医院信息化平台建设方案建议书资料

1、XXXXXX医院信息化平台建设方案建议书2 2 接入交换机设备选择- 22 - - - TOC o 1-5 h z 一、概述-.5 -二、XXXXXX医院信息化平台需求分析及建设目标 - 6 -1、工程简述 -.6 -2、需求分析 -.7 -21网络平台需求 -.7 -2 2 应用系统建设需求 -11-3、建设目标 -13-三、设计原则 -15-1、先进性和成熟性 -16-2、高性能 -16-3、可靠性和稳定性 -17-4、安全性和保密性 -17-5、可扩展性和可管理性 -17-6、结构化设计 -18-四、信息化网络平台设计 -19-1、网络架构设计 -19-2、网络设备选择 -20-2 1

2、核心交换机选型 -21-2 3 网络出口设备选择- 24 - TOC o 1-5 h z 3、信息化网络平台IP 地址规划、VLAN划分及路由策略- 26-3 1 IP 地址规划- 26 -3 2 信息化网络平台VLAN 划分建议- 28 -33 路由选择 -29-4、 QoS规划 -32 -41 QoS 介绍 -32-42 QoS 的规划 -32-5、ARP攻击防范 -34-51 ARP 攻击的种类 -34-5 2 本方案的ARP 防范方法- 37 -6、网络安全规划 -38-7、本信息化网络平台解决方案优势 -39-五、应用系统平台设计 -43-IBM虚拟化平台解决方案 -43-1方案简述

3、 -43-2方案设计 -44-3方案的优势 -48-HA（高可用 ）系统设计- 49 -1 采用 HA 系统的必要性- 49 -1 2 双机软件选择- 50 - # - TOC o 1-5 h z 六、设备清单 -53-1、网络平台清单 -53-2、应用系统平台清单 -59-七、附件 -61- -一、概述随着以计算机和网络通信为核心的信息化技术的发展飞速发展， 信息化浪潮势不可挡，迅速地延伸到人类生活和社会的各个方面， 也不可避免地改变着医疗技术和医疗模式。信息技术与医疗的结合已经成为当今世界医疗改革和发展的有机组成部分。近年来，随着卫生行业信息化建设的逐步深入，IT 技术的应用越来越成为卫生

4、行业前进必不可少的助推器。现阶段， 国内医院完全可能、也完全有必要通过应用合理的IT 系统，实现流程的优化，节省就医时间，改善病人就医体验，提高管理水平，改善服务及医疗质量。因此，重视信息化对管理的促进作用，已成为国际上任何有竞争力的医疗卫生机构的共同特征。医疗信息化包括医院信息系统(HIS)、医学图像处理系统(PACS)、手术室信息系统、医疗保险信息系统等信息化系统，以及卫生信息标准化、电子病历、数据仓库、数据挖掘及临床决策在医院信息化中的应用等等。作为基础医疗第一线的贵医院，医师优秀，医疗质量高，治疗效果显著。为了迎接21 世纪的挑战，抢占医疗的制高点，贵医院拟实施以信息化网络平台为中心的

5、医疗信息化工程。XXXX公司做为一家专业性系统集成方案设计和实施的网络公司， 就贵医院信息化网络平台络建设进行了深入研究，我们希望根据XXXX公司以往在其他信息化平台设计的丰富经验，能为贵医院提供最先进的信息化平台建设思路和最贴近需求的系统集成设计方案。二、XXXXXX医院信息化平台需求分析及建设目标1 、工程简述XXXXXX医院经某市人民政府批准于2006 年 2 月由原某市第四人民医院（原地区人民医院）和原某市妇幼保健院合并组建而成。 医院现有的网络系统已经运行了多年的时间，硬件的整体配置已经远远落后于现在的主流配置；随着医院信息系统（HIS）、医学图像处理系统（PACS）等应用的陆续部署

6、，现有网络平台已经远远不能满足需求。已经影响医院正常业务的进行，所以根据现有信息系统的发展状况，提出了建设医院信息化平台的需求。XXXX公司按照“以应用为导向、统一规划、分步实施、讲究实效、 安全可靠”的原则， 进行信息化网络平台综合系统设计，以满足贵医院信息化网络平台络的需要。我们大致可以将贵医院医疗信息化工程划分为两个阶段：1）信息化网络基础平台的建设：在全院范围内，采用国际标准网络协议连通信息化网络平台，并通过高速信道与医保网及Internet 相连；2） 信息化网络平台应用系统建设：建立医院信息系统（ HIS） 、医学图像处理系统（PACS）、 手术室信息系统、医疗保险信息系统等信息化

7、系统，并具有信息共享、传递迅速、使用方便、高效率等特点。 在事务处理的基础上，建立一个满足各级管理人员及医生、 信息需求的综合信息服务系统；系统应有高可靠性、安全性、可维护性和可扩充性，以适应医院不断变化的医疗管理需要；根据XXXXXX医院的需求，需要建设一个支持医院数字化、网络化、 自动化的国内先进的基础网络平台，满足数字化医院建设的需要，也满足医院信息化建设的长期要求。网络平台具有较好的服务质量、较高安全性、便于管理和维护，能够支持医院的各种办公、医疗和科研应用，也支持移动办公、信息发布、网上医疗与医学科研合作。接入层支持百兆或千兆到桌面，核心层支持全千兆并且具有向万兆速率平滑扩容的能力。

