医院无线网络安全建设(精选11篇)
医院无线网络安全建设 篇1
随着数字化医院建设的迅速发展,基于无线网络的应用在医院中得到广泛的应用,PDA、无线查房、手术麻醉监护系统,婴儿防盗等,都需要一套可靠、安全的无线网络提供支持,如何选择一套符合医院实际,且能满足需求的无线网络方案,摆在了信息中心面前,如何现就我院在实施无线网络过程中所遇到的一些问题、经验和大家在一起分享与探讨。
1 方案选型
目前无线网络的方案,大致有三种:胖AP方式;AP+馈线方式;瘦AP方式。
胖AP方式:是早期的无线局域网部署方式,每个AP单独配置,独立工作,在AP部署数量不多的情况下,投资和维护成本较低,但缺点也是明显的,需要对每个AP进行单独的配置,不支持集中统一管理,自动RF调节能力较弱,漫游时的控制也较为复杂,无法支持更高一级的网络精确定位等服务;
AP+馈线方式:由于该方式通常采用1到2个AP基站,减少同层了AP间漫游切换的问题,信号较为均匀,同时因其馈线是无源的设备,一般出故障的可能行极低,基本上是免维护的,维护工作主要在AP基站端完成。但其也有一些不足的地方,特别是带宽容量的问题,所有应用共用一个AP的带宽,很容易导致网络阻塞,如果考虑到以后的升级,目前的802.11b/g与802.11n还是有很大区别的,802.11n标准中很重要的一部分MIMO技术是需要智能天线配合的,目前的馈线方式很难升级到802.11n。还有一些如,在不同的楼层间漫游切换、网络精确定位等也都存在一定问题。
瘦AP方式:每个AP不能单独工作,必须通过无线控制器集中控制,实现了集中管理、集中控制的功能,支持AP的快速漫游,实现简单,带宽容量大,具有自动优化无线网络的功能,可以自动调节信道、功率等无线参数,对存在的干扰AP具有感知和抑制功能,支持无线的精确定位等。
2 设计规划
由于医院已有的有线网络较为复杂,有新建的,也有历经升级与改造的,造成了目前医院现有的局域网中,有的接入交换机仍然是二层结构直接接入到核心交换机,而新建的网络则是按照接入->汇集->核心的方式,考虑到无线网络的性价比、目前网络的结构、以及试点实施,决定采用Aruba公司提供的瘦AP无线方案。拓扑图如图1所示。
地址规划:出于管理的需要,无线网络中机器的IP地址,一般与有线网络中的地址都是分开的,虽然目前所用的地址都是C类地址,但有线网络都使用192.192开头的地址段,为了便于区分和管理,无线的业务地址都采用了192.168开头的地址段。AP设备所用的地址,原则上是采用相邻有线网络地址段加1来规划,如业务地址段是192.192.80.0,则无线AP的地址段就采用192.192.81.0。
安全规划:无线模式下,工作站的数据,通过AP及有线网络,首先到达无线控制器,只有通过无线控制器中安全策略的数据包,才会被允许通过无线控制器,访问内网中的相关服务器,无线控制器一般安装在中心机房,也可安装在楼层的汇聚交换机所在的地方。为方便管理、维护,采用了安装在中心机房的方式。在安全方面,可以同时采用几种认证方式,每一种认证方式可以吐出一个唯一的SSID信号,例如需要密码认证的WPA-PSK认证,我们就吐出SLYY-wireless信号;给PDA等设备使用的MAC认证,则吐出SLYY-PDA信号。这样就可以根据不同的需要选择不同的无线SSID信号了。
3 实施
目前客户端机器采用的都是静态地址,为最大可能的保障AP所用的IP地址和一般业务机器的地址不会因人为原因而导致冲突,在三层交换机上,一般都是将AP所用的交换机端口,单独划出一个Vlan,和业务机器的Vlan分属于两个不同的Vlan中;对于早期的二层交换机,因网关是在核心交换机上配的,可通过在核心交换机上的相关端口增加网关,如:
方式,使无线AP的地址和PC等业务机器的地址,虽然接在同一交换机上,但PC的地址和AP的地址分别属于不同的网段,来避免冲突。
所有的AP都采用POE供电方式,特别是在手术室、ICU等对环境要求较高,不方便施工的部门,通过POE供电,能极大的加快实施进度和方便管理,当然对网线的施工质量有较高的要求,因供电模块是在楼层弱点间的,AP除了用1、2、3、6四芯传输信号外,还需用7、8芯从供电模块取电。
管理问题,目前医院一般都出于管理的需要,上了网管和桌面管理软件。瘦AP方式下,AP的管理,可以不通过第三方的网管软件来管理,只要通过登陆无线控制器的web界面,就可以直接了解到AP的工作状态,信号强度,下面连接了几台工作站,周围有无干扰AP信号源的存在及大致位置等。但如果想通过桌面管理软件,远程帮助解决通过无线网络连接的PC工作站问题,因其经过了无线控制器的NAT转发,是找不到无线下面的机器的,在实施中,经过与工程师的沟通,在无线控制器中,启用了内部路由(InterVlan Routing)后,实现了有线、无线的双向访问了,桌面管理软件可以像管理有线网络的机器一样管理无线网络中的PC工作站。
4 总结
通过无线网络的建设与实施,很好的满足了门诊输液大厅、手术室和临床对无线网络的需求,使得PDA和手术麻醉系统等得到了广泛的应用,随着后期无线网络的进一步扩大,只需要增加AP和无线控制器,并在新控制器中指定Master控制器地址,即可学习到主控制器中的策略规则,而无需额外配置。该网络运行了近一年时间,较为平稳,得到了用户的充分肯定,提升了医院的服务水平。
摘要:随着医院信息化建设的发展,信息系统的核心已转向了围绕着病人的整个诊疗过程,为了提高工作效率,更有效的为病人提供优质的服务,与无线相关的应用已在医院得到了迅速的发展,如何在原有的医院网络中部署无线,提供可靠和安全的无线接入,成为医院所面临的问题,下面将就这一问题,谈谈我们在这方面是如何规划和实施的。
关键词:无线局域网络,医院信息化,规划,实施
参考文献
[1]Cisco.无线局域网系统设计技术选择建议.
[2]韩雪峰.浅析医院无线网络的实施[J].医疗卫生装备,2010(1).
[3]徐宏云.无线局域网的构建及其安全策略分析[J].江汉大学学报(自然科学版),,2009,3.
[4]陈金雄,黄丽芬.无线网络技术在医院的全面应用[J].医疗卫生装备,2009,2.
医院无线网络安全建设 篇2
建设方案
目录
第一章 项目背景.............................................................4 1.1无线网络建设背景.....................................................4 1.2需求分析.............................................................4 2.1.1项目建设要求...................................................4 1.3 方案设计原则.........................................................5 1.3.1基础方案设计原则...............................................5 第二章 无线网络规划..........................................................6 2.1学校无线网络建设整体规划.............................................6 2.2宿舍无线网络规划.....................................................6 2.3基础网络规划.........................................................7 2.4网络安全规划.........................................................9 2.5认证计费............................................................10 2.5.1设计原则......................................................10 2.5.2设计目标......................................................10 2.5.3运营网络设计方案..............................................10 2.5.4统一身份认证融合..............................................17 第三章 智分解决方案优势.....................................................20 3.1整体优势............................................................20 3.1.1智分型AP——无线网络设计简单方便..............................20 3.1.2美化天线——无线部署美观大方..................................20 3.1.3“i-share”技术——无处不在的满格信号..........................21 3.1.4双信道无线覆盖——节省信道资源................................21 3.1.5双路设计——公平高效..........................................22 3.1.6智能功率调整——节能更减干扰..................................23 3.1.7认证管理——利益保障..........................................24
第一章 项目背景
1.1无线网络建设背景
无线局域网技术是新世纪无线通信领域最有发展前景的技术之一,随着下一代宽带无线接入方式的宽带化、移动化、IP化理念的提出,WLAN凭借其接入速率高、架构使用便捷、系统费用低廉及可扩展性较好等优点,应用日趋广泛,成为近些年来各行各业信息化建设的重点之一。
校园中各种各样的WLAN终端如笔记本电脑、PDA、支持WiFi的千元智能机、即拍即传的数码相机如雨后春笋般涌现出来,同时价格越来越低,普及程度越来越高,而且学生群体重点活动区域宿舍的有线网络无法满足学生使用智能终端无线上网的迫切需求,所以无线宿舍网成为校园网建设的新热点。
1.2需求分析
2.1.1项目建设要求
项目建设的总体目标
利用先进的无线网络技术完成对**铁路**学校学生宿舍楼的无线信号覆盖,使学校学生能够在宿舍方便高效地使用无线网络;
构建一个真正可用的无线网络,满足学校日益增长的移动终端如笔记本电脑、PDA、手机、平板电脑对互联网访问的需求;
促进无线业务全面开展,改进管理方式,提高工作效率,推动**铁路**学校信息化建设。
项目具体的建设目标
**铁路**学校无线网络建设项目中用户场景属于多房间隔断、有屏蔽门、走道侧无窗设计等复杂、恶劣的无线部署环境,这对无线网络建设提出了更高的要求。信号覆盖要求:
宿舍基本上都是钢混墙壁、防盗门、无窗设计,有的甚至存在入户厕所等特殊的房屋格局,而房间内才是用户使用无线的主要区域。用户在室内使用的移动终端对无线信号灵敏度较高,所以室内的无线信号质量必须要满足移动终端应用需求。数据传输性能要求:
无线网络中用户的网络应用复杂,并发用户数较多,属于高密度无线接入。**铁路**学校宿舍网中每个房间平均6个用户,而且多以游戏、视频、下载、聊天、上网为主,需要一个具有高稳定性、高带宽的无线网络。信号干扰要求:
学校宿舍楼内房间数量较多,为了实现全面有效的无线信号覆盖,则需进行无线接入点的密集部署,但这样就可能存在同频干扰的问题,而同频干扰往往会导致整网性能低下,无线网络不可用的问题。所以低干扰、高可用也是无线网络建设的重点需求之一。美观、管理维护要求:
因为学校对楼道间、房间内的美观度有较高要求,无线网络建设施工不得对现有装修造成较大面积的破坏,不能影响环境的美观度。而无线网络维护对运维人员专业技术能力要求较高,所以整个无线网络结构要简单,涉及设备尽量要少,管理维护要方便。
