××医院网络解决方案技术建议书
××医院网络解决方案技术建议书 ............................................................................................................... 1 第1章 概述 ............................................................................................................................................................. 4
1.1 医院网络建设需求 .................................................................................................................................... 4
1.2.1 内网需求 ................................................................................................................................... 4 1.2.2 外网需求 ................................................................................................................................... 5 1.2 网络安全需求 ............................................................................................................................................ 5 1.3 医院业务应用分析 .................................................................................................................................... 6
1.3.1 医院业务划分 ................................................................................................................................. 6 1.3.2 应用系统分类 ................................................................................................................................. 6 1.3.3 医院业务系统的需求 ..................................................................................................................... 7
第2章 ××医院网络系统 ..................................................................................................................................... 8
2.1 网络设计原则 ............................................................................................................................................ 9
2.1.1 核心层需求分析 ........................................................................................................................... 10 2.1.2 接入层需求分析 ........................................................................................................................... 10 2.1.3 链路层需求分析 ............................................................................................................................11 2.2 ××医院内网规划设计 ...........................................................................................................................11 2.3 ××医院外网规划设计 .......................................................................................................................... 13 第3章 整网安全防护设计 ................................................................................................................................... 15
3.1.1 地址扫描攻击防护能力 ............................................................................................................... 15 3.1.2 DoS/DDoS攻击防护能力 ............................................................................................................. 15 3.1.3 广播/组播报文速率限制 .............................................................................................................. 16 3.1.4 MAC地址表容量攻击防护能力 .................................................................................................. 16 3.1.5 静态MAC地址表项和ARP表项绑定能力 ............................................................................... 16 3.1.6 强大的ACL能力 ......................................................................................................................... 16 3.1.7 URPF(单播反向路径查找)检查能力 ....................................................................................... 17 3.2 控制信令层面的安全能力 ...................................................................................................................... 17
3.2.1 ARP协议攻击防护能力 ................................................................................................................ 17 3.2.2 地址冲突检测能力 ....................................................................................................................... 17 3.2.3 TC/TCN攻击防护能力 ................................................................................................................. 17 3.2.4 地址盗用防护能力 ....................................................................................................................... 18 3.2.5 路由协议攻击防护能力 ............................................................................................................... 18 3.3 设备管理层面的安全能力 ...................................................................................................................... 18
3.3.1 管理用户分级分权 ....................................................................................................................... 18 3.3.2 支持安全的远程管理 ................................................................................................................... 19 3.3.3 支持安全审计 ............................................................................................................................... 19 3.3.4 安全接入控制 ............................................................................................................................... 19 3.3.5 SFTP服务 ...................................................................................................................................... 19 3.4 ARP攻击简介 ........................................................................................................................................... 20
