泰達心血管醫院信息化建設整體匯報目錄泰達心血管醫院新建IP網絡平臺需求和設計思路泰達心血管醫院新建網絡平臺設計泰達心血管醫院新建網絡平臺安全設計泰達心血管醫院新建網絡平臺管理設計Page3數字化醫院整體解決說明業務網絡管理網絡路由器安全網關路由交換機IDS/IPS防病毒網關網絡連接&安全模塊遠程接入VPN接入遠程接入CIS業務模塊HMISHGIS存儲區1存儲區2存儲區3綜合存儲區存儲模塊維護管理區安全管理中心管理模塊InternetPACSRIS無線接入業務監測網關終端安全LIS分院集成化、智能化、區域化網絡IP交換機路由器無線安全存儲會議電視監控VOIP以IP為標準進行多業務融合HISPACS手術示教區域醫療…網絡建設需求分析門診系統業務需求分析門診業務突發性強并發性強實時性高可靠性高高帶寬快速響應高可靠數據影像系統業務需求分析影像數據資料海量傳輸影像數據資料傳輸可靠PACS/HIS等系統快捷響應Page7住院系統業務需求分析生命數據傳輸可靠呼叫系統迅速快捷視頻監控交流方便病房查詢效率提高費用病案存儲安全住院業務1、隨著醫院業務量不斷增加，未來信息點必然需要增加。2、醫院未來必然會開展無線業務，從現有網絡平滑擴展到有線無線一體化先進網絡。3、平滑擴展升級承載遠程會診、手術示教系統。

1、骨干萬兆、千兆到桌面高性能網絡平臺。2、醫院各種業務系統繁多，這些系統都運行在網絡平臺基礎上3、醫院門診高峰期同時讀取和存儲病人資料數據，瞬間業務數據量巨大，需要設備對數據有極高的處理能力。1、按照等保三級要求進行整體網絡安全設計2、確保門診收費、藥庫管理、醫生工作站等重要終端設備的合法使用，避免各種醫療事故的產生。3、確保病人電子病歷信息的安全，避免患者個人隱私的泄露4、確保網絡系統安全，避免各種攻擊、病毒等對內部網絡系統的危害，保障網絡系統的穩定可靠運行。

1、隨著醫院信息化不斷推進，數據量顯著加大，尤其是病人的影像資料進入醫生工作站（PACS系統應用）。2、區域醫療建設，比如遠程會診，遠程學術研討等對網絡帶寬都提出了更高的要求高性能細分性安全可靠易擴展高帶寬網絡設備選型思路分布實施第一步：先進、智能的醫療基礎網絡搭建高可靠、清晰的模塊化、高效的層次化網絡，為終端設備提供接入服務。基礎網絡具備完善的安全特性，保證上層醫務信息系統的正常運行第二部：基礎醫療網絡安全防護按照等保三級要求，構建智能防御系統，對網絡設備和接入網絡的醫療終端提供全面的安全防護，具備完善的網絡安全監控、分析和響應手段；第三步：移動醫療、醫療協作、醫院數據中心等多種應用網絡將作為一個開放的平臺，承接移動醫護、醫療協作等多個系統，并建設集中的醫療級數據中心。目錄泰達心血管醫院新建IP網絡平臺需求和設計思路泰達心血管醫院新建網絡平臺設計泰達心血管醫院新建網絡平臺安全設計泰達心血管醫院新建網絡平臺管理設計1、多：可以接入較多醫院用戶。2、快：模塊化網絡結構，使網絡建設與業務部署更快速。3、易：網絡層次清晰，管理和維護更加容易。4、省：匯聚層到核心層之間采用萬兆光纖，省掉大量接入交換機到核心的光纖鏈路。1、網絡模塊易于復制2、局部易于重設計3、易于增加功能模塊4、局部不影響整網5、利于故障定位6、利于故障隔離7、強化網絡管理三層架構模塊化設計網絡架構特點以建筑物或區域功能為單位，將網絡模塊化、組件化，使模塊內功能集中，模塊之間最少耦合HISCISPACS網站掛號……DMZInternet安全審計醫保2F3F4、5、6F7、8、9F10、12、HA服務器區樓層接入核心1FIPS防毒墻核心交換機1.全分布式轉發2.支持虛擬化技術3、支持BFD，故障切換毫秒級4.最長匹配逐包轉發，天然防護DOS攻擊5.