《北京地区医院信息系统基础设施建设指南》介绍

议程信息系统架构简介第三章网络基础服务网络基础服务的作用网络基础服务的内容第四章网络系统建设实施步骤最佳实践主要内容现在是1页\一共有69页\编辑于星期三信息系统架构简介你们医院信息系统建设中存在哪些问题？重建设、轻管理重应用系统功能、轻技术系统规划设计建设中应用系统与系统平台(基础设施)相分离技术力量薄弱投资力度小没有确实可行的长远规划和年度计划……问题：现在是2页\一共有69页\编辑于星期三信息系统架构简介考虑日常工作中的问题：院长说：能否把同一职称按不同年资进行分类统计工作量和出勤比例？质控办：可否将在阑尾炎手术中有输血费的在院病人找出来？医务处、护理部：我所关心的人群的数据能否与人事处的数据实现实时同步？财务处：各种物资、器材、药品的进出库能否实时反映到财务账上？医生：疾病名称能否根据我个人的调用频率实现“高频先见”？挂号处：能否限制某个挂号员在规定的时间段只能挂某几个人的号？药剂科：能否做到某种药只能让某几个医生开？医生：能否对我负责的、做过肺切除术的肺癌病人进行自动随诊，并对回馈数据进行初筛统计？…重应用系统功能、轻技术系统规划设计现在是3页\一共有69页\编辑于星期三信息系统架构简介与《规范》的关系现状＋业务发展趋势＋医院战略IT愿景IT策略IT组织框架《规范》IT技术框架IT运行管理框架《指南》依据目的方针框架成果现在是4页\一共有69页\编辑于星期三信息系统架构简介目的是：为使信息系统对医院业务给予强有利的支持，必须为信息化的战略提供一个基础技术和流程结构使信息技术成为一个现代化医院战略资源为什么介绍框架？现在是5页\一共有69页\编辑于星期三信息系统架构简介Framework 框架Architecture 架构Structure 结构词汇说明现在是6页\一共有69页\编辑于星期三信息系统架构简介目的是：法律、法规、政策的遵从—例如，美国的Sarbanes-Oxley或theHealthInsurancePortabilityandAccountabilityAct(HIPAA)，我国的医保数据上传；医疗机构间的协作—社区的双向转诊等；医疗机构的并购；部署新的应用系统；客户界面的统一；实施自助服务门户—客户或者职员；改进数据质量；医院信息系统的重点是集成？现在是7页\一共有69页\编辑于星期三信息系统架构简介系统越来越复杂业务需求的多变要求系统越来越灵活信息系统建设中逐渐出现了矛盾现在是8页\一共有69页\编辑于星期三信息系统架构简介1987J.A.Zachman在IBMSystemsJournal上发表“AFrameworkforInformationSystemsArchitecture”提出系统架构概念1994美国国防部制定“TechnicalArchitectureFrameworkforInformationManagement(TAFIM)”1996美国国会通过Clinger-CohenAct法案1999美国CIO委员会发布FederalEnterpriseArchitectureFramework(FEAF)2002行政管理和预算局用FederalEnterpriseArchitecture(FEA)取代FEAF2003TheOpenGroup发布TheOpenGroupArchitecturalFramework,TOGAF2005Gartner与MetaGroup合并系统架构的发展史现在是9页\一共有69页\编辑于星期三信息系统架构简介系统架构的发展史现在是10页\一共有69页\编辑于星期三信息系统架构简介Zachman企业结构框架(TheZachmanFrameworkforEnterpriseArchitectures)—实际上是一个分类法开放组结构框架(TheOpenGroupArchitecturalFramework,TOGAF)—虽叫框架，但称其为“流程”更准确联邦企业结构(TheFederalEnterpriseArchitecture,FEA)—是一种企业结构实施的方法或创建企业结构的权威方法