一. 应用需求
随着信息技术的快速发展,医院信息系统在我国已得到了较快发展,国内多数医院已建立起以管理为主的HIS 系统,建立了以管理为主的HIS 系统,当前的发展重点则是建设以病人为中心的临床信息系统CIS(Clinical Information System)。临床信息化系统包括医生工作站系统、护理信息系统、检验信息系统(LIS)、放射信息系统(RIS)、手术麻醉信息系统、重症监护信息系统、医学图像管理系统(PACS)等子系统,而这些系统将以病人电子病历EMR(Electronic Medical Record,EMR)为核心整合在一起。
随着医疗改革的推进,医院正朝着以终末质量管理向环节质量管理转变,从而提高医疗服务质量,缓和医患关系,提高医院的服务效率。与以病人为中心的服务理念相适应,医院信息化也从传统的内部管理为主的HIS 系统,向以病人为核心的临床信息化系统转变。伴随着临床信息化,医院正逐步地实现无纸化、无胶片化和无线化。随着无线局域网技术的不断成熟和普及,无线局域网在全球范围内医疗行业中的应用已经成为了一种趋势。作为医院有线局域网的补充,无线局域网(WLAN )有效地克服了有线网络的弊端,利用PDA 、平板无线电脑和移动手推车随时随地进行生命体征数据采集、医护数据的查询与录入、医生查房、床边护理、呼叫通信、护理监控、药物配送、病人标识码识别,以及基于WLAN 的语音多媒体应用等等,充分发挥医疗信息系统的效能,突出数字化医院的技术优势。
二. 无线网络覆盖整体设计方案
2.1. Moto医疗行业WLAN设计思想
2.1.1. 医院中WLAN的设计要求
为客户提供好的系统解决方案,首先要准确地了解该系统应用的具体业务模式,以及实现该业务模式所需要的技术。通过医疗信息化建设中对无线网络平台应用模式的综合分析,我们总结出医疗信息化系统对无线网络平台具体要求:
(a)数据保密性要求高,病人数据不能被盗取
(b)无线网络系统整体安全性要求高,包括物理设备,因为医院内人员流动性很大
(c)PACS 对网络带宽稳定性要求很高,VoWLAN 对网络时延要求高
(d)系统可靠性要求高,医院的有线网和供电系统都有双备份机制,当然要求无线网络也能具有着这样的保险机制。
(e)系统可维护性要求高,无线网络的维护不能成为医院信息科的负担
(f)每个病区的并发用户数较低,主要提供给医生和护士使用。如无线网络也提供给病人和访客使用,则必须与医院内网做有效隔离,同时要求能够对访客网的带宽占用做有效的限制。
2.1.2. 医院中WLAN的用途
2.1.2.1. 用于病区移动查房
在传统有线网络情况下,医生查房有两种选择:一是手持打印的纸质病历,供查房时查阅;二是医生在办公室工作站上事先调阅病历,并记忆分管病人的主要病史、生命体征数据,待查房时,凭记忆呈现病人情况。第一种方式,由于要经常打印病历,增加了工作量。第二种查房,极容易造成记忆不全甚至错误情况发生。
在病区组建WLAN 后,医生不再受网线的困扰,可以方便、自由地携带电脑在病区内移动,利用无线网络登陆医生工作站,随时调阅病历,迅速地获取患者的住院信息、病史、检验、检查结果和其他生命体征信息,尽可能有效地与患者交流,从而获得高效率、高质量的床边探视和护理。医生还可以根据查房情况,及时将信息录入计算机,并根据病情变化当即开出检验、检查、治疗和其它医嘱,避免了查房后再次转抄医嘱或凭记忆补开医嘱、记录病程,造成重复工作甚至错误情况发生。结合临床用药知识库、药物配伍禁忌报警系统,医生在住院病人床边诊断就能最大限度地避免错误的发生,及时修正医嘱并采用合理的药物和治疗。
2.1.2.2. 用于床边护理
在西欧和美国,已有少数医院取消了病区护士站,护理数据用无线电脑直接在患者床边采集和录入,这不仅提高了护理效率和质量,还增加了医护人员与患者的亲和力,使患者得到更多的护理。将PDA 、条码腕带等技术手段应用于临床护理,给医院管理带来的成效将体现在多个方面:一是帮助护士正确执行医嘱;二是全程追踪医疗服务过程;三是为医护人员的绩效考核提供客观的依据,帮助医院真正做到奖勤罚懒。其根本目的是降低出错率,提高医疗服务质量,体现以病人为中心这一核心原则。
2.1.2.3. 无线网络用于呼叫通信
组建WLAN 后,医院可以利用IP 语音(VoIP)系统代替传统的通信系统(如寻呼台),实现在网络中传输语音和视频数据,提供双向的语音视频通信。医护人员可以通过手持设备接收患者的呼叫,直接与患者通话,并能从系统中的任何位置立即了解患者的需求,许多危重病人因此可以得到及时抢救和特殊护理,同时医生也可以通过WLAN 语音系统了解一些传染性隔离患者(如SARS、禽流感等) 的情况,有效地保护医护人员的健康安全。目前在这方面最广泛的应用为WLAN 手机——基于WLAN 的手机,可以在无线局域网覆盖范围内实现清晰畅通的无线通讯,无须支付任何话费,此类手机只需在交换机上进行简单的参数设置后就能方便的使用。在网络中使用无线手机能够呼叫普通电话和手机,用户通话时在WLAN 覆盖区域内自由移动,通话质量不受影响。
2.1.2.4. 无线网络用于护理监控