8、网络关键节点能够冗余热备保障系统连续稳定运行。具有高带宽、高可靠、 高性能、 高安全的特性。2、需求分析2 1 网络平台需求贵医院的网络信息化建设必须以用户的应用需求作为基础。随着网络技术的飞速发展和应用水平的逐步提高，用户的网络需求也不断的增加，应用特点也在不断变化，网络应用新特点，主要表现为：用户数多，扩展速度快：贵医院网络规模比较大，用户数会越来越大，本期建设有近400 多个信息点；网络应用复杂，流量大： 用户主要使用网络进行医院信息系统(HIS)、医学图像处理系统(PACS)的数据传输。还有图片传输、FTP文件传输、在线多媒体等的网络应用；安全隐患大：目前网络攻击软件泛滥，来源方便，并

9、对技术要求更低，ARP攻击和网络病毒泛滥、新病种不断呈现，危害性更强；不易管理：具有大量的信息点，网络规模较大，中经常发生IP 地址盗用、IP 地址冲突、非法DHCP服务器和设置代理服务器等令网络管理及维护人员非常头疼的问题，同时用户数大。随着网络应用特点多元化和复杂化，网络面临着新的挑战，主要表现为：用户数多，增长快；应用复杂，流量大，如何保证网络的 性能？安全隐患大、不易管理，如何保证网络安全，如何保证不 会滥用网络资源，如何监控管理网络？医疗的资料机密高，如何保证信息化网络平台的网络安全和信息保护？宽，保障关键应用？面对着越来越多的挑战，呈现出更多的用户应用需求，主要表现为：1）网络高性

10、能需求HIS、 PACS的数据传输的应用，要求全线支持组播、QOS等流技术，使用户能正常、流畅的应用大量数据的传输；网络设备的背板带宽足够用，保证每端口能够线速转发，同时预留一定的扩展余地；应用复杂化和多元化，需求网络高带宽，造就核心层必须支持万兆链路，核心层到接入层千兆链路为目标。2）可靠性、稳定性需求核心层是贵医院业务中心，如何保障网络的高效率、高可靠、高稳定运行是网络建设的前提；可提供冗余的网络连接，保障网络的高可用性；3）网络安全需求杜绝ARP攻击对网络的攻击；杜绝非法的组播源播放非法的组播信息；如何有效控制和预防病毒的传播和网络的攻击；由于各种病毒在被公布前很难防范，网络技术需要能适

11、时的调整安全策略，并在最短的时间内部署到全网，把病毒拒绝在网络之外。4) QoS需求由于医疗系统的特殊性，其通信的类型包括有关键的HIS、PACS的应用，也包括有Email 、 FTP、网页浏览、数据库查询、协同研究、远程医疗、VoIP 以及视频会议等等其他应用类型。其通信方式和对传输网络的要求各不相同，为了合理利用网络资源，需要为HIS、 PACS、视频会议等对网络服务质量要求高的应用提供优先级，才能为所有这些应用提供网络传输保证，保障各种不同服务的流畅应用。实现端到端的QOS服务。5)组播应用需求IP 组播技术作为一种节省带宽的网络技术，最适合在流媒体应用中使用。流媒体技术在医院的应用前景

12、广阔，可用于交互医疗、远程医疗、在线医疗、电视转播、远程监控、视频会议等应用。需要对网络设备的要求：组播协议，核心三层交换机支持PIM/IGMP等协议，接入的二层交换机支持IGMP Snooping 协议。多媒体双向组播，实现时时的交互式视频应用。多媒体非法组播源控制。端到端QOS保障，要求全网提供服务保证。6）多网合一需求随着医院信息化的不断深入，医院OA系统、MIS系统、HIS系统、PACS等系统相互融合，医院的信息化建设也已经从简单的数据业务应用逐步发展到数据、语音、 视讯等多业务统一承载。2 2 应用系统建设需求本次XXXXXX医院的应用系统建设的目标是以信息技术为手段把分布在不同地点

13、的现有资源迅速组合成为一种没有时间空间约束， 靠电子手段联系的统一指挥的系统。主要是部署医院信息系统（HIS） 、医学图像处理系统（PACS）等以实现医疗、办公、科研、预防、保健和管理的现代化。随着业务的发展，当前的业务需要更多的服务器来支持。同时也带来了复杂程度和资金投入的增加，三种以上的服务器平台经常使得用户难于管理，使用户越来越感到头痛。另外一个大问题是，所购买的服务器中大部分使用率都不高，意味着客户在IT 架构中的投入未能被最有效地使用。以下是现阶段的挑战：成本高随着服务器的不断增多，安装和维护成本不断上升，包括数据中心空间、机柜、网线，耗电量，冷气空调和人力成本等。可用性差可用性低，

14、因为大多服务器都是单机，如果都配置为双机模式成本更高。系统维护和升级或者扩容时候需要停机进行，造成应用中断。缺乏可管理性服务器数量太多，数据中心的复杂性也不断提高，难于管理。新服务器和应用的部署时间长。硬件维护需要数天/ 周的变更管理准备和数小时的维护。兼容性差系统和应用迁移到新的硬件平台无法与旧系统兼容。物理计算机机房空间有限服务器的无计划及无序扩张，缺乏灵活性, 资产利用率低。IT系统架构的复杂性和服务器的随意增加是导致上述问题的主要原因，有效的整合是解决问题的关键。针对上述客户的难题 , 本方案提供了基于虚拟化技术的服务器整合解决方案。该方案将极大的提高服务器整合的效率，大幅度简化了服务

