医疗卫生行业网络解决方案技术建议书模版

《医疗卫生行业网络解决方案技术建议书模版》由会员分享，可在线阅读，更多相关《医疗卫生行业网络解决方案技术建议书模版（26页珍藏版）》请在装配图网上搜索。

1、医疗卫生行业解决方案技术建议书V1.0 医疗卫生行业解决方案小组 2005年7月 目录1.概述31.1.医院网络的总体需求41.2.网络建设原则41.3.网络系统的整体架构51.4.医院业务应用分析51.4.1.医院业务划分51.4.2.应用系统分类51.4.3.医院业务系统的需求72.总体网络设计82.1.系统建设的总体目标82.2.网络设计原则92.3.医院网络现状分析92.3.1.网络现状92.3.2.业务现状102.3.3.应用现状103.医院设计方案103.1.门诊系统设计123.2.住院系统设计133.3.体检系统设计153.4.PACS系统设计163.4.1.存储系统需求163.

2、4.2.存储系统方案173.5.管理经济系统设计183.6.区域医疗系统设计194.网络管理方案设计234.1.用户管理234.2.设备管理234.3.流量管理235.安全设计235.1.端点准入防御解决方案245.2.网络边界防御255.3.数据中心边界防御255.4.分支机构接入安全256.IP地址和VLAN规划261. 概述数字化医院是在数字医疗设备、计算机网络平台和医院业务软件的基础上，对病人的治疗数据进行采集、存储、传输和处理，以达到在全院范围内的全数字化流程，就是数字化医院。数字化医院在发展的过程中分成两个阶段，第一阶段，主要是一些关于人、财、物的管理，如财务管理、各种收费、药品药

3、库管理和OA等，第二阶段，也是这些医院最直接、最迫切的面对临床的信息化，包括诸如PACS、LIS、手术室、麻醉等。1.1. 医院网络的总体需求1、为HIS应用系统提供一个强有力的网络支撑平台；2、网络设计不仅要体现当前网络多业务服务的发展趋势，同时具有最灵活的适应、扩展能力；3、一体化网络平台：整合数据、语音和图像等多业务的端到端、以IP 为基础的统一的一体化网络平台，支持多协议、多业务、安全策略、流量管理、服务质量管理、资源管理；4、数据存储安全:医院信息系统的数据存储需要具有存储量大、扩充性强的特点。1.2. 网络建设原则1、实用性：整个网络系统具有较高的实用性；2、时效性：网络应保证各类

4、业务数据流的及时传输，网络时效性要强，网络延时要小，确保业务的实时高效；3、可靠性：整个网络系统应具有很高的安全可靠性，必须满足724365 小时连续运行的要求。在故障发生时，网络设备可以快速自动地切换到备份设备上；4、安全性：能有效防止网络的非法访问，保护关键数据不被非法窃取、篡改或泄漏，使数据具有极高的安全性；5、完整性：网络系统应实现端到端的、能整合数据、语音和图像的多业务应用，满足全网范围统一的实施安全策略、QoS 策略、流量管理策略和系统管理策略的完整的一体化网络；6、效益性：网络的投资应随着网络的伸缩能够持续发挥作用，保护现有网络的投资，充分发挥网络投资的最大效益；7、可伸缩性：网

5、络要具有面向未来的良好的伸缩性能，既能满足当前的需求，又能支持未来业务网点、业务量、业务种类的扩展和与其它机构或部门的连接等对网络的扩充性要求。1.3. 网络系统的整体架构医院信息系统的网络采用三级架构，分为核心层、汇聚层和接入层。核心层处于医院网络的中心，负责全网的路由交换，并与各服务器、存储等核心医院应用相连；汇聚层分布在各个大楼内，负责大楼与核心层的连接；接入层位于各大楼内的楼层，负责直接接入桌面系统，与汇聚层连接。1.4. 医院业务应用分析1.4.1. 医院业务划分医院的业务系统有很多，而且不同的专科医院业务系统也有很大区别，但以下一些业务系统是医院都具有的：门诊系统住院系统体检系统P

