ARUBA打造基于角色控制的智慧型醫療無線網絡

需求分析

 

  醫院信息化建設向移動終端延伸的概念在國內已被提出多年，希望借助無線網絡技術，建設數字化醫院的無線醫療系統，以提高醫院數字化應用水平，優化醫療護理質量，保障醫療安全，從而更好地服務于患者。

 

  在傳統有線網絡中，電子病例(EMR)只能在有線設備上查看。在查房時不能及時發揮做用，醫生下遺囑需要進行記錄和傳遞。而在無線醫療系統中，查房醫生可使用手持設備進行患者身份核對、患者病例查詢及下醫囑等工作。

 

  無線醫療系統中具有優越的移動性優勢，既可以幫助醫護人員隨時隨地訪問電子病歷(EMR)，核對患者身份，獲取患者的相關歷史信息，并對病歷和醫囑的執行進行實時更新，提高其準確性。因此可以充分發揮醫療信息化的優勢，提高醫護質量，消除潛在的醫療事故。

 

無線網絡的功能定位

 

  ARUBA認為醫院無線網絡建設應當“面向未來，統一規劃，分步實施”，醫院當前正處于大規模的基本建設中，無線網絡作為一種重要的網絡基礎設施，必然也是未來基本建設的重要組成之一。無線網絡建設應站在一定高度，本著滿足未來5－10年無線迅速增長和安全的需求出發，應當具備以下功能：

 

一、無所不在的無線接入網絡

• 提供真正的移動性，無線企業網絡吸引人的一個特點是移動性——用戶可以在醫院的任何角落，室內室外，病房或手術室之間自由移動并和網絡保持持續連接。允許用戶在醫院覆蓋區內無縫漫游，無需頻繁地登陸和退出。高速無線的方式覆蓋整個醫院門診和住院部區域，讓醫生和護士體會到無線局域網給帶來的好處和便利。
• 在醫院大規模部署無線網絡還可以作為醫院有線網絡的鏈路備份，在有線網絡發生故障或者擁塞的情況下負擔部分網絡流量。

 

二、隨時隨地的訪問醫院HIS系統

• 配合醫院現有的醫療管理系統（HIS），利用無線網絡，醫生和護士在病房，診室，急救室，手術時可以不必帶著沉重的病例資料，醫生/護士在病區的任何地方，都能輕松通過手持終端，移動病歷車，或PDA訪問部署于網絡中心的HIS系統，快速及時的調閱海量存儲的電子病歷。對于特級護理的病人，可通過無線網絡隨時查看患者監控數據和病情狀況。在查房的過程中，醫生或者護士可以通過無線網絡將患者的各項數據輸入后臺數據庫中，并可以通過無線網絡隨時查詢患者的即往病史、過敏史等關鍵資料，可以通過計算機核對處方藥品及處置方式是否正確等等。

                                 

• 利用無線網絡，藥劑師將適時的根據醫生制定的藥劑配方，正確的配置藥品劑量?？梢员苊饪床磺宄蚩村e醫生的處方而造成不必要的醫療差錯。
• 對于突發性情況，比如接到具有特殊情況的病人，專家可以不必尋找電腦去查找資料來幫助診斷，可以通過無線網絡立即上網查詢，沒有一分鐘的延誤。
• 醫生或護士可以在中心對大型設備（心臟監護儀/新生兒監護儀等）的數據作實時的監控，并可遠程管理

 

 

• 護士也可通過手持PDA掃描在患者身上的腕帶式條碼，獲取病人的用藥信息和醫囑。

 

三、安全可靠無線網絡

• 無線網絡更需要注意安全性，以為整個無線網絡暴露在空氣之中，都易受大量安全風險和安全問題的困擾。因此，建設無線網絡一定要注重無線側安全的建設與保護，其中包括： (1) 來自無線網絡用戶的進攻； (2) 未認證的用戶獲得存取權； (3) 來自外部的竊聽，(4) 來自無線專用工具的攻擊。建成的無線網絡很好地融合進原有網絡安全解決方案體系中，并根據無線網絡的安全技術特征，補充具有多層次的安全保護措施，以滿足用戶身份鑒別、訪問控制、可稽核性和保密性等要求。

 

