1、5G 智慧医院建设项目技术方案目 录第 1 章 项目概述 11.1 项目背景11.2 建设目标4第 2 章 需求理解 52.1 数据中心建设需求理解62.2 医院 5G 专网需求理解9第 3 章 总体技术方案 103.1 数据中心103.1.1 设计依据 103.1.2 设计目标 113.1.3 设计原则 123.1.4 总体架构 143.1.5 云生产中心方案 173.1.5.1 云资源方案 173.1.5.2 云安全保障方案 273.1.5.3 混合云统一管理平台方案 713.1.6 容灾中心方案 753.1.6.1 容灾系统设计目标 753.1.6.2 容灾中心系统架构 763.1.6.2、3 容灾功能描述 773.1.7 多院区互联互通方案 863.1.7.1 省内院区网络设计方案 863.1.7.2 跨省际多院区网络设计方案 873.1.8 数据中心总体技术方案设计的软、硬件需求 883.2 医院 5G 专网893.2.1 设计依据 893.2.2 设计目标 903.2.3 设计原则 913.2.4 总体架构 923.2.5 关键技术解决方案 96I3.2.5.1 5G+远程监测与护理 973.2.5.2 5G+远程手术示教 983.2.5.3 5G+移动护理 993.2.5.4 5G+智慧病房 1003.2.6 医院 5G 专网技术方案涉及的软、硬件需求 102第 4 章 3、项目管理方案 1044.1 领导和管理机构1044.2 相关管理制度1064.3 实施交付计划1074.4 项目进度计划1084.4.1 项目总体计划 1084.4.2 项目进度表 1144.4.3 质量保证计划 1174.4.3.1 质量保证组织 1174.4.3.2 质量保证活动 1174.4.3.3 工具方法技术 1194.4.3.4 质量记录的收集、维护和保存 1194.4.4 项目配置管理计划 1204.4.4.1 概述 1204.4.4.2 组织及职责 1204.4.4.3 用于配置管理的软硬件资源 1204.4.4.4 配置项计划 1214.4.4.5 基线计划 1224.4.44、.6 开发库目录结构定义 1224.4.4.7 配置库访问权限清单 1244.4.4.8 配置管理报告生成机制 1264.4.5 项目风险计划 1264.4.5.1 概述 1264.4.5.2 组织及职责 1274.4.5.3 工作程序 1284.5 保障措施1324.5.1 多个任务并行开展 132II4.5.2 相关任务提前启动 1324.5.3 提供充足的人力资源保障 1334.5.4 严格进行进度控制 133第 5 章 运维保障方案 1345.1 服务保障方案1345.1.1 运维管理流程 1345.1.2 云平台资源池故障等级 1365.1.3 灾难应急管理 1395.1.4 组织和5、职责 1395.1.5 联络与通讯 1395.1.6 备份恢复预案的测试和演练 1405.1.7 恢复演练总结 1405.1.8 云平台应急预案管理 1405.1.9 水电与清洁 142第 6 章 人员培训方案 1526.1 人员配置计划1526.2 人员培训方案1536.2.1 技术培训 1536.2.2 培训目的 1536.2.3 培训对象 1536.2.4 培训方式 1546.2.4.1 授课 1546.2.4.2 现场培训和指导 1546.2.4.3 研讨会 1556.2.4.4 交流会 1556.2.5 培训教材 1556.2.6 培训质量保障 1556.2.7 培训课程 1566.6、2.8 培训资料 156III海南省 XX 医院 5G 智慧医院建设项目 技术方案第 1 章 项目概述1.1 项目背景海南省 XX 医院暨海南省 XX 防治中心是海南省卫健委直属， 具有公共卫生性 质的省级非营利性二类公益事业单位，是海南省唯一的三级 XX 专科医院。医院 位于海口市西海岸， 是“十二五”期间海南省重点医疗规划和省市共建项目， 于 2015 年 12 月 25 日建成提供卫生医疗服务，编制床位 1200 张。海南省 XX 医院是国内唯一由政府立项、社会资本投资、省级行政区划冠名 的非营利性二类公益事业单位，也是集 XX 医疗、教学、科研、预防、康复和保 健“六位一体”的三级 X7、X 专科医院、按照国际标准建设的现代化 XX 医院。医院 挂牌海南省 XX 防治中心， 承担全省 XX 防治公共职能， 同时也是海南医学院附属 XX 医院、天津医科大学附属 XX 医院海南分院、中山大学附属 XX 医院战略合作 伙伴、北京中医药大学中西医结合临床基地。我院投资的博鳌超级医院， 是 2013 年新“国九条”出台首家落地医疗机构，可同步使用国外先进医疗技术和药品， 以“1+X”模式， 即“一个共享医院(平台) + 若干个专科集群”，引入国内排名 前三的学科团队， 实现医疗领域体制机制创新， 打造先进医疗技术临床应用和创 新转化高地。海南省 XX 医院以优化结构、突出特色、打造重点、8、促进交叉为原则，凝练 学科方向， 汇集学科团队， 构筑特色优势突出、结构布局合理的学科体系。现有 医疗科室 57 个，其中内科系列科室 17 个， 外科系列科室 18 个， 医技系列科室 9 个，放疗科病区 4 个，综合科室 9 个。开展疑难复杂 XX 手术，推广应用新技 术、新业务，建成省内首个核素病房。 XX 专业、核医学专业进入全省一类重点1海南省 XX 医院 5G 智慧医院建设项目 技术方案学科，放射科、病理科、检验科和肝胆胰外科等技术水平居省内一流。树立人才培养新理念， 借助院内体制机制的优势， 创建人才工作新机制， 筑 巢引凤， 聚贤纳才， 激活现有人才， 引进外来人才， 培养未来9、人才。目前， 全院 职工 1200 余名。其中，高级职称专家百余名，享受国务院特殊津贴专家 3 名， “领军人才”和“拔尖人才”十余名，“高层次人才”30 余名。 20 余名专家分别 任博士、硕士研究生导师， 70 余名专家担任国家、省级医学专委会领导职务。拥有医疗设备 7976 台(套) ,其中以 PET/CT、RevolutionCT、3.0T 静音核 磁 、二代测序仪以及“速锋刀”、“磁波刀”和“氩氦刀”“XX 三刀”为代表的 1484 台(套)进口高端医疗设备， 40%为海南首次引进。拥有构建了 XX 诊断、 病理、检验和治疗等精准诊疗体系。海南省 XX 医院提供城镇从业人员和城镇居民10、基本医疗保险、新型农村合作 医疗和大病保险、跨省异地就医直接结算等服务。开通平安、人寿和人保等商业 保险， 成为信诺、泰康商业保险直付定点医院。与成美慈善基金会共同发起“有 爱无疾”医疗救助，贫困 XX 患者可免费就医。融入“共建共享”的国际化发展模式，海南省 XX 医院与梅奥诊所、匹兹堡 大学医学院和安德森癌症中心等近 10 家国际知名医疗机构在医院管理、学术交 流、人员培训、远程会诊和家庭护理等方面搭建起高水准、多元化、开放性发展 平台。 2019 年， 海南省 XX 医院进入全国医疗健康产业影响力“国际医院类”前 5 名， 并荣获“国际医疗旅游最佳患者体验实践”大奖， 是中国大陆唯一获此11、殊 荣的医院。海南省 XX 医院秉承“敬佑生命、救死扶伤、甘于奉献、大爱无疆”的理念， 践行“厚德、精医、严谨、仁爱”的院训， 海南省 XX 医院正为实现“省内领先、 国内一流、世界知名”的战略目标和维护海南群众健康而不懈努力。由海南第一投资控股集团投资建设的海南省 XX 医院成美国际医学中心落2海南省 XX 医院 5G 智慧医院建设项目 技术方案成，这是利用博鳌乐城国际医疗旅游先行区九项政策建成的首个国际化医疗项 目。成美国际医学中心是省委、省政府鼓励社会资本办医的又一示范项目， 按照 三级甲等标准设计建设， 总投资 15 亿元， 占地面积 7.6 万平方米， 病床 800 张， 第一期工程12、投资 3.7 亿元，病床 150 张。成美国际医学中心利用博鳌乐城国际医疗旅游先行区平台和相应的优惠政 策， 积极展开国际合作， 与德国德中医学会、德国汉堡大学附属医院管理有限公 司、美国匹兹堡大学医学中心、美国 LHC 集团、英国努阿达集团、英国伦敦骨科 诊所、瑞士 SMI 医疗投资国际集团等开展国际医疗合作， 以引进国际高精尖的医 疗设备、优良的医学技术、最新的国际药品和顶级的专业医护团队， 利用海南省 独特优良的自然生态气候资源， 为全国人民提供国际诊疗及远程医疗， 并吸引东 南亚国家的高端人群来此进行医疗旅游康复。海南成美国际医院暨海南省 XX 医院二期，在原海南省 XX 医院的基础上13、扩大 规模，整合国际医疗资源， 打造一所对标国内国际一流的 XX 中心和 XX 防治中心。海南成美国际医院位于海口秀英区长滨西路四街 6 号，总建筑面积 88710m， 包括住院楼、医技楼、住院楼连廊、配套基础设施等主要建设内容。截止目前， 已完成前期设计规划和报建工作， 进入施工阶段， 预计在 2021 年 12 月项目完工。成美善基金会、海南省 XX 防治中心以 XX 防治作为工作重点， 目标是将海南 省 XX 发病率和XX 治愈率达到国内领先水平。目前成美医疗集团已形成了以海南 省 XX 医院为旗舰， 依托博鳌超级医院、香港亚太 XX 中心、俄罗斯圣彼得堡中医 中心为一带一路中医药国际化14、延伸的医疗布局。海南成美国际医院暨海南省 XX 医院二期项目是在 XX 专科的基础上，完善 XX 专科治疗所需要配套的心脑血管、 代谢类等疾病的服务， 以进一步完善医疗体系， 提升服务质量。项目建成后， 将 对实体医疗机构、智慧互联网医院以及医疗大数据进行整合共享， 完善海南医疗 资源布局，让本地老百姓真正做到大病不出岛。3海南省 XX 医院 5G 智慧医院建设项目 技术方案1.2 建设目标本次项目借助二期成美国际医院开业的整体工作部署， 力争在信息化能力提 升方面， 通过项目建设与实施， 实现医院信息化在系统应用、数据共享、数据服 务、数据安全能力等几方面明显提升。医院的信息化水平能够实现医15、院互联互通 测评四级甲等水平， 电子病历应用水平达到 5 级以上部分建设要求， 医院数据中 心依托运营商数据中心机房建立医院“专享云”，实现医院数据中心达到电信级 IDC 等级 A 级标准。通过医院信息集成平台的建设以及 HIS 系统、 EMR 系统等相关系统的改造， 来构建医院临床护理和病人安全管理的全面保障体系， 能够提高医院医护人员的 工作服务效率， 提高医院整体的精细化管理水平， 提升患者服务的满意度， 提升 医院整体的品牌形象， 也能够同时满足国家卫健委电子病历系统应用水平评价和 互联互通成熟度测评的要求。另外基于医院信息化基础设施及运维管理发展现状， 运用运营商数据中心提 供的专享16、云架构服务， 能够最大限度提高资源有效利用率、保障系统高效安全运 行、提高保障容灾能力，整体改善医院运维管理工作方式，实现 IT 服务能力与 自身业务发展最大程度匹配， 助力打造一个具有智能化的数字医院， 为医院学科 发展和医院现代化管理奠定基石。4第2章需求理解海南省XX 医院从 2015年开始根据业务开展需要和医院信息化建设标准规范 等要求陆续地实施了医院信息化系统的建设， 以保障医院业务开展和更好为民提供医疗服务。 目前海南省 XX 医院现有信息业务系统现在如下：序号业务系统名称部署类型部署位置数据保护与业务容灾情况1HIS 系统虚拟机医院主机房 (旧机房)数据备份2LIS虚拟机无数据备17、份与容灾3集成平台虚拟机无数据备份与容灾4ICU 重症监护虚拟机无数据备份与容灾5手麻系统虚拟机无数据备份与容灾6电子病历(EMR)虚拟机无数据备份与容灾7PACS/RIS虚拟机无数据备份与容灾8麦迪克斯虚拟机无数据备份与容灾9中心供应虚拟机无数据备份与容灾10病案系统虚拟机无数据备份与容灾11养老系统虚拟机无数据备份与容灾12院感染管理系统虚拟机无数据备份与容灾13输血管理系统虚拟机无数据备份与容灾14合理用药系统虚拟机无数据备份与容灾15OA 系统虚拟机无数据备份与容灾16人力资源管理系统虚拟机无数据备份与容灾17互联医院系统虚拟机无数据备份与容灾18云桌面虚拟机无数据备份与容灾19绩效系18、统虚拟机无数据备份与容灾20随诊软件系统虚拟机无数据备份与容灾21MUSE 心电系统虚拟机无数据备份与容灾22分子病理系统虚拟机无数据备份与容灾23财务用友凭证系统虚拟机无数据备份与容灾24HIS 对外服务器系统虚拟机无数据备份与容灾25安全服务器系统虚拟机无数据备份与容灾5海南省 XX 医院 5G 智慧医院建设项目 技术方案综上所述，海南 XX 医院现有 25 套核心信息化业务系统和 80 多台业务虚拟 服务器， 依托于医院现有的虚拟化平台提供的计算资源、存储资源、网络资源而 进行稳定的运行，支撑目前医院日常的业务正常开展与运营。2.1数据中心建设需求理解近几年来，海南省 XX 医院响应国家19、政策要求，一方面不断提升自身的医疗 水平， 另一方面快速推进医疗信息化建设， 提升自身的服务效率和能力。医院目 前已经建立了 HIS 系统、 EMR 系统、 LIS 系统、PACS 系统、心电系统、移动护理 系统等院内全方位业务系统， 基本上能够满足医院发展的需求， 但是仍然存在着 一些不足。由于医院大部分业务系统建设方式独立性较强， 导致各个业务系统之 间互联互通程度较低， 院内数据无法得到有效的利用， 科室工作效率也不能通过 信息化手段得到进一步的提升，一定程度上阻碍了医院的发展。根据海南省 XX 医院的实际情况结合相关政策， 医院决定建设信息集成平台， 用来解决院内业务系统互联互通以及数20、据利用问题。而由于医院信息集成平台要 和院内大部分业务系统打通， 有大量的业务交互， 假如信息集成平台部署在第三 方云数据中心， 其他业务系统依旧在院内， 大量的业务通过专线交互必然会给网 络带来很大的压力，容易导致网络延迟、集成平台运行效率低下等现象。因此， 将全院业务系统上云，显得十分有必要。基于医院信息化现状及业务发展情况，结合海南省人民政府相关政策要求， 通过租赁云服务供应商提供的专享云架构服务， 能够最大限度整合资源、充分改 善资源分配、提高资源有效利用率、实现数据集中存储、保障系统高效安全运行、 提高保障容灾能力、平滑扩容满足业务快速上线以及降低运维成本。通过整体重 塑医院业务系统21、的底层架构，实现医院 IT 服务能力与自身业务发展最大程度匹 配，实现医院“智慧化”快速发展。6海南省 XX 医院 5G 智慧医院建设项目 技术方案1、软硬件现状分析海南省 XX 医院目前建成 HIS、LIS、PACS、EMR 等近 30 套业务应用系统， 采 用传统信息化方式进行建设。医院软硬件设备放置于新旧两个机房内， 生产机房 设备使用时间较长， 逐渐老化， 导致稳定性逐步下降， 业务系统稳定性存在隐患。 现有部分设备性能配置较低，难以支撑医院信息系统的升级扩展。医院信息化系统自建成投产以来已使用多年，现有系统补丁式升级对硬件提出了更 高的要求，造成系统不稳定，运行缓慢。2、生产中心资源22、需求分析按照本期全院系统上云规划，生产中心资源需求为 900 核 vCPU、2100GB 虚 拟内存、 4 台物理机、 15TB 双活存储和分布式存储 220TB 等。3、网络分析海南省 XX 医院目前的网络架构是三台核心交换机与分布在各个楼层和部门 的接入交换机组成了医院局域网。医保等外单位接入则是通过专线和接口服务器 的方式实现互联互通。网络内设有防火墙、 IPS 等较丰富的安全防护设备。网络 内有 ospf 动态路由控制， 利用 Eth-Trunk 接口实现冗余保护， 通过 VLAN 实现业 务隔离，利用 MUX-VLAN 实现vlan 互通控制等多种网络配置。网络配置较复杂， 接入点多23、， vlan 多，存在环路隐患。4、机房环境分析目前，医院信息化机房可用机柜空间很少且无空间新增机柜， 虽配置 UPS 电源， 但支撑断电时应急使用时间较短。随着医院信息化建设的不断深入， 医院 新业务系统不断上线， 现有机柜空间已无法满足医院信息系统升级换代的扩容需 求。5、容灾备份分析目前医院 HIS 等核心业务系统数据采用冷备份机制， 人工每天每周进行核心7海南省 XX 医院 5G 智慧医院建设项目 技术方案系统的镜像备份， 难以保证系统高可用性，且其他的业务系统没有相关的备份和 容灾保证机制。6、安全分析目前， 医院部署了若干防火增、杀毒(360 网络版) 等安全设施， 同时在终 端部24、署杀毒和影子系统。现无流量防御系统、入侵防御等安全设施， 缺乏完善的 安全防护措施，尤其缺乏数据安全保障，难以满足三级等保要求。7、运维分析在机房维护方面， 缺乏专业的机房维护与管理人员。在系统维护方面， 系统 已维护多年且医院各大应用系统互联互通困难导致系统维护需要多人，协调困 难，增加医院相关人员的工作量。8、测评风险医院机房建筑面积有限，在现有机房条件下难以实现对机房的改造及扩容， 机房存在安全隐患，没有内外人员进出机房管理制度。9、多院区互联互通由于业务的发展需要，需要解决海南省 XX 医院、博鳌分院区以及成美国际 新院区之间业务系统的互联互通以及数据共享问题，需要提供稳定和高可靠的网25、 络，使得分院区与各主院区能够流畅使用相关的业务系统， 为医院日常业务的开 展提供坚实的网络保障。10、扩容困难现有机房已经没有扩容改造的承载能力， 对机房扩容难以满足未来 5-10 年 的建设要求与标准。在医院未来的规划建设中， 管理部门对医院信息系统提出新的要求， 提升机 房的拓展能力更好服务百姓，适应未来三级等保测评要求，打造“互联网+健康 医疗”生态平台。8海南省 XX 医院 5G 智慧医院建设项目 技术方案2.2医院 5G 专网需求理解医院机构对网络需求较为复杂，除院内、院间、院外三大场景的场景差异 外， 网络需求还可以分为长时间占用和临时突发需求， 但不管哪种需求都需要保 障网络的26、高安全和高可靠。1) 数据安全隔离实现医疗专网与公众用户网络安全隔离，能够很好地契合医疗行业用户对 5G 医疗专网性能和安全诉求。2) 网络带宽动态感知根据不同时段各区域流量对带宽的不同需求， 通过设置动态分配带宽， 提取 空闲部门的限制带宽， 将其分配至流量密度高的部门， 精确分配资源， 使资源的 利用效率最大化。3) 网络性能动态调配提供不同服务等级的保障， 包括带宽、时延、抖动、丢包率、安全性、可靠 性等。通过网络管理平台实现 SLA 可管、可控、可视和可承诺。4) 较高的可部署性和可复制性用于各类医疗场景需求，可进行快速部署和实施。5) 可靠网络承载复杂应用场景全面赋能院前急救、远程医27、疗、医院管理三类场景， 提供安全、可靠、灵活 的网络保障。9海南省 XX 医院 5G 智慧医院建设项目 技术方案第3章总体技术方案3.1数据中心3.1.1 设计依据2015 年 3 月， 国务院办公厅印发的全国医疗卫生服务体系规划纲要 (2015-2020 年)中提出：积极应用移动互联网、物联网、云计算、可穿戴设 备等新技术， 推动惠及全民的健康信息服务和智慧医疗服务， 推动健康大数据的 应用， 逐步转变服务模式， 提高服务能力和管理水平， 加强信息安全防护体系建 设，实现各级医疗服务、医疗保障与公共卫生服务的信息共享与业务协同。2015 年 7 月 4 日国务院印发的关于积极推进“互联网”行28、动的指导意 见中， 指出在医疗卫生方面， 推广发展基于互联网的医疗卫生服务， 支持第三 方机构构建医学影像、健康档案、检验报告、电子病历等医疗信息共享服务平台， 逐步建立跨医院的医疗数据共享交换标准体系； 鼓励互联网企业与医疗机构合作 建立医疗网络信息平台， 加强区域医疗卫生服务资源整合， 充分利用互联网、大 数据等手段， 提高重大疾病和突发公共卫生事件防控能力； 鼓励有资质的医学检 验机构、医疗服务机构联合互联网企业， 发展基因检测、疾病预防等健康服务模 式。2016 年 6 月国务院办公厅印发的国务院办公厅关于促进和规范健康医疗 大数据应用发展的指导意见指出要规范和推动“互联网+健康医疗”29、服务， 发 展智慧健康医疗便民惠民服务， 发挥优质医疗资源的引领作用， 整合线上线下资 源，规范医疗物联网和健康医疗应用程序(APP)管理， 大力推进互联网健康咨 询、网上预约分诊、移动支付和检查检验结果查询、随访跟踪等应用， 优化形成10海南省 XX 医院 5G 智慧医院建设项目 技术方案规范、共享、互信的诊疗流程。探索互联网健康医疗服务模式。以家庭医生签约 服务为基础， 推进居民健康卡、社会保障卡等应用集成， 激活居民电子健康档案 应用， 推动覆盖全生命周期的预防、治疗、康复和健康管理的一体化电子健康服 务。2018 年 8 月，国家卫健委医政医管局发布关于进一步推进以电子病历为 核心的医30、疗机构信息化建设工作的通知，指出医疗机构在进行电子病历信息化 建设过程中， 加强医院信息平台建设， 最终形成基于平台的整体统一的电子病历 信息系统。到 2020 年，三级医院要实现院内各诊疗环节信息互联互通，达到医 院信息互联互通标准化成熟度测评 4 级水平。2017 年 11 月， 海南省人民政府办公厅印发了关于印发海南省全民健康信 息化互联互通建设实施方案的通知。通报指出积极争取国家支持， 在海南建 设国家健康医疗大数据分中心试点项目。建立以大数据中心为核心， 以健康医疗 科技文化产业园区为依托， 大力推动互联网医疗新兴业态发展， 促进云计算、大 数据、物联网、移动互联网等信息技术与健康服31、务的深度融合， 助力深化医改和 健康医疗服务，打造新经济增长点和发展新业态。2019 年 1 月， 海南省人民政府再次印发了关于印发海南省健康产业发展 规划(2019-2025 年)的通知。通知再次要求深入推进“互联网+医疗”，创新 发展互联网医院、远程医疗、医疗人工智能等新型业态， 探索线上线下结合发展 模式。以“互联网+”为手段，结合大数据、云计算、人工智能等新一代信息技 术， 扩展医疗服务空间和内容， 优化医疗服务流程， 进一步改善医疗服务质量和 效率。3.1.2 设计目标1、海南省 XX 医院的主备机房均需采用虚拟化技术，构成整个信息中心的两11海南省 XX 医院 5G 智慧医院建设项32、目 技术方案个云计算数据中心， 通过科学， 严谨， 有效的网络设计， 搭建安全、稳定、高速 的网络运行平台，保障信息系统的正常运行；2、云上数据中心满足 海南省 XX 医院核心业务系统等保三级要求。3、联通在两云数据中心之间的通讯带宽达万兆以上，信息设备均为一线品 牌。4、核心业务要求在主备机房能做到双机热备，无缝切换，并将应用层及存 储层全部虚拟化。核心业务主要包括 his，lis，pacs，手麻， erp 等系统。5、确保网络安全与稳定，防止攻击与窃取。6、要求能对双机热备，容灾数据恢复，虚拟应用，云平台扩展等进行模拟 测试。7、能快速有效的接入各种专网，如医保，农合，卫生专网等。8、能方33、便有效地维护主备机房， 对机房的日常运维与故障响应有相应的工 作制度。9、随着业务需求的不断改变，要求系统软硬件升级扩容灵活快速，且不影 响现有系统的运行。10、海南省 XX 医院不再建设数据机房， 将由联通提供云服务和云数据托管， 海南省 XX 医院不直接采购硬件；海南省 XX 医院运维团队只负责业务系统运维， IT 基础架构的运维由联通提供；通过租用方式实现海南省 XX 医院轻资产 IT 业 务模式。对于链路资源的协调，设备的采购配置，整体调试等均由联通统一负责。 联通作为对海南省 XX 医院的唯一接口统筹处理甲方海南省 XX 医院的 IT 运维需 求。3.1.3 设计原则1. 可靠性及可34、用性12海南省 XX 医院 5G 智慧医院建设项目 技术方案系统的可靠性包括整体可靠性、数据可靠性和单一设备可靠性三个方面。云 平台架构应从整体系统上提高可靠性， 降低系统对单设备可靠性的要求。系统的 可用性是通过冗余、高可用集群、应用与底层设备松耦合等特性来体现， 从硬件 设备冗余、链路冗余、应用容错等方面充分保证整体系统的可用性。2. 安全性遵循业务行业安全规范， 设计安全防护保证客户数据中心安全。重点保障网 络安全、主机安全、虚拟化安全、数据保护。3. 成熟性从架构设计、软硬件选型和 IT 管理三个方面设计数据中心解决方案，采用 经过大规模商用实践检验的架构方案和软硬件产品选型，保障方案35、的成熟性。4. 先进性合理利用云计算的技术先进性和理念先进性， 采用虚拟化、资源动态部署等 先进技术与模式， 并与业务特点和具体业务需求相结合， 确保先进技术与模式应 用的有效与适用。5. 可扩展性支撑数据中心的资源需要根据业务应用工作负荷需求进行弹性伸缩，IT 基 础架构应与业务系统松耦合， 这样， 在业务系统进行容量扩展时， 只需增加相应 数量的 IT 硬件设备，即可实现系统的灵活扩展。6、保护现有投资在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级， 用作骨干网外联的接入设备，网络的投资应随着网络的伸缩能够持续发挥作用， 保护现有网络的投资，充分发挥网络投资的最大效益。136、3海南省 XX 医院 5G 智慧医院建设项目 技术方案3.1.4 总体架构根据海南省 XX 医院专享云平台建设实际需求和总体建设目标，提供数据汇 聚、资源共享和容灾备份的服务能力， 满足各应用系统的需求， 实现业务的统一 管理，统一运营，推进大数据应用的建设需求。根据建设需求，本期将重点进行海南省 XX 医院专享云资源池建设，同时具 备医疗云服务承载的扩展能力， 并对互联网出口以及医保、卫健专网出口逐步进 行统一，对外互联出口根据安全域规划部署相应安全防护设备。海南省 XX 医院专享云平台通过虚拟化技术将主机资源、网络资源和存储资 源进行池化，按需分配相关资源,提供基础类和扩展类云服务。还将使37、用多云平 台管理软件，建设独立的云管理平台供海南省 XX 医院专享云使用。海南省 XX 医院专享云的设计架构可以概括为“一个生产，一个灾备”，一 个生产即医疗云生产中心，一个灾备即院内利旧设备的灾备中心。医疗云生产中心是支撑海南省 XX 医院专享云中心的各项业务的基本运行平 台，包括:基础设施层，设备资源层，统一云管理层和各类服务层。其中， 基础设施层主要包括机房运行环境和计算机、网络设备等基本物理硬 件。设备资源层主要包括各类主流硬件： 服务器设备、存储设备、网络设备、高 性能计算机和安全设备等。统一云管理层是对下层物理资源和上层虚拟服务资源 的运维管理。各类服务层主要包括计算服务、存储服务38、网络虚拟化服务、安全 虚拟化服务和医卫应用服务等。