华为敏捷网络数字医院解决方案技术建议书_v1.0

华为敏捷网络数字医院解决方案技术建议书

文档版本v1.0

发布日期2014-12-30

版权所有? 华为技术有限公司2014。保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明

和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意

您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司

地址：深圳市龙岗区坂田华为总部办公楼邮编：518129

网址：https://www.doczj.com/doc/a214481425.html,

前言

概述

本文档针对数字医院，介绍了医院总体网络架构，内外网，设备网，无线网以及数据中

心的建设方案。

读者对象

本文档（本指南）主要适用于以下工程师：

●技术支持工程师

●维护工程师

符号约定

在本文中可能出现下列标志，它们所代表的含义如下。

表示有高度或中度潜在危险，如果不能避免，可能会导致人员死亡或严重伤害。

表示有低度潜在危险，如果不能避免，可能会导致人员轻微或中等伤害。

表示有潜在风险，如果不能避免，可能会导致设备损坏、数据丢失、设备性能降低或不可预知的结果。

表示能帮助您解决某个问题或节省您的时间。

表示是正文的附加信息，是对正文的强调和补充。

修改记录

修改记录累积了每次文档更新的说明。最新版本的文档包含以前所有文档版本的更新内

容。

文档版本01 (2014-12-30)

首次发布。

目录

前言 (ii)

1 医院网络概述 (1)

1.1 国家大力开展卫生信息化建设，并取得巨大成就 (1)

1.2 项目背景 (2)

1.3 项目需求 (2)

1.3.1 有线网络建设需求 (2)

1.3.2 无线网络建设需求 (2)

1.3.3 网络整体安全需求 (3)

1.3.4 运维需求 (3)

2 医院网络总体设计方案 (1)

2.1 医院总体网络架构 (1)

2.1.1 医院整体网络设计原则 (1)

2.1.2 医院整体网络架构 (2)

2.2 医院内网设计方案 (3)

2.3 医院无线网设计方案 (4)

2.3.1 精细化的无线管控 (4)

2.3.2 全面的无线信号覆盖 (5)

2.4 医院外网设计方案 (6)

2.5 医院设备网设计方案 (7)

2.6 医院数据中心网络方案 (7)

2.7 医院便捷运维解决方案 (9)

2.7.1 统一网管Esight (9)

2.7.2 SVF，一栋楼虚拟成一个交换机 (10)

2.7.3 iPCA网络包守恒算法，实现精准化运维 (10)

2.8 医院网络方案亮点概括 (10)

2.8.1 有线无线深度融合 (10)

2.8.2 网络安全深度融合，由点及面的全网安全协防与主动防御 (11)

2.8.3 高可靠的设备级和网络级可靠性方案 (11)

2.8.4 全面覆盖和安全的无线网络 (11)

2.8.5 智能、简单的运维管理 (11)

2.8.6 可软件定义的敏捷交换机快速适应业务发展 (11)

3 医院网络技术方案 (1)

3.1 医院网络可靠性设计规划 (1)

3.1.1 设备可靠性 (1)

3.1.2 可靠组网方案 (1)

3.1.3 可靠部署方案 (2)

3.2 医院网络安全设计规划 (3)

3.2.1 物理隔离网络安全设计 (4)

3.2.2 逻辑隔离网络安全设计 (5)

3.2.3 访问控制方案设计 (6)

3.2.4 边界安全规划 (6)

3.2.5 终端安全规划 (8)

3.3 虚拟医院网络技术方案 (11)

3.3.1 虚拟医院网络技术概述 (11)

3.3.2 横向虚拟化 (12)

3.3.3 SVF超级虚拟交换网 (12)

3.3.4 虚拟系统VS (12)

3.3.5 虚拟感知 (13)

3.3.6 TRILL技术 (13)

3.4 eSight运维解决方案 (15)

3.5 故障处理 (17)

3.5.1 网络设备故障处理 (17)

3.5.2 服务器故障处理 (17)

4 设备说明 (19)