TheGartnerMethodology—被认为是建立企业结构化的实践方法四个企业架构的方法论现在是11页\一共有69页\编辑于星期三信息系统架构简介Zachman企业结构框架功能(How)数据(What)动机(Why)时间(When)人员(Who)网络(Where)抽取设计者建造者视角/关注点Objective/Scope(Contextual)EnterpriseModel(Conceptual)SystemModel(Logical)TechnologyModel(Physical)DetailedModel(OutofContext)运转的企业所有者规划者分包商现在是12页\一共有69页\编辑于星期三信息系统架构简介Zachman企业结构框架现在是13页\一共有69页\编辑于星期三信息系统架构简介联邦企业结构框架(FEAF1.1)现在是14页\一共有69页\编辑于星期三信息系统架构简介五个参考模型性能参考模型(PRM)业务参考模型(BRM)服务组件参考模型(SRM)技术参考模型(TRM)数据参考模型(DRM)联邦企业结构框架(FEA2.3)现在是15页\一共有69页\编辑于星期三信息系统架构简介联邦企业结构框架(FEA2.3)现在是16页\一共有69页\编辑于星期三信息系统架构简介企业结构包括4种形式的结构：业务(或业务流程)结构—定义业务战略、控制、组织，和关键业务流程；数据结构—对逻辑和物理数据结构以及数据的管理进行描述；应用结构—描述各个应用、其间的相互作用，以及他们与核心业务流程的关系；技术架构—描述为支持业务、数据和应用服务的部署所需要的软、硬件的能力，包括基础设施、中间件、网络、通讯、过程和标准等；TheOpenGroupArchitectureFramework(TOGAF)现在是17页\一共有69页\编辑于星期三信息系统架构简介五个参考模型性能参考模型(PRM)业务参考模型(BRM)服务组件参考模型(SRM)技术参考模型(TRM)数据参考模型(DRM)面向服务的结构(SOA)现在是18页\一共有69页\编辑于星期三信息系统架构简介TheEvolutionofArchitectureinBusinessApplications现在是19页\一共有69页\编辑于星期三《指南》概述集成不是目的，我们不得已而为之；系统结构不是一个，而是一组；建立系统结构需要采用适合自己的方法论；《指南》的技术架构是整个其中一部分；网络基础服务是整个技术架构的具体功能结构小结现在是20页\一共有69页\编辑于星期三第三章网络基础服务网络基础服务的作用网络基础服务的内容名字服务(DNS、WINS)DHCP服务时间服务(NTP、SNTP)认证服务(RADIUS、Kerberos、LDAP、CA/PKI)用户管理补丁管理病毒防范主要内容现在是21页\一共有69页\编辑于星期三第三章网络基础服务网络基础服务是控制道路交通的指挥和信号系统基础设施和应用的纽带网络基础服务的作用现在是22页\一共有69页\编辑于星期三第三章网络基础服务名字服务(DNS、WINS)DHCP服务时间服务(NTP、SNTP)认证服务(RADIUS、Kerberos、LDAP、CA/PKI)用户管理补丁管理病毒防范网络基础服务的主要内容现在是23页\一共有69页\编辑于星期三第三章网络基础服务名字服务的作用名字服务的作用是把字符串名称翻译成为IP地址，以方便用户及系统对网络资源的引用并屏蔽网络系统环境变更对系统配置的影响名字服务(DNS、WINS)现在是24页\一共有69页\编辑于星期三第三章网络基础服务为什么使用名字服务便于使用便于管理便于应急方案的实施提供更多的信息…名字服务(DNS、WINS)现在是25页\一共有69页\编辑于星期三第三章网络基础服务WindowsInternetNameService，WINSWINS是微软开发的名字服务系统，针对NetBEUI协议对主机的命名。这种主机的名被称为NetBIOS名称。WINS的作用是将NetBIOS名字解析为IP地址，WINS服务主要用于Windows2000以前版本。

