医院建筑智能化系统工程网络规划方案

1、广广东东佛山佛山龙龙江医院江医院 建筑智能化系建筑智能化系统统工程工程 网网络规络规划建划建议书议书 二二九年六月九年六月 广东佛山龙江医院建筑智能化系统工程网络规划建议书 2 目目 录录 第一章第一章需求分析需求分析.4 第二章第二章设计原则设计原则.5 2.1先进性、成熟性和可扩展性.5 2.2可靠性和稳定性.5 2.3可管理性.5 2.4安全性.5 2.5开放性和互联性.6 第三章第三章内网方案设计内网方案设计.7 3.1设计要点.7 3.2设计思想.7 3.3有线无线一体化设计.8 3.4QOS设计.9 3.5内网网络拓朴结构.10 第四章第四章外网方案设计外网方案设计.11 4.1设

2、计要点.11 4.2设计思想.11 4.3外网网络拓朴结构.12 第五章第五章OA 网方案设计网方案设计 .13 5.1设计要点.13 5.2设计思想.13 5.3OA 网络拓朴结构.14 第六章第六章无线查房解决方案设计无线查房解决方案设计.15 6.1无线网络应用需求.15 6.2WLAN 建网原则.16 6.3无线组网方案.17 6.3.16.3.16.3.1无线技术选择.17 6.3.26.3.26.3.2系统架构选择.18 6.3.36.3.36.3.3部署方案.19 6.3.46.3.46.3.4健全的安全体制.20 6.3.56.3.56.3.5简单易行的集中管理工作.21 第七

3、章第七章安全设计安全设计.22 7.1安全系统概述.22 广东佛山龙江医院建筑智能化系统工程网络规划建议书 3 7.2安全性建议.23 第八章第八章网络管理网络管理.26 8.1管理功能介绍.26 8.1.18.1.18.1.1拓扑管理.26 8.1.28.1.28.1.2告警管理.27 8.1.38.1.38.1.3性能管理.28 8.1.48.1.48.1.4服务器资源监视.29 8.2网络管理内容.30 8.2.18.2.18.2.1设备管理.30 8.2.28.2.28.2.2配置管理.31 8.2.38.2.38.2.3故障管理.32 8.2.48.2.48.2.4性能管理.34 8

4、.2.58.2.58.2.5用户管理.34 第九章第九章整体方案优势整体方案优势.37 广东佛山龙江医院建筑智能化系统工程网络规划建议书 4 计算机网络系统计算机网络系统 第一章第一章需求分析需求分析 计算机网络系统是智能建筑的神经中枢，龙江医院计算机网络系统要求在 综合布线系统的基础上，以网络中心作为核心，以 IP 和 Intranet 技术为技术主 体，在龙江医院构建高宽带的、可冗余的、可路由的、IP 交换的、可备份的、 安全可靠的计算机宽带网络，保证医院内各种基于网络平台的应用系统的正常 运行以及高速访问互联网、保证与社保中心的可靠连接。 为了完全保证网络的安全，医院网络将分设为三个相对

5、独立的网络，一个 是外网可以和外部进行联系上 INTERNET；一个是内网只供医院内部使用，不 连互联网；一个则是专门的 OA 办公系统。 根据这些需求，在设计和确定网络的总体性能及拓扑结构时，既要考虑网 络建设的基本理论和原则，又要考虑医院的实际情况、应用需求、资金条件和 近、远期目标，使得所实现的网络，既能高效、经济、满足用户近期的应用需 求，又能满足网络未来扩展的需要。 广东佛山龙江医院建筑智能化系统工程网络规划建议书 5 第二章第二章 设计原则设计原则 2.1先进性、成熟性和可扩展性先进性、成熟性和可扩展性 设计立足先进技术，相对成熟可靠，符合网络发展的方向。使整个系统能 够最大限度地

