《数字化医院硬件设备及网络设计方案.docx》由会员分享,可在线阅读,更多相关《数字化医院硬件设备及网络设计方案.docx(30页珍藏版)》请在三一办公上搜索。
1、数字化医院硬件设备及网络设计方案1 .概述医院需针对服务器、存储、数据安全、网络设备、网络安全等方面,做全院级数据中心基础设施的升级优化、综合安全加固,构建一套科学先进、安全高效的硬件网络运行平台。一方面为数字化医院信息系统软件的稳定运行提供可靠保障和支撑,另一方面在医院管理需求层面为省卫生计生委的数字化医院评审、信息安全等保评测,做好各项准备工作。2 .基本结构数据中心是数据的采集,存储和利用中心。数据中心一般包括服务器、存储设备、灾容备份等。3 ,服务器和存储规划及标准建议采用基于盘柜的虚拟化、分层存储系统,实现存储的集中管理和整体容灾,改变传统或现有的“基础服务器独立、分散式存储二卫生部
2、在基于电子病历的医院信息平台建设技术解决方案LO版对存储和服务器有明确的要求。其中EMR服务器和LIS服务器可与HIS部署在一起,PACS为单独服务器,要求需双击集群。根据相关标准文件,对比医院服务器参数,符合相关规定则不需更换,如缺少的服务器或不达标的服务器参照以下标准。3.1 服务器编号设备名称数量参考配置1数据库服务器2可选小型机或高端PC服务器,配置分别如下:小型机配置:机架式8或16路服务器至少4*L6G64位双核以上RISCCPU或EPlCCPU,可扩充至8或16路编号设备名称数量参考配置 32GB,可扩至2256GB,支持内存镜像,内存保护 300GB容量硬盘N2块硬盘转速210
3、0OOrpni,SCSI320或串行附加SCSI(SAS),最多可支持6块以上硬盘,支持RaiC1-0、1、10、5、6 4块100/1000MbPS自适应千兆以太网卡 2块双口4Gb或8Gb光纤主机适配卡(HBA)卡 双机集群软件 支持预测故障分析可测电源,内存,硬盘,VRM,处理器,风扇 支持逻辑或硬件分区技术 系统管理:配置远程管理适配器高端PC服务器配置 机架式4路6核服务器至少4颗InteIXEONE74606核处理器,2.66GHz,16MB高速缓存,90W;或相当性能的AMDCPU编号设备名称数量参考配置 232GBFBD全缓冲内存,可扩至2256GB,支持内存镜像,内存保护 3
4、00GB容量硬盘N3块硬盘转速ei5000rp,SAS接口,最多可支持5块以上硬盘,支持Raid-O1、10、5、6 4块100/1000MbPS自适应千兆以太网卡 2块双口4Gb或8Gb光纤主机适配卡(HBA)卡 双机集群软件 支持预测故障分析可测冗余电源,内存,硬盘,VRM,处理器,风扇 系统管理:配置远程管理适配器2PACS服务器2 机架式四路服务器 至少4颗INTELXEONE7440处理器,2.4G,16MB高速缓存,90W;或相当性能的AMDCPU 16GB全缓冲内存,可扩至N256GB 3颗300G15000转SAS硬盘 2*1000/100网口, 2个4Gb或8Gb光纤主机HB
5、A卡编号设备名称数量参考配置 双机集群软件 支持预测故障分析可测冗余电源,内存,硬盘,VRM,处理器,风扇 系统管理:配置远程管理适配器3WEB服务器2机架式X86两路服务器至少相当于INTELXEON四核E5530处理器,2.4G,8MB高速缓存;或相当性能的AMDCPU 28GB全缓冲DDR2内存,可扩至264GB,支持内存镜像,内存保护 300GB容量硬盘,2块,硬盘转速215000rpm,串行附加SCSl(SAS),3Gbs,最多可支持6块以上硬盘,支持Raid-0、1、10、5、6 2块1001000Mbps自适应千兆以太网卡 配齐热插拔冗余电源和风扇1个DVD-ROM 支持预测故障