6、ACS系统医院管理经济系统区域医疗系统1.4.2. 应用系统分类医院信息系统主要分成以下两类：l 医院管理系统门、急诊挂号子系统门、急诊病人管理及计价收费子系统住院病人管理子系统药库、药房管理子系统病案管理子系统医疗统计子系统人事、工资管理子系统财务管理与医院经济核算子系统医院后勤物资供应子系统固定资产、医疗设备管理子系统院长办公综合查询与辅助决策支持系统l 临床医疗信息系统住院病人医嘱处理子系统护理信息系统门诊医生工作站系统临床实验室检查报告子系统医学影像诊断报告处理系统放射科信息管理系统手术室管理子系统功能检查科室信息管理子系统病理卡片管理及病理科信息系统血库管理子系统营养与膳食计划管理子

7、系统临床用药咨询与控制子系统1.4.3. 医院业务系统的需求1）门诊系统门诊业务作为医院直接面对患者的窗口具有非常重要的地位和自己的特点（包括焦急的病人无法忍受长时间的等待、门诊业务主要集中在上午等），门诊业务具有可靠性高、并发性、实时性和突发性强等特点。因此门诊业务对网络提出了高可靠性、高带宽和QoS的要求。2）住院系统住院业务是医院的另一个主要组成部分，是医院经济收入的主要来源，同时还直接关系到重病患者的生命安全，具有以下几个特点：住院业务的网络上流动着重症病人生命数据和各种新业务数据；住院业务保存有患者病案数据和住院费用数据；医生移动查房；病人呼叫系统；网上视频监控系统；针对住院业务的以

8、上特点，住院业务对网络提出了高可靠性、安全存储、QoS和无线局域网、VoIP和视频会议系统的需求。3）体检系统现在很多医院纷纷建立专门的体检大楼，以满足社会上不断扩大的体检需求。从业务角度上讲体检系统非常简单，它对网络的需求主要体现在安全性上，如何保护体检服务器上体检人员数据安全和体检大楼网络安全是医院体检系统解决方案所关注的。4）PACS系统医院的PACS系统主要是完成对患者的各种影像数据进行采集、存储、传输和处理，并在全院范围内进行共享，由于是各种图形图像数据，因此具有存储量大的特点，为了更好的服务于医院业务，PACS业务对支撑系统提出以下要求：存储量大、扩展性强、数据快速存储、数据容灾、

9、高带宽5）管理经济系统医院管理经济系统主要是人、财、物的管理，包括人事、财务管理、药品药库管理等，因此它最大的需求是数据在服务器端和网络上的安全，保证这些数据不会泄露。6）区域医疗系统一方面为了发挥中心医院的辐射和覆盖作用，另一方面充分利用各家医院的特色科室的力量，区域医疗把这些资源进行共享和整合，这需要稳定的广域网连接。2. 总体网络设计2.1. 系统建设的总体目标目前，HIS系统在很多医院已经或者刚开始部署，很多传统业务都逐渐迁移到网络上，对网络的性能、安全和稳定提出了很高的要求，主要体现在以下几个方面：1）可靠迅速的响应以提供更好的医疗服务一般大医院每天的门诊量很大，最多可达到5000人

10、/天，一般大型医院平均门诊达到10002000人/天，HIS系统每天对后台数据库的调用非常频繁，会产生很大的数据流量，如果这种访问流量出了问题而导致无法正常进行收费和医疗诊断，会产生严重的社会后果，因此医院对网络的访问性能有很高的要求。2）安全的业务数据保证医院正常对外服务在医院的业务系统中保存着大量患者的健康信息和过程费用信息，这些数据无论对患者还是医院都非常关键，需要严格保密，因此如何保护这些数据，对医院有着重大的意义。3）高效的管理推动系统的稳定，提高维护的效果HIS经过几年的建设，已经初具规模。如何管好整个医院的业务系统，包括用户、服务器、数据库、存储设备和网络等，提高医院管理效率，保

11、证医院网络的正常运转已经成为医院急需解决的大问题。4）医院数据的安全存储医院需要存储包括病人信息、病案信息、费用信息和影像等数据，对数据存储的安全性和扩展性要求非常高。5）区域医疗的建设为了在区域范围内实现远程会诊、网上学术研讨等业务，迫切需要医院之间的资源共享。2.2. 网络设计原则基于医院目前网络现状和未来业务发展的要求，在医院网络设计构建中，应始终坚持以下建网原则：1）高可靠性-网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持医院各业务系统的正常运行。2）技术先进性和实用