目前,国内较先进的住院病房安装有有线视频监控系统,组建WLAN 后,只需增配无线摄像头,进行简单的网络参数配置即可,摆脱了重新布线的烦琐。这种技术可以用于对病房、药房和其他重要场所的监控。无线摄像头的管理软件可以同时监控多个现场。在监控中心可以对现场进行录像记录。无线摄像头在应用时结合医院的无线通讯系统,能够进一步提供医护人员的工作效率。工作人员在收到病人的寻呼信号后,通过网络即可在计算机终端直接监控到病人的状况,并采取相应的医疗措施,这对于危重病人的监护有着重要作用。
2.1.2.5. 无线网络覆盖用于药库管理
WLAN结合无线射频识别技术(RFID)进行药库药品管理。药品进库时通过RFID标签扫描,记录下进库药品的名称、制造商、功效等详细属性,并利用RFID进行药品存放的定位。这些数据都通过WLAN上传到医院的药品管理信息系统,方便医院对药品进行统一调配、管理。药品管理人员也无需人工输入大量数据以及花时间到处寻找药品,只需手持无线电脑或PDA等设备,进行药品的清点核对。在美国,许多医院在采用了药物条码无线识别设备后,WLAN环境下的药品配送和药库管理就显得更加简单、方便、准确和高效。
2.1.2.6. 无线网络用于临床教育科研
无线网络极大地方便了临床教育科研。教师和科研人员可以在病人床边一边讲解一边通过无线移动终端实时调用病人的基本情况,包括:病史信息、病理信息、化验检验信息、放射信息、影像信息等。
2.1.2.7. 无线网络用于病人识别与资产管理
利用无线条码标识带将病人的重要资料标注其中,并带于病人腕部。在病床旁,护士使用无线识别设备(PDA),扫描患者的条码标识带,关于患者的标识、用药、剂量及方法等的详细信息就会通过WLAN在护士工作站得到确认,如果存在任何差异,报警系统会显示警告,避免可能发生的任何差错。
无线网络还用于加强对医院设备的管理。在可移动的医院设备上安装RFID标签后,配合无线读取器,医院就可以通过资产定位管理系统对电脑、医疗设备等贵重物品进行定位和管理。管理人员可以通过电子界面准确了解它们的位置,避免设备遗失以及无法及时定位而造成的损失。
2.1.3. Moto无线网络覆盖的设计思想
南京军区南京总医院是一所医教研协调发展的大型综合性医院。南总医院现有床位1600张。设有51个科室,其中临床科室27个,医技科室24个。建有国家重点学科1个,国家(全军)临床药理基地1个;全军医学 研究所3个:全军普通外科研究所,全军肾脏科研究所,全军检验医学研究所,全军“十五”重中之重学科2个,全军器官移植及肾脏病重点实验室2个,全军优 生优育指导中心1个;军区级医学研究所2个,军区级医学专科中心10个;江苏省医学重点实验室2个,江苏省重点学科3个,江苏省实验动物清洁级(大小鼠) 基地1个;设有临床科实验室18个,ICU、CCU病房8个。
南总医院以“建设国内一流、军内领先、与国际接轨的现代化医院”为总目标,以“全面建设,重点突破,提高层次,扩大影响,真情回报部队和社会”为发展思路。坚持以人为本的管理理念,坚持科技兴院、人才强院的发展战略。积极推进医院后勤保障社会化,积极运用现代科技管理手段,大力推进医院信息化建设,建有400多个终端的计算机局域网;医院建成以光纤为主干的网络拥有工作站,建成使用的系统有:HIS、CIS、 LIS、PACS、办公自动化系统(OA)、绩效分析、体检、病案扫描、医学情报查询、医保等多个子系统,信息化建设在全国医院中达到了领先水平,成为全国数字化试点示范医院之一。
近年来,医院步入一个快速增长期,医院的信息化建设也已初具规模。医院正逐步实现医院管理的科学化、现代化、数字化,与国际、国内信息化建设的新技术接轨。医院目前已经建成一套完整的医院管理系统,而无线局域网在医院的实施则必将推动医院信息化系统的建设提高到一个新的阶段。本公司针对该院具体情况和要求,结合公司在医院无线网络建设方面的丰富经验,为南京军区医院提出了此无线医疗网络解决方案。
鉴于采用传统的“胖AP”技术部署无线网时,安装复杂,管理困难,整网安全强度不高,在实际应用中会存在以下问题:
(a)不能实现全面的、统一的全网级的管理策略
(b)不便于无线网络业务的划分
(c)不能实现无线网用户的2、3层无缝漫游
(d)没有RF自动调节能力
(e)整体无线网容量过小,不能轻松扩容
(f)对室内、室外无线接入点无法做到集中管理、统一配置和固件升级
(g)对于基于WiFi的高级功能,如安全、语音等支持能力很差
由此可见,本公司推出强大的具有集中式管理的瘦AP+无线将换机构建,该无线构架具有简单而强大的无线局域网集中式管理功能,AP本身并不存在任何的配置文件,AP的配置是从无线交换机上统一下发的,通过无线交换机RFS7000和本地转发管理模式就可以同意管理整个无线网络的AP。管理人员只需简单地配置无线交换机,即可实现开通、管理和维护所有的AP设备以及移动终端,包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。
无线网络管理系统(MOTO WinG5)
无线交换机 Moto RFS 7000
无线接入点AP650L
2.2. 无线网络总体描述
无线网络组网拓扑示意图
![摩托罗拉医院无线网络覆盖整体解决方案]( "摩托罗拉医院无线网络覆盖整体解决方案")
接入网络部分:无线覆盖区域物理分布在医院住院部1层到3层的室内建筑区域,我们在本次无线网络项目建设中室内覆盖采用Moto AP650L。
无线网控制、管理部分:在网络核心层,我们采用了目前基于最先进的第三代无线网络技术的无线交换机对整个无线网路进行统一的管理。采用Moto RFS 7000型无线交换机对全网AP进行集中管理和控制,各覆盖区域内AP通过有线连接至RFS 7000无线交换机,实现了无线集中控制。
