《行业解决方案医院无线网络设计方案.doc》由会员分享,可在线阅读,更多相关《行业解决方案医院无线网络设计方案.doc(43页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、XXXX院Alcatel-Lucent无线解决方案建议书上海众翔信息地址:上海市张东路1 387号张江集电港二期25-2幢目 录一、XXX医院无线网络通信系统建设需求5XXX简介5XXX医院无线网络应用需求5无线网络通信系统应用支撑需求8二、XXX 医院无线网络系统设计原则8满足医疗中心应用需求8利用灵活便捷无线接入方式补充有线网络接入8通过无线网络系统承载VoIP语音电话应用9支撑医疗网络信息化管理系统10遵循标准11成熟无线射频技术11传输安全性能可靠12易管理易维护13支持内部语音通信系统13三、Alcatel-Lucent方案技术特点以及在医疗中心中适用性阐述13先进而成熟无线局域网交
2、换架构13集中式无线网络管理模式13无线射频智能管理14具有安全保障网络平台15无线用户网络接入安全管理16无线网络安全防护和监控17无线局域网认证及加密19无线射频终端定位20支撑多业务网络应用21无线网络QoS实施及保障策略21网络系统自愈功能22无线接入负载均衡23VoWLAN无线语音通信系统24无缝跨越不同IP子网漫游26强大方便网管平台27SNMP TRAP27EVENT / REPORT27NETWORK REPORT SYSTEM27四、医疗中心无线网络通信系统设计及实施方案28整体系统架构设计28设计原则28拓扑结构28设备选型和配置29核心交换机连接29接入层AP部署30用户
3、接入策略31认证及加密方案32设备认证方式建议32数据传输加密33网络管理措施33性能管理33故障管理34VoWLAN语音子系统34五、设备清单35一、XXX医院无线网络通信系统建设需求1.1XXX简介1.2XXX医院无线网络应用需求在医疗环境中安装无线技术,主要是出于两个重要原因。首先是电子病历系统EMR部署。医疗中心希望借助无线网络,让医师、护士与其他临床医生可以尽可能有效地及患者交流,从而获得更加高效床边护理。 医护人员可以通过在医院手推车上安装计算机,无线接入EMR。临床医生可以推着一辆手推车探视患者,并从患者床边,迅速地获取患者住院信息、病史、化验结果与其他患者数据。此外,临床医生还
4、可以在转移到下一张病床之前,通过该应用更新患者病历、预约化验与开处方。所有信息都将通过无线网络,记录在医院主数据库中。支持无线EMR为医护人员提供移动能力非常重要,因为它不仅可以让医护人员更加方便与有效地进行床边探视,还可以从患者角度提高探视质量,这是因为医生在探视过程中始终都可以待在患者床边。 医疗中心建立无线网络第二个重要原因是网络布线局限性。安装网线几乎总是需要采取钻墙与穿越天花板等措施,这些措施不仅会干扰办公场所正常工作,而且在病房中具有很高危险性。传统布线所带来大量灰尘与其它颗粒物质。这对于HIV或者化疗病房患者非常有害,因为患者非常容易受到感染。无线系统部署非常快捷、灵活,可以减少
5、甚至避免所有这些环境施工危险。 医疗中心决定实施无线网络,并将其安装在急救医院与专科医院中。在安装完成以后,医疗中心医院最终将拥有自己无线局域网,手推车与某些特定桌面上计算机将配备相应PC客户端适配器,用来组成完美无线网络。 纵观整个无线网络建设项目,网络工程师会认为无线系统因为本身技术原因,导致医院系统信息化会面临信息安全问题,尤其是数据传输安全问题。目前无线局域网使用是基于WPA802.1x技术,这项技术要求用户使用验证密钥来访问无线局域网。这项技术应该是比较安全。医生进入系统,需要自己密码与名字,并且同级医生之间信息不能共享,只有职务高一级医生才可以进入下一级医生系统里。这样做除了安全性
6、上考虑外,还有监督作用。无线网络防火墙概念引进,对无线网络可以做到多层防护。基于用户无线访问策略,为用户无线漫游提供方便。 很多医院信息网络工程师还会有另外一个顾虑,即无线设备是否会影响医院设备使用。关于无线设备是否会影响医院设备使用问题,答案是否定。理由是,无线站点发射功率其实非常小,不会超过100MW(毫瓦),而手机发射功率则在几瓦上,所以限制手机在医院使用并不能说明无线局域网也会对医疗设备产生影响。并且,无线网络WiFi技术工作在ISM频段,ISM频段转为医疗与工业技术领域预留无线频段,在医院中消毒常用到微波炉,WiFi技术就工作在2.4G点上,而无线设备功率是毫瓦级。以前很多医疗中心工