6、适应以后技术和业务发展变化的需要，并具有扩展能力，以适应 未来网络技术的发展。高性能承载网络性能是人民医院整个办公系统良好运 行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、 语音、图像）的高质量传输，力争实现透明网络，网络不能成为医院实施业务 的瓶颈。 2.2可靠性和稳定性可靠性和稳定性 网络的稳定可靠是应用系统正常运行的关键，设计上严格注意如何保证网 络系统的可靠性和运行的稳定性，其中包括： 1）网络结构的可靠性和稳定性 在网络拓扑结构的设计上，力求简洁，充分考虑冗余、容错和备份能力， 同时合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的 能力，最大限度

7、地支持系统的可靠运行，符合网络发展的方向。 2）网络设备的可靠性 选用的网络设备保证在网络设计中选用高可靠性的网络产品设备，尽量避 免单点失效。 2.3可管理性可管理性 在整个网络中，联入网络的网络设备、终端设备多、分布广、网络运行情 况复杂，网络设备应具有很好的可管理性，以便于管理和维护。利用先进的网 络管理软件，可以通过网管工作站监测整个网络的运行状况、迅速确定网络故 障位置、合理分配网络资源、动态配置网络负载等。 广东佛山龙江医院建筑智能化系统工程网络规划建议书 6 2.4安全性安全性 作为 INTRANET/INTERNET 网络，网上存在大量和重要信息，整个网络 设计、网络设备选择、

8、网络平台及应用软件设计将安全放在首位，确保网络安 全和信息安全。做到业务数据的安全传递和网络设备不受黑客攻击。 2.5开放性和互联性开放性和互联性 在网络设计过程考虑到与其它系统或网络的互联，因此，网络系统支持多 协议、兼容各种拓扑结构、互连性好，能够和医院现有的及未来的网络系统互 联。 广东佛山龙江医院建筑智能化系统工程网络规划建议书 7 第三章第三章内网方案设计内网方案设计 3.1设计要点设计要点 1）99.999%的可靠和可用，保护投资； 2）树型结构； 3）层次分明：核心层/接入层； 4）能防网络病毒，能保护服务器，能防黑客； 5）核心交换机必须为多业务平台，以保护投资； 6）高速无线

9、网络无盲区全覆盖； 3.2设计思想设计思想 在整体拓扑结构设计中，考虑扩展冗余特性，通过物理上环形结构但在逻 辑上程树型的拓扑结构，最大程度保证网络的健壮和自愈特性。从性能及未来 扩展性来考虑，全网采用千兆骨干、百兆到桌面千兆骨干、百兆到桌面的组网方案。我们本次内网网 络采用全星型的网络拓扑，结构上采用接入层直接到核心层的二层折叠组网方 式，使网络更加的高效简洁。 网络中心的核心交换机组组是整个网络的交换中心，同时也是整网 （LAN）的路由中心，全网的第三层、第四层操作都通过该核心组集中进行， 其有效性通过核心交换机全线速的多层处理性能以及骨干网的高带宽来实现保 证。两台核心交换机互为冗余热备

10、、负载分担。 对于内部局域网络，部署核心交换机 H3C S7510E，提供 768Gbps 交换容 量、488Mpps 转发能力；支持各种高密度业务板，整机可支持高达 480 个千兆 端口，满足核心层设备大容量、高端口密度的要求。 H3C S7510E 核心交换机基于开放的 OAA 架构，可以集成 IPS 模块、应用 控制模块、应用加速模块、异常流量监测模块、异常流量清洗模块、负载均衡 广东佛山龙江医院建筑智能化系统工程网络规划建议书 8 模块等等功能模块，为以后网络的升级改造预留的广阔的空间。 安全方面，此次方案选择了高端千兆防火墙 H3C SecPath F1000-C，提供了 对千兆网络

11、的支持，并具有两个扩展插槽，最高可支持到 12 个千兆端口。该防 火墙也是基于开放的 OAA 架构，能够支持防病毒模块、网络流量监控模块等 功能模块。 无线接入方面，此次方案选择了 H3C WA2220-AG-Fit 双频双模瘦 AP 产品， 无线管理方面则采用了 H3C WX5004 无线控制器。瘦 AP 加无线控制器的组网 方式，完美的提供了漫游服务、射频管理、安全检测等功能，能为医院无线查 房系统提供强有力的后台保障。 H3C WA2220-AG-Fit 具有良好广泛的兼容性，能同时对 IEEE802.11a、802.11b、802.11g 这三种无线规格提供接入服务。 H3C WX50