支持熱補丁技術1、分模塊設計2、全網運行OSPF協議3、骨干萬兆、千兆到桌面先進設計3、雙鏈路冗余保護4、全網支持MPLSVPN，可實現科室之間邏輯隔離5、匯聚交換機也支持虛擬化技術1、無線WLAN網絡采用業界主流的FITAP組網模式2、實現指定區域的WLAN信號無線覆蓋3、實現自動的漫游功能4、有線無線一體化5、統一的安全策略1、統一的、模塊化的運維管理平臺2、實現人、資源、業務的統一管理網絡管理平臺千兆萬兆AC虛擬化部署MSTP+VRRPMSTP生成樹的實例打破原有組網模型，通過虛擬化技術，在邏輯上將兩臺核心交換機合成一臺，與接入交換機相連，所連的多線路合成一條，共同使用（如2條千兆鏈路，原先組網為主備關系，只有1G的帶寬，當采用虛擬化，2條鏈路可進行捆綁，變成2G的帶寬），不僅提升了帶寬，而且提高了網絡的可靠性。…統一的管理界面…一致的轉發表項…跨設備鏈路捆綁物理上兩臺設備邏輯上一臺設備虛擬化特性虛擬化部署效果目錄泰達心血管醫院新建IP網絡平臺需求和設計思路泰達心血管醫院新建網絡平臺設計泰達心血管醫院新建網絡平臺安全設計泰達心血管醫院新建網絡平臺管理設計蠕蟲/病毒DDoS攻擊帶寬濫用etc…安全風險分析殺毒軟件、防毒墻、IPS抗DDoS設備、IPS帶寬管理etc……網絡安全問題解決技術端點部署內/外網關部署網絡邊界部署etc…安全產品部署機密性完整性可用性確立安全目標業務流程安全規劃系統安全體系規劃業務持續性規劃安全體系規劃業務流程安全建設系統安全體系建設業務持續性實現安全體系建設面向業務的安全保障：分析業務流程，制定針對性安全規劃優點：明確目標、明確規劃、問題明確、響應迅速安全設計思路—面向業務安全設計思路-全局安全面向業務關鍵點安全：分析安全的脆弱點并在關鍵點部署安全產品缺點：問題層出不窮，網管疲于應付等級保護－－完全實施過程信息系統定級安全總體規劃安全設計與實施安全運行維護信息系統終止安全等級測評信息系統備案安全整改設計等級符合性檢查應急預案及演練安全要求整改安全等級整改局部調整等級變更結構安全關鍵設備冗余空間主要設備冗余空間訪問控制訪問控制設備（用戶、網段）應用層協議過濾撥號訪問限制會話終止安全審計日志記錄審計報表邊界完整性檢查內部的非法聯出非授權設備私自外聯網絡安全要點子網/網段控制核心網絡帶寬整體網絡帶寬重要網段部署路由控制帶寬分配優先級端口控制最大流量數及最大連接數防止地址欺騙審計記錄的保護定位及阻斷入侵防范檢測常見攻擊記錄、報警惡意代碼防范網絡邊界處防范網絡設備防護基本的登錄鑒別組合鑒別技術特權用戶的權限分離身份鑒別基本的身份鑒別訪問控制安全策略管理用戶的權限分離特權用戶的權限分離安全審計服務器基本運行情況審計審計報表剩余信息保護空間釋放及信息清除主機安全的要點組合鑒別技術敏感標記的設置及操作審計記錄的保護入侵防范最小安裝原則重要服務器：檢測、記錄、報警惡意代碼防范主機與網絡的防范產品不同資源控制監視重要服務器最小服務水平的檢測及報警重要客戶端的審計升級服務器重要程序完整性防惡意代碼軟件、代碼庫統一管理對用戶會話數及終端登錄的限制結構安全訪問控制安全審計邊界完整性檢查入侵防范HISCISPACS……網站掛號DMZInternet安全審計醫保2F3F4、5、6F7、8、9F10、12、HA服務器區樓層接入核心1F終端管理、身份認證服務器IPS防毒墻網絡管理平臺千兆萬兆AC目錄泰達心血管醫院新建IP網絡平臺需求和設計思路泰達心血管醫院新建網絡平臺設計泰達心血管醫院新建網絡平臺安全設計泰達心血管醫院新建網絡平臺管理設計網絡資源存儲資源計算資源路由器、交換機等設備以及由它們所構成的網絡高速的報文轉發能力安全的網絡訪問控制磁盤陣列、磁帶、存儲管理等存儲設備低成本、易擴展的存儲空間高效的數據讀取數據安全保護包括Windows、Unix等各類服務器及其上的業務應用軟件系統高效、穩定的數據計算能力資源使用者（人）業務牽引人對IT資源的調配和使用資源的安全使用人與資源的融合管理設計思路—綜合管理管理設計思路-統一管理增值業務流功能組件平臺框架統一資源訪問，基礎資源管理設備/文件/數據訪問適配層設備資源管理用戶資源管理數據庫設備/終端文件系統SNMPRADIUS按需裝配組件化平臺化……基礎管理拓撲管理網絡告警