系统部署方案.pdf

目录目录一、技术架构.111。1 相互连接性.111.2 标准的发展和采用.121。3 术语规范化.131。4 数据位置和 HIAL 处理.131。5 监管.13二、部署方式.142.1 数据集中式管理.142.2 采用 BS 架构.14三、项目实施计划.143.1 项目实施流程.143.2 项目实施主计划.153.3 实施进度表.15四、网络安全.164.1 网络可靠性和冗余.164.2 网络安全技术部署.164。2。1 基于 VLAN 的端口隔离.164。2。2 STP Root/BPDU Guard.164.2。3 端口安全.174.2。4 防 IP 伪装.174.2。5 路由协议认证.18系统部署方案一、技术架构一、技术架构iMed_HER 电子健康档案信息系统是一个基于标准的健康数据平台。所有文档都符合 HL7 v3 CDA 标准，所有消息都符合 HL7 v3 标准。HL7 v3 是在 EHRS 上进行信息交换的标准。其中包括要经过 HIAL的所有消息。因为所有消息转换、路由和使用服务都要经过 HIAL,所以 HIAL的可扩展性对成功进行互联互通至关重要。EHRS 平台上硬件系统的处理能力与设计（网络、存储和安全在单独章节中描述），重点着眼于区域卫生信息平台的互联互通性以及健康信息的处理与分析.1 1。1 1 相互连接性相互连接性有许多系统要连接到 HIAL，其中包括 POS、公众健康信息数据存储库/门户、公共门户。可以按各种模型 SaaS、内部开发的系统、COTS(现成构件）或这些模型的混合来实施这些系统。HIAL 必须支持不同的软件架构的连接，而且不应牵涉任何外部系统的改造.这些系统之间的连接可以通过专用网络或公共网络进行，因此必须针对所有通信互连加强安全性以保证互连的安全。1 1。2 2 标准的发展和采用标准的发展和采用标准的发展往往是一个进程，HL7 也不例外.HIAL 负责实现兼容的消息交换，例如消息映射和消息转换.这是为了保证基础结构的投资,以及实现与 RHIN 将来要扩展到的主体/系统的灵活兼容。此外，在支持现有的遵从 HL7 的 POS 系统（可能是在 HL7v2。x 上）上的信息交换方面也应该有一定的灵活性.示例场景包括:POS 应用程序可以了解 HL7v2.5，但不能从采用了 IHE 配置文件 XDS（跨院区文档共享）的社区 HIE 中查询和检索临床文档。HIAL 需要在无需对 POS 应用程序进行任何变更的情况下实现这种使用情形。医院希望发布医患接触概况并与下属医生网络共享.HIAL 可以简单地将来自医院接口引擎的HL7v2.x 消息源重定向,从而帮助实现这一点.HIAL 可以进一步根据数据格式提供 HL7。2x 到 HL7v3 的映射。这将减少花费在系统集成上的时间和成本.在以上两个示例中，都需要利用在旧系统上的现有的投资，同时认识到向前发展需要有更加灵活、可扩展的架构和标准。HIAL 可以执行作为基础结构层一部分的集成功能，从而允许医疗保健提供商可以采用与其策略更加一致的方式或步伐来实现互联互通性，而不必受限于供应商的计划或某个部门的老旧应用程序。对于可能已经实施了较多系统的区域，RHIN 可以考虑将连接扩展到 HL7以外。这样可以加快互联互通性的实现速度，从而加快居民电子健康档案系统的实现速度。1 1。3 3 术语规范化术语规范化HIAL 完成了整个 RHIN 中的术语规范化工具。存储在 RHIN 数据仓库中的数据必须是规范化的数据，以便实现互联互通性和分析的一致性.1 1。4 4 数据位置和数据位置和 HIALHIAL 处理处理HIAL 的最佳模型应该不知道医疗数据的物理位置.也就是说，在每个POS（分布式或混合模型/联合式）中，不牵涉考虑患者数据是否（集中）放在某个地方。而且，架构模型也不应自动适应数据源的变化,例如,不应要求开发团队在事情发生变化时重新构建整个模型.LRS（时序档案服务）也需要具备汇聚分布在整个 RHIN 中(包括 EHRS 与外部连接系统)的原数据能力.重点应放在规范化其上下文中的数据上，以方便后续的分类和存储.这样有助于根据 RHIN 规模来实施不同的HIAL 范围。1.51.5 监管监管策略监管是 RHIN 中的重要组成部分,其中服务提供商和服务实施可以是一个混合体。