12、04 无线控制器是华三公司自主研发的高可靠性无线控制器。具 有 4 个千兆光口，最多能管理到 256 个 AP，可以对 4000 个无线用户进行控制 管理，可以满足未来大型无线网络的部署需求。 接入层中，选择了 H3C S3100-26TP-EI 增强型百兆接入千兆上行二层交换 机。最大支持 16 台设备堆叠。交换机进行环形堆叠后千兆光纤上联到汇聚交换 机。此外，支持 ARP 入侵检测功能，有效防止日益盛行的“ARP 欺骗攻击” ； 支持 EAD（端点准入防御）功能，在后台系统的配合下，能提高医院网络整体 防御能力；具有 VCT 电缆检测功能，便于快速定位网络故障点；并支持 DLDP 单向链路

13、检测协议，可以有效的防止网络中单通故障的发生，大幅提高网络维 护效率，切实将设备的易用性带给用户。 3.3有线无线一体化设计有线无线一体化设计 作为有线网络的有益补充，无线网络可以解决空间覆盖的问题，同时也能 解决信息实时收集的问题，面对将来医院网络趋于实时化、数字化的发展方向， WLAN 技术的移动性、灵活性和高效性不仅解决了网络覆盖问题，而且可使医 护人员能实时获取患者信息或者搜索决策支持信息，这种系统使医护人员可以 更加准确、快速和高效的制定决策和采取相应的措施。 广东佛山龙江医院建筑智能化系统工程网络规划建议书 9 FIT AP 解决方案无缝与有线网络结合，针对医院的空间进行了全面无线

14、信 号覆盖，专业的无线安全认证确保医院信息不外泄，自动三层漫游功能使业务 不中断，POE 供电技术使无线网络布线变得简单，目前已经实现了电子病例， 无线查房等应用，后续护士呼叫系统、患者床边服务、对重要的统计数据的监 控等无线网络的应用也可平缓上线。 一体化的安全管理全面提高用户满意度： 1）有线、无线统一网管 2）无线控制器（AC）通过网管软件进行管理 3）支持无线业务告警管理系统，专家系统让网络管理变得更容易 4）有线、无线统一认证，统一安全策略。 3.4QosQos 设计设计 在多种业务并存并且可能存在资源瓶颈的地方，都应该考虑相应的 QOS 保 证机制，确保时间敏感的、关键的业务报文能

15、够被及时、正确、有效的转发。 在本解决方案中，所有设备都可以支持相应的 QOS/COS 策略，核心多层交换 机支持完善的 Diff-Serv/QoS 功能。支持流量监管，粒度可精细化到 64Kbps； 支持流量整形，可基于端口或队列灵活设置；支持报文 DSCP 优先级、IP 优先 级、TOS 优先级、COS 优先级以及 Exp 优先级的重置功能；支持报文重定向功 能，可根据网络流量状况灵活配置报文的转发路径；支持 SP、WRR、SP+WRR 等多种模式的队列调度机制；支持 Tail-Drop、WRED 等拥塞避免机制；支持端 口镜像、流镜像、流量统计等功能。 通过所选用的各层交换机丰富的 Qo

16、S 策略，真正做到业务区分并保证带宽/ 时延/抖动在限定的范围之内，使网络可以为用户提供具有不同服务质量等级的 服务保证，使真正成为同时承载数据、图像、语音和视频业务的综合网络。 广东佛山龙江医院建筑智能化系统工程网络规划建议书 10 3.5内网网络拓朴结构内网网络拓朴结构 卫生局医保 F1000-C防火墙 核心1 S7510E 核心2 S7510E iMC网络管理平台 S3100-EI 堆叠组 S3100-EI 堆叠组 S3100-EI 堆叠组 S3100-EI 堆叠组 百兆电缆 千兆光纤 千兆电缆 内网网络拓扑结构 广东佛山龙江医院建筑智能化系统工程网络规划建议书 11 第四章第四章外网方