1.3 方案设计原则
1.3.1基础方案设计原则
**铁路**学校无线网络的建设目标是实现类宿舍网环境下的无线网络全面覆盖,为满足智能终端用户无线上网、无线业务开展构建一个真正可用的无线网络。
总体要求:
一、高信号质量:保证用户环境下房间内各个角落的无线信号强度>-60dBm,注重满足应用及终端使用需求;
二、高数据传输性能:支持最新的802.11n标准并满足高密度用户的无线接入需求,提供高数据传输速率;
三、低干扰:确保同一房间内同频干扰信号强度<-70dBm,提高整网吞吐性能,构建真正可用的无线网络;
四、美观易管理:无线网络结构简单,需要管理的设备数量少,管理维护简单方便,整个无线部署不影响用户环境的美观度; 第二章 无线网络规划
2.1学校无线网络建设整体规划
根据前面对**铁路**学校无线网络建设原则及内容分析,结合当前学校宿舍的实际情况,此次学校无线网络建设方案主要针对无线覆盖、基础网络、数据安全的建设,下面将对无线网络建设作详细描述,整体拓扑如下:
**铁路**学校无线网络建设拓扑图
2.2宿舍无线网络规划
针对目前**铁路**学校无线网络的实际情况以及宿舍楼具体环境的分析,此次学校无线网络采用无线智分方案对学校宿舍进行无线网络建设。下面将对智分方案的构成作详细描述。新一代智分型AP
智分型AP采用了内置智能功分设计,单AP可进行“1分8”功率分配,轻松实现8个房间的覆盖,较原智分AP的“1分6”有了更大提升。相比传统室分型方案,覆盖同样的8个房间,为每个AP省去至少1个2功分器、8个耦合器和8条跳线。用户不再需要维护这些安装在天花板上、不能网管的物理器件了,极大的降低了无线方案的设计、实施和维护难度。
美化天线
自主研发的美化天线中,既有业界目前尺寸最小的硬币型天线,其尺寸只有传统吸顶天线的1/10,安装在墙上、天花板上几乎不会感觉到它的存在;还有极善伪装的面板型天线,外观和尺寸均与普通开关面板一致,有效地和室内装修融为一体。美化天线部署在房间内简单、美观、隐蔽性极佳,消除了普通用户对于天线“辐射大”的心理障碍,非常适合在宿舍中使用。
超柔低损馈线
无线智分解决方案中采用的是专门定制设计的超柔低损射频线缆。在保证信号传输损耗较低同时,不断的优化线缆的线径,甚至做到了比常见的以太网网线还细,可以实现近180°的弯曲,可根据用户的实际环境进行灵活部署,大幅提升了无线网络布线的速度,而且后期管理维护也更加简单。
2.3基础网络规划
核心网络部分是整网的中枢神经,几乎所有业务均需经过核心交换机,它担任着整网的数据转发决策,起到大脑的作用,这也为核心交换设备的性能及可靠性提出了相当高的挑战,以保证学校无线网络的可靠、稳定。其上连防火墙,下连接入设备,保证数据交换不丢包。核心设备需具备如下功能: 高性能
核心设备需具备万兆端口为适应了网络应用高速发展,网络带宽不断增加的需要。而万兆端口的可扩展性既方便用户现在使用万兆网络,也方便用户后续升级网络到万兆,满足当前需求,而且便于今后网络扩容。
灵活完备的安全策略
核心具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击,如预防DoS攻击、防黑客IP扫描机制、端口ARP报文的合法性检查、多种硬件ACL策略等,还网络一片绿色;基于硬件的IPv6 ACL,即使在IPv4网络内有IPv6用户,也可轻松在网络边缘实现对IPv6用户的访问控制,既可允许网络内IPv4/IPv6用户并存,也可以对IPv6用户的访问权限进行控制,比如限制对网络敏感资源的访问等;业界领先的硬件CPU保护机制:特有的CPU保护策略(CPP技术),对发往CPU的数据流,进行流区分和优先级队列分级处理,并根据需要实施带宽限速,充分保护CPU不被非法流量占用、恶意攻击和资源消耗,保障了CPU安全,充分保护了交换机的安全; 高可靠性
设备支持生成树协议802.1D、802.1w、802.1s,完全保证快速收敛,提高容错能力,保证网络的稳定运行和链路的负载均衡,合理使用网络通道,提供冗余链路利用率;
支持VRRP虚拟路由器冗余协议,有效保障网络稳定;
支持RLDP,可快速检测链路的通断和光纤链路的单向性,并支持端口下的环路检测功能,防止端口下因私接Hub等设备形成的环路而导致网络故障的现象。
方便易用易管理
核心设备具备灵活复用的多种千兆接口形式,可灵活满足需要多个千兆铜缆和多个千兆光纤链路的连接,方便用户灵活选择线缆;
Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份,便于管理员网络维护和管理;
多端口同步监控,通过一个端口即可同时监控多个端口的数据流,可以只监控输入帧或只监控输出帧或双向帧,大大提高维护效率; CLI界面,方便高级用户配置和使用。
要实现的高速无阻塞网络架构,接入设备的性能也是不容忽视的,它担任无线终端用户的快速接入网络。为保证业务可靠、稳定性,需具备一下功能: 防ARP病毒攻击
ARP病毒或攻击是网络中最常见,同时影响较大的一类攻击。接入交换机需支持多种模式的ARP防欺骗功能,不论是用户通过DHCP服务器自动获取地址,还是使用固定的IP地址,接入交换机能够记录用户真实的IP+MAC地址,并在交换机端口收到主机发送的APR报文时,将ARP报文内容和记录的IP+MAC地址进行比对,只对内容真实的ARP报文进行转发,对虚假的ARP报文进行丢弃,从而将ARP欺骗屏蔽在网络之外,保障网络用户免受ARP病毒攻击。
主动防御网络中各类DOS攻击
网络由于其开放性,经常由于计算机感染病毒,或是接入网络的人员出于各种目的对网络设备、网络中的服务器进行攻击,导致网络无法正常使用。较常见的如ARP泛洪攻击导致网关无法响应请求、ICMP泛洪攻击导致网络设备CPU负载过高无法正常工作,DHCP请求泛洪攻击,导致DHCP服务器地址枯竭,用户无法正常获取IP地址访问网络。
防环路技术避免网络中出现环路导致的网络不稳定
网络环路是网络中经常出现的另一个导致网络不稳定的“罪魁祸首”,接入交换机需提供STP/RSTP/MSTP等生成树技术,能避免网络中由于误接环路导致网络不稳定的状况。
灵活的接入控制
大量网络由于需要确保接入用户身份可靠的需要,要求对接入网络的用户进行身份认证,接入交换机提供多种灵活的身份认证策略,在部署认证方案时能够满足各种不同用户和环境的需要:
接入设备能够在一台交换机上同时提供802.1X和WEB认证,802.1X认证提供更严格的安全管控,WEB认证则提供更好的用户体验,满足不同用户群体的需要。
绿色节能
接入交换机针对传统交换机在噪音及能耗方面存在的问题,对节能降噪技术进行了深入研究,解决了交换机部署在办公环境噪声大、以及批量部署后带来的能耗过大的问题。
2.4网络安全规划
如整体设计图所示,防火墙、出口网关,所有安全产品均采用千兆双绞线连接的方式连接。在整网网络部署一台千兆防火墙,对整网进行统一病毒、攻击和木马防护;出口处部署多功能出口网关,实现对学生的上网行为管理,日志审计,流量控制,负载均衡等功能。
首先保证网络和系统的整体安全运行,及时发现网络和系统主机的故障和性能瓶颈;其次通过获取安全信息的基础数据,通过对这些基础数据的协同分析得到计算环境的安全状况,依据安全状况提出安全决策;安全决策通过对网络节点的控制来实施安全策略;在智能引擎的支持下实现持续的监控、分析、决策循环。
2.5认证计费
2.5.1设计原则
1)先进性和成熟性
认证系统设计既要采用先进的概念、技术和方法,又要注意结构、和系统平台等的相对成熟。能反映当今的认证网络建设的先进水平,而且具有良好兼容及其扩展能力。2)具有高性能、可扩展性和可管理性
实现系统的扩展和维护,运营平台可以支持良好扩展,如提供集群或者分布式部署等功能,从而提高网络的易用性、可管理性,同时又具有很好的可扩充性,实现宿舍的网络的可维性。
2.5.2设计目标
建立一个高效运营、易扩展、易管理,业界先进运营体系的认证运营网络。做到校内网络整体的管理和运营。
2.5.3运营网络设计方案
认证和运营的技术选择
目前业界比较成熟和流行的认证技术有:
PPPoE + Radius; WEB Portal + Radius; 802.1X + Radius 认证计费网关技术
Web Portal认证最初是一种业务类型(如电子邮箱、计费浏览等)的认证,通过启动一个Web页面输入用户名/密码,实现身份认证。Web认证目前已经成为宿舍网络平台的认证计费方式,通过Web页面,实现对用户是否有使用网络权限的认证。Web认证方式有以下优点:无需特殊的客户端软件,降低网络维护工程量;无需多层数据封装,保证效率。但Web认证也有明显的缺点,Web承载在应用层协议上,对设备的要求较高,建网成本高;易用性不够好,用户访问网络前,不管是Telnet、FTP,还是其他业务,都必须使用浏览器进行Web认证;开放性不够好,Web Portal认证方式均为各厂商私有,没有国际标准。PPPOE网关认证技术
PPPoE(PPP over Ethernet)由传统的PSTN(公共电话网)窄带拨号接入技术发展而来,其优点是与原有的窄带网络用户接入认证体系一致,操作简单且用户较容易接受。但PPPoE也有不可避免的缺点,PPP协议与以太网技术存在本质的差异,需要被再次封装到以太网的帧里,存在封装效率问题,而且无法支持组播业务。802.1x认证技术
IEEE 802.1x 称为基于端口的访问控制协议,其实质上是交换机基于端口对用户接入的合法性进行认证,进而决定允许或拒绝用户进入网络。在802.1x的认证体系结构中,引入了受控端口与非受控端口两个概念,即将交换机的一个物理端口分为两个逻辑端口,同时也首次将用户的认证报文流与业务报文流区分开来。其中,非受控端口一直处于常开状态,但只能传送用户的认证、计费报文流。受控端口则可以传送用户的业务报文流。当用户尚未进行认证时,受控端口处于关闭状态,即用户无法使用网络资源;只有用户在进行合法身份认证后,交换机打开受控端口,用户开始进行正常的业务流传输。
通过对三种认证技术方式的对比,在校园网建设中,应该采取以802.1x为主体,网关认证为补充,采用两者的共同的优势进行网络认证及管理。经过分析对比,本方案建议宿舍区使用802.1X的技术认证方式,办公区使用基于接入交换机哦Web认证。SAM综合认证运营方案保障网络信息安全
1.SAM认证管理解决方案支持对用户名、密码、用户IP、用户MAC、NAS IP等元素进行灵活绑定,最终做到“让正确的人,在正确的地方,合法的访问网络”
2.通过采用SMP安全管理平台,实现和客户端杀病毒以及Windows补丁库的联动:如果客户端未安装或正确启用杀毒软件,则会收到SMP的警告,并被限制上网;在正确安装并启用杀毒软件之后,经SMP的检测通过,则可以在杀毒软件的保护下正常上网了;同时,可以自定义设定WSUS服务,必须安装有最新的windows补丁才能够接入网络,通过与防病毒软件和WINDOWS系统补丁的联动,保证用户客户端的安全性;
3.通过认证管理系统的日志系统,可以看到谁,在什么时间,以什么IP和MAC,从哪里(NAS IP、NAS Port)接入网络,方便日后进行查询;同时通过和ELOG配合,可以实现“谁,在什么时间,登录了哪些网站,产生了多少流量,占用了多少带宽”等记录进行查询,便于网络管理人员很直观的对网络中的行为进行审计,并且符合公安部82号令的要求;
最终,通过多元素绑定确保用户身份唯一,与防病毒软件和Windows补丁的联动,立体式防御ARP欺骗,提供用户上网明细。配合RG-eLog等进行上网日志查询等措施确保内网网络信息的安全。
SAM实现全网统一认证和分区运营
1.支持多业务统一认证,通过配置可以实现802.1X、VPN接入、Web portal、无线接入等多种方式认证,使同一个用户可以通过不同的服务接入,保证管理运营能基于服务类型的精细化管理
2.支持分区域精细化管理,按照地区区域区分用户和使用的服务,按区域分别定制计费策略和提供的服务,实现分区域的精细化管理。例如:在教学区和宿舍区,一个学生使用同一账户可以使用不同接入服务和相应的计费策略补充统一账号;同一账号,不同地区,不同策略。如在宿舍上网包月,在图书馆上网计流量,在机房上网计时长学生方便,老师省心!