15、器管理的复杂性， 提高了整体系统的可用性，同时还明显的减少了投资成本， 具有很好的技术领先性和性价比，虚拟技术由于采用了将传统服务器应用程序环境封装成可移动的档案文件的技术，很容易实现业务的连续不间断运行，针对应用和访问量灵活部署，降低系统总成本。此外， 在高可用系统设计时，还要在硬件上要做到各部件的冗余， 多台计算机组成冗余系统，使得应用系统在任何软硬件单元发生故障时，能够稳定可靠地运行。考虑下述关键点：应用系统，主机/ 部件间的切换是非对用户透明故障发生时，是否需要人为干预切换的速度如何配置是否简单方便，易于管理与操作系统、应用程序是否能密切配合3、建设目标综合考虑以上种种特性需求，比较各

16、厂商设备性能、特点和价格。 我公司建议网络核心层、接入层和网络出口设备采用华为3Com公司（以下简称H3C）网络产品。应用服务器、数据库服务器和存储选择国际知名品牌IBM的设备。H3C是国内领先的网络厂商，其对医疗行业有着深刻的了解，其产品、方案与服务在医疗行业有成熟和广泛的应用，而且能通过智能、安全及可靠的网络设备连为一体，来构建网络系统的设计目标，保障其顺利进行。IBM服务器和存储提供了高品质和高可靠的硬件基础。IBM把稳定的产品与先进的技术相互结合，为客户提供了全套的解决方案。XXXXXX医院网络系统建设主要为综合楼、外科楼、内科楼等的网络建设，对于总体的系统结构要求必须满足如下条件：1

17、）业务导向，服务于应用所有网络建设都是为了更好服务于客户的实际应用。保证如财务管理、各种收费、药品药库管理、OA以及临床的信息化，如HIS、 PACS、 LIS、手术室、麻醉图形处理等应用的畅通无阻。简化网络的管理和维护，将精力专注于应用。2）实用性、先进性、扩展性和标准化的结合面向应用，注重实效，确保网络建设能够切合实际，满足使用要求网络体系结构具有开放性，协议遵循国际标准具有良好的可扩展性，为系统升级提供一个良好的途径3）系统结构合理、安全可靠系统结构有良好的分层设计，结构清晰合理从各种方面综合保证网络的可靠性 各种设备易于管理和维护局域网建成之后应符合以下要求：充分利用现有计算机网络设备

18、，保护先期投资，并与新增网络设备充分结合共同组成一套高效率、高性能、 高稳定性的网络系统。网络主干采用光纤1000M技术， 实现与各楼层、主楼内网交换机间的高速连接；实现 100/1000M 到桌面； 实现核心交换机对服务器的1000M连接。网络中使用的设备和协议应完全符合国际通用的技术标准，网络核心支持IPV6 协议；内网和外网实行物理隔离方式，内网采用双机冗余形式，为机房内网主服务器提供8 个千兆以太网电口，以及16 端口 SFP多模光口，在所有端口上支持三层数据交换。HIS、 PACS系统建成后，医院的中心服务器的信息存储和处理能力能够满足医院相当长的需求，大大增强HIS 后台的整体负载

19、能力，系统的安全性、可靠性、扩展性和可维护性等方面将得到明显的改善，系统将以更快的速度和质量为医疗、财务、行政和后勤管理服务。提高医院的经济效益，提高医院的服务质量，吸引更多的病员。三、设计原则贵医院信息化网络平台网络系统的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，在技术上、系统能力上要保持五年左右的先进性。并且从用户的利益出发，一个好的系统应当给用户一定的自由度，而不是束缚住他们的手脚，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。根据信息化网络平台的总体需求，结合对应用系统的考虑，我们提出网络系统的设计目标是：高性能、 高可靠性、高稳定性、高安全性

20、、可管理、可增值的信息化网络平台和应用系统。我们遵循以下的原则进行贵医院信息化平台设计：1 、先进性和成熟性系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证贵医院网络建设的领先地位，网络主干设备选用高带宽的、千兆位及万兆位线速路由交换技术。服务器和存储应选用国际先进的技术、高性能CPU、高速并行处理SMP技术、和先进冗余技术等。2、高性能系统建设应始终贯彻面向应用，注重实效的方针，保证系统具有足够的数据传输带宽，并为可预计的业务提供足够的系统容量和提供QOS,COS服务品质，建设贵医院的

21、高性能网络系统，保护用户的投资。3、可靠性和稳定性在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间。方案中涉及核心层设备，要求提供电源备份，模块的热插拔维护。在网络结构设计中，也考虑了一定的冗余和负载均衡，保证网络和系统高可用性。4、安全性和保密性在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，如划分VLAN、 MAC地址绑定、802.1x、 802.1d

22、 、802.1w、 802.1s、 VRRP、 ACL、 PORT+IP+MA绑定等。C5、可扩展性和可管理性为了适应系统变化的要求，必须充分考虑以最简便的方法、最佳的投资，实现系统的扩展和维护，建议全线采用可网管产品，提供堆叠、集群功能，降低了人力资源的费用，提高网络的易用性、可管理性，同时又具有很好的可扩充性，实现网络的可维性。服务器的扩展性能强，比如可因业务量的增加将CPU的数目增至4 路进行大规模并行处理，其他优异特点可参考其性能指标；RAID盘阵的扩展性能也极其强劲。6、结构化设计结构化的设计思想是将整个网络划分成不同的层次，各个层次各司其职。对于贵医院信息化网络平台来说，网络主要由

