医疗卫生行业局域网建设案例.docx
《医疗卫生行业局域网建设案例.docx》由会员分享,可在线阅读,更多相关《医疗卫生行业局域网建设案例.docx(56页珍藏版)》请在冰点文库上搜索。
医疗卫生行业局域网建设案例
医疗卫生行业局域网建设案例
医疗卫生行业应用需求分析
随着医疗体制改革的不断深入,我国已经开始从公费医疗体制转向社会保障体制,并通过建立医疗保险制度,将医疗保险费用逐步推向社会,对药品的采购也逐步向医药分家的方向准备。
同时,在市场经济的外部环境下,医疗卫生机构如何通过信息化建设完善内部的管理,降低管理成本,提高对市场的反应速度,占据竞争优势,开发新的、更方便快捷的服务项目,为广大人民群众提供优质医疗、卫生、保健服务,是一个很重要的课题,是一件利国利民的大事。
分析医疗卫生机构的业务,医院的信息化应用主要包括两个方面:
医院管理信息化和临床管理信息化。
医院管理信息化包括三个方面:
1、医院内部方面,实现医院内部的行政、财务、HR、图书馆、药房、床位、医疗器械等等的电子化管理。
2、医院与上下游供应商方面,实现药品、医疗器械、耗用品的采购的电子化管理。
3、医院和用户即病人方面,实现收费、社保医疗卡划账、信息查询等的电子化管理。
这三个方面互为表里,相符相成,构成整个医院的ERP系统。
临床管理信息化:
通过医疗资讯系统、医学影像系统、医疗器械数据采集系统等先进技术实现电子病历、医疗信息无纸化传递。
这样能够提高病历信息的快速流通,减少病历数据的出错率,最大限度的治病救人。
不但如此,电子病历的建立,而且为建设全社会的、高质量的、公正的个人医疗保健信息数据库提供了可能。
有助于医疗机构由医疗卫生事业向医疗卫生保健事业的进步。
医疗保健行业,是全球规范化程度最高的行业。
根据医疗系统的信息化水平发展划分,医疗系统的信息化建设分为两个阶段:
E-Hospital阶段
建设医院内部的快速可靠的计算机网络通讯系统,实现医院管理信息化和临床管理信息化。
将传统的医院建设成为电子医院,用电子化信息取代传统的信息,提高工作效率。
建设医院的Internet门户网站,宣传医院,向公众提供网上门诊预约服务等等。
对外改进病人服务,例如解决群众反响最大的看病等待时间长和之后的付款取药时间长的问题,并能够更多的新业务;对内提高医院内部的效率,提高诊疗的成功率。
E-Health阶段
通过先进的广域网传输技术和Internet技术,实现对家庭、企业、社区、偏远地区实现远程的医疗信息资源的充分共享,通过互联网连接病人和医生,实现远程联合诊疗。
为医生和病人建立了许多门户网站,以便收集特定医疗条件的信息。
更好的实现远程医疗。
另外,还可以汇总医疗信息,提供利于医学研究的数据和案例,与医学研究机构实现合作。
通过对病人的电子病历的建立,以及对该人治疗后的跟踪体检,建立个人医疗保健信息库。
对于健康人可以通过日常体检建立个人医疗保健信息库。
由此逐渐完成群体、企业、社区、乃至社会个人医疗保健信息数据库。
根据个人医疗保健信息库,医院可以有计划为个人提供保健咨询和服务。
将医院由传统的病后的治病救人职能转变为更积极主动的卫生保健职能,为增强全民体质提供服务。
实现医院由医疗中心向健康中心的转变。
医院需要的是一套可以提供高速、可靠的技术,使医院、所有工作人员能够在办公区不同楼宇之间访问患者数据库的解决方案。
该方案应该能够实现员工在固定和移动的条件下能够从医院办公区内的任意一点访问并获取信息。
一家医院是无法承受因丢失患者病例或极具价值的医疗研究结果而带来的损失的。
根据以上分析,为了实现医疗系统的信息化,必须建设一个快速可靠的医疗网络系统,该医疗网络系统的建设将服务于关乎人命的现场医疗过程。