无线网络管理部分:Motorola Solutions推出面向 802.11n 无线局域网 (WLAN) 接入点和控制器产品组合的新一代架构——WiNG 5 WLAN解决方案。该解决方案可为网络边缘提供分布式智能和网络服务。通过接入点 (AP)在本地执行安全策略,WiNG 5架构可显著提高服务质量 (QoS) 和移动性,并智能地沿最佳路径直接转发业务流量的操作。这可以有效避免控制器瓶颈,使用户更加经济高效地支撑关键业务的语音、视频和数据应用。通过智能转 发流量,以及利用 SMART RF 实现应用感知型自我修复并提供更富弹性的网络服务,WiNG 5能够显著提升 802.11n 网络的容量和弹性。WiNG 5灵活的架构还可支持将虚拟站点、本地站点或远程 NOC 无线控制器组合部署到一个可扩展到数千个接入点、且采用集中式管理策略的分布式网络。此外,WiNG 5 提供了多种 802.11n AP 和控制器以及简单的零配置安装,省却了有线网络的 VLAN 重构需求。
2.3. 无线网络组网方案
2.3.1. AP电源的供给
对许多网络系统的设计来讲,当建筑中某些区域的用途不确定或布线施工难度较大时,部署无线接入点(AP)是十分必要的解决方案。但是,十分具有讽刺意义的是,在大多数情况下,无线接入点仍然需要电源,这就削弱了无线局域网的优势。而且,在安装时,我们不得不考虑电源插口是否存在,以及连接是否可靠,电源是否会从墙板上脱落等不确定因素。
为了解决这上述问题,我们在本次无线网络项目建设中室内覆盖采用Moto AP650L型AP,Moto的AP650L型AP均支持IEEE802.3at标准的双路冗余PoE供电,可采用支持IEEE802.3at标准的PoE交换机或PoE供电器通过网线对AP进行供电。
2.3.2. 分布式的AP部署
目前,随着网络应用和数据量的急剧增长,为了减少广播包对网络性能的影响,普遍采用的解决方法是采用VLAN技术进行子网划分,通过三层交换技术对各子网进行路由交换;另外,在医院进行有线网络建设时也考虑到将来可能会有扩展,在有线信息点、光纤和交换机端口等资源上都留有余量,因此在进行无线网络建设时,医院网络中心希望建成的无线网络系统能够尽可能利用原先的网络资源,以降低工程造价和施工周期,因此一般采用AP就近接入空余的接入层交换机端口上,采用无线网络与有线网混合组网方式。由于有线网的固定性,一般采用根据楼层或楼宇方式进行子网划分,而无线网络必须承载于有线网络之上,因此,造成所接AP也分别划到各个子网之中,造成了原本应该统一管理的无线网络被有线网络分割成了独立的无线“网络孤岛”,这种“网络孤岛”在实际应用中会存在以下问题:
1. 不能实现全面的、统一的全网级的管理策略
2. 不便于无线网络业务的划分
3. 不能实现无线网用户的漫游
4. 对无线接入点无法做到集中管理、统一配置和固件升级
为了解决传统有线与无线混合组网存在的上述问题,采用一种被称作“THIN AP”代替传统AP的方法来解决这一问题。本方案中采用的是Moto AP650L,并配合Moto RFS7000型无线交换机进行组网。下图为以Moto组成的移动域示意图:
![摩托罗拉医院无线网络覆盖整体解决方案]( "摩托罗拉医院无线网络覆盖整体解决方案")
AP650L本身不带任何软件及配置,当AP在加电后,AP通过广播、DHCP或DNS方式来获得位于网络骨干上的无线交换机MOTO RFS7000的IP地址信息,AP在得到无线交换机地址之后,便采用CAPWAP协议与无线交换机MOTO RFS7000取得通信,随后由无线交换机MOTO RFS7000将AP运行所需的固件以及AP的相关配置发送给AP,AP收到这些信息后,随即进行系统启动并根据无线交换机提供的配置进行自身参数的配置。在AP启动完毕后,AP与无线交换机MOTO RFS7000之间进行互连,用户的数据包在进入AP后,被AP重新封包传入无线交换机MOTO RFS7000,由于数据全部被封入,用户的数据并不因AP与无线交换机之间跨了路由而改变路由路径,从用户角度来看,用户的数据直接跨越了层层路由,直接进入了无线交换机,无需改变现有网络拓扑结构、也无需考虑协议兼容性,从而实现了拓扑无关的组网。
采用“THIN AP”组网的优势在于:
1. AP与无线交换机之间建立跨越路由,从而将无线业务与有线网络策略区分开
2. “THIN AP”运行所需的固件及配置在启动时由无线交换机动态下发,轻而易举的实现了传统“FAT AP”方案无法动态升级AP固件和配置的问题
由于采用THIN AP的组网方式,即使是在分布式网络中,彼此被子网路由隔开了的AP也可作为一个整体结构运行,以便于按需扩展或修改无线局域网。
2.3.3. 提供灵活的多业务支持(Multi-SSID)
早先,由于技术及成本的制约,AP只能提供单一SSID,因此要想在使得无线网所能提供的服务均混合在一个服务集之上,无法实现业务的区分,无法支持QoS,不同权限用户的隔离;随后出来的第二代产品诸如Cisco Aironet系列AP,支持广播最多16个SSID,并可以对每一个SSID分配不同的认证、加密、QoS和VLAN策略,用户一旦连接上一SSID后,可以被赋予该SSID所提供的属性,但是由于用户的属性受到所连SSID的制约,第二代的这种基于SSID的业务策略属于静态的策略,因此无法实现基于用户的策略控制。