6、分析可测(电源,内存,硬盘,VRM,处理器,风扇) 系统管理:配置远程管理适配器4安全认2机架式两路服务器编号设备名称数量参考配置证服务器 至少相当于INTELXEON四核E5530处理器,2.4G,8MB高速缓存;或相当性能的AMDCPU 8GB全缓冲DDR2内存,可扩至264GB,支持内存镜像,内存保护 300GB容量硬盘22块,硬盘转速215000rpm,串行附加SCSI(SAS),3Gbs,最多可支持6块以上硬盘,支持Raid-0、1、10、5、6 2块1001000Mbps自适应千兆以太网卡 配齐热插拔冗余电源和风扇1个DVD-ROM 支持预测故障分析可测(电源,内存,硬盘,VRM,
7、处理器,风扇) 系统管理:配置远程管理适配器5备份管理服务器1机架式X86两路服务器 至少相当于INTELXEON四核E54402.83G处理器22路,12MB缓存;或相当性能的AMDCPU 216GB全缓冲DDR2内存,可扩至264GB,支持内存镜像,内存保护编号设备名称数量参考配置300GB容量硬盘22块,硬盘转速215000rpm,串行附加SCSI(SAS),3Gbs,最多可支持6块以上硬盘,支持Raid-0、1、10、5、6 2块1001000Mbps自适应千兆以太网卡 配齐热插拔冗余电源和风扇1个DVD-ROM 支持预测故障分析可测(电源,内存,硬盘,VRM,处理器,风扇) 系统管理
8、:配置远程管理适配器 1块4Gb或8Gbps光纤主机适配卡(HBA)卡6应用服务器根据需要配置 机架式X86架构两路服务器 至少2颗INTELXEONE5540处理器,2.53G,8MB高速缓存;或相当性能的AMDCPU 16GB全缓冲内存,可扩至N128GB 3颗300G15000转SAS硬盘 2*1000/100网口, 2个4Gb或8Gb光纤主机HBA卡(可选,根据实际需要确定是否配置) 双机集群软件编号设备名称数量参考配置支持预测故障分析可测冗余电源,内存,硬盘,VRM,处理器,风扇系统管理:配置远程管理适配器3.2存储设备编号设备名称数量参考配置1存储设备1 阵列控制器标配2个控制器实
9、现冗余,控制器主机接口28个光纤接口,24个iSCSI以太网接口标配2个控制器实现冗余,2个64位CPU,每个CPU主频22.2GHz,带有专用的操作系统 存储系统可无隙支持下一代IOGBiSCSI和8Gbps存储连接,并提供相应相同速率接口。 阵列高速缓存当前配置阵列高速缓存216GB编号设备名称数量参考配置断电数据保护磁盘阵列断电时,使用存储系统专有UPS,写Cache内容在电源全部丧失的情况下备份电源支持将其写入磁盘专门区域保存硬盘,支持固态硬盘SSD,支持驱动器降速当前容量配置220TB,单块磁盘转速不彳奸15000转,最大支持100TB以上,支持2048个LUN以上。 RAlD支持类
10、型支持RAlD0、1、0+1、5、6 高可用性配置热插拔冗余电源 支持操作系统支持MiCroSOftWindOWS(NT、2000、2003)、Linux、AIX、SOLARISHP-UXVMWare等多种操作系统 扩展性最大可扩展至240块或以上硬盘 兼容性同时支持固态硬盘/光纤磁盘/SATA磁盘,支持固态硬盘、FC硬盘和ATA混插的分级存储管理 配套软件阵列配置管理软件编号设备名称数量参考配置 存储系统故障诊断软件; 主机通道自动故障切换和动态负载均衡软件 数据卷动态扩容软件,扩容过程对应用透明 管理服务支持Web远程管理,提供在线报警,并支持CalI-HOnIe功能 支持基于存储系统之间
11、进行远程数据复制,可实现备份、远程容灾2磁带库可选LTO4磁带库,支持混装,至少4个LTO4驱动器盒式磁带插槽的数量N80,单带非压缩容量2800G, 光纤SAN接口 支持例行备份过程,自动为每日的备份工作装载新的磁带 可在管理软件的支持下实现智能恢复、实时监控和统计4.网络设备编设备名数参考配置号称量编号设备名称数量参考配置1路由器1 总插槽数总插槽数巳9 业务插槽数业务插槽数28 交换容量32Gbps 整机包转发能力6Mpps; 引擎、电源冗余支持1+1冗余,需要配置双交流电源 热插拔接口模块支持热插拔 主控板内存512M 接口类型支持同异步串口、EKE3、FE、GE、155MPOS155