12、性-保证满足医院应用系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到医院网络目前的现状以及未来技术和业务发展趋势。3）高性能医院网络性能是医院整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，才能使网络不成为一眼业务开展的瓶颈。4）标准开放性-支持国际上通用标准的网络协议（如IP）、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络(如公共数据网、金融网络、外联机构其它网络)之间的平滑连接互通，以及将来网络的扩展。5）灵活性及可扩展性-根据未来业务的增长和变化，

13、网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。6）可管理性-对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析功能以及可提供故障自动报警。7）安全性-制订统一的骨干网安全策略，整体考虑网络平台的安全性。8）保护现有投资-在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级，用作骨干网外联的接入设备。2.3. 医院网络现状分析2.3.1. 网络现状 医院的网络结构、服务器、存储等2.3.2. 业务现状医院每天门诊量、PACS存储量等2.3.3. 应用现状医院业务系统的情况3. 医院设计方案在方案设

14、计中，要充分考虑网络的高性能，高安全、高可靠设计。省中心局域网设计时应注意以下几方面：1、 高可靠性：核心交换机与汇聚交换机采用双链路连接，实现链路冗余；核心交换机之间可采用万兆以太网技术互连，为数据报文提供无阻塞交换通道。2、 技术的先进性：局域网设备价格便宜，技术发展快,在建设中可适当超前。3、 业务尽量隔离：不同业务控制主要通过运行不同的业务系统在不同核心交换机，这样不会影响医院的骨干网络的稳定性和安全性。4、 保护用户投资，合理利用原有设备。医院网络同时承载业务和OA数据，所有交易业务都要经核心交换机处理，建议核心交换机以两台华为3Com公司Quidway S8512万兆核心交换机为业

15、务系统核心交换机，满足大容量、高性能、高可靠、高安全及网络扩展的要求。核心交换机S8512与服务器群交换机之间可以通过两条GE链路捆绑双归属形成冗余连接，也可以通过连接2台S5600交换机，带宽达到到2Gbps，2条物理链路间可以实现互为备份。2台核心骨干交换机之间使用10GE高速链路互联，之间运行VRRP热备份路由协议，两台S8512可以虚拟一台路由设备，为接入的用户提供缺省网关的冗余，即这两台设备可以互为备份工作。一台主用，另一台备份，当主用设备发生故障或上行链路故障时，备用设备可以马上接替主用设备工作，达到设备冗余的目的。并且可以对不同VLAN设置不同的S8512进行主备用工作，达到负载

16、均衡的目的。保障核心节点的高可靠性。数据大集中后整个系统将承载多个业务系统，不同的业务对网络的带宽、时延等要求也不同，这就要求核心交换设备业务与性能并重。S8512采用功能强大的ASIC芯片实现MPLS、QOS的分布式线速处理，从而在为用户提供有保障的业务特性的同时保障数据报文的线速转发。汇聚交换机采用S5600，接入交换机采用S3900，它们可以通过IRF技术构成一个逻辑设备，构成链路聚合，增加带宽的同时，也提高了网络的可靠性。在医院数据中心和住院系统部署视频系统VP8630，用于监控病房和开远程视频会议。在住院部门安装WLAN，对于大中型医院部署多台WLAN交换机搭建成多域无线网络，小型医

17、院采用单台WLAN交换机搭建单域无线网络，大中型网络采用WX4400、AP2750，小型网络采用WX1200、AP2750，同时部署WLSM无线网管软件对无线交换机进行管理，让医生和护士在病房可以使用笔记本或者PDA进行移动查房、检查和监控。在数据中心部署存储系统Neocean IX系列，并在医院内部设置一个灾备中心，做到数据级的容灾。3.1. 门诊系统设计针对门诊系统的可靠性高、突发性强、实时性高、并发性强等需求，华为3Com在门诊大楼的汇聚层部署两台S5600交换机与核心交换机双链路连接，每个楼层或者专科门诊部署一个S3900交换机堆叠，再通过多条链路连接到汇聚交换机，连接线路全部采用千兆

