择要:
本人在某医院信息中央事情,我院培植于2012年,随着医疗信息化培植的不断深入,我院的信息化培植已经有了很大进步,在发展过程中我们创造,目前的有线网络已经不能知足聪慧医疗的发展趋势,聪慧医疗中的移动查房、远程查房、远程会诊等系统,都须要基于无线网络的支持,院领导决定投入200万,于2017年7月进行我院无线网络的全面培植,工期6个月,本人作为信息中央卖力人,主持本次项目。我通过对医院环境、需求进行剖析,从无线AP的分布及模式选择、无线接入的认证办法、无线网络的设备冗余、接入用户的访问掌握等几个方面,进行无线网络的培植。项目完成后,经由一个月的试运行,网络运行基本稳定,得到了院领导切实其实定。不过由于资金有限,在入侵检测方面还存在一些不敷之处,会不才次无线改造的项目中会加以完善。
正文:
随着我国医疗改革新系统编制等一系列政策的履行,我国医疗卫生系统信息化培植也呈现出快速发展的趋势。无线网络在我国各个行业的广泛运用,使得医疗行业的医疗终端也开始无线转型,在聪慧医疗培植中,基于医院无线培植是必不可少的。本人在某医院信息中央事情,我院培植于2012年,随着医疗信息化培植的不断深入,最近几年我院的信息化培植已经有了很大进步,逐步培植履行了HIS系统,PACS系统,LIS系统,电子病历系统,在发展过程中我们创造原有的有线网络已经不能知足聪慧医疗的发展趋势,聪慧医疗中的移动护士站、移动年夜夫站、移动查房、远程会诊等系统、都须要基于无线网络的支持,我院领导决定于2017年7月进行我院无线网络的全面培植,工期6个月,本人作为信息中央卖力人,卖力本次项目的培植事情。考虑到我院原有内网的网络安全性和可靠性,本次无线网络培植并非在原有的有线根本上进行拓展培植,而且将无线网络从无到有整体培植,然后再通过防火墙和我院内网连接,将我院网络打造成2套独立运行又可以相互访问的网络。我通过对医院环境、患者及医护职员需求进行剖析,从无线AP的分布及模式选择、无线接入的认证办法、无线网络的设备冗余、接入用户的访问掌握、流量掌握等几个方面进行了无线网络的培植事情。
1、无线AP的分布及模式选择。从AP模式选择上考虑,支配FAT AP须要逐个配置,管理难度大,掩护困难,而且医院门诊部人口较为密集,流动性较大,FAT AP无法实现负载均衡及无缝漫游,会导致用户的体验很差。支配FIT AP+AC的模式,FIT AP可以做到零配置,只需在AC做配置下发,AC可以对FIT AP进行自动分配信道,在受到滋扰时切换到最优信道。当个别FIT AP故障之后邻居AP可以提高自身功率填补覆盖漏洞。防止某个FIT AP接入用户过多,可以实现用户在不同 FIT AP 下的负载均衡。在同一AC掌握下的FIT AP之间漫游时可以做到无缝漫游。比拟之后决定选择瘦AP+AC模式支配我院的无线网络。从AP点的分布上考虑,我院大楼共有12层,1-3层为门诊部,考虑到室内承重墙对旗子暗记的阻隔,门诊部患者较为集中,走廊、年夜夫办公室附近每20米放置一个FIT AP,同时每个拐角处放置一个FIT AP,电梯口放置一个FIT AP,对付患者排队等待区域,根据逐日均匀患者门诊人次,在期待区域四周均匀放置,每30人次放置一个FIT AP,且FIT AP之间覆盖区域重叠。4-11层为住院部,住院部职员较少,病房、走廊、年夜夫和护士办公室附近每20米放置一个FIT AP,每个拐角放置一个FIT AP,电梯口放置一个FIT AP。12层为手术室,手术室为无菌封闭空间,只在年夜夫办公室和楼层的电梯口放置一个FIT AP。在医院停车场支配的FIT AP,采取防水、防雷的室外型产品,在架设天线时确保天线主波束方向正对覆盖目标区域,担保其良好的覆盖效果。通过以上支配,实现我院从停车场到大楼的全范围无线覆盖。