根据项目建设需求，海南省 XX 医院医疗专享云整体网络拓扑图如下：14海南省 XX 医院 5G 智慧医院建设项目 技术方案网 络 核 心 区网 络 核 心 区用户用户移动通信网络PC电脑 (远程办公)便携电脑 (远程办公)联通VPDN平台互联网互联网互联网防火墙IDS/IPS互联网出口安全区专网接入区防DDoS IP网络 接入交换机门诊楼接入交换机接入交换机接入交换机接入交换机住院楼医技楼门诊楼住院楼成美国际医院海南省肿瘤医院 (主院区)本地负载均衡器本地负载均衡器WAFWAF网络/数据库审计数据安全交换区核心交换机IP网络接入交换机安全资源39、服务区接入交换机内网服务区网页防篡改互联网业务区数据存储区 FC-SAN存储接入交换机分布式存储互联网访问 ( DMZ)FC交换机IP网络接入交换机门诊楼FC存储网络互联网防火墙专网接入区核心交换机智能手机平板PAD医保卫健财政专网容灾备份业务区防火墙IDS/IPS防病毒网关互 联 网 出 口 安全 区流量控制全局负载均衡器 核心交换机 安全管理区漏洞扫描堡垒机防火墙IDS/IPS互联网出口安全区接入交换机住院楼接入交换机医技楼澄迈联通医疗云平台博鳌超级医院 (子院区)整体架构本次 XX 医院专享云资源池采用混合架构部署，面向不同业务系统提供物理 设备托管服务和虚拟化资源池服务两种资源交付类型40、， 物理设备托管服务包括但 不限于裸金属服务器(x86 计算节点)、 GPU 服务器、集中式 FC-SAN 存储等； 计算资源池划分为互联网业务区和公用业务区， 在两个区域之间采用安全数据交 换系统进行隔离防护； 公用业务区内部计算资源池，划分为核心业务区和通用业 务计算区， 核心业务计算区单台服务器能力 4 颗 Xeon E7 以上 (或同等计算能 力处理) QPI 6.4GT/s 服务器构建，通用业务计算区将使用 2 颗 Xeon E5 以上 (或同等计算能力处理) QPI 6.4GT/s 服务器构建。一、医疗云生产中心1.互联网业务区：通过双链路上联至互联网， 为海南省 XX 医院附属访41、问互联网提供统一的安 全出口， 部署防火墙、防病毒、防入侵、安全审计等满足等保三级要求的安全防 护设施， 为互联网和内网的访问提供了一个安全隔离区域， 部署互联网接入管理 服务和允许在物联网上访问的应用服务。2.公共业务区：15海南省 XX 医院 5G 智慧医院建设项目 技术方案区别与互联网业务区， 该公共业务区主要是部署医院内网业务系统， 具体通 过宿主机部署虚拟化软件实现虚拟机资源。3.医卫外网接入区：通过双链路上联至医卫外网实现与其它医卫管理部门及医疗机构相关系统 的数据交互，为保证平滑过渡，所有专网出口保持医院原有路由。4.网络核心区：网络核心区主要部署海南省 XX 医院附属专享云的核42、心交换机，启用 VRF， 分别连接互联网出口与医卫外网出口。网络和数据库审计系统双归属连接核心交 换机对网络及数据库流量做日志审计。医卫外网和互联网之间部署安全数据交换 系统(网闸) ，双归属连接核心交换机， 提供互联网与医卫外网之间的安全逻辑 隔离与数据交换服务。5.核心生产区：根据医院核心业务数据库的需求提供相应的裸金属物理机以及集中存储等 设备资源。例如部署用户所需承载在物理机上的 oracle 数据库等。该类型数据 库对环境性能要求高，具有高 IO 吞吐，数据读取与计算的效率要求高，联通沃 云管理平台提供物理机部署该数据库业务， 物理机同时纳入云管理平台进行统一 监控和管理。二、院内建43、设核心业务系统应用级灾备中心按照用户要求利用院内现有设备资源进行建设， 利用专业 CDM 技术软件， 建 设云数据中心与现有数据中心灾备机制，实现核心业务系统的应用级容灾备份， 全部系统数据级灾备。同时， 设计本地生产数据和业务系统的实时保护方案， 实 现当本地生产系统发生逻辑错误时， 可以通过本地灾备系统进行应用级恢复， 要 求保证恢复后业务系统及数据的一致性和快捷性。对以上方案的设计明确清晰， 可操作性强。三、医疗云生产中心与医院内部网络设计因为医院的网络较为复杂， 应用系统也较多， 业务之间的耦合关系复杂， 为 保证应用系统迁移后的稳定性， 网络方案采取二层扩展的方式将医疗云与医院网 络44、进行对接。业务切换迁移后，医院的各应用系统 IP 地址保持不变，各系统间 的耦合关系不变， 业务系统互访也与割接前保持一致。能够保证业务系统平滑过16海南省 XX 医院 5G 智慧医院建设项目 技术方案渡。考虑到带宽扩展与网络时延的要求， 本次采用两条异缆异路由的 500m 数字 电路电路实现冗余互联。由于医院的网络核心是三台设备， 且为了充分保障网络 安全， 还需准备一条传输电路与前述两条 500m 数字电路电路共同实现医疗云与 分支机构医院的安全稳定互联。3.1.5云生产中心方案3.1.5.1云资源方案3.1.5.1.1计算资源池设计方案3.1.5.1.1.1 计算资源池规划计算资源池整体45、架构计算资源池设计为两部分：虚拟计算区和物理计算区。虚拟计算区主要部署需要虚拟化的计算资源，对外提供云主机、云负载均衡 服务。通常情况下虚拟化服务器比较适合用于 Web 服务器、 App 服务器和轻量 级数据库服务。联通沃云负载均衡服务器可以对多台云服务器进行流量分发的负17海南省 XX 医院 5G 智慧医院建设项目 技术方案载均衡服务， 可以通过流量分发扩展应用系统对外的服务能力， 通过消除单点故障提升应用系统的可用性。本项目需要 900 vCPU ，2100G 内存。计算资源服务基于 openstack+KVM 技术实现，计算虚拟化通过 KVM 软件构 建虚拟机， 虚拟机通过 openst46、ack 的 Nova 组件进行管理。 Nova-API 作为所有 API 查询的入口，可以初始化绝大多数的部署活动 (比如运行实例)， 以及实施一些 策略(比如配额检查)； Nova 负责创建和终止虚拟机实例； Volume 管理云主机 实例卷的创建， 捆绑和取消； Neutron 接受来自队列的任务，然后执行相应的任 务对网络进行操作。云主机在机房区域内实现虚拟机高可靠性配置(HA)，在物 理设备发生故障时，可以在同一个机房区域的不同物理设备之间进行虚拟机热迁 移。此外还可以通过机房区域间的数据复制和同步技术，保障云主机在两个不同 机房区域间的高可用性。计算资源池架构海南省 XX 医院云平台47、分别在公共业务区和互联网业务区设计一个计算资源 池。计算资源池由多台服务器设备组成。每台服务器采用双路 10GE 链路上联到 双机堆叠的业务接入交换机，双路 10G 链路连接到双机堆叠的存储交换机， 1G 链路上联到管理交换机。从物理架构上确保不会出现单点故障，影响用户业务。(1) 云服务器联通云服务平台的计算资源池为海南省 XX 医院云平台提供弹性可伸缩的云 服务器，可以提供二核 8G、四核 16G、八核 32G 以及其他规格用户需要的计算 资源，完全满足用户各种业务系统需求。(2)云负载均衡18海南省 XX 医院 5G 智慧医院建设项目 技术方案云负载均衡可以提供四层、七层的应用负载均衡服48、务。是将来访的网络流量 在运行相同应用的多个服务器之间进行分发的一种服务。它的功能由负载均衡器 (load balancer)提供。它在私有网络中充当反向代理，在多个服务器之间分发 网络或者应用流量。它常用来增加应用的访问容量(并发用户数) 和可靠性， 它 也会通过降低服务器的负载来提高应用的总体性能。用户申请负载均衡开通成功 后可进行负载服务器的查看和管理； 可以修改名称， 可以随时增加和减少后端负 载的服务器数量，销毁服务器等。在业务并发较高或者应用负载较高时， 负载均衡服务可以实现弹性伸缩， 自 动检测流量分发情况， 并将负载均衡性能弹性提高， 在业务流量减小时， 自动释 放冗余过多的计49、算性能。物理计算区部署高性能物理服务器， 其 CPU 配置不低于 4 颗 10 核的 Intel E7 V3 系列 CPU 且内存512GB 联通云服务平台的计算资源池提供物理服务器， 通过 2 块 HBA 卡连接 FC 光纤交换机与 FC 磁盘阵列互连。用于承载需要物理机承载的 业务应用。3.1.5.1.2存储资源池设计方案3.1.5.1.2.1 存储资源池整体设计针对海南省 XX 医院医疗云平台中不同应用系统对存储性能的不同需求， 联 通云服务平台存储资源池设计为两类：分布式存储资源池和 FC-SAN 存储资源池。分布式存储资源池： 设计为分布式存储(提供块存储、备份存储) ，主要用 来承50、载如虚拟机系统、虚拟机镜像、 ISO、虚拟机的模板文件、非结构化数据、 大文件、备份数据及文件等。FC-SAN 存储资源池： 设计为高端集中式共享存储池， 用来承载对 IOPS 要求 较高的业务数据。存储资源池整体架构如下图所示：19海南省 XX 医院 5G 智慧医院建设项目 技术方案存储资源池整体架构3.1.5.1.2.2 分布式存储资源池分布式存储根据医院需求主要以块存储为主。块存储区用于给云服务器提供 数据盘，存放云服务器本身的数据以及应用数据、虚拟机模板文件等文件共享服 务。联通云服务平台分布式存储资源池采用先进的存储虚拟化软件， 联通分布式 存储软件部署于通用 x86 服务器硬件之上51、构建存储资源池。支持与云平台同节点 部署和单独部署两种模式，支持 KVM 虚拟化平台，支持 PB 级存储容量，支持实 时多副本功能， 数据在集群中实时保存 n 份副本(n 大于 2) ，可确保任意(n-1) 台节点出现故障， 数据依旧安全且可访问。联通云服务平台分布式云存储系统采 用先进的分布式对象存储设计， 为各种不同类型的客户应用提供适合其需求的存 储服务。分布式对象存储系统提供多种类型的接口，包括 S3 存储、 iSCSI 等接 口。可以根据需要使用任意一种进行访问， 方便客户和原有存储系统的对接和管 理。支持策略管理， 如分发、 QoS 和存储分层， 提供丰富的管理分发功能， 包括 提52、供详尽的监控和报告； 数据监控和自动修复功能； 根据策略进行对象分发、对 象复制和对象再平衡。分布式云存储系统采用多层级的可用性设计。每台节点均 可支持数据冗余， 确保节点内部数据安全和高可用。多数据中心的不同云存储集 群间支持数据互备互援， 确保发生人力不可控的灾难时， 数据依旧安全。分布式 存储可达到的技术指标：数据可靠性 99.9999999%。联通分布式存储软件具有高可伸缩性和高可用性功能， 可满足不同可靠性要20求的业务场景。该分布式存储系统可确保海南省 XX 医院云平台联通云服务平台 在未来系统扩容过程中服务不中断， 扩容后系统具有将原系统的工作负载分配到 新增容量上的能力； 随着53、存储节点数的增加， 分布式块存储性能也随着近线性增 长； 支持在线升级及补丁， 升级及补丁过程不影响业务对存储的访问， 不能造成 数据丢失。联通云服务平台存储资源池的设计思路如下：(1)链路结构设计分布式集群存储为了提高效率，采用自身的数据冗余技术，而不采用硬件 RAID 技术，这样可以充分发挥每块硬盘的读写能力。根据 iozone 测试数据， NL-SAS 盘读能力可达 130MB (约 1Gbps) ，写能力可达 90MB (约 0.7Gbps)， 12 盘位的设备可输出读 12Gbps 写 8.4Gbps，分布式集群存储系统存在大小文件读 写效率差别，以及数据冗余策略的差别，实际输出能力54、在 30%60%，在每个存 储节点的可输出读 3.6Gbps7.2Gbps，写 2.5Gbps5Gbps，所以为了提高输出 效率，本项目分布式存储系统采用万兆以太网络。(2)拓扑结构设计根据医院的安全性特点和应用特点， 本项目设计分布式集群存储为独立的万 兆存储网络， 采用双万兆交换机做冗余设计， 通过交换机虚拟化技术进行统一管 理，虚拟化服务器采用双万兆网卡方案， 每块网卡的 2 个端口分别接入存储网络 和计算网络。(3)数据冗余设计为了确保无单点故障，分布式存储系统的存储节点(OSS) 采用集群方式部 署，而元数据节点均会采用 Active-Active 模式，提高系统性能。分布式集群存储55、系统为了提高吞吐率和 IOPS，均不会采用硬件 RAID，为达 到高性能， 均会采用前端智能切片技术， 每个切片从数 KB 到数 MB 大小不等， 同 时采用其特有的数据保护模式，一般包括：一份数据多份拷贝，如果是一份拷贝，则空间利用率是 50%；2 份数据一份校验值，空间利用率为 66%；4 份数据一份校验值，空间利用率为80%；(4)数据分层设计非结构化存储支持 PCI-SSD/SSD/SAS/SATA 存储介质，并可以按目录进行分21海南省 XX 医院 5G 智慧医院建设项目 技术方案级存储。一般的， SSD 的读速度约为 500MB (约 4Gbps) ，写速度约为 350MB (约 56、2.73Gbps)，按照 30%60%的输出能力，则每块 SSD 硬盘可以输出读 150MB 300MB，写 105MB210MB，取平均值读 220MB，虚拟机镜像文件平均为 2GB，如 果需要 1 秒内完成挂载并达到启动状态，则需要 9.3 (约 10)块 SSD 盘。3.1.5.1.2.3 PACS 影像分级存储方案PACS 影像存储由院内云储存网关 CSG (Cloud Storage Gateway)与行业云对 象存储共同组成热/冷数据分级存储系统。云存储网关是一款以沃云对象存储为 后端存储的网关产品， 能为云上和云下应用提供业界标准协议的存储服务，支持 NFS 和SMB 协议，对外57、提供统一 NAS 服务。存储网关连通 PACS 服务共同部署在 客户业务本地，提供本地快速业务响应，后端与对象存储进行数据上云。3.1.5.1.2.3.1 数据写入流程客户端往云存储网关写入 A 文件和 B 文件， A 文件和 B 文件会先写到缓存盘 上， 写完即返回成功， 而后通过同步策略同步到对象存储上。客户端不感知同步 过程。3.1.5.1.2.3.2 数据读取流程当缓存数据完成同步到对象存储上后， 按照既定的缓存淘汰规则(长时间未操作+缓存盘容量使用超过一定比例)淘汰掉缓存数据。如下图， A 文件的数据 已被淘汰，在缓存中仅保留了 A 文件的元数据， 而 B 文件的数据仍保留在缓存中。58、 当客户端从云存储网关的数据时， 读取 A 文件， 网关从对象存储把 A 文件拉22海南省 XX 医院 5G 智慧医院建设项目 技术方案取到缓存中， 再被客户端读取； 读取 B 文件时， 由于缓存中已经有 B 文件的数据 了，则直接读取即可。3.1.5.1.2.4 FC-SAN 存储资源池海南省XX 医院云平台联通云服务平台中高端集中式存储池采用FC-SAN存储 系统用来承载对 IOPS 要求较高的业务数据，并提供高性能数据库专用存储服务。 SAN 存储结构具有传输效率高、安全性高、 传输延迟极小、占用主机资源小、技 术成熟等特点，主要用于延迟要求非常低的高端应用，如大型数据库应用(如： Or59、acle、DB2、Sybase)， 集群部署的数据库应用和容灾系统。联通云服务平台的高端集中式存储服务将根据客户对存储的 IOPS 需求，采 用 SAN 存储来满足客户对于存储的需求。 FC-SAN 存储系统，通过光纤链接将高 性能物理服务器、 FC 光纤交换机和 FC 磁盘阵列组建成 FC-SAN 存储网络。在实 际选择中可以根据业务提出存储资源的需求后， 需要对设备的 IOPS、存储容量、 存储带宽进行计算。存储产品的选择通常是根据存储性能指标，即 IOPS 值进行 选型。本项目中联通云服务平台设计采用 1 套 FC-SAN 存储，2 台光纤交换机组成 标准的 FC- SAN 集中存储架构60、，用来承载海南省 XX 医院云平台中对 IOPS 要求 较高的业务数据。 可以提供 80TB 双活存储， 具体设计配置如下：两台FC 交换机24 端口 FC SAN 光纤交换机，激活 24 口 16Gbps，并配置 24 个短波 16Gpbs 光纤模块， 24 条光纤线。两台双活阵列双控,交流,128GB 缓存, 10K RPM SAS 硬盘单元,2*4*16Gbps Fibre Channel I/O 模块(4 端口)23海南省 XX 医院 5G 智慧医院建设项目 技术方案(1)链路控制器设计本项目将建一套高可靠、高性能的结构化存储系统， 采用 8Gb 的传输端口连 接高性能的数据库服务器，61、 采用双控制器全交换架构， 两个控制器可以实现冗余 和负载均衡特性，本期项目 FC-SAN 存储设备上配置 2 个控制器，同时在主机光 纤通道卡、存储交换机、以及存储设备传输链路都考虑冗余设计， 提高存储系统 的可靠性。为了保证系统的高可靠性及性能， 本项目采用双光纤链路连接。每台数据库 服务器配置 16Gb 的 HBA 卡，通过双光纤交换机，经过多链路冗余配置后联入高 端的 FC 存储。数据的密集访问负载都将传递到后台的存储设备上。(2)自动数据分层设计自动数据分层技术可以很好的解决大容量、高性能与低成本之间的矛盾， 即 系统自动将热数据存在于高速盘(容量小)，冷数据存在于低速盘(容量大)，62、 从而实现最佳性价比目标。医院中， 一些热点事件会导致系统访问瞬时增加， 存 储阵列应能支持 SSD 盘、 SAS 盘和 SATA (NL-SAS) 盘的混插模式以及自动数据分 层技术。(3)自动精简配置设计自动精简配置不会一次性的划分过大的空间给某项应用， 而是根据该项应用 实际所需要的容量， 多次的少量的分配给应用程序， 当该项应用所产生的数据增长，分配的容量空间已不够的时候， 系统会再次从后端存储池中补充分配一部分存储空间。在医院中， 由于每个应用的特点， 应采用满足基本空间及增量的前提下，逐步配置，降低投资成本，存储阵列应能支持自动精简配置技术。(4)固态硬盘的快速缓存机制主流存储缓存63、是采用 DRAM 实现的， DRAM 性能优异，但成本高且不能断电， 因此 DRAM 的容量都是有限的。缓存容量越大，存储的性能也越强；而随着 SSD 技术和产品的日益成熟， SSD 做为系统缓存的补充可以有效地提升存储的读性能 和写性能， 医院中， 一些热点事件会导致系统访问瞬时增加， 存储阵列应能支持 SSD 固态盘快速缓存机制。(5)硬盘配置设计RAID 方式选择如下：24海南省 XX 医院 5G 智慧医院建设项目 技术方案RAID 模式安全性利用率性能(读/写)RAID0无安全性100%最佳/最佳RAID1损坏 1 块硬盘数据不丢失50%好/好RAID5损坏 1 块硬盘数据不丢失66.64、6794%好/较好RAID6损坏 2 块硬盘数据不丢失5088%较好/中依据上图可知， RAID0 无安全性、RAID1 硬盘利用率低，不予考虑。设定合适的 RAID 级别，首先要考虑到损坏时系统 Rebuild (重建恢复)的 状况。高性能磁盘容量小， Rebuild 时间短(数十分钟到几小时) 。大容量硬盘 性能稍差， Rebuild 时间长(十几到几十个小时) 。因此大容量硬盘更需要的是 安全性(RAID6) ，高性能硬盘更需要的是容量 (RAID5)为合适。对于 4000GB 大 容量 NL-SAS 磁盘采用 8+2 RAID6 更为合适。3.1.5.1.3网络资源池设计方案3.1.565、.1.3.1 业务网络设计业务网络主要传输各应用业务的业务数据， 具备 10G 的网络吞吐能力， 网络 采用接入层和核心层两层扁平化架构。计算节点通过两条 10GE 链路连接至接入 层交换机，接入层交换机通过四条 40GE 链路上联核心层交换机。接入层交换机与核心层交换机采用两两堆叠的方式部署，保障网络高可靠性。业务网络25海南省 XX 医院 5G 智慧医院建设项目 技术方案两台核心交换机配置如下：8 槽核心设备交换机主机(含双主控，满配网板，风扇、电源冗余等) | 1*48 端口 10GE 以太网光接口板|40*10G 多模模块+8*10G 单模模块|1*36 端口 40GE 以太网光接口板66、|32*40G 多模模块+4*40G 单模模块|3.1.5.1.3.2 存储网络设计存储网络分为两部分 FC-SAN 存储网络和分布式存储网络。分布式存储网络 分为存储外网和存储内网， 存储外网主要用于对外提供存储服务；存储内网主要 用于存储节点之间的数据同步和复制。存储外网和存储内网均具备 10G 的网络吞 吐能力， 采用接入层和核心层两层扁平化架构。每台存储节点存储外网和存储内 网分别采用两条 10GE 链路连接至接入层交换机，接入层交换机通过四条 40GE 链路上联核心层交换机。接入层交换机与核心层交换机采用两两堆叠的方式部 署， 保障网络高可靠性。 FC-SAN 存储网络具备 8G 光67、纤吞吐能力， FC 磁盘阵列通 过两条 8Gb 光纤链路上联两台光纤交换机，保障光纤存储网络高可靠性。存储网络8 台业务交换机配置如下：交换容量 1.4Tbps；转发性能 1080Mpps，具备线速转发能力； 具备 48 个 10G SFP+光接口， 6 个 40G QSFP+端口， 主机含冗余电源和冗余风扇； 配置 48 个 10GE26海南省 XX 医院 5G 智慧医院建设项目 技术方案多模光模块， 6 个 40GE 多模光模块。3.1.5.1.3.3 管理网络设计管理网络分为两部分 IPMI 管理和 openstack 服务管理。由于吞吐量不高， 因此具备 1Gb 通讯能力即可满足需要。68、管理网络采用接入层和核心层两层扁平化 架构。每台计算节点的openstack 服务管理网络采用两条 1GE 链路上联接入层交 换机，所有服务器的 IPMI 管理网络均采用一条 1GE 链路上联接入层交换机。接 入层交换机采用两条 10GE 链路上联核心交换机。接入层交换机与核心层交换机 采用两两堆叠的方式部署，保障网络高可靠性。管理网络两台千兆交换机配置如下：交换容量=500Gbps；包转发率=200Mpps48 个 10/100/1000Base-T 以太网端口， 4 个万兆 SFP+接口(含 4 个万兆光 模块)3.1.5.2云安全保障方案3.1.5.2.1管理安全整体设计联通沃云平台的防69、护边界为互联网的出口。在互联网出口处， 部署一套满足 项目要求的等保三级设备。安全资源池是将云计算技术应用于安全领域，通过将 安全系统、安全功能、 资源进行云化，形成专门的安全能力快速交付的资源池；27海南省 XX 医院 5G 智慧医院建设项目 技术方案为客户提供按需的网络安全服务，从而实现网络安全即服务的一种技术和业务模式，如下图所示：等保三级安全方案拓扑本次提供的等保三级安全设备共 12 种，包含两台安全审计设备，保证对所有运维操作进行溯源。本次提供的等保三级安全设备清单为：序号设备数量1防火墙2 台2安全隔离网闸2 台3网络及数据库审计1 台4运维审计(堡垒机)1 台5抗 DDoS2 台70、6入侵防御系统2 台7WEB 应用防火墙2 台8防病毒网关2 台9网页防篡改1 套10漏洞扫描系统2 台11安全管理平台1 套28海南省 XX 医院 5G 智慧医院建设项目 技术方案12VPN 设备1 台功能具体如下：(1)抗 DDOS 服务目前，拒绝服务攻击已经成为恶意人员主要的攻击手段， 而且形式多种多样， 每年对客户，尤其是那些对业务连续性要求较高的类型的客户造成巨大的损失。 为此，中国联通沃云集成网络抗拒绝服务攻击功能，通过采用实体抗 DDOS 设备 对流入与流出数据匹配， 拦截异常流量， 实现攻击拦截。包括常见的 TearDrop、 Land、Jolt、IGMP Nuker、Boin71、k、Smurf、Bonk、Big Ping、OOB、SYN Flood、 UDP Flood、DNS Flood、 ICMP Flood、TCP Flood 等所有流行的 DDOS 攻击。另 外，对 TCP 全链接攻击、 Script 脚本攻击、 CC 攻击及过滤关键字攻击等同样具 备较高级别的安全防护能力。保证云平台的持续可靠运行。(2)防火墙访问控制服务对于云平台内部于、与外部间、内部各用户间、内部用户各服务间、同类服 务不同安全级别间， 中国联通沃云均可提供可靠的、有效的、 细颗粒度的隔离/ 访问控制服务机制， 即： 下一代防火墙和网闸措施， 保证不同用户及不同服务间 的安全隔离。为适应72、各个行业不同的网络应用环境， 以及满足各类用户差异化的 安全防护需求。防火墙服务以多核硬件架构为基础， 分为系统内核层、硬件抽象层及安全引 擎层。在安全引擎层内。通过将引擎组与多核硬件架构的完美整合， 在系统层面 实现全功能多核并行流处理。而在硬件抽象层则采用多种加速技术， 根据各个核 心的实时负载情况， 将流量按会话的方式动态均衡到 CPU 的各个核心， 从而确保 整个 CPU 效率执行的最大化。同时， 防火墙采用高度集成的一体化智能过滤引擎 技术。其能够在一次数据拆包过程中， 对数据进行并行深度检测， 从而保证了协 议深度识别的高效性。另外， 下一代防火墙基于八元组高级访问控制设计， 除传73、 统的五元组控制以外， 实现了用户身份信息、应用程序指纹及内容特征的识别与 控制，实现“用户”与“应用”设计理念的落地。(3)数据隔离交换网闸数据隔离与交换服务通常应用于不同安全级别的， 且存在少量数据交换的两 个网络区域间的链接和隔离， 面对诸多类似医院、企业核心秘密、个人隐私等安29海南省 XX 医院 5G 智慧医院建设项目 技术方案全隔离保护的需求， 中国联通沃云提供网络隔离与数据交换服务， 采用半物理隔 离的方法， 当合法的地址有数据请求时则连通网络提供数据交换， 否则则处于与 其它网络安全域“无连接”的状态。保护客户重要系统及核心数据免受窥探、扫 描、攻击、篡改的威胁。持续行保证系统74、及数据的安全性。(4)入侵防御服务各行业越来越多的客户依托于云平台，建了自己的互联网络信息系统和应 用，在云平台服务带来高效和快捷的同时， 网络安全形势也从早期的随意性攻击， 逐步走向了以政治或经济利益为主的攻击； 攻击的手段从早期简单的扫描、暴力 破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、 SQL 注入、 DOS/DDoS 等各种混合手段攻击；攻击的层面也从网络层，传输层转换到高级别 的网络应用层面； 而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行 为上， 其攻击行为有明显的政治或经济诉求目的， 给医院的网络信息业务系统安 全造成极大隐患。