23、两个层次组成：1 ）接入层；2）核心层；接入层：连接各端末设备，做为网络智能安全接入和策略的边缘。核心层：连接各接入设备和服务器群设备提供路由管理、网络服务、网络管理、数据高速交换、快速收敛和扩展性，完成高速转发。四、信息化网络平台设计、网络架构设计网络结构化的设计思想是将整个网络划分成不同的层次和区域， 各个层次和区域各司其职。根据贵医院的网络规模和实际应用情况， 贵医院信息化平台采用分层网络架构设计，包括核心层和接入层：理、网络服务、网络管理、数据高速交换、快速收敛和扩展性，完成高速转发。接入层：连接各端末设备，直接与用户机对接。做为网络智能安全接入和策略的边缘。根据贵医院的网络规模和实际

24、应用情况，贵医院信息化平台采用分区域架构设计，包括核心区域、网络出口区域、应用系统区域以及接入区域。2、网络设备选择遵循网络的层次化、模块化的设计思想，采用核心和接入的两级网络架构，同时为后期的网络扩展做好准备，为用户提供高速无阻塞的数据交换。设备的选型是网络设计当中非常关键的部分，严格的选型可以达到最佳的效果，即系统相对独立，升级简便，组网方式灵活，以保护现有投资和未来的发展。所以为了满足贵医院目前的需求，立足长远发展，网络设备的选型除了依据提出的需求外，还需遵循上面的设计原则。根据贵医院需求分析，需要对2 个类型交换机和出口设备进行设备选型：1 ）核心交换机；2）接入交换机；3）出口设备。

25、为了满足贵医院需求和长远利益，核心推荐使用H3C S5500-EI以太网交换机, 接入层推荐使用H3CE 系列安全智能交换机, 而网络出口采用集传统防火墙、VPN、病毒防护、 URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM 应用层流量控制和用户行为审计等安全功能于一身的统一威胁管理设备H3C SecPath U200-S。核心交换机通过防火墙上联到互联网和医保网。核心交换机设备上配有 16 个千兆多模光口模块（最多可扩展到24 个） 、 8 个复用的千兆电接口。电口用于连接服务器群，光口用千兆多模光纤下行连接接入交换机。接入交换机设备均配有1 个千兆多模光口模块及24个百兆电口，通过千兆

26、多模光纤模块上连核心交换机。 1 核心交换机选型网络中心节点作为信息化网络平台络系统的心脏，必须提供全线速的数据交换，当网络流量较大时，对关键业务的服务质量提供保障。另外作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。在本方案中，建议核心层选用由高性能的千兆核心路由交换机组成，对全网的数据进行高速无阻塞的交换，负责路由管理、网络管理、网络服务、核心数据处理等，选用一台H3CS 5500-EI构成核心节点。H3C S5500-EI 其背板带宽高达192GGbps、包转发速率为95.2Mpps

27、，具备L2/L3 线速交换能力。H3C S5500-EI 系列是锐捷网络推出的硬件支持IPv6 的万兆多层交换机。该系列产品为IPv4 网络的建设、IPv4 向 IPv6 网络过渡、以及IPv6 网络的建设和通信提供了最直接和最方便灵活的技术实现和方案保障。H3CS 5500-EI 系列交换机是H3C公司最新开发的增强型IPv6强三层万兆以太网交换机产品，具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。支持最多4 个万兆扩展接口，可以满足用户今后5 年的带宽需求；支持 IPv4/IPv6 硬件双栈及线速转发，使客户能够从容应对即将带来的IPv6 时代；除此以外， 其出色的安全性，可靠

28、性和多业务支持能力使其成为大型企业网络和园区网的汇聚，中小企业网核心、以及城域网边缘设备的第一选择。网络中心节点作为信息化网络平台的数据交换枢纽中心，该节点核心交换机的瘫痪将直接影响整个信息化网络平台的运行，医院医疗信息化水平程度越高，因网络瘫痪造成的损失也将越大。所以核心交换机在配置上需要充分考虑到其可靠性的保障。贵医院网络中心的核心交换机的千兆端口配置除了满足设备千兆互连外，其余的均用于提供各类服务器的连接。2 2 接入交换机设备选择全网的接入交换机，必须考虑到全网统一安全接入控制、安全防护、完善的管理、智能QOS服务质量保证、组播应用支持等技术。在本方案中，建议接入层选用可提供千兆上联，

29、并在可全部采用认证和流控等手段进行接入控制，充分满足用户的高速安全接入等，同时必须具备以下功能：强大的ACL控制功能（病毒预防和控制，网络资源访问控制）IP + MAC +端口绑定功能（防止网络攻击和资源被非法访问）强大的堆叠功能（弹性的扩充能力）完善的 802.1X 认证体系支持 802.1X接入访问控制，功能更加强大，与 Radius配合，可实现用户账号、VLAN号、MAC地址、用户IP、交换机端口、交换机 IP之间的任意绑定进行认证，达到严格控制用户接入功能。灵活的带宽控制基于交换机端口、MAC地址、IP地址、协议、应用组合等进行灵活的带宽限速，充分提高网络带宽的利用率，实施网络带宽合理

30、分配，适合在医疗网的应用。ARP攻击抵御支持ARP入侵检测同时动态防御ARP主机欺骗和ARP网管欺骗，不用手工配置网关IP地址，智能防御各种ARP欺骗行为。高可靠性支持生成树协议802.1d 、 802.1w、 802.1s，完全保证链路快速收敛， 提高容错能力，保证网络的稳定运行和链路的负载均衡，网络通道得到合理化使用，提供冗余链路利用率；支持端口环路检测， 可快速检测端口下联出现环路的情况，并能自动将有环路端口关闭和定时启动，保障了网络的可靠。本方案采用H3C E系列安全智能交换机担任接入交换机，千兆上行到核心交换机。H3CE 126A/E152安全智能交换机是H3C公司为构建高安全、高智