RHIN 架构必须包括一个可为跨供应商整合式监管提供开放策略框架的组件,并且策略的监管和执行最好在 HIAL 层实施。简而言之，HIAL 需要提供“基础设施层”互联互通性，并且能在 iMed_HER 电子健康档案信息系统和连接系统的持续发展中保持可互联互通性。二、部署方式二、部署方式2.12.1 数据集中式管理数据集中式管理现在 IT 的发展趋势是数据集中，数据集中的核心是对服务器进行整合.特别是一些大型企业，建立企业数据中心，购买高性能的主机,对数据集中管理，已成为一种潮流。iMed_HER 电子健康档案信息系统的网络服务器部署推荐集中式。2.22.2 采用采用 BSBS 架构架构iMed_HER 电子健康档案信息系统采用 BS 架构，BS 结构(Browser/Server,浏览器/服务器模式），是 WEB 兴起后的一种网络结构模式，WEB 浏览器是客户端最主要的应用软件。这种模式统一了客户端,将系统功能实现的核心部分集中到服务器上，简化了系统的开发、维护和使用.客户机上只要安装一个浏览器（Browser）,如Netscape Navigator 或 Internet Explorer，服务器安装 Oracle、Sybase、Informix 或 SQL Server 等数据库。浏览器通过Web Server同数据库进行数据交互.BS 架构大大简化了客户端的安装操作。三、项目实施计划三、项目实施计划3 3。1 1 项目实施流程项目实施流程项目实施流程图如下:3.23.2 项目实施主计划项目实施主计划项目实施主计划详细的描述了项目的进程,并明确了资源配置和项目各阶段应该完成的内容。项目共有五个里程碑：项目组成立，系统安装，系统上线，用户培训，项目验收。3 3。3 3 实施进度表实施进度表实施计划进度简表项目项目准备3 天需求调研5 天项目启动会1 天产品定制开发120 天用户培训10 天试运行及考试30 天项目验收项目准备需求调研项目启动会产品定制开发用户培训及考试试运行项目验收3 天备注：以上时间可根据具体实际情况再作调整！四、网络安全四、网络安全4.14.1 网络可靠性和冗余网络可靠性和冗余本系统将从以下几个方面考虑高可用设计：网络设备考虑交换引擎、接口、风扇、电源等冗余配置。服务器接入层交换机成对部署，以支持服务器的多网卡双归属接入方式在服务器接入交换机与汇聚交换机之间部署全交叉的物理链路,以实现链路的可靠性.当服务器采用二层接入时，应将主汇聚交换机做为第一级服务器的默认网关以及STP 的根节点，并将备份汇聚交换机设置为备用网关和备用 STP 根.将 VRRPMSTP 或交换机虚拟化技术做为保证高可用型的实现技术。4 4。2 2 网络安全技术部署网络安全技术部署4.24.2。1 1 基于基于 VLANVLAN 的端口隔离的端口隔离交换机可以由硬件实现相同 VLAN 中的两个端口互相隔离。隔离后这两个端口在本设备内不能实现二、三层互通。当相同 VLAN 中的服务器之间完全没有互访要求时，可以设置各自连接的端口为隔离端口。这样可以更好的保证相同安全区域内的服务器之间的安全。4.24.2。2 STP Root/BPDU Guard2 STP Root/BPDU Guard基于 Root/BPDU Guard（Root/Bridge Protocol Data Unit Guard）方式的二层连接保护保证 STP/RSTP(Spanning Tree Protocol/Rapid Spanning Tree Protocol）稳定，防止攻击,保障可靠的二层连接。基于 BPDU Guard对于接入层设备，接入端口一般直接与用户终端(如 PC 机）或文件服务器相连,此时接入端口被设置为边缘端口以实现这些端口的快速迁移；当这些端口接受到配置消息（BPDU 报文）时系统会自动将这些端口设置为非边缘端口，重新计算生成树，引起网络拓扑的震荡。这些端口正常情况下应该不会收到生成树协议的配置消息的。如果有人伪造配置消息恶意攻击交换机,就会引起网络震荡。BPDU 保护功能可以防止这种网络攻击。交换机上启动了 BPDU 保护功能以后,如果边缘端口收到了配置消息,系统就将这些端口 shutdown，同时通知网管。被 shutdown 的端口只能由网络管理人员恢复。推荐用户在配置了边缘端口的交换机上配置 BPDU 保护功能。