面对日趋严峻的网络安全形式75、， 中国联通沃云平台提供入侵行 为监测及入侵行为阻断服务， 深度检测、实时分析网络数据流量， 对网络中的攻 击行为进行主动防御， 并对应用层的数据流进行深度分析， 动态地保护来自内部 和外部网络攻击行为(5)网络防病毒网关服务近年来的蠕虫病毒传播越来越快，传播范围越来越广，破坏性也越来越大， 病毒充分利用了网络的开放性， 在客户没有防备的时候迅速进入内网并很快在网 络中传播开来， 造成企业网络阻塞等情况。另外， 越来越多的网络钓鱼类欺诈行 为，通过网络骚扰破坏客户的正常办公环境， 给企业和个人造成了巨大的破坏和 严重的后果， 并且威胁的隐蔽性越来越强。近年来病毒正在通过更多的传播方式 进入客户76、网络内部，除了利用传统的 EMAIL 传播方式以外， WEB 浏览、 FTP 下载 等都已成为病毒传播的主要手段。针对以上这些问题， 中国联通沃云平台提供网 络防病毒服务。把病毒完全拦截在网络的外部，以减少病毒渗入后造成的危害， 同时构建立体化的反病毒体系， 从以往传统的单机版的杀毒、网络版的杀毒转变 到全网立体化的病毒防护理念，反病毒技术已经由孤岛战略延伸出立体化架构， 并将传统意义的防病毒战线从单机延伸到网络接入的边缘设备， 从软件的模式衍 生出硬件的病毒防护模式，(6)网页防篡改服务30海南省 XX 医院 5G 智慧医院建设项目 技术方案WEB 应用技术的迅速发展和广泛应用引起了攻击者的77、更加重视， 针对 WEB 业 务的攻击也愈发激烈和严重， 服务器操作系统漏洞和 WEB 应用程序本身漏洞成为 攻击者入侵的主要途径。攻击者们可以取得 WEB 应用管理权限， 进而窃取商业数 据， 篡改网页内容， 更有甚者， 在网页中植入木马， 注入恶意脚本，发起跨站脚 本或伪造请求等攻击。 WEB 服务器和普通浏览用户均暴露在安全威胁之下。而目 前传统的安全机制局限于本身的产品定位和防护深度， 不能有效的提供针对 WEB 平台攻击的抵御能力。针对这一现状， 中国联通沃云提供网站攻击防御服务， 以 应对这一威胁。从网站自身安全漏洞的识别、修复到攻击威胁监测、阻断， 再到 网页的发布合规性管理及防78、篡改， 最终到网站的访问及事件的安全审计。针对网 站攻击防御及网页篡改防护形成一整套多维度、立体的安全防御体系， 为用户提 供高强度、持续性的网站安全保障防御服务。(7) VPN 服务目前移动接入和远程办公的应用需求增长迅速，已成为新的应用热点和趋 势。很多单位和企业都建有自己的内部业务办公系统， 如 OA、ERP、CRM 系统等。 很多出差人员和在外的业务人员需要能随时方便的使用笔记本电脑或各种移动 终端接入内网进行远程办公。但是通过互联网接入来访问网络信息资源将面临着 信息窃取、非法篡改、非法访问、网络攻击等越来越多的来自网络外部的安全威 胁。为此， 中国联通沃 云提供安全、便捷的远程接入79、服务， 让移动用户能访问 到平台应用系统， 并同时能对这些用户进行有效管理。通过 SSL 隧道接入的用户 提供了完整的身份认证手段。同时对客户端的接入实行可信接入检查， 包括操作 系统、补丁、防病毒软件、防火墙软件、进程、文件、注册表项等， 对安全性检 查不合格的客户端，可拒绝其接入网络。对可信接入安全性检查结果进行分级， 不同的级别可以授予不同的权限， 对不满足安全要求的主机或终端， 可以根据其 缺陷程度分别实行隔离、修复和限制访问。对于要求访问敏感信息服务器的用户， 如果没有达到较高安全等级，可只授予与其安全等级匹配的普通权限。(8)漏洞及脆弱性扫描服务中国联通沃云漏洞及脆弱性扫描服务包括80、应用检测、漏洞扫描、弱点识别、 风险分析、综合评估的脆弱性扫描与管理评估产品。通过扫描等手段对指定的远 程或者本地计算机系统的安全脆弱性进行检测， 发现可利用的漏洞的一种安全检 测(渗透攻击)行为。分析和指出有关网络的安全漏洞及被测系统的薄弱环节，31海南省 XX 医院 5G 智慧医院建设项目 技术方案并给出详细的检测报告。针对检测到的网络安全隐患给出相应的修补措施和安全 建议。网络管理员能了解网络的安全设置和运行的应用服务， 及时发现安全漏洞， 客观评估网络风险等级。网络管理员能根据扫描的结果更正网络安全漏洞和系统 中的错误设置， 在黑客攻击前进行防范。以提高内部网络安全防护性能和抗破坏 能81、力， 检测评估已运行网络的安全性能， 为用户提供一种有效的、 实时的脆弱性 评估及管理工具。(9)网络及数据库安全审计服务面对系统诸多使用角色及纷繁复杂的使用权限， 用户组织内部员工利用网络 非法访问内部敏感信息、外部非法网站， 使用 EMAIL、即使通讯等传送敏感信息、 不良信息，发表非法言论等活动更使组织面临各种风险， 包括造成恶劣社会影响、 出现法律违规问题等， 同时， 出现上述风险未必是组织成员故意行为， 木马、黑 客软件都有可能导致企业敏感信息的泄露， 对用户造成威胁。解决以上问题， 中 国联通沃 云可提供网络安全审计服务， 有效的防止上述问题的发生， 同时对网 络潜在威胁者予以威慑82、， 对违规行为进行审计记录与报警。实现网络行为后期取 证。(10)运维监控与审计服务(堡垒机)由于用户业务的快速增长对于信息化的依赖程度越来越高， 而现实中运维人 员、安全管理人员、开发人员、业务人员以及第三方测试维护人员等角色， 均对 用户的业务服务器和应用服务器的配置有着相当大的权限。越权访问、误操作、 滥用、恶意破坏等情况时有发生， 这严重影响企业的经济运行效能， 并对企业声 誉造成重大影响。另外黑客的恶意访问也有可能获取系统权限， 闯入部门或用户 内部网络， 造成不可估量的损失。因此， 中国联通沃 云可为用户提供运维监控 与审计服务。以提高用户自身系统运维管理水平， 跟踪服务器上用户的83、操作行为， 防止黑客的入侵和破坏， 提供控制和审计依据， 降低运维成本， 满足相关标准要 求。协助用户解决使用共享帐号的安全隐患、密码策略无法有效执行、授权不清 晰、访问控制策略不严格及用户操作无法有效审计等问题， 保障用户系统正常运 作的绿色环境。(11) Web 应用防火墙中国联通沃云服务平台提供的 WEB 应用防火墙产品可品提供传统的基于规 则的检测和主动防御两个引擎。基于规则的保护是信息安全产品最主流的防护方32海南省 XX 医院 5G 智慧医院建设项目 技术方案法， 虽然对于未知攻击和 0day 攻击缺少防护能力， 但是对于大量的已知攻击可 以提供精确的、细致的防护。具备先进的全透明84、检测架构、全面的攻击防御能力、 有效的缓解拒绝服务攻击。(12) SOC 安全管理综合平台服务中国联通沃云安全管理综合平台服务可对与网络安全相关的设备和系统进 行统一安全管理和综合分析， 以及安全事件集中管理和监控的技术支撑和管理支 撑的平台。并对各种安全对象、安全事件及数据进行统一管理和集中分析。实现 全网安全信息系统运行状态信息和主要业务信息的自动采集、整理， 并对各类安 全事件、预警信息的统一预处理、汇总、整理与分析以及安全事件与业务处理的 综合关联分析。通过安全事件、安全信息系统状态的本级实时监控与处置， 实现 脆弱性管理、风险管理、事件管理、实时关联分析、安全预警、告警管理、安全 策85、略下发、工单管理、知识库管理、专家辅助决策等功能的统一的网络安全综合 风险处置和管理的机制。并实现统一的安全事件响应与处置机制。为客户从风险 管控的角度形成由巨到细， 多维度、流程化的协同联动响应机制， 协助客户实现 对业务系统总体运行风险进行风险展示、辅助安全决策。以保障用户系统稳定、 可靠、安全的运行。3.1.5.2.2机房安全联通机房安全按照中央企业 A 级数据中心标准实施， 符合国家标准的安全要 求。包含要素有：建筑装修、供电系统、接地防雷系统、空调系统、照明系统、 消防报警系统、安防系统、综合布线与网络系统等。(1)建筑装修机房必须具备防尘、防潮、抗静电、阻燃、绝缘、隔热、降噪音的物86、理环境； 机房功能区域分隔要清晰明了、便于识别和维护。 地板地板采用全钢抗磨防火抗静电活动地板、地面做防尘处理并铺设保温材料， 保证机房的洁净度，防止静压箱内因温度差过大而结露。 吊顶采用铝合金微孔板吊顶。铝合金微孔板吊顶上部的原顶面、梁、墙面、柱面 等均刷防尘漆作防尘外理， 保证机房的洁净度。吊顶板上的微孔可作为机房专用33海南省 XX 医院 5G 智慧医院建设项目 技术方案空调的回风口使用， 微孔板内均附一张同等规格的吸音纸， 既可减少噪音又可过 滤尘埃。 墙面主机房区室内四周墙面， 全部采用轻钢龙骨做骨架， 中密度板做基层， 使用 整张优质奶白双面铝塑板饰面，骨架内可走管穿线。 隔断主机87、房区均采用铝塑板板边框浮法玻璃隔断，无框地弹玻璃门与之配套。 门窗结构机房主入口处安装外开式钢制防盗门， 配电室使用玻璃地弹门； 为达到防尘、 防电磁干扰的目的，机房区窗户安装双层密封窗或用铝塑板密封。 电磁屏蔽选用金属材质的天棚、地板及墙面装饰材料，使用多股 BVR6 铜塑线将棚、 墙、地相连接， 构成一个等电位的六面体， 可达到初级屏蔽的效应， 能使电磁辐 射场强衰减 30dB 以上。(2)供电系统计算机机房提供电能质量的好坏， 将直接影响计算机系统正常、可靠的运行， 也影响机房内其它附属设施的正常工作， 同时机房对接地、雷电防护、机房屏蔽 等均有特定要求。 供电系统采用双回路供电方式，一88、路为机房区 UPS 供电，一路为整个机房内空调、 新风、照明、维修插座等非计算机设备供电。供电系统 照明系统正常照明： 与大楼的照明系统分开的独立照明系统， 主机房区照度设计大于34海南省 XX 医院 5G 智慧医院建设项目 技术方案500Lx，辅助机房区照度设计大于 450Lx。事故照明： 机房内的事故照明系统自成一体， 它仅作为市电停电及紧急事故 情况时，工作人员安全下电和安全撤离使用。(3)接地系统计算机系统能否正常工作，除了本身的软硬件条件外，还有外部工作环境， 主要是影响该系统正常工作的外部及内部过电压， 电子信息设备常因元件被击穿 或烧毁而停止工作。机房包含四种接地方式： 交流工作89、接地、安全工作接地、直流工作接地、防 雷接地接地系统 防雷方式外部防雷系统及地网：机房接地电阻不大于 1 欧姆供电系统防雷： 在主机房内的市电配电柜加装第二级避雷保护， 保护机房内 UPS、空调、新风、照明等用电设备。对主机房内的重要设备如小型机等，加装电源插座避雷保护。通信网络防雷系统： 与电源防雷一样， 通讯网络的防雷主要采用通讯避雷器 防雷。通常根据通讯线路的类型、通讯频带、线路电平等选择通讯避雷器， 将通讯避雷器串联在通讯线路上。(4)机房空调35海南省 XX 医院 5G 智慧医院建设项目 技术方案通过该系统保持机房内相对稳定的温度和湿度， 使机房内的各类设备保持良 好的运行环境， 确90、保系统可靠、稳定运行。(B 级机房空调系统要求： 全年温度， 1825； 相对湿度，3565% ；温度变化率，10/h；并不得结露)。一般 民用空调不能满足该要求，而精密空调却能满足所有要求： 温度控制计算机的散热量一般比办公室高出 6 10 倍，其最佳运行温度为 221， 一般的民用空调机都难以负荷其高热能。 湿度控制过高的湿度会使空气中的水分在计算机内凝结， 而过低的湿度会产生静电作 用，所以过高或过低的湿度同样会对计算机形成破坏。一般的空调都忽略对湿度 控制或控制不够精密。 风量计算机对于风量的要求比一般空调高很多，通常要求每一冷吨制冷量配有 8501,000m3/h 的风量。 负荷计算91、负荷计算需考虑的因素： 设备的冷负荷、照明的冷负荷、外窗的辐射热和窗体传热的冷负荷、外墙和屋顶的传热冷负荷、人体的冷负荷及湿负荷。(5)新风系统36海南省 XX 医院 5G 智慧医院建设项目 技术方案机房的密闭性较高， 如果其中的空气不进行更换， CO2 等气体不断累积， 很 容易使工作人员疲劳困乏， 工作效率随即下降， 而且室内空气长时间不置换也容 易造成军团病， 这就是近十多年来国际空调界最关注的课题之一。新风系统的引 入使机房内形成空气正压， 可防止外部不洁气体的进入， 以保持机房内的洁净度。电子计算机机房设计规范中对新风系统的计算方法为：室内总送风量的 5%；按工作人员每人 40m3/92、h；维持室内正压所需风量；以上三项中取最大值。新风机从外界采集到的新鲜空气， 经新风机初效及亚高效两级过滤后， 送给 专用空调，并经专用空调送至各工作区， 保证机房区内能补充到足够的新鲜空气。 机房精密空调和新风机结合， 还能使机房内形成一个正压力， 使机房内的一部分 富裕的空气通过门缝流向外界， 阻止未经过滤的空气进入主机房区， 保证主机房区的洁净度。(6)漏水报警系统在专用空调的周围及空调循环水管周围布置测漏水感应点， 当有漏水时， 感 应点便传给控制器报警信号， 告知机房工作管理人员， 以便及时采取措施， 并且 在沿空调进回水管路及空调周围设立防水堰， 可有效防止意外漏水， 进入其它区。93、(7)机房综合布线综合布线是开放式结构， 要能支持电话、文字、图像和视频等各种应用， 并 能够满足所支持的数据系统的传输速率要求。布线系统中所有的电缆、光缆、信 息模块、接插件、配线架、机柜等在其被安装的场所均要容易被识别， 线缆布设 整齐， 布线中的每根电缆、光缆、信息模块、配线架和端点要指定统一的标识符，电缆在两端要有标注；保证维修方便、操作灵活。(8)机房监控系统37海南省 XX 医院 5G 智慧医院建设项目 技术方案为集成机房所有智能系统， 达到统一集中监控和管理的目的， 设计机房集中 监控系统， 该系统可以实现对供配电系统、 UPS 系统、空调系统、漏水检测以及温湿度的时时监控及故障94、报警。(9)机房消防系统机房消防工程气体灭火、联动控制、手、自动报警等， 采用七氟炳烷气体灭火既起到灭火的作用又保障了人身安全和昂贵设备不受到损害。(10)机房其他机房承重： 设备间楼板的荷载按工艺提供的设备平面布置图的实际设备荷载 进行设计和加固。其它：机器设备的四周应留有足够的散热空间，避免阳光直射。3.1.5.2.3网络安全通过一系列安全设备及安全组件， 实现南北向以及东西向的安全防护， 可以 对网络边界处提供访问控制、病毒过滤、防攻击、防入侵、防篡改、内外网数据 安全隔离交换等立体安全防护，保护应用系统和内部网络及计算机安全。 合规性分析(1) 安全防护服务下一代防火墙防护在互联网出口95、和内网出口分别冗余部署下一代防火墙实现平台级的访问控 制。同时在核心交换机旁路部署安全资源池， 并将医院的流量引流到安全资源池。 安全资源池提供了虚拟防火墙， 实现对云平台内部的安全边界划分， 提供网络层 的访问控制措施。防火墙的 ACL 提供了细粒度的访问控制功能， 实现粒度包括： 源目的 IP， 源端口， 源目的区域， 用户(组)，应用/服务类型， 时间组的细化控制等方式。 能够识别应用类型超过 1100 种，应用识别规则总数超过 3000 条；支持 IPv438海南省 XX 医院 5G 智慧医院建设项目 技术方案v6 NAT 地址转换，支持源目的地址转换， 目的地址转换和双向地址转换，支96、持 针对源 IP 或者目的 IP 进行连接数控制； 支持基于应用类型， 网站类型， 文件类 型进行带宽分配和流量控制； 防火墙 ACL 的应用可以应用于防火墙端口的进出流 量， 也可以应用于不同的域间。因此， 针对用户访问控制， 网络层面实现了应用 级细粒度的安全访问控制。VPN 接入联通沃云云安全资源池对于边界接入提供了云 VPN 功能，实现数据的加密传 输。虚拟专用网络(Virtual Private Network，简称 VPN)指的是在公用网络上 建立专用网络的技术。 VPN 通过 IKEv2 协议，强化用户认证、报文认证、 NAT 穿 越等功能， 消除了中间人攻击和拒绝服务攻击隐患。97、同时， 通过扩展支持 EAP-SIM、EAP-AKA 等无线鉴定协议，从而更高效地对无线网络链路提供更高的 安全保护。在 SANGFOR SSL VPN 安全网关支持 LocalDB、LDAP/AD、Radius、第三方 CA、 自建 CA、Dkey、短信认证(短信猫和短信网关)、硬件特征码、动态令牌多种安 全认证方式，最大限度地保证了接入用户的数量和合法性。DDOS 防护联通沃云 DDOS 防护采用自主研发的 DDOS 攻击算法，可防护基于数据包的 DDOS 攻击、 IP 协议报文的 DDOS 攻击、 TCP 协议报文的 DDOS 攻击、基于 HTTP 协 议的 DDOS 攻击等，实现对网络98、层、应用层的各类资源耗尽的拒绝服务攻击的防 护，实现 L2-L7 层的异常流量清洗。 主要功能如下：支持防御 Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、 IP Spoofing、CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP 欺骗攻击防范、 ARP 主动反向查询、 TCP 报文标志位不合法攻击防范、支持 IP SYN39海南省 XX 医院 5G 智慧医院建设项目 技术方案速度限制、超大 ICMP 报文攻击防范、地址/端口扫描的防范、 DoS/DDoS 攻击防 范、 ICMP 99、重定向或不可达报文控制等功能， 此外还支持静态和动态黑名单功能、MAC 和 IP 绑定功能。DDOS 防护(2) 用户安全服务 用户可视可控有效区分用户， 是部署差异化授权和审计策略、有效防御身份冒充、权限扩 散与滥用等的管理基础。联通沃云上网行为管理系统支持丰富的身份认证方式： 本地认证： Web 认证、用户名/密码认证、 IP/MAC/IP-MAC 绑定； 第三方认证： LDAP、RADIUS、POP3、PROXY、数据库等； 短信认证：通过接收短信获取验证码，快速认证； 微信认证：通过扫描二维码，关注微信公众号进行快速认证； 访客二维码认证： 接待人员扫描访客手机上的二维码，备注信息后，100、 访 客即可通过认证； 双因素认证： USB-Key 认证； 单点登录： AD 域、 POP3、PROXY、WEB 和第三方系统等； 强制认证：强制指定 IP 段的用户必须使用单点登录。 流量可视可控AC 为 IT 管理员提供了网络流量可视化方案，登陆 AC 控制台后，管理员可 以查看出口流量曲线图、当前流量 TOP N 应用、用户流量排名、当前网络异常状40海南省 XX 医院 5G 智慧医院建设项目 技术方案况(包括 DOS 攻击、 ARP 欺骗等)等信息，直观了解当前网络运行状况。此外，数据中心(Network Database Center，NDC)对内网用户的各种网络 行为流量进行记录101、审计， 借助图形化报表直观显示统计结果等， 帮助管理员了解流量 TOP N 用户、 TOP N 应用等，并自动形成报表文档。 多线路复用和智能选路 基于用户/终端类型/应用/位置/网站类型/文件类型的智能流量管 理 多级父子通道嵌套技术 动态带宽分配 P2P 的智能识别与灵活控制 流控黑名单 行为可视可控行为日志记录内网用户的所有上网行为 AC 都能够记录以满足公安部 82 号令的要求。 AC 可针对不同用户(组)进行差异化的行为记录和审计， 包括网页访问行为、网络发 帖、邮件 Email、IM 聊天内容、文件传输、游戏行为、炒股行为、在线影音、 P2P 下载等行为，并且包含该行为的详细信息102、等。报表分析大型组织可能在短短 60 天就产生数百 G 行为日志，仅仅实现日志的海量审 计尚不足以帮助组织管理员透彻了解网络状况，而通过 AC 独立数据中心丰富报 表工具， 管理员可以根据组织的现实情况和关注点定制、定期导出所需报表， 形 成网络调整依据、组织网络资源使用情况报告、员工工作情况报告等。(3) 安全接入服务 终端认证与准入联通沃云上网行为管理系统，支持丰富的终端接入及身份认证方式： 包括 Web 认证、用户名/密码认证、 IP/MAC/IP-MAC 绑定等。41海南省 XX 医院 5G 智慧医院建设项目 技术方案 PC 终端安全级别检测借助联通沃云上网行为管理系统， 将按照管理员103、要求检查每位员工防病毒软 件安装、运行、操作系统版本、补丁情况、注册表键值、终端程序运行情况、终 端目录盘下文件情况等， 不满足预设安全级别的终端将不允许访问互联网， 从而提升整个内网的可靠性和可用性。 无线接入管理联通沃云 AC 开创性的提出“有线无线统一行为管理解决方案”不仅在传统 的有线网络的管理中微创新，还集成无线控制器功能，直接管理 AP，一体化的 管理无线网络。让有线和无线网络管理起来毫不费力。联通沃云 AC 能够在管理界面上直接配置接入点的工作模式，支持 Normal、 Monitor 和Hybrid 三种工作模式和国家码信道； 支持双频段； 支持对网络协议、 信道带宽、用户上限104、功率、终端速率限制等各种无线射频的配置； 支持信号强 度和接入人数的负载均衡。联通沃云 AC 提供统一的有线无线网络的管理界面，直观实时的看到接入点 状态、射频状态和无线网络状态，让网络简单易管理。组织外线路检测组织为了规范内网终端使用， 避免敏感数据外泄， 限制内网终端只能在内网 使用，一旦接入外部网络将产生告警。联通沃云 AC 通过组织外线路检测技术， 制定合法网关列表， 一旦发现终端的网关地址不在合法网关列表内， 将向管理员 发出告警信息，方便管理员发现非法外联行为并迅速响应。(4) 入侵检测与入侵防御下一代防火墙的入侵检测功能的核心技术体现在检测引擎、签名库识别效率 和处理性能上。通105、过 IPS 检测引擎和签名库， 可以对系统漏洞、未授权自动下载、 欺骗类应用软件、间谍/广告类软件、异常协议、 P2P 异常等多种威胁进行防护。同时， IPS 基于“漏洞”的签名规则， 单条规格可以覆盖上千种攻击； 借助蜜罐42海南省 XX 医院 5G 智慧医院建设项目 技术方案系统，实时捕获最新的攻击、蠕虫、木马等威胁，提供零日攻击的防御能力。 入侵防护漏洞规则特征库数量在 4000 条以上，入侵防护漏洞特征具备中文相关介绍， 包括但不限于漏洞描述， 漏洞名称， 危险等级， 影响系统，对应 CVE 编号，参考信息和建议的解决方案。可提供最新的威胁情报信息， 能够对新爆发的流行高危漏洞进行预警106、和自动 检测，发现问题后支持一键生成防护规则。(5) 恶意代码防范 病毒防护联通沃云 NGAF 采用流模式和启发式文件扫描技术， 可对 HTTP、SMTP、POP3、 FTP 等多种协议类型的近百万种病毒进行查杀， 包括木马、蠕虫、宏病毒、脚本 病毒等，同时可对多线程并发、深层次压缩文件等进行有效控制和查杀。内存共享杀毒协议解析引擎和杀毒引擎之间直接通过共享内存传递病毒样本和杀毒结果， 进程之间数据交互零拷贝，不会因为不同引擎间的数据拷贝导致杀毒效率降低。多进程并行查杀杀毒引擎采用联通沃云 NGAF 自研发的多进程任务分发架构，利用多核硬件 架构，可以极大的提高杀毒引擎同时查杀的病毒样本数目。107、智能学习病毒杀毒引擎对于已经查杀过病毒样本， 将智能的提取样本特征写入缓存， 当协 议解析引擎再次发起相同的病毒样本查杀任务时， 可以快速的返回查杀结果， 从而极大的提高病毒查杀效率。 WEB 层防护联通沃云 NGAF 能够有效防护 OWASP 组织提出的 10 大 web 安全威胁的主要攻 击，并于 2013 年 1 月获得了 OWASP 组织颁发的产品安全功能测试 4 星评级证书(最高评级为 5 星，联通沃云 NGAF 为国内同类产品评分最高)主要功能如：43海南省 XX 医院 5G 智慧医院建设项目 技术方案防 SQL 注入攻击SQL 注入攻击产生的原因是由于在开发 web 应用时， 没108、有对用户输入数据的 合法性进行判断， 使应用程序存在安全隐患。用户可以提交一段数据库查询代码， 根据程序返回的结果， 获得某些他想得知的数据， 这就是所谓的 SQL Injection， 即 SQL 注入。 NGAF 可以通过高效的 URL 过滤技术，过滤 SQL 注入的关键信息， 从而有效的避免网站服务器受到 SQL 注入攻击。防 XSS 跨站脚本攻击跨站攻击产生的原理是攻击者通过向 Web 页面里插入恶意 html 代码，从而 达到特殊目的。 NGAF 通过先进的数据包正则表达式匹配原理，可以准确地过滤 数据包中含有的跨站攻击的恶意代码，从而保护用户的 WEB 服务器安全。防 CSRF 攻109、击CSRF 即跨站请求伪造，从成因上与 XSS 漏洞完全相同，不同之处在于利用 的层次上， CSRF 是对 XSS 漏洞更高级的利用，利用的核心在于通过 XSS 漏洞在 用户浏览器上执行功能相对复杂的 JavaScript 脚本代码劫持用户浏览器访问存 在 XSS 漏洞网站的会话， 攻击者可以与运行于用户浏览器中的脚本代码交互， 使 攻击者以受攻击浏览器用户的权限执行恶意操作。 NGAF 通过先进的数据包正则 表达式匹配原理，可以准确地过滤数据包中含有的 CSRF 的攻击代码，防止 WEB系统遭受跨站请求伪造攻击。 主动防御技术主动防御可以针对受保护主机接受的 URL 请求中带的参数变量类型，110、 以及变 量长度按照设定的阈值进行自动学习， 学习完成后可以抵御各种变形攻击。另外 还可以通过自定义参数规则来更精确的匹配合法 URL 参数，提高攻击识别能力。应用信息隐藏NGAF 对主要的服务器(WEB 服务器、 FTP 服务器、邮件服务器等) 反馈信息44海南省 XX 医院 5G 智慧医院建设项目 技术方案进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如：HTTP 出错页面隐藏：用于屏蔽 Web 服务器出错的页面，防止 web 服务器版 本信息泄露、数据库版本信息泄露、网站绝对路径暴露， 应使用自定义页面返回。HTTP(S)响应报文头隐藏： 用于屏蔽 HTTP(S)响应报111、文头中特定的字段信息。FTP 信息隐藏： 用于隐藏通过正常 FTP 命令反馈出的 FTP 服务器信息， 防止 黑客利用 FTP 软件版本信息采取有针对性的漏洞攻击。URL 防护Web 应用系统中通常会包含有系统管理员管理界面以便于管理员远程维护 web 应用系统， 但是这种便利很可能会被黑客利用从而入侵应用系统。通过 NGAF 提供的受限 URL 防护功能， 帮助用户选择特定 URL 的开放对象， 防止由于过多的 信息暴露于公网产生的威胁。HTTP 异常检测通过对 HTTP 协议内容的单次解析，分析其内容字段中的异常，用户可以根 据自身的 Web 业务系统来量身定造允许的 HTTP 头部请求方112、法，有效过滤其他非 法请求信息。缓冲区溢出检测缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。可以利用它执行 非授权指令， 甚至可以取得系统特权， 进而进行各种非法操作。 