17、案设计外网方案设计 4.1设计要点设计要点 1）99.999%的可靠和可用，保护投资； 2）树结构； 3）层次分明：核心层/接入层； 4）核心用交换式路由，边缘用路由式交换； 5）能防网络病毒，能保护服务器，能防黑客； 6）核心交换机必须为多业务平台，以保护投资； 4.2设计思想设计思想 在外网整体拓扑结构设计中，从网络的整体性能和扩展性考虑，外网同内 网采用相同的网络结构，即通过树型的拓扑结构，千兆骨干、百兆到桌面的组 网方案。 网络中心的核心交换机组是整个网络的交换中心，同时也是整网（LAN） 的路由中心，全网的第三层、第四层操作都通过该核心组集中进行，此次外网 设计计划部署 S7503

18、作为外网核心机组，提供 384Gbps 交换容量、198Mpps 转 发能力，其有效性通过核心交换机全线速的多层处理性能以及骨干网的高带宽 来实现保证。 接入层中，选择了 H3C S3100-26TP-EI 增强型百兆接入千兆上行二层交换 机。最大支持 16 台设备堆叠。交换机进行环形堆叠后千兆光纤上联到汇聚交换 机。此外，支持 ARP 入侵检测功能，有效防止日益盛行的“ARP 欺骗攻击” ； 支持 EAD（端点准入防御）功能，在后台系统的配合下，能提高医院网络整体 防御能力；具有 VCT 电缆检测功能，便于快速定位网络故障点；并支持 DLDP 单向链路检测协议，可以有效的防止网络中单通故障的

19、发生，大幅提高网络维 护效率，切实将设备的易用性带给用户。 广东佛山龙江医院建筑智能化系统工程网络规划建议书 12 安全方面，选择了高端千兆防火墙 H3C SecPath F1000-C，提供了对千兆网 络的支持，并具有两个扩展插槽，最高可支持到 12 个千兆端口。该防火墙也是 基于开放的 OAA 架构，能够支持防病毒模块、网络流量监控模块等功能模块。 在网络出口方面，配置了一台多业务高性能路由器 H3C MSR 20-21。MSR 具有丰富的扩展接口，能够在网络应用不断丰富的形势下将多元业务方便的部 署于同一节点，在最大程度避免网络中多设备繁杂异构问题的同时，极大降低 了企业网络建设的初期投

20、资与长期运维成本。 4.3外网网络拓朴结构外网网络拓朴结构 F1000-C防火墙 核心 S7510E iMC网络管理平台 S3100-EI 堆叠组 S3100-EI 百兆电缆 千兆光纤 千兆电缆 外网网络拓扑结构 S3100-EI 堆叠组 医保 S3100-EI Internet 广东佛山龙江医院建筑智能化系统工程网络规划建议书 13 第五章第五章OA 网方案设计网方案设计 5.1设计要点设计要点 1）99.999%的可靠和可用，保护投资； 2）树结构； 3）层次分明：核心层/接入层； 4）核心用交换式路由，边缘用路由式交换； 5）能防网络病毒，能保护服务器，能防黑客； 5.2设计思想设计思想

21、 在 OA 网整体拓扑结构设计中，从网络的整体性能和扩展性考虑，OA 网 同内网、外网采用相同的网络结构，即通过树型的拓扑结构，千兆骨干、百兆 到桌面的组网方案。 此次 OA 网计划在核心层部署 H3C S5600-26C 作为 OA 网核心机，提供了 192Gbps 的交换容量和 66Mpps 的包转发率。并具有丰富的接口模块，为未来 网络的扩展预留了空间。 接入层中，选择了 H3C S3100-26TP-EI 增强型百兆接入千兆上行二层交换 机。最大支持 16 台设备堆叠。交换机进行环形堆叠后千兆光纤上联到汇聚交换 机。此外，支持 ARP 入侵检测功能，有效防止日益盛行的“ARP 欺骗攻击

