点击报名后领取>>>软考16本电子版教材 & 36本辅导教材 + 27套历年真题试卷 + 21套精编知识点6G资料包
摘要:
本人在某医院信息中心工作,我院建设于2012年,随着医疗信息化建设的不断深入,我院的信息化建设已经有了很大进步,在发展过程中我们发现,目前的有线网络已经不能满足智慧医疗的发展趋势,智慧医疗中的移动查房、远程查房、远程会诊等系统,都需要基于无线网络的支持,院领导决定投入200万,于2017年7月进行我院无线网络的全面建设,工期6个月,本人作为信息中心负责人,主持本次项目。我通过对医院环境、需求进行分析,从无线AP的分布及模式选择、无线接入的认证方式、无线网络的设备冗余、接入用户的访问控制等几个方面,进行无线网络的建设。项目完成后,经过一个月的试运行,网络运行基本稳定,得到了院领导的肯定。不过由于资金有限,在入侵检测方面还存在一些不足之处,会在下次无线改造的项目中会加以完善。
正文:
随着我国医疗改革新体制等一系列政策的实施,我国医疗卫生系统信息化建设也呈现出快速发展的趋势。无线网络在我国各个行业的广泛应用,使得医疗行业的医疗终端也开始无线转型,在智慧医疗建设中,基于医院无线建设是必不可少的。本人在某医院信息中心工作,我院建设于2012年,随着医疗信息化建设的不断深入,最近几年我院的信息化建设已经有了很大进步,逐步建设实施了HIS系统,PACS系统,LIS系统,电子病历系统,在发展过程中我们发现原有的有线网络已经不能满足智慧医疗的发展趋势,智慧医疗中的移动护士站、移动医生站、移动查房、远程会诊等系统、都需要基于无线网络的支持,我院领导决定于2017年7月进行我院无线网络的全面建设,工期6个月,本人作为信息中心负责人,负责本次项目的建设工作。考虑到我院原有内网的网络安全性和可靠性,本次无线网络建设并非在原有的有线基础上进行拓展建设,而且将无线网络从无到有整体建设,然后再通过防火墙和我院内网连接,将我院网络打造成2套独立运行又可以相互访问的网络。我通过对医院环境、患者及医护人员需求进行分析,从无线AP的分布及模式选择、无线接入的认证方式、无线网络的设备冗余、接入用户的访问控制、流量控制等几个方面进行了无线网络的建设工作。
1、无线AP的分布及模式选择。从AP模式选择上考虑,部署FAT AP需要逐个配置,管理难度大,维护困难,而且医院门诊部人口较为密集,流动性较大,FAT AP无法实现负载均衡及无缝漫游,会导致用户的体验很差。部署FIT AP+AC的模式,FIT AP可以做到零配置,只需在AC做配置下发,AC可以对FIT AP进行自动分配信道,在受到干扰时切换到最优信道。当个别FIT AP故障之后邻居AP可以提高自身功率弥补覆盖漏洞。防止某个FIT AP接入用户过多,可以实现用户在不同 FIT AP 下的负载均衡。在同一AC控制下的FIT AP之间漫游时可以做到无缝漫游。对比之后决定选择瘦AP+AC模式部署我院的无线网络。从AP点的分布上考虑,我院大楼共有12层,1-3层为门诊部,考虑到室内承重墙对信号的阻隔,门诊部患者较为集中,走廊、医生办公室附近每20米放置一个FIT AP,同时每个拐角处放置一个FIT AP,电梯口放置一个FIT AP,对于患者排队等待区域,根据每日平均患者门诊人次,在等候区域四周均匀放置,每30人次放置一个FIT AP,且FIT AP之间覆盖区域重叠。4-11层为住院部,住院部人员较少,病房、走廊、医生和护士办公室附近每20米放置一个FIT AP,每个拐角放置一个FIT AP,电梯口放置一个FIT AP。12层为手术室,手术室为无菌封闭空间,只在医生办公室和楼层的电梯口放置一个FIT AP。在医院停车场部署的FIT AP,采用防水、防雷的室外型产品,在架设天线时确保天线主波束方向正对覆盖目标区域,保证其良好的覆盖效果。通过以上部署,实现我院从停车场到大楼的全范围无线覆盖。
2、无线接入的认证方式。从我院无线网络接入的用户角色区分,可分为两类,一类是就诊的患者及家属,主要通过无线网络访问外网。一类是我院智慧医疗的各种移动设备终端,主要通过无线网络访问我院DMZ区域各服务器、前置机。考虑到移动设备终端的操作系统局限性,所有用户都采用portal认证不现实,所以采用MAC和portal两种认证方式。在AC上创建2个无线网络,使2个无线网络接入的用户获取不同的IP地址,划分成不同的VLAN,一个供患者及家属使用,默认启用SSID广播,使用portal认证方式,portal认证可以不需要用户安装客户端软件,通过WEB页面进行认证,同时将WEB页面设为公益广告、国家医疗政策推广、医院医疗水平介绍,可以加大各方面的宣传力度,同时可以对接入用户做安全策略,限制接入用户可访问的资源。一个供我院智慧医疗移动设备终端使用,默认禁用SSID广播,受限于移动终端的操作系统局限性,不能使用portal认证,使用MAC认证方式,由于设备数量不多,具有实现方便,规划简单等优点。