四、提供高質量的WIFI電話服務

• 使用方便：

如果說VoWLAN節省話費的特點是繼承自VoIP的話，那么使用方便則是他對VoIP功能的提升。眾所周知VoWLAN是基于無線網絡的，也就是說所有語音通訊都可以實現無線，語音通訊設備也從傳統的類似與固定電話的VoIP電話機轉變為類似于手機的VoIP手機。這樣用戶就可以實現拿著VoWLAN手機在醫院內部任何一個地方隨意通話，同時可以更快的找到相應工作人員處理一些緊急事務。這點是以前有線網絡中VoIP無法實現的。

• 部署VOIP所帶來的優點

增強的生產率。從在場檢測和即時消息發送到自組網多會議，VoIP 正在促進新一級的即時團隊協作，減少了跟蹤臨床醫生和信息所耗用的時間，并向管理通信的用戶提供了單一的界面。

優化患者服務。通過改善患者數據集成、支持應用程序和語音提供更高效、統一和自動化更高的服務，臨床醫生具有更好的工作環境，有更多時間參與患者診斷。

• 靈活的機動性

通過無線局域網的VoIP 技術，可在醫院的任何地點進行通話，對大型醫療設備和病人的輻射遠遠低于GSM網絡。

 

五、無線網絡的實時管理

• 統一方便容易管理。醫院IT網絡管理部門需要管理很多員工以及行政人員。因此盡可能通過網管工具開展配置和網絡監控工作，迅速發現和解決問題。無線網絡管理軟件應能統一管理所有無線AP和交換機，，且能合理分配各種網絡資源。對無線網絡攻擊進行管理和壓制。
• 從設備管理角度來說，需要對各種無線設備的放置地點、配置參數等信息進行詳細記錄與管理
• 從安全管理角度來說，需要具備發現和快速處理假冒AP與無線DOS攻擊的方法和能力。
• 從性能管理的角度來說，網管能充分了解和分析無線網絡的一些具體性能指標，如Channel 信號強度/質量、網絡實時性能－吞吐量、各AP的流量等。

 

1.1醫院無線局域網的整體架構

無線局域網技術經過十幾年的發展，已經歷了三代技術及產品的發展。

無線局域網技術采用單純的AP實現無線接入外，基本上沒有其它功能。

無線局域網技術，采用AC＋智能AP構架，AC兩者實質均為二層設備，AP實現接入、AC實現匯聚和認證功能，有的廠商的AC實現了二層網絡交換，具有基本的網絡的控制和用戶的管理，如：WEB認證、流量的控制、訪問的控制等；支持VLAN、VPN、WPA等基本的安全管理，它們無法實現對無線電磁波層面的調控和優化。

由于這一代技術的AP儲存了大量的網絡和安全的配置，包括加密的鑰匙，Radius  client的安全密鑰等，而AP又是分散在建筑物中的各個位置，一旦AP的配置被盜取讀出并修改，其無線網絡系統就失去了安全性。另外由于AC或無線網關的硬件多數是基于Pentium架構的，所以當用戶接入數量增多時，無線網的性能會急劇下降，時常會發生掉線或死機情況。

第三代無線局域網技術采用無線交換網絡架構（以ARUBA為代表），實現了基于無線網絡交換機，以AP為單元交換的無線網絡系統，ARUBA是采用獨立的無線網絡交換機實現的。

作為第三代的ARUBA無線系統采用了Wireless Switch＋AP構架，將密集型的無線網絡和安全處理功能轉移到集中的 WLAN 交換機中實現，同時加入了許多重要新功能，諸如無線網管、AP間自適應、無線安全管理、RF監測、無縫漫游以及QoS保證等。

對于未來整個醫院無線局域網覆蓋的需求，本方案建議采用ARUBA的WLAN 產品，采用集中式、可管理架構的無線局域網解決方案來實現未來醫院病區的無線覆蓋要求。

 

 

安全保障的無線網絡的重要性

 

ARUBA從網絡設計者的角度來看，對于醫院大規模部署無線網絡，必須對無線網絡的安全性加以重視，ARUBA建議從以下幾方面做到全方位的安全保證：

• 集中的安全管理

    ARUBA無線系統的安全管理是將防火墻、VPN、安全認證、防病毒、無線入侵監測IDS以及RF 電磁波管理等多項安全功能匯聚到ARUBA無線控制器上來完成的，解決了傳統的無線網對安全的分散管理（AP、AC）和能力，給用戶帶來的不安全感，擺脫了對有線網安全的依賴性。