所以医疗网络系统必须具有以下特点:
高性能
医院中同时使用网络的人数多,产生了巨大的流量,大量地占据了网络带宽。
而且经常会通过网络来传输和下载向X光图像之类极占带宽的图像文件;或者传输动态的、高清晰度的医疗过程影像。
这些关键的多媒体应用需要以极小的延迟在网络中传输。
高可靠性
建设网络系统是为了服务现场医疗过程,如果网络系统不可靠,将对治疗产生影响。
你无法想象在患者需要紧急治疗时,因为获取他的病历,或安排手术室而耽误时间的后果。
也可以想见,如果老百姓拿着医疗保险卡到医院看病时遇到了网络、信息系统的问题,就会把怨气发泄到医院一方。
所以医疗网络系统必须具有很高的可靠性。
越是信息化程度高的医院越是要保证网络系统的无间断运行。
高安全性
由于医疗机构存储了大量的关键性的数据,或需要保密的数据。
各医院要保护他们的网络,防止黑客和非法用户的闯入。
例如一些病人的医疗信息涉及隐私;一些医疗数据具有研究价值、经济价值;一些门诊预约信息和病人的收费划帐信息都需要保护。
强大的QoS能力
现代远程医疗涉及实时动态医疗影象的交互传输、实时语音的交互传输,以及过往医学案例的实时检索和点播。
所以,随着远程医疗、视频会议和VOD等越来越多的多媒体业务的网上运行,QoS的重要性也日益增加。
当业务量猛增的时候,可能会造成时延、抖动、丢包等现象,对实时的、时延敏感的网络应用,如传送多媒体信息和IP电话,产生严重的影响。
为了保障多媒体网络正常使用,必须制订相关QoS策略。
可扩展性
随着未来业务的增长,网络系统需要平滑地扩充和升级。
接入方式灵活
网络系统中不仅需要有线网络,某些地方还需要无线接入。
例如手术室、病房。
无线网络接入方式,可以避免传统网络对用户接入布线的依赖,也就是说用户不必特地寻找网口,可以随时随地上网,提供最大限度的自由医疗活动。
易管理
网络系统中的设备众多、分布广,如何方便、集中地管理是一个必须解决的问题。
高性价比
网络系统的建设,特别是中小医院,要更有效地利用资金,选用高性价比的网络设备。
优质服务
网络系统建成后,网络的使用和维护是用户面对的主要问题。
集中式网络连接
大多数中小企业都采用较为集中的办公方式,即所有部门和人员都在同一座建筑内办公。
由于网络的整体规模有限,局域网的覆盖范围不广,所以比较适合采用集中式网络,如星型网和总线网。
集中式中小型办公网中各个节点之间的连接距离通常小于100m,因此可以全部采用5类UTP双绞线进行布线,集中式网络通常包括网络中心和楼层设备间的两层结构。
网络中心交换机可采用千兆交换技术构成高速骨干网,用以连接服务器与楼层接入设备。
中心交换机应具有大容量的交换背板,采用模块化机箱设计,可以支持多种速率和传输介质,而且端口密度高且扩展灵活。
楼层接入交换机应具有千兆端口,能够通过堆叠或增加模块来提高接入端口的密度,还应支持SNNP等网管协议,以便通过网络对所有设备的状况进行监控和管理。
分布式网络连接
分布式办公是指企业在一个较大的范围内具有多处办公地点,适合采用分布式网络连接方式。
由于各个办公点间的连接距离通常大于100m,所以需要采用同轴电缆或光纤进行布线。
分布式网络通常具有网络中心及楼宇接入节点两个层次,如果楼宇规模较大,还可能出现第三个层次----楼层间接入设备。
采用分布式网络方案的企业,各部门往往分别位于不同的建筑中,由于各建筑与网络中心之间的距离大于100m,故采用基于多模光纤传输的1000Base-SX(多模光纤千兆以太网技术)建立千兆网主干。
中心千兆交换机可安装100/1000Base-T(双绞线千兆以太网技术)千兆铜缆模块以连接服务器,另需选配1000Base-SX模块以连接其他建筑,还可选配10/100Base-TX(双绞线快速以太网技术)模块实现本建筑内的接入。