7、作是基于有线网络,非移动式工作站信息系统对查房没有直接帮助。医生到病房仍然要拿纸张、病例虽然这些病例可能是计算机打印出来但查询仍然不方便实际上还是传统查询模式。对护士来说也存在着同样问题,护士工作最要到病床前测体温、量血压进行生命体征数据采集然后再将记录在纸上数据输送到计算机里,反而增加了工作复杂度。而且过去服务过程也没有记录,一般是转抄医嘱。实际上这种信息系统与病房管理模式并没有实现信息衔接,等于从医生、护士办公室到病人床前这一段“路程”没有实现数字化。而无线系统解决了这些问题。在无线技术得到广泛应用之前条形码技术应用,为“以患者为中心”口号提供了技术支持。医疗中心从挂号起始环节开始就取消了
8、病例本,而换成带有条形码病例袋。这是就医者在医疗中心治疗“通行证”。通过扫描呼叫病人就诊同时医生就可以通过医生工作站调出患者病历资料、化验单、以及各种影像检查资料。值得一提是数字化摄影技术大大缩短了洗印时间,患者不必花费漫长时间等待报告单。而且影像检查精确度也得到成倍提高,一张X 光片存储可达10 多兆,以前普通x 光片上显示不出来微小病灶,都会以千万像素高清晰效果呈现在医生面前。诸如DHA 、C T、CR 、B超、彩超信息,可以在全院范围内实现各种设备影像集中存储效与共享。就是做完了检查之后,门诊医生化与住院医生影像都可以直接获取。看完医生后处方单等也都由电脑打印出来并带有条码信息。这样在病
9、人交费时候只要在排号机前扫瞄一下储存一个号就可以等待被呼叫交费了此时医生所开药物或检查项目、费用明细也都已经显示在电脑屏幕上,自然就不用排队了。在药房,以前是先交处方,再备药,等待时间很长。现在是收费完成之后配药单自动传到药房后台准备药之后再扫瞄一下,就医者就可以直接到窗口领药。药师扫描条形码核对处方,系统自动核检库存。这对于就医者来说是不用排队了,而对于药剂师来说,通过整个过程计算机管理。药师不需要敲一下键盘,不需要按一下鼠标,避免了发药时候可能出现错误。医疗中心在门诊建立条形码体系,得益于门诊各个环节紧密整合,无线网络构建提供综合业务平台使得医疗中心信息流程非常顺畅。无论是应用条码技术还是
10、采用了无线平台,所有应用基础都是更全面电子病例有效集成为一线医生诊治疾病提供数字化支持比如心电图监护、麻醉等,这些不光涉及到过去对病人诊断,而且可以提供监护性过程,而这些信息都能够从这个系统中获得。医疗中心可以为来此就医者保存电子病历再次来到该院时无论已过多长时间,只要还保存着条形码,患者所有病理资料都可以在任意一台工作终端调出查阅,极大方便了病情综合诊断。而从系统集成角度来说系统要有效集成最重要一点就是数据库一体化结构设计,作为医疗中心要在上系统之前一定论证清楚,把需求提清楚这样系统进来之后才能有效整合。以前医疗中心信息系统主要涉及管理与工作效率提升。并由此向业务延伸。随着医疗中心信息系统涵
11、盖内容不断扩大面向临床角度发展。这就又涉及到很多系统。而这些系统不是一个厂商或者是一个单位就能完成,就必须有一个规范性规划包括各系统如何变异,如何解释等。如临床系统、信息影像系统都需要确立相应标准。1.3无线网络通信系统应用支撑需求无线网络通信系统为XXX 医院日常业务应用提供支撑平台。目前被广泛采用一些基于无线局域网技术医疗解决方案包括下列面向患者应用: 基本数据接入/访问互联网 电子病历访问/查看 医生处方输入与药物治疗匹配 护士呼叫系统 患者床边服务 对重要统计数据监控二、XXX 医院无线网络系统设计原则2.0满足医疗中心应用需求2.0.1利用灵活便捷无线接入方式补充有线网络接入在早期医
12、疗中心弱点信息点设计当中,尽管医疗建筑中每个房间不一定需要使用电脑或者有网络接入需求,但是为了考虑将来可能扩展应用需求,往往在所有房间中都一定部署 与网络端口,这样设计通常容易造成资源闲置。而通过部署无线网络,在提供网络接入同时带动了IP 等各种应用,不仅削减有线网络信息点,提高了资源利用率,而且还可以使用移动IP 替代传统固定 降低医疗中心通信费用。这样网络接入方式具有灵活便捷特点,在经济上也是一种高性价比投资。下表中给出了一个有线网络接入与无线网络接入投资对比分析(元):有线网络无线网络以太网交换端口数3700个370个硬件成本300200运营维护(10%每年)3020有线物理设施造价1,