31、能网络需求而专门设计的新一代以太网交换机产品，在满足园区网高性能、高密度的接入的基础上，提供更全面的安全接入策略和更强的网络管理维护易用性，是理想的园区网接入层交换机。3 网络出口设备选择网络安全问题已成为信息时代人类共同面临的挑战，国内的网络安全问题也日益突出。具体表现为：计算机系统受病毒感染和破坏的情况相当严重；电脑黑客活动已形成重要威胁；信息基 础设施面临网络安全的挑战；信息系统在预测、反应、防范和恢 复能力方面存在许多薄弱环节。在本方案中网络出口采用H3C SecPath U200-S UTM作为网络出口。 H3C SecPath U200-S是 H3C公司面向中小型企业/分支机构设计

32、的新一代UTM（ United Threat Managemen，统一威胁管理t）设备，采用高性能的多核、多线程安全平台，保障全部安全功能开启时不降低性能，产品具有极高的性价比。在提供传统防火墙、VPN功能基础上，同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。详细介绍如下：防火墙功能：提供安全区域划分、静态 /动态黑名单功能、MAC和 IP绑定、访问控制列表（ACL）和攻击防范等基本功能，还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。能够防御 ARP欺骗、TCP报文标志位不合法、Large ICMP报文、CC、 SYN

33、flood 、地址扫描和端口扫描等多种恶意攻击。VPN特性：支持L2TP VPN、 GRE VPN、 IPSec VPN等远程安全接入方式，同时设备集成硬件加密引擎实现高性能的VPN处理。实时的病毒防护：采用Kaspersky公司的流引擎查毒技术，从而迅速、准确查杀网络流量中的病毒等恶意代码。实时的垃圾邮件防护：可以拦截垃圾邮件，净化邮件系统，解决垃圾邮件对正常工作的干扰问题。先进的URL过滤：实现基于用户的URL访问控制，防止因浏览恶意或未授权的网站（ 如网络钓鱼攻击网站） 而带来的安全威胁。全面的流量管理：能精确检测BitTorrent 、 Thunder（迅雷）、QQ等 P2P/IM应用

34、，提供告警、限速、干扰或阻断等多种方式，保 障网络核心业务正常应用。细致的行为审计：可对各种P2P/IM、网络游戏、邮件和数据传输等行为提供细致的监控和记录，实现细粒度的网络行为审计管理。NAT应用：提供多对一、多对多、 静态网段、双向转换、 EasyIP和 DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、 FTP、 H.323、 NBT等 NAT ALG功能。我们建议在防火墙上将信息化网络平台分为内部网、外部网与 DMZ区等，以保护局域网的安全和对外服务器的安全，防止恶意用户的攻击。使用Kaspersky 公司的流引擎查毒技术，迅速、准确查杀网络流量中的病毒等恶意代码

35、。可以灵活设置相关资源过滤和规则，以最大化的保护网络内网安全。同时可以建立VPN服务器，实现外网用户访问内网资料等。3、信息化网络平台IP地址规划、VLAN划分及路由策略1 IP 地址规划IP地址规划原则IP地址规划应依据科学性、系统性、完整性及可扩展性原则，采用先进的网络编码技术，保证信息交换的效率和质量，既要在相当时期内保持技术的先进性，同时也充分考虑现期工程的可实施性， 为了更加便于记忆和管理，在贵医院信息化网络平台网络建设中，网络IP地址规划采用统一的IP地址分配方式，保证IP地址的唯一性。具体来说，IP地址规划应该遵循以下原则：可扩展性：IP地址的规划与划分应该考虑到城域网的业务飞速

36、发展， 能够满足未来发展的需要；即要满足本期工程对IP地址的需求，同时要充分考虑未来业务发展，预留相应的地址段；唯一性：一个IP网络中不能有两个主机采用相同的IP地址；简单性：地址分配应简单、易于管理，降低网络扩展的复杂性，简化路由表的款项；灵活性：IP地址的分配需要有足够的灵活性，能够满足用户不同的联网需要；连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。高效性：IP地址的分配必须采用VLSM技术，充分合理利用已申请的地址空间，保证IP地址的利用效率，采用CIDR技术，减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小IP地址规划的依据和参照标

37、准GB/T 1.1 1993GB/T 2260-1992RFC0 793Transmission Control Protocol RFC 0791Internet Protocol 3）贵医院信息化网络平台IP地址规划建议根据贵医院信息化网络平台的建设需求和网络规模，我们初步提出如下建议：a）本次网络建设我们建议采用192.168.X.X 的地址区，这样有利有网络的统一化管理和扩展，降低未来扩展的工作难度和成本。b）采用192.168.X.X 的地址区，可充分满足网络扩展的需要，对各类地址需求都可以做到足够的预留。2 信息化网络平台VLAN划分建议在医院的整个网络规划当中，VLAN 的划分是

38、非常重要的部分，很好的利用VLAN技术的功能，能起到事半功倍的效果，对整个网络的性能也是事关重要的。主要突出为以下几点：VLAN 划分，可以避免广播风暴，在信息化网络平台尤为突出，在多媒体、视频点播等很容易引起广播信息；划分之后，VLAN 是广播只在子网中进行，不会做无意义的广播，消除了广播风暴产生的条件。VLAN 划分，可以增加网络的安全性，在不同的VLAN之间不能随意通讯，只限与本子网间通讯，不会对其他的子网产生干扰。要进行访问，需要通过三层交换，这样信息流就得到相当好的控制。网络管理系统采用完全独立的IP子网和VLAN，实现更加安全的对所有网络设备进行管理。建立VLAN 和 IP 子网的