该方案采用光纤网络扩大网络覆盖范围,如果连接超过550m,则可选用单模1000Base-LX长波千兆光纤技术实现五公里内的连接。
此外,对于一些实时性较强的网络环境,如金融、证券、电子商务等企业的局域网,对网络连接的可靠性和稳定性要求很高。
此时可以采用生成树、端口聚合等技术,而中心交换机还可以用双电源冗余的方式来提高安全性。
当主链路发生故障时,便可以自动接通备份链路,确保网络正常工作。
端口聚合则可以将多条链路聚合为一组干路,还可以提高网络带宽,更重要的是,端口聚合可以实现负载均衡,从而可大大提高网络的可靠性。
根据实际情况决定局域网的建设方案(案例)
1、需求分析与网络规划
下面我们根据企业的实际情况,进行网络的规划。
例如某企业目前总共有大约60多台计算机,分散在几个楼层、若干个办公室里,估计在组建局域网后,公司的计算机总数量会达到100台左右。
从这个情况分析,10/100Mb/s的传输速率对于用户数量在300个以下,网络规模较小,网络应用主要以Web浏览、E-mail收发、文件共享等为主的局域网来说已经是绰绰有余了。
所以,我们决定选择百兆以太网。
至于其他设备,以覆盖三层楼面的办公网为例,每一层都由一台24口的交换机将办公区里的十几台计算机连接起来。
考虑到更好的电磁特性和可升级性,所有的连线均采用5类UTP双绞线或超5类双绞线,并且严格按照EIA/TIA568规范进行综合布线,以保证网络的规范性、可靠性和安全性。
交换机可以说是该网络结构中的核心设备,这里可以使用10/100Mb/s以太网和快速以太网自适应双速交换机。
它能自由地工作在10/100Mb/s速率下,不需要配置特殊的管理软件。
以双速交换机为骨干建立起来的小型办公网,对个人通信量不大的客户机可以配置10/100Mb/s网卡,而服务器为了更好地响应多用户的请求,宜配置高性能的100Mb/s以太网卡。
可见,这样的网络解决方案有一定的弹性,而且使用效率较高。
2、确定网络的建设成本
确定网络的结构后就可以初步确定建设成本。
在网络规划中,网络建设的成本是一个不容忽视的问题,因为各个公司投入网络建设和管理的资金有限,所以尽可能地细化项目是很必要的。
至于交换机、防火墙、布线其中包括水晶头、网线、配线架、机柜和信息插座等硬件购置费用,服务器、PC机以及打印机等设备的价格,加上系统的集成费用,都必须作为整个网络建设所需的资金,进行很好的预算才行。
总之,我们必须在有限的资金范围内,规划与设计并建设好企业的局域网。
金融行业局域网解决方案
1.背景分析
经过二十多年的建设,计算机网络极大的促进了金融企业的业务开展和办公效率提升,成为各个银行、保险等金融行业企业信息化建设的基石。
近年来,各主流金融企业加快了数据集中的建设步伐,加速了各种新的应用系统的上线,这些措施有效的支撑和促进了金融企业各项新兴业务的开展,保障了金融企业在复杂的竞争环境下的发展。
同时,新兴业务的开展和企业管理建设,也给金融企业的计算机网络建设带来更多的要求。
数据的集中给分支机构局域网带来了了更多的前置机、服务器,使局域网的作用变得空前重要;同时,局域网需要承载如OA办公、视频监控更多的业务。
这样一来,作为重要的业务数据处理和办公管理节点,分支机构局域网建设,如银行一级分行的局域网/数据中心建设、保险企业的省级分公司的局域网建设,也就愈发成为网络规划的重点。
2.现状分析
典型的金融行业局域网采用层次化的方式,将局域网分为纵向的三个逻辑层面,分别为核心层、汇聚层和接入层,以区分对不同层次网络的功能和性能等的要求。
金融行业局域网纵向层次划分
核心层的主要用于高速交换,要求设备快速、稳定、可靠。