如：DC1、PostMan、Web1DomainNameService，DNSDNS是被广泛用于Internet的名字服务，Internet对主机的命名称为完全限定域名(FQDN)。DNS的作用是将FQDN名称解析为IP地址。FQDN名称除包括主机名外，还包含主机所在域的名称。

如、mail.pumch、pumch医院网络环境中的名字服务现在是26页\一共有69页\编辑于星期三第三章网络基础服务WINSWINS服务的优势是简单易行，维护量极小，对于小而简单的网络可考虑使用。DNSDNS服务在医院网络中是必须的服务，对内、对外均需要提供DNS。通常情况下，WINS和DNS同时使用。使用哪种名字服务？现在是27页\一共有69页\编辑于星期三第三章网络基础服务名字服务的设置—WINS现在是28页\一共有69页\编辑于星期三第三章网络基础服务名字服务的设置—DNS现在是29页\一共有69页\编辑于星期三第三章网络基础服务NetBIOS和DNS的比较NetBIOSDNS类型平面层次组成字符限制Unicode字符、数字A～Z，a～z，0～9和连字符“-”最大长度15个字符DNS域名的每一节最大长度为63字节，FQDN长度最大为255字节名字解析方式广播WINS服务器Lmhosts文件DNS服务器Hosts文件适用范围局域网Internet通讯协议端口UDP137UDP53现在是30页\一共有69页\编辑于星期三第三章网络基础服务WINS部署和管理比较简单，但要注意一下问题：WINS服务的冗余；WINS数据的备份；WINS与DHCP的配合；对不同操作系统的支持(可能需要Lmhosts文件的配合)。可用域控制器(DC)兼任WINS服务器。WINS的部署现在是31页\一共有69页\编辑于星期三第三章网络基础服务WINS部署和管理比较简单，但要注意一下问题：WINS服务的冗余；WINS数据的备份；WINS与DHCP的配合；对不同操作系统的支持(可能需要Lmhosts文件的配合)。可用域控制器(DC)兼任WINS服务器。WINS的部署现在是32页\一共有69页\编辑于星期三第三章网络基础服务DNS的部署和管理要比WINS复杂的多，因此需要很好的规划。需主要考虑如下问题：应用系统对DNS的需求；应用环境对DNS的需求；网络环境对DNS的需求；网络应用(如Email、ISA)对DNS的需求；内部DNS和外部(Internet)DNS的关系;DNS的安全和扩展性考虑；DNS的管理；可用域控制器(DC)兼任DNS服务器。DNS的部署—规划现在是33页\一共有69页\编辑于星期三第三章网络基础服务Lmhosts和hosts是名字服务出现前的解析方法，是静态解析名字的文件，DNS和WINS是动态解析名字的服务。位于：C:\WINDOWS\system32\drivers\etc服务器的配置有时采用；机器很少，又采用静态IP时仍然可以使用；Lmhosts和hosts现在是34页\一共有69页\编辑于星期三第三章网络基础服务解析NetBIOS名字是LANManagerNET实用程序是Windows95/98/ME的主要解析方法对应WINS解析FQDN名字是TCP/IP实用程序是Windows2000以后的主要解析方法对应DNSLmhosts