39、对应关系。提高管理效率，实现虚拟的工作组，减少站点的移动和改变的开销。VLAN 间的子网访问，可以在核心三层功能上实现，优化了组网。建议在每个交换机划分在一个特定的VLAN， 每个VLAN 对应一个 C类的私有地址 等网段。3 路由选择大型路由网络中选择适当的路由协议，进行认真的地址和路由规划，对于优化整个网络的性能，保证网络的扩展性，健壮性具有非常重要的意义。贵医院信息化网络平台具有规模大、应用复杂（不仅有普通数据应用、核心数据流，还将有音频、视频等多种类型的流媒体应用），容量要求高等特点。因此，在IP 网络方案中应该非常重视路由的策略及优化。路由协议包括两部分：域间路由协议，域内路由协议。

40、域间路由协议：BGP是 Internet 特有的对等路由协议，目前的版本是BGP 4。 BGP 4 分为EBGP和 IBGP。 EBGP用于ISP之间或者ISP 与大客户之间交换路由信息，IBGP用于在ISP 内部传递外部路由信息。建议在国际、国内出口处、省际网之间均运行EBGP，同时在网内必要的节点上运行IBGP（如，构建MPLS-VPN时 ），由于IBGP必须作全连接，所有核心路由器或核心路由交换机。上配置全网状的IBGP连接。一般采用BGP-4。分域的目的是为了减少每个域内路由条目的数量，便于维护和管理。域内路由协议：域内路由协议要求采用动态路由协议（ RIP、RIPV2、 OSPF、

41、EIGRP、 IS-IS 、 IGRP） ，常用的路由协议有RIP、RIPV2、和OSPF。 RIP 不支持变长子网，网络收敛速度较慢，设备间转发的路由信息比较多，每次交换路由信息都会把整个路由表广播出去，严重浪费带宽；RIPV2虽然支持变长子网，但依然有收敛速度慢，交换内容多等弊端，不适合作为一个运行商内部的网络路由协议。OSPF 具有收敛速度宽，占用带宽资源少等特下表是对不同路由协议的比较：比较项RIPRIPv2OSPF协议类型距离 矢量距离 矢量连接状 态支持变长子 网不支 持支持支持网络规模最多16跳最多16跳100 个路 由器支持域的划 分不支 持不支 持支持信息交换间 隔30 秒3

42、0 秒有变动就交换无变动2小时路由表交换 内容全部路由 表全部路由 表更新过的内容路由收敛时 间180 秒180 秒30 秒建议目前网络通信平台采用静态路由，随着后期网络规模的越来越大，可扩展为动态路由，如果采用动态路由，建议采用最短路由优先协议（OSPF）作为贵医院信息化网络平台IP 网的域内路由协议。4、 QoS规划1 QoS介绍随着 Internet 的迅速发展，Internet 上不仅流量急剧增长，流量的特征也发生了很大的变化。新型的网络应用系统（如实时多媒体应用，IP 电话、VOD视频点播等）在网络带宽、延迟及丢包率方面有着不同的要求，这需要网络能够针对不同类型的业务提供服务质量（Q

43、oS）的保证。但是，IP 技术本身只能提供“尽力（ best-effort ） ”服务模式，缺乏完善的QoS机制，无法适应计算机及应用系统多样化的要求。现今的网络环境，要想真正改变网络的效率，更好的应用服务， 就要实现端到端的QOS， 相对于从数据帧在一进入网络时（接入层） 就给它有针对性的做出不同优先级，分配不同带宽应用于服务，做到智能到边缘的网络结构，来更好的保证网络的运营。2 QoS的规划本方案交换机均拥有完善的QoS功能，能够提供传输品质服务。你可以针对某种类别的数据流，为它赋予某个级别的传输优先级、标识它的相对重要性，并使用交换机所提供的各种分优先级转发策略、拥塞避免等机制为这些数据

44、流提供特殊的传输服务。配置了QoS的网络环境，增加了网络的性能可预知性，并能够有效地分配网络带宽，更加合理地利用网络资源。本方案交换机的QoS实现以IETF的 DiffServ 体系为基础，因此可以与基于DiffServ 体系实现的其它厂商设备实现QOS互操作。 DiffServ 体系规定每一个传输报文将在网络中被分类到不同的类别，分类信息被包含在了IP报文头中，DiffServ 体系使用了 IP报文头中的TOS( Type Of Service )中的前6个比特来携带报文的分类信息。当然分类信息也可以被携带在链路层报文头上。一般地，附带在报文中的分类信息有：携带在 802.1Q帧头的 Tag

45、 Control Information 中的前3个比特， 它包含了8个类别的优先级信息，通常称这三个比特为为User Priority bits 。携 带 在 IP 报 文 头 中 的 TOS字 段 前 3个 比 特 ， 称 作 IP precedence value ；或者携带在IP报文头中的TOS字段前6个比特，称作Differentiated Services Code Point (DSCP) value 。在遵循 DiffServ 体系的网络中，各交换机和路由器对包含同样分类信息的报文采取同样的传输服务策略，对包含不同分类信息的报文采取不同的传输服务策略。报文的分类信息可以被网络上