而实施复杂的访问控制和流量控制功能并不是核心层的关注点。
汇聚层重要作用的是实现与核心层的交汇分界区,汇聚IP地址或路由、实现VLAN间的路由、实现到核心层的路由策略。
同时肩负着大量纵向层级之间、横向区域之间的安全访问控制(ACL)策略和保护各区内重点应用的策略。
接入层的主要任务是提供各种方式的二层接入、同时实现基于接入端口的二层隔离,并完成大部分的接入安全策略的部署。
金融行业局域网功能区域划分
其中:
生产区主要是提供各种服务器的网络接入。
其内部可细分为生产服务器区、办公服务器区和网络管理类服务器区。
为保证服务器和数据的安全,在安全隔离层采用防火墙设备,对生产区和核心交换区之间进行隔离,避免非法互访的发生。
办公区主要负责分支机构局域网用户接入,包括所在办公大楼和同城城域网办公用户接入。
可在办公区汇聚交换机与核心交换机之间采用ACL或防火墙等专用安全设备,实现对局域网核心交换区的保护。
广域网区实现分支机构上联全国数据中心,下联次级分支机构、网点。
从全行网络架构上分析。
该区域分为上联区、下联区、汇聚交换区。
外联网区主要是实现业务的外联,包括同行业的往来业务、重点客户的业务、中间代理业务等的互连平台,需要通过运营商提供的线路与外联伙伴互联。
互联网区是分支机构访问Internet的出口和企业门户网站的平台,需要通过ISP与Internet连接。
测试区用于部署测试、开发所需要的服务器、开发平台等,测试区与其它区域逻辑隔离或者完全的物理隔离。
3.需求关注
现阶段金融行业局域网的需求集中在以下几个方面:
保证局域网的可靠性。
设备本身的高性能、双链路上连和双设备/引擎备份等方式,是传统的实现网络高可用性的方式。
如采用双核心双链路架构的MSTP+VRRP的技术能够保证出现问题情况下双核心的切换,切换时间需求仍然到秒级。
面对现有金融局域网中大量出现的语音视频类业务,毫秒级别的时延就可能导致业务流的应用中断。
如何在原有基础上进一步提高在出现异常情况下,减少设备/链路切换的时间,保证对时延十分敏感的语音、视频等业务不会出现中断,也是局域网管理者关系的问题。
同时,针对无线等新兴的局域网接入方式,如何实现其高可用,保证企业的相关投资,是在局域网中引入新兴接入方式需要考虑的要点。
网络安全的可实现性。
安全层次和功能区域的划分和重点区域的安全隔离为生产/办公等业务的隔离提供了基础,而专用的防火墙、入侵检测系统、防毒墙等设备专注于应用层面的安全,其防护限于设备本身的相关策略。
而对各项业务的基础承载平台,始终缺乏相应的安全保证措施。
随着业务的增多和网络安全形势的日趋严峻,网络基础架构的安全也越来越影响到业务的继续。
木马和恶意脚本带来的信息的外泄,病毒发起的内网扫描则可能造成网络设备的不稳定甚至是宕机。
针对各种接入局域网的方式缺乏统一的安全准入机制,更让管理员头痛的事情是发生了安全事件却无法进行迅速的定位和处理。
后续也缺乏网络审计的依据。
管理的精细化和便捷性。
设备和链路的管理只是网络管理的工具,但越来越复杂的业务和各种业务对网络基础架构带来了更加精细化管理的需求。
针对网络性能现状的分析、网络未来的规划,需要详细的数据的支撑。
问题和故障的排除,也需要精细化的手段进行。
锐捷网络分析数据集中和新兴业务的发展给金融企业局域网带来需求,致力让网络成为稳定且强有力的业务支撑平台。
综合锐捷网络多年来服务于金融行业的实践经验,我们在金融行业局域网的建设中,主要着眼于以下几个方面:
高可用-基于设备性能的基础,提供具有前瞻性的网络架构设计和可用性保障机制;
高安全-提供基于基础网络的硬件安全保证和统一的全局安全管理;
易管理-提供精细化、模块化的网络管理机制。
4.方案架构