2、无线接入的认证办法。从我院无线网络接入的用户角色区分,可分为两类,一类是就诊的患者及家属,紧张通过无线网络访问外网。一类是我院聪慧医疗的各种移动设备终端,紧张通过无线网络访问我院DMZ区域各做事器、前置机。考虑到移动设备终真个操作系统局限性,所有用户都采取portal认证不现实,以是采取MAC和portal两种认证办法。在AC上创建2个无线网络,使2个无线网络接入的用户获取不同的IP地址,划分身分歧的VLAN,一个供患者及家属利用,默认启用SSID广播,利用portal认证办法,portal认证可以不须要用户安装客户端软件,通过WEB页面进行认证,同时将WEB页面设为***广告、国家医疗政策推广、医院医疗水平先容,可以加大各方面的宣扬力度,同时可以对接入用户做安全策略,限定接入用户可访问的资源。一个供我院聪慧医疗移动设备终端利用,默认禁用SSID广播,受限于移动终真个操作系统局限性,不能利用portal认证,利用MAC认证办法,由于设备数量不多,具有实现方便,方案大略等优点。
3、无线网络核心设备冗余。考虑到无线网络由于交流机或链路故障造成的网络瘫痪,采取双核心网络构造,采购2台华为S7900系列全万兆端口三层交流机,做核心交流,通过CSS技能将两台核心交流虚拟成一台逻辑交流机,实现核心交流机的负载均衡,统一管理,避免单点故障。同时把所有汇聚层交流机与虚拟化之后的核心交流机之间两条上联链路进行跨设备的链路聚合,使网络不仅有设备上和链路上的冗余,还能负载均衡,充分利用网络资源,防止带宽摧残浪费蹂躏。CSS技能可能由于线缆、堆叠卡故障导致分裂,分裂后的状态会变成两台配置完备相同、且相互独立的核心交流设备,这样会引起全体网络的全面瘫痪,为了避免此类故障发生,在核心交流之间配置双主检测,实现CSS分裂的处理和规复。为进一步加强安全防护,将所有接入层、汇聚层交流机未连接设备的端口全部禁用。考虑到由于AC故障或链路中断可能导致的无线网络故障问题,我们采购2台华为AC6000系列无线接入掌握器,双AC采取热备办法,分别旁挂在2个核心交流机上,当主AC涌现故障后备用AC立即接替主AC的事情,保障网络正常运行,有效避免涌现网络的单点故障。
4、接入用户的访问掌握、流量掌握。考虑到我院内网的安全性、可靠性,在新建无线网络和有线内部网络之间支配一套硬件防火墙,设置安全策略只许可我院聪慧医疗移动设备终端所在网段可以访问DMZ区域的聪慧医疗前置机,谢绝其他无线用户的访问。开启监控审计功能,对付可疑情形及时报警,并供应网络受到探测和攻击的详细信息,以便我们可以清楚的知道网络安全存在的问题,并及时进行改进。在出口路由器上做网络流量掌握,对我院移动终端设备的网段进行带宽保障,担保接入用户高峰时段,我院聪慧医疗业务的正常开展不受影响,对患者接入网段进行限速,限定P2P***、网络***等运用占用过多带宽。
总结:
在本次项目中我通过采纳上述技能和方法,在资金有限的情形下,完成了我院无线网络的培植。同时在医院内部网络不受到安全威胁的情形下,使无线网络的安全性、可靠性得到了保障。经由一个月的试运行,网络运行基本稳定、用户体验良好,得到了院领导切实其实定。不过随着网络技能的发展,会不断呈现新的网络攻击手段与安全威胁,网络安全也将会面临新的寻衅,本次无线网络培植没有支配入侵检测系统,下一步在资金许可的情形下将支配IDS与IPS来进一步加强网络的安全,并随着信息化培植的发展不断完善。
