医疗行业WLAN解决方案

新医改方案被形容为“四梁八柱”，八柱之一即为构建“医疗卫生信息系统”。新医改方案中明确指出要建立实用、共享的医药卫生信息系统，大力推进医药卫生信息化建设，以推进公共卫生、医疗、医保、药品、财务监管信息化建设为着力点，整合资源，加强信息标准化和公共服务信息平台建设，逐步实现统一高效、互联互通。医疗卫生信息化是必然趋势公共卫生服务体系医疗服务体系医疗保障服务体系医药供应服务体系医药卫生管理机制医药卫生机构运行机制医药卫生监管机制人才保障机制多元卫生投入机制医药价格形成机制医疗法律保障体制医疗卫生信息系统医疗信息网络一体化是必然•以财务为中心医院管理信息系统HMIS•以病人为中心临床管理信息系统HCIS•以共享为中心局域医疗卫生服务系统GMIS信息技术支撑，服务模式创新信息化网络系统无线移动医生查房系统让医生在床边直接：查询病历、生命体征、修改医嘱、病人基本信息、医嘱查询，医嘱输入报告查询生命体征查询手术安排查询会诊单查询无线营养点配餐定餐流程的最优化：移动计算手段，减少手工记录流程配送差错率最小化：床边读取信息，快速、准确唯一核对工作强度最轻化：通过MC50随时随地获取核对信息费用结算科学化：实时、准确地结算费用一体化网络，支撑HMIS/HCIS系统3.一体化安全，防范网络攻击4.一体化管理，维护简单扩展需求设备和人员定位、寻呼VoWiFi无线视频及时消息系统支撑现有业务支撑医疗设备安全网络设备安全，最低0.22wWIFIAP最大100mWWIFI终端最大70mW2004年，英国药品和健康产品管理局MHRA出具的报告表明WLAN产品不会对医疗设备造成影响。无线网络从规模应用和专业测试结果来看，无线信号是绿色安全的2005年H3C在北京医院针对无线信号是否会对医疗设备存在干扰做了现场测试，经过反复的、长时间测试后发现，H3C无线信号对医疗设备无任何干扰。测试详细报告请参考附件《卫生部北京医院华为WLAN设备测试报告》详见以下附件。客户端安全—EAD合格用户不同用户享受不同的网络使用权限你可以做什么？不合格进入隔离区强制升级合法用户隔离区非法用户拒绝入网接入请求IntranetInternet可对网络访问进行审计iMCACLSW核心网你安全吗？你是谁？动态授权安全认证身份认证物理和链路层安全—802.11协议攻击无线报文的Flood攻击探测请求报文（Proberequest）；认证报文（Authentication）；连接请求（Association）；去认证报文（De-authentication）;去连接报文（Disassociation）;NULLdata报文WeakIV攻击当控制器检测到上述的攻击后，会产生告警或者日志，提醒管理员进行相应的处理。当控制器检测到攻击时，可以将发起攻击的无线客户端添加到动态黑名单中，从而保证WLAN网络不再被该设备攻击。接收空口信息设备信息报告AP非法设备无线控制器向非法设备发起攻击设备过滤•拒绝接入•丢弃报文列入黑名单攻击指示iMCACLSW核心网认证，避免直接挂AP方式接入网络FITAP方案可以监听RougeAP，发现RougeAP后，可以采取如下的措施：1.告警，及时通知管理人员进行干预2.对RougeAP进行攻击•拒绝接入•丢弃报文周期性监听空口信息设备信息报告AP非法设备无线控制器向非法设备发起攻击设备过滤列入黑名单攻击指示链路层安全—RougeAP检测iMCACLSW核心网更强的安全—万兆多业务无线控制器AFCACG应用控制防火墙/VPNIPS负载均衡防病毒/NAMSSLVPNOAP安全插卡无线用户服务器ACAP非法报文检测和过滤安全性—WAPIASAAAserverACSSID：802.11iSSID:WAPISSID:WAPISSID:802.11iAPAPAPIP网络支持标准证书鉴别模式支持Radius扩展鉴别模式可对用户授权和计费支持WAPI与802.11i用户共存支持快速漫游中国自己的WLAN安全标准系统支撑现有业务支撑医疗设备安全网络设备安全效率提升—定位系统患者RFID标签无线移动终端重要资产定位追踪系统界面应