46、的主机、交换机、路由器或者其它网络设备赋予。可以基于不同的应用策略或者基于报文内容的不同为报文赋予类别信息。识别报文的内容以便为报文赋予类别信息的做法往往需要消耗网络设备的大量处理资源，为了减少骨干网络的处理开销，做到了赋予类别信息在网络边缘进行实现，从而节省了骨干网络处理器的开销，做到了智能到边缘的概念。在本方案中我们可以标识关键应用的数据流，比如HIS、PACS、语音以及视频会议等。对关键的数据流优先处理，保障XXXXX医院的关键网络应用。XARP攻击防范1 ARP攻击的种类目前局域网内的计算机所感染的“ ARP欺骗”系列病毒已经有了几十个变种。根据这些变种的工作特点和外部特性大概可以分为

47、四大类：仿冒网关攻击现象：全网同样配置下，唯独某台电脑无法上网。查看每台 PC机的ARP表，发现网关的MAC地址错误。重启PC机后恢复正常，但过一段时间网络又瞬间瘫痪。正如下图所示，该PC机的ARP表中网关 的 MAC地址已被修改另外一台PC机的地址，显然该PC机无法再同网关通信了，无法上网了。原因：攻击者伪造ARP报文，发送源IP地址为网关IP地址，源 MAC地址为伪造的MAC地址的ARP报文给被攻击的主机，使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来，主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。这样， 哪台PC机的ARP表被攻

48、击者修改，哪台设备也就无法正常上网了。2）欺骗网关攻击现象：网络中PC逐台掉线，甚至全网内PC都无法上网。查看路由器ARP表项，发现很多错误地址。重启路由器后恢复正常，但过一段时间PC又开始掉线，导致很多用户怀疑是路由器故障。正如下图所示，网关路由器的ARP表中各台PC机的MAC地址已不正确，这些PC机无法再同网关通信，无法上网。原因： 攻击者伪造ARP报文，发送源 IP地址为同网段内某一合法用户的IP地址，源 MAC地址为伪造的MAC地址的ARP报文给网关；使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来，网关发给该用户的所有数据全部重定向到一个错误的MAC地址，

49、导致该用户无法正常访问外网。“中间人”攻击现象：某台PC上网突然掉线，一会又恢复了，但恢复后一直上网很慢。查看该PC机的ARP表，网关MAC地址已被修改，而且网关上该PC机的MAC也是伪造的。该 PC机和网关之间的所有流量都中转到另外一台机子上了。同样，也会表现为局域网内PC机之间共享文件等正常通信非常慢。原因： ARP “中间人”攻击，又称为ARP双向欺骗。如下图所示，如果有恶意攻击者（Host B ）想探听Host A和 Host C之间的通信，它可以分别给这两台主机发送伪造的ARP应答报文，使 Host A和 Host C用 MAC_更新自身BARP映射表中与对方IP地址相应的表项。此后

50、，Host A 和 Host C之间看似“直接”的通信，实际上都是通过黑客所在的主机间接进行的，即Host B担当了“中间人”的角色，可以对信息进行了窃取和篡改。ARP报文泛洪攻击现象： 经常有人反馈上不了网，或网速很慢，查看 ARP表项也都正确，但在网络中抓报文分析，发现大量ARP请求报文。（正常情况时，网络中ARP报文所占比例是很小的）原因： 恶意用户利用工具构造大量ARP报文发往交换机、路由器或某台PC机的某个端口，导致CPU忙于处理ARP协议，负担过重，造成设备其他功能不正常甚至瘫痪。以上是ARP病毒的四种基本攻击类型，实际中ARP病毒还可变种为更多的攻击方式。例如， 有的ARP病毒就

51、专门在网吧中盗窃别人的QQ、 网络游戏账号，使用的就是改进的仿冒网关攻击。但万变不离其宗，只要能够防御四种基本攻击方式，ARP病毒就无计可施了。2 本方案的ARP防范方法下面介绍防范ARP攻击的几种常用方法：根据ARP攻击的特点，给出了攻击和防范对应表。攻击方式防御方法攻击方式防御方法动态获取IP 地址的用户进行 “仿冒网关”、 “欺骗网关”、 “欺骗终端用户”、 “ ARP中间人攻击”配置DHCP Snooping、 ARP入侵检测功能手工配置IP 地址的用户进行 “仿冒网关”、 “欺骗网关”、 “欺骗终端用户”、 “ ARP中间人攻击”配置IP 静态绑定表项、ARP入侵检测功能ARP泛洪攻

52、击配置ARP报文限速功能动态和手工配置IP 地址的用户进行“仿冒网关”攻击配置认证模式的ARP攻击防御解决方案（CAMS下发网关配置功能）6、网络安全规划随着医院信息化系统网络上IT 应用的不断增加以及网络中设备的增加，网络边界安全成为最重要的安全问题之一，需要组合型的安全解决方案。对医院信息化系统边界进行安全防护，首先必须明确哪些网络边界需要防护，这可以通过安全分区来确定。定义安全分区的原则就是首先根据业务和信息敏感度定义安全资产，其次对安全资产定义安全策略和安全级别，对于安全策略和级别相同的安全资产，就可以认为属于同一安全区域。根据以上原则，H3C提出医院信息化系统的安全分区模型，主要包括

53、：内网办公区、数据中心区、外联数据区、互联网连接区、对外连接区、广域网连接区等。信息化网络安全隐患众多，有来自外网的和来自内网的。参照以上的分区，考虑到当前网络上的主要威胁，我们建议网络出口采用统一威胁管理设备H3C SecPath U200-S，该设备集成传统防火墙、VPN、病毒防护、 URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM 应用层流量控制和用户行为审计等安全功能。7、本信息化网络平台解决方案优势1）网络核心高性能网络核心交换设备要求很高的转发性能和可靠性，同时支持万兆技术的扩展，以方便日后的网络升级改造。H3C S5500-EI其背板带宽高达192GGbps、 包转发速率为9