3.采用Web认证方式进行用户身份认证,能够实现对现有网络设备的兼容,弥补802.1x技术对设备依赖高、造成客户早期投资浪费的不足;同时,用户无需安装客户端软件,打开浏览器访问外部网站就可以强制进行身份认证,大大减轻客户端部署和维护的工作量
最终,SAM3.0认证管理方案通过支持多种网络接入方式,支持分区域精细化运营,通过web认证方式兼容原有接入设备,提供第三方开发接口等措施,实现了全网统一认证和分区运营。
灵活认证和计费方式确保校园网的运营收益
1.校园网认证管理解决方案可以通过自定义计费策略配置为用户提供灵活、强大的计费策略配置,能够满足用户不同的计费要求。例如:周期、流量、计时计费三种方式可以自由组合成一种或几种计费策略,为网络管理运营提供多种计费方式:
2.校园网认证管理方案支持屏蔽代理服务器功能,还可限制屏蔽拨号上网,保障运营:我司是最先提出代理屏蔽技术的厂商,也是其他厂商争先效仿的对象。通过代理屏蔽技术,可以避免最终用户通过代理服务器上网。其一可以保障运营的受益,其二可以保障准确定位到个人。同时通过客户端软件版本限制及完整性检测技术可以保证用户使用的客户端保持在最新最安全的状态,避免客户端限制和安全功能过时实效或被非法破解。
3.配合RG-ACE支持针对基于用户身份的边界分类流量(国际国内上下行)计费,方便实施对P2P流量的管理;基于IPFIX技术的流量计费产品,准确统计用户流量,合理引导用户使用P2P技术,解决难以管理的大流量问题;
4.大量丰富的统计分析报表在监督用户上网行为、跟踪网络状态以及账务分析方面为网络管理者提供实时、可靠的可视化分析工具能实现:在线用户数报表、营帐报表、系统消费金额分析、上网明细、网络流量详细分析、系统业务量分析等
最终,通过随需应变的计费策略,提供流量计费方案,完善的代理屏蔽和防破解技术,以及丰富的统计报表保障了校园网运营的收益。
确保系统的高稳定性、多校区统一管理及账号漫游
1.支持高可用群集技术,可以有效地解决单服务器的性能限制,实现故障的快速转移,保证服务的高可用性以及灵活的扩展性。通过认证流量的负载均衡,在校园网认证管理解决方案中,同一高可用群集中的SAM分担处理认证请求,系统性能倍增!,使认证性能更可达到单机3倍左右,认证报文的响应时间不超过1秒
2.同时,高可用群集技术可实现多台服务器之间的信息同步,可以支持跨区域帐号漫游、容灾及不间断的系统故障处理;通过采用RGAC高可用群集技术,单台服务器故障不会造成全网无法认证,确保业务持续可用;高可用群集技术可实现多台服务器之间的信息同步,可以支持跨区域帐号漫游、容灾及不间断的系统故障处理;通过采用RGAC高可用群集技术,全网数据实时同步,即使出现机房事故,也能确保数据安全,及时恢复。高可用的群集技术不但可以有效地解决单服务器的性能限制,而且可以实现故障的快速转移,保证服务的高可用性以及灵活的扩展性。
认证客户端软件自动升级
通过在RG-SAM服务端上进行SU最低版本限制与客户端自动升级配置,轻松实现全网客户端自动升级。确保全网上万名用户、上万套客户端软件顺利升级,平稳切换。
2.5.4统一身份认证融合
全校认证运营解决方案的建设中,对于用户身份的认证是一个基础。对于用户的身份认证本方案采用了基于802.1x技术的RG-SAM系统进行统一的身份认证整合系统。
校园业务系统存的需求
全国许多高校在部署安全身份认证系统以提高对内网用户的认证管理和接入控制的同时。遇到如下的共性需求:
每个业务系统(以邮件系统、认证计费系统、一卡通支付系统为例),他们都涉及到能够访问系统管理的资源的用户的身份与权限。
多个业务系统同时部署,上述功能造成重复,为最终用户管理帐号与身份信息带来重复劳动与记忆混乱;管理员的工作量增加。
用户身份信息的特点:检索频率高,变更频率低,具有相对稳定的组织结构,可全部用字符串的数据格式存储。
迫切需要一个集中管理用户身份信息的解决方案。
总结述需求,即在部署实施身份认证运营网络解决方案的时候,希望系统可以支持多个业务子系统共享同一套用户身份信息,在方便网络用户的使用的同时,可以大大减轻网络管理人员对于用户信息管理和维护的工作量。
LDAP解决方案
计算机网络经过长期的发展,不同的操作系统和应用程序以不同的格式在网络上存储了大量的信息,一个网络管理员无法在一个集中的信息库中,以方便的方法管理网络信息和资源。用户必须使用不同的应用程序获取不同的信息和资源,这大大增加了用户的负担,也使许多信息难于共享,从而在一定程度上制约了网络的发展,因而需要一种新的技术,能够以通用的格式和方式实现信息的存储和共享,实现网络的共享。
目录服务技术就是用于实现上述需求的。目录服务可以命名、描述和指定一个企业范围内的用户和资源,从而简化通信与管理;它可以使用户通过简单的搜索查找资源及其他用户;它可以帮助管理人员收集和控制散布与该机构的信息,并可以使他们通观地审视这些信息。目前基于目录服务的各种网上应用越来越多。特别是随着Intranet的崛起以及轻型目录服务LDAP的开发,人们对其价值 的认识日趋明朗。
因此,使用LDAP(Lightweight Directory Access Protocol)轻型目录访问协议能够比较好的满足上述需求,RG-SAM系统在高校应用环境中与高校现有应用系统共享用户信息,在很多情况下,就是要共享LDAP服务器管理的用户信息。
RG-SAM系统与LDAP服务器配合应用,实现用户信息共享功能时,其组网不受具体的网络设备限制,RG-SAM服务器与使用LDAP服务器管理用户的应用服务器之间只要能通过LDAP协议通讯即可。
一卡通系统接口
要想彻底解决重复认证问题,还需要考虑到其他系统的接口,和SAM类似,校园内必须支持标准的LDAP认证服务器,这样可以实现SAM用户认证后把用户名透传到LDAP认证服务器,实现统一身份认证认证。
第三章 智分解决方案优势
3.1整体优势
无线智分方案是目前针对学校宿舍最适合无线网络的解决方案,它完美的解决了原有走廊部署AP方案的诸多弊端,相对于传统解决方案它有一下优势:
3.1.1智分型AP——无线网络设计简单方便
在宿舍场景下实现无线覆盖采用的最多就是室内分布式部署的方式。室分型大功率AP通过功率放大器、功分器、耦合器将无线信号经过多级处理后发射出去,获得较好的无线覆盖效果。整个系统涉及室分专用元器件众多,实际部署时施工复杂,而且这些元器件基本不能保证是由同一家厂商生产,管理维护工作量大。
此次校园网无线智分方案中智分型AP采用内置智能软功分设计,相同覆盖区域为每个AP省去了传统室分部署中的3个功分器、3个耦合器和3条跳线,使得整个无线部署方案的设计、实施和维护难度得到大幅降低。
3.1.2美化天线——无线部署美观大方
微型硬币天线,尺寸只有传统吸顶天线的1/10,具有极强的隐蔽性,消除了用户对于天线“辐射大”的心理障碍,非常适合用在美观性需求较高的宿舍里。
伪装天线,大小形状如同普通开关面板,配合定制的超柔低损馈线,延伸至房间内进行壁挂安装,巧妙的进行伪装,不仅提高了无线信号的有效覆盖范围,而且还保证了室内整体装修的美观性。
3.1.3“i-share”技术——无处不在的满格信号
学校宿舍中多采用钢混加固墙壁、防盗门、走廊侧无窗设计等,而传统的楼道放装AP的无线部署,无线信号就需要穿透墙壁来对房间内进行覆盖。墙壁对无线信号的损耗根据墙壁的厚度不同而有所区别,一般损耗都在20~30dB,倾斜的入射角度损耗更加严重。而且更有可能存在入户厕所的房间格局,这样无线信号就需要穿透多层墙壁才能到达房间内,实测的信号强度基本上都远<-60dBm,而目前市面上很多移动设备的信号灵敏度较高。
为了应对这种复杂的用户环境,此次学校无线网络建设采用了业界独创的“i-share”技术,使智分型AP与无线控制器建立连接之后,充分利用智分型AP 的多天线物理架构,自动调整智分型AP的6根天线的工作模式,保证每根天线都能独立的进行数据收发,实现“ 1分6 ”部署,即为单个AP对6间房间进行无线信号有效覆盖奠定基础。而且智分部署方案采用超柔馈线+美化天线入室的部署方式,不再需要无线信号穿透墙壁进行覆盖,结合“i-share”的智能模式调整,使房间内每个角落的信号都是“满格”。
3.1.4双信道无线覆盖——节省信道资源
无线网络建设过程中比较重要的一个环节就是信道规划,通过合理的信道规划能有效地降低AP部署时带来的信号干扰问题,例如蜂窝式覆盖等。但是这并没有从根本上解决这类宿舍网这种密集无线部署时必然会带来的同频干扰等问题。
此次学校网络智分解决方案创新的采用了双信道部署技术,使智分型AP的单张网卡对应的三根天线呈“L”字型对三间房间进行无线覆盖(如图所示),使同楼层与上下楼层的相邻房间实现了错频部署,避免了对角房间可能出现的同频信号干扰,而且只需要两个信道可以完成整个楼栋的无线覆盖。
2.4Ghz频段一共只有3个互不干扰的信道,采用智分方案中双信道部署技术后节省了一个2.4频段的宝贵信道资源。
3.1.5双路设计——公平高效
业界公认传统的室内分布式系统部署在类宿舍网环境中能得到较好的信号覆盖效果,而此前应用最为广泛的是采用802.11g标准的室分型AP,其提供的最大接入速率仅为54Mbps,远远无法应对现在普遍百兆接入的需求。目前市场上新推出的支持802.11n的室分型AP,天线的收发模式均为SISO模式,所以基本上均为单网卡设计,因此采用信道捆绑等技术后最大也只能提供150Mbps的接入速率,仅能满足不到20个移动终端的同时有效接入。可是学校宿舍网环境属于高密集接入的用户场景,单房间用户数为6人,也就是说支持802.11n的室分型AP也仅能满足三间房间的有效覆盖及并发使用。
此次网络无线智分部署方案中的智分型AP支持最新的802.11n标准,全面向下兼容802.11a、802.11b、802.11g标准。智分型AP采用双网卡设计,单网卡最大提供150Mbps的接入速率,整机最大可以提供高达300Mbps的接入速率,性能较传统G型室分系统提升6倍,较N型室分系统提升2倍,完全能满足30~40个用户并发接入无线网络同时使用视频、游戏、QQ聊天、浏览网页等应用。
3.1.6智能功率调整——节能更减干扰
为满足宿舍无线高性能的需求,常见的方法是将多个AP直接布放在楼道中进行直接放装的密集部署,而2.4GHz频段下互不干扰信道只有3个,所以当楼道中的AP数量超过4个后,就会存在多个AP使用相同信道的情况。AP在通透空旷的楼道中无线覆盖范围很大,这样就会造成使用相同信道的AP发射的无线信号产生严重的同频干扰,降低整网的吞吐性能,最终影响到用户正常的无线网络使用。
此次无线网络采用最新的RRM技术,结合超柔馈线+美化天线进行入室覆盖的部署模式,实时采集空间中无线信号的强度,为天线选择最适合的无线信号发射功率,实现智能功率调整,在保证每个房间都能获得优异信号强度的前提下,有效利用房间墙壁对无线信号的衰减,尽最大程度避免了相邻房间信号的干扰,保证了整网的吞吐性能,提高了无线网络的可用性。同样的环境下,采用智分前后,干扰改善的效果一目了然。