本方案提供的Moto系列无线系统,AP650L支持多个SSID,并且可以根据用户属性,动态的分配用户认证方式、加密方法、QoS及所属VLAN,实现了基于用户的动态业务策略。基于用户的动态业务策略能够实现全网范围的漫游,而不用考虑所在地点的AP是否支持这些策略,从而让无线网业务系统功能更多、更为灵活。
2.4. AP的集中管理与自动配置
在传统无线网络建设中,有一个始终令网管人员感到头痛的问题,那就是对AP的管理、监控以及AP自身固件的升级。由于传统AP是一种称作为“FAT AP”,即自身需要有相应控制软件以及独立的配置才能运行,而由于AP是一种接入层设备,数量较多,且由于医院网络的复杂性以及业务的多样性,导致需要根据各“热点”区域进行相应配置,并且还需要网管员对这些特殊配置进行记录,以方便日后维护;此外,在日常运行中,还需要了解这些数量众多AP的工作状态及性能等数据,而一般AP管理工具功能太过简单,如果采用有线网络网管软件,由于没有很好的对无线网络做相应的开发与支持,从而不能很好的管理无线网络。
而采用MOTO WING5架构下的无线网络,AP是一种被称作“THIN AP”的结构,由于AP本身没有任何需要配置的参数, AP的固件、配置信息均由中心的无线交换机MOTO RFS7000提供,为了解决传统“FAT AP”能够集中管理、配置、升级AP;AP与Moto无线交换机之间采用“心跳”机制,定时保持通讯,中心网管系统能够非常及时的了解AP的工作状态,并将工作状态直接反映给MOTO WING5Moto网管系统,SNMP直观显示出AP的拓扑结构,以及部署位置及工作状态,并记入日志,以被日后查验。
2.5. 基于用户身份的管理
2.5.1. 用户认证及加密
众所周知,无线网络采用电磁波作为传出媒介进行数据传输,而电磁波由于可以穿透建筑物而泄漏到外部空间,因此对于无线网络的安全策略就不能采用有线网的思路,因而必须采取一些切实有效的方法来保护无线网络免遭黑客入侵及避免用户数据被非法窃取。目前国际上比较流行的方法是对用户进行身份的认证以及认证成功后要对用户数据加密来反制非法入侵。
![摩托罗拉医院无线网络覆盖整体解决方案]( "摩托罗拉医院无线网络覆盖整体解决方案")
Moto支持国际最为先进的认证及加密技术:
多种认证方式:支持基于数字证书的强安全认证方式RSN(WPA2,IEEE802.11i)、WPA;同时也兼容一些使用较为广泛的WebPortal认证及MAC认证,以便于临时来访用户的接入
数据加密:
1. 多种加密方式:借助于 Moto AP650L AP执行高级加密标准 (AES)、临时密钥交换协议 (TKIP) 以及有线对等加密 (WEP) 加密有助于保护所有的通信连接。
2. 每用户的加密分配:对每用户或每组执行不同的安全策略,以便进行灵活、深入的安全控制和管理。
![摩托罗拉医院无线网络覆盖整体解决方案]( "摩托罗拉医院无线网络覆盖整体解决方案")
2.5.2. 基于策略的用户访问控制
Moto不仅支持丰富的安全认证及加密方法以外,还提供基于用户身份的服务,以使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表 (ACL)、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容。还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。
![摩托罗拉医院无线网络覆盖整体解决方案]( "摩托罗拉医院无线网络覆盖整体解决方案")
2.5.3. 用户漫游及QoS保障
由于无线局域网采用类似于移动通信网中的“蜂窝”覆盖方式,来实现大面积覆盖,当终端在移动一点到另外一点的移动过程中,不可避免的需要从一个AP切换到另外一个AP,在切换过程中,移动终端需要进行“取消关联”及“重关联”的操作,该过程一般需要300-500ms的时间,此外,在有后台认证系统存在的情况下,用户还需要进行重认证、session key重分发及重新分配IP地址的过程,这种方式无法满足一些对时延非常敏感的业务诸如VOD点播、VoWLAN等的支持,因为传统无线网络的漫游只停留在IEEE802.11协议层上,并没有对用户会话进行完整性保持。
该方案也无线交换机为核心,对所有AP上接入的用户采用统一会话管理,所有已认证终端均在中心无线交换机中保存相应会话,AP仅仅只负载传输用户数据,因此无论终端移动到哪个AP下,用户信息和授权都在无线交换机所管辖的移动域内快速的交互,可以有效保持会话完整性及可靠移动性的前提下实现无缝漫游。另外,Moto还率先支持WMM(Wireless Media-Media)无线多媒体协议,能够将语音、视频数据包以更高的优先级进行传送,提供了对无线QoS的保障。
2.5.4. 用户动态负载均衡
传统上,由于受到客户端无线网卡底层驱动算法机制的限制,用户总是会连上信号最强的AP,而并没有考虑到该AP是否能够提供最佳的服务。
Moto RFS7000无线交换机可以根据周围无线信号覆盖情况以及用户的流量需求,动态的将用户强制连接到其他可用AP上,将用户流量分配到其他可用AP,从而保证了整个无线网络的高效能和高可用度。