4.1 CE12800系列 (19)

4.2 S12700系列 (23)

4.3 S9700系列 (25)

4.4 S7700系列 (27)

4.5 S5700系列 (28)

4.6 A R系列 (30)

4.7 ASG上网行为管理 (31)

4.8 Web应用防火墙 (33)

4.9 下一代防火墙 (33)

4.10 eSight网管 (34)

1 医院网络概述

1.1 国家大力开展卫生信息化建设，并取得巨大成就

党和政府历来十分重视医疗卫生信息化工作。1995年5月，卫生部正式启动“金卫工程”，

“金卫工程”是在卫生部直接领导下的，在全国医疗系统颇引人注目的一项全国性工程。

它不仅将信息科学、计算机技术和通信集成应用等技术集成于医疗卫生领域，而且优化

了医疗保健服务，在医疗卫生信息网络MIN(Medical Information Network)基础之上，建

立了全国性远程医疗信息传输系统，实现了医疗机构计算机网络化。

金卫工程不仅是集成信息科学、计算机技术和通信集成应用技术于医疗卫生领域的高科

技产业，亦将优化医疗保健服务，加速实施我国医院管理及医疗卫生事业现代化建设进

程。是我国医疗卫生系统的重要基础建设，也是国家信息化建设的重要组成部分，更是

造福于国家和全国人民健康的综合性、跨世纪工程。“金卫工程”是跨世纪的国家医疗

信息网络工程。

2002年卫生部印发《医院信息系统基本功能规范》。

2003年卫生部发布《全国卫生信息化发展规划纲要（2003－2010年）》，《纲要》明确提

出：今后一段时期我国医疗服务信息系统建设的目标是在全面应用管理信息系统的基础

上，要创造条件，重点加强临床信息系统的建设和应用，如电子病历、数字化医学影像、

医生和护士工作站等；跟踪世界医院信息化发展的趋势；加快医院信息化、数字化建设

步伐。

2004年《中华人民共和国电子签名法》正式实施。

2006年卫生部组织数十家单位制订出《中国医院信息基本数据集》。目前国内各三级医

院包括部分经济条件较好的及发达地区的二级医院纷纷正在投入巨资，将医院信息系统

从以收费管理物资管理为中心的管理信息系统向以病人为中心、以“一卡通”系统、条

码技术、电子病历、医生工作站、护士工作站、PACS系统、LIS系统为核心应用的临

床信息系统快速推进。目前，一个以功能扩充或升级替换为主要特征的医院信息系统建

设的新热潮正在兴起。

经过近二十年的发展，我国医院信息系统(Hospital Information System，HIS)建设已经初

具规模。信息系统的发展经历了从单机系统、局部网络系统到整个医院信息系统的多个

阶段。特别是随着国家金卫工程的展开，已经有许多医院相继建立起医院范围的信息系

统，一些公司相继开发了商品化的整套医院信息系统并在医院推广应用。在信息系统应

用技术上，客户/服务器结构的信息系统已经成为大型信息系统的主流，使用Windows

环境和图形化的用户界面是目前医院信息系统主要采用的客户端环境，基于SQL语言

访问的大型数据库在医院信息系统中也已普遍使用。在医院院区网络建设中已经比较普

遍地使用结构化网络布线、采用以太网和快速以太网，网络交换技术也大量地使用。

经过多年的发展，目前，大部分医院已经建立起了比较正规的医院信息管理系统，实现了挂号、收费、发药，病号入院、医嘱处理、出院结算，药品的采购、入库、出库

等的计算机管理。在我国医院信息化建设过程中，建设模式也经历了医院自行开发，医

院与厂商合作开发，到现在的购买相对成熟的产品，由厂商实施的阶段。HIS帮助医院

提高了医疗服务的品质、速度和效率，同时避免了经济管理中的跑、冒、滴、漏现象。

医院信息系统所积累的大量经济、管理和医疗业务数据，为进一步的决策支持打下了基