12、MCPOS155MATMo 整机最大FE接口234个,配置需提供8个FE电口 整机最大GE接口6个,配置需提供2个GE接口 整机最大POS接口155MPOS接口数量212 链路层协议支持ATM、PPP、MP、HDLCETHERNET等链路层协议 路由协议支持RIP、OSPF、BGP-4、IS-IS等路由协议编号设备名称数量参考配置 路由表容量260万 MPLSL2VPN同时支持MartiniKompellaMPLSL2VPN MPLSL3VPN支持MPLSL3VPN,能承担P/PE设备。支持一:种跨域实现方式。 组播支持IGMP协议,支持静态组播配置,支持PIM-DM/SM、MSDPMBGP组
13、播路由协议。 NATNAT性能达到千兆双向线速转发 QOS提供完善的QOS机制。支持PQ、CQ.WFQ.CBWFQLLS/NLS、PBS等调度技术,支持WRED拥塞避免机制。 业务控制支持深度业务感知,能够对BT等P2P业务流进行控制和限速。 可靠性支持IP/MPLS快速重路由、虚拟路由冗余协议(VRRP)o提供软件热补丁技术,实现设备软件完全平滑升级;采用无源背板设计。 管理特性支持CLI、SNMPV1V2V3RMON1/2/3/9;提供多语言帮助支持编号设备名称数量参考配置IPV6提供IPV6的支持认证提供工信部入网证书2光纤交换机224口机架式,24端口,24Gb或8Gb带宽,全双工,配
14、置链路负载均衡和自动切换软件3核心层交换机2背板带宽21400Gbps,交换容量2720G,包转发率性能2400MPPS 转发架构全分布式转发架构。 支持电源冗余11,支持主控板冗余1+1 业务插槽数量(配置冗余主控之后)27 支持接口类型10100BaseT百兆光口(单模、多模)、GE(电口、光口)、IoGE。每核心交换机需要配置24口千兆电接口与24口千兆光接口模块各一块。 支持IPV4和IPV6双协议栈 业务特性支持嵌入式硬件加速防火墙、流量统计等特性,配置防火墙模块一块。 可靠性支持IEEE802.17RPR 最大万兆接口数44编号设备名称数量参考配置 最大千兆接口数384 VLAN特
15、性支持基于端口的VLAN,802.IqVIan封装,最大Vlan数N4096,支持GVRP MAC地址表64K 带宽控制支持带宽控制,控制粒度PORTAL认证 VPN支持L3MPLSVPN组播协议支持GMRPPIM-DMPIM-SMIGMPIGMPSnooping等协议路由协议支持静态路由、RIPV1/V2、OSPF、编号设备名称数量参考配置isIS、BGP 等值路由支持ECMP等值路由(4条) 生成树协议支持STPRSTPMSTP协议 安全特性支持IP+MAC+PORT任意组合的绑定,支持非法帧报文过滤,用户分级管理和口令保护,支持端口隔离,支持SSH,支持SNMPv3网管 认证提供产品型号
16、的工信部入网证书4汇聚层交换机根据需要配置 背板带宽2280G,父换容量2190G,转发性能N48Mpps; 支持电源冗余Nb支持主控板冗余1+1 可支持接口类型10/100BaSeT、百兆光口(单模、多模)、GE(电口和光口)、IOGE 总插槽数7 业务插槽数量(配置冗余主控之后)N5 最大万兆接口数量22 最大千兆接口数量N240 流分析功能支持通过硬件板卡实现网络流量分析功能编号设备名称数量参考配置 PoE支持802.3af协议(配置POE电源后支持POE供电功能) VLAN特性支持基于端口的VLAN,802.IqVIan封装,最大VIan数24096,支持GVRP MAC地址表32K