22、” ； 支持 EAD（端点准入防御）功能，在后台系统的配合下，能提高医院网络整体 防御能力；具有 VCT 电缆检测功能，便于快速定位网络故障点；并支持 DLDP 单向链路检测协议，可以有效的防止网络中单通故障的发生，大幅提高网络维 护效率，切实将设备的易用性带给用户。 安全方面，选择了百兆防火墙 H3C SecPath F100-A，能提供多种智能分析 和管理手段，支持邮件告警，支持多种日志，并具有网络管理监控功能，简化 了网络管理人员的工作。 广东佛山龙江医院建筑智能化系统工程网络规划建议书 14 5.3OAOA 网络拓朴结构网络拓朴结构 F100-A防火墙 核心 S5600-26C S31

23、00-EI S3100-EI 百兆电缆 千兆光纤 千兆电缆 OA网网络拓扑结构 S3100-EIS3100-EI 内网网络 广东佛山龙江医院建筑智能化系统工程网络规划建议书 15 第六章第六章无线查房解决方案设计无线查房解决方案设计 6.1无线网络应用需求无线网络应用需求 随着信息技术的快速发展，国内越来越多的医院正加速实施基于信息化平 台、HIS 系统的整体建设，以提高医院的服务水平与核心竞争力。信息化不仅 提升了医生的工作效率，使医生有更多的时间为患者服务，更提高了患者满意 度和信任度，无形之 中树立起了医院的科技形象。因此，医疗业务应用与基础 网络平台的逐步融合正成为国内医院，尤其是大中

24、型医院信息化发展的新方向。 众所周知，查房是住院部医生每天的例行工作。在传统工作模式下，医生 或护士需要随身携带一大堆病历本，并以手写方式记录医嘱信息。这样既不利 于查房效率的提高，也容易因录入和识别而产生误差。 因此，有些医院开始在病房里部署医疗网络，减少手工操作。在有线网络 模式下，医生将工作站插到病房里的网络接口上，就可以完成例行检查。这比 传统查房方便了许多，但多次插拔很容易造成设备损坏，加大不必要的开支。 而采用无线局域网的方式覆盖各病房无需考虑人数，无需插拔接口，只要估算 接入带宽即可，而且还能为用户提供在覆盖区内任何角落接入网络的优势。 事实上，无线查房，就是把数字化推到病人床前

25、。医生或护士只需轻轻点 击随身携带的平板电脑或 PDA， 就可随时调阅病人的病历、医嘱和各种检查、 化验以及护理等信息，并可以准确地在床边下医嘱，记录病情变化，及时将相 关信息，传输至科室和医院的管理终端。 无线查房系统的使用将最大程度的提 升医生查房的工作效率，减少患者等待时间，提升患者满意度。可以说，无线 查房系统是医院 HIS 系统的一项革命性应用。 具体体现包括： 电子病历访问/查看 医生处方输入和药物治疗匹配 广东佛山龙江医院建筑智能化系统工程网络规划建议书 16 护士呼叫系统 患者床边服务 对重要的统计数据的监控 同时，本次龙江医院无线工程还将满足以下业务需求： 针对医院的空间要进

26、行全面覆盖； 无线网络通过安全认证，保证医院信息不能通过无线网络外泄露； 用户在无线区域内移动时，不需要多次重复认证，实现自动漫游，即 业务不中断 6.2WLANWLAN 建网原则建网原则 结合 WLAN 的实际应用和发展要求，无线局域网(WLAN)网络系统设计， 主要遵循以下系统总体原则： 实用性原则：以现行需求为基础，充分考虑发展的需要来确定系统规 模。 安全性原则：WLAN 是一个空间开放网络，同时作对信息的安全以及 网络的安全要求较高。 可靠性原则：系统设计能有效的避免单点失败，在设备的选择和关键 设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障 的可能性，另一方面要保证网

27、络能在最短时间内修复。 规范性原则：系统设计所采用的技术和设备应符合 WLAN 国际标准、 国家标准和联通 WLAN 企业标准，为系统的扩展升级、与其他系统的 互联提供良好的基础。 开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高 的技术方案；设备的各种接口满足开放和标准化原则。 可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模 广东佛山龙江医院建筑智能化系统工程网络规划建议书 17 块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公 地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护 现有的投资。 可管理性原则：整个系统的设备应易于管理，易于维护，