hosts现在是35页\一共有69页\编辑于星期三第三章网络基础服务使用名字服务应注意的问题指向最近(快)的服务器；服务器的“位置”应相对稳定；内、外DNS

要严格分开；通过IP

地址、端口过滤实施DNS

保护；名字服务(DNS、WINS)现在是36页\一共有69页\编辑于星期三第三章网络基础服务DNS命名空间DNS命名空间就是DNS域名及结构；DNS域名是以树状结构进行管理的。DNS的部署—内容现在是37页\一共有69页\编辑于星期三第三章网络基础服务什么是域名？表示一个单位、机构或个人在Intenret上确定的名称或位置。用于解决Internet中地址对应问题的一种方法。医院若想在Internet上有一个确定的名称或位置，需要进行域名登记。域名登记工作是由经过授权的注册中心进行的。国际域名的申请由InterNIC及其他由“Internet国际特别委员会”（IAHC）”授权的机构进行；我国域名的注册工作则由中国互联网络信息中心（CNNIC）负责进行。而域名分为国际域名及在国家顶级域名之下的二级域名（国内域名）。DNS的部署—Internet域名现在是38页\一共有69页\编辑于星期三第三章网络基础服务域名的种类域名的种类大体上分为：普通域名、中文域名、通用网址和无线网址。普通域名也称为英文域名，是传统的域名体系形式，目前绝大多数的网上资源仍在使用普通域名。中文域名是符合国际标准的一种域名体系，使用上和英文域名近似，作为域名的一种，可以通过DNS解析，支持虚拟主机，电子邮件等服务。通用网址是一种新兴的网络名称访问技术，通过建立通用网址与网站地址URL的对应关系，实现浏览器访问的一种便捷方式。是基于DNS之上的一种访问技术。通用网址本质上是一种应用服务，它是针对简化浏览器URL地址输入和便于记忆的服务。“网络实名”、“快捷网址”是各个公司对通用网址的不同称谓。在技术实现方案方面，各家公司也采用了不尽相同、甚至大相径庭的技术方案。无线网址也称为短信网址，是利用短信方式为移动终端设备，快捷访问无线互联网而建立的寻址方式，它是基于无线互联网的IP及域名体系之上的应用标准。

无线网址又包含本地网址，与一般无线网址不同的是，本地网址可以在不同的地区分别注册，如分别访问A地区或B地区的本地网址，其访问结果是不同的，具有信息的地域性。DNS的部署—Internet域名现在是39页\一共有69页\编辑于星期三第三章网络基础服务域名的注册注册域名是任何要在Internet上建立站点的医院必做的第一步。