13、221,00081,400无线AP数目0370硬件成本02,500运营维护(10%每年)0250总共AP造价01017,500无线交换机数目01硬件成本0800,000运营维护(10%每年)080,000总共无线交换机造价0880,000无线物理设施造价01,897,500布线到桌面(400每根)1,480,000布线到屋顶(300每根)111,000总体费用2,701,0002189,900通过上面表格可以很容易看出无线网络接入方式具有一定投资性价比。对于数以万计医疗中心弱点信息点而言,将其中2030%信息点利用无线网络加以补充与部分替代,无疑是合适而且可行。2.0.2通过无线网络系统承载V
14、oIP语音 应用新技术要有推广与应用价值一定是可以为实际工作中解决问题,特别是节省企业运做所花费用。VoWLAN(无线IP语音 )也是如此,假设在无线网络上VoIP系统可以帮助我们企业节省很大一部分通讯费用,另外在语音通讯上也比VoIP与传统 要方便得多。(1)节省话费:VoIP能够得到推广最大优点就是他可以节省企业大高额 费,特别是长途话费。所以当企业建立了VoWLAN网络后也继承了VoIP优点,所有长途通讯或者本地通讯都是通过网络解决,公司只需要支付网络使用费即可。而企业内部语音通讯也完全可以通过网络实现,一不用购买 交换机,二不用为 交换机(程控交换机)运营而向 局申请单独 号码了。(2
15、)使用方便:如果说VoWLAN节省话费特点是继承自VoIP话,那么使用方便则是他对VoIP功能提升。众所周知VoWLAN是基于无线网络,也就是说所有语音通讯都可以实现无线,语音通讯设备也从传统类似及固定 VoIP 机转变为类似于手机VoIP手机。这样用户就可以实现拿着VoWLAN手机在企业内部任何一个地方随意通话了。这点是以前有线网络中VoIP无法实现。 (3)新融合通信方式:基于IP 技术VoWLAN系统,可以支持更多新型增值业务,提高了投资性价比,例如:话音及EMAIL结合;话音及演示板结合网络实时演示;综合话音数据以及视频远程会议等。2.0.3支撑医疗网络信息化管理系统采用无线网络最大优
16、势在于无线网络灵活性,及时性与移动性,Alcatel-Lucent无线网络提供了54Mbps高速传输速率,兼容802.11G, 802.11b无线设备,具有丰富用户安全认证/数据加密传输功能.,配合医院医疗管理系统(HIS),可为整个医院提供了高速54M网络信号无隙覆盖,使整个医院处于整体电脑网络系统管理之下,加快医生对病人病况信息查询,认识与处理。无论是对医生、护士还是工作人员,整个工作进程都将是可控: 利用无线网络,医生与护士在病房,诊室,急救室,手术时可以不必带着沉重病例资料,使用笔记本电脑就可以实时记录、查询与传递信息。对于特级护理病人,可通过无线网络随时查看患者监控数据与病情状况。
17、利用无线网络,药剂师将适时根据医生制定药剂配方,正确配置药品剂量。可以避免看不清楚或看错医生处方而造成不必要医疗差错。 对于突发性情况,比如接到具有特殊情况病人,专家可以不必寻找电脑去查找资料来帮助诊断,可以通过无线网络立即上网查询,没有一分钟延误。 在查房过程中,医生或者护士可以通过笔记本电脑将患者各项数据输入计算机,可以通过计算机随时查询患者即往病史、过敏史等关键资料,可以通过计算机核对处方药品及处置方式是否正确等等。 针对临床教学过程中,专家或医生可以通过笔记本电脑无线接入,调取特殊患者相关医学案例,结合现场患者情况,为学生提供生动,多样教学模式。 在病房内,白领人士在医护人员允许身体情
18、况下,在适当时间内,通过自己手提式电脑通过无线进行公司事务远程处理。也可通过MSN或QQ回复朋友问候。真正达到住院办公两不误。2.1遵循标准802.11协议族标准以其使用公共频点、物理层调制解调技术先进等技术特性从问世以来就受到业界广泛关注,其中自1999年IEEE制定了802.11b之后相继标准化802.11a与802.11g技术近年来更是在产品上不断推陈出新,及蓝牙、红外等技术产品共同分享了统治室内近距离无线传输应用市场。及很多私有无线传输协议所不同是,由IEEE制定802.11系列国际标准协议工作在国际免收费ISM无线频段,同时在物理/链路层技术上都具有公开标准可以遵循。这样国际标准使得
