需求分析

 

  医院信息化建设向移动终端延伸的概念在国内已被提出多年，希望借助无线网络技术，建设数字化医院的无线医疗系统，以提高医院数字化应用水平，优化医疗护理质量，保障医疗安全，从而更好地服务于患者。

 

  在传统有线网络中，电子病例(EMR)只能在有线设备上查看。在查房时不能及时发挥做用，医生下遗嘱需要进行记录和传递。而在无线医疗系统中，查房医生可使用手持设备进行患者身份核对、患者病例查询及下医嘱等工作。

 

  无线医疗系统中具有优越的移动性优势，既可以帮助医护人员随时随地访问电子病历(EMR)，核对患者身份，获取患者的相关历史信息，并对病历和医嘱的执行进行实时更新，提高其准确性。因此可以充分发挥医疗信息化的优势，提高医护质量，消除潜在的医疗事故。

 

无线网络的功能定位

 

  ARUBA认为医院无线网络建设应当“面向未来，统一规划，分步实施”，医院当前正处于大规模的基本建设中，无线网络作为一种重要的网络基础设施，必然也是未来基本建设的重要组成之一。无线网络建设应站在一定高度，本着满足未来5－10年无线迅速增长和安全的需求出发，应当具备以下功能：

 

一、无所不在的无线接入网络

• 提供真正的移动性，无线企业网络吸引人的一个特点是移动性——用户可以在医院的任何角落，室内室外，病房或手术室之间自由移动并和网络保持持续连接。允许用户在医院覆盖区内无缝漫游，无需频繁地登陆和退出。高速无线的方式覆盖整个医院门诊和住院部区域，让医生和护士体会到无线局域网给带来的好处和便利。
• 在医院大规模部署无线网络还可以作为医院有线网络的链路备份，在有线网络发生故障或者拥塞的情况下负担部分网络流量。

 

二、随时随地的访问医院HIS系统

• 配合医院现有的医疗管理系统（HIS），利用无线网络，医生和护士在病房，诊室，急救室，手术时可以不必带着沉重的病例资料，医生/护士在病区的任何地方，都能轻松通过手持终端，移动病历车，或PDA访问部署于网络中心的HIS系统，快速及时的调阅海量存储的电子病历。对于特级护理的病人，可通过无线网络随时查看患者监控数据和病情状况。在查房的过程中，医生或者护士可以通过无线网络将患者的各项数据输入后台数据库中，并可以通过无线网络随时查询患者的即往病史、过敏史等关键资料，可以通过计算机核对处方药品及处置方式是否正确等等。

                                 

• 利用无线网络，药剂师将适时的根据医生制定的药剂配方，正确的配置药品剂量。可以避免看不清楚或看错医生的处方而造成不必要的医疗差错。
• 对于突发性情况，比如接到具有特殊情况的病人，专家可以不必寻找电脑去查找资料来帮助诊断，可以通过无线网络立即上网查询，没有一分钟的延误。
• 医生或护士可以在中心对大型设备（心脏监护仪/新生儿监护仪等）的数据作实时的监控，并可远程管理

 

 

• 护士也可通过手持PDA扫描在患者身上的腕带式条码，获取病人的用药信息和医嘱。

 

三、安全可靠无线网络

• 无线网络更需要注意安全性，以为整个无线网络暴露在空气之中，都易受大量安全风险和安全问题的困扰。因此，建设无线网络一定要注重无线侧安全的建设与保护，其中包括： (1) 来自无线网络用户的进攻； (2) 未认证的用户获得存取权； (3) 来自外部的窃听，(4) 来自无线专用工具的攻击。建成的无线网络很好地融合进原有网络安全解决方案体系中，并根据无线网络的安全技术特征，补充具有多层次的安全保护措施，以满足用户身份鉴别、访问控制、可稽核性和保密性等要求。

 

四、提供高质量的WIFI电话服务

• 使用方便：

如果说VoWLAN节省话费的特点是继承自VoIP的话，那么使用方便则是他对VoIP功能的提升。众所周知VoWLAN是基于无线网络的，也就是说所有语音通讯都可以实现无线，语音通讯设备也从传统的类似与固定电话的VoIP电话机转变为类似于手机的VoIP手机。这样用户就可以实现拿着VoWLAN手机在医院内部任何一个地方随意通话，同时可以更快的找到相应工作人员处理一些紧急事务。这点是以前有线网络中VoIP无法实现的。

• 部署VOIP所带来的优点

增强的生产率。从在场检测和即时消息发送到自组网多会议，VoIP 正在促进新一级的即时团队协作，减少了跟踪临床医生和信息所耗用的时间，并向管理通信的用户提供了单一的界面。

优化患者服务。通过改善患者数据集成、支持应用程序和语音提供更高效、统一和自动化更高的服务，临床医生具有更好的工作环境，有更多时间参与患者诊断。

• 灵活的机动性

通过无线局域网的VoIP 技术，可在医院的任何地点进行通话，对大型医疗设备和病人的辐射远远低于GSM网络。

 

五、无线网络的实时管理

• 统一方便容易管理。医院IT网络管理部门需要管理很多员工以及行政人员。因此尽可能通过网管工具开展配置和网络监控工作，迅速发现和解决问题。无线网络管理软件应能统一管理所有无线AP和交换机，，且能合理分配各种网络资源。对无线网络攻击进行管理和压制。
• 从设备管理角度来说，需要对各种无线设备的放置地点、配置参数等信息进行详细记录与管理
• 从安全管理角度来说，需要具备发现和快速处理假冒AP与无线DOS攻击的方法和能力。
• 从性能管理的角度来说，网管能充分了解和分析无线网络的一些具体性能指标，如Channel 信号强度/质量、网络实时性能－吞吐量、各AP的流量等。