![摩托罗拉医院无线网络覆盖整体解决方案]( "摩托罗拉医院无线网络覆盖整体解决方案")
例如在一个用户较多的会议室,正常情况下大约有15人左右,采用一个AP即可满足需求,但当用户数突然增加后,导致该AP无法连接数过多,而此时,位于会议室外的AP由于相对与会议室来说,信号虽然比较弱,但仍然是可以满足一定的网络用量,此时无线交换机则强制后来的一部分用户连接信号较弱的AP,从而实现了负载均衡,保障了网络的畅通。
2.6. 无线信号监控
2.6.1. AirDefense的组成
Airdefense主要是由Server,Sensor&一个中央管理器三部分组成, Sensor 用来监视和捕捉AP的数据, Server则用来做IDS的分析和统计, 则中央管理器可以使网管清晰的看到被检测的每一步的数据.Airdefense其含义为空中防护,引申为无线防护,即对Wireless, LAN的网络防护,具有防入侵,安全网络规划等功能。
Airdefense主要由Server,Sensor和一部中央管理器组成。
l Sensor用来监视和捕获AP的数据,
l Server用来做IDS的分析和统计
l 中央管理器用来监测Server收集上来的数据是否有异常。网管可以通过它了解每台计算机的信息。
2.6.2. AirDefense的作用
Airdefense可以探测到非授权者是否连接用户进入电脑,从中盗取数据,进行破坏。可以实现信息管理,同时可进行探测用户,以下有3种情况。
1.授权用户
2.过路用户(如无意间进行错误连接的用户)
3.黑客
在Airdefense检测中,当授权用户连接时。则通过验证,正常接收、发送数据。
当无意的用户(过路者)连接到此网络时 Airdefense会进行断线,屏蔽此用户。
当Airdefense 检测到有黑客连接用户的电脑时。
Airdefense则进行检测、分类。
1、无害连接
2 、有害连接
遇到有害连接时,Airdefensen则会发出报警,及时统治网管将其断线,防止有害用户进行近一步的迫害。
2.6.3. AirDefense的工作原理
信息通过Sensor传送到Server,再由Server传送、显示到中央管理器上,进行统一的管理,检测数据。网管可以通过中央管理器直观的看到每一台电脑的安全情况,进行管理。
当 Sensor收集信息时发现有未授权用户时,会把信息传送给Sever, Sever会把每台Sensor的信息进行汇总传送给中央管理器。由此可见,Sensor只有对信息的检测功能,而不进行处理。此时中央管理器得到了从 Sever传送过来的数据,则会发出报警信号,提醒网管来处理此非法连接。![摩托罗拉医院无线网络覆盖整体解决方案]( "摩托罗拉医院无线网络覆盖整体解决方案")
2.6.4. AirDefense的优点
l Airdefense采用了(24X7)全时段进行监测,防止黑客入侵您的电脑。
l Airdefense推出了自我管理平台,这个平台首先要有一个安全的操作平台,并且还有比较综合的一些下属配备或者装置 (如:Server&Sensor) 。这样它可以正确的分析一些数据,然后进行分析来解决这些不正常的数据信息。最后可以作出报告以便让使用者了解是否有破坏性的数据侵入,自动作出报警管理 系统来帮助网管进行管理。
l Airdefense的监测范围非常广泛。可以通过电脑里原有的政策工具来分析网络中传输过来的数据、协议还有一些反常的活动信息。把这些信息总结出来以后进行自动删除来确保数据的安全性。
l Airdefense有着对黑客很先进的管理系统。对有欺诈性的数据进行的管理,首先也要有设备装置,然后对有欺诈性的连接进行分析,分析它的数据信息,还有幅度上涨活下降,然后计算它的威胁指数最后根据这个数据来解决问题,终止那些有威胁的装置运转。
l Airdefense可以区分从Sensor上传送过来的消息,归纳、总结,呈现给网络管理员
2.7. 目标区域无线覆盖示意图
南京军区医院无线需要覆盖的区域为:住院部1-3层。根据用户建筑设计图,依据无线网络设计经验,无线接入点的数量及位置大致如下。但因为无线所覆盖区域结构复杂,房间数量多,需要现场勘测具体物理情况及现场模拟测试后方能做出合理的AP规划数量以及放置地点。
2.9.1. 无线覆盖示意图
三. 实施方案
3.1. 拓扑结构
在这样的网络实现当中,AP上用户的流量都将通过AP与无线交换机建立起的隧道,流向无线交换机,在经过相应的策略匹配之后,用户会被要求认证,或者流量会被转发/丢弃。
在这样的网络中,医院有线网络中的用户及数据与无线网络完全隔离,两网完全分开,保证了两网中各自应用系统的独立性。
3.2. 设备选型和配置
由于此次无线覆盖范围室内,实现空中或地面全覆盖,要求住院部各个区间都能接收到无线信号。
3.3. 无线交换机连接
采用Moto RFS7000交换机,放置在数据中心的网络机房,每台MOTO RFS7000无线交换机最大可以支持1024个AP接入和管理,完全满足用户整个无线覆盖的需求。
3.4. 接入层AP部署
Moto方案能够方便的实现跨三层部署,接入层的AP部署只是需要拿到属于自己的IP网络设置和网络中已经部署的MOTO RFS7000交换机IP地址即可。这样的架构大大简化了传统无线网络部署当中的复杂程度,减轻了AP设置与用户设备以及AP所连接的有线网络配置相杂揉的状况。
3.5. 用户接入策略