NGAF 通过对 URL长度， POST 实体长度和 HTTP 头部内容长度检测来防御此类型的攻击。 未知威胁检测联通沃云 NGAF 在发现未知流量时，将会主动(配置允许的条件下)将未知 流量上传到云端沙盒进行未知威胁的检测工作。联通沃云云端沙盒可以通过监测 沙盒环境下的文件执行情况、异常网络行为、注册表改动等行为来进行未知威胁 的判定工作，再通过特征库更新的方式下发到所有在线的 NGAF 上。45海南省 XX 医院 5113、G 智慧医院建设项目 技术方案联通沃云目前已经有上万台 NGAF 与云端联动，每天运行大量的未知流量发 现新威胁特征，用以充实特征库，帮助用户抵御最新的攻击行为。未知威胁检测(6) 网络设备防护在云平台云安全资源池中部署的是虚拟防火墙， 互联网和内网服务区之间部 署了虚拟防火墙，实现平台的安全防护访问控；，在各个云平台之间部署医院安 全资源池， 实现各医院用户的访问控制， 仅对医院、互联网区和公共业务区开放 业务所需的 IP 和端口，默认拒绝所有其他会话，同时强行将医院的 RDP、SSH 管理协议强行指向专享云带外管理网的云堡垒机， 防止医院通过带内通道直接管 理虚拟机。虚拟防火墙部署于医疗云114、内部的医院云安全资源池中， 实现以虚拟机 为单位的细粒度访问控制， 重点实现虚拟机内“东西向”流量的访问控制， 访问 控制原则为对外开放本主机的业务所需的 IP 和端口，默认拒绝所有其他会话。46云安全资源池Web服务器区 App服务器区 数据库服务器区VM VM VM虚拟交换机云堡垒机虚拟化物理虚拟交换机虚拟交换机网络设备防护云安全管理应建立一套“体系化”的管理模式， 符合等级保护三级的安全管 理要求，能够从安全管理制度、云运维管理 2 个层面全面实现安全管理体系。医疗云中各医院人员通过业务专网远程访问云堡垒机， 通过云堡垒机及配套 的认证系统进行身份认证，堡垒机对于用户的 RDP、SSH 115、等管理协议进行实时录 屏， 同时由边界虚拟防火墙进行基础的访问控制， 防止各医院安全管理员跳过堡 垒机直接对服务器进行管理。当医院需要通过医疗云平台对虚拟机进行深层次管 理时，则通过安全网关访问医疗云平台，通过分配的账号进行管理。 面向平台的安全技术体系(一)平台安全架构设计一个好的安全技术体系框架落实， 需要合理、合规、科学的网络安全规划与 安全设备部署。联通沃云通过多年安全体系建设和医疗云安全项目经验积累， 根47海南省 XX 医院 5G 智慧医院建设项目 技术方案据海南省 XX 医院云平台的实际情况，给出以下总体网络安全构架设计。合规性 满足： 遵循等级保护标准，进行“一个中心，三重防护116、”设计和安全措施部署 满足云安全专项标准中对安全责任的明晰，虚拟化安全措施部署和要求满足1) 安全防护、检测、响应三个维度满足通过联通沃云安全服务云的安全防护， 以及部署边界安全防护措施， 有效满 足区域边界的访问控制、攻击防护和入侵防范；部署的下一代防火墙，均具备 27 层的双向安全威胁检测能力；可以和安全管理中心、联通沃云安全服务云形成良好互动， 保障快速响应能 力。2) 对云环境下特有安全问题解决通过在虚拟化平台上部署安全组件(虚拟防火墙、虚拟负载均衡、虚拟威胁 检测探针、虚拟 VPN 等)，并进行安全策略设置， 保障虚拟化网络的可视、可控， 虚拟化边界安全防御、检测和响应能力。通过对云117、管平台、虚拟化平台、虚拟机的安全加固和安全审计等措施部署， 保障医疗云平台的安全，保障医疗系统安全、持续、有序运转。(二) 安全区域边界设计互联网出口区1) 本区说明：为各系统提供统一互联网出口，互联网访问服务。2) 存在风险： 作为互联网对接的出口，数量众多的用户通过该出口进行互 联网访问，需保障链路实时可用、流量可控；在与互联网对接后，可能会遭受 DDoS 攻击、网络攻击， 从而造成链路中断、内部 IT 系统被入侵， 甚至被非法分 子远控后向外发起攻击、窃取关键重要数据或借机发布负面言论。48海南省 XX 医院 5G 智慧医院建设项目 技术方案3) 安全措施部署说明：在互联网上采用联通沃云118、安全服务云，进行北向防 御、安全扫描与监测； 或在互联网和公共业务网络核心交换机之间， 双机热备模 式串行部署防 DDoS、下一代防火墙和安全设计设备。 面向医院的安全技术体系(一) 部署架构面向医院的部署架构安全资源池部署在核心交换机上， 采用物理旁路， 逻辑串联的方式， 核心交 换机采用策略路由的方式将云平台的业务流量引流到云安全资源池， 通过安全资 源池的云 Web 防护系统、云 DDOS、云堡垒机、云数据库审计、云防火墙、云 IPS、 云 VPN、云防病毒、云 APT 检测对数据量进行安全检测， 检测完成后在返回给交 换机到出口。完成整个数据流的安全防护， 实现了南北向和东西向纵深防护119、体系。以上落实到实际效果主要体现在两个部分： 一部是为医院提供了合规安全保 障体系，一部分是实现了安全需求服务化交付，具体如下： 实现医院 VPC 边界防护， 虚拟机间的边界防护， 形成了纵深多维度防护体系； 通过安全需求服务化交付， 实现了医院安全需求按需服务， 根据医院需求实现弹性扩展，提供 WAF、IPS、FW、APT、VPN、APT 等丰富的增值服务内容， 满足医院合规需求； 通过联通沃云安全云，实现未知威胁发现、 Web 业务系统漏洞扫描和安全监49海南省 XX 医院 5G 智慧医院建设项目 技术方案测，动态感知安全威胁，提前预警和防护； 通过云安全资源池管理平台， 实现全网态势感知120、动态展示、策略下发、安全事件实时处置； 与联通沃云安全云联动， 实现安全威胁情报协同， 突发安全事件在线应急响应。南北向安全服务流南北向安全服务流即互联网医院侧业务(比如 web 业务) 访问流向， 医 院侧业务南北向安全风险与原有线下安全风险类似， 例如 web 业务需要实现入侵 防护、 web 安全防护、 VPN 安全接入等功能。面向医院的安全南北向防护， 主要通过安全资源池平台上包含的各类安全组件来实现防护。南北向安全服务流东西向安全服务流东西向安全服务流即医院申请的云主机、数据库之间的访问引入的安全服务 流，具体服务流可分类为：50海南省 XX 医院 5G 智慧医院建设项目 技术方案1121、. 同一业务系统前后端访问安全如当 web 系统运行的虚拟机访问数据库所在虚拟机时， 通过访问控制实现数 据库仅允许授权的前端 web 服务器访问2. 不同业务系统间访问安全如当医院在云上有两套业务系统， 这两套业务系统在物理机房是逻辑隔离的(无法直接互相访问)东西向服务流策略规则(二) 南北向安全服务设计1) 安全服务交付形式安全资源池中的各类安全服务能够如同计算资源服务化的方式进行交付， 所51海南省 XX 医院 5G 智慧医院建设项目 技术方案谓的服务化，安全不再是一个硬件产品所匹配的策略，也不是一个软件的镜像， 真正的让安全以服务的方式进行交付。后端数据流如下图所示：安全服务交付形式后122、端数据流安全资源池平台网络整体流量分为四部分：安全资源池内部网络流量(vxlan)云安全资源池最重要的组成部分， 网络虚拟化的载体vxlan 技术， 通过 vxlan 技术， 允许平台运营方可以自定义引流到安全资源池内部的虚拟网络， 配 置安全资源池内部私有转发地址等功能。虚拟存储网络流量用于集群内宿主机虚拟存储通信， 数据多副本情况下的数据卷的复制等， 当 集群内硬盘或宿主机故障后，虚拟存储网络用于同步副本数据，避免业务中断。管理网络流量：一般医疗云网络架构中， 管理网络与业务网络隔离， 具体表现为服务器上至 少会为管理网络、业务网络各分配一个网口， 用于不同类型流量接入。管理网络 主要用于123、该台宿主机上运行的医疗云医院对自身业务进行日常维护和管理。业务网络流量：52海南省 XX 医院 5G 智慧医院建设项目 技术方案医院业务流量入口，负责处理从物理网络引流至云安全资源池平台的流量。 2) 安全服务交付流程平台方交付流程主要满足医院在申请资源后的安全资源的释放，逻辑如下：交付流程图3) 具体交付服务内容A. 安全接入服务a) 包含服务：SSL VPN/IPSEC VPN安全策略内部业务系统如果直接通过公网访问， 部分数据在公网可能被人劫持、利用、 篡改，同时如果在公网传输的数据是明文传输的，风险会更大，所以可以利用 VPN 功能(SSL VPN 与 IPSEC VPN)，对公网传输124、的数据进行加密， 构建 VPN 隧道， 避免在访问内部业务系统过程中数据被窃取、篡改。B. 安全防御服务a) 包含服务：基础防御服务涉及具体功能为应用控制、传统防火墙、防病毒网关、 IPS 功能 WEB 安全增强服务涉及具体功能为： WAF、防篡改、数据防泄密功能b) 安全策略针对操作系统漏洞(windows 漏洞)、应用系统漏洞(apache 漏洞、 IIS 漏 洞、 FLASH 漏洞等) 提供防护措施， 避免因为未及时更新补丁造成的漏洞被恶意53海南省 XX 医院 5G 智慧医院建设项目 技术方案分子利用， 对操作系统、应用系统进行恶意修改， 比如增加一个操作系统管理员， 对操作系统进行修125、改，达到恶意利用的目的。WAF 功能，又称为 WEB 防火墙功能， 只要在云上有 web 系统对外发布的场景， 建议部署 WAF 服务， web 攻击因其攻击手段的多样化， 已经成为目前主流攻击形 式。一个 web 系统可以被插入恶意代码， 引导用户点击并窃取用户核心信息， 也 可以通过恶意的数据库请求对数据库进行非法操作，也可以劫持用户浏览器数 据， 获取后台管理密码等。以上攻击， 由于业务系统在开发时对代码检测力度不 够以及 web 攻击不断演变， 如果有web 系统， 一定需要提供对外web 系统的 web 应用防护(WAF 防护功能)。防篡改功能， 避免网页(门户网站等) 被恶意人员篡126、改， 比如网站首页图片 被恶意替换、内容被恶意替换， 从而给单位带来极其恶略的影响。适用于对外发 布网站(门户网站、有 web 页面的业务系统)：适用于单位对外发布业务的网站 篡改监测与保护，通过在网站服务端安装防篡改软件，避免页面被恶意篡改。病毒网关功能，通过在上网/下载流量的出入口提供防病毒网关服务，对服 务器外发、用户上传的文件进行病毒识别、查杀，避免用户主动上传/服务器端 主动下载的文件中包含各类病毒。用户端无需安装终端软件， 不会带来终端 CPU、 内存资源消耗，也实现了轻量化的防病毒功能。数据防泄漏功能，针对敏感信息批量外发进行保护，如 186、139 等有特征 的 11 位的手机127、号码、 18 位身份证号，有标准特征的邮箱等有特征数据进行识 别， 同时可以针对自身业务系统关键数据进行配置， 比如社保卡号， 避免服务器 被攻击后黑客批量外发敏感数据， 该模块可以阻断敏感信息的泄漏。有防护了各 医院敏感泄漏的风险。C. 应用交付服务i) 包含服务： 应用负载、 SSL 卸载服务54海南省 XX 医院 5G 智慧医院建设项目 技术方案ii)安全策略应用交付服务支持基于 IP 地址、应用类型和内容等因素实现流量负载。通 过这种方式可以为不同类型的应用类型分配不同的服务器资源。应用类型调度支 持基于不同协议上的多种应用， 包括 TCP、UDP、IP、DNS、E-mail、FTP、128、HTTP、 RADIUS 等等。在实现 L4 服务器负载均衡的场景中， 应用交付服务负责将客户端 的请求转发给服务器， 然后客户端与服务器之间建立 TCP 连接， 基于七层内容的 调度机制， 使得管理员可以通过应用层的内容交换来分配服务器资源， 以实现用 户请求调度的多元化和个性化， 业务应用的场景十分广泛。例如，基于 URI、HOST、 COOKIE、USER_AGENT等HTTP 头部内容的匹配策略来选择服务器，或者通过对HTTP 头部进行请求改写和应答改写， 执行页面跳转和丢弃等操作， 实现不同业务系统 之间的交互联动(三) 东西向安全服务设计东西向安全流量的设计，采用联通沃云公司提供的129、终端检测响应平台(EDR) 方案， 方案由轻量级的端点探针和管理平台共同组成。轻量级的端点探针 agent 需要安装在用户的云服务器上， 管理平台可以部署在云平台内部或使用 Sangfor 的 SaaS 服务云。安全服务交付形式医院上云后，医院除了关注终端检测响应平台(EDR)是端点探针记录大量 主机和网络事件， 并将这些数据发送到管理平台， 然后由管理平台进行全面的安 全分析，根据已知攻击指示器(IOC)、行为分析和机器学习等技术来检测安全攻 击行为， 并对这些攻击做出快速的响应动作。解决方案将对主机进行持续的安全 检测，并对发生的安全事件进行自动响应加固安全服务交付内容A. 恶意文件自动隔130、离响应55海南省 XX 医院 5G 智慧医院建设项目 技术方案端点探针部署在服务器终端上， 在操作系统用户态稳定运行， 轻量级无感知， 实时采集部署环境的安全相关数据，全面探测服务器主机和网络上的威胁活动， 通过文件信誉库或相似库来防止已知的威胁文件运行， 并对已知恶意文件进行自 动隔离的响应处理。B. 入侵行为主动 IP 封堵端点探针实时感知网络威胁活动，对远程攻击的入侵者，可对入侵源进行 IP 封堵处理， 并主动把入侵源加入 IP 黑名单， 实时响应缓解攻击， 持续进行安 全加固，减少攻击对业务资产运营的影响。C. 应用角色访问控制加固在虚拟化云环境中， 可对服务器应用角色之间的东西向流量131、进行访问控制策 略配置， 提供对业务安全域之间、业务安全域内不同应用角色之间、业务安全域 内相同应用角色之间的访问控制策略配置， 提供简单的安全访问策略配置， 提高 了安全管理的效率。D. 威胁情报智能关联检测联通沃云的安全云平台通过端点返回的事件信息， 关联在线数十万台安全设 备的云反馈威胁情报数据， 以及第三方合作伙伴交换的威胁情报数据， 智能分析 精准判断， 超越传统的黑白名单和静态特征库，为已知/未知威胁检测提供有力 支持。并且可与产品进行自动化联动检测和防护， 形成应对威胁的云管端立体化 纵深防护闭环体系。(四)性能与冗余架构设计由于采用了标准的 x86 硬件平台， 安全资源池整个平132、台的性能与冗余性可以 通过标准硬件的扩容以及借助安全资源池自身虚拟化平台的特性， 实现整个医院 安全方案的冗余性与高性能保障。A. 高性能架构设计56海南省 XX 医院 5G 智慧医院建设项目 技术方案平台高性能架构整个安全资源池平台基于联通沃云自主研发的超融合平台设计， 超融合平台 包含了计算、网络、存储虚拟化功能， 同时可以通过多台服务器的堆叠实现整个 安全资源池集群的处理能力的线性扩容。大流量下的接口高性能通过万兆接口的捆绑， 实现大流量处理能力， 由于安全资源池为“旁路”部 署的产品，且云内流量普遍较大， 所以能够实现大流量下的接口高性能处理能力。B. 冗余性设计网络冗余考虑到在策略路133、由引流至安全资源池后， 当安全资源池整个平台故障后， 策 略路由失效后，由于策略路由可以与静态联动(如华三的 NQA 与策略路由的联 动)，可以及时切换路由， 最后安全资源池平台也会有一条bypass 路由， 避免平 台整个路由故障带来的使用故障。平台冗余借助安全资源池底层平台提供的虚拟化层特性， 可以实现服务器故障、硬盘 故障等硬件故障情况下的冗余。安全服务冗余借助于安全资源池平的 DRX 、DRS 等功能，可以实现安全服务的动态阔扩容， 避免安全服务处理能力不足，导致的业务影响。(五) 优势技术A. 自主研发的云安全资源池整体解决方案经过多年技术积累和产品研发，联通沃云已经形成了丰富的云安134、全产品线，覆盖了云安全解决方案中的主要核心产品。主要核心产品线包括： 丰富的下一代防火墙、 Web 漏洞扫描、 APT 检测、入侵防御、 Web 应用防 火墙、网页防篡改、 VPN 接入等核心安全产品；57海南省 XX 医院 5G 智慧医院建设项目 技术方案 自主研发的云安全资源池虚拟化平台；在核心产品的支撑的基础上， 联通沃云针对医疗云需求开发出针对性的云安 全解决方案， 各组件之间无缝集成， 确保了解决方案的稳定性、完备性和安全性。B. 先进的云计算方案架构设计联通沃云云安全方案架构设计采用软件定义安全的架构设计理念， 从安全需 求的角度设计匹配的云安全基础架构， 确保云安全资源池架构的可135、扩展性、灵活 性和可演进性。同时， 实现云安全设计和 IT 基础架构松耦合， 确保 IT 基础架构 对安全多样性的支持和业务快速上线的支持。联通沃云云安全方案架构设计的优势主要体现在以下几点： 成熟的软件定义安全设计方案。云安全资源池方案设计采用联通沃云自 主研发的虚拟化产品， 总结联通沃云丰富的云安全项目经验， 经过联通 沃云 SDL 流程的严格开发， 确保了云安全资源池方案的先进性和可靠性 先进的安全合规方案。联通沃云云安全资源池方案设计覆盖网络和通信 安全、应用和数据安全、设备和计算安全等多方位安全防护， 满足云数 据中心软件定义安全的需求。C. 领先的智能化运维管理联通沃云云安全资源池136、方案在软件定义网络方面， 舍弃了复杂的传统硬件厂 商的复杂的解决方案、采用更加灵活和简单的方式来实现 SDDC 中的整体 IT 基础 服务， 比如在实现 Overlay 的时候， 用 Vxlan 实现多医院的业务安全隔离， 但对 于用户为透明无感知， 不需要精通各种复杂的技术， 和繁琐的配置操作， 只需通 简单的通过所画即所得的方式， 即可构建业务系统的完整逻辑。极大简化了超融 合架构下的数据中心运维和管理工作。D. 平台解耦，全面兼容目前传统的云安全解决方案采用的是硬件一虚多的方式， 采用硬件平台虚拟 安全功能软件， 由于部署方式需要考虑与云平台的兼容性， 不能满足所有云平台58海南省 XX137、 医院 5G 智慧医院建设项目 技术方案的需求， 只能与部分的云平台保持可用性， 降低了使用范围， 且稳定性较差， 并 需要改变网络架构，灵活性较差。 联通沃云的云安全资源池方案采用的是超 融合技术， 提供了完整的一站式云安全解决方案， 并部署简单， 与云平台解耦合， 兼容所有云平台厂商，不破坏现网结构，实现灵活部署。E. 医院合规安全，服务化交付联通沃云云安全解决方案实现了医院安全功能需求服务化， 场景化， 像交付 存储、计算一样交付安全， 原来通过购买安全产品满足等保合规需求， 现在通过 安全资源池一样可以满足， 且不需要购买安全专有设备， 只需要 X86 服务器， 实 现安全合规需求。F138、. 全面保障云安全，动态感知威胁及时预警联通沃云云安全解决方案通过多种安全功能的统一整合，实现了安全防护、 安全检测、安全审计、安全运维的四位一体防护体系， 结合联通沃云云端的大数 据分析平台， 通过安全事件、安全监测和威胁情报等海量信息， 可以实现动态感 知云安全威胁，做到提前告警、提前预防、提前处置。 安全管理服务体系建设(一) 云端监测扫描及网站防护体系建设检测的网站先经过用户授权， 授权后的网站会录入我公司的数据库中， 同时 客户提交的网站还会经过人工审核， 确保域名的准确性。授权和审核通过后， 启 动扫描。扫描采用全自动化方式，第二天即可出报告，报告内容经过人工确认。暴露面检测资产发139、现云上业务资产越多， 维护难度越大， 特别是那些不经常访问的业务以及不在 保护范围内的业务资产， 直接把漏洞暴露给互联网， 带来重大安全隐患。严重的 情况下，甚至导致其他核心业务也遭受关联影响。59海南省 XX 医院 5G 智慧医院建设项目 技术方案网站资产识别可根据客户提交的网站根域名， 自动识别出根域名下的所有子 域名， 可识别服务端指纹识别、第三方应用组件指纹识别。同时还根据识别的结 果，判断哪些资产未受到有效的安全防护。开放端口探测检测网站服务器开放的不安全服务， 立即通知用户。支持对以下几种类型的 不安全服务的检测： SSH 服务、 RDP 服务、 mysql 数据库服务、 sqls140、erver 数据库 服务、 oracle 数据库服务、 ftp 服务、 RPC 远程过程调用服务。网站后台暴露通过云端监控平台发现网站管理后台是否存在无需口令登录便可直接访问 漏洞，发现管理后台存在未授权访问，第一时间通知用户脆弱性检测Web 漏洞扫描SQL 注入漏洞、跨站脚本漏洞、 XPATH 注入漏洞、 HPP 漏洞、 HTTP 响应分割 漏洞、建站服务器(server)漏洞检测、内容管理系统(cms)漏洞检测、网页 编辑器(editor)漏洞检测、网页教育系统(edu)漏洞检测、电子邮件系统(email) 漏洞检测、电子商城系统(shop)漏洞检测、办公自动化系统(oa)漏洞检测、 建站141、框架(frame)漏洞检测、建站语言(lang)漏洞检测信息泄漏检测通过云端监控平台发现服务器运维不当的风险， 对以下风险进行监控并通知 用户1)出错信息数据库出错信息识别、 Web 容器错误信息识别、常见 Web 开发框架出错信 息识别、常见服务端语言出错信息识别2)网站源码 覆盖 PHP, .NET, ASP, JSP 等服务端语言的源码泄露识别60海南省 XX 医院 5G 智慧医院建设项目 技术方案3)数据库备份文件4) SVN 文件等向外网泄漏5) Phpinfo6)目录浏览检测 覆盖 IIS, Apache, Tomcat, Jboss 等 Web 容器的目录 浏览识别0day 漏洞142、检测0day 漏洞，是已经被发现(有可能未被公开),而官方还没有相关补丁的漏 洞。对于影响范围大、破坏性高的重要网络安全事件和安全漏洞快速预警通告给 用户并针对一些高危漏洞进行定向检测定向推送到客户微信端。(二) 医疗云运安全维体系建设A. 配合平台方交付持续的检测服务持续加强防御是属于联通沃云安全理念持续检测的闭环之一。在对用户业务 安全运营过程中不断的发现问题处理过程中， 可以让用户业务的整体安全能力不 断提升。主要提供如下服务1)持续分析新型漏洞、攻击方法，提取漏洞和攻击特征更新到用户安全防 御规则库；2)持续评估业务安全风险，发现业务系统存在的新型漏洞或未被安全策略 保护的新上线业务系143、统；3)基于攻击威胁情报，分析并下发信誉不良的 ip。安全巡检服务采用工具对用户现有的业务系统做安全检查， 内容包括入侵检查和漏洞检 查，在业务系统服务器上安装检查工具对服务器进行恶意文件查杀， 提供检查报 告； 扫描工具对客户信息系统进行安全扫描， 发现漏洞， 提供扫描报告， 并根据 检查报告给出整改建议。61安全月报通过对漏洞、攻击、入侵、等数据进行周期性分析， 根据分析结果不断加强 防御并输出可视化安全运营综合报表。同时让您可以根据当前业务安全状态进行 下一步安全规划和决策分。安全趋势分析从行业， 地域， 攻击手段进行全网大数据分析， 溯源攻击者信息， 还原黑客 组织、目标，预知可能产生144、的热点威胁B. 安全专家响应主动响应主动响应是指在用户使用联通沃云提供的检测服务基础上， 进一步提供的主 动服务。传统的应急服务大部分是用户发现问题、确认问题后寻求厂商响应处理 问题， 响应时间不可控， 可能会导致安全事件的影响进一步扩大。而主动响应服 务在检测出一些非紧急安全事件时由联通沃云专家团队主动响应， 协助用户处理 问题。可以大大缩减问题响应时间，把一些安全事件控制在萌芽期，减少/挽回 业务损失；人工应急响应对用户的信息安全事件进行现场应急响应处理， 及时快速解决安全故障， 修 复系统，减少/挽回业务损失；完成安全事件的响应后， 制定网络安全事件处理 报告、后续采取预防性措施避免类似145、事件再次发生；合规加固安全监管单位会根据网络安全进行例行检查或根据其他合作部门通报的情 况，发现用户信息系统存在安全漏洞。依照相关法律授权监管单位会进行通报并 督促整改工作。接收到安全管理单位限期整改通知时， 应急响应中心可提供报告 分析及处理方案，协助对非合规项进行加固，并协助完成安全复查。62海南省 XX 医院 5G 智慧医院建设项目 技术方案3.1.5.2.4主机安全沃云的系统安全建设主要包括：(1)主机系统漏洞扫描与加固采用安全扫描技术，对网络中关键的主机和服务器进行定期漏洞扫描与评估， 针对相关的系统漏洞，提出修补的措施，并定期进行相关操作系统的裁剪、 修补和加固的工作。(2)操作系146、统安全通过使用主机访问控制等技术措施及手段， 对系统中的主机与服务器系统严 格划分、管理、控制用户的权限和行为，增强操作系统的健壮性以及安全性， 使 操作系统达到更高层次的安全级别。(3)网络病毒防杀系统建立全网的病毒检测与防范系统，及时检测和控制各种文件、宏和其它网络 病毒的传播和破坏， 具有集中统一的管理界面， 系统具有自动升级，自动数据更 新，可管理性等特性。(4)主机安全监管通过网络安全综合管理， 对关键主机和服务器系统的运行状态、资源的使用 情况、安全日志等进行监管， 及时发现系统的异常行为和故障， 保障主机与业务 系统的可用性。(5)虚拟主机安全在虚拟主机上部署虚拟化安全防护系统。147、以软件包形式提供给用户安装在客 户的虚拟主机上， 以解决虚拟化环境中的新的安全问题，如虚拟主机间的访问控 制、攻击防御、病毒检测、流量监控、 业务审计等。(6)系统冗余和备份针对关键的主机应用系统， 建立系统冗余与备份措施， 如可通过服务器集群、 双机热备等措施， 最大程度保障主机系统的可用性， 最大程度的保障业务的连续 性。3.1.5.2.5云平台应用数据安全(1) 虚拟化63海南省 XX 医院 5G 智慧医院建设项目 技术方案本次项目提供 4 种云平台应用数据安全功能， 这 4 种云安全服务包括虚拟化 防火墙服务、虚拟化入侵防御服务、虚拟化Web 防护、虚拟化防病毒服务，通过 安全资源池来148、实现。虚拟化安全支持对虚拟环境的整体防护。支持对关闭的虚拟 机/模板进行安全扫描和防护，防止关闭状态的虚拟机/模板的安全策略/补丁更 新不及时过期出现安全隐患；整体的虚拟化安全措施可避免“病毒风暴”。a)虚拟化防火墙安全域隔离： 通过虚拟防火墙实现 VPC 外部和 VPC 内部之间的基于端口的访 问控制。访问控制策略： 对 VPC 外部和 VPC 内部之间流转的数据进行深度分析， 依据 数据包的源地址、目的地址、通信协议、端口，进行判断， 确定是否存在非法或 违规的操作，并进行阻断，从而有效保障了各个重要的计算环境。会话监控策略： 在防火墙配置会话监控策略， 当会话处于非活跃一定时间或 会话结149、束后， 防火墙自动将会话丢弃， 访问来源必须重新建立会话才能继续访问 资源。网络防攻击控制策略：防止 ARP 欺骗，防冲击波等。