某医院数字医院解决方案

1 项目背景
本项目为新建大型医院的信息化基础设施建设项目，项目规划建设一个全新现代化医院，本期已完成建筑面积约XX万平米，包含住院大楼、门诊大楼、行政大楼、儿童门诊和体检中心，涉及病床XX张。
本项目中，医院将全面建设先进的信息化系统，既包括关于人、财、物的管理，如财务管理、各种收费、药品药库管理和OA等，也包括临床的信息化，包括PACS、LIS、手术室、麻醉等；信息化系统由具有专业资质的软件厂商提供，华为将根据这些系统的部署要求，提供这些系统运行的信息化硬件基础设施，主要涉及医疗网络（有线无线一体化、内网及外网建设、网络安全建设）。
2 项目需求
现代化数字医院建设需要结合业界先进的网络技术、信息技术，为医院信息化应用及发展做全面、整体的规划。项目主要包含下面四类需求。
2.1 有线网络建设需求
 固定网络覆盖：医技楼、住院楼、行政楼、体检及儿童门诊大楼等各楼层全覆盖，并考虑方便未来新建大楼的覆盖。
 医疗核心业务系统互通：包括HIS、LIS、PACS、药品管理系统等。
 支撑外部用户对医疗门户网站的访问。
 支持与医疗专网互通，包括与社保与公卫互通，未来与区域卫生平台互通等；
2.2 无线网络建设需求
 建设全院覆盖的无线网络基础设施，包括内网和外网的无线覆盖；
 满足当前主流终端的接入，兼容802.11 a/b/g/n/ac；
 无线网络有有线网络实现统一管理
 信号稳定，满足移动查房、移动护理等典型无线医院的应用；
 考虑可扩展支持无线定位，以方便实现贵重物资、人员定位，如通过无线对贵重的医疗仪器、设备提供即时位置追踪功能；也可以通过腕带对特殊病人的位置进行位置定位追踪。
2.3 网络整体安全需求
 医院网络安全面临诸多挑战，既要保障各系统的连通性，也要实现严格的安全防范。包括：
 避免非授权的人员使用终端（如收费系统、医生工作站）；
 防止信息泄露，如医院的关键资产（防统方）及病人隐私数据；
 确保网络能避免来自网络的各种攻击：如黑客、病毒等；
 整体按医院三级等保要求设计，医护内网与对外访问的外网安全隔离；不同部门及业务之间安全隔离；提供给院内员工与外部来访人员的网络访问隔离。
2.4 运维需求
因医院的IT人员编制较少，常常是几个人就需要维持几千人的医院信息网络7*24小时正常运行，因此网络的可管理、易维护非常重要；不仅是减轻运维人员压力，更重要的是保障网络及各应用系统的稳定可靠、安全的运行。
3 医院网络总体设计方案
3.1 医院整体网络架构
3.1.1 医院总体网络逻辑架构图
 

医院网络一般分为三张网，分别是内网，外网和设备网：
 内网：也称为HIS网络，主要承载医疗核心业务，如HIS、LIS、PACS等业务数据传输，要求高宽带、大容量和高速率，并需考虑未来扩容、带宽升级。
 外网：也称为办公网络，作为行政办公、对外发布、互联网医学资料查询的主要平台，稳定性和保密性要求低于内网，且接入终端及数据流特点也更为复杂。
 设备网：也称为智能IP设备网，主要承载IPTV，IP广播系统，视频监控，病房语音呼叫等业务。
3.1.2 医院详细网络逻辑架构

根据分层次、分模块的设计思路，结合医院实际业务需求设计整体网络架构，提供可靠安全，有线无线深度融合的网络，实现医院网络的便捷运维。
由于医疗网络涉及到的业务复杂，且安全性和可靠性要求比较高，所以设计为按照不同的功能和业务将网络进行区域划分。例如内部服务器区域、外部服务器区域、内部接入区，外部接入区，医疗仪器接入区，IP设备接入区，存储阵列区域、网络及安全管理区域等。功能区域的划分，能最大程度上保证各功能之间的相对独立性，以便更加方便、更加可靠的对其进行管理和维护，保证各项正常业务的不间断运行。
医院网络内部节点众多，且分布不均，为了提高数据交互速度和效率，易于管理和维护，整网按分层模型进行搭建和管理。由于医院有多栋大楼，因此采用适合的三层分层模型（只有一栋大楼的医院推荐二层网络模型）：
核心层：核心层负责整个内部网络的高速互联，不部署具体的业务。核心网络需要实现带宽的高利用率和网络故障的快速收敛。
汇聚层：汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层，扩展核心层接入用户的数量。汇聚层通常还可以作为用户三层网关，承担L2/L3边缘设备的角色，提供用户管理、安全管理、QoS调度等各项跟用户和业务相关的处理。汇聚层交换机，通常部署在楼宇设备间。
接入层：负责将各种终端节点接入到内部网络，通常由以太网交换机组成。对于某些终端，可能还要增加特定的接入设备，例如无线接入的AP设备等。接入层交换机，通常部署在楼层配线间。
3.2 医院内网设计方案
内网是医院核心网络系统，是用于开展日常医疗业务（HIS、LIS、PACS、财务、体检系统等）的内部局域网，将医院网络按病房，PACS和门急诊等进行功能分区。
医院内网逻辑分区图