础。

1.2 项目背景

本项目为新建大型医院的信息化基础设施建设项目，项目规划建设一个全新现代化医院，

本期已完成建筑面积约XX万平米，包含住院大楼、门诊大楼、行政大楼、儿童门诊和

体检中心，涉及病床XX张。

本项目中，医院将全面建设先进的信息化系统，既包括关于人、财、物的管理，如财务

管理、各种收费、药品药库管理和OA等，也包括临床的信息化，包括PACS、LIS、手

术室、麻醉等；信息化系统由具有专业资质的软件厂商提供，华为将根据这些系统的部

署要求，提供这些系统运行的信息化硬件基础设施，主要涉及医疗网络（有线无线一体

化、内网及外网建设、网络安全建设）。

1.3 项目需求

现代化数字医院建设需要结合业界先进的网络技术、信息技术，为医院信息化应用及发

展做全面、整体的规划。项目主要包含下面三类需求。

1.3.1 有线网络建设需求

固定网络覆盖：医技楼、住院楼、行政楼、体检及儿童门诊大楼等各楼层全覆盖，并考

虑方便未来新建大楼的覆盖。

医疗核心业务系统互通：包括HIS、LIS、PACS、药品管理系统等。

支撑外部用户对医疗门户网站的访问。

支持与医疗专网互通，包括与社保与公卫互通，未来与区域卫生平台互通等；

1.3.2 无线网络建设需求

建设全院覆盖的无线网络基础设施，包括内网和外网的无线覆盖；

满足当前主流终端的接入，兼容802.11 a/b/g/n/ac；

无线网络有有线网络实现统一管理

信号稳定，满足移动查房、移动护理等典型无线医院的应用；

考虑可扩展支持无线定位，以方便实现贵重物资、人员定位，如通过无线对贵重的医疗

仪器、设备提供即时位置追踪功能；也可以通过腕带对特殊病人的位置进行位置定位追

踪。

1.3.3 网络整体安全需求

医院网络安全面临诸多挑战，既要保障各系统的连通性，也要实现严格的安全防范。包

括：

●避免非授权的人员使用终端（如收费系统、医生工作站）；

●防止信息泄露，如医院的关键资产（防统方）及病人隐私数据；

●确保网络能避免来自网络的各种攻击：如黑客、病毒等；

整体按医院三级等保要求设计，医护内网与对外访问的外网安全隔离；不同部门及业务

之间安全隔离；提供给院内员工与外部来访人员的网络访问隔离。

1.3.4 运维需求

因医院的IT人员编制较少，常常是几个人就需要维持几千人的医院信息网络7*24小时

正常运行，因此网络的可管理、易维护非常重要；不仅是减轻运维人员压力，更重要的

是保障网络及各应用系统的稳定可靠、安全的运行。

2 医院网络总体设计方案

2.1 医院总体网络架构

2.1.1 医院整体网络设计原则

医院网络是医院业务系统关键的基础平台，承担着医院所有信息化业务的通信传输，对

医院业务稳定运营至关重要，应本着以下原则进行建设：

稳定性、可靠性、可用性

可靠性是医院网络最基本的关键诉求，包括：关键设备冗余、链路/网络冗余和重要业务

模块冗余。

关键设备冗余，包括支持单板热拔插、冗余控制模块、冗余电源。冗余网络设计，包括

双机热备，链路冗余、链路聚合。华为数字医院网络提供多种冗余技术，以及高效、负

载均衡的备份机制。

安全性

安全性是医院网络的基本诉求，包括物理空间的安全控制及网络的安全控制。除了专业

的安全设备提供的专业安全防护，基础的网络设备也需要具备一定的网络安全能力，如

防ARP攻击、防MAC等。

一方面通过安全部署保护医院内部信息安全，一方面满足等保要求帮助医院通过等级测

评。

先进性、可扩展性与实用性结合

医院网络不但需要能够满足当前需要，随着后续业务发展，未来网络也需要承载更多丰

富业务及提供更优质的服务。所以，网络的可扩展性是网络前期规划的重点。同时，采

用先进的网络设备，保证一次建成后长期的平滑升级，保护投资；不追求过分超前，