基于高性能的硬件接触平台,提供多种网络接入方式,结合高可用、高安全和易管理等特性的锐捷网络金融行业局域网整体架构如下:
金融行业局域网架构图
通过局域网智能IP网络平台的打造,相比传统设计方式,融入了更多针对高可用、高安全和易管理考虑后的网络解决方案,能够给金融企业带来更好的网络业务支持。
5.方案拓扑
金融行业局域网解决方案的物理架构
局域网的设计遵照纵向层次化划分和横向功能区域划分的原则。
纵向分为核心层、汇聚层和接入层,横向分为7个或更多区域。
可提供局域网有线网络和未来可扩展的无线接入两种接入方式,提供统一准入控制和安全管理。
金融行业局域网网络拓扑
核心采用两台锐捷网络面向十万兆平台开发的S8614/S8610系列高密度多业务路由交换机。
根据局域网规模的不同,汇聚采用S8606或S5750系列交换机,承担针对不同功能区域的大量转发和安全策略。
接入采用S2900全千兆安全智能交换机或S2600安全智能交换机,为桌面用户提供千兆/百兆的接入。
未来在会议室、办公区等位置可采用智能管理型无线产品,采用严格的无线射频安全机制,加入全面的准入控制,给员工的移动办公提供方便。
有线/无线接入用户均采用统一的身份认证平台,采用锐捷网络GSN解决方案,提供身份准入、主机安全和通信保护。
针对设备和针对链路状况的网络管理,以及对网络内部流量的全面分析,让网管人员明确了解内部网络状况。
6.“风雨无阻”-高可用
数据集中的建设对金融行业局域网带来了更高的网络通信质量要求。
大量的基于B/S架构的业务应用,带来了更多的数据访问量。
而Notes、视频会议、视频监控等应用的大量采用,对网络中断时长要求很高。
以话音业务为例,中断50ms以上用户就能够感知到,中断200ms以上用户就会产生不满,中断4-5秒中就可能造成电话中断。
保证网络的高可用性,在异常情况发生时仍然能够保证网络通信的正常,是局域网解决方案的一个重要组成部分。
金融行业局域网网络拓扑
核心采用两台锐捷网络面向十万兆平台开发的S8614/S8610系列高密度多业务路由交换机。
根据局域网规模的不同,汇聚采用S8606或S5750系列交换机,承担针对不同功能区域的大量转发和安全策略。
接入采用S2900全千兆安全智能交换机或S2600安全智能交换机,为桌面用户提供千兆/百兆的接入。
未来在会议室、办公区等位置可采用智能管理型无线产品,采用严格的无线射频安全机制,加入全面的准入控制,给员工的移动办公提供方便。
有线/无线接入用户均采用统一的身份认证平台,采用锐捷网络GSN解决方案,提供身份准入、主机安全和通信保护。
针对设备和针对链路状况的网络管理,以及对网络内部流量的全面分析,让网管人员明确了解内部网络状况。
6.“风雨无阻”-高可用
数据集中的建设对金融行业局域网带来了更高的网络通信质量要求。
大量的基于B/S架构的业务应用,带来了更多的数据访问量。
而Notes、视频会议、视频监控等应用的大量采用,对网络中断时长要求很高。
以话音业务为例,中断50ms以上用户就能够感知到,中断200ms以上用户就会产生不满,中断4-5秒中就可能造成电话中断。
保证网络的高可用性,在异常情况发生时仍然能够保证网络通信的正常,是局域网解决方案的一个重要组成部分。
局域网核心层/汇聚层采用的锐捷网络S8600系列核心路由交换机,支持高端交换机引擎备份技术。
在设备的运行中,两个引擎中的(协议/管理)信息智能同步,主引擎出现故障备用引擎一秒内接管。
切换时,分布在每个槽的千兆/万兆线卡上数据不间断转发。
进而在双引擎的条件下,保证了在出现主引擎异常情况或交换机维护操作时,业务转发的正常。
锐捷网络TPP拓扑保护技术