19、设备厂商在追随标准同时,保证了同一系统不同设备之间兼容性,不但为整体项目/系统作了很好投资保护,而且在将来标准演进时候,更容易进行相关升级。近年来,由于大型医疗器械设备电子频谱干扰相关问题,以802.11系列产品为主体无线网络系统,逐渐占据了医疗环境中多媒体通信解决方案市场。而同时在大型医疗中心这样一个项目中严格遵循已有国际标准无论从技术成熟度还是从投资保护角度来考虑都是十分必要。2.2成熟无线射频技术无线网络及有线网络最大不同来自于传输媒介,无所不在难以固定无线射频使得数据传输性能严重依赖着对于传输媒介控制与调整。集中式控制架构无线交换机+AP解决方案,因为其无线交换机上实时收集着来自所有A
20、P无线信号信息并且进行统计处理,从而可以通过对于周围无线环境分析判断,来集中调控所管理着AP无线属性,达到网络性能优化效果。对于一个可管理、可运行无线网络系统而言,其无线射频需要具有以下特性: 可以通过自动调节AP发射功率而覆盖故障AP信号漏洞区; 支持实现自动侦测信号覆盖; 实时动态分配AP工作频点与发射功率; 支持定位无线射频终端物理位置。医疗中心由于应用场景比较特殊,应用环境可能包括病房、医疗室、会议室、急救室等多种室内条件。在这样复杂部署环境之下,采用人工配置与干预无线射频参数方式不仅效率低而且容易达不到效果。具有内置智能无线射频调控网络系统才是解决问题最好方案。2.3传输安全性能可靠
21、无线传输媒介非受控物理特性使得网络安全防护措施尤为重要,在医疗中心网络通信系统这样一个专用系统中,所传输数据与控制信息都是需要受到严格保护,防止未授权用户进行随意窃取与监听。传统无线网络组网模式当中,AP可以随意部署在任意一个有线端点之上,通过这样一根无形网络链路,所有用户不管是合法还是恶意用户都能够轻而易举进入网络。更有甚者,由于AP价格便宜,非法AP接入防不胜防。在医院这样一个系统当中,为了防范信息被非法AP所泄漏,所部署无线网络本身也需要具有侦测/识别/抑制非法AP接入功能。同时,医疗中心接入用户与设备广泛性,要求网络本身能够基于用户身份去做相应权限与策略控制。为了在网络接入层面认证与加
22、密严格遵循国际上标准,医疗环境中可以考虑认证方式包括: 用于设备接入MAC/WEP认证、SSID认证; 普通用户接入网络使用WEB认证方式; 高级应用、高端用户认证802.1X认证方式。在设备接入网络应用当中,由于移动设备目前支持加密方式受到硬件本身限制与制约,所以采用加密方式多为静态或者动态WEP;而通过WEB认证接入进入网络用户,也可以采用同样WEP加密来保护信息私密性,更为值得推荐是通过VPN来进一步保护通信数据;WPA、WPA2中TKIP与AES在无线网络加密手段中是最安全,一般来说,由于配置复杂程度以及推广部署问题,只有高端应用与特定用户群体才会去享受这种安全策略。2.4易管理易维护
23、无线网络可管理、可维护性是网络能否健康运行重要保障。一个之上承载着重要应用,时时刻刻传输着关键数据网络系统,如何有效、高效对之进行管理与维护,是所有网络管理人员都必须面对难题。通过标准SNMP对设备进行配置与监控,通过syslog记录发生问题网络环境上下文,通过SNMP trap与网页警告通知相应网络技术人员,通过无线网络数据采样功能辅助相关人员进行网络故障排除及调试;所有这一切都是无线网络运转正常必要条件。同时,是否能够通过网页、命令行、远程登录等多种网络配置方式对整个网络进行调控与优化也决定着网络整体可管控性。无线网络物理特性上易受干扰特性,使得其更加依赖于网络自愈功能、负载均衡能力、以及
24、网络冗余备份设计策略。一个良好无线网络能够通过提供这些功能来辅助网络管理。2.5支持内部语音通信系统可以预见随着VoIP技术成熟及普及,基于SIPWi-Fi 将迅速变为XXX 医院领导之间话音联络主流。Wi-Fi 除了可在XXX 医院、医疗中心楼以及办公室之间等不同AP之间漫游外,用户亦可在其它有Internet连接地方如酒店,住宅等使用,这是一般办公室无线 (传统 交换机)所不能做到。简单地说,用户可在有宽带接入地方继续使用办公室 号码,不管是国内或国外。对于一些经常出差用户基于无线网络技术VoIP解决方案会带来极大方便,亦可节省长途 费。很多手机厂家已开始推出双模制式手机(GSM/CDMA