基于 ROOT Guard由于维护人员的错误配置或网络中的恶意攻击,网络中的合法根交换机有可能会收到优先级更高的配置消息，这样当前根交换机会失去根交换机的地位，引起网络拓扑结构的错误变动。这种不合法的变动，会导致原来应该通过高速链路的流量被牵引到低速链路上,导致网络拥塞。Root 保护功能可以防止这种情况的发生。对于设置了 Root 保护功能的端口，端口角色只能保持为指定端口。一旦这种端口上收到了优先级高的配置消息，即其将被选择为非指定端口时，这些端口的状态将被设置为侦听状态，不再转发报文（相当于将此端口相连的链路断开）。当在足够长的时间内没有收到更优的配置消息时,端口会恢复原来的正常状态。4.2.34.2.3 端口安全端口安全端口安全（Port Security）的主要功能就是通过定义各种安全模式，让设备学习到合法的源 MAC 地址，以达到相应的网络管理效果。对于不能通过安全模式学习到源 MAC 地址的报文或 802.1x 认证失败的设备，当发现非法报文后,系统将触发相应特性，并按照预先指定的方式自动进行处理,减少了用户的维护工作量，极大地提高了系统的安全性和可管理性。端口安全的特性包括：NTK：NTK（Need To Know）特性通过检测从端口发出的数据帧的目的 MAC 地址，保证数据帧只能被发送到已经通过认证的设备上，从而防止非法设备窃听网络数据。Intrusion Protection:该特性通过检测端口接收到的数据帧的源 MAC 地址或 802.1x 认证的用户名、密码，发现非法报文或非法事件，并采取相应的动作，包括暂时断开端口连接、永久断开端口连接或是过滤此 MAC 地址的报文，保证了端口的安全性.Device Tracking：该特性是指当端口有特定的数据包（由非法入侵，用户不正常上下线等原因引起）传送时,设备将会发送 Trap 信息，便于网络管理员对这些特殊的行为进行监控。4 4。2.42.4 防防 IP IP 伪装伪装病毒和非法用户很多情况会伪装 IP 来实现攻击.伪装 IP 有三个用处：本身就是攻击的直接功能体.比如 smurf 攻击.麻痹网络中的安全设施。比如绕过利用源 IP 做的接入控制.隐藏攻击源设备防止 IP 伪装的关键在于如何判定设备接收到的报文的源 IP 是经过伪装的。这种判定的方式有三种。分别在内网和内外网的边界使用.在 Internet 出口处过滤 RFC3330 和RFC1918 所描述的不可能在内外网之间互访的 IP 地址。利用 IP 和 MAC 的绑定关系网关防御，利用 DHCP relay 特性，网关可以形成本网段下主机的 IP、MAC 映射表。当网关收到一个 ARP 报文时,会先在映射表中查找是否匹配现有的映射关系。如果找到则正常学习，否则不学习该 ARP.这样伪装 IP 的设备没有办法进行正常的跨网段通信。利用 IP 和 MAC 的绑定关系网关防御利用 DHCP relay 特性，网关可以形成本网段下主机的 IP、MAC 映射表。当网关收到一个 ARP 报文时,会先在映射表中查找是否匹配现有的映射关系。如果找到则正常学习，否则不学习该 ARP.这样伪装 IP 的设备没有办法进行正常的跨网段通信.接入设备防御,利用 DHCP SNOOPING 特性,接入设备通过监控其端口接收到的 DHCP request、ACK、release 报文,也可以形成一张端口下 IP、MAC 的映射表。设备可以根据 IP、MAC、端口的对应关系,下发 ACL 规则限制从该端口通过的报文源 IP 必须为其从 DHCP 服务器获取的 IP 地址。UPRF 会检测接收到的报文中的源地址是否和其接收报文的接口相匹配。其实现机制如下：设备接收到报文后，UPRF 会比较该报文的源地址在路由表中对应的出接口是否和接收该报文的接口一致。如果两者不一致，则将报文丢弃。4 4。2.52.5 路由协议认证路由协议认证攻击者也可以向网络中的设备发送错误的路由更新报文，使路由表中出现错误的路由，从而引导用户的流量流向攻击者的设备.为了防止这种攻击最有效的方法就是使用局域网常用路由协议时，必须启用路由协议的认证。另外，在不应该出现路由信息的端口过滤掉所有路由报文也是解决方法之一。但这种方法会消耗掉许多 ACL（Access ControlList）资源。