从用户分类与分布情况分析,用户主要分成以下几类:
(1)内部员工;
(2)Guest用户;
使用网络是被分为不同的业务类型,因此,在设计上采用无线局域网多SSID技术,设置多业务区分方式。在一个无线局域网内可以设置多个SSID,例如一个SSID可给内部员工所用,而另一个可给外来的客户专用。SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。用户可根据实际的情况和802.11发展来制定以怎样方式来实现无线加密。最常见的做法是使用二个SSID,一个定义为OPEN/Static WEP供客户用,另一个SSID则为TKIP(WPA)专为内部员工使用。另外,可以增设一个802.11i SSID让员工以过度的方式逐渐从转移到这个SSID上。不能一步转到802.11i的主因在于很多的无线终端现在尚未支持802.11i。
SSID可以覆盖全网,也可以只局限于xx大楼内的某些范围。一般的情况下是全网开通,例如客人(Guest)使用的SSID;但有些SSID则可能只供某些部门使用,所以无线覆盖范围通常只会局限在某些范围内。
所以针对无线局域网多种用户的不同业务类型应该采取不同的SSID进行管理和控制。大楼内部的员工可以采用专门的SSID,可以采用级别较高的认证和加密手段,对参加会议人员和来访人员可以使用另一个SSID,采用级别相对较低的认证和加密手段,这样就实现了区分的服务。
四. 设备清单
根据用户实际环境,为了更迅捷和方便的使用无线网络,以及更好的使用和管理用户的无线网络,建议采用如下配置方案。(略)
五. 方案优势
5.1. Moto可以更好满足医生的需求
医生每天床边查房需要病人的临床资料(病历、医嘱、化验单、检查报告、影像资料)可以通过无线网络和移动终端设备随时随地获取;可以随时随地获取诊疗规范、操作指南、临床路径、参考文献、知识库等;可以随时随地传送有关信息,包括:生命体征、检查化验结果、病情描述、各种申请;可以进行实时会诊,信息交互、重症监测和抢救。
5.2. Moto 可以更好满足护士的需求
护理人员可以实时采集病人生命体征,如:体温、呼吸、血压等;可以实时核对最新医嘱变化,执行医嘱时与最新医嘱进行核对,防止差错;可以实时三查七对,“三查”即:“操作前查、操作中查、操作后查”,“七对”即:“对姓名、对床号、对药名、对剂量、对浓度、对时间、对用法”,目的是为了避免护理差错,保证病人医疗安全。另外,无线网络还可以与条码与无线射频技术相结合对病人、药品进行安全、高效的管理。
5.3. Moto可以更好满足管理的需求
借助无线网络可以更好地进行:医疗质量管理,终末质量管理,环节质量管理;可以有效监控完整的医疗过程。检查时间、医嘱时间、发药时间、治疗时间都能随时随地动态监控。作为未来数字化医院发展的网络平台,无线局域网(WLAN )有效地克服了有线网络的弊端,利用PDA 或平板无线电脑随时随地进行生命体征数据采集、医护数据的查询与录入、医生查房、床边护理、呼叫通信、护理监控、药物配送、病人标识码识别,以及基于WLAN 的语音多媒体应用等等,借助无线网络平台的应用能够充分发挥医疗信息系统的效能,突出未来数字化医院的临床应用优势。从而提高医院的运营效率和服务质量,医院的竞争力和美誉度也得到了极大提升。
5.4. Moto无线网络对人体健康及医疗设备影响的分析
5.4.1. 无线网络对人体健康的影响
中国信息产业部无线电管理委员会规定单个无线接入点设备RF 发射功率不可超过100mW,市场上销售的无线接入点设备RF 发射功率约60~70mW 左右,REDWAVEWIDS 基站天线发射功率均小于100mW,而手机的发射功率约600mW 至1 瓦间,手持式对讲机高达3~5 瓦,并且无线网络使用方式并非像手机直接接触人体,因此与手机相比,无线网络(WLAN )对人体健康是几乎没有影响的。
测试表明,目前比较常用的IEEE 802.11b 无线设备在2 英寸距离处产生的辐射约为每平方厘米2 微瓦,IEEE 802.11g 产品的辐射量更小,而FCC 中的相关安全辐射限度为每平方厘米1000 微瓦,所以即使同一个房间内存在多个WiFi 无线网络设备,也不会对人体产生太大的影响。
总之,只要无线网络设备符合国际标准,实际工作在FCC 规定的安全发射功率范围之内,就不会对人体健康产生影响。
5.4.2. 无线网络对医疗仪器的影响
无线网络与医疗仪器的相互干扰和影响取决于设备的摆放位置、发射频率、输出功率,以及设备自身的抗干扰能力。研究表明,如果设计合理,无线局域网设备不会与医疗设备产生影响。
(1)无线局域网设备在调制方式、所用频段上不会与医疗设备产生冲突。无线局域网采用了扩频的调制方式,扩频通信系统是将要传送的信息在比信息带宽宽十倍甚至数百倍的频带上传送,在接收端通过相关接收进行解扩,将传输的信号进行恢复的通信系统。由于其具有一定的抗干扰性能力,故扩频通信系统的使用频段选在了自由开放的
2.4GHz 和5.8Gz 频段。该频段属微波段,是工业、科学以及医疗设备的频段。医院内医疗设备众多,但只有监护仪、微波治疗仪、微波炉等少量的设备工作在以上频段(见表:医疗设备工作频段),因而基于ISM 频段的设备有足够的频率资源实施通信,而不至于因频段拥挤造成通信失败的情况。