25、 + Wi-Fi),用户很快就可以漫游于手机移动网与无线局域网之间。三、Alcatel-Lucent方案技术特点以及在医疗中心中适用性阐述3.1先进而成熟无线局域网交换架构3.1.1集中式无线网络管理模式一家普通医院,从门诊部到住院部,要实施无逢无线网络覆盖,至少需要上百个甚至几百个AP无线设备,管理与维护如此大规模无线局域网是一件很头痛与花时间事情。从射频信号覆盖面,用户带宽,用户认证,以及接入安全等,都需要低成本解决方案。传统无线局域网管理与维护是基于每一个单独AP进行,其大量管理工作就是要逐一地对每个AP进行同样设置与更改动作,即使是一个很小改动,也要将全部AP修改一次。如果AP数量不断
26、增多时,维护量变得非常庞大与烦琐。再者,无线局域网本应是一个整体系统,AP之间需要互相协调工作,单独改变一个AP参数会引起AP之间无线电波干扰、用户漫游重认证与授权等问题。有见及此,Alcatel-Lucent公司推出强大具有集中式管理瘦AP无线交换机架构,该无线架构具有简单而强大无线局域网集中式管理功能,AP本身并不存放任何配置文件,AP配置是从无线交换机上获取,通过无线交换机Master Switch与Local Switch管理模式就可以统一管理整个无线网络AP。网管人员只需简单地配置无线交换机,即可实现开通、管理与维护所有AP设备以及移动终端,包括无线电波频谱、无线安全、接入认证、移动
27、漫游以及接入用户。无论多么庞大医疗网络,Alcatel-Lucent先进架构都可以让管理者在瞬间内完成所有AP修改与自动协调动作。例如,在医院里共部署了300个分布在各科室各楼层无线AP,出于安全性需要,每三个月修改一次WEP加密密钥,如果用传统方法,只能逐一对每个AP进行修改,估计需时几天,而用Alcatel-Lucent集中式统一管理架构,只需几秒钟就完成了,效率是从前几百倍。再者,对于超大型无线网络(几千个AP数量级以上网络),如果没有集中式统一配置管理,是无法想象。自从有了集中式统一管理无线架构后,现今越来越多医疗机构开始逐步实施“移动边缘”战略,因为不需再担心因规模问题导致额外管理时
28、间与成本。3.1.2无线射频智能管理传统无线局域网射频管理是依靠工程师手动配置,这种固定式,静态管理手段并不灵活,有很大缺陷,尤其不能适应大规模无线网部署及动态复杂多变无线环境。因此,我们需要更智能化动态射频管理。大厅病房会议室办公室/公位病房病房病房病房病房病房Alcatel-Lucent无线架构是基于无线交换机集中式统一管理系统,而无线交换机正好是全局AP中心与沟通桥梁。AP及AP之间射频信息通过无线交换机汇总后,通过RF智能控管,便可以很方便地自动调节线上所有Alcatel-Lucent AP电波特性,而无需逐一设置,这是传统AP方式无法做到。 当初次安装无线局域网时,用户可通过RF P
29、lanningAuto Calibration功能来自动协调整个无线网上所有AP无线电信号频率与发射功率等参数。启动了Auto Calibration后,AP与AP之间便会自动互传相关射频信息,然后计算得出最佳通讯频率与发射功率,直到AP之间达到了一个最优化无线电波运行环境。而且,这种射频优化过程是动态,持续,对于医疗行业这个复杂而多变室内环境,经常会受到各类无线电波干扰,拥有动态射频管理是很必要。智能化射频管理原理及主要过程如下:当无线局域网经过Auto Calibration功能进行调整后正式运作,并在Alcatel-Lucent无线交换机内启动ARM这功能,于是无线网上所有Alcatel
30、-Lucent AP都会在设定时间内自行扫描其它无线频道。所谓电波扫描,是指Alcatel-Lucent AP 从一个电波频道跳到另一频道时,如Ch 1 到 Ch 2 到 Ch 3.,由于扫描速度非常快,所以对于连线无线用户(指连接到AP上在同一频率上无线终端)传输过程是不会受到影响。当AP停留在一个频道时,它会把在这频道上收到无线电波信息转送回Alcatel-Lucent无线交换机。这样Alcatel-Lucent无线交换机就对整个无线网上整体无线电波情况有一定了解与记录,并通过优化算法,计算得出每个AP最佳无线频率与发射功率。当某一覆盖范围内电波改变或出现干扰时,Alcatel-Lucen
