人民医院能力建设项目信息平台.doc

人民医院能力建设项目信息化平台建设方案重庆市某某区（县）人民医院重庆市博恩科技集团有限公司2011年5月目录第一章建设项目概述4一、前言4二、建设内容及目标5(一)系统建设内容51.第一部分为系统硬件支撑平台建设52.第二部分为应用系统软件平台6(二)医院能力建设项目信息化平台建设目标61.核心网络平台62.医院门户网站安全平台63.实现基于SOA的整合一体化应用系统平台74.医院统一的门户网站应用系统平台75.数据交换中心76.中心机房7三、系统总体框架8(一)总体框架建设8(二)网络总体框架示意图9第二章系统硬件支撑平台建设9一、设计原则91.先进性和成熟性102.高性能103.可靠性和稳定性104.安全性和保密性115.可扩展性和可管理性116.结构化设计11二、网络架构设计12三、网络设备选择131.核心层设备选型142.汇聚交换机设备选择153.接入交换机设备选择164.网络出口设备选择18四、网络路由及地址规划181.IP地址规划182.信息化网络平台VLAN划分203.路由选择214.QOS规划235.本信息化网络平台解决方案优势25第三章网络安全建设28一、概述28二、安全风险因素分析291.物理安全风险292.主机安全风险293.网络安全风险304.应用安全风险305.数据安全风险316.安全管理风险31三、网络安全体系设计311.网络安全体系322.信息化平台安全主要技术构成33四、数据及应用安全体系设计43方案优势48第四章弱电设计方案50一、项目内容及实现目标50二、系统的总体设计原则51三、综合布线系统设计52(一)综合布线521.方案的要点522.各子系统设计52(二)机房防雷地线系统581.防雷方案设计依据582.防雷方案设计思想59(三)闭路电视监控系统631.系统概述632.系统建设目标和总体功能633.设计标准及规范654.系统方案的设计66第五章软件系统（略）68第六章预算69第一章 建设项目概述一、 前言依照2009年中共中央 国务院关于深化医药卫生体制改革的意见中关于加强县级医院能力建设的要求，以及卫生部2010年县医院能力建设项目信息化建设技术方案、基于电子病历的医院信息平台建设技术解决方案（1.0版）、陈竺部长在2011年全国卫生工作会议上的工作报告：奋发努力，开创卫生事业科学发展新局面文件精神，以及重庆市卫生信息系统“服务民生、统一规划、集成开发、共建共用”的建设思路，重庆市县医院能力建设项目信息化建设将于2011年全面达到卫生部规定的高级水平，即在遵循重庆市市区两级卫生信息交换平台相关规范和标准的前提下，围绕电子病历全面建设临床信息系统、医学影像传输与存储系统、检验信息系统、体检系统、电子病历管理系统、医院智能决策支持系统、医疗行为监管系统等，并实现区域医疗卫生信息共享、远程医疗、双向转诊，落实“保基本、强基层、建机制”的目标。当前，我院经过多年的发展，在信息化建设上的投入逐年追加，初步实现了HIS（电子病历、PACS、LIS）等系统，承担着我院临床业务运行的重要平台。随着国家对医疗卫生系统的重视，以及信息化新技术的发展如云技术、虚拟化等，以及双向转诊、远程医疗等新型医疗模式正成为今后的趋势，也对我院信息化建设提出了更高的要求。同时，临床业务的开展直接与“人命”相关，业务中断或暂停将会造成非常严重的后果，因此医院最为核心关注的问题之一就是如何保障医院临床业务的7*24小时不间断、稳定的运行。因此作为临床业务的支撑环境医院IT环境的稳定、可靠，也同样成为医院最为核心的关注点。也是医院信息化建设中首要考虑的问题。根据重庆市卫生局基于卫生部2011年重庆卫生信息试点项目技术方案（县级医院能力建设）相关原则要求，结合我院实际情况，特拟定本建设方案，以期达成高级信息化水平的县医院的要求，同时向标准化方向建设，接入重庆市市区两级卫生信息交换平台。二、 建设内容及目标(一) 系统建设内容本次信息化系统建设的主要内容为两部分：1. 第一部分为系统硬件支撑平台建设 网络平台建设 信息安全建设 服务器及数据存储备份系统建设 中心机房建设2. 第二部分为应用系统软件平台(二) 医院能力建设项目信息化平台建设目标本次电子政务系统建设完成后可实现以下目标：1. 核心网络平台 统一的网络平台根据基于卫生部2011年重庆卫生信息试点项目技术方案（县级医院能力建设）的有关要求，提升我院满足未来FULLPACS系统应用传输带宽的要求，以及先进性和网络资源预留，为后期各种网络应用系统的部署奠定坚实的基础。拟建成骨干光纤网络，1000M桌面的能力，以满足各横向纵向网络传输的需求，承载语音、视频和数据的传输，在安全的前提下实现信息数据高度共享。 统一的安全体系根据基于卫生部2011年重庆卫生信息试点项目技术方案（县级医院能力建设）有关信息安全的原则，参照计算机信息系统安全保护等级划分准则（GB 17859-1999）以及结合我院的实际情况，建立健全我院信息化系统的网络安全、应用安全、数据安全、主机安全以及安全认证、VPN、应急和灾难恢复以及日常管理维护体系。2. 