首先，要明确的一个问题是要注册一个什么样的域名，然后填写域名注册申请表，递交到域名服务公司，并需要交纳一定的费用。手续完成后，申请的域名很快就可以使用了。虽然中国互联网络信息中心（CNNIC）是我国域名注册管理机构和域名根服务器运行机构，但不直接面对最终用户提供域名注册相关服务，域名注册服务由CNNIC认证的域名注册服务机构提供。这些机构的联系方式在CNNIC网站（cnnic/）中有详细列表，医院可以与就近的注册服务机构联系相关注册事宜。仅在医院内部使用的域名不需要注册。医院可申请一个(或多个)Internet域名，也可以在局域网内部创建私有DNS命名空间。不过对于Internet而言，私有DNS命名空间是不可见的。DNS的部署—Internet域名现在是40页\一共有69页\编辑于星期三第三章网络基础服务通常情况下医院网络环境中存在内部域名和外部（Internet）域名。两者的关系一般有两种情况：将内部域名作为外部域名的子域内、外域名相互独立前者易于部署和配置，后者安全性较高、有利于管理和控制。域名—局域网内部的命名现在是41页\一共有69页\编辑于星期三第三章网络基础服务域名的管理主要是外部域名的管理，涉及的问题有以下几方面：服务器变化；对外服务的增减；变更Internet服务商引起的IP地址改变；改变接入方式可能引起的IP地址；增加、减少以及变更域名；其它情况；如注册内容、联系人或联系方式的变更，以及域名的续费等。医院要指定专人对域名进行管理。域名—域名的管理现在是42页\一共有69页\编辑于星期三第三章网络基础服务DNS的部署—Split-DNS现在是43页\一共有69页\编辑于星期三第三章网络基础服务DNS的部署—DNS策略解析现在是44页\一共有69页\编辑于星期三第三章网络基础服务WINS的安装现在是45页\一共有69页\编辑于星期三第三章网络基础服务WINS的安装现在是46页\一共有69页\编辑于星期三第三章网络基础服务DHCP是DynamicHostConfigurationProtocol(动态主机配置协议)的缩写，是一种用于简化主机IP配置管理的IP标准。通过采用DHCP标准，可以使用DHCP服务为网络上启用了DHCP的客户端动态分配IP地址和其他相关配置细节。DHCP服务现在是47页\一共有69页\编辑于星期三第三章网络基础服务有如下情况时应采用DHCP服务：网络中主机数量过多；需要支持移动用户；网络中有需要DHCP服务的应用；何时采用DHCP服务？现在是48页\一共有69页\编辑于星期三第三章网络基础服务静态分配缺点管理工作量大；易出现地址冲突；不支持移动用户；降低网络的灵活性；优点不受非法DHCP影响；可实施地址绑定控制动态分配优点易于管理；不易出现地址冲突；支持移动用户；集中式管理组网灵活缺点可能被网络中非法DHCP服务影响；服务器故障会导致客户端上网。静态分配？动态分配？现在是49页\一共有69页\编辑于星期三第三章网络基础服务网络设备缺点不易于管理；配置相对复杂；无法与名字服务集成。优点故障时影响面小；抗病毒能力强专用服务器优点易于管理；配置简单；可与名字服务集成；缺点服务器故障会导致客户端上网DHCP服务的提供现在是50页\一共有69页\编辑于星期三第三章网络基础服务在网络环境中很多应用需要有统一的时间环境，事件追踪、审计也需要准确的时间。网络中一些协议的运行需要更加精确的时间，例如，KerberosV5认证协议。将网络环境中的各种设备或主机的时间信息（年月日时分秒）与协调世界时（UniversalTimeCoordinated，UTC）的时间偏差限定在足够小的范围内（如100ms），这种同步过程叫做时间同步。时间服务现在是51页\一共有69页\编辑于星期三第三章网络基础服务时间服务的作用：网络管理系统的日志审计；应用认证过程；与时间有关的应用系统：IDS/IPS及医嘱处理的应用；网络备份系统：在备份服务器和客户机之间进行增量备份时要求这两个系统之间的时间同步；计费系统：网络计费系统中也要用到数字时间戳服务。时间服务—作用现在是52页\一共有69页\编辑于星期三第三章网络基础服务时间服务的部署需要考虑如下问题：尽量选取非常精确的时间源；如何将精确的时间传送到需要时间服务的设备或主机，且减小传输过程中的误差；选用绝对时间同步的时间设备，充分利用设备的时间校准机制自动实现时间同步，排除人工因素。时间服务—部署现在是53页\一共有69页\编辑于星期三第三章网络基础服务时间同步的实现一般使采用分层结构，不同位置的网络节点会选择不同的时间源客户端的时间源对运行Windows系统的客户端最好采用Windows域管理，域中的客户端会自动以域控制器（DC）作为时间服务器，并自动地与之进行时钟同步。时间服务器的时钟校准院内的时钟服务器可与外界时间源同步：

通常可选中国科学院国家授时中心的时间服务器（）作为标准时间源。有科研教育网（CERNET）出口的教学医院也可以选择下表中的时间服务器时间服务—时间源的选取现在是54页\一共有69页\编辑于星期三第三章网络基础服务用户管理认证、授权、记账（AAA）用户上网行为的监控与管理资源访问行为管理用户端的管理设备硬件及操作系统的维护与管理应用系统软件的维护管理接入网的控制用户管理现在是55页\一共有69页\编辑于星期三第三章网络基础服务建立统一的认证中心是用户管理前提，也是安全的基础。建立统一的认证中心需考虑如下问题：权限管理、用户角色的规划支持多种认证协议。如LDAP、RADIUS及802.1x等支持集中及分层管理支持证书的分发与管理设备认证用户管理—认证中心现在是56页\一共有69页\编辑于星期三第三章网络基础服务存在多种身份的识别用户身份(MAC、IP)设备身份网络身份应用身份用户管理—身份的识别现在是57页\一共有69页\编辑于星期三第三章网络基础服务主要集中在两个方面：院内资源访问行为，如监控软件和硬件的非法安装、私自变更上网上网参数，如IP/MAC地址等。Internet访问行为，如网络资源的滥用和访问非法网站等。用