• 多種用戶認證方式組合

在ARUBA無線系統中，一個無線用戶進入無線網以后，只會拿到一個基本的入網權限，這個權限不容許用戶訪問任何網段，只讓用戶通過DHCP獲取IP地址、傳送DNS協議數據包，通過認證以后才可以接入無線網。

    ARUBA無線系統支持目前各種用戶認證的方式（802.1X、WEB認證、MAC、SSID等），企業用戶可以根據需要方便選擇。

• 無線訪問控制（可選license模塊）

用戶狀態防火墻是ARUBA無線控制器的獨特功能，它本身就是針對無線接入的特性而設計。傳統的網絡防火墻是沒有用戶這概念，它的保護只是基于IP地址或物理端口來制定防火墻策略，所以對于沒有固定接入點的無線終端，這種防火墻的功效是不大。ARUBA無線系統的防火墻功能則是與用戶認證捆綁在一起，當無線用戶成功通過認證后，他會獲得一個預設的用戶狀態防火墻，不同的無線用戶有不同的防火墻策略，例如領導和工作人員可以使用更多的服務，而訪客只可以瀏覽網頁、收發Email等，這樣可以極大方便企業用戶的安全管理。

• 安全的AP技術

    ARUBA無線系統和其它廠家在無線接入的認證和加密上區別是前者不是通過AP，而是在ARUBA無線控制器上實現。由于ARUBA的AP是不儲存任何網絡配置（IP地址除外）和安全設置，因此ARUBA 管理的AP是不能單獨工作的，因此獲得或接入ARUBA的AP，黑客也不會拿到無線網的網絡和安全配置參數和信息。

• 無線接入點安全偵測和保護

采用ARUBA 無線系統的RF偵測功能和保護機制可以實時監測企業無線網覆蓋區域內的所有AP接入情況,如相鄰房間的AP、設置錯誤的AP以及未經認可而連接到網絡中的AP。通過ARUBA 的網絡安全管理系統，網絡安全管理人員可以及時發現是否有非法的AP接入，發現后可以開啟自動保護機制，阻止無線終端通過非法AP聯接到無線網中。

• 無線網絡入侵偵測IDS（可選license模塊）

今天已經有很多的無線入侵和攻擊的工具可從網站下載，這些工具的普及對企業、和運營商的無線網的安全構成很大的威脅。今天絕大部分的無線局域網都沒有偵測無線入侵的功能，所以當受到像無線DOS攻擊時，就會誤以為是無線電波的信號受干擾或AP出現不穩定情況。這些攻擊在HotSpot會導致用戶的無線連接斷線，但網管中心仍然不知，用戶則誤以為是網絡問題，間接影響無線網系統的品質。

ARUBA 無線系統的特點是交換機由專有的網絡處理器和加密處理器組成，且內置一個無線入侵模式庫，實時檢測異常的無線數據包，當ARUBA 無線系統偵測出有入侵時，它會記錄和顯示入侵的格式，并對入侵做出自動保護響應。

• 無線接入的病毒防護（可選license模塊）

    ARUBA無線系統針對無線終端的病毒防護分為兩個層面，一、無線終端的準入檢查；二、對無線終端發出數據進行有效的檢查和監控。

無線終端病毒防護的第是準入檢查，當無線終端連接到ARUBA無線系統中，試圖訪問網絡，在用戶認證之前，需要下載一個基于JAVA的程序，可以對無線終端的操作系統打補丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況，做一個檢查，如果不能通過檢查，可以設定策略禁止其訪問網絡，也可設置成將無線用戶重定向到一臺升級服務器，打系統補丁、安裝防病毒軟件和升級病毒定義碼，滿足系統制定的安全策略以后，該無線終端才可以進入認證環節進行用戶的認證。

當無線終端通過了準入檢查，但是如何對無線終端發出數據進行有效的檢查和監控是更加進一步的病毒防護手段。ARUBA公司和第三方的防病毒墻廠家合作，在ARUBA無線控制器上可以設定策略，某些用戶，以及某些可能沾染病毒的數據，ARUBA交換機會將其重定向到防病毒墻上進行防病毒檢查，檢查完成后，才允許通過，否則會將數據丟棄。

基于上述兩個層面，ARUBA無線局域網系統對無線終端進行有效和方便的病毒防護。