 
按照分权分域的原则，将内网分为专网出口区，内用应用区，安全管理区，数据备份区，内网接入区，核心交换区每个区域设定不同的互访权限。
在不同的分区分别配置防火墙进行区域访问控制。
在核心交换区域旁挂入侵检测设备，实时检测各种入侵攻击行为。
在安全管理区部署防病毒软件，网管软件，访问控制软件，实现对内网的安全管理。同时部署数据库审计软件，对HIS，EMR等系统进行审计，满足医院等级保护要求。
3.3 医院无线网设计方案
无线网络需要承载移动医疗业务，包括无线查房，无线护理，无线输液，无线定位等业务，当前无线网络主要是面对医护人员开放，而部分医院已经把无线网络对病患开放，包括对病患提供免费上网，IPTV访问，院内导航等。
对网络的诉求包括：精细化管控：支持不同用户安全访问控制，对不同业务的提供不同的服务质量，不同场景下不同的访问控制权限；全面覆盖的无线网络。
3.3.1  精细化的无线管控
 精细化管控的基础：融合认证
在医院中，传统无线网络的认证点和有线网络的认证点是分离的，这导致了有线无线网络无法统一认证，两张网络的用户和业务管控是割裂的。
采用华为S12700的随板AC的特性，S12700即是交换机也是AC，可以作为统一的有线无线认证点，可以实现用户的统一管理，所有的访问控制策略都在S12700上统一配置。对于不同的移动医疗业务，也可以S12700上进行统一管理。这样可以实现根据不同用户，不同的业务，来提供不同的带宽 、Qos和更多访问控制策略，所以说融合认证是实现精细化管控的基础。
 精细化管控的效果：情景感知
精细化管控的目的是解决不同的人（医护，病患）使用不同的设备（PDA，PAD）在不同的场景下应该有不同的权限。比如医生可以使用PAD进行无线查房，护士使用PDA进行无线输液，病人使用自带终端访问internet。
面对医院这种复杂的接入场景，华为提出了基于情景感知的5W1H（Who、Whose、What、Where、When、How）方案，满足医护和病患对不同业务的访问控制需求，实现了对用户和业务的精细化管控。
 精细化管控的终端：防终端信息泄露
随着医院大量开展移动医疗，在带来业务便捷，减少医疗事故的同时，也带来了内网数据泄露的风险，华为提供AnyOffice解决方案，可以在智能终端上创建一个隔离的安全环境，用于存储医院数据，并不影响智能终端的正常使用。医院数据被加密存储，即使PAD丢失，医院之外的人员也无法访问医院数据。
 AnyOffice防终端信息泄露
 

3.3.2  全面的无线信号覆盖
无线网络的覆盖效果和具体项目实施有很大关系，不同于有线网络，低效的无线规划可能导致无线网络的不可用。华为通过专业的规划设计工具，根据医院的实际场景，提供网优网规服务，帮助医院实现无线信号的全面覆盖。
3.4 医院外网设计方案
外网包括INTERNET访问、办公自动化系统、视频会议系统等，业务量总体较小。由于外网需要和Internet互通，面临的最大问题是如何保证防御来自internet的攻击，对医院的门户网站进行有效防护，对医护人员的上网行为如何进行合理管控，以及对外网入侵行为进行实时检测。
 医院外网逻辑分区图
 