31、t无线交换机就会把所获取无线电波资料做分析,以确定是否需要调整这范围内AP无线电波。3.2具有安全保障网络平台在传统无线局域网解决方案中,为保障网络安全,许多客户把所有无线流量拒之于防火墙(从DMZ区接入)之外,用户不得不绕道进入单位网络(如下图)。从安全性方面看,这是个好方法,但却使网络设计达不到最优状态而且导致性能劣化,因为 WAN 级别防火墙突然之间要被迫应付许许多多以无线局域网速度访问接入点。这种技术由于“统一尺码”访问控制方法而不够灵活,因为它赋予所有无线用户相同网络权限。如果不采用上述解决方案,而是将无线系统直接连接到楼层交换机,这样用户连接至AP以后,所有访问都将无从控制,对客户
32、网络安全更是极大威胁。在医院园区网环境中,由于来往人员多,流动性很大,如果只是靠内网与外网隔离,不能很好提供服务给不同身份用户。假设医生需要查询病人资料而使用随身携带PDA,如果只是简单在内网中部署WLAN(无线局域网),病人家属与访客很容易通过自己PDA与笔记本电脑登陆到医院内网,造成医院网络安全漏洞。如果部署医院全范围内WLAN,传统无线局域网面临无缝漫游与用户管理难题。而Alcatel-Lucent无线系统安全管理是将防火墙、VPN、安全认证、防病毒、无线入侵监测以及RF 电磁波管理等多项安全功能汇聚到Alcatel-Lucent无线交换机上来完成,解决了传统无线网对安全分散管理(AP、
33、AC)与能力,给用户带来安全感,摆脱了对有线网安全依赖性。3.2.1无线用户网络接入安全管理用户状态防火墙是Alcatel-Lucent无线交换机独特功能,它本身就是针对无线接入特性而设计。传统网络防火墙是没有用户这概念,它保护只是基于IP地址或物理端口来制定防火墙策略,所以对于没有固定接入点无线终端,这种防火墙功效是不大。Alcatel-Lucent无线系统防火墙功能则是及用户认证捆绑在一起,当无线用户成功通过认证后,他会获得一个预设用户状态防火墙,不同无线用户有不同防火墙策略,例如医院管理人员与医生可以使用更多服务,而病人及访客只可以浏览网页、收发Email等,这样可以极大方便医院用户安全
34、管理。例如医院领导可以通过无线网络访问全院管理、财务、人员信息,医生可以通过无线网络访问病人病情信息、治疗信息,病人可以通过网络访问个人信息、费用信息,访客可以通过无线网络访问医院公众网站,了解医院具体情况。基于身份访问原则很好保护医院网络安全,同时也提供了不同等级访问权限。(如下图)3.2.2无线网络安全防护与监控由于无线终端接入是没有明确物理位置限制,所以管理方极难用固定网络防火墙设备来防范无线连接(防火墙一般很少会设置在每一个接入层数据链路上)。并且网络防火墙是不能防止无线终端之间通信,所以万一有无线终端被病毒感染或黑客在无线发起攻击话,它都很会容易散播到其它无线终端及整个传输网络内其它
35、网点。有一些单位为了安全就采用一刀切方法,把所有无线接入汇聚到一个DMZ内,再通过一网络防火墙过滤才让无线数据进入企业内网。这种方式在具体实施时有一定困难,只能局限在传输网内某些范围,因无线用户/终端必需集中在一VLAN上处理,否则话很难把它们汇聚到一个DMZ内。如果不是经过DMZ话,则可能威胁到内网安全,但要把在不同接入点AP无线用户/终端与有线用户(在同一接入点)完全分隔开而设置到DMZ上同一个VLAN则需在现有局域网做很多改动。且未来如要增加多一些AP接入点话,亦同样需要在局域网接入层,汇聚层做很多改动。采用传统网络防火墙来实现无线接入安全保护最大问题是缺乏灵活性,因它本质上不是设计来做
36、内部安全保护,而是用来确保外来数据进入企业内网是安全可靠,所以一般都会设置在企业因特网连接口。从因特网进入企业内网与企业内部无线接入最大区别在于后者是可对用户做认证,但前者是不可能实现。由于不能确认用户身份,所以防火墙检查或策略只可按端口与IP 原地址来制定,不管用户是谁。这种模式在企业内部署会对用户内网访问有很多限制,缺乏灵活性,所以是很难被用户广泛接受,只可在小范围或小规模情况下实现。要做到实施与维护简单方便,亦可根据用户身份来制定安全访问策略,Alcatel-Lucent无线解决方案就可以彻底解决这些问题。采用Alcatel-Lucent 无线系统RF侦测功能与保护机制可以实时监测大厦无