3、无线网络核心设备冗余。考虑到无线网络由于交换机或链路故障造成的网络瘫痪,采用双核心网络结构,采购2台华为S7900系列全万兆端口三层交换机,做核心交换,通过CSS技术将两台核心交换虚拟成一台逻辑交换机,实现核心交换机的负载均衡,统一管理,避免单点故障。同时把所有汇聚层交换机与虚拟化之后的核心交换机之间两条上联链路进行跨设备的链路聚合,使网络不仅有设备上和链路上的冗余,还能负载均衡,充分利用网络资源,防止带宽浪费。CSS技术可能因为线缆、堆叠卡故障导致分裂,分裂后的状态会变成两台配置完全相同、且相互独立的核心交换设备,这样会引起整个网络的全面瘫痪,为了避免此类故障发生,在核心交换之间配置双主检测,实现CSS分裂的处理和恢复。为进一步加强安全防护,将所有接入层、汇聚层交换机未连接设备的端口全部禁用。考虑到由于AC故障或链路中断可能导致的无线网络故障问题,我们采购2台华为AC6000系列无线接入控制器,双AC采用热备方式,分别旁挂在2个核心交换机上,当主AC出现故障后备用AC立即接替主AC的工作,保障网络正常运行,有效避免出现网络的单点故障。
4、接入用户的访问控制、流量控制。考虑到我院内网的安全性、可靠性,在新建无线网络和有线内部网络之间部署一套硬件防火墙,设置安全策略只允许我院智慧医疗移动设备终端所在网段可以访问DMZ区域的智慧医疗前置机,拒绝其他无线用户的访问。开启监控审计功能,对于可疑情况及时报警,并提供网络受到探测和攻击的详细信息,以便我们可以清楚的知道网络安全存在的问题,并及时进行改进。在出口路由器上做网络流量控制,对我院移动终端设备的网段进行带宽保障,保证接入用户高峰时段,我院智慧医疗业务的正常开展不受影响,对患者接入网段进行限速,限制P2P下载、网络视频等应用占用过多带宽。
总结:
在本次项目中我通过采取上述技术和方法,在资金有限的情况下,完成了我院无线网络的建设。同时在医院内部网络不受到安全威胁的情况下,使无线网络的安全性、可靠性得到了保障。经过一个月的试运行,网络运行基本稳定、用户体验良好,得到了院领导的肯定。不过随着网络技术的发展,会不断涌现新的网络攻击手段与安全威胁,网络安全也将会面临新的挑战,本次无线网络建设没有部署入侵检测系统,下一步在资金允许的情况下将部署IDS与IPS来进一步加强网络的安全,并随着信息化建设的发展不断完善。
文章源于网络,如有侵权,请私信文章标题联系删除,谢谢。
为了能让更多人享受软考的政策福利和现实功利,51CTO旗下软考教研团队联合薛大龙老师,认真严肃向大家推出软考2日直播特训营。
扫码入群0元领取6G的软考6资料包+2天软考特训营名额
软考资料包括:软考16本电子版教材 & 36本辅导教材 + 27套历年真题试卷 + 21套精编知识点6G资料包
软考训练营名额+资料领取方式>>>
扫下方码入群后按照老师的要求操作即可领取。
51CTO软考两天直播训练营
这门课恰好能够为你答疑解惑,助你快速入门并掌握软考知识要点,获得技能提升。为自己的职业发展规划制定一个更明确的规划,迈出升职加薪的第一步。
训练营周期为 两天直播课 晚8:00-9:00
心急的小伙伴可直接扫码解锁。
☟☟☟
2天软考直播特训营
3大必备技能
↓↓↓
限时 0 元 即可解锁
点击下方链接报名
仅限前100个名额
报名链接: https://edu.51cto.com/surl=oR9sp3
课程涵盖:高分知识点梳理,案例分析解题方法、论文通用模板等。我们力争通过2天的直播课程,助力您快速入门并一次性通关软考!
如果你对这门课程还不太了解的话,就跟我一起往下看吧。
我们的主讲老师薛大龙老师,深耕软考教育培训20余年,主编出版软考辅导教材60余本,非常熟悉软考题目的要求、难度、以及判卷标准。
完成本体验营2天所有课程及作业考核,学员将掌握信息系统项目管理师、系统集成项目管理工程师的高频考点及答题技巧:
①掌握信息系统项目管理师知识体系;
②掌握考试高分占比知识领域;
③掌握考试考情前沿分析;
④掌握论文与案例超干货答题方法;
⑤掌握名师对真题的独到解析。
报名前,你还需要知道的3件事
1)课程形式
直播课程+社群学习活动
2)课程时间
报名后老师安排上课 晚8:00-9:00
3)报名后要做什么?
付费后根据提示添加学姐为好友,开营前学姐会统一拉人入群。
2天软考考证特训营
0 元 解锁课程
还可 领取「6G课程资料」
点击下方链接报名 仅限前100个名额
报名链接: https://edu.51cto.com/surl=oR9sp3