名目1111121。313HIAL131314142。2B\S141414153。315164。1164。2164。2.1VLAN16STPRoot/BPDUGuard164。2。3174.2。4IP174。2。518系統(tǒng)部署方案一、技術(shù)架構(gòu)iMed_HER電子安康檔案信息系統(tǒng)是一個基于標(biāo)準(zhǔn)的安康數(shù)據(jù)平臺。全部文檔都符合HL7v3CDA標(biāo)準(zhǔn)，全部消息都符合HL7v3標(biāo)準(zhǔn)。HL7v3是在EHRS上進展信息交換的標(biāo)準(zhǔn)。其中包括要經(jīng)過HIAL的全部消息.由于全部消息轉(zhuǎn)換、路由和使用效勞都要經(jīng)過HIAL，所以HIAL 的可擴展性對成功進展互聯(lián)互通至關(guān)重要EHRS平臺上硬件系統(tǒng)的處理力量與設(shè)計〔網(wǎng)絡(luò)、存儲和安全在單獨章節(jié)中描述〕，重點著眼于區(qū)域衛(wèi)生信息平臺的互聯(lián)互通性以及安康信息的處理與分析。1。1相互連接性HIAL，其中包括POS、公眾安康信息數(shù)據(jù)存儲庫/SaaSCOTS(現(xiàn)成構(gòu)件)—或這些模型的混合來實施這些系統(tǒng).HIAL必需支持不同的軟件架構(gòu)的連接,而且不應(yīng)牽涉任何外部系統(tǒng)的改造。這些系統(tǒng)之間連加強安全性以保證互連的安全。1。2標(biāo)準(zhǔn)的進展和承受標(biāo)準(zhǔn)的進展往往是一個進程，HL7也不例外。HIAL負責(zé)實現(xiàn)兼容的以及實現(xiàn)與RHIN將來要擴展到的主體/系統(tǒng)的敏捷兼容。此外，在HL7的POS系統(tǒng)〔可能是在HL7v2.x上)上的信息POS應(yīng)用程序可以了解HL7v2。5,IHE配置文件XDS〔跨院區(qū)文檔共享的社區(qū)HIEHIALPOS應(yīng)用觸概況并與下屬醫(yī)生網(wǎng)絡(luò)共享.HIAL可以簡潔地將來自醫(yī)院接口引擎HL7v2。x消息源重定向，從而幫助實現(xiàn)這一點。HIAL可以進一HL7.2x到HL7v3的映射.這將削減花費在系統(tǒng)標(biāo)準(zhǔn)。HIAL可以執(zhí)行作為根底構(gòu)造層一局部的集成功能，從而允許醫(yī)療保健供給商可以承受與其策略更加全都的方式或步伐來實現(xiàn)互.對于可能已經(jīng)實施了較多系統(tǒng)的區(qū)域，RHIN可以考慮將連接擴展到HL7以外。這樣可以加快互聯(lián)互通性的實現(xiàn)速度,從而加快居民電子安康檔案系統(tǒng)的實現(xiàn)速度。1.3術(shù)語標(biāo)準(zhǔn)化HIAL完成了整個RHINRHIN數(shù)據(jù)倉性。1。4HIAL處理HIAL的最正確模型應(yīng)當(dāng)不知道醫(yī)療數(shù)據(jù)的物理位置。也就是說，在每〔集中〕放在某個地方.而且，架構(gòu)模型也不應(yīng)自動適應(yīng)數(shù)據(jù)源的變化,例LRS〔時序檔案效勞〕RHIN中(包括EHRS與外部連接系統(tǒng)RHIN規(guī)模來實施不同的HIAL范圍。1。5監(jiān)管策略監(jiān)管是RHIN以是一個混合體。RHIN架構(gòu)必需包括一個可為跨供給商整合式監(jiān)管HIAL層實施。簡而言之，HIAL需要供給“根底設(shè)施層”互聯(lián)互通性，并且能iMed_HER電子安康檔案信息系統(tǒng)和連接系統(tǒng)的持續(xù)進展中保持可互聯(lián)互通性。二、部署方式2。1數(shù)據(jù)集中式治理IT的進展趨勢是數(shù)據(jù)集中,數(shù)據(jù)集中的核心是對效勞器進展,購置高性能的主機，對數(shù)據(jù)集中治理，已成為一種潮流。iMed_HER電子安康檔案信息系統(tǒng)的網(wǎng)絡(luò)效勞器部署推舉集中式。2.2B\S架構(gòu)iMed_HERB\S架構(gòu)，B\S(Browser/Server,掃瞄器/效勞器模式〕，是WEB構(gòu)造模式，WEB開發(fā)、維護和使用?？蛻魴C上只要安裝一個掃瞄器〔Browser〕，如NetscapeNavigatorInternetExplorer，效勞器安裝Oracle、Sybase、InformixSQLServerWebServer同數(shù)據(jù)庫進展數(shù)據(jù)交互.B\S三、工程實施打算3。1工程實施流程工程實施流程圖如下：3.2工程實施主打算工程實施主打算具體的描述了工程的進程,并明確了資源配置和工程各階段應(yīng)當(dāng)完成的內(nèi)容。工程共有五個里程碑：工程組成立，系統(tǒng)安裝，系統(tǒng)上線,用戶培訓(xùn),工程驗收。3。3實施進度表實施打算進度簡表工程工程預(yù)備需求調(diào)研產(chǎn)品定制開發(fā)試運行