虚拟化防火墙功能 164海南省 XX 医院 5G 智慧医院建设项目 技术方案虚拟化防火墙功能 2快速扫描65海南省 XX 医院 5G 智慧医院建设项目 技术方案深度扫描b)虚拟化入侵防御i)通过在 VPC 内部部署虚拟 IDS/IPS 实现对于入侵的检测与防护。ii) 能够实时检测和阻断包括溢出攻击、 RPC 攻击、WEBCGI 攻击、拒绝服务、 木马、蠕虫、系统漏洞等在内的 11 大类超过 3500 种网络攻击行为， 有效保护用 户网络 IT 服务资源， 使其免受各150、种外部攻击侵扰。 TopIDP 产品能够阻断或限制 p2p 下载、网络视频、网络游戏等各种网络带宽滥用行为，确保网络业务通畅。iii)还提供了详尽的攻击事件记录、各种统计报表，并以可视化方式动态 展示，实现实时的网络威胁分析。iv) 医疗云平台安全沃云在安全管理上， 制定专业的安全管理规范。提供电信级的运营、维护管 理，保证所有操作安全合规。用户在访问医疗云平台资源过程中支持身份认证， 包括但不限于投标人维护人员、医护操作人员、医疗云管理单位监管人员。沃云的工作人员完全联通自有员工， 签订保密协议；同时，沃云对员工的操 作进行记录，便于安全分析、追溯、防抵赖。若发现重大安全事故或者安全隐患 时151、，联通沃云平台将积极配合进行安全整改。联通沃云为海南省 XX 医院云平台 平台建设的联通有沃云平台满足包括国家信息系统安全等级保护三级等有关要 求。c)虚拟化 WEB66海南省 XX 医院 5G 智慧医院建设项目 技术方案i)通过在 VPC 内部部署虚拟 WAF 实现对 web 服务器的安全防护。ii) 从网站系统可用性和信息可靠性的角度出发， 满足用户对于 WEB 防护及 加速、网页防篡改及网站业务分析等功能的核心需求。iii)提供事前预警、事中防护、事后分析的全周期安全防护解决方案。d)虚拟化防病毒i) 通过在 VPC 内部部署虚拟防病毒网关实现对医院的防病毒防护。ii)对 SMTP、PO152、P3、IMAP、HTTP 和 FTP 等应用协议进行病毒扫描和过滤。iii)通过恶意代码特征过滤，对病毒、木马以及移动代码进行过滤、清除 和隔离，有效地防止可能的病毒威胁，将病毒阻断在 vpc 外部。iv) 实时检测到日益泛滥的蠕虫攻击， 并对其进行实时阻断， 从而有效防止 信息网络因遭受蠕虫攻击而陷于瘫痪。虚拟化防病毒功能67虚拟化防病毒功能虚拟化防病毒功能(2)安全资源池管理调度安全资源池对云平台的每个医院是专用的， 可通过云管理平台进行统一的管 理和调度。安全资源池由三个主系统组成： 云安全管理平台、虚拟化网关服务资 源池、分布式安全网关。安全资源池具体组成模块如下图所示:云数据中心安全153、资源池组成图统一云管理平台(安全资源池管理模块) ：通过统一云管理平台的安全资源 池管理模块， 可管理安全资源池、 SDN 导流管理和安全资源管理。同时通过医院 自服务界面医院可以自行配置安全策略， 医院之间的安全策略相互独立。可以实 现基于虚拟机对象， 虚拟机安全组的策略配置模式。所有安全设备发生的安全事 件日志都会被收集上来进行大数据分析，并按照医院生成攻击统计以及攻击报 表、安全报警。虚拟化网关服务资源池：通过 SDN 导流、 NFV 架构对 VPN、FW、WAF、IDP、68海南省 XX 医院 5G 智慧医院建设项目 技术方案负载均衡、防病毒网关等安全资源进行池化， 每个医院创建一组安154、全资源， 可以 提供访问控制，访问控制、入侵防御、 Web 防护、 VPN 和病毒过滤等安全功能服 务。医院通过自服务界面，可以向配置物理安全设备一样配置虚拟化安全设备， 自定义安全策略。相当于医院门口的安全网关， 网关服务资源池主要提供数据中 心南北向流量安全服务功能，根据医院的需求，动态状态 VPN，IPS，WAF，FW 等虚拟资源， 并对外提供安全服务。同时具有两个维度的弹性扩展能力， 第一个 维度是安全资源组随着医院的增多而动态扩展， 每个医院一组安全资源。第二个 维度是，每个医院内部安全处理能力弹性扩展，通过动态探测和负载均衡技术， 动态调整安全处理性能。虚拟化分布式安全网关： 虚拟155、化分布式防火墙， 是在每个物理服务器上安装 一个或多个虚拟化安全网关，通过 SDN 的服务链注册机制，或者 Hypervisor 底 层的流量重定向机制， 实现把本台物理服务器上每个客户虚拟机的流量重定向到 虚拟化安全网关中， 从而实现虚拟机之间的， 以及进出虚拟机的流量的安全防护 功能。分布式防火墙主要针对数据中心东西向流量的安全防护， 因为一旦有客户 虚拟机被黑客入侵， 那么就相当于进入了数据中心内部， 同时针对虚拟化服务器， 多台客户虚拟机是在物理服务器内部进行通信，所以传统边界安全设备无法实 现。所以就需要在服务器内部进行安全防护， 因此我们采用虚拟化分布式防火墙 技术， 针对每台虚拟156、机的进出流量都被重定向到虚拟化安全网关， 这样同一台物 理服务器上的虚拟机之间通信， 以及数据中心内部的东西向通信流量都可以做到 安全防护。并配合基于 Hypervisor 的防病毒进行病毒过滤、查杀，大大提高的 数据中心内部的安全防护能力。虚拟化网关资源池对数据中心南北向流量提供可灵活编排的安全防护， 分布 式安全网关用于防护数据中心东西向流量。这样既能满足多医院按需弹性扩展安 全功能的需求， 又能增加数据中心内部安全。把东西向流量的安全策略下沉到分 布式安全网关上来实现， 这样能够保证虚拟机之间通信的安全， 同时通过分布式 架构，增加了水平扩展能力。在虚拟资源的防护上， 我们采用基于软件方157、式的 NFV 部署架构在医院的 VPC 中，具体见如下图示：69海南省 XX 医院 5G 智慧医院建设项目 技术方案NFV 部署架构图应用系统的云主机上通过安全组规则进行基于端口的访问控制。通过安全策 略设置， 实时监控虚拟机， 实现资源隔离， 并保证每个虚拟机都能获得相对独立 的物理资源， 并能屏蔽虚拟资源故障， 确保某个虚拟机崩溃后不影响其他虚拟机； 虚拟机只能访问分配给该虚拟机的物理磁盘； 不同虚拟机之间的虚拟 CPU(vCPU) 指令实现隔离； 不同虚拟机之间实现内存隔离； 可控制虚拟机之间以及虚拟机和 物理机之间所有的数据通信； 在迁移或删除虚拟机后确保数据清理以及备份数据 清理， 158、如镜像文件、快照文件等。定时进行漏洞检测、安全加固和补丁升级， 保 障虚拟化平台的动态可靠。部署虚拟路由器实现 VPC 内部不同子网的网络互通，各 VPC 之间通过 VPN 技术实现逻辑隔离。并可通过 SDN 导流技术进行灵活的安全防护编排， 满足各类 医院的特殊性安全需求，实现精确防护。可以定义医院南北向网关资源，配置 FW、IPS、VPN 等虚拟设备的安全策略。通过虚拟防火墙实现 VPC 外部和 VPC 内 部之间的基于端口的访问控制； 通过在 VPC 内部部署虚拟 IDS/IPS 实现对于入侵 的检测与防护；并针对 web 系统部署虚拟 WAF 实现安全防护。70海南省 XX 医院 5G159、 智慧医院建设项目 技术方案3.1.5.3混合云统一管理平台方案3.1.5.3.1产品简介本项目中采用灵云混合多云管理平台来统一管理生产数据中心与云下容灾 私有云平台。灵云 CMP (Woyun Cloud Management Platform)，是一款沃云自主 研发， 帮助企业构建云环境， 实现混合云或异构云的统一管理、自动化部署与运 维、持续集成与交付的云管平台产品。企业可以选用不同的虚拟化技术及云服务 商，并通过灵云 CMP，实现 IT 自服务管理，动态调度资源，异构资源的统一管 理、统一监控， 自动化运维和应用自动化编排、部署。持续提升企业的运营效率 和运维能力，支持企业从传统 IT160、 渐进、无缝地过渡到多云战略。灵云 CMP 包括私有部署版和 SaaS 版两种产品形态，其中私有部署版面向私 有云为主的客户，提供完整的混合多云管理能力软件， 并集成定制化需求， 满足 企业大规模的云资源管控要求； SaaS 版面向公有云为主的客户，以“云服务” 的形式向客户提供产品功能， 作为轻量级的通用云管软件， 满足客户相对较小规 模的云资源管控要求。3.1.5.3.2产品架构灵云 CMP 主要包含云治理、云资源、云服务、云成本、云运维、云适配六大 功能模块。产品架构图如下：71海南省 XX 医院 5G 智慧医院建设项目 技术方案图 1 灵云 CMP 产品架构 云治理帮助管理员定义角色和161、权限层次结构， 与企业和公有云目录和身份验证服务 集成， 搭建企业的组织机构管理体系，实现多级组织的精细化控制。支持设置配 额限制和工作流， 实现企业内部的流程管理体系。 云资源作为核心模块之一，对多层资源进行整合， 支持跨公有云和私有云平台管理 各种计算、存储、网络以及 PaaS 资源，同时服务资源全生命周期。能够对企业 IT、IP 等基础硬件设施进行整合管理。 云服务支持将资源以服务的方式，通过自定义流程控制提供给最终用户申请与使 用。动态配置各类资源服务及应用， 创建和管理多云应用和基础架构模板。提供72海南省 XX 医院 5G 智慧医院建设项目 技术方案各类统计分析， 如资源统计、容量162、和利用率统计、告警统计等， 帮助企业优化正 在进行的多云管理。 云成本以数据可视化的方式， 全面展现企业在公有云、私有云以及虚拟化环境等资 源池中的各类资源用量及费用， 各组织机构和项目的费用分摊， 并通过横向和纵 向的深入成本分析， 帮助企业了解实际使用情况。基于资源负载分析， 为用户提 供成本优化建议，降低和优化云成本，实现降本增效。 云运维提供全面覆盖的监控范围，对各系统告警进行统一标准化，多种告警提醒， 高性能告警处理。 提供指令/脚本批量执行、批量文件分发与采集等多种自动化 运维方式，实现“主动监控、集中管理、统一运维”的目标。 云适配具备混合多云整合能力， 跨公有云、私有云、虚拟化163、和容器的云环境。支持 沃云、阿里云、华为云、华三云、 VMware 等多家云服务商，不同类型和版本的 资源池。提供各级企业云资源环境账号信息配置接入， 各环境资源信息同步及管 理功能。3.1.5.3.3产品能力优势在纳管能力方面，能够对国内外主流的云商进行纳管，实现对主流公有云、 私有云、虚拟化、容器等基础设施的全面对接及资源整合， 另外可实现百万级别 的实例管理。73海南省 XX 医院 5G 智慧医院建设项目 技术方案3.1.5.3.4灵云 CMP 私有部署版产品优势 多云整合提供异构混合云管理能力， 灵活配置， 实现对主流公有云、私有云、 虚拟化、 容器等基础设施的全面对接及资源整合。 可164、视化支持云资源池总览、业务系统总览、告警影响分析以及虚拟资源总体监控等 多个层次的可视化，方便用户了解平台整体情况。 交互优化针对不同角色用户在平台上关注点不同这一特点， 对操作流程进行优化， 强 调平台的自服务属性。 专业定制在标准版功能基础上， 根据企业需求提供定制化解决方案。支持集成第三方 IT 服务管理工具和产品的使用。 持续集成提供开放的 REST API，支持敏捷与 DevOps，实现 CI、CD 全流程自动化。 多部署形态支持高可用部署， 避免单点故障。针对大规模集团性企业， 支持水平横向扩 展，进行分布式集群部署。74海南省 XX 医院 5G 智慧医院建设项目 技术方案3.1.165、6容灾中心方案3.1.6.1容灾系统设计目标云平台承载着 XX 医院重要业务，必须保障系统的稳定运行。然而，灾难 就像 灰尘一样伏击在运营环境周围，现有平台可能正在一个充满风险和威胁 的环境下运行。如果不能对这些风险采取有效治理，一旦数据由于某种原因丢 失，就很有可能对日常工作造成严重的影响。如果核心数据丢失，将会使得某 些核心功能陷入瘫痪，造成不可估量的损失。因此，保证业务的连续性和数据 的高可靠性和可用性，云平台建设过程中，必须要考虑的问题。系统安全性至少 要满足 GB/T222392008信息系统安全等级保护基本要求三级(含) 以上要求。 对于核心业务，应达到 GB/T209882007166、信息安全技术信息系统灾难恢复规 范 5 级要求，即具备实时数据传输及完整设备支持， 采用远程复制技术， 实现诗句实时复制， 网络具备自动或几种切换能力，业务处理系统就绪或者 运行中，从而实现对云平台的同城容灾保护。75海南省 XX 医院 5G 智慧医院建设项目 技术方案3.1.6.2容灾中心系统架构本次项目的容灾中心采用国标 5 级容灾标准进行建设， 即业务暖备 (Warm Standby) 的方式， 即院内的容灾中心具备备份系统安装场地、备份主机、存储设备 和通信设备， 备份系统已经安装配置成与主用系统相同或相似的系统和网络运行环 境， 安装应用系统业务， 实时 (同步/异步) 备份数据。一167、旦同城的主生产数据中心 发生灾难， 直接使用实时备份数据(异步备份的数据需要进行恢复)，恢复业务运行。 尤其对于关键业务系统 HIS 需要部署备用的数据库系统在容灾中心， 采用 ADG 的方 式将生产数据库的日志加载到备份数据库， 以便当生产数据库发生故障时，可以用 备用数据库的数据进行业务恢复。同时，灾备中心配备灾难恢复所需的通信线路， 并处于就绪状态，出现灾难时， 通过手工切换路由的方式对应用进行接管。另外， 日常无故障额时候灾备中心处于就绪状态，不成在业务，只有当发生故76海南省 XX 医院 5G 智慧医院建设项目 技术方案障的时候，才会出现整体业务网络集中切换的可能。3.1.6.3容灾168、功能描述3.1.6.3.1关键业务容灾方案3.1.6.3.1.1 热备容灾机制如图所示，本项目的 HIS 以及互联互通集成平台通过采用热备的方式来保障 数据及应用的高可用。 具体的实施方式是将 HIS 系统同时部署到生产运行服务器 和热备服务器，主/备服务器同时处于运行状态，在主服务器出现故障时，通过负 载均衡将业务自动切换到备用服务器上，实现 RP0 和 RTO 趋近于 0。同时，本项目所使用的Oracle 的数据库 11g 以上的版本，可以支持 ADG 数据 同步， 同时 ADG 在 DG 基础上增强了实时查询、块数据修复等功能。如下图所示， 主节点为 Oracle RAC,包括 DBS1169、DBS2 等多个节点。数据通过 ADG 实时同步到备 库， 本项目中的备库为 RAC 的方式。77海南省 XX 医院 5G 智慧医院建设项目 技术方案备阵列/分布式存储主ADGRACSAN交换机/交换机备库可通过生产机 房DBS3实例对外提 供服务生产机房 容灾机房(可在本地)实例1实例2磁盘阵列SAN交换机实例3DBS1DBS2DBS3然后主应用可以通过 DBS 的实例来对备库进行读取，完成一些非关键业务操 作，包括查询统计、数据分析等。在主库无法访问(断电、网络中断、宕机等) 的情况下，启动故障处理或应 急流程，将备库切换成主库，实现关键业务的快速衔接。本次项目 HIS 系统及集成平台热170、备服务由HIS 应用厂商提供。3.1.6.3.1.2 Oracle 数据库备份Oracle 采用热备的方式可以防止物理错误导致的数据故障，一旦发生逻辑 错误导致的数据库误删操作， 则无法避免。因此为了解决逻辑错误造成的数据库 数据丢失， 将采用灾备一体机的方式对数据的数据进行定时备份。数据库备份的基本原理如下：在需要保护的生产服务器上安装备份客户端， 并连接管理控制台。备份客户端将识别生产服务器中的数据库数据， 并通过备份 API 读取生产服务器中的文件数据， 然后将其传输至容灾备份系统中， 完成备份。 容灾备份系统的管理控制台是整个容灾备份系统的纽带， 负责向客户端软件和介 质服务器发送控制171、信息，管理整个备份任务的运行。78海南省 XX 医院 5G 智慧医院建设项目 技术方案 Oracle 备份Oracle 备份与恢复采用 Oracle 内置的 RMAN 技术，实现 Oracle 数据库的 热备份和恢复，要求支持如下方面： 兼容的平台包括 Windows，Linux，AIX，HP-UX，Solaris。 支持的备份类型：完全备份、增量备份。 支持的备份粒度：实例。 备份内容包括：归档日志文件，控制文件，参数文件，数据文件。 与源端重复数据删除技术结合，支持块级重删，在传输带宽和存储空间 方面优势明显。 支持对备份的 Oracle 数据进行压缩处理，节省存储空间。 支持开启 Blo172、ck Change Tracking 特性，进行增量备份时，无需遍历所 有数据块，只扫描变化的数据块，缩短增量备份窗口。 Oracle 单机恢复粒度包括： 数据库， 表，文件。Oracle 双机和 Oracle RAC 支持数据库级浏览恢复和文件级细粒度恢复(高级恢复)。 Oracle 数据库恢复支持完全恢复及不完全恢复。恢复位置支持原机原位79海南省 XX 医院 5G 智慧医院建设项目 技术方案置，异机原位置恢复。 文件级恢复支持恢复备份时间点中的数据文件、控制文件、日志文件和 参数文件。 当 Oracle RAC 环境损坏时，支持将Oracle RAC 恢复到单机环境中。 基于备份成功次数173、， 支持自动删除指定时间段内已备份的Oracle 归档日 志，避免因归档日志过满影响数据库运行。3.1.6.3.2非关键性业务容灾本项目通过 CDP (持续性数据保护软件) ,将医技医辅系统的应用及数据实 时同步到医院的灾备中心， 这些业务以虚拟资源池的方式承载， 支持业务的全面、 完整的恢复。3.1.6.4.3.1 CDP 数据备份机制CDP 为关键数据提供持续的、不间断的保护， 并可根据需求将数据快速恢复 到之前的任意时间点。 i2CDP 在将变化的数据实时复制到灾备中心的， 同时也将80海南省 XX 医院 5G 智慧医院建设项目 技术方案数据的任何变化以日志方式记录下来， 实现对数据变化174、的可回溯性； 可在任何情 况下依据数据变化日志， 快速定位需要恢复的时间点， 并将数据一键式恢复到异 常点之前。 持续的数据保护CDP 通过监控被保护数据的变化， 将数据持续不断地复制到本地或者任意距 离的异地灾备中心， 实现数据的持续保护。同时， 也将数据的每一次变化过程(包 括实际数据及相关辅助数据的变化， 如所有者、权限等属性的改变) 以日志的形 式记录下来。 i2CDP 引擎分析捕捉的日志以及相关数据， 计算出文件变化的部分， 将其保存在 CDP 数据保护区中。当数据需要恢复时， 可以直接指定要恢复的时间 点， 或者通过日志上下文来辅助定位要恢复的时间点。一旦时间点选定后， 通过 配置175、并按您的需求恢复到不同的硬件或者虚拟服务器上。 每时每刻保护您的数据在任何虚拟机或物理机上，监控并捕获受保护文件或目录上发生的所有变 化，并将改变的字节量通过标准 IP 网络复制到您选择的任何恢复站点上，最大 限度避免数据丢失。处理和复制正在使用的文件与目录时， 无需要求关闭该文件， 相关的应用仍然保持在线和活跃运行状态，不会对您的工作有任何负面影响， i2CDP 无时不刻地保护着您的数据。 字节级增量数据捕获以字节为数据捕捉的最小单位，而不是以传统方式上的文件或者块为单位， 从而极大地缩小了需复制的数据量， 不仅节省了网络带宽资源， 也提高了整个灾81海南省 XX 医院 5G 智慧医院建设项176、目 技术方案备系统的效率。通过旁路式截获生产系统的数据变化，即数据的变化被 i2CDP 截获后， 在应用层对变化的数据进行缓冲、压缩、加密、发送、确认， 并且可预 先限制 i2CDP 可使用的系统资源上限， 从而保证了任何情况下不会对现有生产系统的正常运行造成影响，且保证了数据在整个过程中的安全性。 高效的数据传输算法优化的传输方式在窄带、远距离、大数据量等各种复杂环境下均有优异的表 现，其效率远高于传统的数据传输方式。并且可自由设置传输带宽高低及使用时 段，从而在优先保证带宽用于生产系统业务应用的同时， 合理地分配和使用整个 系统的各类资源。 全新的系统分层架构采用三级分层架构， 对生产端(177、一般也称为源端)、灾备端(目标端)和管 理控制端分别部署、综合管理的模式， 使安装在客户的应用服务和灾备系统上的 客户端更加轻量化， 对现有系统影响更低， 最大限度的提升了系统性能， 提高部 署和后期管理的高效性和简便性。同时，这种架构能够更好的展现相关监控信息， 对您所保护的服务器的存储使用状况、镜像状态， 登录状况进行分类、过滤和监 控，并且在一个本地或远程的 WEB 管理屏幕中进行显示。82海南省 XX 医院 5G 智慧医院建设项目 技术方案3.1.6.4.3.2 业务接管机制为了能够使应用在出现故障的时候， 能够在本地中心做业务拉起， 本次项目 会在生产中心的应用系统部署业务接管软件，178、同时进行软件配置， 将业务 IP 从 主应用系统服务器中提取出来， 做为虚拟业务 IP (可以在准备服务器之前进行 动态漂移，保证业务不中断)。首先，同步两端的业务数据，然后可以选择相应 的监控条件(网络、服务、进程、性能) 后对于业务系统进行实时监控， 制定高 可用切换配置规则。配置规划详见应用可用部署规划。拓扑图如下：工作过程如下：1) 正常情况下，工作机通过业务接管软件实时灾备至灾备机，灾备机通过 心跳线实时监控工作机状态。832) 当工作机出现故障灯因素导致无法正常对外提供服务时，灾备机与工作机之间心跳线会断， 此时灾备机启动判断机制， 是否进行业务接管， 虚 拟业务 IP 从工作机中179、释放。3) 当灾备机判断机制生效时，便实现虚拟业务 IP 以及业务服务的整体接 管，使得业务连续性得以保障。84海南省 XX 医院 5G 智慧医院建设项目 技术方案4) 当工作机修复完成后， 灾备机便将接管期间所产生的增量还原至工作机，同时释放虚拟业务 IP，实现业务系统的回切。85海南省 XX 医院 5G 智慧医院建设项目 技术方案3.1.7多院区互联互通方案3.1.7.1 省内院区网络设计方案 本期海南省 XX 医院和琼海博鳌超级医院客户端部署 OSN1800V 设备，这两个设备将上联至联通的原有接入 OTN 波分环节点。 同时，海南省 XX 医院、琼海博鳌超级医院均通过 2 条完全不同物180、理路径的光纤链路， 与澄迈联通云平台互联，直达云平台接入交换机， 减少网络之间 的路由跳数， 实现相互负载， 从而提高链路可靠性和利用率。同时通过接入 OTN 波分环和省干 OTN 波分环对传输进行保护，骨干 OTN 采用 1+1+N 一级保 护， 扛多次断纤，网络可用率高达 99.99%。 云平台核心交换机采用HSRP 热备技术，传输链路采用双路由保护，确保传输冗余安全。 本项目中医院的核心交换机专线通过二层网络与云池进行连接， 可以提高用户访问云池的体验和提高网络互联的效率， 并可以保证业务切换迁移后， 医 院的各应用系统 IP 地址保持不变，各系统间的耦合关系不变，业务系统互 访也与割接181、前保持一致。能够保证业务系统平滑过渡。 分院区和主院区的网络通过医院间光纤直接互联，采用利旧的模式。 另外，为了保证云数据中心能够顺畅地将其它辅助医疗系统的数据实时复制至容灾中心云平台中，另新建一条 500M 的灾备数字电路， 与内部用户网络 相互物理隔离， 确保数据实时备份与日常用户使用数据交互不产生冲突， 不86海南省 XX 医院 5G 智慧医院建设项目 技术方案占用用户网络的带宽资源。 本项目中所建设的 OTN 专线支持快速开通、弹性宽带扩容(支持带宽调整 1G、2G、10G) 、线路质量在线测量、快速故障响应的特点， 为客户提供高质量、 高可靠性、高安全性的网络服务。3.1.7.2 跨182、省际多院区网络设计方案针对未来跨省的多院区的网络互联互通的方案， 可以采用联通的云联网方式 进行连接。 本院区的客户通过连接骨干网PE 设备即云联网节点， 通过多种接入 方式例如专线节点(IPRAN/OTN/MSTO)、SD-WAN 节点、物联网及 5G 节点，接入客 户专属局域网络，进行业务的互联互通。联通的云网联方式通过以下方式保证业务运行在高可靠、高质量、高安全的 网络上。 云联网的接入网络资源丰富:专线接入网络覆盖国内336 个地市及海外 41 个POP 点， 包括 58 个国内云资源池， 24 个境外云资源池；其中 SD-WAN 全国 31 省及海外 5 个重点城市 POP 点，物联183、网实现 8 个大区接入， 5G 网络实现全国 31 省接入。 具备端到端弹性带宽调整能力:能实现 2M 到 10G 的弹性阶梯扩容，专业化网管监控平台， 提供自助服务，弹性带宽调整， 实时生效，可满足突发流量增87海南省 XX 医院 5G 智慧医院建设项目 技术方案长。 网络保障性高：网状扁平化组网结构， 能实现各节点直接访问，各分支点和云端直连，无需经过汇聚点中转，支撑端到端 QoS，可适应院方客户于各机 构、系统间横向融合及纵向贯通的需求，灵活扩展。3.1.8数据中心总体技术方案设计的软、硬件需求序号设备名称规格配置单位总数备注生产数据中心1vCPU虚拟化 Vcpu核1080按服务收 费2184、内存虚拟化内存GB30243SSD全闪存GB256004块存储SSD 混 NL SASGB358405对象存储分布式存储， 支持 S3、iSCSI、NFS 等GB307206文件存储(NAS)SSD 混 NL SASGB542727数据库服务器裸金属服务器台28磁盘阵列双活存储，SSD套29云上带宽互联网带宽M100云安全1云主机安全5VM,AV,HFW,HIPS三个功能一年服务套402云防火墙500Mbps台13云 WEB 应用防火墙网络吞吐200Mbps，每秒新建连接数 1000支持 1 个根域名不限制子域名台54云综合日志审计200EPS 5 资产套405云堡垒机可管理 20 资产台10185、6云数据库审计可审计 1 个 DB 实例台87安全管理平台安全监控个1888SSL 证书1、通配符域名(推 荐) 2、证书品牌： GeoTrust 3、证书类型： DV(域名级) SSL个39数据备份TB1灾备中心1虚拟化资源按照 1:1 的配置套12数据库服务器裸金属服务器台23集中式存储用于存储数据库套14云平台等保二级及应用安全按照等保二级标准匹配套15容灾软件CDP 软件以及容灾接管软件个1多院区互联互通1运营商链路500M 数字电路条32负载均衡硬件负载均衡台2运维服务可选服务1中级驻场工程师人12远程高级工程师人1集成服务1集成服务灾备中心私有云及容灾部署、实施交付及其他费用项1一186、次性3.2医院 5G 专网3.2.1 设计依据工信部通信【2020】49 号关于工业和信息化部关于推动 5G 加快发展的 通知要求推动“5G+医疗健康”创新发展。开展 5G 智慧医疗系统建设，搭建89海南省 XX 医院 5G 智慧医院建设项目 技术方案5G 智慧医疗示范网和医疗平台， 加快 5G 在疫情预警、院前急救、远程诊疗、智 能影像辅助诊断等方面的应用推广。