28、操作简单， 易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能 等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。 6.3无线组网方案无线组网方案 随着无线网络技术的发展，建设一个安全可靠、易于管理和扩展的无线查 房系统需要考虑哪些方面呢？作为业内优秀的网络供应商，H3C 通过多年建网 经验的积累和对医疗行业的深入了解，推出了一套符合医院需求的无线查房系 统建设方案。 6.3.16.3.16.3.1 无线技术选择无线技术选择 选择医院无线查房系统，首先需要确定技术标准。目前主要的无线标准有 IEEE 802.11、HomeRF 和蓝牙等。就纯粹的无线局域网技术而言，最成熟的是

29、 IEEE 802.11 标准，包括已经批准的 IEEE802.11a、b 和 g 规范以及等待批准的 802.11n 规范。相比较下，802.11g 标准是不错的选择，目 前市场上的大部分 无线接入点 AP、医用 PDA、平板电脑等都遵循 802.11g 标准。 表表 1 1、三种基本、三种基本 IEEE802.11IEEE802.11 标准的对比标准的对比 标准标准 802.11b802.11b 802.11a802.11a 802.11g802.11g 波段 2.4GHz 5.8GHz 2.4GHz 调制方式 DSSS OFDM OFDM 最大覆盖范围 250m 125m 250m 最大

30、传输速率 11 Mbps54 Mbps 54 Mbps 实际最大数据流量 6Mbps 27-30Mbps27-30Mbps 最大无交叠信道数 3 12 3 广东佛山龙江医院建筑智能化系统工程网络规划建议书 18 其他问题 网络拥有最大的已 安装量 在有些地区需要 802.11 扩展 （如 EMEA） 向前兼容 802.11b 应用场景 不需要高带宽的应 用。 需要更大的 覆盖范围。 价格 是主要考虑因素。 需要例如语音和视频等高带宽 的应用。 拥有少量紧密集中 的用户。 运行既需要高带宽同 时又需要大覆盖区域； 需要向下兼容 802.11b 设备。 6.3.26.3.26.3.2 系统架构选择

31、系统架构选择 目前，无线查房系统有两种典型的解决方案：FAT AP 解决方案和 FIT AP 解决方案。简单来讲，如果仅仅作无线数据接入、只需要二层漫游，对安全性、 管理性各方面没有复杂要求的话，FAT AP 方案（也称胖 AP 解决方案）就可以 胜任；如果需要高安全性、管理性及三层漫游切换、需要承载无线语音，且网 络规模较大，那么只有选择 FIT AP 方案（也称瘦 AP 解决方案）才可以。 表表 2 2、FATFAT APAP 和和 FITFIT APAP 的对比的对比 方案 FAT AP 方案 FIT AP 方案 技术模式 传统主流 新生方式，增强型管理 安全性 传统加密、认证方式，普通

32、安全性 增加射频环境监控，基于用户位置安全策 略，高安全性 网络管理 对每 AP 下发配置文件 无线交换机上配置好文件，AP 本身零配置 用户管理 类似有线，根据 AP 接入的有线端 口区分权限 无线专门虚拟专用组方式，根据用户名区 分权限 WLAN 组网规模 二层漫游，适合小规模组网，成本 较低 二层、三层漫游，拓扑无关性，适合大规 模组网，成本较高 增值业务能力 仅实现简单数据接入 可扩展语音等丰富业务 典型的 FIT AP 无线查房系统由三个部分组成：无线平板电脑/PDA、AP、无 线交换机及用户认证系统。医生用无线平板电脑或护士无线 PDA，经过 AP 无线 广东佛山龙江医院建筑智能化