避免造成投资浪费。

为此，在网络建设中，需注意超前性与实用性结合，确保投资有效。在实用的前提下，

系统尽可能地满足各类未来演进需求，适应主流技术的变化，以确保系统的先进性。

可维护、可管理性

网络可管理性是医院网络易于运维的基础。医院运维管理人员应该从繁杂的运维工作中

抽出身来，更多的关注业务应用和创新。华为提供低成本、简单有效的统一网管，对

院内有线无线网络进行统一管理，提供可视化的网络拓扑、网络状态监控、故障事件实

时预警和告警、网络流量统计等。

2.1.2 医院整体网络架构

图2-1医院总体网络逻辑架构图

医院网络一般分为三张网，分别是内网，外网和设备网：

内网：也称为HIS网络，主要承载医疗核心业务，如HIS、LIS、PACS等业务数据传输，

要求高宽带、大容量和高速率，并需考虑未来扩容、带宽升级。

外网：也称为办公网络，作为行政办公、对外发布、互联网医学资料查询的主要平台，

稳定性和保密性要求低于内网，且接入终端及数据流特点也更为复杂。

设备网：也称为智能IP设备网，主要承载IPTV，IP广播系统，视频监控，病房语音呼

叫等业务。

图2-2医院详细网络逻辑架构

华为根据分层次、分模块的设计思路，结合医院实际业务需求设计整体网络架构，提供

可靠安全，有线无线深度融合的网络，实现医院网络的便捷运维。

由于医疗网络涉及到的业务复杂，且安全性和可靠性要求比较高，所以设计为按照不同

的功能和业务将网络进行区域划分。例如内部服务器区域、外部服务器区域、内部接入

区，外部接入区，医疗仪器接入区，IP设备接入区，存储阵列区域、网络及安全管理区

域等。功能区域的划分，能最大程度上保证各功能之间的相对独立性，以便更加方便、

更加可靠的对其进行管理和维护，保证各项正常业务的不间断运行。

医院网络内部节点众多，且分布不均，为了提高数据交互速度和效率，易于管理和维护，

整网按分层模型进行搭建和管理。由于医院有多栋大楼，因此采用适合的三层分层模型

（只有一栋大楼的医院推荐二层网络模型）：

核心层：核心层负责整个内部网络的高速互联，不部署具体的业务。核心网络需要实现

带宽的高利用率和网络故障的快速收敛。

汇聚层：汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层，扩展核

心层接入用户的数量。汇聚层通常还可以作为用户三层网关，承担L2/L3边缘设备的角

色，提供用户管理、安全管理、QoS调度等各项跟用户和业务相关的处理。汇聚层交换

机，通常部署在楼宇设备间。

接入层：负责将各种终端节点接入到内部网络，通常由以太网交换机组成。对于某些终

端，可能还要增加特定的接入设备，例如无线接入的AP设备等。接入层交换机，通常

部署在楼层配线间。

2.2 医院内网设计方案

内网是医院核心网络系统，是用于开展日常医疗业务（HIS、LIS、PACS、财务、体检

系统等）的内部局域网，将医院网络按病房，PACS和门急诊等进行功能分区。

图2-3医院内网逻辑分区图

按照分权分域的原则，将内网分为专网出口区，内用应用区，安全管理区，数据备份区，

内网接入区，核心交换区每个区域设定不同的互访权限。

在不同的分区分别配置防火墙进行区域访问控制。

在核心交换区域旁挂入侵检测设备，实时检测各种入侵攻击行为。

在安全管理区部署防病毒软件，网管软件，访问控制软件，实现对内网的安全管理。同

时部署数据库审计软件，对HIS，EMR等系统进行审计，满足医院等级保护要求。

2.3 医院无线网设计方案

无线网络需要承载移动医疗业务，包括无线查房，无线护理，无线输液，无线定位等业

务，当前无线网络主要是面对医护人员开放，而部分医院已经把无线网络对病患开放，

包括对病患提供免费上网，IPTV访问，院内导航等。

