台图3-7网络安全效果保障图4,主设备选型详细参数及产品制造商资质序号设备名称参数类别详细参数1汇聚交换机A硬件规格★固化端口：耳28个10/100/1000Mbps电口，14个SFP+光口★设备可提供2个扩展槽★交换容量1598Gbps★包转发率1222Mpps整机采用绿色环保设计，满负荷情况下电源功率W70W,要求提供官网截图。★为提升设备适应环境的能力，保证寿命更长，要求所投产品必须涂装三防漆，充分提升设备防腐蚀能力，符合GB-T2423.51-2000标准，需提供第三方权威机构测试报告；★设备MAC地址164K,以第三方权威机构测试报告为准★设备ARP表项120K,以第三方权威机构测试报告为准基本功能★支持RIP,OSPF,BGP,RIPng,OSPFv3,BGP4+★支持IGMPv1/v2/v3,IGMPv1/v2/v3Snooping★支持基本的QinQ,支持灵活的QinQ★产品支持sFlow网络监测技术，可提供完整的第二层到第四层信息，可以适应超大网络流量环境下的流量分析，让用户详细、实时地分析网络传输流的性能、趋势和存在的问题。以第三方权威机构测试报告为准。38

★支持虚拟化功能（通过堆叠模块或非堆叠模块两种方法实现）★产品支持ITU-TG.8032ERPS★符合国家低碳环保等政策要求，支持IEEE802.3az标准的EEE节能技术。★产品支持软件定义网络SDN,符合OpenFlow1.3协议标准，支持SDN和SDNReady功能，需提供第三方权威结构测试报告；产品资质★提供工信部IPv4/IPv6三层设备进网许可证复印件，提供Ipv4/IPv6入网测试报告；提供电信设备进网管理官方网站链接和说明；★设备遵守国家标准的设计规则，并提供中国质量认证中心出具的《中国国家强制性产品认证证书》★设备支持IPv6Ready第二阶段认证证书公司资质★设备生产公司通过CMMIL4级评估，有能力为客户提供更加稳定、更高质量保证的产品2汇聚交换机B硬件规格★固化端口：耳28个10/100/1000Mbps光口，14个SFP+光口★设备可提供2个扩展槽★交换容量1598Gbps★包转发率1222Mpps基本功能★支持RIP,OSPF,BGP,RIPng,OSPFv3,BGP4+★支持IGMPv1/v2/v3,IGMPv1/v2/v3Snooping★支持基本的QinQ,支持灵活的QinQ★要求所投产品支持sFlow网络监测技术，可提供完整的第二层到第四层信息，可以适应超大网络流量环境下的流量分析，让用户详细、实时地分析网络传输流的性能、趋势和存在的问题。以第三方权威机构测试报告为准。★支持虚拟化功能（通过堆叠模块或非堆叠模块两种方法实现）。★产品支持ITU-TG.8032ERPS★符合国家低碳环保等政策要求，支持IEEE802.3az标准的EEE节能技术。产品支持端口休眠；产品支持模块化操作系统，支持针对单一模块打热补丁，故障模块升级中不影响其他进程的正常运行和业务转发；★产品支持软件定义网络SDN,符合OpenFlow1.3协议标准，支持SDN和SDNReady功能，提供第三方权威结构测试报告；产品资质★具备工信部IPv4/IPv6三层设备进网许可证复印件,可提供Ipv4/IPv6入网测试报告；可提供电信设备进网管理官方网站链接和说明；★设备遵守国家标准的设计规则，可提供中国质量认证中心出具的《中国国家强制性产品认证证书》39

★设备支持IPv6Ready第二阶段认证证书公司资质★所投产品生产制造公司通过CMMIL4级评估，有能力为客户提供更加稳定、更高质量保证的产品3接入交换机整机性能★交换容量1256Gbps★转发性能150Mpps★固化10/100/1000M以太网端口124,非复用SFP千兆光接口14个，最大可用千兆口128★配置及日志存储等简化维护和管理，支持USB端口要求设备采用静音无风扇节能设计，要求提供官网截图。