18、链路。为了保证门诊在高峰期时的流量不被其他业务数据流所占用，需要对门诊业务进行QoS控制，华为3Com有多种解决手段。 门诊大楼网络拓扑图l IRF解决方案在上述的方案中，在S3900和S5600上部署IRF，通过IRF把S3900和S5600构成一个逻辑结构，实现链路汇聚，一方面扩大了接入层与汇聚层链路的带宽，另一方面提高了网络的可靠性，在接入层与汇聚层的设备和链路出现问题的时候，网络自动恢复到备份设备和链路上。l QoS解决方案针对门诊业务的突发性等短时间内大流量的特点，为了保证门诊业务的正常开展，需要在某些时段对某些门诊流量进行优先级处理，有多种QoS技术可以运用，CAR、WFQ等，把门

19、诊流量设置高优先级。3.2. 住院系统设计针对住院业务对网络提出了高可靠性、安全存储、带宽保证和无线局域网、语音和视频的需求，华为Com提出了IRF、IP存储、QoS、无线局域网交换机、Voip和视频系统解决方案。 住院系统网络结构图l IRF解决方案与门诊IRF部署相同l IP存储解决方案（在PACS存储中详细说明）l QoS解决方案对诸如手术、麻醉和重症监护等关键数据进行最高优先级处理，保证这些数据能够可靠传输。l 无线局域网解决方案1） 部署：应用无线网络，医院住院部基本上采用室内覆盖模式，考虑到医院的建筑结构较为特殊，WLAN技术很难穿透建筑物，同时又由于WLAN属于高频窄波，绕建筑物

20、的能力较弱。在住院部某些房间外的走廊部署无线局域网交换机或者AP以覆盖这些房间，间隔一定距离，并连接到网络中。2） 安全：在数据中心部署一台CAMS服务器，用于对无线用户的连接进行认证。l 针对终端用户上网认证的用户名密码的安全：采用802.1X EAP-MD5方式上网的用户，由于EAP-MD5信息本身就是密文传递，用户名、密码的安全能得到保证；l 采用PPPOE方式上网的用户：华为WLAN网络支持chap/pap鉴权方式，保证用户名、密码的安全；l 采用WEB方式上网的用户：华为WLAN网络支持标准的SSL/HTTP应用层加密保证用户名、密码的安全。3） AP供电：由于实际网络应用中AP设备

21、数量可能较大，AP都带有一个供电模块，只需要通过AP供电模块和现有的楼层配线间的交换机，为AP实现远程供电，供电距离达100米，能够满足实际组网的要求。l VoIP解决方案住院病人床边呼叫系统部署VoIP设备，病人可以直接呼叫医生的手机或桌面视频设备。如图所示，华为3Com的可视电话VP8220部署在病床。 语音病房呼叫系统示意图l VP视频系统解决方案特殊病房部署视频设备，可以让病人直接与医生沟通。由于医院的特殊需求，需要医院住院视频系统比传统视频更高的显示标准，华为3Com的高清视频会议系统可以在每个特殊病房部署一台VP8066，或者多个病房合用一个VP8066，每个病房都有视频设备，通过

22、医院数据中心的MCU VP8630E和GK进行统一交换，数据中心部署位于医院各处的医生，如主治医生、护士、院领导等都可以通过硬终端或OpenEye软终端对这些视频画面进行访问，并在网上形成病人、医生及第三方的几方会谈，在全院范围内形成一个多媒体网络。支持标准：图像特性：图像编码：H.261、H.263/H.263+、H.264高清图像分辨率：动态4CIFSXGA输入：12801024SXGA输出：12801024双屏/三屏显示双视传送，画中画桌面传送H.239双流语音特性：HWBA20 宽频语音AECANSAGC3.3. 体检系统设计体验时手工书写体检人员信息、医生手工书写体检结果、检验报告打

23、印后进行手工粘贴等传统作业方式，工作量大、效率低，而且安全性差，给体检人员造成隐患。医院体检信息系统的的特点是： 保存一个高可靠、安全的、完整的体检档案。 华为3Com的在体检大楼与核心网络的接口处、体检服务器与核心网络的接口处设置SecPath防火墙，用于隔离体检大楼，并保护体检数据的安全。在网络上，汇聚层部署S5600双机，接入层部署S3900，并部署IRF保证网络的可靠性。 体检大楼网络结构图3.4. PACS系统设计3.4.1. 存储系统需求医院存储着大量的病人治疗、费用数据，这些数据都需要安全的存储，其中PACS数据占了医院存储数据的90以上。医院存储系统有以下需求：l 稳定性要求高