54、5.2Mpps， 具备 L2/L3线速交换能力。基于先进的理念进行设计，具备10GE、 GE、 FE、POS等各种丰富的接口模块，并全面支持ACL、组播、QoS、带宽控制等业务功能。在现行网络环境中可以很好的胜任。2）网络的高安全性网络的发展趋势是基于Internet Web 技术的开放网络化系统。 这不仅带来了新的巨大的使用方便，同时也带来了不断增加的复杂应用及信息技术的挑战，因而安全是医院系统网络建设中要考虑的一个关键因素。主要考虑边界安全和接入安全。边界安全涉及到出口设备的种类和功能，决定网络的不同区域允许或拒绝何种业务，特别是在外网和内网之间。网络出口采用统一威胁管理设备H3C Sec

55、Path U200-S，该设备集成传统防火墙、VPN、病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM 应用层流量控制和用户行为审计等安全功能。接入安全涉及主楼、附楼、医技楼、妇儿楼、综合楼、内科楼等区域。由于信息点众多，上网等原因，非常容易遭受病毒、黑客等的攻击，造成网络瘫痪。E126A /E152 是两款全线速的安全智能交换机，可以根据网络实际使用环境，实施灵活多样的安全控制策略，可有效防止和控制病毒传播和网络攻击，控制非法用户使用网络，保证合法用户合理使用网络资源，充分保障网络安全和网络合理化使用和运营。3） QOS设计本方案所有网络设备提供智能的流分类、完善的服务质量（

56、QoS）和组播应用管理特性。可以在接入层实现QOS，分担核心设备负担，保障关键应用。在医院网络上运行的应用系统应综合考虑医院的HIS系统、 办公系统、PACS系统以及语音及视频应用，尤其在考虑语音及视频应用时应注意对链路带宽的影响。在一定的网络资源条件下，可利用各种技术实施对于关键的应用系统的保障。 如通过先进的队列机制进行拥塞控制，对不同等级的数据进行不同的处理，包括时延的不同和丢包率的不同；采用具备先期拥塞控制机制的网络设备，当网络出现真正的拥塞前就自动采取适当的措施，进行先期拥塞控制，避免瞬间大量的丢包现象；对非常重要的特殊应用，应可以采用保留带宽资源的方式保证其QoS4）高带宽的千兆为

57、主干网从网络的整体结构上我们可以看出整个网络的设计是采用千兆为主干，核心与接入之间均采用千兆的方式，接入与最终用户之间采用百兆的方式进行互通。5）千兆到服务器医院内整个网络将有大量的数据将流向各类应用服务器。显然，如果服务器端使用普通的10/100M 带宽将是整个网络的瓶颈，造成整个网络的拥塞。S5750-24SFP/12GT交换机提供12个1000M口，有效解决了服务器的千兆接入需求。6）可扩展性从我国医院信息系统的发展来看，目前随着门诊系统，住院系统、 PACS系统以及远程医疗的网络化，应用系统的大规模使用使得业务流膨胀是必然的趋势，网络系统面临数据流量增大的压力，在设计医院系统信息网络时

58、应充分考虑系统的可扩展性，从而保护网络系统投资。网络的扩展能力包括设备交换容量的扩展能力、端口数量交换容量扩展应具备在现有基础上继续扩充的能力，以适应IP 类业务急速膨胀的需求。设备的选型应充分考虑包转发能力以及数据交换能力。端口密度扩展需要认真分析用户和应用系统的扩展可能性，在具备扩展可能性的信息节点配置高可扩展性的网络设备，满足网络扩容时对用户接入以及系统互联的需要。在整个网络的核心部署了华为3Com的高端万兆路由交换机S5500，可以支持万兆的线速转发，为将来XXXXXX医院全面的信息化提供网络扩展能力的保证。主干设备应具备充足的接口，满足更高的带宽扩展能力，以适应 IP 类应用及业务急

59、速膨胀的需求。网络规模扩展需综合考虑网络体系结构、路由协议的规划和设备的CPU路由处理能力，应能满足网络扩容时对用户接入以及数据流量变化或增大时处理能力的需要。五、应用系统平台设计、 IBM虚拟化平台解决方案 1 方案简述IBM通过 System x3850M2 服务器+DS3400SAN光纤存储系统部署的虚拟化平台帮助医院整合服务器、操作系统、应用平台，提供资源动态调整、虚拟HA、虚拟机动态部署迁移、虚拟备份全方位虚拟化及整合解决方案。该方案将会是您简化IT 基础设施从而降低成本的理想选择。IBM公司提供的基于虚拟化技术的服务器整合解决方案使客户能充分享受及利用到IBM 的 System x

60、 ? ex4 企业级服务器及虚拟化应用软件VMWAR的功能与优势：可扩展的服务器策略及ERSA（可靠性，可用性和可服务性）的特点。可以帮助客户降低x86 服务器成本，解决服务器无序扩张，利用率低下难题。IBM虚拟化平台解决方案可以给您带来以下价值：帮助客户整合服务器平台，减少硬件占用空间。减少硬件部署和维护成本帮助客户提高服务器资源利用率，提高业务可靠性。帮助客户改善管理灵活性，宕机等灾难情况下减少恢复时间，降低冗余度的前提下提高可用性降低运营和维护成本，包括数据中心空间、机柜、网线，耗电量，冷气空调和人力成本等。加快新服务器和应用的部署，大大降低服务器重建和应用加载时间。 2 方案设计IBM