37、线网覆盖区域内所有AP接入情况,如相邻房间AP、设置错误AP以及未经认可而连接到网络中AP。通过Alcatel-Lucent 网络安全管理系统,网络安全管理人员可以及时发现是否有非法AP接入,发现后可以开启自动保护机制,阻止无线终端通过非法AP联接到无线网中。在医院网络中,如果某位医生或行政人员私下安装了无线AP,提供了直接连接医院内网接入,Alcatel-Lucent无线安全管理功能可以及时发现这个非法AP,并且可以通知管理人员断掉非法AP网络连接,显示非法AP接入大致方位。今天已经有很多无线入侵与攻击工具可从网站下载,这些工具普及对医院与运营商无线网安全构成很大威胁。今天绝大部分无线局域网
38、都没有侦测无线入侵功能,所以当受到像无线DOS攻击时,就会误以为是无线电波信号受干扰或AP出现不稳定情况。这些攻击在HotSpot会导致用户无线连接断线,但网管中心仍然不知,用户则误以为是网络问题,间接影响无线网系统品质。Alcatel-Lucent 无线系统特点是交换机由专有网络处理器与加密处理器组成,且内置一个无线入侵模式库,实时检测异常无线数据包,当Alcatel-Lucent 无线系统侦测出有入侵时,它会记录与显示入侵格式,并对入侵做出自动保护响应。3.2.3无线局域网认证及加密传统无线局域网解决方案中用户认证主要依赖于802.1x,这种认证方法需要用户安装802.1x客户端程序,后端
39、还需要Radius服务器支持。一方面用户技术水平参差不齐,客户端操作系统多种多样,以及系统可能出现软件冲突等,对802.1x客户端安装造成极大障碍,另一方面,后端数据库只能使用Radius,不能使用其他类型认证数据库,在适应性上也比较差,这些对于大规模推广与使用都是极大阻碍。考虑到客户所使用设备安全认证多样性,我们认为将来接入方式可以多种选择,医院医生可能通过手持PDA设备查询数据,病人可以通过医院提供PC机查询信息,访客与医院领导可以通过笔记本电脑上网,医院同时可以考虑提供WiFi手机提供语音服务。在Alcatel-Lucent无线系统中,一个无线用户进入无线网以后,只会拿到一个最基本入网权
40、限,这个权限不容许用户访问任何网段,只让用户通过DHCP获取IP地址、传送DNS协议数据包,通过认证以后才可以接入无线网。Alcatel-Lucent无线系统支持目前各种用户认证方式(802.1X、WEB认证、MAC、SSID、VPN等),医院用户可以根据需要方便选择。我们可以考虑医生与医院管理人员可以通过身份认证方式登陆到医院内网,病人与访客可以通过WEB界面访问医院公众服务器,远程医院员工可以通过VPN方式访问医院内网。WiFi手机用户可以事先设置好登陆方式。Alcatel-Lucent无线系统与其它厂家在无线接入认证与加密上最大区别是前者不是通过AP,而是在Alcatel-Lucent无
41、线交换机上实现。由于Alcatel-LucentAP是不储存任何网络配置(IP地址除外)与安全设置,因此Alcatel-Lucent 管理AP是不能单独工作,因此获得与接入进Alcatel-Lucent AP,黑客也不会拿到无线网网络与安全配置参数。但一个破坏者通过其他手段(偷盗与窃取)攻破了边缘接入网络,他也无法破译Alcatel-Lucent 无线网络建立起加密通道,无法窃取网络真实信息。3.2.4无线射频终端定位Alcatel-Lucent 还有一个独特无线射频特性是可跟踪在无线网络内所有Wi-Fi终端位置,如PDA, Wi-Fi手机,与笔记本等。在医疗中心在安装Alcatel-Luce
42、nt无线系统之前或安装以后,网管人员可把各个建筑物图纸输入到Alcatel-Lucent无线交换机内RF Planning 系统,然后把AP安装物理位置输入到图纸上座标或具体位置上。当在这个系统环境中寻找带有无线终端工作人员或病人等所在位置时,例如非法AP或Wi-Fi 手机,在交换机内无线终端记录表内找到了终端网络地址后,可按“定位”这按钮,则网管界面会弹出在RF Planning上终端在医疗中心图纸物理位置。这种无线定位模式称为三角定位,它准确性可达到2.5米以内,先决条件是所寻找无线终端附近须有最小三个Alcatel-LucentAP 在范围内。这是传统无线网络所不能做,在一些其他行业,如