24、：单台影像设备的故障还只是局部问题，而如果PACS系统出现故障，会导致全局性问题；l 对带宽要求高：PACS本身就是以图形图像为主，具有数据量大的特点，而且随着医院应用的不断增多需要传输和处理的数据量越来越大（从CT、MRI、CR、DR、PET、超声等 ） 。而且随着医院规模的扩大，从原来几个人从一个 服务器中调用图像和几十个人同时从一个服务器中调阅几十、甚至几百兆图像对网络的要求，是有一个质的变化； l 数据增长快速：医院影像中心每天的数据增量都很大，对存储的扩展性要求高（不降低性能的扩展方案） PACS业务结构3.4.2. 存储系统方案华为3COM的IP存储方案，解决了医院存储的要求。在每

25、台服务器部署一块千兆以太网卡，直接连接存储机柜，在存储机柜内部部署有千兆交换机，储存控制器和磁盘，在使用上可以把整个医院的全部数据进行集中存储，划出一部分磁盘给医院的门诊、住院、财务等业务数据，其他大部分磁盘划分给PACS业务系统；设置一套存储系统或者某些磁盘，作为虚拟带库（近线存储），完成普通带库的所有备份和恢复功能，比传统的带库具有更高的效率和安全性；在医院的另一个地方可以设置一个灾备中心，部署另一套IP存储设备，通过后台的数据同步进行数据备份。它具有以下特点：1）IP存储方案支持大数据量存储2）IP存储方案在不降低性能的条件下，扩展能力强3）IP存储方案通过LAN把分离的PACS和HIS

26、系统数据集中存储管理4）IP虚拟带库技术实现在线和近线存储，IP虚拟带库与原有带库兼容5）PACS系统网络交换机双机冗余6）通过设置医院内部的IP存储灾备中心，实现应用和数据级别的容灾备份 在网络上，同样在汇聚层部署S5600双机，接入层部署S3900，并部署IRF。医院全院存储系统结构图如下： 医院存储系统结构图3.5. 管理经济系统设计医院管理经济系统一般由药品管理系统，收费管理系统，后勤供应及计划财务管理系统等组成。各系统独立完成各自的工作，又互相监督牵制，构成医院完整的财务管理网络化体系。这些数据非常敏感，所以必须保证他们的安全。华为3Com在前端客户机上安装VPN客户端软件，在数据中

27、心前设置SecPath VPN网关，所有需要访问后台财务等服务器的数据必须通过VPN连接，这样保证了数据在传输的私密性和客户端的认证功能。 在网络上，同样在汇聚层部署S5600双机，接入层部署S3900，并部署IRF。下图是医院管理经济系统的网络结构图： 管理经济系统网络结构图 3.6. 区域医疗系统设计（2）MPLS VPN解决方案：通过部署MPLS VPN来提高医院之间访问效率和安全性，并把不同医院的不同科室或者业务通过MPLS VPN划分到一个VPN中，形成在某个区域内某个科室或者业务的安全的数据共享交互平台，如下图所示： 区域医疗MPLS VPN结构图MPLS VPN与流量工程技术结合

28、，实现不同业务映射到不同隧道或优先级队列，MPLS TE典型应用有隧道备份、流量均衡、资源保证和快速重路由（FRR)。（3）VoIP解决方案：医院之间电话会诊、病床呼叫系统直接定位主治医生等应用可以使用VoIP技术，在医院部署QuidView VG语音网关或者IP电话，如下图所示： 医院病房VoIP呼叫系统结构图（4）高清晰视频会议系统解决方案：医院之间的网上会诊业务因为医院诊断的特殊要求，需要专业的高清晰的显示为医生提供诊断依据，因此ViewPoint提供的高清视频会议系统可以解决远程会诊系统的特殊需求；在医院数据中心部署MCU、GK和终端，在分院和其他医院部署终端；（5）广域网IP存储解决

29、方案：在分院部署类似于缓存的小IP存储设备供分院使用，它可以与中心IP存储设备进行数据的同步，在低带宽的条件下，优化了分院对存储数据的访问性能；（6）RCR解决方案：在医院之间有多个出口的时候，可以在医院之间的路由器上部署RCR，以实现在多个接口上的出流量的动态负载均衡，以提高医院之间网络的利用率；（8）DVPN解决方案：通过对所有连接的医院和分院部署支持DVPN的防火墙，可以解决各分院之间资源的VPN数据交换而不通过中心节点，减小了中心设备的负载压力，提高了访问效率，如下图所示： DVPN部署结构图（9）BIMS分支机构管理解决方案：随着医院业务的扩大，分支医疗机构（分院、社区医院和诊所等）