3.1.7认证管理——利益保障
1.保障客户端安全性
通过采用SMP安全管理平台,实现与客户端杀病毒软件以及Windows补丁强联动,用户必须安装有最新的windows补丁,正确安装并启用杀毒软件之后,经SMP的安全检测通过,则可以正常上网。
2.实现ARP三重立体防御体系
通过网络中“ARP三重立体防御体系”,解决了ARP欺骗中的网关型欺骗,中间人欺骗以及ARP泛洪攻击,在可能发生ARP请求和响应的所有环节,都加以防范,有效弥补了由于ARP协议本身的缺陷所带来的漏洞,解决了困扰广大网络管理员的ARP欺骗问题,给我们的局域网带来更加健康和谐的网络环境。3.详细日志审计
通过和ELOG配合,可以实现“谁,在什么时间,登录了哪些网站,产生了多少流量,占用了多少带宽”等记录进行查询,便于网络管理人员很直观的对网络中的行为进行审计。4.有线、无线、VPN统一认证
校园网认证管理解决方案支持多业务统一认证,通过配置可以实现802.1X、VPN接入、Web portal、无线接入等多种方式认证,使同一个用户可以通过不同的服务接入,保证管理运营能基于服务类型的精细化管理; 5.支持分区域精细化管理
按照地区区域区分用户和使用的服务,按区域分别定制计费策略和提供的服务,实现分区域的精细化管理。
6.代理屏蔽技术,保障运营的利益
支持屏蔽代理服务器功能,还可限制屏蔽拨号上网,通过代理屏蔽技术,可以避免最终用户通过代理服务器上网。其一可以保障运营的受益,其二可以保障准确定位到个人。7.实现多校区统一管理及账号漫游
医院无线局域网安全性的浅述 篇3
(天津市第三中心医院信息处天津300170)【摘要】安全问题是自无线局域网诞生以来一直困扰其发展的重要原因,在医院网络中由于无线网络的广泛使用安全性也被大家所重视。本文研究了现阶段无线局域网面临的主要安全问题,并介绍了相应的解决办法。 【关键词】无线局域网;安全802.11标准 ACL 【中图分类号】R270.1 【文献标识码】B【文章编号】1004-5511(2012)04-0420-01 近年来,无线局域网以它接入速率高,组网灵活,在传输移动数据方面尤其具有得天独厚的优势等特点得以迅速发展。在医院网络中也得到了广泛的使用和发展。但是,随着无线局域网应用领域的不断拓展,无线局域网受到越来越多的威胁,无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击,还受到基于IEEE 802.11标准本身的安全问题而受到威胁,其安全问题也越来越受到重视。一、非法接入无线局域网 无线局域网采用公共的电磁波作为载体,而电磁波能够穿越天花板、玻璃、墙等物体,因此在一个无线局域网接入点(AccessPoint,AP)的服务区域中,任何一个无线客户端(包括未授权的客户端)都可以接收到此接入点的电磁波信号。也就是说,由于采用电磁波来传输信号,未授权用户在无线局域网(相对于有线局域网)中窃听或干扰信息就容易得多。所以为了阻止这些非授权用户访问无线局域网络,必须在无线局域网引入全面的安全措施。1.非法用户的接入: (1)基于服务设置标识符(SSID)防止非法用户接入 :服务设置标识符SSID是用来标识一个网络的名称,以此来区分不同的网络,最多可以有32个字符。无线工作站设置了不同的SSID就可以进入不同网络。无线工作站必须提供正确的SSID,与无线访问点AP的SSID相同,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令,从而提供口令认证机制,阻止非法用户的接入,保障无线局域网的安全。SSID通常由AP广播出来,例如通过windows XP自带的扫描功能可以查看当前区域内的SSID。(2)基于无线网卡物理地址过滤防止非法用户接入:由于每个无线工作站的网卡都有惟一的物理地址,利用MAC地址阻止未经授权的无限工作站接入。为AP设置基于MAC地址的Access Control(訪问控制表),确保只有经过注册的设备才能进入网络。因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。但是MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。物理地址过滤属于硬件认证,而不是用户认证。(3)基于802.1x防止非法用户接入 2.非法AP的接入 : 无线局域网易于访问和配置简单的特性,增加了无线局域网管理的难度。因为任何人都可以通过自己购买的AP,不经过授权而连入网络,这就给无线局域网带来很大的安全隐患。
(1)基于无线网络的入侵检测系统防止非法AP接入:使用入侵检测系统IDS防止非法AP的接入主要有两个步骤,即发现非法AP和清除非法AP。 发现非法AP是通过分布于网络各处的探测器完成数据包的捕获和解析,它们能迅速地发现所有无线设备的操作,并报告给管理员或IDS系统。当然通过网络管理软件,比如SNMP,也可以确定AP接入有线网络的具体物理地址。发现AP后,可以根据合法AP认证列表(ACL)判断该AP是否合法,如果列表中没有列出该新检测到的AP的相关参数,那么就是Rogue AP识别每个AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型以及信道。判断新检测到AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型或者信道异常,就可以认为是非法AP。 ⑵基于检测设备防止非法AP的接入 :在入侵者使用网络之前,通过接收天线找到未被授权的网络。对物理站点的监测,应当尽可能地频繁进行。频繁的监测可增加发现非法配置站点的存在几率。选择小型的手持式检测设备,管理员可以通过手持扫描设备随时到网络的任何位置进行检测,清除非法接入的AP。 二、数据传输的安全性 在无线局域网中可以使用数据加密技术和数据访问控制保障数据传输的安全性。使用先进的加密技术,使得非法用户即使截取无线链路中的数据也无法破译;使用数据访问控制能够减少数据的泄露。 1.数据加密 : (1)IEEE802.11中的WEP :有线对等保密协议(WEP)是由IEEE 802.11标准定义的,用于在无线局域网中保护链路层数据。WEP使用40位钥匙,采用RSA开发的RC4对称加密算法,在链路层加密数据WEP加密是存在固有的缺陷的。由于它的密钥固定,初始向量仅为24位,算法强度并不算高,于是有了安全漏洞。 (2)IEEE802.11i中的WPA:Wi-Fi保护接入(WPA)是由IEEE802.11i标准定义的,用来改进WEP所使用密钥的安全性的协议和算法。它改变了密钥生成方式,更频繁地变换密钥来获得安全。它还增加了消息完整性检查功能来防止数据包伪造。WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。2.数据的访问控制 :访问控制的目标是防止任何资源(计算资源、通信资源或信息资源)进行非授权的访问,所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证,只是完成了接入无线局域网的第一步,还要获得授权,才能开始访问权限范围内的网络资源,授权主要是通过访问控制机制来实现。 3.其他安全性措施 : 许多安全问题都是由于AP没有处在一个封闭的环境中造成的。所以,首先,应注意合理放置AP的天线。以便能够限制信号在覆盖区以外的传输距离。例如,将天线远离窗户附近,因为玻璃无法阻挡信号。最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外,必要时要增加屏蔽设备来限制无线局域网的覆盖范围。其次,由于很多无线设备是放置在室外的,因此需要做好防盗、防风、防雨、防雷等措施,保障这些无线设备的物理安全。 参考文献[1]赵伟艇:无线局域网的加密和访问控制安全性分析.微计算机信息, 2007年21期 [2]王茂才等:无线局域网的安全性研究.计算机应用研究, 2007年01期 [3]王玲等:IEEE802.11无线局域网技术及安全性研究.电脑开发与应用, 2007年02期
医院无线网络安全防护的探讨 篇4
2009年,国家新医改政策出台,新医改方案的主体框架是“四梁八柱”,其中信息系统作为“八柱”之一,首次成为了我国医疗卫生体系的重要支撑。医院信息系统经过20多年的发展,已经由以财务为核心的阶段过渡到以临床信息系统为核心的阶段,因此越来越多的医院开始应用无线网络,实施以患者为核心的无线临床信息系统。其中主流的无线网络架构有AP+集中式无线控制器和WLAN室内信号分布系统;无线应用终端有无线查房车、PDA、EDA及近2 a兴起的平板计算机;无线医疗系统有移动医生站系统、无线临床护理系统、无线药品管理系统、无线设备管理系统等。随着无线网络技术的日趋成熟,无线局域网在全球范围内医疗行业中的应用已经成为了一种趋势,在今后的医院应用中将会越来越广泛[1]。通过无线临床信息系统的应用,既拉近了与患者之间的距离,提高了医疗服务的效率和质量,也加强了医院药品和物资的管理,提升了医院管理水平。
1 医院无线网络面临的安全风险
随着医院对无线医疗信息系统应用的不断深入,医院对于无线网络的依赖程度也越来越深,由于无线网络具有需要通过无线信号传输的特性,医院无线网络面临的安全风险也越来越突出。医院无线网络作为原有局域网的补充,一方面扩展了局域网的应用范围,其在网络安全方面有类似于局域网的安全要求;另一方面也将相对封闭的局域网转变成了开放式的网络,因此也有其自身独特的安全管理要求;第三方面,无线网络作为医院局域网的扩展,其安全性不仅影响无线医疗系统的使用,同样也影响到与其相连的局域网中应用的其他医院信息系统。因此医院无线网络的安全将直接影响到医院整体信息系统的安全,无线网络一旦被入侵,轻则造成医院信息系统数据被窃取,重则造成网络瘫痪,医疗业务被中断。
2 医院无线网络安全防护措施
2.1 基础无线网络安全
国际上认可的无线局域网标准IEEE 802.11自1997年推出以来,在无线网络中应用最为广泛的安全措施是无线网络的MAC地址过滤、禁用SSID和静态地址分配。随着无线网络技术的快速发展,无线网卡的MAC地址可以由用户自由设置,因此通过MAC地址过滤已经不能满足医院无线网络安全的需求。但是,医院内部有些科室出于自身工作的需要,采用了家用无线AP扩展医院网络,而家用无线AP往往将MAC地址过滤作为主要的安全防护手段,一旦有克隆MAC的外部无线终端的侵入,将对医院网络安全造成严重的影响,因此从医院网络安全角度出发,应该杜绝在医院内使用家用无线AP扩展网络。