按照分权分域的设计原则，将外网分为Internet出口区，外网应用区，安全管理区，外网接入区，每个区域设定不同的互访权限。将用户分为普通用户和网管用户，普通用户只能访问外网应用区和internet出口区。网管用户可以访问安全管理区。
在Internet出口区部署防火墙设备，防范来自internet的网络攻击。部署上网行为管理设备，实现上网带宽管理，URl过滤以及上网行为审计等功能；部署VPN网关设备，提供远程接入能力，可以方便院领导远程办公，网管人员也可以远程接入实现网络故障处理。
在外网应用区部署Web应用防火墙，防范来基于Web的应用攻击。
在核心交换区域旁挂入侵检测设备，实时检测各种入侵攻击行为。
在安全管理区部署防病毒软件，网管软件，访问控制软件，实现对外网的安全管理
3.5 医院设备网设计方案
设备网也称为智能IP设备网，主要承载门禁，楼控，监控，考勤和安防广播等业务。这几张网都属于设备网，但业务属性又各自不同，鉴于其接入点较少，建议采用虚拟化技术，一张物理网络虚拟出多张设备子网，将门禁，楼控，视频监控等不同的业务系统进行逻辑隔离，互不干扰，实现一网多用。
设备网全部采用二层架构，接入交换机直接上联到外网核心交换机。设备网连接的基本都是低速设备，可以采用百兆电口接入，千兆光纤上行，单核心设计。
 

3.6 医院网络安全设计规划
医院网络一般分为三张网，分别是内网，外网和设备网，三张网上分别运行了不同的业务，对应的网络安全性需求也有不同。
鉴于医疗行业业务和信息的敏感性，一般组网时建议采取内网和外网物理隔离，设备网和内网逻辑隔离的组网方式，即搭建两张网络，以保证医疗业务内网的安全性和私密性。外网用作对外发布信息、获得互联网上实时信息、以及与外部人员进行电子邮件交流用，无涉密信息传递；内网用作医疗机关内部的办公自动化网络，可以用于承载医院机密信息的传递，同时内网也融合设备网，支持IPTV，设备监控等业务。
 