30、数量众多、地理位置分散，不易管理，在中心部署BIMS服务器对分散的网络和安全设备进行集中管理，如下图所示： BIMS网络结构拓扑图l BIMS作为配置文件中心，根据网络规划，生成每个边缘路由器的配置文件；它还是一个系统软件中心，集中控制整网设备的版本；l 节点路由器内嵌的BIMS client功能根据设计的触发条件主动发起和BIMS管理中心的连接，并索取配置文件或系统程序，完成配置文件、系统程序自动更新；l 节点路由器和BIMS管理中心的连接是由边缘路由器主动发起的。4. 网络管理方案设计4.1. 用户管理部署CAMS身份认证系统可以以多种方式对医院用户进行身份认证。4.2. 设备管理在数据中

31、心部署QuidView网络管理软件，同时完成对网络设备和服务器的管理与监控。4.3. 流量管理部署CAMSXLog完成对出口流量的审计。5. 安全设计5.1. 端点准入防御解决方案医院网络信息安全问题日益严重，新的安全威胁不断涌现，网络管理员不得不面对病毒泛滥、软件漏洞、黑客攻击等诸多网络安全问题。当前，计算机病毒的感染率高达89.73%，种类繁多、传播迅速；软件系统中的漏洞也不断被发现，成为病毒、黑客新的攻击点.所以对网络内部接入端的病毒防御成为医院安全设计的一个重点内容。应对网络安全威胁，华为3Com公司推出了端点准入防御（EAD）解决方案，该方案从网络用户终端准入控制入手，整合网络接入控

32、制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入医院网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，加强网络用户终端的主动防御能力，保护网络安全。其结构图如下：医院EAD结构图EAD系统由四部分组成，具体包括安全策略服务器、安全客户端平台、安全联动设备和第三方服务器。安全策略服务器是EAD方案中的管理与控制中心，是EAD解决方案的核心组成部分，实现用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。目前华为3Com公司的CAMS产品实现了安全策略服务器的功能，该系统在全面管理网络用户信息的基础上，支持多种网络认证方

33、式，支持针对用户的安全策略设置，以标准协议与网络设备联动，实现对用户接入行为的控制，同时，该系统可详细记录用户上网信息和安全事件信息，审计用户上网行为和安全事件。安全客户端平台是安装在用户终端系统上的软件，该平台可集成各种安全厂商的安全产品插件，对用户终端进行身份认证、安全状态评估以及实施网络安全策略 。安全联动设备是企业网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。CAMS综合接入管理平台作为安全策略服务器，提供标准的协议接口，支持同交换机、路由器等各类网络设备的安全联动。第三方服务器为病毒服务器、补丁服务器等第三方网络安全产品，通过安全策略的设

34、置实施，第三方安全产品的功能集成至EAD解决方案种，实现安全产品功能的整合。医院EAD系统实现终端安全准入的流程：医院用户终端试图接入网络时，首先通过安全客户端上传用户信息至安全策略服务器进行用户身份认证，非法用户将被拒绝接入网络；合法用户将被要求进行安全状态认证，由安全策略服务器验证补丁版本、病毒库版本等信息是否合格，不合格用户将被安全联动设备隔离到隔离区；进入隔离区的用户可以根据企业网络安全策略，通过第三方服务器进行安装系统补丁、升级病毒库、检查终端系统信息等操作，直到接入终端符合企业网络安全策略；安全状态合格的用户将实施由安全策略服务器下发的安全设置，并由安全联动设备提供基于身份的网络服务。5.2. 网络边界防御在网络出口的边界处部署SecPath防火墙和IDS，通过它们的联动提高网络边界的安全。5.3. 数据中心边界防御在数据中心与核心网络的边界处部署SecPath防火墙和IDS，通过IDS与防火墙和IDS与交换机的联动提高数据中心的安全。5.4. 分支机构接入安全医院与其他分支机构的连接主要是通过VPN连接，因此分支机构连接主要部署SecPath VPN网关。6. IP地址和VLAN规划根据实际情况