SSID的含义是服务集标志,医院的无线终端必须设置无线网络的SSID才能使用院内的无线网络。但是随着智能手机的普及,在医院里越来越多的人开始使用运营商的WIFI网络上网,医院内部SSID广播的网络就有可能被非医护人员尝试联接,因此通过禁用SSID广播能防止院外普通用户对医院无线网络的联接。禁用SSID广播之后,无线医疗网络就不会被他人搜索到,同时也不影响医务人员的正常使用[2]。但通过专业的无线网络扫描工具还是能查找到隐藏的SSID,因此禁用SSID广播也不能作为医院单一网络安全防护的方式。
有研究报告指出,绝大部分的网络入侵,是由无线网络按缺省值设置,普通用户好奇联入造成的,而运营商的WIFI网络都采用DHCP的方式给上网用户分配IP地址。因此,医院无线网络如果采用静态地址分配,外来手机等无线终端由于无法获得无线IP地址,而不能使用医院无线网络,但其安全级别还是较低。可见,医院无线网络通过SSID隐藏和静态地址分配作为无线网络的基础防护,只能防止普通用户联入医院无线网络。
2.2 登录认证增强
Wep于1999年成为无线网络IEEE 802.11标准的一部分,对无线网络接入的安全认证做了加强,并对设备间无线传输的数据进行加密,用以防止非法用户侵入或窃听无线网络。早期的医院无线网络一般都采用了Wep的数据加密方式,并且具有128位的有线等效加密(Wep)功能,可以提供等同于有线的局域网(LAN)的数据安全[3]。但是,Wep协议由于CRC-32的算法缺陷,2001年8月被证实破解,在Wep加密情况下通过专业破解工具可以在0.5 h内完成密文的破译[4]。因此,2004年6月通过的IEEE 802.11i将WPA、WPA2作为无线网络认证的安全协议,其中WPA2协议在安全性上做了进一步的增强,同时在企业级应用中增加了应用802.1x认证的RADIUS服务器。身份认证基于用户,每个访问无线网络的人都在RADIUS身份认证服务器上拥有1个独立的用户账户[5]。在医院无线网络环境下,较为安全的无线网络接入认证方式是应用WPA2协议结合RADIUS认证服务器的身份认证方式。但是,医院早期部署的交换机由于不能支持802.1x的协议,还需要通过交换机软件升级才能应用RADIUS认证,同时RADIUS安全认证方式采用的还是传统的用户名和密码的认证,其对于用户名和密码泄露引起的网络安全隐患仍不能避免。
2.3 数字证书身份认证
针对WPA2协议结合RADIUS认证服务器的身份认证方式,由用户名和密码泄露造成的安全问题,近些年来通过USB数字证书的无线网络身份认证方式开始得到应用。截止到2012年6月底,国家卫生部已通过4批22家数字证书认证服务机构。USB数字证书身份认证的最大优势在于:US-Bkey作为储存客户数字证书和私有密钥的载体,外部用户无法直接读取其内容[6]。因此,USB数字证书认证方式是目前较安全的身份认证手段。对比用户名和密码的无线网络认证方式,USB数字证书在不可复制方面的优势明显。结合WPA2协议加RADIUS认证服务器的用户密码认证,同时使用US-Bkey数字证书进行身份认证的双因子认证是目前无线网络认证级别中最安全的身份认证方式之一。
2.4 SSL(security socket layer)VPN进行数据加密和访问控制
由于在实际医疗活动中,医疗机构为了满足诊断、科研及教学需要,必须经常大量采集、发布、利用各种医疗数据,而这些数据就包含着个人的隐私信息[7]。由于原有医院局域网的相对封闭性,绝大多数的应用系统采用的都是未经加密的数据包进行数据交换,但是医院无线局域网是开放性的网络,入侵者通过对无线信号中数据包的侦听与解析,使得医疗信息泄漏成为了医院不得不面对的问题。在医院无线应用的环境里,必须对无线终端与服务端交换的数据进行加密,才能防止医疗信息的泄漏。SSL协议是基于Web网络应用的安全协议,使用SSL可保证信息的真实性、完整性和保密性。SSL VPN即指采用SSL协议来实现远程接入的一种新型VPN技术[8]。SSL VPN基于浏览器的认证方式,能兼容医院主流的无线终端设备操作系统,如Windows、Android、IOS,而VPN的方式又能保证医院信息系统中CS构架系统的正常运行。SSL VPN在解决医院无线网络数据加密的同时,最大限度地保障了医院信息系统的投资。
另外,SSL VPN认证设备还具备访问控制列表(ACL)功能,通过对SSL VPN拨入用户组设定可访问的服务器列表,既限制了拨入客户端的相互访问,又限制了拨入用户对特定医院信息系统服务器的访问,避免其对其他服务器的非授权访问。
2.5 入侵检测系统(IDS)
IDS不是只针对无线网络检测的系统,同样也适用于有线局域网。但由于接入无线网络较为方便,无线网络用户越来越多,且各主机之间主要是对等的关系,不可避免地会使恶意的攻击行为也渗透到无线网络中[9]。因此,在医院开始应用无线网络后,IDS的应用需求将更为迫切。IDS依照医院无线应用系统的安全策略,对网络及信息系统的运行状况进行监视,发现各种攻击企图、攻击行为及攻击结果,以保证网络系统资源的完整性、可用性和机密性。
2.6 终端准入控制
计算机病毒的危害性及破坏性在医院信息系统应用之初就已显现。当前计算机病毒都具有混合型的特征,利用一切可以利用的方式进行传播,破坏性强、欺骗性大,所以利用系统漏洞将成为病毒有力的传播方式[10]。在医院无线网络的环境下,结合木马的混合型病毒的危害性将更为突出。由于医院无线网络中,用户名和账号的认证是最为常用的方式,所以通过木马窃取用户账号和密码将严重危害医院无线网络的安全。通过无线应用终端准入控制系统,强制检查用户终端的病毒库和系统补丁信息,能够降低病毒和蠕虫蔓延的风险。阻止不符合安全策略(如未升级杀毒引擎、未升级病毒及木马库、未升级操作系统补丁等安全策略)的无线终端接入医院无线网络,保证只有在满足终端准入控制系统策略的无线终端设备才能接入医院网络。
2.7 医院无线网络制度建设
医院信息化发展迅速,但是医院信息化制度建设普遍滞后,而医院无线网络是近些年才开始逐步应用的新技术,因此医院无线网络的管理制度更为缺乏。由于无线网络的开放性和无边界性,也决定了医院在应用无线网络的同时,必须制定严格的管理制度,对于医院无线网络的使用者,首先要接受安全技术培训,严格认证账号和密码的使用;其次要防止工作用无线终端被用作其他用途,如上网、游戏等,防止病毒的入侵;第三要对无线终端的异常使用责任到人,有错必纠。对于无线网络的管理员,首先要加强对普通用户的无线网络安全教育;其次对医院无线网络的监控要实现常态化和日志化管理,以便于及时发现无线网络异常;第三需要不断学习新的无线网络知识,不断完善医院无线网络的运行机制,必要时,通过引进新的无线安全管理系统来改进医院无线网络的安全策略;第四还需要制定无线网络故障的应急处理预案及应急替代方案。
3 结语
医院无线网络的应用在给医护人员带来工作便利的同时,也对医院信息系统造成了安全隐患。任何单一的安全技术都不能满足无线网络持续性的安全需求,医院无线用户加强登录认证和无线数据传输的加密都是必要的,只有通过综合应用多种安全技术,才能实现医院无线网络的安全运行。无线网络在全球范围内医疗行业中的应用已成为一种趋势,将进一步提高医院的运营效率和服务质量,使医院的整体竞争力得到提升[11]。因此,对于医院无线网络的应用,既不能因噎废食,也不能听之任之,必须从无线设备选型、无线安全技术、无线管理制度等方面不断探索,才能设计出符合医院需求的无线网络应用模式。
参考文献
[1]韩雪峰.浅析医院无线网络的实施[J].医疗卫生装备,2010,31(1):61-63.
[2]杨洋.数字化影像信息系统在医院的移动应用[J].中国医学物理学杂志,2007,24(1):25-28,33.
[3]朗明.思科无线网络解决方案在美国医院的应用[J].当代医学,2003,9(1):44-46.
[4]ZDNet.WPA惨遭破解,难道无线安全真无药可救[J].网络与信息,2011,25(10):55.
[5]汪惠霞,胡敏,于京杰.医院无线接入的信息安全分析[J].医学研究生学报,2011,24(8):859-861.
[6]范智勇,许振和.无线扩展引发的网络边界安全问题探讨[J].计算机与现代化,2010,12(5):160-163.
[7]杨吉江,许有志,王青,等.面向医疗信息的数据隐私保护技术[J].中国数字医学,2010,5(8):50-54.
[8]henglei_wu.SSL VPN百度百科[EB/OL].(2012-06-15)[2012-07-19].http://baike.baidu.com/view/708397.htm.
[9]卢兴平.入侵检测系统在医院网络信息安全中的应用研究[J].医疗卫生装备,2010,31(5):31-34.
[10]王云志,李金余,杨玲.医院信息化建设中的网络安全分析与防护[J].医疗卫生装备,2009,30(6):34-36.
无线办公室网络建设方案一例 篇5
办公室经理常常为这个问题感到头痛:如何为临时工作人员,或在临时工作空间内工作的人提供网络服务,这些人员中包括那些每天要到很多地方分别进行日常检查和故障处理的人,以及那些没有固定工作场地的员工。
■使用无线网络
公司领导意识到了这个问题,决定建立无线网络为移动办公人员提供网络接入,并且考虑到将来的发展以及投资保障等问题,决定选用无线网络产品。
■实现灵活办公
采用了无线网桥后,公司能够实现以下应用:
活动办公室
利用无线网桥可以使用户拥有一个可以随时移动的办公区域,
对于需要随时增加办公节点而又需要网络连接办公区域的公司,这一点十分有用。“活动办公室”能使这些新增加的办公接入点使用办公室内原有的打印机、存储设备等所有共享设备,操作简单到只需要插入一块无线网卡即可。
笔记本电脑办公
无线网络技术能够为流动工作人员提供他们所需要的移动能力,而不管他们的移动范围是在一个房间内还是要覆盖整幢大楼。
免布线OA应用
使用无线网桥建立无线网络连接可以避免对原有的建筑物造成破坏,也无需再为两栋办公楼之间的通信问题而烦恼,另外还可以避免在已经十分拥挤的线槽中安装更多的电缆。
■应用前景广阔
柳工无线网络建设项目 篇6
现代社会活动越来越依赖于计算机及网络,随着各种移动设备如笔记本电脑、平板、手机等技术的日益成熟及普及,人们越来越希望在移动中能够保持设备网络的连通性。在这种要求的推动下产生了无线局域网:以自由空间的无线电波取代电缆中的电磁波或光缆中的光波进行数据传输。
柳工根据业务的发展需求,需在办公楼和配件仓库部署无线网络。
需求如下:
1.办公楼共有12层,要求每层楼都有无线信号覆盖,实现笔记本的移动办公;
2.配件仓库面积约为3000平方米,要求仓库每个位置都有无线信号覆盖,以便使用扫描枪进行扫描作业。
二、整体设计方案
2.1 设计方案
本项目分为办公楼和仓库两部分。设计方案如下:
1、在办公楼数据中心机房部署一台无线控制器,并在每层楼各部署三台内置天线的室内型AP,实现无线信号全覆盖。使用统一无线架构进行集中交换的方式管理;
2、在配件仓库所在园区的数据中心中部署另一台无线控制器,并在配件仓库中部署多个外置天线的室外型AP,实现无线信号全覆盖。使用统一无线架构进行本地交换的方式管理;