 

1.1医院无线局域网的整体架构

无线局域网技术经过十几年的发展，已经历了三代技术及产品的发展。

无线局域网技术采用单纯的AP实现无线接入外，基本上没有其它功能。

无线局域网技术，采用AC＋智能AP构架，AC两者实质均为二层设备，AP实现接入、AC实现汇聚和认证功能，有的厂商的AC实现了二层网络交换，具有基本的网络的控制和用户的管理，如：WEB认证、流量的控制、访问的控制等；支持VLAN、VPN、WPA等基本的安全管理，它们无法实现对无线电磁波层面的调控和优化。

由于这一代技术的AP储存了大量的网络和安全的配置，包括加密的钥匙，Radius  client的安全密钥等，而AP又是分散在建筑物中的各个位置，一旦AP的配置被盗取读出并修改，其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的，所以当用户接入数量增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。

第三代无线局域网技术采用无线交换网络架构（以ARUBA为代表），实现了基于无线网络交换机，以AP为单元交换的无线网络系统，ARUBA是采用独立的无线网络交换机实现的。

作为第三代的ARUBA无线系统采用了Wireless Switch＋AP构架，将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现，同时加入了许多重要新功能，诸如无线网管、AP间自适应、无线安全管理、RF监测、无缝漫游以及QoS保证等。

对于未来整个医院无线局域网覆盖的需求，本方案建议采用ARUBA的WLAN 产品，采用集中式、可管理架构的无线局域网解决方案来实现未来医院病区的无线覆盖要求。

 

 

安全保障的无线网络的重要性

 

ARUBA从网络设计者的角度来看，对于医院大规模部署无线网络，必须对无线网络的安全性加以重视，ARUBA建议从以下几方面做到全方位的安全保证：

• 集中的安全管理

    ARUBA无线系统的安全管理是将防火墙、VPN、安全认证、防病毒、无线入侵监测IDS以及RF 电磁波管理等多项安全功能汇聚到ARUBA无线控制器上来完成的，解决了传统的无线网对安全的分散管理（AP、AC）和能力，给用户带来的不安全感，摆脱了对有线网安全的依赖性。

• 多种用户认证方式组合

在ARUBA无线系统中，一个无线用户进入无线网以后，只会拿到一个基本的入网权限，这个权限不容许用户访问任何网段，只让用户通过DHCP获取IP地址、传送DNS协议数据包，通过认证以后才可以接入无线网。

    ARUBA无线系统支持目前各种用户认证的方式（802.1X、WEB认证、MAC、SSID等），企业用户可以根据需要方便选择。

• 无线访问控制（可选license模块）

用户状态防火墙是ARUBA无线控制器的独特功能，它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有用户这概念，它的保护只是基于IP地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效是不大。ARUBA无线系统的防火墙功能则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的用户状态防火墙，不同的无线用户有不同的防火墙策略，例如领导和工作人员可以使用更多的服务，而访客只可以浏览网页、收发Email等，这样可以极大方便企业用户的安全管理。

• 安全的AP技术

    ARUBA无线系统和其它厂家在无线接入的认证和加密上区别是前者不是通过AP，而是在ARUBA无线控制器上实现。由于ARUBA的AP是不储存任何网络配置（IP地址除外）和安全设置，因此ARUBA 管理的AP是不能单独工作的，因此获得或接入ARUBA的AP，黑客也不会拿到无线网的网络和安全配置参数和信息。

• 无线接入点安全侦测和保护

采用ARUBA 无线系统的RF侦测功能和保护机制可以实时监测企业无线网覆盖区域内的所有AP接入情况,如相邻房间的AP、设置错误的AP以及未经认可而连接到网络中的AP。通过ARUBA 的网络安全管理系统，网络安全管理人员可以及时发现是否有非法的AP接入，发现后可以开启自动保护机制，阻止无线终端通过非法AP联接到无线网中。

• 无线网络入侵侦测IDS（可选license模块）

今天已经有很多的无线入侵和攻击的工具可从网站下载，这些工具的普及对企业、和运营商的无线网的安全构成很大的威胁。今天绝大部分的无线局域网都没有侦测无线入侵的功能，所以当受到像无线DOS攻击时，就会误以为是无线电波的信号受干扰或AP出现不稳定情况。这些攻击在HotSpot会导致用户的无线连接断线，但网管中心仍然不知，用户则误以为是网络问题，间接影响无线网系统的品质。

ARUBA 无线系统的特点是交换机由专有的网络处理器和加密处理器组成，且内置一个无线入侵模式库，实时检测异常的无线数据包，当ARUBA 无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动保护响应。

• 无线接入的病毒防护（可选license模块）

    ARUBA无线系统针对无线终端的病毒防护分为两个层面，一、无线终端的准入检查；二、对无线终端发出数据进行有效的检查和监控。

无线终端病毒防护的第是准入检查，当无线终端连接到ARUBA无线系统中，试图访问网络，在用户认证之前，需要下载一个基于JAVA的程序，可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况，做一个检查，如果不能通过检查，可以设定策略禁止其访问网络，也可设置成将无线用户重定向到一台升级服务器，打系统补丁、安装防病毒软件和升级病毒定义码，满足系统制定的安全策略以后，该无线终端才可以进入认证环节进行用户的认证。

当无线终端通过了准入检查，但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。ARUBA公司和第三方的防病毒墙厂家合作，在ARUBA无线控制器上可以设定策略，某些用户，以及某些可能沾染病毒的数据，ARUBA交换机会将其重定向到防病毒墙上进行防病毒检查，检查完成后，才允许通过，否则会将数据丢弃。

基于上述两个层面，ARUBA无线局域网系统对无线终端进行有效和方便的病毒防护。