医院门户网站安全平台建成高效、通畅的对外医院门户网站以及安全平台，保证对公众服务的连续性、正确性、完整性。3. 实现基于SOA的整合一体化应用系统平台围绕“以病人为中心，以疾病和治疗为主线，以安全和质量为主题”这个思路进行设计，以电子病历为中心，业务支持为核心，医院医疗行为监管为目标 ，为医院管理提供可持续更新的管理支撑体系，提高医院的服务质量和效率，提升医院的形象和竞争力。4. 医院统一的门户网站应用系统平台按照基于卫生部2011年重庆卫生信息试点项目技术方案（县级医院能力建设）的原则，建立对医务人员门户、医院管理门户、患者公众服务门户，以实现我院实现对外宣传、医务公开、双向转诊、远程医疗等对内管理、对外公共服务的信息化、网络化平台。5. 数据交换中心根据业务的发展，可满足未来数据安全交换共享，建立标准化的数据交换体系和严格的安全体系。6. 中心机房按照国家关于计算机机房B类要求，建设一个不低于40M2的标准化机房。根据系统建设需求，适度超前，配置相应软硬件，为全院信息化系统建设提供安全可靠的物理环境。三、 系统总体框架(一) 总体框架建设按照基于卫生部2011年重庆卫生信息试点项目技术方案（县级医院能力建设）有关要求，结合我院实际，本信息系统总体框架建设如下：(二) 网络总体框架示意图第二章 系统硬件支撑平台建设一、 设计原则我院信息化网络平台网络系统的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，在技术上、系统能力上要保持五年左右的先进性。并且从用户的利益出发，一个好的系统应当给用户一定的自由度，而不是束缚住他们的手脚，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。根据信息化网络平台的总体需求，结合对应用系统的考虑，我们提出网络系统的设计目标是：高性能、高可靠性、高稳定性、高安全性、可管理、可增值的信息化网络平台和应用系统。我们遵循以下的原则进行贵医院信息化平台设计：1. 先进性和成熟性系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证贵医院网络建设的领先地位，网络主干设备选用高带宽的、千兆位及万兆位线速路由交换技术。服务器和存储应选用国际先进的技术、高性能CPU、高速并行处理技术、和先进冗余技术等。2. 高性能系统建设应始终贯彻面向应用，注重实效的方针，保证系统具有足够的数据传输带宽，并为可预计的业务提供足够的系统容量和提供QOS,COS服务品质，建设贵医院的高性能网络系统，保护用户的投资。3. 可靠性和稳定性在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间。方案中涉及核心层设备，要求提供电源备份，模块的热插拔维护。在网络结构设计中，也考虑了一定的冗余和负载均衡，保证网络和系统高可用性。4. 安全性和保密性在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，如划分VLAN、MAC地址绑定、802.1x、802.1d、802.1w、802.1s、VRRP、ACL、PORT+IP+MAC绑定等。5. 可扩展性和可管理性为了适应系统变化的要求，必须充分考虑以最简便的方法、最佳的投资，实现系统的扩展和维护，建议全线采用可网管产品，提供堆叠、集群功能，降低了人力资源的费用，提高网络的易用性、可管理性，同时又具有很好的可扩充性，实现网络的可维性。服务器的扩展性能强，比如可因业务量的增加将CPU的数目增至4路进行大规模并行处理，其他优异特点可参考其性能指标；RAID盘阵的扩展性能也极其强劲。6. 结构化设计结构化的设计思想是将整个网络划分成不同的层次，各个层次各司其职。对于贵医院信息化网络平台来说，网络主要由以下三个层次组成：1） 接入层：连接各端末设备，做为网络智能安全接入和策略的边缘。2） 汇聚层：为接入设备提供汇聚端口，提供各项网络策略；3） 核心层：连接各接入设备和服务器群设备n提供路由管理、网络服务、网络管理、数据高速交换、快速收敛和扩展性，完成高速转发。二、 网络架构设计网络结构化的设计思想是将整个网络划分成不同的层次和区域，各个层次和区域各司其职。根据我院的网络规模和实际应用情况，我院信息化平台采用分层网络架构设计，包括核心层和接入层：核心层：连接各接入设备和服务器群设备n提供路由管理、网络服务、网络管理、数据高速交换、快速收敛和扩展性，完成高速转发。汇聚层：为接入设备提供汇聚端口，提供各项网络策略。接入层：连接各端末设备，直接与用户机对接。做为网络智能安全接入和策略的边缘。根据我院的网络规模和实际应用情况，我院信息化平台采用分区域架构设计，包括核心区域、网络出口区域、应用系统区域以及接入区域。三、 网络设备选择遵循网络的层次化、模块化的设计思想，采用标准的三级网络架构，同时为后期的网络扩展做好准备，为用户提供高速无阻塞的数据交换。设备的选型是网络设计当中非常关键的部分，严格的选型可以达到最佳的效果，即系统相对独立，升级简便，组网方式灵活，以保护现有投资和未来的发展。