进一步优化和推广 5G 在抗击新关肺炎疫情 中的优秀应用，推广远程体检、问诊、医疗辅助等服务，促进医疗资源共享。国家卫计委关于电子病历评级纲要(2014)中提出： 移动医疗系统作为 三级医院评审不可或缺的一个信息化系统， 可以作为一票187、否决的要求。全国医 院信息化建设标准与规范(试行)(2018 年) 指出： 通过移动终端实现临床护理 移动化，实现护理服务从计划、执行、跟踪到结束的全过程监督管理，共 21 项 功能。三级综合医院评审标准实施细则：三级综合医院评审标准实施细则中明 确对护理质量和护理管理提出要求，涵盖 30 条 53 款。关于促进“互联网+医疗健康”发展的意见 (2018 年)指出： 提高监管能 力，做到“互联网+医疗健康”服务全程留痕，可查询、可追溯； 有条件单位可 以开展移动护理服务。医院智慧服务分级评估标准体系(试行) (2019 年)： 医院智慧服务是指医院针对患者的医疗服务需要， 应用信息技术改善患者188、就医体 验，加强患者信息互联共享。国家卫生健康委办公厅(国卫办医函【2019】236 号) 关于印发医院智慧 服务服务分级评估标准体系通知， 对医院应用信息化为患者提供智慧服务的功能 和患者感受到的效果两个方面进行评估， 分为 0 级到 5 级。其中， 要实现智慧服 务 4 级的标准， 要求患者医疗信息在移动区域内实现互联互通， 医院能够为患者 提供全流程的个性化、智能化服务，患者就诊更加便利。3.2.2 设计目标随着 5G 网络与人工智能、云计算、区块链、大数据等 IT 技术相结合的 ICT 融合技术不断发展， 基于 5G 的医疗专网可不断挖掘医疗行业对网络的能力需求， 提供各种应用。 具体189、各业务系统对于各技术的要求如下：90海南省 XX 医院 5G 智慧医院建设项目 技术方案通过 5G 网络超高速率、极低时延的实时通信， 利用 5G 无线空口的高速通信 能力、网络切片技术和精细化的 QoS 保障提供 eMBB 大带宽能力高清图像、视频 传输能力， 应用于救护车急救途中协同诊治， 院间会诊、实时远程手术、远程监 护、远程导诊、远程医学示教等多个医疗场景。 5G 医疗专网充分利用 5G MEC 的 MEC 能力， 可以为医疗单位提供实时计算、低时延的边缘云医疗服务， 提升医疗 工作效率和诊断水平， 让患者打破时间与空间的限制， 随时随地地获取医疗服务， 开创全新的行业模式，增强群众190、健康获得感、幸福感和安全感。根据业务需要， MEC 可灵活部署在不同区域。本方案中， UPF 下沉部署在海 南 XX 医院机房。 通过在基站与核心网之间更加靠近用户终端的位置部署 MEC 服 务器， 用户可以直接通过 MEC 服务器访问本地网络， 由MEC 服务器实现业务的分 流，而不用经过接入、汇聚、核心等多个传输环到达核心网， 可以实现流量卸载， 从而减轻骨干网的压力，大大缩短了传输路径，显著降低传输时延。3.2.3 设计原则海南 XX 医院为新建医院。在 5G 专网设计构建中，应坚持以下原则：911. 时效性： 网络应保证各类业务数据流的及时传输，网络时效性要强， 网 络延时要小，确保业191、务的实时高效；2. 完整性： 网络系统应实现端到端的、能整合数据、语音和图像的多业务 应用， 满足全网范围统一的实施安全策略、 QoS 策略、流量管理策略和系统管理 策略的完整的一体化网络；3. 技术先进性和实用性-保证满足医院应用系统业务的同时，又要体现出 网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合 起来，充分考虑到医院网络目前的现状以及未来技术和业务发展趋势。4. 高性能-医院网络性能是医院整个网络良好运行的基础，设计中必须保 障网络及设备的高吞吐能力， 保证各种信息(数据、语音、图像) 的高质量传输， 才能使网络不成为业务开展的瓶颈。3.2.4 总体架构MER192、1MER2智能城域网MAR5G NRCPE C边缘MEC平台肿瘤医院院区机房防火墙2院区IT应用系统等其他5G无线终端IPMI 交换机防火墙1TOR1TOR25G NRCPE ACPE B边缘ME_ICT IaaSUPF分流网关AR/VR办公电脑视频监控省级MEPM联通智能城域网MCR1MCR2视频监控平台联通医疗行业云肿瘤医院院区本期网络组网图如上，通过采用专有无线设备和核心网一体化设备，为 XX92海南省 XX 医院 5G 智慧医院建设项目 技术方案医院客户建设一张增强带宽、低时延、物理封闭的基础连接网络， 实现用户数据 与公众网络数据完全隔离， 且不受公众网络变化影响。客户网内业务数据及193、终端 /用户行为信息高度保密，医院专网与公众网络端到端完全隔离， 不受公众网络 故障影响。从无线基站、传输到核心网用户面端到端为客户单独建设， 提供物理 独享的 5G 专用网络。可满足客户大带宽、低时延、高安全、高可靠的数据传输 需求。该种模式下， 分流网元 UPF/GW-U 及平台均部署在 XX 医院院区内的客户机房 (机房位置待定)，分流网元、平台均为客户专享。对于需要本地分流的业务， 分流网元将流量分流至本地平台，由本地平台为客户提供服务。方案业务流程说明1、院区用户终端通过 CPE 接入或直接接入院区 5G 基站，发起接入注册流程， 基站根据终端上带切片标识选择核心网 AMF，AMF 194、负责对用户进行接入认证和鉴 权(UDM 配合)，认证成功后建立会话，用户可正常进行数据业务；2、外部访客用户终端在院区可正常搜索到无线信号， 但在发起注册过程中， 核心网经过判断无法为用户上报/签约的切片提供服务， 拒绝用户接入，用户接 入失败；3、UPF 分流网关下沉至院区客户机房；4、无线 5G 基站信号通过院区内新建智能城域网直接回至院区机房的UPF；5、UPF 和 MEC 对无线流量进行本地处理；6、MEC 平台可提供共享云化资源部署客户应用系统；7、提供防火墙设备实现平台与内网的隔离，通过防火墙设置可信资源和非可信资源，防御病毒入侵；8、由运维人员为终端分配院区专网的 IP 地址段，195、 通过防火墙策略仅允许特 定终端接入；93海南省 XX 医院 5G 智慧医院建设项目 技术方案9、以 N3 业务为例，数据流路径为： 5G 站点智能城域网设备 MARUPF MEP院区内部应用；10、医院边缘云 MEP 通过智能城域网与 5G_MEC VPN 实现与海口MEPM 对接， 实现 MEP 边缘分流能力的调度和应用的生命周期管理；11、IMPI 通过MEPM 与网管系统对接，采用 5GC 规划的网管VPN”5GC_MGMN”。12、对于部署在联通医疗行业云上的应用， 应用数据经 UPF 本地分流后， 通 过联通精品专线实现云端访问。同时，针对 XX 医院对海南xx公司的MEC 业务承196、载需求，核心网 MEC 的组网方 案如下图：XX 医院核心网 MEC 组网方案(1) MEC 对接智能城域网汇聚设备 MAR，涉及接口及 VPN 如下：接口及 VPN 对应表接口名称/类型归属 VPN业务流向备注94N35G_RAN基站-UPF无线侧分配，给UPF分配基站地址N4GPRS_Gn_CUPF-TOR-MER-MCR-Gn DCE-B网-5GC核心网分配地址维护5GC_MGMNUPF/MEP-TOR- MER-MCR - GnDCE-B 网-管理平台核心网分配地址MEP 管理5G_MECMEP 平台侧已分配(2)组网特点：1)新建设备：边缘云 TOR、UPF、防火墙、硬件管理交换机；197、 2)组网总体原则： 边缘云 DCGW 与 U 面 TOR 可考虑合设，边缘云 DCGW 与U 面 TOR 对接时， 推荐 OSPF 方式对接， 边缘云 DCGW 通过非强制下发缺省路由给边缘云 TOR，OSPF 采用多实例方式，对接 VPN 为 5G_RAN、5G_RAN_VIP 、GPRS_Gn_C 5G_MEC、 5GC-mgmn；边缘云 TOR 把业务路由通过 OSPF 方式发布给边缘云 DCGW，边缘云 DCGW 通过 BGP 方式把路由发布给智能城域网。 边缘云 TOR 直连防火墙，院区专网内部互联业务流需要过防火墙，防火 墙需热备方式组网；院区 IT 系统通过防火墙与边缘云对接。198、 边缘云两台 EPR 采用 M-LAG 方式， MEP 服务器上行需要做链路聚合与两台 TOR 互联。 终端用户访问院区内网 IT 系统业务流： 终端-基站-智能城域网接入 MAR-智能城域网汇聚 MER - TOR-UPF- MEP-FW-企业。95海南省 XX 医院 5G 智慧医院建设项目 技术方案3.2.5 关键技术解决方案5G 无线医疗服务主要包括三大应用场景， 一是基于无线采集类的监测与护 理类应用， 比如无线输液、移动护理、患者实时位置监测等； 二是基于图像与视 频实时交互的诊断指导类应用， 比如实时远程会诊， 无线手术示教等； 三是基于 力反馈的远程操控类应用，比如远程机器人手术199、等。在 5G 试点业务可优先进 行落地实现的是远程实时会诊，远程超声等应用。96海南省 XX 医院 5G 智慧医院建设项目 技术方案3.2.5.1 5G+远程监测与护理远程医疗监测业务需求要求所连接的医疗设备是传统通信设备连接数约 5 倍，且在使用过程中需持续进行患者额为位置上报和生命特征信息的采集、处理 和计算， 并传输到远程监控中心。生命体征信息由心电、呼吸和血氧等生理信号 采样波形、参数值和报警信息组成， 以心电为例需传输采样波形、心率参数值和 心律失常报警信息组成，以心电为例需传输采样波形、心律参数值和心律失常报 警信息， 传输波特率约为 200Kbps。对于呼吸机，单台呼吸机每秒传输200、数据量波 动在 57Kbps,呼吸机在使用的时候会长期开机， 每日传输数据量约为 0.6GB 。患 者生命体征和危急报警信息传输上报需要高可靠低时延的 5G 网络。远程医疗监测利用 5G 来辅助医疗监护， 对患者的生命体征进行实时、 连续 和长时间的监测， 并将心电仪、监护仪、呼吸机等医疗设备获取的生命体征数据 和危机报警信息以 5G 网络传送给医护人员。远程医疗监测需要将心电仪、监护 仪等医疗设备集成 5G 通信模组并接入 5G 蜂窝网路， 医护人员通过 5G 蜂窝网络 实时获悉患者当前状态，做出及时的病情判断和处理。97海南省 XX 医院 5G 智慧医院建设项目 技术方案3.2.5.2 5201、G+远程手术示教远程手术示教分为医生端和患者端， 医生通过患者端从现场传输过来的人体 数字视频以及从医疗云下载的医疗影像图片、电子病历，全方位了解患者病情， 实时指导现场救援人员对患者做手术或实施急救。该业务应用需要与医院的医疗影像平台进行对接， 并开发可供医护人员使用 能够进行高清视频语音直播软件，最好通过 VR 眼镜或者 MR 智能医疗眼镜，能 透视皮肤看到骨头、血管、神经， 还可以整合患者术前做的一系列 X 光、电脑断 层扫描以及就医记录， 利用数据手套等工具对传输的图像视频进行指点， 完成手 术指导或者远程会诊或者实施急救。本场景可以利用院区的边缘计算 MEC 将图像处理能力下沉到本地202、，并在核 心网侧进行网络切片配置， 保障高清视频和 VR 业务的优先级与稳定性。 4K 高清 视频对带宽的上下行需求为 50Mbps 。基于 VR 的远程指导对于延时的需求为 200ms 以内。98海南省 XX 医院 5G 智慧医院建设项目 技术方案3.2.5.3 5G+移动护理本次海南省 XX 医院移动护理可将软件部署在沃云专有云或者本地的边缘云 两种方式进行部署，如上图所示：1、沃云+数字电路方式，将移动护理部署在沃云专有云池上， 通过在主院区 或者分院区部署的连接沃云池到医院的数字电路的CPE 设备，医务人员登录移动 护理 PAD 连接到医院的 VPN 网络可进行访问。方案的优势在于移动203、护理软件调 取 HIS 的数据速度快、便捷。2 、边缘云+5G+VPDN 线路， 将移动护理部署在边缘云上，主院区的医务人 员通过 5G 专网的方式直接进行访问，分院区的医务人员通过 5G+VPDN 电路的 方式访问主院区的边缘云。 方案的优势在于可以利用 5G 大带宽、低时延的网络 特性，相对与传统 WIFI 部署信号不稳定，且同时保证数据不出院。99海南省 XX 医院 5G 智慧医院建设项目 技术方案3.2.5.4 5G+智慧病房本院区的智慧病房可以实现多院区之间病房的 ICU 的同质化管理， 智慧病房 同时可以延深多院区的满足远程管理的需求， 例如远程实时监控、远程查房、远 程会诊等。借204、助 5G 网络的低时延、大容量、低功耗和高效率服务， 下沉到用户 端的边缘云 MEC 提供智慧病房平台算力的能力，以及对接前端医疗设备，实时 监护病人的生命体征数据和危机报警信息，以便及时对患者的情况进行有效处 理。如下图所示， 5G 智慧病房整体架构分为感知设备层、网络层、平台层和应用层。100海南省 XX 医院 5G 智慧医院建设项目 技术方案第一层 : 感知设备层实现持续、全面、快速的信息获取。 感知设备层主要 是信息的发出端和接受端， 它们既是信息采集的工具， 也是信息应用所依附的载 体。通过传感设备、可穿戴设备、感应设备等智能终端实现信息的采集和展示， 包括机器人、智能收集、医疗器械205、工业硬件等设备，使用蓝牙、RFID 等物联 网技术。第二层 : 网络层实现实时、可靠、安全的信息传输。 网络层是信息的传输 媒介， 是充分体现 5G 优越性的环节。通过分配于不同应用场景的独立网络或共 享网络， 实现高速、高可靠超低时延地实现通信主体间的信息传输。物联网终端 设备采集的数据通过蓝牙、 RFID 等技术上传至 5G 融合网关， 然后通过专线或 5G 网络将终端采集的数据上传至 5G 网络将终端采集的数据上传至边缘云上的 5G 智慧病房信息交互平台。第三层：平台层实现智能、准确、高效的信息处理。平台层即是 5G 智慧病 房信息交互平台， 向下对接各种智慧应用和终端设备， 向上统一206、与医院信息核心 系统做数据交换。101海南省 XX 医院 5G 智慧医院建设项目 技术方案第四层：应用层实现成熟、多样化、人性化的信息应用。 5G 智慧病房融合 各种智慧应用，比如智慧输液、智慧体征监测、床旁照护系统等。3.2.6 医院 5G 专网技术方案涉及的软、硬件需求本项目硬件设备选型主要涉及 MEC 服务器、内容服务器、组网交换机设备等， 根据各主流厂家与中国联通前期的沟通情况，主要提供商将包含(仅供参考)： 主流服务器提供商主流提供商MEC设备提供商(含组网交换 机)华为、中兴、诺基亚、星耀、佰才邦、大唐内容服务器提供商(含组网 交换机)华为、中兴、浪潮、惠普、 DELL、航天联志、207、曙光本项目服务器能力可参考如下配置，后续可根据具体部署的 MEC 业务进一步 确定服务器配置： 服务器能力要求服务器 配置CPU2 路 Intel CPU：1)若 Xeon 则不低于 2660v4 或 skylake 不低于 5120 2)若 Xeon-D，则不作限制扩展性提供 PCIE 3.0 插槽，且至少有 2 个空的插槽。内存容量(GB)不少于 256GB硬盘配置至少 2 块， SAS 或 SSD，单个硬盘总容量不少于 900G， 接口速率 12Gbps，RIAD 卡支持 RIAD 0/1 且缓存不少 于 512Mb 具有掉电保护功能网卡配置提供至少 6 个 Intel X710 10G208、E 端口。网卡支持 DPDK、SR-IoV 和 PXE 启动其它可提供交/直流电源模块供选择。本项目组网交换机可参考如下配置，后续可根据具体部署的 MEC 业务进一步 确定组网设备配置：102 组网交换机能力要求交换机配 置总体要求提供机框、板卡和接入交换机以及配套光模块、光纤等 物料。接入交换 机1 台 48 口*10G+6 口*40G本项目防火墙可参考如下配置，新建设备可融合传统防火墙安全策略、入侵 防御、防病毒网关、网站过滤 URL 库， 解决安全区域边界、通信网络加密传输要 求， 可集成 IPS、防病毒网关功能， 后续可根据具体部署的 MEC 业务进一步确定 防火墙和安全设备的配置： 209、防火墙能力要求交换机配 置总体要求标称处理能力 20Gbps4*10GE 端口接入交换 机2 台103海南省肿瘤医院 5G 智慧医院建设项目 技术方案第4章项目管理方案4.1领导和管理机构由于本项目的建设特点及较高专业化知识的要求， 项目的建设和实施必须在 强有力的组织领导下进行， 并依托具体的实体来进行管理和实施工作， 以确保项目建设如期完成。本次项目管理组织结构图如下：1. 项目领导小组(1) 人员组成： 由海南 XX 医院领导、项目负责人、相关业务单位分管领 导、海南xx公司领导、海南xx公司项目负责人组成。(2) 工作职责：项目的总体组织和管理、项目总体目标制定、项目计划 审核、项目过210、程中重大问题的决策；2. 项目管理办公室：项目领导小组下设项目管理办公室(1) 人员组成： 由海南 XX 医院项目负责人、相关业务部门对口信息化主 管、项目经理组成。(2) 工作职责：受项目领导小组委托负责项目的具体组织管理工作。包 括定义具体的项目管理制度，组织工程参与各方的日常沟通；统一制定104项目工程进度，并定期进行进度确认；统一制定上线范围及标准，并确 认最终结果；收集、汇总问题，并协调、监控问题的解决；定时向项目 领导小组提交项目进展报告，包括项目进度、重大项目问题及变更请求 等；统筹管理项目建设以确保项目成果能够按时交3. 项目验收组：项目验收组由项目管理办公室领导和组织(1) 211、人员组成：由项目验收组由项目管理办公室组织专家或委托相关单 位进行。(2) 工作职责：根据验收标准编写验收测试用例，并进行验收工作4. 海南 XX 医院专有云项目建设组：由海南xx公司组成，接收项目领导小组、项目管理办公室的领导(1) 人员组成：由海南xx公司项目负责人组成。(2) 工作职责：负责海南医院专有云的建设工作。下设机房组、专有云组、系统组、综合支撑组、安全质量组 机房组：负责机房改造及优化 专有云组：负责专有云建设、集成、组网工作 系统组：负责热备方案的建设工作 综合支撑组：负责后勤相关工作 安全质量组：负责工程实施安全，工程实施质量保证工作。项目管理模式本项目的建设主要有四方参与212、： 业主方、咨询方、监理方、项目承建方， 各 方的关系和职责如下：1、业主方业主方主要负责指导、监督和协调整个项目的建设。2、咨询方105海南省肿瘤医院 5G 智慧医院建设项目 技术方案受业主委托对项目的总体技术方案以及其它技术方案进行评审， 专家意见和 项目监理方意见作为项目建设过程中批准文件的重要依据。3、监理方受业主委托对系统建设进行监理工作。监理的主要工作角色总结起来就是 “三监理、四控制、三管理、一协调”。其中三监理指在项目准备、实施、验收 三个阶段的监理； 四控制指质量控制、投资控制、进度控制、变更控制； 三管理 指合同管理、安全管理、信息管理； 一协调指监理站在中立的立场协调业主213、和各 参建方的工作。4、项目承建方负责完成项目的总体开发、实施和最终交付。根据招标要求制订项目实施方 案和实施计划， 在业主的领导下， 控制项目实施总体进程， 确保项目按质按期完 成。项目承建方的技术总监与项目顾问对于项目进行整体把握与控制， 从而规避 项目风险。4.2相关管理制度项目管理制度主要包括项目会议制度、书面信息沟通制度以及重大事项的决 策等。1、项目会议制度监理例会： 项目监理方定期召集监理例会讨论项目进度。会议由业主单位项 目相关负责人、承建方项目负责人、监理方、各专项任务单位项目负责人、相关 用户单位代表等参加。项目经理在会上报告项目状况并提交书面项目进展报告。 会议将审查项目214、进度， 沟通问题， 协调工作， 并根据项目实际进度情况， 决定计 划的调整和对后续工作的安排。会议应形成正式会议纪要并发给与会人员签收。项目专家论证会： 由监理方负责召集， 由系统建设项目专家组参加， 旨在对106海南省肿瘤医院 5G 智慧医院建设项目 技术方案项目重大事项(如：总体技术方案)进行论证，项目专家论证会不定期召开。 项目组内部例会： 承建方的项目组内部定期按计划举行项目内部例会。由项目经理召集， 项目主要负责人员参加， 视情况项目其他有关人员也可参加。内部 例会定期举行。专题讨论会： 业主单位和承建方的项目组成员均可召集专题讨论会， 就某些 专门问题进行讨论，取得一致。专题讨论会215、不定期举行。2、书面信息沟通制度书面信息沟通制度主要包括： 承建方每周定期向业主、项目承担方和项目监 理方提交正式项目进展报告； 承建方每周定期向公司领导以书面或正式会议的方 式汇报项目进展情况；承建方的项目经理根据项目建设过程中遇到的各种问题， 随时通过电话、传真或电子邮件等方式与海口市信息中心、监理方、专家组进行 沟通和汇报。3、重大事项的决策项目重大事项是指项目范围的重大变更， 或项目实施过程中的重大问题， 比 如项目重大延期、项目重大的商务问题等等。此类重大事项一般情况下可采用书 面报告的形式进行沟通和协调， 必要的时候采取专题会议的形式进行决策， 会议 由监理方召集， 参加人员包括业216、主单位、项目承建方、监理方， 会议最终决定以 三方书面签字的方式确定。1)概述本项目建设管理体制、方法、 原则；2)提出项目建设的实施策略，例如项目会议制度、信息沟通制度、重大事 项的决策制度等。4.3实施交付计划海南xx公司将在合同签订60 日内完成云服务的交付工作，包括 IT机房租赁实107海南省肿瘤医院 5G 智慧医院建设项目 技术方案施、专有云平台建设两部分。4.4项目进度计划4.4.1项目总体计划自合同签订之日起， 整个项目交付分为交付准备、 IT 机房租赁实施、专有云平台建设三大步骤 67 步骤进行部署，共 60 日完成系统交付工作。序号事项要求所需时间备注一交付准备1落实项目组织217、 架构成立包括项目领 导小组、项目管理 办公室、项目验收组、工程组T成立项目组织架构，落 实沟通机制2书写项目总体 计划完成计划书写，并 与项目干系人初步确认T 到T+13召开项目首次 会议所有项目干系人 参加，对项目总体 计划进行宣贯及确认T+1到 T+5以首次会议形式对项目 组织架构、项目总体计 划、项目沟通等制度进行确认二IT 机房租赁实施1机房交付准备1.1机房交付详细计划制定制定机房交付详细计划T+1海南xx公司负责，指导10天机房交付工作1.2机房相关详细方案汇报与宣将各类方案给项目领导小组汇报，T+2海南xx公司负责108贯给参与人员宣贯1.3选择及确认30 机柜位置包括主机设备218、网 络、整体标签、运输方案T+2医院进行机柜位置确认1.4根据选择机柜 形成机房交付 方案根据选定机柜与 需求进行对照，确 定交付实施过程中的整改内容T+3海南xx公司提交， 医院进 行确认2机房交付实施2.1机柜隔离根据机柜隔离方 案对选定机柜进行物理隔离T+4到 T+7海南xx公司负责2.2进行其它整改工作根据机柜交付方案进行T+4到T+7海南xx公司负责2.3机房交付实施 确认对机房交付实施 进行签字确认T+6到 T+7医院逐项签字验收，如 存在问题进行整改，直到全部确认完成3机房交付验收3.1制定机房交付验收表根据机房需求形成T+6到T+7海南xx公司提交， 医院确认3.2机房交付验219、收 工作根据机房交付验 收表进行机房交付验收T+8到 T+10医院逐项签字验收，如 存在问题进行整改，直到全部签字验收完成三专有云平台建设1部署准备1.1部署准备-部署准备详细计划1.1.1制定专有云部 署准备详细计划制定部署准备详 细计划T 到T+2与机房建设同步开始， 指导10天部署准备阶段工作1091.2部署准备-机房检查1.2.1制定机房检查方案形成机房检查点T 到T+4确保交付机房满足海南医院和沃云云要求1.2.3进行机房检查T+5到T+10自机房建设后期即开始进行检查工作1.3部署准备-方案准备1.3.1细化 IaaS 层建 设方案包括设备采购、 上架、综合布线、设备确认T+2到T220、+3海南xx公司负责方案书写1.3.2细化专有云平台建设方案包括平台部署、平台验证等方案T+4到T+6海南xx公司负责方案书写1.3.3细化数据热备平台建设方案包括平台部署、平台验证等方案T+4到T+6海南xx公司负责方案书写1.3.4细化专有云平台组网方案T+4到T+6海南xx公司负责方案书写1.3.5方案评审T+3到T+10医院和海南xx公司共同评审2IssS 层采购及建设2.1IaaS 层设备采购2.1.1给设备商下单T海南xx公司负责2.1.2设备商备货T 到T+14设备商2.1.3BIOS 提前设置T+10到T+14设备商2.1.4设备序列号提供提供印制在设备表面的序列号T+10到T221、+14设备商2.1.5设备商供货设备到货T+14到T+21设备商2.2IaaS 层建设1102.2.1IaaS 建设准备-上架准备2.2.1.1书写设备机柜 规划并进行确认对设备在机柜的 位置进行规划T 到T+5海南xx公司进行规划， 医 院进行确认2.2.1.2上架物料准备布线及上架设施T+5到T+102.2.1.3上架标签制定从供应商处获取 设备序列号，形成上架标签T+14到 T+15设备备货完成后进行标 签制定2.2.1.4进行综合布线基于设备在机柜 的位置规划进行综合布线T+10到 T+21在机柜交付后进行2.2.2IaaS 建设准备-网络准备2.2.2.1专有云平台网络规划T+6到T222、+10海南xx公司进行规划， 医院进行确认2.2.2.2电子 医院 局新老机房联网T+10到T+242.2.3设备上架2.3.3.1设备到货清点T+212.3.3.2设备拆箱设备拆箱后粘贴上架标签T+212.3.3.3设备上架根据上架标签进行上架工作T+21到T+222.3.3.4设备加电测试T+21到T+232.3.3.5设备 BIOS 检查T+21到T+232.3.3.6综合布线调整及网络连接T+23到T+241112.3.3.7系统整体环境确认及移交T+24 到T+252.3.3.8机房环境清理T+253.