17、带宽控制支持带宽控制,控制粒度W64Kbps 基本功能端口镜像;流量控制/802.3x;链路聚合; QoS优先级队列调度:支持优先级队列,支持拥塞避免、流量整形,支持802.IP,DSCP/T0S优先级和重新标记能力,支持基于时间段的流分类和QoS控制能力 认证协议特性支持IEEE802.IXSever 组播协议支持GMRPPIM-DMPIMTM、IGMP、IGMPSnooping等协议 路由协议支持静态路由、RIPV1/V2、OSPF、IS-IS、BGP 等值路由支持ECMP等值路由(4条) 生成树协议支持STPRSTPMSTP协议编号设备名称数量参考配置安全特性支持IP+MAC+PORT任
18、意组合的绑定,支持非法帧报文过滤,用户分级管理和口令保护,支持端口隔离,支持SSH,支持SNMPv3网管,中文图形化管理网络接口提供48口10/100/1000M以太网模块5块,单模光纤模块2块。认证提供产品型号的工信部入网证书5接入层交换机根据需要配置 背板带宽232G,交换容量17G,转发性能13Mpps; 可支持接口类型FE、GE(电口、光口) 固定百兆接口数48 路由协议支持静态路由、RIPV1/V2 千兆光接口数量4(可以同时使用) 认证协议特性支持IEEE802.IXSever 带宽控制支持带宽控制,控制粒度64KbPS VLAN特性支持基于端口的VLAN,802.IqVIan封装
19、,最大VIan数,4000,支持GVRP MAC地址表28K堆叠特性堆叠数量,8,堆叠设备支持IP地编号设备名称数量参考配置址统一管理;链路聚合最大支持8个FE口或4个GE端口聚合;组播协议支持IGMPSnooping QoS优先级队列调度:支持优先级队列,支持拥塞避免、流量整形,支持802.IP,DSCP/TOS优先级和重新标记能力,支持基于时间段的流分类和QoS控制能力 生成树协议支持STPRSTPMSTP协议、 安全特性支持IP+MAC+PORT任意组合的绑定、用户分级管理和口令保护、SSH DHCP支持DHCPClient/DHCPRelay/DHCPSnooping 设备管理SNMP
20、V1/V2/V3;RMON1/2/3/9;Syslog;支持WEB网管,支持MIB-11认证提供产品型号的信息产业部入网许可证5.网络安全设备编号设备名称数量参考配置1防火墙(内网、外网各部署两个)4 路由协议支持静态路由、RIPVI/2、OSPF.BGP策略路由 体系架构必须采用专用硬件平台(非PC架构);必须采用自主研发的专用的安全操作系统平台,非通用操作系统平台。 接口N6个10/100/1000M以太网电口,6个千兆SFP光口插槽 最大支持端口数28个10/100/100OM以太网端口 可扩展性N4个扩展槽 加密性能800M 吞吐量6000M 并发连接280万 状态报文过滤支持FTP、
21、HTTP、SMTP、RTSP、H323协议簇的状态报文过滤,支持时间段安全策略设置。 VPN必须支持IKE/IPSEC协议标准,支持加密算法(DES、3DES、AES)及数字签名算法(MD5、SHA-D,支持NAT穿越,支持L2TPVPN,GRE编号设备名称数量参考配置VPN,IPSeCVPN等多种VPN协议抗攻击能力要能够抵抗包括LandSmurfFraggleWinNukePingofDeathTearDropIPSpoofingARPSpoofingARPFlooding、地址扫描、端口扫描等攻击方式在内的攻击,能够抵抗蠕虫病毒爆发时的DoS和DDoS攻击NAT功能防火墙必须支持一对一、
22、地址池等NAT方式;必须支持必须支持多种应用协议,如FTP、H323、RAS、ICMPDNS、ILS、PPTP、NBT的NATALG功能,支持策略NAT应用层过滤功能必须支持JaVaBlockingsActiveXBlockingSQL注入攻击防范。高可靠性必须支持负载分担和冗余备份,支持双电源冗余备份。服务质量保证支持FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ等队列技术,支持WRED拥塞避免技术、支持流量监管、GTS流量整形、CAR、LR接口限速;支持BT等P2P软件的禁止或带宽限制;支持迅雷下载限制功能,可以对迅雷客户端软编号设备名称数量参考配置件进行有效的禁止;支持对即时通信软件