所以为了满足贵医院目前的需求，立足长远发展，网络设备的选型除了依据提出的需求外，还需遵循上面的设计原则。根据贵医院需求分析，需要对2个类型交换机和出口设备进行设备选型：1）核心交换机；2）汇聚交换机；3）接入交换机 4）出口设备。为了满足贵医院需求和长远利益，核心层推荐使用H3C S7506E-S高性能万兆交换机，汇聚推荐使用H3C S5500-EI 以太网交换机,接入层推荐使用H3C E系列安全智能交换机， 而网络出口采用集传统防火墙、VPN、病毒防护、漏洞攻击防护、P2P/IM应用层流量控制等安全功能于一身的绿盟安全网关设备SG1200。核心交换机通过防火墙上联到互联网和医保网等外部网络。核心交换机设备上配有8个插槽，其中6个业务插槽，可适用于多种网络接入。1. 核心层设备选型网络中心节点作为信息化网络平台络系统的心脏，必须提供全线速的数据交换，当网络流量较大时，对关键业务的服务质量提供保障。另外作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。在本方案中，核心层选用由高性能的万兆核心路由交换机组成，对全网的数据进行高速无阻塞的交换，负责路由管理、网络管理、网络服务、核心数据处理等，选用一台H3C S7506E-S构成核心节点。 H3C S7506E-S是杭州华三通信技术有限公司（以下简称H3C公司）面向融合业务网络的高端多业务路由交换机，该产品基于H3C自主知识产权的Comware V5操作系统，以IRF2（Intelligent Resilient Framework 2，第二代智能弹性架构）技术为系统基石的虚拟化软件系统，进一步融合MPLS VPN、IPv6、网络安全、无线、无源光网络等多种网络业务，提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。H3C S7500E符合“限制电子设备有害物质标准（RoHS）”，是绿色环保的路由交换机。H3C S7506E-S其背板带宽高达1.6Tbps、交换容量高达768Gbps，包转发速率大于492Mpps，具备L2/L3线速交换能力。可广泛应用于城域网、数据中心、园区网核心和汇聚等多种网络环境，为用户提供了有线无线一体化、有源无源一体化的行业解决方案。2. 汇聚交换机设备选择汇聚层交换设备选用H3C S5500-EI。H3C S5500-EI系列交换机是H3C最新开发的增强型IPv6强三层万兆以太网交换机产品，具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。支持最多4个万兆扩展接口，支持IPv4/IPv6硬件双栈及线速转发，使客户能够从容应对即将带来的IPv6时代；除此以外，其出色的安全性，可靠性和多业务支持能力使其成为大型企业网络和园区网的汇聚，中小企业网核心、以及城域网边缘设备的第一选择。H3C S5500-EI其背板带宽高达256GGbps、交换容量达到192Gbps、包转发速率为96Mpps，具备L2/L3线速交换能力。H3C S5500-EI系列是H3C推出的硬件支持IPv6的万兆多层交换机。该系列产品为IPv4网络的建设、IPv4向IPv6网络过渡、以及IPv6网络的建设和通信提供了最直接和最方便灵活的技术实现和方案保障。S5500-28C-EI配置了24 个10/100/1000Base-T以太网端口，4 个复用的SFP 千兆端口（Combo），两个扩展槽位。3. 接入交换机设备选择全网的接入交换机，必须考虑到全网统一安全接入控制、安全防护、完善的管理、智能QOS服务质量保证、组播应用支持等技术。在本方案中，建议接入层选用可提供千兆上联，并在可全部采用认证和流控等手段进行接入控制，充分满足用户的高速安全接入等，同时必须具备以下功能：强大的ACL控制功能（病毒预防和控制，网络资源访问控制）IP + MAC +端口绑定功能（防止网络攻击和资源被非法访问）强大的堆叠功能（弹性的扩充能力）完善的802.1X认证体系支持802.1X接入访问控制，功能更加强大，与Radius配合，可实现用户账号、VLAN号、MAC地址、用户IP、交换机端口、交换机IP之间的任意绑定进行认证，达到严格控制用户接入功能。灵活的带宽控制基于交换机端口、MAC地址、IP地址、协议、应用组合等进行灵活的带宽限速，充分提高网络带宽的利用率，实施网络带宽合理分配，适合在医疗网的应用。ARP攻击抵御支持ARP入侵检测同时动态防御ARP主机欺骗和ARP网管欺骗，不用手工配置网关IP地址，智能防御各种ARP欺骗行为。高可靠性支持生成树协议802.1d、802.1w、802.1s，完全保证链路快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，网络通道得到合理化使用，提供冗余链路利用率；支持端口环路检测，可快速检测端口下联出现环路的情况，并能自动将有环路端口关闭和定时启动，保障了网络的可靠。