工程 預(yù)備 3天5天

工程啟動會1天

產(chǎn)品定制開發(fā)120天

用戶10天

試運行 工程及考試 驗收30天工程驗收工程驗收3天備注：以上時間可依據(jù)具體實際狀況再作調(diào)整!四、網(wǎng)絡(luò)安全網(wǎng)絡(luò)牢靠性和冗余本系統(tǒng)將從以下幾個方面考慮高可用設(shè)計：網(wǎng)絡(luò)設(shè)備考慮交換引擎、接口、風(fēng)扇、電源等冗余配置。效勞器接入層交換機成對部署，以支持效勞器的多網(wǎng)卡雙歸屬接入方式性。當(dāng)效勞器承受二層接入時，應(yīng)將主會聚交換機做為第一級效勞器的默認網(wǎng)關(guān)以及STP的根節(jié)點,STP根。VRRP＋MSTP或交換機虛擬化技術(shù)做為保證高可用型的實現(xiàn)技術(shù).網(wǎng)絡(luò)安全技術(shù)部署4.2。1VLAN的端口隔離交換機可以由硬件實現(xiàn)一樣VLAN內(nèi)不能實現(xiàn)二、三層互通.當(dāng)一樣VLAN中的效勞器之間完全沒有互訪要求時，可以設(shè)全.4.2。2STPRoot/BPDUGuardRoot/BPDUGuard(Root/BridgeProtocolDataUnitGuard)方式的二層連接保護保證STP/RSTP〔SpanningTreeProtocol/RapidSpanningTreeProtocol)穩(wěn)定,防止攻擊，保障牢靠的二層連接。BPDUGuard對于接入層設(shè)備,接入端口一般直接與用戶終端〔PC機〕或文件效勞器相連，此時接入端口被設(shè)置為邊緣端口以實現(xiàn)這些端口的快速遷移；當(dāng)這些端口承受到配置消息(BPDU報文)時系統(tǒng)會自動將這些端口設(shè)置為非邊緣端口，重計算生成樹，引起網(wǎng)絡(luò)拓撲的震蕩。這些端口正常狀況下應(yīng)當(dāng)不會收到生成樹協(xié)議的配置消息的。假設(shè)有人偽造配置消息惡意攻擊交換機，就會引起網(wǎng)絡(luò)震蕩。BPDU保護功能可以防止這種網(wǎng)絡(luò)攻擊.交換機上啟動了BPDU些端口shutdown,shutdown的端口只能由網(wǎng)絡(luò)治理人員恢復(fù).推舉用BPDU保護功能。ROOTGuard先級更高的配置消息，這樣當(dāng)前根交換時機失去根交換機的地位，引起網(wǎng)絡(luò)拓撲構(gòu)造的錯誤變動.,導(dǎo)致網(wǎng)絡(luò)擁塞.Root保護功能可以防止這種狀況的發(fā)生.對于設(shè)置了Root保護功能的.將被選擇為非指定端口時,〔相當(dāng)于將此端口相連的鏈路斷開〕.當(dāng)在足夠長的時間內(nèi)沒有收到更優(yōu)的配置消息時,端口會恢復(fù)原來的正常狀態(tài).端口安全端口安全〔PortSecurity)的主要功能就是通過定義各種安全模式，讓設(shè)備學(xué)習(xí)到合法的源MACMAC地址的報文或802。1x認證失敗的設(shè)備,當(dāng)覺察非法報文后，系統(tǒng)將觸發(fā)相應(yīng)特性，并依據(jù)NTK：NTK〔NeedToKnow〕特性通過檢測從端口發(fā)出的數(shù)據(jù)幀的目的MAC地址，保證數(shù)據(jù)幀只能被發(fā)送到已經(jīng)通過認證的設(shè)備上，從而防止非法設(shè)備竊聽網(wǎng)絡(luò)數(shù)據(jù).IntrusionProtection：該特性通過檢測端口接收到的數(shù)據(jù)幀的源MAC地址或802.1x,并實行MAC地址的報文，保證了端口的安全性。DeviceTracking：該特性是指當(dāng)端口有特定的數(shù)據(jù)包〔由非法入侵,用戶不正常上下線等緣由引起〕Trap信息,便于網(wǎng)絡(luò)治理員對這些特別的行為進展監(jiān)控。4.2。4IP偽裝IPIP有三個用處：smurf攻擊。IP做的接入掌握。隱蔽攻擊源設(shè)備防止IPIP是經(jīng)過偽裝的。這種判定的方式有三種.InternetRFC3330和RFC1918IPIP和MAC的綁定關(guān)系網(wǎng)relayIP、MAC映射表。當(dāng)網(wǎng)ARP報文時,會先在映射表中查找是否匹配現(xiàn)有的映射關(guān)系.假設(shè)找到則正ARPIP的設(shè)備沒有方法進展正常的跨網(wǎng)段通信.?利用IP和MAC的綁定關(guān)系網(wǎng)關(guān)防范利用DHCPrelayIPMAC個ARP報文時，會先在映射表中查找是否匹配現(xiàn)有的映射關(guān)系.假設(shè)找到則正常學(xué)習(xí)，否則不學(xué)習(xí)該ARPIP的設(shè)備沒有方法進展正常的跨網(wǎng)段通信。接入設(shè)備防范DHCPSNOOPING特性,DHCPrequestACK、release報文,IP、MACIP、MAC、端ACLIPDHCP效勞器獵取的IP地址。UPRF會檢測接收到的報文中的源地址是否和其接收報文的接口相匹配。其實現(xiàn)機制如下：設(shè)備