对网络的诉求包括：精细化管控：支持不同用户安全访问控制，对不同业务的提供不同

的服务质量，不同场景下不同的访问控制权限；全面覆盖的无线网络。

2.3.1 精细化的无线管控

精细化管控的基础：融合认证

在医院中，传统无线网络的认证点和有线网络的认证点是分离的，这导致了有线无线网

络无法统一认证，两张网络的用户和业务管控是割裂的。

采用华为S12700的随板AC的特性，S12700即是交换机也是AC，可以作为统一的有

线无线认证点，可以实现用户的统一管理，所有的访问控制策略都在S12700上统一配

置。对于不同的移动医疗业务，也可以S12700上进行统一管理。这样可以实现根据不

同用户，不同的业务，来提供不同的带宽、Qos和更多访问控制策略，所以说融合认

证是实现精细化管控的基础。

精细化管控的效果：情景感知

精细化管控的目的是解决不同的人（医护，病患）使用不同的设备（PDA，PAD）在不

同的场景下应该有不同的权限。比如医生可以使用PAD进行无线查房，护士使用PDA

进行无线输液，病人使用自带终端访问internet。

面对医院这种复杂的接入场景，华为提出了基于情景感知的5W1H（Who、Whose、What、

Where、When、How）方案，满足医护和病患对不同业务的访问控制需求，实现了对用

户和业务的精细化管控。

精细化管控的终端：防终端信息泄露

随着医院大量开展移动医疗，在带来业务便捷，减少医疗事故的同时，也带来了内网数

据泄露的风险，华为提供AnyOffice解决方案，可以在智能终端上创建一个隔离的安全

环境，用于存储医院数据，并不影响智能终端的正常使用。医院数据被加密存储，即使

PAD丢失，医院之外的人员也无法访问医院数据。

图2-4AnyOffice防终端信息泄露

2.3.2 全面的无线信号覆盖

无线网络的覆盖效果和具体项目实施有很大关系，不同于有线网络，低效的无线规划可

能导致无线网络的不可用。华为通过专业的规划设计工具，根据医院的实际场景，提供

网优网规服务，帮助医院实现无线信号的全面覆盖。

图2-5华为专业的WLAN规划工具（WLAN Planner）

2.4 医院外网设计方案

外网包括INTERNET访问、办公自动化系统、视频会议系统等，业务量总体较小。由

于外网需要和Internet互通，面临的最大问题是如何保证防御来自internet的攻击，对医

院的门户网站进行有效防护，对医护人员的上网行为如何进行合理管控，以及对外网入

侵行为进行实时检测。

图2-6医院外网逻辑分区图

按照分权分域的设计原则，将外网分为Internet出口区，外网应用区，安全管理区，外

网接入区，每个区域设定不同的互访权限。将用户分为普通用户和网管用户，普通用户

只能访问外网应用区和internet出口区。网管用户可以访问安全管理区。

在Internet出口区部署防火墙设备，防范来自internet的网络攻击。部署上网行为管理设

备，实现上网带宽管理，URl过滤以及上网行为审计等功能；部署VPN网关设备，提

供远程接入能力，可以方便院领导远程办公，网管人员也可以远程接入实现网络故障处

理。

在外网应用区部署Web应用防火墙，防范来基于Web的应用攻击。

在核心交换区域旁挂入侵检测设备，实时检测各种入侵攻击行为。

在安全管理区部署防病毒软件，网管软件，访问控制软件，实现对外网的安全管理

2.5 医院设备网设计方案

设备网也称为智能IP设备网，主要承载门禁，楼控，监控，考勤和安防广播等业务。

这几张网都属于设备网，但业务属性又各自不同，鉴于其接入点较少，建议采用虚拟化

技术，一张物理网络虚拟出多张设备子网，将门禁，楼控，视频监控等不同的业务系统

进行逻辑隔离，互不干扰，实现一网多用。