本方案采用H3C E系列安全智能交换机担任接入交换机，千兆上行到核心交换机。H3C E126A/E152安全智能交换机是H3C公司为构建高安全、高智能网络需求而专门设计的新一代以太网交换机产品，在满足园区网高性能、高密度的接入的基础上，提供更全面的安全接入策略和更强的网络管理维护易用性，是理想的园区网接入层交换机。4. 网络出口设备选择网络出口设备是内部网络到外部网络的边界，在本方案中网络出口采用绿盟安全网关SG1200作为网络出口。绿盟安全网关采用先进的多核CPU和ASIC转发芯片，其构建的专用硬件平台既满足了传统网关产品对转发性能的需要，又很好解决了传统安全网关应用层计算能力不足的问题；同时绿盟安全网关采用了绿盟独有的“智能协议识别”技术NIPR （Nsfocus Intelligent Protocol Recognition）和智能内容识别技术Nsfocus Intelligent Content Recognition（NICR），对各种应用协议、攻击进行准确解析判断；绿盟安全网关集成防火墙、VPN、抗拒绝服务、流量管理、入侵检测及防护、上网行为管理、内容过滤、WEB安全、防病毒、反垃圾邮件等多种功能模块，满足用户多重防护需要，从而真正实现了对用户业务的立体全方位防护。四、 网络路由及地址规划1. IP地址规划1）IP地址规划原则IP地址规划应依据科学性、系统性、完整性及可扩展性原则，采用先进的网络编码技术，保证信息交换的效率和质量，既要在相当时期内保持技术的先进性，同时也充分考虑现期工程的可实施性，为了更加便于记忆和管理，在贵医院信息化网络平台网络建设中，网络IP地址规划采用统一的IP地址分配方式，保证IP地址的唯一性。具体来说，IP地址规划应该遵循以下原则：可扩展性：IP地址的规划与划分应该考虑到城域网的业务飞速发展，能够满足未来发展的需要；即要满足本期工程对IP地址的需求，同时要充分考虑未来业务发展，预留相应的地址段；唯一性：一个IP网络中不能有两个主机采用相同的IP地址；简单性：地址分配应简单、易于管理，降低网络扩展的复杂性，简化路由表的款项；灵活性：IP地址的分配需要有足够的灵活性，能够满足用户不同的联网需要；连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。高效性：IP地址的分配必须采用VLSM技术，充分合理利用已申请的地址空间，保证IP地址的利用效率，采用CIDR技术，减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小；2）IP地址规划的依据和参照标准GB/T 1.1 1993 标准化工作导则GB/T 2260-1992 中华人民共和国行政区划代码RFC 0793 Transmission Control ProtocolRFC 0791 Internet Protocol3）我院信息化网络平台IP地址规划建议。（或根据市卫生局网络资源规划建设）根据我院信息化网络平台的建设需求和网络规模，我们初步提出如下建议：a）本次网络建设我们采用192.168.X.X的地址区，这样有利有网络的统一化管理和扩展，降低未来扩展的工作难度和成本。b）采用192.168.X.X的地址区，可充分满足网络扩展的需要，对各类地址需求都可以做到足够的预留。2. 信息化网络平台VLAN划分在医院的整个网络规划当中，VLAN 的划分是非常重要的部分，很好的利用VLAN技术的功能，能起到事半功倍的效果，对整个网络的性能也是事关重要的。主要突出为以下几点：1） VLAN 划分，可以避免广播风暴，在信息化网络平台尤为突出，在多媒体、视频点播等很容易引起广播信息；划分之后，VLAN 是广播只在子网中进行，不会做无意义的广播，消除了广播风暴产生的条件。2） VLAN 划分，可以增加网络的安全性，在不同的VLAN之间不能随意通讯，只限与本子网间通讯，不会对其他的子网产生干扰。要进行访问，需要通过三层交换，这样信息流就得到相当好的控制。3） 网络管理系统采用完全独立的IP子网和VLAN，实现更加安全的对所有网络设备进行管理。建立VLAN 和IP 子网的对应关系。4） 提高管理效率，实现虚拟的工作组，减少站点的移动和改变的开销。5） VLAN 间的子网访问，可以在核心三层功能上实现，优化了组网。建议在每个交换机划分特定的VLAN，每个VLAN 对应一个C类的私有地址等网段。3. 路由选择大型路由网络中选择适当的路由协议，进行认真的地址和路由规划，对于优化整个网络的性能，保证网络的扩展性，健壮性具有非常重要的意义。贵医院信息化网络平台具有规模大、应用复杂（不仅有普通数据应用、核心数据流，还将有音频、视频等多种类型的流媒体应用），容量要求高等特点。因此，在IP网络方案中应该非常重视路由的策略及优化。路由协议包括两部分：域间路由协议，域内路由协议。域间路由协议：BGP是Internet特有的对等路由协议，目前的版本是BGP4。BGP4分为EBGP和IBGP。EBGP用于ISP之间或者ISP与大客户之间交换路由信息，IBGP用于在ISP内部传递外部路由信息。