3、两台无线控制器同时工作,各管理对应园区内的AP。当其中一个控制器出现故障,它管控下的所有AP,将自动注册至另一个控制器中接受管理。当该控制器恢复正常后,这些AP又会自动注册回原控制器下接受管理;
4、相邻AP间的间隔距离约为25-30米。在保障信号强度的同时,避免信号的互相干扰;
5、相邻AP间的信号叠加百分比为15%-20%,以利于移动设备的成功漫游。
2.2方案依据
2.2.1 配件仓库
配件仓库距离柳工总部4公里,通过光纤与总部数据机房互联。由于距离较远,可看成一个小型分支机构。因此,在该园区部署无线控制器,AP与控制器交互采用本地交换模式的方式部署。
依据如下:
1.本地交换模式特点:当上联链路中断时,小型分支机构内部的无线控制器和无线AP,还能通过本地网络设备组成一个小型局域网,保持数据在此局域网中正常传输;
2.配件仓库和柳工总部通过光纤互联,一旦光纤故障,会直接造成通讯中断。该模式可保证配件仓库的网络设备自行组成局域网,数据仍能在内部传输。而该局域网内的业务系统服务器端,可通过USB的运营商上网卡上网,连接总部机房服务器端。从而保证配件仓库内扫描枪业务数据仍能顺利到达总部服务器,实现业务的连续。
3.该模式下,只有无线控制流量在CAPWAP隧道中,而无线数据流量在隧道之外。换言之,无线控制流量是加密传输,无线数据流量是明文传输;
4.仓库内有较高、较多的金属货架和金属配件,这些物品对无线信号有较大的衰减作用。因此,选择带有外置天线的无线AP,倒装在屋顶上,可以最大限度发射AP的无线信号。
2.2.2办公楼
核心数据机房位于办公楼内,所有应用系统的服务器都放置于该机房,每层楼的汇聚层通过双绞线上联到数据中心机房。在一个设备相对集中的地理环境中,采用在核心数据机房部署一台无线控制器,AP与控制器交互使用集中交换模式的方式部署。
依据如下:
1.集中交换模式特点:适合于无线控制器、AP和网络设备相对集中的环境,特别是距离核心数据机房。任意一条汇聚层上联链路中断,都不会影响其他链路的正常使用;
2.核心数据机房和各楼层汇聚点都在同一栋楼宇中,不是分支机构的模式。无线控制器、AP和网络设备相对较集中,符合集中交换模式的部署要求;
3.该模式下,无线控制流量和无线数据流量都在CAPWAP隧道中。换言之,两者都是加密传输;
4.由于室内办公考虑美观性,因此采用内置天线型的无线AP,倒装在办公室天花板上。
三、方案实施
3.1 配件仓库
设备AP安装于仓库的顶部,控制器安装于该园区的数据中心内。一旦其中一个AP出现故障时,相邻两个AP能尽量对其区域进行覆盖。
3.2 办公楼
设备AP安装于每层楼的东、西、中部,控制器安装于柳工全球数据中心内。一旦其中一个AP出现故障时,相邻两个AP能尽量对其区域进行覆盖。
四、项目测试内容
项目完成后,进入设备测试阶段。
4.1可管理性
目的:确定整个无线网络可通过单一门户进行统一管理。
过程:使用管理终端接入网络,使用WEB浏览器访问无线控制器的管理地址。进入管理系统确认其管理功能:包括系统监控、无线网络、控制器、无线AP、无线安全和管理工具等管理模块。
结果:系统管理功能完善,可通过单一门户对全网无线接入点进行统一配置,对无线网络进行创建修改,可在线查看系统运行状态。
4.2无线性能
目的:测试无线网络性能是否满足性能标准。
过程:使用笔记本接入无线网络,打开无线测试工具查看当前接入速率,使用下载工具访问内网网站进行下载测试。
结果:无线测试工具显示接入速率为80Mbps,满足设计性能。下载工具对内网网站文件进行下载,速率为3MB/S,速度满足需求。
4.3覆盖范围
目的:确认无线信号在规划区域均存在合理的覆盖。
过程:使用无线终端接入新创建的无线网络,开启无线测试软件在仓库内和办公楼内走动,测试仓库通道、办公室和会议室内的无线信号强度并记录。
结果:各仓库走道、楼层走道、办公室和会议室无线信号覆盖强度良好,均可满足正常情况下的使用需求。
4.4无线漫游
目的:测试无线终端可以在AP之间无缝进行漫游。
过程:使用无线终端接入无线网络,常PING内网测试地址,打开无线测试工具,在无线覆盖区域内走动,查看无线漫游情况。
结果:无线终端可以根据AP发射信号的强弱在AP之间正常无缝漫游。
4.5安全性
目的:确保无线网络需要经过密码后才能正常使用,确保安全。
过程:使用无线终端接入新创建的无线网络,确保在没有输入无线密码的情况下无法使用该网络;输入正确密码后可以获取正确IP地址,客户端才能正常使用网络。
结果:安全功能正确有效,用户只有在输入正确密码的情况下才能获取正确的IP地址,有效抵挡非法用户。
4.6高可用性
目的:无线接入点设置主用控制器和备用控制器,当主控制器失效时备用控制器可进行接管,确保无线网络高可用性。
过程:确保办公楼所有AP正常注册上主控制器,无线网络工作正常,客户端接入网络常PING内网测试地址;关闭主控制器,查看AP是否在预期时间内切换到备份控制器,无线网络恢复正常;重新开启主控制器,查看AP是否返回注册到主控制器,无线网络恢复正常。
结果:控制器高可用性切换正常,关闭主控制器后需大约50秒AP注册到备用控制器,无线网络恢复正常;当主控制器恢复开启后,AP重新注册到主控制器,无线网络各功能使用正常。
五、项目总结
无线网络在医院的应用 篇7
近年来,由于无线通讯技术的发展,出现了移动上网,无线因特网Internet。尤其是10M无线局域网络的推出,使无线网络出现了新的生机。
1997年6月,电子电器工程师协会IEEE(Institute of Electrical and Electronics Engineers)通过了802.11标准,802.11标准是IEEE制定的无线局域网标准,主要是对物理层(PHY)和媒质访问控制层(MAC)进行了规定,各厂商的产品在同一物理层上可以相互操作。
无线网络采用与有线网络相同的工作方法,整个网络系统是由计算机、服务器、网络操作系统、无线网卡、无线接入点组成无线网络。无线局域网WLAN(Wireless Local Area Networks)是指以无线信道作传输媒体的计算机局域网。
2 无线局域网的优势
无线局域网和传统的有线局域网相比,它具有以下几方面的优势:
⑴安装便捷、维护方便网络建设中,施工周期最长、对周边环境影响最大的,就是网络布线施工工程。在施工过程中,往往需要破墙掘地、穿线架管。而WLAN最大的优势就是免去或减少了网络布线的工作量,一般只要安装一个或多个接入点(Access Point)设备,就可建立覆盖整个建筑或地区的局域网络。
⑵使用灵活、移动简单在有线网络中,网络设备的安放位置受到网络信息点位置的限制。而一旦WLAN建成后,在无线网的信号覆盖区域内任何一个位置都可以接入网络。
⑶经济节约、性价比高WLAN从总体上减少了用户的费用。无线局域网在人们的印象中是价格昂贵的,但实际上,在购买时不能只考虑设备的价格,因为无线局域网可以在其它方面降低成本。根据无线局域网协会的调查表明,无线局域网可极大地提高经济效益,提高生产率48%,提高企业效率6%,改善收益与利润6%,降低成本40%。使用无线局域网不仅可以减少对布线的需求和与布线相关的一些开支,还可以为用户提供灵活性更高、移动性更强的信息获取方法。
⑷易于扩展、大小自如WLAN有多种配置方式,能够根据需要灵活选择。这样,WLAN就能胜任从只有几个用户的小型局域网到上千用户的大型网络,并且能够提供像“漫游(Roaming)”等有线网络无法提供的特性。
3 无线网络在医院的应用
3.1 用户需求
目前医院的有线网络已初具规模,医疗管理系统已成熟地运行于日常的管理和工作中,并且通过有线网络已可在各科设置中央监控系统,开始网络远程会诊。考虑随着青岛市医院信息化建设的深化,如何进一步拓展医院的网络应用和内部管理,进一步提升医院的品牌形象,是不是可以利用医院已建立了的医院综合管理系统(HIS),实现医生/护士移动的输入和查询呢?无线网络无疑是最明智的选择。
3.2 技术方案
考虑为了实现医生移动办公的优势和便利,医院为临床查房的医生和护士配备了轻巧的手提电脑,通过无线局域网络的覆盖,医生和护士可以在病房任何区域更方便和便捷地了解每个病房内的病人的各项指标信息和历史记录,并随时输入当前最新的信息。由于实现了无线移动查房和住院患者的信息记录,医生和护士们可直接调取和阅读电子处方及诊断结果报告,并随时可注意到用药配方的注意事项及剂量修改情况。同时,每个病床的付费情况也可一目了然,护士不必再拿纸笔记录了。
结合医院的HIS系统,提供了高速的108M/54M网络信号的无隙覆盖,加快医生对病人病况信息的查询、认识和处理;同时也可为医院影像数字系统(PACS)提供高速、稳定的无线查询和传输。
考虑具有智能特性的无线AP和笔记本网卡配套使用时,可提供高速108Mbps的传输速率的同时,更可提供自动的负载均衡的功能特性。无线AP可智能的将本地比较多的无线接入用户,转移到旁边比较“轻闲”的无线AP上,从而实现整个无线网络的性能效益最大化。
3.3 在医院应用无线局域网的优点
首先,解决了有线网络的部分局限性,可以让专家、医生、管理者在医院的任何地方都能方便地查找信息。在查房的过程中,医生或者护士可以通过笔记本电脑将患者的各项数据输入计算机,可以通过计算机随时查询患者的既往病史、过敏史等关键资料,可以通过计算机核对处方药品及处置方式是否正确。利用无线网络产品,药剂师将适时根据医生制定的药剂配方,正确配置药品剂量。可以避免看不清楚或看错医生的处方而造成不必要的医疗差错。对于突发性情况,专家和医生不必寻找电脑去查询资料来帮助诊断,可以立即上网查询。针对临床教学过程中,专家或医生可以通过笔记本电脑的无线接入,调取特殊患者的相关医学案例,结合现场患者情况,为学生提供生动、多样的教学模式。
因此,采用无线局域网络的解决方案无疑可以提高医院医疗管理系统的效率,具有有线网络所不具备的工作优势,WLAN速率高、性能稳定、维护方便,并且低造价。
总的来说无线局域网是对有线网的有效的补充和增强,随着技术的不断完善。也有可能替代有线网成为主流。特别是对医院这样信息集中的场所,无线网络的应用潜力是非常巨大的。
摘要:无线局域网和传统的有线局域网相比,它具有安装便捷、维护方便、移动简单、性价比高等多方面的优势。本文简介无线网络在医院的应用。
关键词:HIS,无线网络,有限局域网
参考文献
[1]尹建东,等.基于无线网络技术拓展现有的医院信息系统[J].中国医疗设备,2008(2):52-54.
[2]王升才,周承仙.无线局域网在医疗系统中的应用[J].沈阳工业大学报,2005,27(3):317.
[3]赵军平,等.无线局域网技术及其在医疗机构中的应用[J]医疗卫生装备,2006(4):43-45.
[4]胡恒峰.浅析无线局域网的特性[J].中国教育技术装备,2006(4):50-51.
[5]金庆江.计算机应用培训教程-无线网络技术及应用[M].上海:上海交通大学出版社,2004.