23、(MSN,QQ,Skype)的使用限制维护性必须支持网管软件统一网管,支持SNMPvKSNMPV2C、SNMPv3;支持CONSOLETELNET、SSHV1.5SSHV2、WEB等管理方式;支持NTP时间同步产品资质要求公安部千兆销售许可证;产品软件著作权登记证书;操作系统软件著作权登记证书;涉密信息系统产品检测证书;信息技术产品安全测评证书2千兆级入侵检测系统(内网、外网各部署一个)2网络接口4个10/100/100OM自适应电口,并最少支持2个光口扩展槽故障保护支持看门狗计时器会持续的监控安全与管理引擎,一旦系统错误被侦测到,IPS可以自动或手动的切换成Layer2的设备,确保网络不断线
24、。系统描述具有基于硬件平台的入侵检测引擎,主要功能包括IP碎片重组、TCP流重组、攻击行为统计分析、网络流量带宽管理、恶意编号设备名称数量参考配置封包阻挡、流量状态追踪和超过170种的应用层网络通讯协议分析。入侵抵御功能基于在线的部署模式,提供扩展至用户端、服务器、及第二至第七层的网络型攻击防护,利用深层检测应用层数据包的技术,可以分辨出合法与看害的封包内容。可以抵御的最大攻击数大于1800个。性能描述IoOOM的线性IPS处理性能,同时处理延迟小于毫秒,且具有高度的检测和阻挡准确性过滤器更新为了防御最新的弱点与攻击,最新的过滤器会持续的更新至IPS上,不仅能够针对特定的攻击制作过滤器,还可以
25、对变种攻击与零时差闪电攻击进行阻挡。过滤器必须支持在线更新和自动部署。最大并发连接数1,500,000每秒最大连接数20,000监控管理精确到对网络中每个IP(源、目的地址)的相关行为进行记录(时间、使用协议、编号设备名称数量参考配置带宽利用等)协议支持和流量分类支持并识别各种主流P2P应用,包括KaZaA、eDonkeyGnutellaBitTorrentBitCometPOCOWinMxDirectConnect、OverNetMP2PWinny等多种P2P应用,即使这些应用是基于动态端口的,并可以识别MSN、QQ、ICQ、YahooMessengerBP时通讯软件。管理界面支持基于Web
26、的图形用户界面(GUI),能够以简单、直观的方式显示信息,简化配置、运作和攻击的识别和分析,并可支持CLI:控制台,Telnet,SSH,SNMPMIB及MIBII产品资质要求公安部千兆销售许可证;产品软件著作权登记证书;涉密信息系统产品检测证书;国家信息安全认证产品型号证书3漏洞扫描系统2机种基于专用硬件平台,百兆机架式设备;网络接口/数量10100Base-TX,总数22;语言支持要求支持全中文的操作界面以及编号设备名称数量参考配置(内网、外网各部署一个)中文详细的解决方案报告漏洞检测能力能够扫描发现网络设备,服务器以及防火墙中的安全漏洞。对网络设备和操作系统网络层漏洞的扫描在不更改任何的
27、配置和安装任何类似探针的软件,也不需要提供任何的访问权限的情况下正常工作;可以在扫描过程中人工指定包括http、ftp等常见协议的登陆口令,使扫描器能够登陆到相应的系统中对特定应用进行深入扫描; 内置不同的策略模板如针对UnixWindows服务器, 可定义扫描端口范围,支持多种方式的口令猜测方式,包括利用Telnet,Pop3,Ftp,WindowsSMB进行口令猜测 支持超过1000条以上的漏洞检测能力,并能够进行至少每两周进行一次检测模块的升级,支持定期安全漏洞库的全自动和手动升级; 可以在扫描过程中通知被扫描的主机将要接受来自扫描器的扫描,编号设备名称数量参考配置 支持多种端口扫描模式