专有云平台建设3.1网络设备调测3.1.1网络线缆全量检查T+24到T+253.1223、.2书写天基部署方案并确认T+23到T+253.1.3书写并网方案并确认T+23到T+253.1.4沃云云部署介质准备T+25到T+263.1.5IDC 机房内基础 设施 check 及调整T+25 到 T+273.1.6沃云云网络配置及调测T+25到T+273.2沃云 OS 部署3.2.1OPS 服务器部署T+25到T+303.2.2OS 推送预装T+313.2.3管控节点部署T+31到T+323.3服务部署3.3.1平台组件部署T+31 到T+403.3.2平台组件测试T+35到T+401123.4数据热备平台部署3.4.1数据热备平台部署T+31到T+403.4.2数据热备平台测试T+3224、5到T+403.4.3数据热备平台初始化T+40到T+453.3.5数据热备平台启用T+463.5内部测试3.5.1平台测试T+40到T+493.5.2网络并网T+49到T+503.5.3平台初步优化未加载应用T+45到T+503.6配合应用部署3.6.1根据应用部署情况解决问题T+50到T+553.6.2根据应用部署 对平台进行优化已加载应用T+53到 T+583.7验收测试3.7.1组件验收测试T+50到T+553.7.2性能验收测试T+50到T+553.7.3优化调整T+53到T+58113海南省肿瘤医院 5G 智慧医院建设项目 技术方案3.7.4资源接收T+58到T+60专有云平台建设225、完成4.4.2项目进度表以下为项目进度表，标红五星处为里程碑。整个项目分为五个里程碑。阶 段关键工作所需时间1 周2 周3 周4 周5 周6 周7 周8 周9 周交 付 准 备落实项目组织架构T书写项目总体计划T 到T+1召开项目首次会议T+1 到T+5IT机房租赁实施机房交付准备T+1 到T+3机房交付实施T+4到T+7机房交付验 收工作T+6 到 T+10专 有 云 平部署准备T 到T+10IssS 层采购及建设T 到T+21114海南省肿瘤医院 5G 智慧医院建设项目 技术方案台 建 设-IaaS 层设备采购IssS 层采购 及 建 设 -IaaS 建设准备T 到T+24IssS 层采购226、 及建设-设备上架T+21到T+25专有云平台 建设-网络设备调测T+24到T+27专有云平台 建设-沃云OS 部署T+25到T+32专有云平台 建设-服务组件部署T+31到T+40专有云平台 建设-数据 热备平台部署T+31到T+46专有云平台建设-内部T+40到115测试及初步优化T+49专有云平台 建设-平台并网T+49到T+50专有云平台 建设 - 配合 应用部署及深度优化T+50到T+58专有云平台 建设 - 验收测试T+50到T+60里程碑情况:1、召开项目首次会议：通过首次会议，将项目计划给所有的项目干系人进 行确认，作为后续项目跟踪与监控奠定基础。2、机房交付验收：机房交付是项227、目两大任务之一，将机房交付验收作为项 目里程碑3、IaaS 层设备采购： 设备到货周期是项目如期完成的主要风险点， 将设备 到货时间作为项目里程碑4、平台并网：平台并网实现沃云云平台与医院内网互通，具备应用部署的 条件，作为项目里程碑5、专有云验收测试：标志着专有云建设主要工作完成，作为项目里程碑116海南省肿瘤医院 5G 智慧医院建设项目 技术方案4.4.3质量保证计划4.4.3.1质量保证组织海南xx公司遵循 ISO9000 和CMMI5 相结合的质量体系开展项目， 为保证项目执 行符合质量体系要求， 成立以系统集成部门技术总监为组长的 QAG，同时在本项 目中设置专职 QA 负责质量保证228、工作，与本项目的项目总监共同形成项目的质量保证组。质量保证组各成员及职责如下：职务职责技术总监1、为项目的 QA 活动提供足够的资源。2、保证 QA 小组与具体软件项目的独立性。3、协调解决项目中暴露出的具有共性的缺陷和不足。项目的 QA4、负责本软件质量保证计划的编制、管理与执行。5、执行 QA 活动，特别是参与各种评审活动。项目总监6、协调处理项目组内不能解决的不符合问题。7、确保项目的 QA 有足够的资源进行质量保证活动。注：项目 QA 负责 QA 有关的活动，向技术总监直接汇报 QA 有关活动及结果，从 而保证 QA 相对项目的独立性。4.4.3.2质量保证活动(一) 过程实施指导编号229、任务计划时间1.项目计划过程和项目估算项目计划书写过程中2.IT 机房租赁实施过程机房实施详细计划书写过程中3.专有云建设实施过程专有云建设详细计划书写过程中117(二) 工作产品评审编号任务计划时间1.项目计划首次会议之前2.IT 机房租赁实施计划IT 机房建设施工前3.IT 机房租赁实施验收计划IT 机房租赁实施验收报告IT 机房交付后期4.专有云建设实施计划专有云建设施工前5.专有云测试验收计划专有云建设测试验收报告专有云建设后期(三) 过程活动审计编 号活动名称依据的标准计划时间活动结果1.审计实施计划和 度量过程依据联通质量体 系文件：项目实 施过程、软件度 量项目计划评 审后QA 230、过程审计报告 问题处理跟踪表2.审计项目实施过 程依据联通质量体 系文件：软件项 目实施过程、配 置管理过程在项目实施 前期、中期、 后期各审计 一次QA 过程审计报告 问题处理跟踪表118海南省肿瘤医院 5G 智慧医院建设项目 技术方案3.审计测试验收过 程和配置管理过 程依据联通质量体 系文件：软件测 试、配置管理程 序项目验收测 试完成后QA 过程审计报告 问题处理跟踪表4.审计项目风险依据联通质量体 系文件：风险管 理项目计划编 制前及项目 计划开始执 行后QA 过程审计报告 问题处理跟踪表5.审计项目跟踪与 监控过程依据联通质量体 系文件：项目跟 踪与监控项目计划执 行过程中QA 过231、程审计报告 问题处理跟踪表4.4.3.3工具方法技术在本项目执行过程中，在质量保证活动中使用的工具主要有以下三种：1、 文档及图形工具： Word、Excel、Visio2、 软件配置管理工具(TFS)：它支持用户对配置项的版本控制和更新管理。支 持 SCM 小组对软件配置进行科学的管理。3、 问题跟踪工具(TFS)：它支持对缺陷及问题的跟踪及关闭。4.4.3.4质量记录的收集、维护和保存记录名称保存期限保存位置项目的质量保证计划整个项目生命周期配置管理服务器项目的过程审计报告整个项目生命周期配置管理服务器119项目的问题跟踪表整个项目生命周期配置管理服务器项目的 QA 工作报告整个项目生命周232、期配置管理服务器4.4.4项目配置管理计划4.4.4.1概述为了能够有效的、有计划地进行本项目配置管理工作， 使项目过程更加规范， 可控性更强，特制定以下配置管理计划。该计划适用于本项目的整个生命周期， 依据联通质量体系文件配置管理规范、软件项目计划制定。整个配置库分为开发库、受控库、产品库。开发库可随意修改，受控库经 CCB 审批后可以修改，产品库不允许修改。4.4.4.2组织及职责角色职责、工作范围配置管理组1. 制定项目配置管理计划2. 创建和维护配置库3. 生成配置管理报告并分发CCB (变更控制组)1. 参与评审配置管理计划2. 审批配置项变更3. 审批由受控库生成产品QA (质量保233、证员)1过程的辅导和审计2基线审计4.4.4.3用于配置管理的软硬件资源序配置管理软硬件资源说明120海南省肿瘤医院 5G 智慧医院建设项目 技术方案号1.TFS用于变更管理和配置库管理2.公司配置管理服务器4.4.4.4配置项计划阶段工作产品配置项标识预计正式建立时机需求阶段用户需求书用户需求书合同签订设备采购参数设备采购参数评审通过两天之内项目总体计划项目总体计划评审通过两天之内实施阶段IT 机房交付验收计划IT 机房交付验收计划评审并整改完成IT 机房交付验收报告IT 机房交付验收报告验收完成 5 天内设备位置规划设备位置规划评审并整改完成专有云交付验收计划专有云交付验收计划评审并整改完234、成专有云交付验收报告专有云交付验收报告验收完成 5 天内121海南省肿瘤医院 5G 智慧医院建设项目 技术方案4.4.4.5基线计划基线名称基线包含的配置项预计建立时机基线审计时机需求基线用户需求书合同签订在实施基线建立前，按月进行审计设备采购参数评审通过两天之内在实施基线建立前，按月进行审计项目总体计划评审通过两天之内在实施基线建立前，按月进行审计实施基线IT 机房交付验收计划评审并整改完成在基线建立后， 按月进行审计IT 机房交付验收报告验收完成 5 天内在基线建立后， 按月进行审计设备位置规划评审并整改完成在基线建立后， 按月进行审计专有云交付验收计划评审并整改完成在基线建立后， 按月进235、行审计专有云交付验收报告验收完成 5 天内在基线建立后， 按月进行审计基线审计周期：每月定期对当前配置基线进行审计。4.4.4.6开发库目录结构定义一级二级目录三级目录文档名称备注122海南省肿瘤医院 5G 智慧医院建设项目 技术方案目录海南XX医院5G智慧医院建设项目需求需求获取用户需求书需求分析设备采购参数实施IT 机房交 付设备位置规划IT 机房交付验收计划IT 机房交付验收报告专 有 云 建设专有云交付验收计划专有云交付验收报告项目管理项目准备项目立项建议书项目计划项目总体计划项目估算项 目 跟 踪 与监控项目组例会会议纪要项目进展报告里程碑报告工作走查项目开发总结报告配置管理配置管理236、报告评审记录会议纪要123海南省肿瘤医院 5G 智慧医院建设项目 技术方案技术资料内部包括技术规范、 业务规范、培训资料等外部资源关键计算机资 源，包括杀病毒 软件、数据库系统、开发工具等个人工作 区个 人 子 目 录在经项目经理 允许后由配置 管理员为申请人员创建公共区4.4.4.7配置库访问权限清单拥有的权限角色开 发 库对当前阶段文档的检入、检出浏览和检出修改项目经理， 开发人员， 测试人员，需求分析人员在 Developer 权限基础上，对阶 段成果审批、删除版本、创建任务包等项目经理124在 Developer 权限基础上，创建 配置库的初始状态、权限分配、对已完成的阶段设基线项目经237、理，配置管理员受 控 库只读经项目的 CM 组授权后可检出/修改/检入方案人员只读经项目的 CM 组授权后可检出/修改/检入实施人员只读经项目的 CM 组授权后可检出/修改/检入测试人员完全控制配置库CM 组只读项目的 QA产 品 库只读经项目的 CM 组授权后可检出/修改/检入方案人员只读经项目的 CM 组授权后可检出/修改/检入实施人员只读经项目的 CM 组授权后可检出/修改/检入测试人员完全控制配置库CM 组125海南省肿瘤医院 5G 智慧医院建设项目 技术方案只读项目的 QAQA完全控制 QA 库项目的 QA只读项目经理4.4.4.8配置管理报告生成机制阶段生成时机/周期分发方法分发对238、象负责人计划需 求阶段需求基线建立后， 每 月生成一次，月末生 成通过电子邮件 分发和设置配 置库浏览权限项目经理项目 QA项目组成员配置管理员实施阶 段实施基线建立后， 每 月生成一次，月末生 成通过电子邮件 分发和设置配 置库浏览权限项目经理项目 SQA项目组成员配置管理员4.4.5项目风险计划4.4.5.1概述使项目不能按计划完成质量、进度、成本等目标的因素统称为风险。风险管 理的主要步骤是风险的识别、分析、跟踪及采取相应措施。通过风险管理， 使风 险被提前识别，有计划地予以消除或减弱对项目的影响。风险是项目遭受损失的可能。风险管理就是使用某些工具和步骤把项目风险 限制在一个可接受的范围239、内。风险管理提供了一种标准的方法来标识风险因素， 评估其潜在的威胁，以确定消除这些风险的预防策略或风险发生后的补救策略。126海南省肿瘤医院 5G 智慧医院建设项目 技术方案4.4.5.2组织及职责风险是项目遭受损失的可能。风险管理就是使用某些工具和步骤把项目风险 限制在一个可接受的范围内。风险管理提供了一种标准的方法来标识风险因素， 评估其潜在的威胁，以确定消除这些风险的预防策略或风险发生后的补救策略。风险是非常规的、不能够被完全预测的， 风险可大可小、可难可易。有的风 险， 项目组就可以识别并解决， 但大多数风险需要项目这才能识别和解决； 有些 风险甚至需要公司高层管理者调用整个公司的资源240、才能化解。这就是风险的非常 规性。正因为风险的非常规性，所以风险化解的主要责任是管理者而不是项目组。 项目组的责任是保证按流程去实现项目， 管理者的责任是解决项目组按流程实现 项目时遇到的风险。只有这两种责任完全落实到位，才能保证项目的成功率。对于本项目， 海南xx公司将基于联通风险管理体系进行， 设置以系统集成部门 项目总监为核心的风险管理机制。1. 项目总监：负责对风险输出报告进行审批。2. 项目经理 负责识别项目风险； 负责风险分析， 并负责制定风险管理计划； 负责管理项目风险跟踪的相关活动。3. 项目组成员 参加识别、评估项目风险； 参加风险分析和参与制定风险管理计划； 负责风险的跟踪241、； 与项目相关的其他部门(市场部门、系统集成部门等) 配合项目组进行风险管理；127海南省肿瘤医院 5G 智慧医院建设项目 技术方案风险 管理计划风险 跟踪记录评审与软件项目计划一起评审 负责采取措施控制输出到本部门的风险因素。4.4.5.3工作程序工作程序的流程图：风险识别风险分析风险跟踪4.4.5.3.1常见项目风险风险类型风险项需 求 风 险阶段分类风险项细化需求获取1、项目组成员没有对项目或产品范围达成清晰的共识2、由于项目期限紧张，需求所需时间被压缩或忽略3、对需求内容的完整性、正确性与用户的理解存在差异，没有采取有效技术方法使双方达成共识4、忽略市场对产品革新等方面的反馈信息5、忽242、略用户对性能、易用性、完整性、可靠性等非功能性的需求6、忽略不同客户对产品的需求，没有明确客户代表128海南省肿瘤医院 5G 智慧医院建设项目 技术方案7、对客户隐含的期望要求， 没有足够重视， 没有提醒客户并与客户进行沟通8、盲目将已有产品列入需求基线， 继承了已有产品的缺陷9、由于采用了客户推荐的解决方案或开发人员方案设计的很差，导致产品的业务处理低效需求分析1、没有明确需求的优先级， 并分布于不同阶段的版本2、对需求的技术实现难度估计不足3、低估了非功能性需求对新技术跟进速度的要求需求规格说明1、需求分析人员能力与经验不足， 导致开发人员与客户的需求理解存在差异，最终产品无法满足客户要求243、2、忽略需求报告中的待定需求， 给结构设计和项目的继续进行带来很大风险3、对业务术语的理解产生二义性， 导致对需求的理解产生偏差4、需求规格说明中包括设计， 妨碍了设计人员创造性的发挥，无法拿出最佳的方案需求验证1、部分需求实现的可行性未被验证2、未对评审人员进行培训或没有邀请有经验的评审专 家、外界咨询顾问，导致评审的正确性、有效性存在问题，使问题遗留下来需求管理1、重大需求变更和频繁的需求变更2、需求变更的过程没有严格按照计划和机制进行， 没有对需求变更的影响、是否需要决策后变更进行控制1293、未对需求采取有效的技术工具和方法进行跟踪， 导致漏掉需求内容4、需求没有很好地严格定义， 造成244、后期更大的项的规模、成本技术风险1、技术方案采用了不熟悉的技术或新技术2、关键技术点不清晰3、采用的技术不成熟进度风险1、重大里程碑/关键路径偏移2、开发进度不能达到合同工期要求3、需求变更质量风险1、功能/性能需求不明确2、产品功能和性能达不到预期合同标准资源风险1、人力资源缺乏/不到位2、计算机资源缺乏/不到位3、环境场地不到位过程与管理风险1、骨干人员中途调动或流失2、开发模型使用不当/不到位3、开发策略不当/不明确4、不能严格遵守公司的相关过程标准成本风险1、费用预算过低或没有足够的经费2、需求不明确/设计不到位外部风险1、用户不具备支付能力2、用户方项目负责人变动沟通风险1、公司各部245、门间/部门内部/小组内部的沟通不畅130海南省肿瘤医院 5G 智慧医院建设项目 技术方案2、与客户方或相关方的沟通不畅通4.4.5.3.2本项目风险识别参考常见项目风险，对照海南医院项目，识别项目风险如下：风险编号风险称述风险概率风险严重度风险影响1需求变化6030182相关人员配合力度影响进度5025125%3实施小组人员的组成是否能保证分工明确、20%30%6%4人员流失105010301%15%5人员状态20%30%6%6实施环境准备程度不高20%20%4%4.4.5.3.3本项目风险计划风 险 编号缓解策略偶发风险策略1 充分利用验收工作，形成验收报告 及早组织针对最终用户的协调和培训246、会，及早反馈需求变更。按流程规定提交海南医院 确认需求理2 定期组织协调会将问题提交项目领导小组协商解决3 详细实施计划出台前组织部门核心人员具体讨论分工由实施组长提交领导小组磋商解决1314 切实落实开发质量体系的分工原则和阶段文档的健全 人才储备 人员沟通 建议公司采取更有力的留人机制 由相关负责人组织交接文档。 指定人员交接工作 由项目经理会同人力部门、具体人员审核交接工作5 加强后勤保障 加强后勤保障6 定期组织实施协调会 由施工小组和领导小组协商解决4.5保障措施4.5.1多个任务并行开展为不同的任务配备相应的组织，多个任务并行推行开展。在需求调研阶段， 业务现状和需求、项目建设需求247、基础环境现状， 以及相关部署对接实施工作的 需求同步并行开展。在系统建设阶段、系统部署对接阶段， 也将同步开展多个体 系建设任务、部署对接，以保障项目高质量按期完成。4.5.2相关任务提前启动由于本项目工期紧， 任务重， 因此在确定中标后， 承建单位将提前进入项目 准备工作。主要包括： 确定项目实施组织结构、确定项目管理方案并进行任务分 解，制定项目实施计划，并提前准备开发测试环境， 提前部署测试部分核心产品， 同时将不断梳理业务的个性化需求， 根据具体业务需求， 通过迭代开发的方式进 行应用系统开发，保证系统顺利试运行。132海南省肿瘤医院 5G 智慧医院建设项目 技术方案4.5.3提供充248、足的人力资源保障本项目建设将调用技术骨干人员参与本项目的建设，并组建合理的组织机 构。项目组成员要具备项目集成、开发实施经验， 并根据项目组织机构和人员资 质进行合理分工，保证项目组人员充足、稳定，人员分工明确、配置合理。4.5.4严格进行进度控制合理制定计划、完善例会制度、建立沟通渠道、加强进度计划的贯彻。133海南省肿瘤医院 5G 智慧医院建设项目 技术方案第5章 运维保障方案5.1服务保障方案1.云平台建立运行应急处置工作机构，包括应急领导小组和应急实施小组；2.明确应急故障的事前、事发、事中、事后的各个过程中相关部门和人员的 职责；3.建立运行应急响应机制，包括应急报告机制和应急决策机249、制；4.云平台应急故障的处置流程，包括故障发现、故障报告、故障判断、预案 启动、预案执行、预案终止和结果上报；5.应对应急管理相关部门和人员提供应急响应和应急处置方面的培训；6.针对可能发生的各类故障和所有危险源， 云平台制定专项故障应急预案和 现场处置方案；7.应制定应急预案演练计划， 确保应急预案的有效性， 每年应至少进行一次 安全应急预案演练，演练步骤包括：(1)对演练进行准备，包括预案演练方案准备、演练步骤、物资准备和后 勤保障；(2)演练过程中， 要详细记录时间点和所有操作痕迹， 收集必要的证据， 作为查找原因、追究责任的依据；(3)对演练进行总结分析，包括预案事件发生原因的追溯、当250、前损失以及 潜在影响的估算、责任人岗位职责及动机分析等， 并根据讨论结果制定相关预防 措施；(4)云平台对服务安全应急预案进行优化，包括应急故障的发现和预案流 程的改进等。5.1.1运维管理流程保证云平台资源池发生重大故障时， 信息沟通渠道畅通， 信息口径统一、准134海南省肿瘤医院 5G 智慧医院建设项目 技术方案维护人员发现故障否是采用应急抢修预案是否启动应急抢修 预案信息整理结果上报确， 应急处置及时、有序， 指挥调度工作迅速、高效， 缩短故障历时， 降低损失， 确保突发情况下资源池运行快速恢复，提高用户服务满意度。故障处理应遵循“先抢通， 后修复； 先核心， 后边缘； 先本端， 后对端251、； 先 网内，后网外，分故障等级进行处理”的原则。当两个以上的故障同时发生时， 对重大故障、影响重要大客户的故障等予以优先处理。各级运维人员应遵循发现故障、确认故障、派单、处理、回单、确认修复和 销障等流程，形成闭环管理，确保及时处理。网监中心发现故障运维部受理故障判断分析故障类别正常故障处理流程应急故障抢修处理故障排除现场核查结束135海南省肿瘤医院 5G 智慧医院建设项目 技术方案5.1.2云平台资源池故障等级重大事件重大事件：影响到平台安全稳定运行的故障,涉及到整个平台系统,重点保障 客户,重大客户等相 关的计算、存储、网络及安全的故障等,具体判定标准为优 先级为 1 的事件。1)重大网252、络事件故障现象：互联网中断。故障原因：互联网出口壅塞或阻断。影响范围：全部服务终止，全部数据不受影响。处理方案： 与大网监控及互联网中心等单位协调解决网络问题， 在故障处理 时限内解决故障，确保用户的服务尽可能不受影响。预期恢复时间： 解决后即恢复业务。解决时间视互联网中断原因及范围而定。重大数据库事件故障原因：服务器同时硬件损坏，或数据库中心存储损坏。影响范围： 全部服务终止， 未及时写入磁盘数据丢失， 已写入磁盘数据无影 响。处理方案：初步定位硬件损坏范围，及时报修，并通知用户。预期恢复时间：紧急调配备机临时进行支撑。2)重大防火墙设备事件故障原因：两台防火墙设备同时过载失效或因软硬件故障253、失效。影响范围：全部服务终止，全部数据不受影响。处理方案： 优先重启防火墙设备， 如发现防火墙设备存在软硬件问题， 则立 刻通知用户， 在用户同意本预案后， 立刻通过旁路防火墙设备， 使业务得到恢复。 同时尽快准备 1 台备机， 投入系统， 恢复系统单路保护。此外还需向厂商报修设 备。待设备修复，重新恢复双路保护。预期恢复时间：若可重启， 10 分钟解决。如防火墙设备存在软硬件问题， 旁路防火墙为 15 分钟，业务恢复。备机准备时间 1 个小时。硬件设备维修 4 小 时。3)重大核心交换事件136海南省肿瘤医院 5G 智慧医院建设项目 技术方案故障原因：核心交换机两台同时因过载、配置错误、软硬254、件故障失效。 影响范围：全部服务终止，全部数据不受影响。处理方案： 重启核心交换机； 如发现核心交换机存在软硬件问题， 则进行备 机更换，同时立刻报修，并通知用户。预期恢复时间：若可重启， 15 分钟解决。如核心交换机存在软硬件问题， 则 2 小时内启动备机更换。4)用户网站遭受 DDOS 攻击故障原因：网站遭受 DDOS 攻击，造成用户上联网络阻断或大量丢包，网站 无法访问。影响范围：全部网站对外服务终止。处理方案： 首先将用户互联网端口限速取消， 提供大带宽的网络出口。然后 启动大网 DDOS 流量清洗功能。预期恢复时间：如 DDOS 攻击流量在大王 DDOS 流量清洗能力内，预计 30 255、分 钟可恢复，如超过流量清洗能力，恢复时间未知。严重事件严重事件:影响到平台内部分用户、部分云主机或存储的,非紧急的,影响不 大的故障,具体判定 标准为优先级为 2 的事件。1)负载均衡故障故障原因：负载均衡单台停止工作。影响范围：负载均衡容错级别下降，从双机备份下降至单机无冗余。处理方案：重启负载均衡，如发现负载均衡存在软硬件问题，则立刻报修， 并通知用户。预期恢复时间： 4 小时。2)防火墙故障故障原因：防火墙单台停止工作。影响范围：防火墙容错级别下降，从双机备份下降至单机无冗余。处理方案： 重启防火墙， 如发现防火墙存在软硬件问题， 则立刻报修， 并通 知用户。预期恢复时间： 4 小时。256、3)核心交换故障137海南省肿瘤医院 5G 智慧医院建设项目 技术方案故障原因：核心交换机单台停止工作。影响范围：核心交换机容错级别下降，从双机备份下降至单机无冗余。处理方案： 重启核心交换机， 如发现核心交换机存在软硬件问题， 则立刻报 修，并通知用户。预期恢复时间： 4 小时。4)网线故障故障原因：网线松动或中断。影响范围：网络容错级别下降，从双链路备份下降至单链路无冗余。处理方案：检查并更换网线。预期恢复时间： 4 小时。5)电力故障故障原因：机房电力系统单路 UPS 掉电。影响范围：汇聚层网络容错级别下降，从双链路备份下降至单链路无冗余。处理方案：与 IDC 电力管理部门协同解决机房电257、力供应的问题。预期恢复时间： 4 小时。6)存储磁盘故障故障原因：存储盘阵磁盘故障一个盘且在重建完成前没有再坏一个盘。影响范围：存储系统数据冗余度下降。处理方案：及时更换硬盘。预期恢复时间：更换硬盘 2 小时，数据重建完成在 8 个小时内完成。7)数据库故障故障原因：数据库单台服务器故障。影响范围：数据库处理能力下降。处理方案： 重启服务器， 如发现服务器存在软硬件问题， 则立刻报修， 并通 知用户。预期恢复时间： 若重启成功， 15 分钟可解决， 如存在硬件故障， 4 小时修复 或提供备机。一般事件一般事件:除重大事件和严重事件以外的其它事件。1)云管理平台或运维服务管理平台故障138海南省258、肿瘤医院 5G 智慧医院建设项目 技术方案故障原因：云管理平台监控故障。影响范围：上述服务器提供的服务终止，单对专享云平台提供服务无影响。处理方案： 重启各相关服务器， 如发现服务器存在软硬件问题， 则立刻报修， 并通知用户。预期恢复时间：若重启成功， 15 分钟恢复，如存在硬件故障， 4 小时修复。 2)内、外部云 WEB 服务器及 APP 服务器停机故障原因：云平台内单台宿主机因硬件故障停机。影响范围： 该宿主机上所有的云主机均会停止，如云主机设置了 HA，则会 自动恢复。处理方案：通过监控发现问题，进入管理平台重启云主机，并通知软开方， 要求其核实上述终止云主机的服务是否恢复。预期恢复时259、间： 15 分钟恢复5.1.3灾难应急管理灾难应急预防是一项管理制度， 不是信息系统， 主要关于当灾难发生时如何 进行管理、组织、救急与恢复。该框架定义应急预案内容， 在实施阶段后会形成 具体信息系统的灾难应急预案。5.1.4组织和职责描述灾难恢复组织的组成、各个岗位的职责和人员名单。灾难恢复组织应包 括应急响应组、灾难恢复组等。容灾管理需要有明确的组织机构、有良好的人员培训、有严格的管理流程、 有平时的演练、有定期的验证、有各种针对性的预案。只有平时达到有效的管理， 才能在灾难发生时进行正确、有效的应对。5.1.5联络与通讯列出灾难恢复相关人员和组织的联络表。包含灾难恢复团队、运营商、厂商、260、139海南省肿瘤医院 5G 智慧医院建设项目 技术方案主管部门等。联络方式包括固定电话、移动电话、对讲机、电子邮件和住址等。5.1.6备份恢复预案的测试和演练为了使相关人员了解信息系统灾难恢复的目标和流程， 熟悉灾难恢复的操作 规程，单位应按以下要求，组织灾难恢复预案的教育、培训和演练：在灾难恢复规划的初期就应开始灾难恢复观念的宣传教育工作； 应预先对培训需求进行评估，开发和落实相应的培训/教育课程，保证课程内容与预案的要求相一致； 应事先确定培训的频次和范围，事后保留培训的记录； 预先制订演练计划， 在计划中说明演练的场景。