无线网络技术在医院的应用研究 篇8
随着医院管理信息化要求的不断提高, 原有线网络的综合布线不能完全满足医院发展的需要, 特别是电子病历、PACS等系统应用于临床工作时, 医生查房时需要调取大量患者的信息, 医生和护士在床边记录病人相关信息后回办公室再录入电脑, 重复劳动增加了医护人员的工作负担, 也增加了出错的风险。随着无线网络技术的成熟, 相关产品种类不断增加和成本的下降, 有线和无线网络技术的有机结合是医院信息化建设的发展趋势, 可促使医院的工作效率和服务质量不断提高[1]。
2 医院对无线网络应用的顾虑
当前有不少医院在引入无线设备时, 在选择上有不同程度上担心。这主要包括以下三个方面: (1) 安全性:无线网络安全技术无法充分保护网络信息安全性和患者的隐私。 (2) 稳定性:院内病房结构不一, 部分病房的外墙较厚, 病房内部的间隔不一, 导致无线网络信号偏低, 数据丢包, 使到速度不稳定, 影响业务工作。 (3) 兼容性:必须对现有网络环境影响幅度最少;能与其它医疗设备兼容, 不能对任何医疗设备 (例如:B超、X-Ray等) 造成影响, 令检查结果有偏差;不能对人体造成影响。
3 解决方式
针对以上顾虑可以通过以下几种方法解决。 (1) 在构建无线网络的过程中采取多种安全策略相结合的方式, 例如通过vpn、radius、wpa、隐藏ssid、mac地址过滤和加密技术加密等安全策略[2]。无线网络只能让院内业务用的终端访问, 业务用的终端只能与指定的无线网络进行数据通讯, 防止非法终端的接入使资料数据的外泄。 (2) 因医院楼宇众多, 建造年代不同, 里面布线情况复杂, 在具体布线的时候可以采用无线控制器加ap的部署方式, 通过与有线网络的有机结合, 将无线网络覆盖到整个网络环境中。 (3) 经过测试, 5.8频率对医疗设备基本没有影响。通过与手机网络的对比, 相对无线网络发射的频率, 无线网络是比较安全的[3]。
4 无线网络技术在医院的应用
4.1 移动查房
医护人员可以通过医院的笔记本电脑、平板电脑等, 无线接入EMR (电子病历) 。临床医生可以推着一辆手推车探视患者, 并从患者的床边, 迅速地获取患者的住院信息、病史、检查结果、化验结果和其他相关数据。此外, 临床医生还可以在转移到下一张病床之前, 通过该应用更新患者的病历、实时开具处方、预约检查化验等。所有信息都将通过无线网络, 记录在医院的主数据库中。移动查房不仅可以让医护人员更加方便和有效地进行床边探视, 还可以从患者的角度提高探视的质量。
4.2 患者身份和药品标识
护士使用PDA, 扫描带有条码标识的患者腕带带及输液贴, 关于患者的标识、用药、剂量及方法等的详细信息就会通过W L A N在护士工作站得到确认, 避免差错。另外, 在婴儿与母亲身上佩戴匹配的卡式和腕带标签, 当两标签出现不匹配时, 即会出现告警提示。避免了婴儿抱错现象的发生。
4.3 呼叫通信
组建WLAN后, 只要是在无线网络覆盖到的区域, 医护人员在医院的任何地方, 都可以利用IP语音 (Vo IP) 系统, 实现在网络中传输语音和视频数据, 对于及时了解患者的病情及需求, 对于危重病人也可以得到及时的抢救和及时的护理, 保证了患者的安全。安装无线IP摄像头, 进行实时监控, 可以使医护人员时刻掌握患者的治疗情况。
4.4 资产管理
RFID管理跟踪技术可以实时动态掌握库存药品物资的情况, 以及其相应的位置。在紧急的情况下, 保证所需物品能够及时的找到, 提高了应急保障的能力。
5 无线网络技术在医院的前景
随着无线应用的日渐丰富, 以及无线终端设备的层出不穷, 无线技术在医疗上的应用已不局限于局域网, 如:远程车载病人数据采集传输, 把救护车内采集病人体征信息、心电图、图片等信息, 通过3G无线网络实时传输到急救中心, 急救中心医生通过院前急会诊栏目可以查看患者的实时体征波形数据、心电图及其他文字、图片等病情描述, 通过视频系统可以观察伤患情况及与患者和救护人员进行视像语音通话。另外市场上已经出现了将智能手机用于身体监测的比较成熟的应用, 主要是在心电图、血糖、血压等慢性病领域。可以预见随着无线网络技术的更加成熟, 产品性能的更加稳定, 无线网络技术在医院中的发展将会有更好的前景。
摘要:随着无线网络在技术上日益的成熟, 其组网灵活性、良好的可扩展性, 逐渐运用到各种复杂的组网环境中。无线技术在床边医生工作站、移动输液、手术视频传输等应用成为现代医院信息化发展的趋势。是以无纸化、无胶片为特征, 在医疗业务中的应用, 对于提高临床医护人员的工作效率、服务质量救治水平, 积极推动医院数字化建设等都将发挥重要的作用。
关键词:无线网络,医院,应用
参考文献
[1]胡伟, 姚莹, 陈飞虎等.浅谈我国的医疗卫生体制改革[J].现代医院, 2008, 11 (7) :121-123.
[2]佚名.无线网络的组间的两大误区及安全性分析[J].中国教育和科研计算机网, 2011:08.
某三甲医院企业内部无线网络规划 篇9
1 无线网络总体架构
无线局域网络 (WLAN) 是利用射频技术、使用电磁波在空中进行连接和数据通讯, 是双绞线有线局域网络的有效扩充和替换。医院无线网络覆盖范围包括门诊楼、三栋住院楼、二栋医技楼、后勤楼、综合办公大楼等外部办公网络, 总覆盖面积约15万平方米;无线应用终端主要是病人、医院工作人员自带的手机、平板电脑、笔记本电脑等设备;提供的服务以扩展的在线医疗业务为主。综合考虑各种无线网络组网方式, 本次无线Wi Fi覆盖采用两台H3C 7500系列核心交换机上扩展无线AC控制业务板卡、部署Fit AP的覆盖方案。原因如下:无线用户的传输是通过Fit AP内已建立的GRE隧道和无线控制器互连, 因此Fit AP无需和无线控制器直接相连, IP可达即可完成数据传输, Fit AP方式布局更加灵活。无线控制器系统有非常强大的集中管理功能, 所有的关于无线网络的配置都可以通过配置无线控制器器统一完成。网管人员可以通过无线控制器能够RF规划自动校准功能, 自动调节无线网上所有Fit AP的频道与功率参数达到一个最优性能的运行状态, 同时通过主动判断无线终端Wi Fi模式, 将不同Wi Fi终端分别引导至5G或者2.4G频率上, 给不同Wi Fi终端提供不同的接入体验。控制器以Fit AP作为边界结合快速的RF管理系统, 大大减少了无线客户端和AP的关连时间, 可以实现如PDA, 手持终端, 笔记本电脑等无线适配器在无线网络里面进行快速的切换, 进而实现快速漫游的功能。
2 无线网络覆盖方案
医院无线覆盖的范围内各楼层平面结构不同, 而且不同区域业务要求也不尽相同。如门诊楼业务大厅、住院楼业务大厅、放射等候区等类似区域, 这些区域人员密集但是空间空旷。在这种环境下, 信号遮挡不是问题, 需要考虑的是单个AP下人员的大量接入需求。所以我们在类似环境下采用放装式AP部署, 单个AP接入人数应尽可能多, 提供高密接入覆盖。在门诊诊室、住院病房等区域, 因墙壁由两层带钢丝网混凝土包裹的珍珠岩材质构成且进门后有卫生间阻挡, 无线信号很难通过放装式AP覆盖, 同时存在移动医疗的业务需求, 需要尽量减少无线漫游带来的网络丢包。所以在类似的环境下采用室分AP方案。这种方案由一个AP带多根天线组成, AP部署在过道天线部署在房间内部, 天线最大长度10m, 短的5m, 根据实际来决定用多长的天线。
另外, 我们还考虑到了无线信号干扰的问题。医院无线覆盖区域内有种类多且不统一的医疗设备, 无线终端类型也各不一样。通过分析发现, 这些医疗设备、终端设备大多是工作在2.4G频段, 因此我们在选择无线通讯协议的时候最后选择了工作于5G频段802.11ac。
最后, 我们还需要考虑AP的供电问题。对于这种大量的无线AP覆盖, 我们采用Po E的供电方式。所谓POE就是对于无线AP这样小功率设备, 我们通过网线不但可以传输数据, 还可以提供-48V的直流电。在无线覆盖规划过程中我们采用24端口千兆Po E交换机。
3 无线网络安全与认证管理
无线覆盖必然带来无线网络安全问题。针对无线AP采取更改缺省用户名的密码、自动更新AP的固件防火墙等措施。很多无线路由器的默认地址和用户名以及密码都是admin, 如不更改用户名密码的话, 黑客或恶意用户很容易就能连接到企业无线网络中;防止攻击者通过设备已知的安全漏洞攻击AP进而入侵整个网络系统。
无线Wi Fi覆盖必然带来用户接入认证的问题。医院无线网络覆盖中, 无线用户使用者更多的是患者以及部分的医护人员, 用户数多且用户不固定是外网用户的特点。无线认证方式主要有两种:一种方式是所有用户用同一个账户和密码, 这种方式的优点是网络管理员不用管理用户注册问题, 只需要保证网络畅通即可。但是这种方式下面临着严重的安全隐患, 如果其中某个用户利用医院Wi Fi网络发送了不健康的信息, 则无法回溯到用户, 这可能带来对医院的负面影响。另外一种认证方式为每一个用户都是用自己特定的用户名和密码, 好处是每个外网是用用户的上网行为都可以被回溯, 但同时也带来最严重的问题就是必须给每一个外网用户注册用户名和密码, 这无疑给网络管理员带来巨大的工作量。为解决以上两种认证方式的所带来的问题, 我们选择让用户自主注册, 利用医院已有的微信公众号, 采取微信注册、认证方式, 这就解决了大量用户注册所带来的繁重工作。另外由于微信账号本身带有用户的个人信息, 如终端品牌型号信息、电话号码等, 具备唯一性, 这也给后期的用户回溯带来了可能 (用户微信账号存在于腾讯微信服务器, 医院不会有泄密个人信息的风险) 。
4 结论
本文就我院无线网络建设中一些主要考虑的问题进行了总结分析。在我院无线网络调试实施过程中, 对无线AP的部署位置、认证方式、应用管理等方面做了一系列的调整。医院无线网络的建设, 使得医院整个网络发展更趋完善, 也为移动医疗、掌上医疗提供了支撑平台。
摘要:因医院信息化建设范围的不断拓展, 信息化已不仅仅是对病人费用的管理, 而是涵盖了医疗业务的全流程、医院管理的全过程。根据医院信息化建设整体发展趋势, 基于无线网络、通过手机等移动终端应用正在兴起, 如在线预约挂号、检验结果查询、医患互动等。本文从无线网络总体架构、无线网络覆盖方案、无线网络安全及认证管理等几个方面探讨医院无线网络规划。
关键词:三甲医院,企业内部,无线网络
参考文献
[1]唐杰.医院无线网络方案设计与实现[J].通信技术, 2015:40, 43.
[2]李翔, 唐慧.我院无线网络的构筑[J].中国医疗设备, 2015, 30 (4) .