设备网全部采用二层架构，接入交换机直接上联到外网核心交换机。设备网连接的基本

都是低速设备，可以采用百兆电口接入，千兆光纤上行，单核心设计。

图2-7设备网组网图

2.6 医院数据中心网络方案

医院越来越多的采用虚拟化技术来进行业务创新，包括服务器虚拟化，桌面云等应用，

这要求网络应该具备高性能，可扩展，支持虚拟机迁移等特性。

高密高性能的CE12800

随着服务器的性能提升，GE网卡逐步升级到10GE网卡，数据中心对网络交换机的性

能要求也相应的提升了10倍。因此无论是服务器接入还是TOR上行汇聚，核心交换机

的对线卡的转发性能、端口密度要求急剧提升。

图2-8C12800云引擎交换机

支持虚拟感知的CE12800

网络需要对虚拟机进行感知，网管需要能够定时收集虚拟机所在的物理位置和相关接口

链路信息，当虚拟机迁移时，能够自动更新拓扑展示。当虚拟机迁移时，对应的网络策

略也需要自动迁移，网络必须支持虚拟机快速上线。

图2-9虚拟机迁移感知方案

支持TRILL技术的CE12800

在医院数据中心存在大量的虚拟机，为了方便虚拟机在数据中心内部进行动态迁移，并

保证高性能无阻塞的网络，支持虚拟机扩容，需要使用到TRILL技术。

TRILL网络能够多路径转发，充分利用网络带宽，真正实现无阻塞，而传统的xSTP协

议只能通过阻塞链路实现单路径的转发，极大的浪费的带宽。通过TRILL构建一个大

二层网络，支持虚拟机在整个数据中心动态迁移，支持快速收敛，TRILL本身是二层网

络，具备传统二层网络即插即用、方便易用的特点。

图2-10TRILL技术

支持云计算的高性能数据中心防火墙

在医院数据中心部署了大量虚拟机，当整个服务器，网络完成虚拟化之后，防火墙也必

须有对应的虚拟化能力，同时满足数据中心的高性能需求。

华为高端数据中心防火墙USG9500，真实业务吞吐量可达200G，带宽满足不断增长的

出口需求，且应用复杂规则和开启日志采集时，性能影响很小高达500万/秒新建，8000

万并发能力，确保医院HIS，PACS，EMR和数据挖掘等业务的正常开展。

USG9500支持4096个虚拟防火墙，支持对医院内部不同区域的隔离，对业务区的业务

可以继续进行区分，分HIS，PACS，EMR和数据挖掘等不同的业务进行不同的防火墙

规则制定。提供虚拟IPS保护，确保虚拟化数据和业务不受入侵威胁；支持虚拟IPsec VPN

接入，满足分院远程接入内部网络安全；动态策略漂移技术，实现虚拟动态环境下安全

防护。

2.7 医院便捷运维解决方案

2.7.1 统一网管Esight

eSight是华为推出的新一代面向园区和分支网络的管理系统，实现对资源、业务、用户

的统一管理以及智能联动。

eSight支持对IT&IP以及第三方设备的统一管理，同时对网络流量、接入认证角色等进

行智能分析，自动调整网络控制策略，全方位保证医院网络安全。同时eSight提供灵活

的开放平台，为医院量身打造自己的智能管理系统提供基础。

华为eSight提供多种应用，包括：多厂商的设备管理；资源统一管理；可视化的统一视

图；全方位的故障监控；机房精细化监控；辅助智能楼宇安防监控。

2.7.2 SVF，一栋楼虚拟成一个交换机

S12700支持SVF超级虚拟交换网，创新实现不仅将盒式交换机虚拟为框式交换机板卡，

而且将AP虚拟为框式交换机的端口，使得原来“核心/汇聚+接入交换机+AP”的网络

架构，虚拟化为一台设备进行管理，提供业界最简化网络管理方案。

图2-11SVF超级虚拟化

2.7.3 iPCA网络包守恒算法，实现精准化运维

华为创新的发明了iPCA网络包守恒算法，改变了传统利用模拟流量做故障定位的检测