建议在国际、国内出口处、省际网之间均运行EBGP，同时在网内必要的节点上运行IBGP(如，构建MPLS-VPN时)，由于IBGP必须作全连接，所有核心路由器或核心路由交换机。上配置全网状的IBGP连接。一般采用BGP-4。分域的目的是为了减少每个域内路由条目的数量，便于维护和管理。域内路由协议：域内路由协议要求采用动态路由协议（RIP、RIPV2、OSPF、EIGRP、IS-IS、IGRP），常用的路由协议有RIP、RIPV2、和OSPF。RIP不支持变长子网，网络收敛速度较慢，设备间转发的路由信息比较多，每次交换路由信息都会把整个路由表广播出去，严重浪费带宽；RIPV2虽然支持变长子网，但依然有收敛速度慢，交换内容多等弊端，不适合作为一个运行商内部的网络路由协议。OSPF 具有收敛速度宽，占用带宽资源少等特点。下表是对不同路由协议的比较：比较项RIPRIP v2OSPF协议类型距离矢量距离矢量连接状态支持变长子网不支持支持支持网络规模最多16跳最多16跳100个路由器支持域的划分不支持不支持支持信息交换间隔30秒30秒有变动就交换无变动2小时路由表交换内容全部路由表全部路由表更新过的内容路由收敛时间180秒180秒30秒目前网络通信平台采用静态路由，随着后期网络规模的越来越大，可扩展为动态路由，如果采用动态路由，建议采用最短路由优先协议（OSPF）作为我院信息化网络平台IP网的域内路由协议。4. QOS规划(1)QoS介绍随着Internet的迅速发展，Internet上不仅流量急剧增长，流量的特征也发生了很大的变化。新型的网络应用系统（如实时多媒体应用，IP电话、VOD视频点播等）在网络带宽、延迟及丢包率方面有着不同的要求，这需要网络能够针对不同类型的业务提供服务质量（QoS）的保证。但是，IP技术本身只能提供“尽力（best-effort）”服务模式，缺乏完善的QoS机制，无法适应计算机及应用系统多样化的要求。现今的网络环境，要想真正改变网络的效率，更好的应用服务，就要实现端到端的QOS，相对于从数据帧在一进入网络时（接入层）就给它有针对性的做出不同优先级，分配不同带宽应用于服务，做到智能到边缘的网络结构，来更好的保证网络的运营。(2)QoS的规划:本方案交换机均拥有完善的QoS功能，能够提供传输品质服务。你可以针对某种类别的数据流，为它赋予某个级别的传输优先级、标识它的相对重要性，并使用交换机所提供的各种分优先级转发策略、拥塞避免等机制为这些数据流提供特殊的传输服务。配置了QoS的网络环境，增加了网络的性能可预知性，并能够有效地分配网络带宽，更加合理地利用网络资源。本方案交换机的QoS实现以IETF的DiffServ体系为基础，因此可以与基于DiffServ体系实现的其它厂商设备实现QOS互操作。DiffServ体系规定每一个传输报文将在网络中被分类到不同的类别，分类信息被包含在了IP报文头中，DiffServ体系使用了IP报文头中的TOS（Type Of Service）中的前6个比特来携带报文的分类信息。当然分类信息也可以被携带在链路层报文头上。一般地，附带在报文中的分类信息有：携带在802.1Q帧头的Tag Control Information中的前3个比特，它包含了8个类别的优先级信息，通常称这三个比特为为User Priority bits。携带在IP报文头中的TOS字段前3个比特，称作IP precedence value；或者携带在IP报文头中的TOS字段前6个比特，称作Differentiated Services Code Point (DSCP) value。在遵循DiffServ体系的网络中，各交换机和路由器对包含同样分类信息的报文采取同样的传输服务策略，对包含不同分类信息的报文采取不同的传输服务策略。报文的分类信息可以被网络上的主机、交换机、路由器或者其它网络设备赋予。可以基于不同的应用策略或者基于报文内容的不同为报文赋予类别信息。识别报文的内容以便为报文赋予类别信息的做法往往需要消耗网络设备的大量处理资源，为了减少骨干网络的处理开销，做到了赋予类别信息在网络边缘进行实现，从而节省了骨干网络处理器的开销，做到了智能到边缘的概念。在本方案中我们可以标识关键应用的数据流，比如HIS、语音以及视频会议等。对关键的数据流优先处理，保障医院的关键网络应用。5. 本信息化网络平台解决方案优势1）网络核心高性能网络核心交换设备要求很高的转发性能和可靠性，同时支持万兆技术的扩展，以方便日后的网络升级改造。H3C S7506E-S其背板带宽高达1.6Tbps，具备L2/L3线速交换能力。基于先进的理念进行设计，具备10GE、GE、FE等各种丰富的接口模块，并全面支持ACL、组播、QoS、带宽控制等业务功能。在现行网络环境中可以很好的胜任。2）网络的高安全性网络的发展趋势是基于Internet Web技术的开放网络化系统。这不仅带来了新的巨大的使用方便，同时也带来了不断增加的复杂应用及信息技术的挑战，因而安全是医院系统网络建设中要考虑的一个关键因素。主要考虑边界安全和接入安全。