3.4.1 仿冒网关 ....................................................................................................................................... 20 3.4.2 欺骗网关 ....................................................................................................................................... 21 3.4.3 欺骗终端用户 ............................................................................................................................... 21 3.4.4 “中间人”攻击 ................................................................................................................................. 22 3.4.5 ARP报文泛洪攻击 ........................................................................................................................ 22 3.5 ARP攻击防御 ........................................................................................................................................... 22
2016-9-22
第2页, 共51页
3.5.1 DHCP Snooping功能 ..................................................................................................................... 23 3.5.2 ARP入侵检测功能 ........................................................................................................................ 23 3.5.3 ARP报文限速功能 ........................................................................................................................ 23
第4章 无线应用设计 ........................................................................................................................................... 24
4.1 无线业务需求分析 .................................................................................................................................. 24 4.2 整体无线建网原则 .................................................................................................................................. 24 4.3 WLAN组网关键问题解决 ...................................................................................................................... 25 4.4 频率规划与负载均衡 .............................................................................................................................. 27 4.5 切换与漫游 .............................................................................................................................................. 28 4.6 AP供电 ..................................................................................................................................................... 29 第5章 智能管理中心设计 ................................................................................................................................... 29
5.1 网络管理解决方案 .................................................................................................................................. 30
5.1.1 系统安全管理 ............................................................................................................................... 30 5.1.2 资源管理 ....................................................................................................................................... 32 5.1.3 拓扑管理 ....................................................................................................................................... 33 5.1.4 故障(告警/事件)管理 .............................................................................................................. 38 5.1.5 性能管理 ....................................................................................................................................... 43 5.1.6 设备管理组件 ............................................................................................................................... 46 5.2 无线业务管理解决方案 .......................................................................................................................... 47
2016-9-22 第3页, 共51页
第1章 概述
1.1 医院网络建设需求
1、为HIS、PACS等应用系统提供一个强有力的网络支撑平台;
2、网络设计不仅要体现当前网络多业务服务的发展趋势,同时需要具有最灵活的适应、扩展能力; 3、一体化网络平台:整合数据、语音和图像等多业务的端到端、以IP 为基础的统一的一体化网络平台,支持多协议、多业务、安全策略、流量管理、服务质量管理、资源管理; 4、数据存储安全:医院信息系统的数据存储需要具有存储量大、扩充性强的特点。
5、医疗信息的安全保护,也是组要的环节,网络的设计不仅要考虑用户与服务器之间的互联互通,更要保护关键服务器的安全和内部用户的安全。
1.2.1 内网需求
内网是医院核心网络系统,用于开展日常医疗业务(HIS、LIS、PACS、财务、体检系统等)的内部局域网,系统应稳定、实用和安全,具有高宽带、大容量和高速率等特点,并具备将来扩容和带宽升级的条件。
? 网络设计要求:
1、实现万兆主干,桌面接入实现100/1000M自适应(传输图像的桌面直接实现1000M接入); 2、配备的网管软件应提供可视的形象化的图形界面,对整个网络中网络产品的全部端口进行监视和管理; 3、交换机互连采用多条链路捆绑,防止链路瓶颈,并提供链路冗余。
由于医疗行业的特殊性,医护人员和病患者之间需要频繁地在院内移动、同时处理大量的信息,要求网络具备可移动性、传输速率高等特点。同时考虑到医院业务量的增加,网络需要留出足够余地扩容而不影响医院正常的工作。
? 网络应用设计要求:
1、院内核心网络系统HIS、PACS和LIS、体检系统等应用分别单独组网。以子网的形式组成医院的整体网络。各网络功能独立应用,信息互通,资源共享;当任何一个子网出现故障,都不会影响到其他子网的使用。
2、新建的网络系统应充分考虑跟现有网络系统的平滑接入,不影响现有系统的正常运行,并考虑和现有网络系统实现网络冗余。
3、住院病区考虑到无线查房的需要,需要部署无线网络。
4、传输动态图像的部门有:放射影像科、PET/CT、核磁共振MRI、介入放射科DSA、B超室、心超室、
2016-9-22
第4页, 共51页
脑超室、心电图室、肌电图室、胃肠镜室、内窥镜室、重症监护室(ICU、CCU等)、手术室、麻醉科、视频示教室和会议室等。
5、医保(包括省医保、市医保、区医保以及市公费医疗)是专线接入。须配置医院内网与专线网的接口。 6、为了更好地服务于医疗科研工作,需要将各类监护治疗仪器上的各项生命体征等信息以数字化手段采集并且保存下来,在需要时,可随时还原。因此,须考虑将医院所有的监护仪器和大型设备都联网。
1.2.2 外网需求
外网原则上是指除医院内网之外的所有网络系统,包括INTERNET、银联系统、医院图书馆知识管理平台、和市卫生局联网的应急系统、办公自动化系统、电视监控信号传输、BA、安防监控、视频会议系统、公共区域无线上网等。
1、应急系统也是卫生局专线接入,通过外网接口和院内视频会议系统连接。 2、银联系统是用各POS机终端通过外网接口与原银联系统连接。
3、Internet网提供远程医疗、远程教育、局办公自动化服务、医疗设备远程维护等。
4、医院内部职工文献检索及知识管理平台集中在电子图书馆,但须在所有办公场所、住院楼病房、宿舍等地方预留Internet网接口。
5、办公自动化系统服务器设在二号楼十二楼机房,需在新大楼预留外网接口。 6、院内电视监控系统采集的信号需要从医院外网系统上传输,需预留外网接口。 7、每个病区病床需预留外网接口考虑将来做电视点播(IPTV)作用。 8、医院公共区域无线上网可以考虑交由网络运营商直接建设和收费。
9、以上系统建议分别单独组网,以子网的形式组成整体网络。各网络功能独立应用,信息互通,资源共享;当任何一个子网出现故障,都不会影响到其他子网的使用。
1.2 网络安全需求
为了应对现在层出不穷的网络安全问题,在设计整个网络系统的过程中要充分考虑到利用防火墙、入侵检测等设备以及和杀毒软件的配合使用,解决医院目前现有系统及新建系统的网络安全问题。基本要做到:故障排除、灾难恢复、查找攻击源、实时检索日志文件、即时查杀病毒、即时网络监控等。 1、故障排除:要求做到一旦网络出现异常,如无法访问网络,网络访问异常等,要能提供及时、有效的服务,在短的时间内恢复网络应用。
2、灾难恢复:要求做到设备遇到物理损害网络应用异常时通过备品备件,快速恢复网络硬件环境;通过备份文件的复原,尽快恢复网络的电子资源;在最短的时间内恢复整个网络应用。
3、查找攻击源:要求做到发现网络遭到攻击,需要通过日志文件等信息,确定攻击的来源,为进一步采
2016-9-22
第5页, 共51页