用—移动监控IPCameraMCUWEB管理视讯终端网络SGSHLRLSTPSSIP数据网SRVoIP认证计费点数据认证计费点国家大剧院山东兖州煤矿统一认证、混合认证FITAPACAAAPortal多种终端认证能力不同，需要在同一SSID下进行管理认证，确保能够安全的访问网络，同时为了避免网络攻击，对一些弱认证能力的终端，专门设置一个SSID，这个SSID能够访问有限的网络服务器地址占用始终占用地址不认证则不分配地址不认证则不分配地址安全程度较高较高非常高用户易用性好较好较好页面推送服务支持不支持不支持无线网络由于其物理开放性，必须认证使用认证；推荐采用Portal认证的方式认证•用户在无线控制器Portal通过认证后可以办公网和Internet网室外区域AC教学楼图书馆学生宿舍接入交换机认证计费平台汇聚交换机一次认证数据流CENERTInternet核心网二次认证数据流1.用户连接无线网络，获得IP地址2.用户被强制重定向到Portal页面3.AC把用户名密码送到认证系统4.AC根据认证的结果，放行或者拒绝用户访问接收报文无线-有线优先级映射流分类流量限制队列发送报文出队调度拥塞控制转发源地址目的地址源端口目的端口协议类型ACL无线控制器调度机制优先级队列1优先级队列2优先级队列3优先级队列4BusyFrameTimeAIFS4CW4AIFS3CW3FrameAIFS2CW2FrameAIFS1CW1FrameAP调度机制、发起认证请求2、用户权限下发用户名张三用户权限Sales认证方式802.1x加密方式CCMP4、用户权限同步3、访问网络5、重新认证请求6、重新可以访问网络无线控制器无线控制器系统支撑现有业务支撑一体化资源管理一体化人员管理平台框架----统一资源访问，基础资源管理设备/文件/数据库访问适配层设备资源管理用户资源管理数据库设备/终端文件系统SNMPRADIUSiMC解决方案无线管理方案VPN解决方案EAD解决方案…….按需装配组件化平台化……安全管理告警管理性能监控报表管理配置文件管理WSM无线管理组件用户接入管理拓扑管理ACL管理QoS管理VLAN管理iMC增值业务无线业务MPLSVPN业务EAD业务…….解决方案SOA架构公共组件WEB服务外部接口基础业务平台平台框架资源管理……基础资源、用户、业务的融合管理一体化管理业务人资源一体化网络管理不需要在两个网管系统之间切换，方便维护人员快速定位网络故障丰富的无线统计报表专业化报表告警统计报表网络质量报表流量统计报表设备性能报表资源数量统计报表包括最近24小时全网无线用户在线趋势图、用户数最多的热点Top5、用户数最多的SSIDTop5、用户数最多的APTop5、最近24小时无线用户接入成功率趋势图、最近6小时无线用户接入成功率、最高的AP的Top5和最近6小时无线用户接入失败率最高的AP的Top5等：海纳百川有容乃大部署无线的地点住院部实验室会议室、礼堂、报告厅教学楼门诊大楼部署篇—AP供电H3C3600PWRH3C5500PWRH3C5600PWRH3C3100EIPWRAP集中部署的室内区域，使用PoE供电相对于本地供电，PoE部署更方便和更安全，能够通过网管远程控制AP的供电和断电室外AP根据不同情况，可以采用本地220V供电，也可以采用PoE供电ACL2/L3IPIMC分支机构H3C5600PWRTelnet管理PoE供电部署篇—AP部署方式室内覆盖室外部署室内覆盖室内覆盖室外覆盖室内适合接入用户密集的地方，如图书馆、电子教室、宿舍等通过功分器方案实现室内分布部署，优点是每个房间信号均匀，但相对成本会有所上升适合宿舍、家属区等区域的补充覆盖，可以使用少量设备覆盖更多的用户群体室内部署双频室内放装实现高密覆盖降低AP和客户端发射功率，实现同频重叠最小化采用2.4G和5G混合部署，增加用户接入能力802.11a信道802.11b/g信道1&63&113&118&11&65&63&118&61&13&11实验室会议室住院楼高密覆盖－网优自动化AP1AP2智能负载均衡技术不启动负载分担的区域只在重叠覆盖区启动负载均衡APA