3.6.1 外网安全设计
按照分权分域的设计原则，将外网分为Internet出口区，外网应用区，安全管理区，外网接入区，每个区域设定不同的互访权限。将用户分为普通用户和网管用户，普通用户只能访问外网应用区和internet出口区。网管用户可以访问安全管理区。
在Internet出口区部署防火墙设备，防范来自internet的网络攻击。部署上网行为管理设备，实现上网带宽管理，URl过滤以及上网行为审计等功能；部署VPN网关设备，提供远程接入能力，可以方便院领导远程办公，网管人员也可以远程接入实现网络故障处理。
在外网应用区部署Web应用防火墙，防范来基于Web的应用攻击。
在核心交换区域旁挂入侵检测设备，实时检测各种入侵攻击行为。
在安全管理区部署防病毒软件，网管软件，访问控制软件，实现对外网的安全管理
3.6.2 内网安全设计
按照分权分域的原则，将内网分为专网出口区，内用应用区，安全管理区，数据备份区，内网接入区，每个区域设定不同的互访权限。
在专网出口区部署防火墙设备，通过虚拟化技术分别虚拟多个防火墙对应不同的专网，降低配置难度，提高安全性。
在核心交换区域旁挂入侵检测设备，实时检测各种入侵攻击行为。
在安全管理区部署防病毒软件，网管软件，访问控制软件，实现对内网的安全管理。同时部署数据库审计软件，满足医院等级保护要求。
3.6.3 边界防护组网设计
 Internet网络出口防护
对医院本部，一般在医院出口部署双防火墙，两防火墙呈主备或负载均衡的方式工作。，在核心交换机与医院路由器之间采用直路全双归方式接入防火墙设备，两台防火墙设备之间采用主备或负载均衡方式连接。这样，医院出口路由器、防火墙及核心路由器之间都有备份作用，保证了链路的可靠性。
 域间防护
医院出口部署的防火墙可以解决医院内部网络与外部网络之间的安全问题，但研究表明，80%的网络安全漏洞都存在于内部网络。因此，内部的安全防护更为重要。当网络划分安全区域后，在不同信任级别的安全区域之间就形成了网络边界。
在医院网络内部，不同的业务部门、住院部、门诊部等可能都具有不同的安全策略。从安全的角度讲，在各个不同的部门、数据中心、DMZ区域的出口都部署防火墙是最理想的。也可以在核心层部署防火墙，将各业务部门划分在不同的VPN中，防火墙采用虚拟防火墙的方式管理各安全域的安全策略。
3.7 运维解决方案
eSight是华为推出的新一代面向园区和分支网络的管理系统，实现对资源、业务、用户的统一管理以及智能联动。
eSight支持对IT&IP以及第三方设备的统一管理，同时对网络流量、接入认证角色等进行智能分析，自动调整网络控制策略，全方位保证园区网络安全。同时eSight提供灵活的开放平台，为医院量身打造自己的智能管理系统提供基础。
针对医院网络场景，华为eSight提供多种应用，包括：多厂商的设备管理；资源统一管理；可视化的统一视图；全方位的故障监控；机房精细化监控；辅助智能楼宇安防监控；网络监控性能管理；分权-分域-分时的用户管理。
 多厂商的设备管理
eSight预集成业界主流设备，默认已包含Cisco20个系列140余款设备、H3C14个系列130余款设备、其他厂商100余款设备、以及数十款打印机、服务器。运维人员不做任何配置，即可管理全网设备，大大提升管理效率。
eSight拥有厂商新款设备自动配套能力，通过eSight厂商类型自动识别能力，对于友商新发布的设备也可实现拓扑、告警、性能等管理能力。
针对业界主流设备深入分析，不仅支持标准的流量采集，还同时支持设备面板、设备CPU利用率等私有属性的管理。
 资源统一管理
华为eSight提供全方位的资源管理，针对不同网络设备、不同业务、不同服务器、工作站等PC资源进行管理。
 可视化的统一视图
IP网络是开放的，各厂商混合组网成为医院组网普遍情况。大部分医院不会像运营商一样建设综合网管，新厂商进入导致运维人员将面对多套厂商管理系统分而治之的情况。如果不具备全网设备统一监控的能力，出现网络故障后需要登录到多个网管查看状态，会导致管理效率低下。
eSight预集成业界主流设备，默认已包含Cisco20个系列140余款设备、H3C14个系列130余款设备、其他厂商100余款设备、以及数十款打印机、服务器。运维人员不做任何配置，即可管理全网设备，大大提升了管理效率。
eSight拥有厂商新款设备自动配套能力，通过eSight厂商类型自动识别能力，对于友商新发布的设备也可实现拓扑、告警、性能等管理能力。
自动发现：自动发现网络资源，网络链路自动创建。
统一视图：提供IT&IP一体化拓扑视图，全面管理资源。
实时呈现：呈现子图、网元、链路、网元状态，实时了解网络的运行情况。
灵活定义：按用户信息保存网元位置，支持拓扑背景图和自定义图标功能。各种Tips信息，结构一目了然。
针对业界主流设备深入分析，不仅支持标准的流量采集，还同时支持设备面板、设备CPU利用率等私有属性的管理。
 全方位的故障监控
华为eSight提供全方位的故障监控，提供包括基于IP设备、基于IT设备、基于业务应用等丰富的告警，同时提供7*24不间断的故障监控，实时故障提醒和实时故障远程通知，同时也能提供丰富的故障统计功能。
 机房精细化监控
传统用户机房的设备管理都是亡羊补牢型的，如：设备高温烧毁了才发现网络故障；电源坏了才赶去维修。
而如果能够在温度或电源发生异常时就及时知会网络管理员，就会避免最终设备失效带来的长时间断网以及重大维修。
电力不稳地区，设备突然掉电重启，管理员无法判断具体原因。设备掉电前瞬间如果能上报网管掉电，则可以使网络管理员及时处理。
华为eSight解决方案，通过引入S3700-28TP-EI-MC盒式交换机，支持环境监控口，支持4路信号输入和3路信号输出，实现机房环境在网络平台上的统一监控，提前对异常进行感知并上报网管，同时根据需要进行声光告警。如与接入网E系列机柜一起实现可以实现机柜门、温度、湿度的告警监控。
Dyinggasp功能（S3700-28TP-EI-MC和S5700-6TP-LI）实现断电瞬间告警发送，通知管理员设备复位是由于供电异常所致。
 辅助智能楼宇安防监控
智能楼宇建设中，对火警、盗警等安防检测主要是通常的闪灯、声音报警等手段，如何能够将各种报警信息汇总到统一管理平台，以便进行灵活处理？华为eSight通过网络设备监控口，实现安防告警信息IP化，灵活处理告警。在触发声光告警的同时，短信及时通知安防人员。
还支持与IP视频监控联动，实现统一安防。网络管理平台通过上报告警的网络设备判断告警位置，切换视频监控查看现场状态，指挥救援。
 网络监控性能管理能力
华为eSight提供强大的网络监控管理能力、提供图形方式呈现性能数据，可以直观了解设备、服务器等资源设备性能情况；提供性能阈值告警能力，可以对网络健康度实时了解，保障业务承载网络健康性；自动创建设备基本性能监控；支持批量创建同类性能监控实例，方便客户轻松操作。
 分权-分域-分时的用户管理
为不同用户分配不同权限，并记录操作日志；设置用户管理区域；限定用户管理范围；限定用户帐户有效时间、有效期。