28、方法,如tcpconnect,synSCan等; 支持对虚拟主机系统的扫描 支持自动模板匹配技术提高扫描速度和准确率; 管理能力支持分布式部署 安全产品证书计算机信息系统安全专用产品销售许可证,国家信息安全认证产品型号证书,涉密信息系统产品检测证书4安全审计系统(内网、外网各部署一个)2 外观硬件式安全审计系统,机架式安装 网络接口4个10/100/100OM自适应电口性能千兆设备,包处理速度不小于120000pps,并发会话数目大于960000,能存储IOoO万条以上的记录,并且最少可以保存60天; 最大支持5000用户数 审计能力要求支持网页访问(HTTP)协议审计,系统能够记录访问网页的
29、时间、地址、URL等信息。能够对指定的地址进行网页还原;编号设备名称数量参考配置 支持邮件收发审计(SMTP、POP3)协议审计,记录收发邮件的时间、地址、主题、收发人等信息; 支持文件传输(FTP)协议审计,记录FTP访问的时间、地址、用户名、口令、命令等信息; 支持服务器、终端的安全审计;能对非法外联终端进行监控及阻断; 部署能力要求支持分布式部署结构,要求能够同时管理多个审计引擎,并对审计引擎的审计结果信息可以集中查询、分析。 检索能力要求能够实时检测网络中的关键词信息,并将检测匹配成功的信息进行实时告警。 系统支持关键词信息的用户自定义分组和关键词定义功能。 报表能力要求根据管理员指定
30、组合条件,如时间,协议,IP地址或IP地址网段,流量等,生成用户需要的各种图表,方便进行查询检索。编号设备名称数量参考配置 报警响应根据用户设定的报警响应条件自动进行报警响应 支持多种编码、压缩、文件格式支持多种编码方式,多种压缩格式,支持多种文件格式 用户权限管理要求可对管理员设定不同角色,并赋予其不同的操作权限,通过对这些操作权限的排列组合,可定义多个不同级别的用户 日志信息采集支持安全设备、网络设备、应用系统、操作系统等多种产品和系统的日志数据的采集和分析。 日志管理支持对多种日志格式的分类、筛选、最大效率保存;日志自动导出、导入、删除、备份、恢复、转发等日志管理功能。 日志查询支持多种
31、方式和快速的日志查询 多级部署支持多系统的级联部署方式 安全信息的实时监视和统计系统可以实时监视各类网络设备、安全产品、操作系统、应用服务产生的安全信息编号设备名称数量参考配置 统计报表支持自动生成100种以上各类安全统计和分析报表 其他要求1)支持对日志数据、审计策略、系统不同组件进行集中、可视化的管理; 2)支持本地及远程管理; 3)支持EMAIL,手机短信等多种响应方式; 4)支持对安全事件的跟踪审计; 5)支持远程升级 证书要求1、计算机信息系统安全专用产品销售许可证 2、国家信息安全认证产品型号证书 3、涉密信息系统产品检测证书5UPS1主流产品负载80KV延迟2小时含隔离变压器三相
32、进三相出6负载均衡器可选 处理器:两个CPU,CPU主频N2.4Ghz 基本内存:4GB 硬盘:80GB以上 ASIC:PacketVelocityASIC2编号设备名称数量参考配置 千兆CU端口16个 千兆光纤端口:迷你型SFP-GBIC)4个,(2个标准、2个可选),配2个千兆SFP模块 流里吞吐量:4层吞吐量210Gbps,7层吞吐量28Gbps TPS/批量加密:1个带有集成SSL卡(密钥加密和批量加密)的PCI插槽,100/20,000/2Gbps 可用性要求:支持多站点负载均衡、多服务器负载均衡和多链路负载均衡。 管理:集成的管理计算机(无人值守管理)6.操作系统和数据库系统序设备名称号操作系统1版本单位数据库Windows2008以上,正版套授权SQL2008以上,正版授权套7.其他设备 一卡通的读卡、卡片设备; 条码打印及扫描设备; 排队叫号的电子屏幕; 生成二维码支付扫描的电子屏幕; 云服务器租用,用于移动医疗的域名及备案;标签打印机及不干胶标签。