针对采用双星形架构的网络,在汇聚层与接入层之间,通常采用MSTP+VRRP的方式进行双星形拓扑的保证。
由于此种模式下,汇聚层交换机设备可能会需要处理大量二层报文,部分异常二层报文的涌入,可能会导致设备CPU资源的大量消耗,从而影响设备的安全和VRRP结构的稳定。
锐捷拓扑防护(TPP)主要通过检测本地的异常现象(CPU利用率异常、帧缓冲异常等)和检测邻居设备的异常现象稳定网络拓扑。
与邻居设备的交互是通过发送特定的异常通告报文来实现的,可以有效地保护核心MSTP+VRRP拓扑在复杂攻击环境中地稳定,防止业务振荡。
锐捷网络REUP双链路快速切换技术
在汇聚层和接入层之间,出现链路问题的情况下,通过传统的STP协议,可以提供链路的冗余备份,但其收敛时间最快为30秒左右,RSTP协议完全向下兼容802.1DSTP协议,除了和传统的STP协议一样具有避免回路、提供冗余链路的功能外,最大特点就是收敛速度更快,但其收敛时间最快也为2秒左右,收敛时间均处于秒级。
而采用了锐捷双链路快速切换技术之后的锐捷网络交换机,在链路收敛方面最主要的特点和优势就是“快”,在提供可靠高效的备份和切换机制的解决方案的同时,能够提供更快速的收敛性能,其收敛时间在50ms以下,处于毫秒级。
从而保证了网络的业务正常运行。
无线网络接入方式作为有线网络接入方式的补充,可以很好的满足会议室等移动办公的情况。
在局域网方案中融入锐捷网络智能管理型无线产品,能够提高无线网络的可用性,结束无线网络“不可靠”的历史。
锐捷智能管理无线的高可用实现
通过智能无线接入点、智能无线控制器和管理平台的冗余备份设计,保证了无线接入平台的高可用性。
7.“波澜不惊”-高安全
在金融行业局域网中,大量部署传统的采用防火墙、防毒墙等专用安全设备部署的方式能够解决实现功能区域之间网络隔离和服务器应用层安全的功能。
然而对作为整个局域网IT系统的基础的网络设备自身的安全,长时间以来却缺少相应的系统机制予以保证。
业界现有的一些用于防攻击的功能模块(比如:
ACL、QOS、URPF、SysGuard、CPP等),是针对一个问题解决一个问题,没有统一的框架。
在大量新兴业务出现、功能分区增多、用户行为越来越复杂的今天,需要在局域网的设计中,考虑到网络基础架构的整体安全问题。
锐捷网络NFPP基础网络保护策略
锐捷网络通过NFPP(NetworkFoundationProtectionPolicy)基础网络保护策略,在局域网解决方案中可增强交换架构的整体安全的。
NFPP体制通过对攻击源头采取隔离措施,可以使交换机的处理器和信道带宽资源得到保护,从而保证报文的正常转发以及协议状态的正常。
基于NFPP框架实现ARP抗攻击功能、ICMP防攻击、IP扫瞄攻击及DHCP耗竭攻击。
未来结合IPFIX流量监控技术,可以基于端口进行流量检测,协助网络管理者发现网络中的非法数据源,并上报到安全管理中心,由网络设备联动整网下发安全策略,最终杜绝攻击,保证全网安全。
随着办公类业务的不断丰富,在局域网中办公区或测试区的终端PC,其越来越复杂的网络行为也在影响着整个网络的安全。
XX的网络访问、不符合安全规定的PC的接入、危险的网络应用行为等,使得局域网安全的风险大增。
如何实现全网基于真实身份的准入、对入网主机安全性的检查和对其入网后网络行为的规范,成为了局域网管理中的重点和难点。
锐捷网络GSN解决方案的功能组成
锐捷网络通过GSN(全局安全网络)解决方案,在局域网中实现对有线网络和无线网络等不同接入方式下,基于用户身份的入网终端PC的统一接入安全控制、用户端点安全防护和网络系统安全防护。
锐捷网络GSN的组件组成和功能实现
网络管理者通过锐捷安全管理平台(RG-SMP),对接入网络的用户身
升级会员 