基本功能★支持IPv4和IPv6的三层路由和组播功能支持DHCPClient、DHCPRelay、DHCPSnooping、DHCPSnoopingTrust★支持IPv4ACL,配置支持源/目的IPv6地址、源/目的端口的硬件中丫6ACL,人6180,可提供国家级权威机构测试报告作为证明★设备能检测到攻击源，并将攻击源隔离，保护交换机工作的稳定性，提供国家级权威机构测试报告作为证明★支持同时开启IPv4、IPv6ACL、802.1X认证、web认证、防ARP欺骗，CPU保护功能同时开启，不会相互冲突、制约；提供国家级权威机构测试报告作为证明。设备具有堆叠功能，堆叠后单端口堆叠带宽12.56,双向达到56。可提供国家级权威机构测试报告。符合国家低碳环保等政策要求，支持IEEE802.3az标准的EEE节能技术★设备具有节能设计，满载工作情况下功耗W27W。管理特性支持SNMPv1/v2C/v3、CLI(Telnet/Console)、RMON(1,2,3,9)、SSH、Syslog、NTP/SNTP产品资质提供工信部进网许可证复印件4光纤模块基本功能千兆单模光纤模块3.6关键技术点万兆网络技术医院的一个主要业务特点是数据量大，医疗数据从自由文本发展到结构化，如患者的电子病历，再到医学影像以及动态影像等，大型医院每天可产生超过10G的新增数据，数据总量以数百TB计算。40核心到汇聚设备的骨干链路采用万兆带宽，核心设备采用两台基于100G平台的数据中心交换机RG-S86E系列，配置高性能40G模块互联，满足稳定可靠、高宽带、大容量、高性能和高速率及网络扩展的要求。RG-S86E采用先进的多级矩阵交换架构和CLOS转发机制，采用性能更高、可扩展性更好的多级多平面无阻塞交换架构，充分满足医院数据中心应用及未来发展需要。ngress图3-8控制突发性流量示意图RG-12010核心设备分布式大缓存吸附链路突发流量。上行、下行分别独立报文缓存配置，启动流控后，上下行缓存配合使用，上行、下行缓存独立可扩展。整机扩展支持6G超大缓存，业界缓存能力最高，分布式缓存能缓冲更大的突发业务流量，增强数据中心持续业务能力，吸附数据中心与核心网突发流量，尤其适应未来云计算网络中的搜索等各种突发性业务。41VSU虚拟化技术医院网络因为门诊楼、医技楼、住院楼等多楼宇群连接，网络拓扑复杂，机柜跳线连接凌乱，经常出现冗余链路连接错误，使得网络中出现环路，不得不配置MSTP协议消除环路。可是实际应用中存在影像图片传输时候，链路流量比较大导致BPDU报文丢失，MSTP拓扑振荡，影响网络的正常运行；数据中心交换通常采用双机热备，但是故障恢复时间一般在秒级。如VRRP协议，状态为master的交换机发生故障，处于backup状态的交换机至少要等3秒钟甚至更久，才会切换成master，可是因为医疗数据传输具有很强的敏感性，一旦丢包2到3个，检验（LIS）、电子病历（EMR）等系统需要重新登陆，使得正在操作数据丢失导致返工；和传统网络相比，VSU虚拟化技术的优势有:VSU图3-9VSU组网示意图42简化管理。两台交换机组成VSU以后，管理员可以对两台交换机统一管理，而不需要连接到两台交换机分别进行配置和管理。简化网络拓扑。VSU在网络中相当于一台交换机，通过聚合链路和外围设备连接，不存在二层环路，没必要配置MSTP协议，各种控制协议是作为一台交换机运行的，例如单播路由协议，VSU作为一台交换机，减少了设备间大量协议报文的交互，缩短了路由收敛时间。故障恢复时间缩短到毫秒级。VSU和外围设备通过聚合链路连接，如果其中一条成员链路出现故障，切换到另一条成员链路的时间是50到200毫秒。VSU和外围设备通过聚合链路连接，既提供了冗余链路，又可以实现负载均衡，充分利用所有带宽。无线零漫游目前医院采用的无线设计有放装、室分和智分三种方式，通过对比看到无线智分是最适合医院，同时也是最适合弱电施工的部署方案：AP放装方式指的是AP和天线都部署在走廊的方式，这种方式为传统部署方式，其特点为部署简单，造价较低，但是如密集部署，会导致干扰过大，性能下降，只适合于人员较少，较为空旷的部署场景。不适合于密集部署的医院，在住院病房楼中不利于无线信号的衍射，一般来说，这样会造成信号在房间中衰减过大，将导致房间外信号非常强，而房间内信号弱，无法满足正常上43