无线网络技术在医院中的应用探析 篇10
关键词:无线网络技术,医院,应用
随着科学技术日新月异的发展, 无线网络技术越来越广泛的走进我们的生活, 基于无线网络的在网络组织上的灵活以及在内容上的扩充, 越来越多组网复杂的公共机构也开始应用无线网络技术, 现阶段对网络与科技要求很高的医院也不例外。本文将讲述无线网的特征并在此基础上明确无线网络技术在医院的具体应用方面。
1 无线网络技术概述
网线网络技术最早兴起于1997年, 现阶段正值应用范围的高峰期。无线网络技术较传统的移动网络技术相比较, 具备组网相对灵活, 涉及的范围较广, 所需建设资金少, 能够供人免费使用等特短。基于无线网络这些无论是建设所需资金少还是数据带狂傲的特点, 现阶段无线网络技术的应用范围越来越广泛。
无线网络的组网结构有以下几种:独立式无线局域网, 非独立式无线局域网, 单元无线漫游式局域网, 远程点对点无线连接, 以及远程点对多点无线连接。这五种无线网的组网结构均具备技术成熟性能稳定, 可满足各阶段应用人群对网络的需要, 投入资金少、延伸性能好, 抵御灾害能力强, 覆盖范围广泛且可以专网专用的特点。
这就是无线网络的具体组成方面以及自身存在的优势特点, 基于特点以及组成部分的论述我们可以得出结论:无线网络技术克服了传统移动网络技术上的弊端, 且价格低廉扩展性好, 实用性很强, 值得多范围推广。
2 无线网络技术在医院的可应用范围
在移动技术快速发展的基础上, 无线网络在医院的应用进程很快。无线网络技术的应用方式多样, 应用范围广泛, 尤其适用于医院这种工作内容较多且对技术层面要求高的场所。具体说来, 无线网络在医院中可以应用于患者病床旁、医院手术室中以及医院呼叫信息的传达。
2.1 无线网络技术应用于患者床旁
无线网络技术应用于患者床旁要求医院能够将患者的具体信息贮存于医院的总信息系统内, 建立一个关于病人的系统, 我们将此系统命名为工作站。工作站在无线网络的配合下会将患者的信息加以汇总提供给医生和医务人员, 在无线网络的网络提供下整个医院的信息都得到实时提供, 能够方面快捷的掌握患者的试试病情, 包括血压、脉搏、情色等等。无线网络的应用要求护士在了解到信息的同时, 将所了解到的信息输送于总系统, 报告与医生, 医生可以进行相关医嘱的传达以及病人信息的分析。无线网络的应用于病人床旁要求在医务人员的手推车上安装电子设备, 但不要求繁琐的电源与电线, 只是一个电子设备就可以解决传统移动查房中的繁琐以及纸张下达以医嘱的不便。
无线网络技术应用于病床旁解决了传统的查房中的繁琐, 具备前所未有的灵活性, 并且只要求一个可以连接无线网络的电子设备, 方便快捷, 不但节省了时间, 还突破了传统移动查房以笔纸传达的旧模式。无线网络技术在医院查房中的应用的意义是基础性建设性的。
2.2 无线网络技术应用于医院手术室中
无线网络技术应用于手术室中是无线网络技术在医院中应用的最大意义所在。传统意义上的医院手术室中信息的传达是靠局域网, 局域网的工作效率有限, 还存在着破坏手术室无菌环境的弊端, 亟待改观。现阶段无线网络技术在手术室的应用依托于有线局域网, 无线网络的应用能够方便医疗服务的进行、意义医院管理阶层对医院手术室的信息采集以及管理, 最重要的是还能够手机医院治疗对外交流的相关信息。
总之无线网络技术应用于医院手术室中能够避免环境污染, 拓展医院整体信息系统的范围, 在客观上使得医院的服务质量上升, 并且能够使得医院的医护人员工作效率大幅度上升。无线网络技术在手术室内的应用的意义是最明显最重要的。
2.3 无线网络技术用于呼叫通信
无线网络技术的应用等同意以可以说是语音系统的建立, 凡是有无线网络覆盖的地方就可以利用语音系统方便快捷的传达信息, 这一点无论是对于患者汇报自己的病情还是医生对于数据需要都是机器重要的一项进步。无线网络技术覆盖之后可以在整个医院范围内传达语音信息或者是视频数据, 这样的信息同步传达对于医生来说可以直接获取数据, 最重要的是一些重症患者的人身安全得到了保障。这一点要求医院在患者的病床旁安装无线视频, 使得患者的动态可以通过无线网络技术得到同步直播。
总之, 无线网络技术可应用于医院的范围是非常广泛的。既可以应用于患者的床旁, 又可以应用于医院手术室中, 还可以用于信息的传达。其中应用于患者床旁可以便于护士查房, 节省纸张;应用于手术室中可以防止细菌同时便于交流;应用于信息传达可以保证重症患者的生命安全。医院作为一个庞大的运行系统, 各个方面对于无线网络的需求都很大, 因此在医院应用无线网络技术的必要性是很明显的。
参考文献
[1]胡伟, 姚莹, 陈飞虎, 等.浅谈我国的医疗卫生体制改革[J].院, 2008, 11 (7) :121-123.[1]胡伟, 姚莹, 陈飞虎, 等.浅谈我国的医疗卫生体制改革[J].院, 2008, 11 (7) :121-123.
试谈无线网络在医院中的应用 篇11
关键词:医院,无线网络,技术,应用
随着Internet的发展, 医院信息信息系统的应用也越来越多, 对网络互连应用也在悄然发生着改变, 医护工作人员、 就诊病友越来越多关心着网络的互动及应用的便利性, 从而不再满足现有有线网络的需求, 而基于无线网络的移动医疗技术也在悄然地走进医疗卫生行业的应用中。 无线局域网凭借其易用性、 易扩展性、 可靠性, 对医院地形、 自然环境及灾害影响小, 网络实施快组网灵活快捷等方面的优势已经越来越受到医疗卫生行业的关注。 在国内, WLAN市场应用从2000年开始已逐步展开, 从手机应用的2G、 3G发展到4G网络, 未来的5G技术也已在开发测试中, 而无线速率从11M、 54M、 100M到现在已经可以到达1000M带宽, 随着无线技术的蓬勃发展和技术革新、 智能无线设备的开发应用, 未来带给人们的生活将会丰富多彩和更多的便利性。
无线局域网络(WLAN) 指的是采用无线传输介质构成的计算机局域网络, 利用原有的计算机网络技术和无线通信技术相结合, 代替采用双绞铜线进行安装组网而构成的局域网络, 是有线局域网的延伸。 使用无线技术来发送和接收数据, 减少了用户的随时随地连接网络的需求, 与有线网络相比更具灵活性, 使得无线局域网络能利用无线电波, 就能达到信息随身化、 便利走天下的理想境界。 与现有线局域网相比较, 弥补了传统有线局域网移动性的不足。
1医院现有网络系统应用
目前, 医院的信息系统网络主要是根据有线局域网进行数据传输、 转发和交换, 整个信息系统应用基本上都围绕有线网络的架构进行开发利用, 随着移动医疗等新网络业务的迅猛发展, 单纯的有线网络已无法支撑信息化发展。
医院目前在有线网络条件下, 各科医生、 护士查房后登记到小本上, 等查房完成后要回到医生站、 护士站进行医嘱的录入, 容易造成医嘱的遗漏、 缺失等情况。
基于现行网络无法在查房时随时查看病人的影像资料、 各类检查结果等, 不能及时了解病人最新的病情资料, 无法及时有针对性下医嘱。
随着医院信息系统的发展建设, 现有单纯的有线网络资源很难实现医院新业务的开展; 如果建成无线网络, 医院目前开发的无线点餐系统、 重症监护室(ICU) 病友监护系统等就可以得到较好的应用, 既提高医护人员的工作效率, 又可以提高病人就诊的及时性。
2无线网络平台建设
全院无线网络通过两台无线控制器进行冗余配置, 负责对全院无线AP进行统一管理、 配置及监控, 经过旁路接入两台核心交换机, 网关统一设置在核心交换机上, 并在核心上划分单独的无线网网段VLAN, 开启DHCP方式获取IP地址, 全网采用瘦AP架构。 为提高网络运行速度, 网络布线采用Cat.6非屏蔽线缆, AP的接入采用全千兆POE交换机(Power Over Ethernet) 指的是在现有的以太网布线基础架构不作任何改动的情况下, 在为一些基于IP的终端, 传输数据信号的同时, 还能为此类设备提供直流电的技术。 POE交换机就是支持以太网供电的交换机, 既实现大规模AP的接入, 又解决AP的供电问题, 简化管理。 并且还采用专业的无线交换管理系统, 增强管理和安全性, 对整个无线网络上的交换机、 AP、 控制器进行控制监控。 医院的无线覆盖采用独特的智分无线系统进行部署, 大大提升了无线网络应用效果, 降低成本。
无线网络的安全设置, 在无线安全设置上主要采用MAC地址认证、 用户名密码认证、 用户权限控制等; 由于无线电波的开放性, 在医院内任何人都能获取信道中传输的无线数据, 这就对无线网络的安全性提出了更高的要求, 医院中病友的电子病历, 个人资料都被视为机密, 一旦泄漏被恶意修改或者被其他机构获得都会带来麻烦, 同时医院自身的信息保密也很重要, 如果出现信息泄漏的情况也会给医院造成难以弥补的损失, 由此可见无线网络安全部署的重要性拥有合法身份的用户除了被验证用户名、 密码等信息外, 还要被检查是否满足安全策略的要求, 包括病毒软件是否安装, 病毒库是否升级, 是否安装了必要的系统补丁等。 对于同时满足了身份检查和安全检查的用户, 根据预定义的策略为其分配对应的网络访问权限, 避免了非授权的网络访问现象, 达到硬隔离的效果, 确保无线网络安全。
3无线网络在医院中的应用
在建设完成无线网络环境下, 医院各科医护人员使用移动推车设备或者移动平板设备就可以在病人床头查房, 能够快速地获取病友的诊疗记录或病史等信息, 调阅病友各类影像、 化验等资料和其他生命体征信息, 并且能够更加全面地、 更加方便、 准确及时地了解病友的详细信息, 免除了医护人员在病房内给病友查房诊治时总要推着病历推车或者拿着一大堆病例记录本给病人诊治的麻烦, 而且根据查房情况及时将信息录入医院系统系统(HIS) 中, 并根据病友病情变化开出检查、 检验等各类医嘱, 查房后避免了进行医嘱转抄或重新再开医嘱等重复劳动的局面, 有时病程再录入容易造成医嘱重复甚至错误情况发生; 如今无线网络建成投入使用后, 就可以根据病友当时病情及进下完医嘱, 杜绝医嘱的遗漏、 缺失甚至错误的发生等情况。
基于无线网络的应用, 还开发了无线点餐系统, 通过平板电脑或PAD等终端设备, 图文并茂地向病友展现餐品情况, 就可以让病友或家属在床前完成选择自己喜欢餐品, 进一步克服病友一直对医院餐饮不满意的现状, 提高服务满意度。
随着医院无线网络建设的应用, 特别是对重症监护室(ICU) 病友的监护及时有了很大的提高, 利用无线终端就要可以迅速地在重症病友的床头对各项指标进行监护, 避免原来有线网络在使用上的局限性, 给临床提供及时、 准确的监护指示。
4结语
大众创新、 万众创业, 在全国都在创新、 创业的良好氛围下, 无线技术的创新应用, 不仅能提高工作效率, 减低人力成本, 还能提高医院总体的竞争力。 随着医院信息化的推进, 基于无线网络的业务应用越来越多, 如无线就诊地图、 无线病友监护、 无线呼叫、 无线视频、 无线移动资产管理等这些业务的开展, 虽然进一步提高无线网络的使用效率, 但是对无线网络的安全性设置、 网络架构、 无线设备稳定性和设备带宽吞吐量等都提出了更高的要求。
参考文献
[1]罗珺,汤少梁.无线网络在医院信化建设中的应用[J].信息与电脑,2011,(1):100.
[2]彭晨辉,李则河,蒋宏.浅谈无线网络在医院中的应用与体会[J].中国医院管理,2009,29(8):61.
[3]付卓.浅谈医院无线网络的建设[J].中国疗养医学,2013,22(3):287-288.
【医院无线网络安全建设】推荐阅读:
医院临床无线网络技术09-18
医院无线通信09-10
校园无线网络建设07-02
无线宽带运营网络建设07-28
大学无线网络建设方案12-11
医院网络建设06-07
医院信息网络建设06-04
医院网络的综合建设07-10
无线城市建设08-29
无线WLAN网络携手3G共创无线城市12-15