演练的整个过程应有详细的记录，并形成报告。 灾难恢复演习应保证至少每261、年一次。 在任何数据恢复前， 都需要对其进行有效的验证。无验证的恢复， 有极大的可能性，会造成丢失数据。客户的要求是对数据先验证、后恢复。 演练的目标是：1) 验证恢复流程2) 预案有效性验证3) 各类设备有效性验证4) 数据恢复验证5) 应用恢复验证5.1.7恢复演练总结容灾演练主要是为了检验容灾设备的数据和业务能否正常接管， 验证容灾两 端数据的一致性，提高信息部门针对突发的应急能力等都能很大帮助。5.1.8云平台应急预案管理1.云平台应建立运行应急处置工作机构，包括应急领导小组和应急实施小 组；140海南省肿瘤医院 5G 智慧医院建设项目 技术方案2.明确应急故障的事前、事发、事中、事后262、的各个过程中相关部门和人员的 职责；3.建立运行应急响应机制，包括应急报告机制和应急决策机制；4.云平台应急故障的处置流程， 包括故障发现、故障报告、故障判断、预案 启动、预案执行、预案终止和结果上报；5.应对应急管理相关部门和人员提供应急响应和应急处置方面的培训；6.针对可能发生的各类故障和所有危险源， 云平台制定专项故障应急预案和 现场处置方案；7.应制定应急预案演练计划， 确保应急预案的有效性， 每年应至少进行一次 安全应急预案演练，演练步骤包括：(1)对演练进行准备，包括预案演练方案准备、演练步骤、物资准备和后 勤保障；(2)演练过程中， 要详细记录时间点和所有操作痕迹， 收集必要的证263、据， 作为查找原因、追究责任的依据；(3)对演练进行总结分析，包括预案事件发生原因的追溯、当前损失以及 潜在影响的估算、责任人岗位职责及动机分析等， 并根据讨论结果制定相关预防 措施；(4)云平台对服务安全应急预案进行优化，包括应急故障的发现和预案流 程的改进等。 目的及原则保证云平台资源池发生重大故障时， 信息沟通渠道畅通， 信息口径统一、准 确， 应急处置及时、有序， 指挥调度工作迅速、高效， 缩短故障历时， 降低损失， 确保突发情况下资源池运行快速恢复，提高用户服务满意度。故障处理应遵循“先抢通， 后修复； 先核心， 后边缘； 先本端， 后对端； 先 网内，后网外， 分故障等级进行处理”264、的原则。当两个以上的故障同时发生时， 对重大故障、影响重要大客户的故障等予以优先处理。各级运维人员应遵循发现故障、确认故障、派单、处理、回单、确认修复和 销障等流程，形成闭环管理，确保及时处理。141海南省肿瘤医院 5G 智慧医院建设项目 技术方案5.1.9水电与清洁1. 机房监控设备(1) 每季度一次设备的除尘、清理， 扫净监控设备显露的尘土， 对摄像机、 防护罩、门禁、监控采集模块等部件要卸下彻底吹风除尘， 之后用无水酒精棉将 各个擦干净， 调整摄像头清晰度， 防止由于机器运转、静电等因素将尘土吸入监 控设备机体内， 确保机器正常运行。同时检查监控机房通风、散热、净尘、供电 等设施。室外温265、度应在20 60，相对湿度应在 10100；室内温 度应控制在535，相对湿度应控制在 1080， 留给机房监控设备 一个良好的运行环境。(2)根据监控系统各部份设备的使用说明，每月检测其各项技术参数及监 控系统传输线路质量，处理故障隐患，协助监控主管设定使用级别等各种数据， 确保各部份设备各项功能良好，能够正常运行。(3)对容易老化的监控设备部件每月一次进行全面检查，一旦发现老化现 象应及时更换、维修，如视频头、采集模块等。(4)对易吸尘部份每季度定期清理一次， 如监视器、漏水检测主机、门禁 主机等暴露在空气中， 由于屏幕的静电作用， 会有许多灰尘被吸附在监视器表面， 影响画面的清晰度，要定266、期擦拭监视器，校对监视器的颜色及亮度。(5)对长时间工作的监控设备每月定期维护一次，如硬盘录像机长时间工 作会产生较多的热量， 一旦其电风扇有故障， 会影响排热， 以免硬盘录像机工作 不正常。(6)对监控系统及设备的运行情况进行监控，分析运行情况，及时发现并 排除故障。如： 网络设备、服务器系统、监控终端及各种终端外设。桌面系统的 运行检查，网络及桌面系统的病毒防御。(7)每月定期对监控系统和设备进行优化：合理安排监控中心的监控网络 需求，如带宽、 IP 地址等限制。提供每月一次的监控系统网络性能检测，包括 网络的连通性、稳定性及带宽的利用率等； 实时检测所有可能影响监控网络设备 的外来网络攻267、击， 实时监控各服务器运行状态、流量及入侵监控等。对异常情况， 进行核查， 并进行相关的处理。根据用户需要进行监控网络的规划、优化； 协助 处理服务器软硬件故障及进行相关硬件软件的拆装等。142海南省肿瘤医院 5G 智慧医院建设项目 技术方案(8)提供每月一次的定期信息服务：每月第一个工作日，将上月抢修、维 修、维护、保养记录表以电子文档的形式报送监控中心负责人。2. 机房空调与配电设备(1)机房空调及新风维护 控制系统的维护对空调系统的维护人员而言， 在巡视时第一步就是看空调系统是否在正常运 行，因此我们首先要做以下的一些工作。从空调系统的显示屏上检查空调系统的各项功能及参数是否正常 ;如有268、报警的情况要检查报警记录，并分析报警原因 ;检查温度、湿度传感器的工作状态是否正常 ;对压缩机和加湿器的运行参数要做到心中有数， 特别是在每天早上的第一次 巡检时，要把前一天晚上压缩机的运行参数和以前的同一时段的参数进行对比， 看是否有大的变化， 根据参数的变化可以判断计算机机房中的计算机设备运行状 况是否有较大的变化， 以便合理地调配空调系统的运行台次和调整空调的运行参 数。当然， 对目前而言有些比较老的空调系统还不能够读出这些参数， 这就需要 晚上值班的工作人员多观察和记录。压缩机的巡回检查及维护听用听声音的方法， 能较正确的判断出压缩机的运转情况。因为压缩机 运转时， 它的响声应是均匀而269、有节奏的。如果它的响声失去节奏声， 而出现了不 均匀噪音时，即表示压缩机的内部机件或气缸工作情况有了不正常的变化。摸用手摸的方法， 可知其发热程度， 能够大概判断是否在超过规定压力、 规定温度的情况下运行压缩机。看主要是从视镜观察制冷剂的液面，看是否缺少制冷剂。量主要是测量在压缩机运行时的电流及吸、排气压力， 能够比较准确判 断压缩机的运行状况。当然对压缩机我们还需要检查高、低压保护开关、干燥过滤器等其他附件。冷凝器的巡回检查及维护对专业空调冷凝器的维护相当于对空调室外机的 维护， 因此我们首先需要检查冷凝器的固定情况， 看对冷凝器的固定件是否有松 动的迹象，以免对冷媒管线及室外机造成损坏。检270、查冷媒管线有无破损的情况(当然从压缩机的工作状况及其它的一些性能143海南省肿瘤医院 5G 智慧医院建设项目 技术方案参数也能够判断冷媒管线是否破损),检查冷媒管线的保温状况， 特别是在北方地 区的冬天， 这是一件比较重要的工作， 如果环境温度太低而冷媒管线的保温状况 又不好的话，对空调系统的正常运转有一定的影响。检查风扇的运行状况： 主要检查风扇的轴承、底座、电机等的工作情况， 在 风扇运行时是否有异常震动机风扇的扇也在转动时是否在同一个平面上。检查冷凝器下面是否有杂物影响风道的畅通，从而影响冷凝器的冷凝效果 ; 检查冷凝器的翅片有无破损的状况。检查冷凝器工作时的电流是否正常， 从工作电流也271、能够进一步判断风扇的工 作情况是否正常。检查调速开关是否正常， 一般的空调的冷凝器都有两个调速开关， 分为温度 和压力调速，现在比较新的控制技术采用双压力调速控制， 因此我们在检查调速 开关时主要是看在规定的压力范围内，调速开关能否正常控制风扇的启动和停 止。蒸发器、膨胀阀的巡回检查及维护蒸发器、膨胀阀的维护主要是检查蒸发器盘管是否清洁， 是否有结霜的现象 出现， 以及蒸发器排水托盘排水是否畅通， 如蒸发器盘管上有比较严重的结霜现 象或在压缩机运转时盘管上的温度较高的话(通常状况下，蒸发器盘管的温度应 该比环境温度低 10左右)，就应当检查压缩机的高、低压， 如果压力正常的话， 就应考虑膨胀阀272、的开启量是否合适。当然出现这种现象也有可能是其它环境的原 因引起的，比如空调的制冷量不够、风机故障引起风速过慢等原因造成的。加湿系统的巡检及维护由于各个地方的空气环境不同， 对加湿器的使用和影响也不一样， 但我们在 日常的维护工作中同样要做的事情是观察加上罐内是否有沉淀物质， 如有就要及 时冲洗， 因为现在空调的加湿罐一般都是电极式的， 如沉淀物过多而又不及时冲 洗的话， 就容易在电极上结垢从而影响加湿罐的使用寿命。当然现在有些加湿罐 的电极是可以更换的。检查上水和排水电磁阀的工作情况是否正常。在加湿系统工作的过程中， 有 一种情况经常出现， 但又不容易判断， 即在空调系统正常工作的时候， 由273、于某种 原因出现了一段时间的停水， 后又恢复供水， 在恢复供水后加湿罐不能够正常上 水， 出现这种现象的原因有多种， 并且在大多数空调器的控制系统中直接对加湿144海南省肿瘤医院 5G 智慧医院建设项目 技术方案系统复位通常是不能够解决问题的;根据我们多年来的维护来看， 引起这种现象 的主要原因是停水后的空气进到进水电磁阀前端， 对进水电磁阀的正常开启造成 了一定的影响， 解决这种现象有两种比较有用的办法， 一是卸开进水口， 排掉空 气，二是关掉加湿系统的电源，重新给电磁阀上电也基本上能够解决这类问题。检查加湿罐排水管道是否畅通， 以便在需要排水和对加湿罐进行维修时顺利 进行。检查蒸汽管道是否274、畅通，保证加湿系统的水蒸汽能够正常为计算机设备加 湿。检查漏水探测器是否正常， 这对加湿系统来说是比较重要的一环， 因为排水 管道如果不畅通的话就容易形成出现漏水的情况， 如漏水探测器不正常的话， 就 易出现事故。当然， 对一般的空调系统而言， 漏水探测器是选件， 如空调系统未 配有漏水探测器， 那么我们更要注意监测排水管道是否畅通， 同时也要做好机房 防水墙的维护工作。空气循环系统的巡回检查及维护对空气循环系统我们主要是考虑空调系统的过滤器、风机、隔风栅及到计算 机设备的风道等因素。因此我们在日常维护工作中要做好以下的一些工作：计算机机房的设备经常有设备移动的现象， 而设备的移动一般又不是由275、空调 设备的维护人员去完成，因此我们在设备移动后应及时检查机房内的气流状况， 看是否有气流短路的现象发生， 同时在新设备的位置是否存在送风阻力过大的情 况。如有上述现象应及时调整， 如果实在调整不过来， 应建议设备移到新的合适 的位置。检查空调过滤器是否干净，如脏了就应及时更换或清洗。检查风机的运行状况： 主要是检查风机各部件的紧固情况及平衡， 检查轴承、 皮带、共振等情况;对风机的检查应该特别仔细，因为蒸发器的热交换过程主要 是由在风机的作用下使快速流动的气流经过低温的蒸发器盘管来完成的， 从而使 空调达到制冷的效果， 所以风机的是否正常运行是空调系统是否正常运行的最后 体现;对风机而言当然276、最重要的就是电机了，因此我们在日常维护中首先就应查 看其皮带的状况、主从动轮是否在同一面上等;皮带调整的松紧程度要合适， 太 松容易打滑， 太紧对皮带的磨损太快， 皮带的松紧跟外部对静压得需求也有比较 大的关系， 当然这种调整是在空调系统控制的范围之内进行的;现在部分比较先145海南省肿瘤医院 5G 智慧医院建设项目 技术方案进的空调系统采用了一体化的风机，就解决了皮带调整的问题。测量电机运转电流， 看是否在规定的范围内， 根据测得的参数也能够判断电 机是否是正常运转。测量温、湿度值， 与面板上显示得值进行比较， 如有较大的误差， 应进行温 度、湿度的校正， 如误差过大应分析原因。出现这种情况277、从我们的维和经验来看 有两种原因：一是控制板出现故障，二是温度、湿度探头出现故障需要更换。检查隔风栅的关闭情况是针对已经停机的空调而言的， 这也是我们在日常维 护工作中比较容易遗漏的一个环节， 但也是一个比较重要的环节， 因为一台空调 停止运行， 如果隔风栅未关闭其温度、湿度探头检测到的是其它空调的出口的温 度和湿度，在空调下一次开启时控制系统就会根据其先前检测到的参数而对空调 系统的运行情况做出控制， 这时空调控制系统就会对压缩机、加湿、除湿系统地 运行情况做出错误的指令。现在大多数空调设计时都没有考虑这种状况对空调系 统的影响， 因为这种影响的时间较短， 在较短的时间内系统会根据新的信息达278、到 正常的运行状况， 所以没有设计隔风栅， 这种影响虽然较小， 但我们认为在要求 很高的计算机机房中我们最好不要让系统出现一段时间的错误运行， 因此我们可 以为空调系统人为地增加隔风栅。检查计算机及其它需要制冷的设备进风侧的风压是否正常， 因为随着计算机 设备的搬迁和增加， 地板下面的线缆的增加有可能就影响空调系统的风压， 从而 造成计算机及其它设备跟前的静压不够， 这就需要我们设备维护和管理人员对空 调系统的风道做出相应的调整或增加空调设备。(2) UPS 及电池维护测试及记录主机运行参数，根据实际情况进行电池核对性容量测试；用专用仪器对后备用蓄电池组逐个测量，进行充放电维护及调整充电电流，279、 确保电池正常工作；检查风机及风道情况并清洁，主机外观清洁、内部除尘；检查记录输出波形、谐波含量、零地电压等，清洁系统主设备及电池等，查清各参数是否正确或切合实际，能及时发现事故隐患UPS 各项功能测试， 如检查逆变器、整流器等启停、电池管理功能， 有条件146海南省肿瘤医院 5G 智慧医院建设项目 技术方案进行 UPS 同市电的切换试验。检查主机、电池及相关配电引线及端子的接触情况是否可靠， 并测量记录压 降及温升，有条件地进行相关紧固工作等。观察可能出现的元件老化或损坏现象、电容是否有膨胀或漏液迹象、磁性元 件是否过热或分层迹象；并机系统进行单机运行测试，热备份系统负荷切换测试等； 低压配280、电柜维护；低压配电柜带电清洗维护；检查电气盘柜的部分触点、接线柱等有氧化锈蚀；电气设备外壳用手触摸感觉温度异常高；检查有些电气设备的内部有无声音异常；清理绝缘子表面沉积了污秽物质等；接线柱加固，标签更换；测试输入输出频率；电流电压等；1、消防设备的维护检查火灾报警控制器的自检、消音、复位功能以及主备电源切换功能； 检查报警探测器、手动报警按钮、火灾警报装置外观；气体灭火控制器工作状态；储瓶间环境、气体瓶组或储罐、选择阀、驱动装置等组件外观； 应急灯和疏散指示标志工作状态。火灾报警探测器、手动报警按钮、报警控制器、联动控制设备的试验报警功 能。气体灭火控制设备的试验模拟自动启动2、供水水路、电路281、及照明线路的维护镇流器、灯管更换；灯盘校正，开关更换，线头氧化处理，标签巡查更换，漏保实验；检查机房进出水管接头是否有液漏现象；水管阀门检查、加固及更换；3、机房基础维护吊顶表面清洁；板材松动、翘起修复，变形、损坏更换；龙骨调平等；147海南省肿瘤医院 5G 智慧医院建设项目 技术方案墙面污迹清理，裂缝修补；玻璃清洗，不锈钢清洗，玻璃胶修整，地弹簧校正，拉手螺丝加固； 静电地板清洗清洁，地面除尘；缝隙调整；平整度调整；损坏更换；接地电阻测试； 主接地点除锈、土壤降阻、接头紧固； 防雷器检测； 接地线 触点防氧化加固；线路测试； 模块、光纤配线检查； 标签检查； 整理凌乱线缆； 对甲方所发生 的282、故障及时排除；编写更新文档、表格和对应表来显示其物理链路；机柜除尘、清洁； 机柜及网络设备整理， 包括交换机、配线架和网线的重新 整理、排序，并重新标上统一的编号；4、机房主机设备维护提供计算机专业知识咨询、操作；网络进行全面维护、升级硬件设备建立计算机信息卡， 并以标签的形式粘贴 在计算机主机上。信息卡内容包括： 机器名、机器编号、使用人、机器配置、 IP 地址、备注等。安装杀毒软件、病毒防火墙，定期为计算机查杀毒和病毒库升级服务；5、机房巡检客户机房巡检服务是针对大中型客户， 提供正常维护巡视之外的服务， 主要 包括标签检查、设备清洁、备用电路测试等。集团客户机房巡检内容包括技术巡 检、客283、户交流和延伸服务。主要工作有： 客户机房现场资料收集汇总， 现场勘查、 资源核查。客户机房现场设备巡检、清洁。(1)技术巡检至客户机房进行网通设备的安全情况、运行情况检测；检查三线布放规范； 核对相应的标签标示。(2)客户交流与客户进行技术、业务交流， 必要时可进行双方高层会晤。沟通网络运行情 况、基本故障的诊断及报障和简单故障处理方法等； 了解客户业务及新业务需求； 听取客户在业务使用和网络服务方面的反馈意见和建议。(3)延伸服务进行客户机房的环境检查、接地测试等， 并适时向客户提出相关合理化建议； 结合公司实际情况根据客户需求， 帮助客户检查客户自有设备及内网的运行情况148海南省肿瘤医院284、 5G 智慧医院建设项目 技术方案并提出相关维护建议，适时开展代维服务。巡检结束后应向客户提供客户机房巡检记录表，双方签字，各执一份。客户机房巡检记录表传输及网络运维客户名称检查时间(月、日)检 查 人员客户接入设备地点设备检查具体内容序号检查项目检查结果1设备表面是否清洁是口否(立即清洁)口2设备运行是否正常是口否(立即粘上)口3设备是否有故障申报卡是口否(立即粘上)口4线缆等走线是否合理是口否(立即整理)口5线缆等的标签是否清楚是口否(立即粘上)口6设备告警是否正常是口否(立即处理)口机房巡检相关建议检查签字客户设 备维护人员( 签字)年月日联通公司 检查人员 (签字)年月日1. 线路故障285、响应处理方案(1) 7*24 小时客服电话及线路故障申告电话联通在服务期内提供以下几种维修支援途径： 客户经理统一 724 小时值班149海南省肿瘤医院 5G 智慧医院建设项目 技术方案电话。统一值班电话会将维修工单下发到各部门和各市县分公司。各市分公司网 维中心 724 小时值班电话、全省(全国) 10010 客户电话、全省(全国) 10019 大客户故障受理热线。1)中国联通 10010 客服电话中国联通公司不断采用新技术、建立新网络， 竭诚为客户提供优质的客户服 务， 心系用户， 服务创新是中国联通一贯的追求。为解决用户在使用中国联通 业务过程中遇到的各种问题和困难， 并满足用户多样化、286、个性化的服务需求， 中 国联通采用先进的呼叫中心技术， 以统一的业务规范、技术规范、业务流程在全 国各地设立了 10010 免费客户服务热线。客户服务中心 10010 服务热线免费提供 24 小时全天候服务，它是联系联通 用户和中国联通的纽带。同时客户服务代表将为用户提供首问负责制， 并通过闭 环、规范的处理流程， 保证用户问题在约定的时限内得到答复， 实现联通对用户 的服务承诺。中国联通 10010 还为 VIP 客户和大客户建立了快速服务通道， 选择了经验丰 富、业务熟练、服务优良的客户服务代表作为 VIP 服务专席人员， 提供更为高效 优质的服务。拨通10010客户服务热线，按照语音引导287、进行相应操作，可以享 受客服代表提供的业务咨询、业务自助受理、投诉申告等服务。10010 服务承诺： 7*24 小时全天候服务。 咨询处理时限：即时处理。 查询处理时限：不超过 5 分钟。 人工座席应答时限85%2)中国联通 10019 大客户故障受理热线中国联通 10019 在本网和异网开通， 作为全国统一的集团客户服务热线， 为 大客户提供 724 小时服务。采用省集中受理模式，在省客户服务中心设立 “10019”集集团客户服务专席。中国联通 10019 随时受理集团客户的咨询、查询、投诉， 征求集团客户需求 和满意度，并对相关部门在客户服务质量、响应时限方面进行监督考核。中国联通 100288、19 热线受理的业务种类为全业务， 包括集团客户使用的各类固150网、移动及融合业务，但原则上不受理集团客户中的员工使用的纯个人业务。 中国联通 10019 大客户故障受理热线是大客户故障受理的正规渠道， 全电子化的故障流转系统： 10019 大客户故障受理热线， 闭环受理系统， 能够有效保障 服务时限。151第6章 人员培训方案6.1人员配置计划项目实施过程中人力资源管理是项目管理中一项十分重要工作， 建设一支既 熟悉业务又掌握技术的骨干队伍， 是信息化项目建设的重要组成部分， 本项目团 队配备项目领导小组、监理、协调小组， 技术实施由资深的项目经理带队， 专业 的咨询顾问、技术支持、质量管289、理、实施、培训人员、过程管理、配置管理组成 不少于 8 人的团队。通过执行以下规范，可有效保证项目人力资源管理：1.项目组成员必须按照培训制度接受相关的岗位培训及有关的知识技能培 训，从而保证项目人员具备合格的知识技能来完成其工作；2.通过量化管理机制， 以公正的考核及奖惩制度激励员工追求上进、努力工 作；3.项目组员工必须执行工作报告制度，提高项目实施过程的透明度；4.项目人员的工作成果必须接受审核与评审， 以保证项目每一项实施工作的 正确性；5.项目人员所有的工作成果并纳入统一管理， 以保证项目实施工作的完整 性；6.项目人员所有工作都必须提交规范的记录文档以保证项目实施工作可追 溯性及可290、跟踪性；7.项目组成员必须执行沟通规范， 以保证交流的效率及有效性， 充分体现项 目人员每个个人的尊严与价值。152海南省肿瘤医院 5G 智慧医院建设项目 技术方案6.2人员培训方案6.2.1技术培训海南xx公司对海南省 XX 医院的管理人员及技术人员、使用人员进行云资源池、 云平台、医疗云项目组网方式介绍、医疗信息化系统软件操作的免费培训。所有 培训以中文进行。6.2.2培训目的培训目的主要是使管理和使用系统的人员不仅对整个医疗云平台有足够的 认识， 而且能完全胜任所承担的工作， 确保整个医疗云平台安全可靠地运行， 并 达到最大效益。为此， 海南xx公司针对海南省 XX 医院工作人员各自的工291、作性质， 对不同职责的工作人员分类进行专门培训， 使其掌握一定的专业技能， 掌握系统 基本结构、工作原理及操作程序。海南xx公司将提供多种培训课程，根据海南省 XX 医院医疗云项目进行技术培 训。由厂家专业认证的技术工程师对相关技术人员进行针对性的培训， 通过讲授 各种云资源池的性能、结构原理、维护管理技术及实际操作等培训。6.2.3培训对象本次项目参与培训人员主要由海南省 XX 医院指定，一般包含管理人员、技 术人员、使用人员等。管理人员和技术人员由于领导者的有效管理及正确决策是保证医疗云平台项目顺利实施和运行 基础， 因此对管理人员及技术人员的培训提出更高的要求， 建议安排管理人员及 技术292、骨干进行集中专项培训， 提高管理水平， 掌握相关行业的最新技术动态和方 向。系统管理人员153海南省肿瘤医院 5G 智慧医院建设项目 技术方案系统管理人员是对项目运行进行管理和维护的人员。人员经过培训， 主要能 达到以下目标：掌握所有产品的基本知识、系统或参数配置；对一般性故障进行诊断、定位和排除；掌握系统故障后的恢复方法；熟练查阅各种系统操作和维护手册；指导一般操作人员的工作。使用人员针对使用人员展开全方位的实操培训，主要达到以下目标：熟练掌握医疗信息化系统使用技巧全面应用到工作中，提高工作效率6.2.4培训方式为了使培训达到最佳效果，使海南省 XX 医院相关人员获得尽可能多的知识 和经验，293、 我们将采用多种途径对用户进行培训， 所有培训以中文进行， 培训地点 可由海南省 XX 医院指定。6.2.4.1授课由海南xx公司和厂家专业资深的技术骨干， 在现场对用户进行培训。通常由课 堂讲授和现场操作讲授组成，由用户的使用手册支持，整体的操作为辅助。6.2.4.2现场培训和指导在项目成功实施后， 工程师在实际操作中， 会详细讲解操作步骤， 指导海南 省 XX 医院相关人员操作，并解答问题。海南xx公司在项目开通后试运行期间为海南省 XX 医院技术人员进行现场培 训，在培训工作开始前向海南省 XX 医院免费提供所有培训资料，包括操作、维154海南省肿瘤医院 5G 智慧医院建设项目 技术方案294、修手册，使参训人员能够了解系统及云资源池的基本结构、工作原理及操作程序， 能进行实际操作和日常维护、排除一般故障。6.2.4.3研讨会海南xx公司将通过定期组织研讨会， 和用户一起对项目管理、技术发展、平台 后期功能延展等问题进行研讨。6.2.4.4交流会在项目执行过程中， 海南xx公司将组织厂家资深骨干专家与海南省 XX 医院相 互交流工作的经验、存在的问题。另外， 海南xx公司还将专门为本项目建立一个信 息交流群，方便沟通。6.2.5培训教材培训教材是根据本项目的建设内容由厂商和海南xx公司编写的实施、维护的内 容， 培训教材以中文格式编写， 教材应保证每个学员有一整套。培训教材内容包 括295、：医院信息化系统使用手册；医疗云资源池使用文档；培训用的教材提供最新的，并与项目所供产品一致的版本；6.2.6培训质量保障海南xx公司从培训组织保障、培训师资保障、培训教材保障、以及现场实践保 障等多方面着手，组织开展面向海南省 XX 医院的培训工作。培训开始前海南联 通将提供一份培训的详细计划， 包括培训日期、授课方式、教材及授课人员职称 与经历，并报业主批准。培训采取课堂讲解和操作训练相结合的方法。由海南xx公司工程师和厂家工程师对项目边实施， 边和用户方的技术人员进行 现场的手把手的指导。同时在安装过程中装插召开项目的定期讨论会， 针对各个155海南省肿瘤医院 5G 智慧医院建设项目 技296、术方案阶段的调试工作中存在的问题和解决办法进行整理和汇总。6.2.7培训课程课程内容提供 资料培训人数培训时间培训对象培训地点师资云平台简易维护培训材料由用户方指定4 小时技术人员由用户方指定厂家及海南xx公司工程师医疗信息系统操作培训材料由用户方指定8 小时技术人员、使用人员由用户方指定厂家及海南xx公司工程师云平台知识及常见的问题培训材料由用户方指定4 小时技术人员由用户方指定厂家及海南xx公司工程师医疗云平台现状与后期规划培训材料由用户方指定4 小时管理人员、技术人员由用户方指定厂家工程师常见故障的排查与解决培训材料由用户方指定6 小时技术人员由用户方指定厂家及海南xx公司工程师备注：培训讲师均是厂家认证的工程师。6.2.8培训资料海南xx公司将编制和提供本招标文件中描述的培训工作所需的所有培训手册 和视频材料。培训手册以印刷本的形式提供。海南xx公司将根据参加各项培训课程人员的数目， 向每一个参加人员提供全部 有关的培训手册， 培训课程使用海南xx公司提供的有关文件， 并且在各场培训开始 之前完成有关文件认可后的最终稿。最终文件将于开始培训 10 个工作日之前提交海南省 XX 医院确认， 将提交包括所有培训手册的完整的电子文件，提供培训所需的所有材料。157