网。具体部署方式如图所示:图3-10放装部署图AP室分方式是把AP部署在走廊或弱电间，而天线部署在房间内，AP和天线之间通过馈线连接，中间还需要加装功分器和耦合器等设备。这样虽然解决了信号不稳定，无法上网的问题。但此种部署十分复杂，不仅需要AP、天线、馈线，还需要功分器、耦合器等设备，增加了部署实施难度，加大了投资成本，而且增加了故障节点，不利于网络的管理和维护。同时由于目前室分AP只能做到单射频卡，性能较为低下。具体部署方式如图所示：图3-11室分部署图AP智分方式综合了放装解决方案和室分解决方案的优点，并加以改良。整44

体方案由无线控制器，智分AP,馈线，天线4部分组成，无需功分器、耦合器等。部署简单，易于管理和维护，也节省了成本。同时由于集成了射频卡，使得性能不再成为瓶颈。非常适合宿舍网这样的密集部署环境。每个AP负责4-6个房间，具体部署方式如下所示：图3-12 零漫游部署图图3-12 零漫游部署图三种部署方式对比分析:解决方案实现原理实现效果方案弊端病AP放装部署在在有窗户，房间结构有一定要求：房楼内病房走廊里，无线信大开间等的情况一般情况下房间应有大飘窗放装方号$辐射到隔壁相邻的下，终端用户使结构，假如采用防盗门结构案房间用体验较好，网将会对信号有较大影响。45速较快室 AP部署在任意在上网高峰分系统方案位置，通过馈线延伸期，会出现网速可以把天线部署在房慢的情况间内，覆盖房间数比较有弹性，视每房间内上网的人数而定可维护性低：施工配件多，需要额外增加功分器或耦合器以及接头等配件。增加故障点，增加排查问题的工作量可实施性不足：需要计算线路损耗，线缆走线有较为严格的要求。对施工人员的专业性要求高终端用户使用体验不佳：室分系统部署方案所用的AP都是单射频芯片产品，单射频芯片带40个终端在高峰期会导致过度冲突，严重降低网速。46i-\-f零漫游方案AP部署在任意位置，通过馈线延伸可以把天线部署在病房内，覆盖房间数比较有弹性若AP覆盖48个病房，累计40台无线终端，在上网高峰期，网速可保持稳定以一层楼40个病房计算，信号质量增强40%，重要的是保证该区域内的终端不会出现漫游丢包。网络安全管理目前，医院为了防护主机，买了入侵检测设备，却因为每天大量的告警无法处理而放弃使用；为了控制终端，买了桌面管理软件，却不能解决桌面管理软件被卸载的问题；为了保证数据安全，买了数据库审计设备，却因为一台电脑多人用，审计无法定位到人而功亏一篑……经过我司全局安全管理方案部署，可实现人即边界的融合安全体系：1、终端设备准入。根据终端设备的MAC地址、硬盘ID号等信息进行验证，只有许可的终端设备才能接入到网络。支持异构网络环境下的任何地点、任何方式下的接入安全准入控制，如无线网络、VPN接入网络等。2、USB接口控制。可允许打印机的使用，而对于U盘等存储设备，可灵活控制，既可以禁止使用，也可以只允许通过认证的U盘在指定主机使用。可47设置USB端口、串口、并口的开关状态。3、应用程序控制。对工作时间不允许进行的程序，如游戏、炒股等，如果一旦运行，管理系统自动感知，并对客户端发出警告，并可以选择断开该主机的网络连接。而对于桌管软件，如果被卸载或不安装，同样发出警告或断开网络连接。4、操作系统补丁和其他程序的自动下发。可统一自动下发并自动安装Windows系统补丁、HIS客户端软件等，大大减轻管理员的工作量。5、远程桌面控制。网管人员在接到故障报修电话时，可远程接管医护人员的终端主机，控制其键盘、鼠标，并监视其显示画面，快速远程处理故障，而不需要去现场，大大减少工作量。6、用户准入控制。用户接入网络时，需要输入用户名和密码，只有验证正确后才能登录到网络。非法人员无法登录网络。7、用户访问权限控制。用户登录到网络后，只能按照事先设置的访问权限进行访问，而不是可以访问任意整个网络。支持内网访问和外网访问进行逻辑隔离的功能。8、入侵检测无为而治。IDS对网络中的应用数据进行安全检测，当发现异常数据（如多次尝试数据库帐号等），将告警信息直接转化为安全策略，下发至该用户的接入交换机，对该用户进行安全控制。489、数据库审计控制。真正做到事前威慑、事中监管、事后定责的效果。