33、系统工程网络规划建议书 19 接入点接入医院网络系统，必须要通过无线认证系统的安全认证和授权，才能 够访问病人的电子病历。 6.3.36.3.36.3.3 部署方案部署方案 部署位置：考虑到楼宇的整体美观以及设计和部署上的简便，实际覆盖时 可以采用 WLAN 室内覆盖，采用外置吸顶天线，将 AP 隐藏到天花板后面，实现 对病房、护士工作站、病区楼道无线网络信号覆盖的效果。 运行环境：选择 AP 时需要考虑其工作环境温度和湿度能否在本医院的各部 署位置正常运行。 POE 供电：对 AP 的供电采用 POE（以太网线供电）方式由上层网络设备完 成（支持 POE 的以太网交换机，如 H3C 的 S3

34、900-PWR 等），无需本地供电，简 化设备供电上的安装难题。 信号强度：一般情况下，88dBm 以上可保证较高数据传输速率，当信号 小于96dBm 时则不能保证用户的接入需求。 最佳信道选择：AP 接入点应该能够扫描可用信道并自动选择最合适信道， 这种特性能够将同信道干扰降到最低。 广东佛山龙江医院建筑智能化系统工程网络规划建议书 20 快速漫游：医生/护士移动终端是在各病房之间移动的，会通过不同的 AP 接入网络，这需要医生/护士用户信息和授权在 WLAN 移动域内快速交互。当用 户漫游网络时，用户位置、安全性以及访问详细信息迅速地在交换机或控制器 之间传输，在保持无缝安全性和会话完整性

35、的情况下快速漫游，而无需再次认 证。当用户漫游时这些组共享用户信息和授权，从而跨越整个无线网络支持移 动性并增强安全性。 6.3.46.3.46.3.4 健全的安全体制健全的安全体制 医院的 HIS、PACS 系统保存了大量的病人私人信息，必须防止无关人员通 过无线查房系统，杜绝非法的访问甚至破坏。H3C 建议在适当的位置采用合适 的机制，用以消除医院用户对此的顾虑。 WPA 标准：早期的无线网络系统的安全机制 WEP，没有用户认证机制，存在 的风险很大。为了增强用户认证机制，医院开始采用 WPA 标准对终端用户进行 身份 认证。现在的无线 PDA 一般都支持 WPA 安全机制，接入无线查房系

36、统前需 要通过 802.1x 的用户认证，传送数据时无线 PDA 和 AP 之间采用 TKIP 进行 数 据加密。 安全机制安全机制 WLANWLAN 安全技术安全技术 加密算法 WPA TKIP、WPA2 AES（128 位） 加密和数据私有性 消息一致性 TKIP-MIC、AES-CBC-MAC 认证框架 802.1x、EAP 安全认证、授权和访问控制 认证算法 LEAP、PEAP、EAP-FAST AP 零配置：AP 支持零配置安装，可以降低安装维护成本，且 AP 本身不保 存任何安全信息，失窃后对整网安全不构成威胁。 非法 AP 监测和隔离：由于 Wi-Fi 产品都很容易安装，很可能会

37、有一些不 为医院 IT 部门所知的非法用户接入，这些没有正确配置和管理的用户将会对医 院的网络系统构 成很大的安全威胁。定期的物理检测当然是必要的，最好是网 络管理工具可以自动定期扫描非法 AP 的接入，并对其进行隔离。 广东佛山龙江医院建筑智能化系统工程网络规划建议书 21 漫游的安全性：医生或护士查房时需要手持 PDA 终端在各病房之间走动， PDA 可能通过不同厂家的 AP 接入电子病历系统，需要在 AP 间无缝移动。因此， 漫游的安全性的问题也被推到台前，H3C 认为，这一问题可以基于接入点间协 议（IAPP）来解决。 IAPP 的目标是，当 AP 执行分布式系统任务时，便于不同供应商

38、之间的 AP 无缝漫游。IAPP 处理网络中 AP 的注册以及当用户在不同供应商的 AP 的覆盖区 域漫游时所需的信息交换，有助于 AP 间的快速切换。 6.3.56.3.56.3.5 简单易行的集中管理工作简单易行的集中管理工作 H3C 无线查房系统的管理包括 AP 管理、用户管理、安全管理等。通过无线 交换机进行 AP 的管理，通过 RADIUS 系统来进行用户管理、安全认证和授权。 全自动设备管理：对于一个无线查房系统网络规模较大的医院而言，集中 管理无线查房系统就变得日益重要，它使网管人员具有通过网络发现、管理、 升级接入点的能力。网络管理员通过管理工具发现无线设备的接入、配置参数、