边界安全涉及到出口设备的种类和功能，决定网络的不同区域允许或拒绝何种业务，特别是在外网和内网之间。网络出口采用绿盟科技SG1200，该设备集成传统防火墙、VPN、漏洞攻击防护、P2P/IM应用层流量控制等安全功能。接入安全涉及主楼、附楼、医技楼、妇儿楼、综合楼、内科楼等区域。由于信息点众多，上网等原因，非常容易遭受病毒、黑客等的攻击，造成网络瘫痪。E126A /E152是两款全线速的安全智能交换机，可以根据网络实际使用环境，实施灵活多样的安全控制策略，可有效防止和控制病毒传播和网络攻击，控制非法用户使用网络，保证合法用户合理使用网络资源，充分保障网络安全和网络合理化使用和运营。3）QOS设计本方案所有网络设备提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性。可以在接入层实现QOS，分担核心设备负担，保障关键应用。在医院网络上运行的应用系统应综合考虑医院的HIS系统、办公系统、以及语音及视频应用，在一定的网络资源条件下，可利用各种技术实施对于关键的应用系统的保障。如通过先进的队列机制进行拥塞控制，对不同等级的数据进行不同的处理，包括时延的不同和丢包率的不同；采用具备先期拥塞控制机制的网络设备，当网络出现真正的拥塞前就自动采取适当的措施，进行先期拥塞控制，避免瞬间大量的丢包现象；对非常重要的特殊应用，应可以采用保留带宽资源的方式保证其QoS4）高带宽的千兆为主干网从网络的整体结构上我们可以看出整个网络的设计是采用千兆为主干，核心与接入之间均采用千兆的方式，接入与最终用户之间采用百兆的方式进行互通。5）千兆到服务器医院内整个网络将有大量的数据将流向各类应用服务器。显然，如果服务器端使用普通的10/100M带宽将是整个网络的瓶颈，造成整个网络的拥塞。S5500-EI交换机提供足够能力的带宽，有效解决了服务器的千兆接入需求。6）可扩展性从我国医院信息系统的发展来看，目前随着门诊系统，住院系统、以及远程医疗的网络化，应用系统的大规模使用使得业务流膨胀是必然的趋势，网络系统面临数据流量增大的压力，在设计医院系统信息网络时应充分考虑系统的可扩展性，从而保护网络系统投资。 网络的扩展能力包括设备交换容量的扩展能力、端口数量的扩展能力、主干带宽的扩展，以及网络规模的扩展能力。交换容量扩展应具备在现有基础上继续扩充的能力，以适应IP类业务急速膨胀的需求。设备的选型应充分考虑包转发能力以及数据交换能力。端口密度扩展需要认真分析用户和应用系统的扩展可能性，在具备扩展可能性的信息节点配置高可扩展性的网络设备，满足网络扩容时对用户接入以及系统互联的需要。在整个网络的核心部署了H3C的高端万兆路由交换机S7506E-S，可以支持万兆的线速转发，为将来我院全面的信息化提供网络扩展能力的保证。主干设备应具备充足的接口，满足更高的带宽扩展能力，以适应IP类应用及业务急速膨胀的需求。网络规模扩展需综合考虑网络体系结构、路由协议的规划和设备的CPU路由处理能力，应能满足网络扩容时对用户接入以及数据流量变化或增大时处理能力的需要。第三章 网络安全建设一、 概述没有安全的网络，就像没有围墙的院落，随时随地会受到骚扰和侵犯。随着政务网络的层次化、分组化、宽带化以及融合发展，对网络安全提出了更高的要求。医院是内网、外网多网融合骨干传输网，必须采取严格的、整体的和高标准的安全解决方案。二、 安全风险因素分析由于网络设备、网络结点、网络出口不计其数、应用系统种类繁多、网络结构极其复杂。其安全风险主要存在于以下几方面：1. 物理安全风险物理安全的风险来自机房环境和物理设备两个方面。机房环境安全风险主要是盗窃、电压、静电、灰尘、水灾、火灾、雷击、电磁泄露、地震等自然灾害；物理设备安全风险主要是设备的老化损坏、突发性事故等。2. 主机安全风险主机系统包括操作系统和数据库系统两部分，其安全风险主要来自系统自身存在的安全漏洞。医院系统目前和即将使用的操作系统有WindowsXP、 Windows2000 Professional/Server、2003 Server等，数据库系统有Sqlserver2008等，它们均不同程度地存在系统安全漏洞，容易被病毒和黑客所利用。在实际工作中，计算机病毒木马对主机系统所造成的安全威胁最大，应重点加以防护。3. 网络安全风险网络安全分为网络设备安全、网络边界安全和数据传输安全三部分。网络设备安全的风险主要来自网络设备和线路故障、网络设备自身存在的安全漏洞、网络设备参数和访问控制策略配置不当等。网络边界安全风险，一方面来自互联网。由于系统自身存在的安全漏洞和网络设备配置不当等原因，导致内部网络容易遭受来自互联网的攻击。实现“一站式”访问后，对网络的访问应采取严格的访问控制措施。即使以前某些地方己经采取了防火墙等安全措施，但总体上比较脆弱，仍然存在着安全风险。另一方面来自系统内部。系统内部人员有意更改计算机IP地址进行非法操作，利用攻击工具对内部网络进行攻击等。数据传输安全的风险主要来自在移动用户访问内部数据时，数据在传输的过程中容易被不法分子窃取、修改，从而造成信息的泄露和破坏等。