图3-13人即边界的融合安全体系运维管理随着信息化整体水平不断提升，医院采购了越来越多的硬件设备、以及关键业务系统例如HIS、LIS、PACS等等，那么随之而来，管理的复杂度也越来越高，给医院信息中心系统维护人员的运维工作造成了越来越大的难度和压力；信息部门在医院相对并不是特别受到重视，院领导认为信息科只是花钱投资，但并没有直观的数据和依据来体现信息化建设的效果，IT部门的价值也不如门诊科室明显，一直处于被动的地位；IT部门的人员数量相对来说一直比较少，而当硬件和软件系统出现了故障之后，处理起来非常被动，查找问题也很49难准确定位到底根源在哪里，由之带来的业务部门的投诉也比较多。针对州人民医院的信息化管理现状，我司选用的运维管理系统基于以下原则和功能特点：按照我院目前IT资源规模，要求系统提供不少于100个全资源监控授权，不少于100个无线资源管理，不少于5个告警客户端；要求提供医院综合管理门户、医疗业务服务管理、告警中心、资源管理（资源、拓扑和无线）、脚本监控、IP地址管理、自动巡检、统计报表管理、高级功能包含医疗行业专用故障管理模块、医疗行业专用项目管理、医疗行业绩效报表管理等功能。3年质保系统主要特点如下：1）系统采用B/S架构，提供良好的可视化效果，包括交互界面、拓扑效果和故障捕获效果。支持对网络设备、无线设备、主机、数据库、中间件、应用的一体化管理，并能实现各IT资源的相互影响分析管理及联动。所有资源、拓扑图都需支持事件播放功能，提供基于windows平台的告警客户端，实时接收系统告警信息、查询各监控对象运行状况。2）提供无线设备深度监控管理，包括对AC、FitAP、FatAP、Radio（射频卡）、在线用户、WLAN等的管理；提供无线设备分布定位与信号覆盖动态视图、提供接入终端分布、无线用户体验动态视图、可对POE交换机执行远程管理开关机。3）提供基于医院诊疗、收费等关键应用的业务监控，从业务管理的角度50管理IT资源，能够根据业务系统流程、关联资源、用户等元素建模，支持业务拓扑视图，提供业务故障分析及影响用户范围。提供基于指标卡片的形式，显示该业务的运行状态，并通过分配各资源权重占比，计算该业务的健康度、繁忙度、可用性等易于衡量的指标；也可将多组业务集合为一条业务健康度曲线，直观反应任意时间点，帮助用户了解我院整体IT运行水平和趋势。4）系统具备统一的告警管理平台，运维人员可通过客户端、邮件、短信等方式了解告警，可针对资源、阈值、业务等内容进行告警，并提供故障分析。5）为方便运维人员进行数据分析和网络规划，提供多视角报表模版，比如资源分析报表、趋势分析报表、TOPN报表、故障报表等。6）系统实现IP地址管理，支持设定基准表，基准表按照IP地址范围、子网掩码设定网段信息。支持基准表操作日志，记录基准表的操作信息。支持子网容量、使用率、规划率的计算；支持子网规划IPTOP10、子网在线IPTOP10。支持接入监控的子网中判定IP地址的在线、未登记、非法接入状态，并以不同的图标进行展示，IP变更、接口变更会自动生成事件并告警。7）提供分权门户，实现多系统统一认证、登陆，方便权限拥有者直接查看关注范围内的所有IT变化，通过过滤器方式收集资源、接口、业务等多种类型数据汇总，且过滤器配置可分享给类似权限人员，实现IT服务体系快速组建。518）实现对IT资源进行关键指标的自动巡检，内容包括网络设备、主机、应用、基础服务、无线资源等所有IT资源，多组巡检任务可同时执行，生成报告并推送给运维人员。9）系统具备移动化办公需求，实现运维业务的移动化；移动客户端需同时需支持IOS和Android平台，提供良好的交互体验和实时的消息通知，支持告警及时通知，并根据权限设置过滤对应的告警信息；支持查看告警相关资源的全部性能指标、子资源指标10）提供无限制管理人员授权，提供全院适用的的自助服务台，即可在服务台进行简单自助查询服务，也可以通过服务台直接报障，达到统一运维入口和监督故障处理进度的目的；提供事件管理平台，服务台信息自动转化为工单，并指派给系统分类预设的运维人员，实现故障处理的标准化流程。11）提供项目模版管理组件，内置医院常见项目管理流程及模版，并可灵活定制；提供项目进度