39、诊断程序的运行、监测性能、查看设备特性以及配置设备。 用户管理：推荐通过设置用户名和密码来控制接入用户来进行配置，以保 护每个网络基础接入点。为了减轻网络管理工作，类似“保存并加载工具”这 样的功能十分有用，它可以使你批量配置设备。 安全管理：集中式管理的方法也允许高级的功能性管理和带宽管理。IT 部 门可以通过域和对不同用户组授予相应的权限来组织 WLAN。对于大一些的网络， 这种 功能可以集中管理自动完成，这样当一个无线用户通过 802.1x 和 RADIUS 认证后，无线接入交换机将自动给该用户分配合适的 VLAN。违反安全规则的行 为可以通过 AP 接入点的安全违反标志或是管理控制台的

40、错误信息被发现。当然， 未授权接入点也能被捕捉到，它们将会被删除或是进行合适的配置。 统一管理：医院的目标应该是将无线查房系统的网络管理与整个有线网络 的网管系统结合起来。支持 SNMP 管理协议对于 AP 和无线交换机的安全管理非 常关键，一些供应商已经实现了该目标。不想实现集中化管理的医院可以考虑 广东佛山龙江医院建筑智能化系统工程网络规划建议书 22 使用基于 Web 的 Wi-Fi 设备的管理能力。这也可以进行升级、重配置以及通过 标准网页浏览器进行简单的性能检测。 第七章第七章安全设计安全设计 7.1安全系统概述安全系统概述 随着网络技术的普及，网络攻击行为出现得越来越频繁。通过各种

41、攻击软 件，只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒 的泛滥，也加剧了网络被攻击的危险。目前，Internet 网络上常见的安全威胁分 为以下几类： 非法使用：资源被未授权的用户（也可以称为非法用户）或以未授权方式 （非法权限）使用。例如，攻击者通过猜测帐号和密码的组合，从而进入计算 机系统以非法使用资源。 拒绝服务：服务器拒绝合法用户正常访问信息或资源的请求。例如，攻击 者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应，致 使服务器负荷过重而不能处理合法任务。 信息盗窃：攻击者并不直接入侵目标系统，而是通过窃听网络来获取重要 数据或信息。 数据篡改：攻

42、击者对系统数据或消息流进行有选择的修改、删除、延误、 重排序及插入虚假消息等操作，而使数据的一致性被破坏。 广东佛山龙江医院建筑智能化系统工程网络规划建议书 23 2 众众多多安安全全威威胁胁的的困困扰扰 网网络络攻攻击击 蠕蠕虫虫病病毒毒后后门门木木马马 垃垃圾圾邮邮件件 非非法法访访问问 地地址址匮匮乏乏 黑客产业链的形成威胁到企业的核心机密，信息外泄、信息窃取时有发生 蠕虫、木马、间谍软件泛滥造成信息系统的业务中断 外部网络地址繁多，网络陷阱和威胁无处不在 目前网络中主要使用防火墙来保证内部网路的安全。防火墙类似于建筑大 厦中用于防止火灾蔓延的隔断墙，Internet 防火墙是一个或一组实施访问控制策 略的系统，它监控可信任网络（相当于内部网络）和不可信任网络（相当于外 部网络）之间的访问通道，以防止外部网络的危险蔓延到内部网络上。防火墙 作用于被保护区域的入口处，基于访问控制策略提供安全防护。例如：当防火 墙位于内部网络和外部网络的连接处时，可以保护组织内的网络和数据免遭来 自外部网络的非法访问（未授权或未验证的访问）或恶意攻击；当防火墙位于 组织内部相对开放的网段或比较敏感的网段（如保存敏感或专有数据的网络部 分）的连接处时，可以根据需要过滤