模型，可对任意业务流随时随地逐点检测网络质量，无需额外开销；检测直接精准到故

障端口，实现从“粗放式运维”到“精准化运维”的大转变。

2.8 医院网络方案亮点概括

2.8.1 有线无线深度融合

提供敏捷网络随板AC功能。简化网络架构和节约采购成本的同时，构建有线无线深度

融合的医院网络；免购买单独AC，节省投资成本；由有线扩展到无线，或无线扩容，

可做到平滑演进；一个AC管理全院AP，漫游无中断；有线无线统一部署，统一策

略配置；

提供有线无线统一精细化管控能力。统一有线无线认证点，统一有线无线用户管理。支

持基于5W1H（谁、谁的设备、什么设备、在哪里、在什么时间、怎么接入）接入情景

感知的网络访问行为控制，应对移动医疗不同医患角色对不同业务的访问控制诉求。

园区超级虚拟化简化部署。医院园区有线和无线网络设备虚拟成一台超级交换机，从管

理的视角上可简化为一台网元来管理；接入交换机和AP的配置管理由汇聚交换机自动

下发，零配置，即插即用。

2.8.2 网络安全深度融合，由点及面的全网安全协防与主动防御

全面的安全产品。华为提供全面丰富的安全产品（防火墙，上网行为管理，VPN网关，

入侵检测，Web应用防火墙，终端访问控制和数据库审计等），帮助医院网络满足等保

对网络安全，主机安全，应用安全和数据安全的要求。

完善的医疗信息外泄防护。在数据中心提供数据库审计功能对医疗信息的使用进行严格

审计，提供堡垒机对数据中心的所有网管维护行为进行审计；对固定终端进行安全管控，

禁止USB口等外设使用；对移动终端提供安全沙箱功能，所有医疗信息进行加密存储，

终端丢失不会导致信息泄露。

全网安全协防。改变传统的单点防护模式，对全网安全事件采集，从大量无序的安全事

件来关联分析出全网的安全威胁；可对安全威胁事件采取告警、阻断或引流至安全设

备中进行清洗或过滤；全网安全策略下发，控制中心下发调整后的安全策略至全网相关

设备。

2.8.3 高可靠的设备级和网络级可靠性方案

从设备到组网的高可靠性设计。首先通过部件的冗余设计来保证单个设备的高可靠性，

比如接入设备采用双电源设计；其次通过高可靠的组网模式来提升网络健壮性，比如采

用核心双上行设计，利用堆叠技术和集群技术完成快速故障收敛，华为具备业界唯一的

硬件集群交换机（可以实现集群系统中只要保证任意一框的一个主控板运行正常，业务

即不受任何影响)。

2.8.4 全面覆盖和安全的无线网络

第三代随板AC。性能是传统AC的100倍，支持4K个AP，支持全院覆盖，免购买AC。

专业的网优网规服务。无线网络的覆盖效果和具体项目实施有很大关系，不同于有线网

络，低效的无线规划可能导致无线网络的不可用。华为通过专业的规划设计工具，根据

医院的实际场景，提供网优网规服务，帮助医院实现无线信号的全面覆盖。

支持无线定位，帮助医院开展增值业务。该方案支持基于WIFI的无线定位，可以支持

对医疗器械等贵重资产的位置跟踪，辅助进行资产管理，可以支持对无自我监管能力或

丧失自己监管能力的病患进行跟踪单位，便于及时救助。

2.8.5 智能、简单的运维管理

超级虚拟交换网（SVF），设备统一管理。将有线无线网络虚拟成一台设备进行管理。

业界首创有线无线采用相同的协议一致管理，AP虚拟成无线端口进行管理，接入交换

机像AP一样即插即用，接入交换机和AP设备的开局、升级和更换全“零”人工参与；

iPCA，实现精准化运维。方案支持iPCA网络包守恒算法，改变了传统利用模拟流量做

故障定位的检测模型，可对任意业务流随时随地逐点检测网络质量，无需额外开销；检

测直接精准到故障端口，实现从“粗放式运维”到“精准化运维”的大转变。

2.8.6 可软件定义的敏捷交换机快速适应业务发展

灵活性：利用可编程模块，可以灵活适应未来网络变化，承载各种新业务；