(2)WLAN 不会与医院内许多精密设备造成影响,医院的电磁干扰不会影响WLAN 的正常运行。医疗设备工作的环境比较复杂,所有精密设备都采取了防干扰屏蔽措施,自身抗干扰能力强,一般的电磁干扰不会影响设备正常运行。而WLAN 设备的输出功率在60mW~100mW 之间,比GSM 手机的功率小得多,对医疗设备更不会产生响。根据国家关于无线通信的频段分配,无线局域网的设备都工作于2.4GHz 或5.8Gz 这两个频段,而医疗设备多工作于100MHz 以下和红外线以上两个频段,由于在工作的频率和采用的调制方式差异较大,因此二者不会产生相互信号干扰。像核磁共振机、X 光机、CT 机、高频电刀等虽然是干扰源,产生的干扰功率可观,频谱宽度大,但此类设备一般工作在良好屏蔽的房间之内,并且产生的宽频干扰信号在空间扩散时衰减也非常快,因此无线网络只要不处于同一房间之内,一般不会造成受影响中断通信的问题。对一些使用ISM 频段甚至是使用无线局域网技术的医疗设备如无线心电监护仪等,由于存在技术上的兼容性,在使用时可以在参数设置上避免相互之间的数据干扰,保证双方设备的正常通信。
表:医疗设备工作频段
300M 以下 | 300M~3G | 红外线以上 |
B 超(普通) | 监护仪 | 红外乳腺诊断仪 |
心电图机 | 微波治疗仪 | 理疗仪 |
脑电图机 | 微波炉 | 测温仪 |
心脏起搏器 |
| X-刀 |
呼吸机 |
| 准分子激光治疗仪 |
高频电刀 |
| 二氧化碳激光治疗仪 |
短波治疗仪 |
| X 光机 |
脉冲治疗机等 |
| γ刀等 |
德国科隆大学附属医院对该院使用普通手机的心脏起搏器携带者进行了研究,科学家经过反复试验发现,手机与起搏器保持25 厘米以上距离时,起搏器功能基本不受手机干扰;那么更低功率的无线网络不会对患者的健康造成危害,也不会影响到心脏起搏器的正常工作。
REDWAVE技术人员在医院对无线网络与医疗仪器之间的干扰问题做了严格的测试,根据美国国家标准协会(ANSI)标准C63.4 中规定的关于设备及环境测试中的最小距离,测试从WLAN 天线距离医疗设备最小的10cm 开始测起,在以医疗设备为圆点的360 度的圆周上至少选择4 个点做测试。严密的测试结果表明:心电图仪、心电检测仪、睡眠检测仪、心脏起搏器等,在10cm 、20cm 、50cm 、100cm 、300cm 测试点均无干扰和影响;总之,只要无线网络设备符合国际标准,实际工作在FCC 规定的安全发射功率范围之内,就不会对人体健康产生影响。另外,实验证明,只要在构建无线网络之前对部署环境进行严密的测量,对无线设备的摆放位置进行合理的设计,采用恰当的发射功率,WLAN 不会对医院内的精密医疗设备造成影响,医院的各类仪器电磁干扰也不会影响WLAN 的正常运行。
5.5. Moto无线网络系统组网方案优势
1. 最高扩容性及投资保障
Motorola的无线交换功能,支持本地转发,用户数据并不一定到 (WLAN)无线交换机作中央处理。避外网络瓶颈限制。更可在 AP 上进行数据本地交换,WLAN 无线交换机减轻数据包处理重担,专注流量及安全政策管理。结果是:更少无线交换机可管理更多AP。网络数据流量减少、时延更短,因为数据不需送回到无线交换机去作中央处理。
有些厂家试图用多个无线交换机,分布在网络上,解决网络数据流量问题。但费用过高,更带来安装位置、耗电、热量及多占 LAN端口等问题。复杂了配置及管理。
Motorola 的无线交换机更是不需硬件升级,便可支持 802.11n AP, 保障您的所有投资。
Motorola无线网络系统作为与拓扑无关的组网方案,使得整个无线网络有着更强的伸缩性,为今后网络的升级和扩容,以及机房整体迁移到办公楼内提供良好的可扩展性。
Motorola 无线网络系统能够自动对所有AP进行自动固件升级、统一配置及统一优化,并可以对AP进行监控、报警及故障定位,简化了管理和断网维护时间,保障网络的健康稳定运行。
2. 超级的负载均衡及容量管理
Motorola WinG5 的独特功能,可在更少无线交换机,同样数目的AP 情况下,比其他产品,容纳多达 30-40% 在线用户。
无线终端面临二大上网问题:
A、 “前门”效应 – 在多个同等值AP环境下,多数向单一AP连接。
B、 缺省设定用2.4G ( 802.11b/g) 标准,导致 2.4G 频段极为拥挤,但 5G 频段甚少用上。
Motorola 会用动态射频管理及用户负载均衡,分散用户到不同AP。更有专属功能,监察频段,强制有5G 制式的终端设备去利用 802.11a 标准上网。
Motorola 的无线交换机群可以集群部署 ( Cluster),较少负载的无线交换机可动态接管较高负载交换机的 AP。
Motorola 支持以用户、SSID及应用的 QoS 、带宽管理,确保用户上网之表现。
3. 更快、更安全的漫游
在医疗、生产及零售等高要求网络中,无线网络 (WLAN)愈来显得重要。如果用户在大楼间移动,而应用经常中断,这是不可接受的。无中断漫游是成功无线网络建设的基本要求。不幸地,无线并不代表移动…正如移动手机….真正价值在于漫游,在车内、在商场、无论何地,不能中断。你当然觉得手机在无信号掉线时难受! WiFi 漫游是复杂的,它不单是从一个AP到一个AP连线。它需要一个楼层到另一个楼层,一幢大楼到另一幢大楼,从AP到交换机之间无干扰漫游,保持一致的安全、QoS、带宽及权限。
问题是其他厂家产品,如何做到?