4. 应用安全风险 用户身份假冒：非法用户假冒合法用户的身份访问应用系统资源。 非授权访问：非法用户或者合法用户访问其权限之外的应用资源。 数据窃取、篡改、重放攻击、抵赖：攻击者通过侦听网络上传输的数据，以此为基础进行进一步的攻击。5. 数据安全风险数据安全的风险主要来自人为对数据的修改、删除或破坏、数据被窃取、数据存储介质意外故障等。6. 安全管理风险主要是指在网络应用和日常维护管理中，由于制度不健全，使用不当等原则造成的安全风险。三、 网络安全体系设计1. 网络安全体系随着医院信息化系统网络上IT应用的不断增加以及网络中设备的增加，网络边界安全成为最重要的安全问题之一，需要组合型的安全解决方案。对医院信息化系统边界进行安全防护，首先必须明确哪些网络边界需要防护，这可以通过安全分区来确定。定义安全分区的原则就是首先根据业务和信息敏感度定义安全资产，其次对安全资产定义安全策略和安全级别，对于安全策略和级别相同的安全资产，就可以认为属于同一安全区域。根据以上原则，贵医院信息化系统的安全分区模型，主要包括：内网办公区、数据中心区、外联数据区、互联网连接区、对外连接区等。信息化网络安全隐患众多，有来自外网的和来自内网的。参照以上的分区，考虑到当前网络上的主要威胁，我们建议在各个网络出口统一采用绿盟科技安全网关设备SG1200，该设备集成传统防火墙、VPN、病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。并且具备千兆带宽吞吐能力，完全满足医院安全设计需要。考虑到内部服务器集群对业务的重要性，在内部服务器集群前部署绿盟科技的入侵检测设备NIPS1200,该设备作为在线部署的新一代入侵检测系统，内置先进的Web信誉机制，能够全面抵御蠕虫、病毒、特洛伊木马、间谍软件等恶意程序威胁，阻止它们渗入网络内部，并实时阻断SQL注入、DDoS各类应用层攻击，从而最大限度地保护内部服务器集群。由于WEB应用安全问题日益严重，各种网页挂马，网页篡改等让各大门户网站疲于应对，针对医院信息化门户网站可以部署绿盟科技WEB应用防火墙。绿盟WEB应用防火墙（又称绿盟WEB应用防护系统，以下简称NSFOCUS WAF）产品针对各类机构的WEB业务系统，提供WEB安全和WEB应用交付融合的解决方案，确保WEB业务在安全和性能两方面的收益最大化。针对接入终端及各网络设备的安全漏洞，可以核心交换机旁部署绿盟科技RSAS Standard Series漏洞扫描产品，该设备采用高效、智能的漏洞识别技术，能够第一时间主动对网络中的各种设备进行细致深入的漏洞检测、分析，并给用户提供专业、有效的漏洞防护建议，让攻击者无机可乘。在核心交换机旁路部署绿盟科技SAS1000A安全审计产品，通过网络数据的采集、分析、识别，实时动态监测通信内容、网络行为和网络流量，发现和捕获各种敏感信息、违规行为，全面记录网络系统中的各种会话和事件，对整个信息化平台进行实时的全面安全审计。保障医院信息化平台的安全生产。最后，在用户终端，部署相应的杀毒软件及终端管理系统，实现对终端用户的主动安全防护及全面审计。2. 信息化平台安全主要技术构成1) 绿盟安全网关SG在各个网络区域之间部署绿盟科技千兆安全网关SG1200，实现各个网络区域的网络访问控制以及安全域的划分，只允许特定的流量进入各个系统，保证整体安全性及各个业务之间互不影响。绿盟安全网关采用了NGSG设计理念，专注应用安全的防护，具有如下特点：u 多核CPU和ASIC构建高速硬件平台绿盟安全网关专用硬件平台采用多核CPU和ASIC加速芯片构建。ASIC芯片具有3-4层快速转发和流分类的特性，使得绿盟安全网关具有高速的网络处理性能； 多核CPU的强大浮点计算能力，以及绿盟独有的多流并行分布式处理技术，使得绿盟安全网关的应用层数据处理能力大幅提高，真正做到从4层防护到7层防护的提升。u 智能协议识别（NIPR）智能内容识别（NICR）技术智能协议识别技术Nsfocus Intelligent Protocol Recognition（NIPR）和智能内容识别技术Nsfocus Intelligent Content Recognition（NICR）是绿盟自主研发的网络威胁识别技术，是绿盟科技在网络攻防技术方面多年研究成果的结晶，也是绿盟安全网关产品的核心技术。具备了NIPR和NICR的绿盟安全网关，不再受动态端口或攻击工具变化的影响。对于P2P等运行在任意端口的应用层协议，或者绑定在任意端口的木马、后门，还有黑客的灵活多变的攻击方式，绿盟安全网关都能在不需要管理员参与的情况下高速准确的判断出来，并根据网关策略予以阻断或限制。u 高性能的防火墙绿盟安全网关采用智能状态检测技术，支持路由、透明、混合模式部署，可访问控制。绿盟安全网关支持支持基于策略的双向NAT、动态/静态NAT、端口PAT，支持静态路由、动态路由、策略路由，支持DNS、DHCP、VLAN Trunk。