43、医院就是采用了无线定位技术来取代传呼机在医院内寻找医生、病人等。3.3支撑多业务网络应用3.3.1无线网络QoS实施及保障策略Alcatel-LucentAP所使用硬件支持无线多媒体扩展(WME)队列,同时可以将这些射频队列映射到IPQoS机制如DSCP与802.1来保证无线应用可以在有线网络上获得相应优先级。此外,阿尔卡特在支持802.11e服务质量基础上,增加了基于用户状态流区分与优先级映射,使得同一个设备不同应用可以得到不同处理优先级。区分数据流各种参数可以包括源/目地址、协议、服务(如HTTP、T等)。Alcatel-Lucent无线交换机在启用内置防火墙时,可以识别数据流状态与类型,
44、因此可以根据用户或应用来分配不同带宽。带宽分配是在无线交换机内由一个专业漏桶算法来控制,当用户流量超过预定义带宽时,数据包将被丢弃。Alcatel-LucentAP与无线交换机可以利用802.1p与IP DSCP来给网络里数据包来标记QoS优先级: 下行往无线用户方向,无线交换机根据应用与流标识来标记802.1p标签,无线交换机内部状态防火墙可以识别需要高优先级数据流,然后根据用户定义802.1p标签来标记相应数据包,这样在无线交换机与AP之间网络就可以据此来保证下行数据优先级;当AP收到下行数据时,它可以根据数据包GRE包头信息来确定该数据包优先级。 上行无线用户往AP方向,AP不作解密工作
45、,所以没有办法知道数据流优先级,但是一旦高优先级数据流到达无线交换机,该数据流就立即被识别并且AP被告知哪个用户具有较高优先级,此后该用户数据流就会被标上用户定义802.1p标签。目前,由于无线上服务质量标准802.11e还没有最后定稿,所以Alcatel-Lucent支持Wi-Fi联盟WMM规范(802.11e子集)。一旦IEEE 802.11e被定稿与正式公布,Alcatel-Lucent将完全支持该标准。Alcatel-LucentAP具有8个硬件队列,目前只使用了两个:高优先级与低优先级,以后可以配合802.11e标准发布启用8个队列,以实现更为丰富服务质量保证方案。当前我国医疗行业通
46、信系统正面临着升级换代重大转折点。新环境下医院对于通信需求,已经不能仅仅满足于以往传统 、上网功能;除了在医院内部搭建高效、通畅、低廉通信网络外,还应该包括向病人提供便捷、先进通信业务与多媒体信息服务等新内容,以便改善医院就医条件、病人就医感受,并为医院创造新业务模式,提高工作效率。融合语音数据、实现多媒体协同、室内外无线覆盖、多种终端及应用集成这些当前最时髦“融合通信”相关理念,已经开始叩响部分医院大门,为医疗行业信息化吹进一缕清新风。当所有数据、语音与图像应用共同运行在医院无线网络环境中时,Alcatel-Lucent无线解决方案可以根据医院网络应用实际需要保证不同重要性应用具有不同优先级
47、,从而保证在网络流量发生拥挤时关键性应用网络服务质量。例如:电子查房系统,医院内部VOIP语音系统,无线视频监控系统,当这些应用统一运行在Alcatel-Lucent无线网络平台上时,在Alcatel-Lucent解决方案中可以支持对不同应用优先级设定从而保证在Alcatel-Lucent无线平台上保证关键应用网络带宽。3.3.2网络系统自愈功能传统无线网络里每个AP都是一个独立个体,相互之间不存在任何沟通及协商,如果有某一AP突然损坏或失效时,这个AP原来覆盖区域就会失去无线连接,无线网络变得不可用。遇到这种情况一般做法就是马上把失效AP更换。但由于大多数AP都是布置在楼道里(并不是在机房),所以不一定能马上作更换,现场环境也有局限性,很多时候维护人员较难即时做出更换动作(很多AP都是安装在天花板上)。而且,从故障发现,处理,找到新AP,替换,整个过程需时漫长,尤其是这对于一些紧急应用是不能接受。因此我们必须寻找另一种方法去缩短故障处理周期。为了提高无线网络可用性与增强整个架构冗余性,Alcatel-Lucent系统设计了故障自动恢复功能,即实时侦测出线
限制150内