其他厂家产品依靠所谓 :“家”交换机(home Controller)设计,作为用户会话基地,保持会话安全密钥。用户漫游到其他交换机,因没有相关资料,要网上寻找交换机拿会话安全密钥。造成长延迟及掉包情况,对话音做成影响。
相反地,Motorola 采用独家 “分散安全认证”技术。没有“家”交换机限制。用户上网认证后,会话安全密钥会传到同一无线域 (Mobility Domain)的交换机上,所以漫游后不需网上寻找交换机拿会话安全密钥。结果是:更快、更可靠的漫游 – 更是户内/户外整网一体。
Motorola无线网络系统基于用户的访问控制策略使得用户的权限被映射在整个无线移动域中,而不受用户漫游到其他区域而失效。
4. 高质量话音网络结构
话音是无线网络的重要应用。当 Voice Over IP 在企业中大行其道时,超过40% 大型企业,计划在2010年前,应用在无线网络上。但在所有应用中,话音是对时延及时延抖动最为敏感。但Motorola 的智能无线,支持本地交换。手机话音流量可以从最短路径,直接相连,而不需要往返经过交换机。这与 SIP规范结构相符。Motorola 网络对话音时延最短。根据第三方测试结果:Motorola 网络比其他厂家产品在大流量情况下时延短6 倍,时延抖动少15 倍。
除话音质量外,Motorola 交换机可作集群 ( Cluster)冗余备份,支持无中断撤换。不对话音影响,无掉线、无杂音。
在安全方面,无论数据或话音,都支持最安全的 WPA/WPA2标准。
5. 户外/户内网络一体化
户外AP与户内AP要求不同。户外AP 通常都会使用 Mesh/ Bridge 功能,取代光纤或铜线户外长距离连线功能。但带宽不够充裕,所以路由一定小心处理,减少数据不必在长途线上往返。
Motorola 的智能无线,支持本地交换,有最佳表现。
多数其他厂家户外/户内产品分开,做成户外/户内分网。分开交换机,分开网管,用户数据一定要往返中央处理。
Motorola 网络户外/户内设备统一,在结构上、应用功能、射频计划及管理上,都是一体化。
6. 最高可靠性、永不停机结构
当无线成为新一代机构网络接入层,可靠性是最高要求。
Motorola 无线网络解决方案中AP部署不受网络拓扑及VLAN子网划分的影响,无需改动企业现有网络拓扑结构。
Motorola 无线网络解决方案中AP支持多达大个64个SSID,可以集成更多的业务策略,并保持一定的扩展性。
多数其他厂家 ( 像 Moto 一样),建设元器件备份功能:AP双连线、双电源、链路集成等等….但没有一家如Moto在系统层面结合先进有线网络提供灵活备份。
其他网络典型地提供一对一或多对一备份。缺点是:很难做到备份设备与运行设备配置同步。再者,要经常定期检测备份设备,或实行撤换。备份设备99%处于空闲时间,直至备份需要撤换时,才知软件版本或配置不符。
Motorola 支持交换机集群 ( Cluster Configuration),多个交换机互为备份。每机记录其他交换机配置。如此一来,所有交换机一起工作。如任何一机有故障,其他交换机可立刻分担它的工作。除了备份以外,交换机可以停机作维修或升级。对网络毫无中断影响。
当交换机恢复工作后,自动分配原来负载。
Motorola 又有最先进户外 Mesh 技术,提供快速链路恢复、自动负载均衡、自我优化及路由重组等功能。又有洪水(flood)控制,流量过滤提高链路带宽效率。
7. 超级安全防护功能
Motorola的Airdefense防御系统解决方案支持多种迄今为止最为先进的用户身份认证及安全加密策略,能够有效的防止黑客入侵对网络及用户造成的危害。
Motorola无线网络系统具备完善的无线信号监控与入侵检测功能,能够自动对整个网络进行优化以及防止非法信号的干扰及入侵,保护网络的安全。
Motorola提供最佳入侵防御方案。
如多数其他厂家,Motorola 无线交换机具有40多种基本入侵检测及防御功能免费提供给用户。但只有Motorola将业界最先进的 WIDS/WIPS- AirDefense 功能集成于同一网管平台上。AirDefense 更利用 Moto AP作为网络探针,系统可以堤供多达 250多种入侵检测及防护特征库,而节省50%之探针花费。
当检测到入侵,Moto AP可按需要转化为探针。对入侵进行定位,制压及采集入侵数据。俩个系统集成,从单一终端管理、简化配置,IT及保安人员,得到一致入侵信息。