u 卓越的抗拒绝服务攻击能力作为国内著名的专业抗DDoS厂商，绿盟科技在绿盟安全网关中集成了其独特的抗DDoS技术，利用内置的IP信誉机制、流量基线和学习机制、协议栈行为模式分析技术、用户行为模式分析、动态指纹识别技术，可实现对网络级（如Syn Flood、ICMP Flood、UDP Flood）、应用级（如CC）等多种DDoS攻击的高效防御。u 方便的流量管理绿盟安全网关支持基于协议识别的流量管理功能，不仅支持对Http、Ftp等常用协议的流控，还可监控P2P下载（如迅雷、eDonkey/eMule、BitTorrent等）、在线视频（如PPLIVE、PPStream等）等新型P2P应用；系统采用全局维度（协议/端口）、局部维度（源/目的IP地址、网段）、时间维度（时间）、流量纬度（优先级、最大可用带宽、最小保证带宽）等流量控制四元组，实现基于内容、面向对象的流量保护策略，合理分配网络带宽，保证重要业务服务的正常运行。u 多合一的VPN网关绿盟安全网关集成了IPSec VPN、SSL VPN等多种VPN技术。多合一的VPN技术一方面可以满足用户VPN建设过渡期的需要，比如原有IPSEC VPN的用户改为SSL VPN，无须另外采购一台VPN网关；另一方面也可以满足不同VPN接入方式，比如远程客户端-网关、网关-网关、网关网关-客户端的VPN组网方式，实现VPN安全性和易用性的统一。u 超强的网络攻击检测/防护能力绿盟安全网关集成了绿盟科技专业的入侵检测/防护模块，可实现基于IP地址/网段、规则（组、集）、时间、动作等对象的虚拟IPS。绿盟安全网关采用虚拟补丁技术，可防护远程扫描、暴力破解、缓存区溢出、蠕虫病毒、木马后门、SQL注入、跨站脚本等各种攻击。u 实用的上网行为管理绿盟安全网关采用业界领先的智能协议识别和关联技术，提供全面深入的协议分析、用户认证功能，针对用户上网行为、网络应用行为和业务运维行为进行智能多维度网络行为管理。绿盟安全网关支持基于IP地址、用户/用户组、协议、时间、关键字等多种组合策略，对即时通讯、在线视频、P2P下载、网络游戏、炒股、文件上传下载等行为进行全面监控管理。u 精准的内容过滤绿盟安全网关支持用户自定义关键字，系统可对网页内容、搜索引擎、邮件收发、论坛、即时通讯等进行基于内容关键字的准确检测、阻断、告警、记录和信息还原，实现深度内容安全管理，避免网络信息外泄、非法言论传播。u 前瞻的Web安全保障绿盟安全网关具有业界领先的中英文URL分类库，内含按照不同类型（如不良言论、色情暴力、网络“钓鱼”、论坛聊天等）划分的超过1000万条记录的URL信息，可实现对工作无关网站、不良信息、高风险网站的准确、高效过滤；同时绿盟安全网关采用绿盟云安全中心提供的Web信誉库，云安全中心通过对互联网资源（域名、IP地址、URL等）进行威胁分析和信誉评级，将含有恶意代码的网站列入Web信誉库，以阻止对挂马网站的访问请求，实现对终端用户的安全保护。u 强大的病毒防御能力绿盟安全网关采用双防病毒引擎技术，支持NSFOCUS和卡巴斯基的防病毒引擎，采用基于特征扫描和启发式扫描技术，对利用HTTP、SMTP、 POP3、FTP、IM等多种协议的病毒进行处理，完成对木马病毒、蠕虫病毒、宏病毒、脚本病毒等的查杀。此外，绿盟安全网关将专业防病毒引擎和多核并行处理技术完美融合，实现高速病毒处理性能。u 全面的垃圾邮件防护绿盟安全网关通过多种垃圾邮件防护技术，包括RBL、ORDBL、MIME头检测、黑白名单、匹配码、正则表达式等，对SMTP, POP3协议的检测过滤，保护客户免受垃圾邮件之苦。u 方便灵活的产品管理绿盟安全网关同时支持B/S和C/S两种管理方式，支持串口、SSH管理，方便各类管理员使用；绿盟安全网关支持多种升级方式，在线升级、离线升级、手工升级、自动升级，给客户提供最前沿的安全保障；绿盟安全网关提供灵活的功能模块扩展，通过证书实现VPN、防病毒、反垃圾邮件、入侵检测/防护等功能组合与扩展；绿盟安全网关提供实时监控，设备状态、网络状态、安全事件、用户行为一目了然。还提供基于时间、IP地址、事件类别等条件的强大检索功能，并可根据数十种报表模板，生成详细的各类统计报表，同时可定时通过电子邮件自动发送报表至管理员。系统还提供全面的事件日志信息的备份、恢复、清除、归并等管理功能，方便管理员维护。2) 绿盟科技入侵防御系统NIPS在核心交换机及内部服务器集群之间放置绿盟科技千兆入侵防御系统NIPS1200，并进行双机冗余设置，预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失。NSFOCUS NIPS是网络入侵防护系统同类产品中的精品典范，该产品高度融合高性能、高安全性、高可靠性和易操作性等特性，产品内置先进的Web信誉机制，同时具备深度入侵防护、精细流量控制，以及全面用户上网行为监管等多项功能，能够为用户提供深度攻击防御和应用带宽保护的完美价值体验。u 入侵防护实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量，保护企业信息系统和网络架构免受侵害，防止操作系统和应用程序损坏或宕机。u Web安