1、指南培训北京地区医院信息系统基础设施建设北京地区医院信息系统基础设施建设指南指南介介 绍绍北京地区医院信息化基础建设促进小组议程信息系统架构简介信息系统架构简介第三章第三章 网络基础服务网络基础服务l网络基础服务的作用l网络基础服务的内容第四章第四章 网络系统建设网络系统建设l实施步骤l最佳实践主要内容信息系统架构简介你们医院信息系统建设中存在哪些问题?你们医院信息系统建设中存在哪些问题?重建设、轻管理 重应用系统功能、轻技术系统规划设计 建设中应用系统与系统平台(基础设施)相分离 技术力量薄弱 投资力度小 没有确实可行的长远规划和年度计划 问题:信息系统架构简介考虑日常工作中的问题:考虑日常
2、工作中的问题:院长说:能否把同一职称按不同年资进行分类统计工作量和出勤比例?质控办:可否将在阑尾炎手术中有输血费的在院病人找出来?医务处、护理部:我所关心的人群的数据能否与人事处的数据实现实时同步?财务处:各种物资、器材、药品的进出库能否实时反映到财务账上?医生:疾病名称能否根据我个人的调用频率实现“高频先见”?挂号处:能否限制某个挂号员在规定的时间段只能挂某几个人的号?药剂科:能否做到某种药只能让某几个医生开?医生:能否对我负责的、做过肺切除术的肺癌病人进行自动随诊,并对回馈数据进行初筛统计?重应用系统功能、轻技术系统规划设计信息系统架构简介与规范的关系现状业务发展趋势医院战略IT愿景IT策
3、略IT组织框架规范IT技术框架IT运行管理框架指南依据目的方针框架成果信息系统架构简介目的是:目的是:为使信息系统对医院业务给予强有利的支持,必须为信息化的战略提供一个基础技术和流程结构 使信息技术成为一个现代化医院战略资源为什么介绍框架?信息系统架构简介Framework框架框架Architecture架构架构Structure结构结构词汇说明信息系统架构简介目的是:目的是:法律、法规、政策的遵从 例如,美国的Sarbanes-Oxley或 the Health Insurance Portability and Accountability Act(HIPAA),我国的医保数据上传;医疗机
4、构间的协作 社区的双向转诊等;医疗机构的并购;部署新的应用系统;客户界面的统一;实施自助服务门户 客户或者职员;改进数据质量;医院信息系统的重点是集成?信息系统架构简介系统越来越复杂系统越来越复杂业务需求的多变要求业务需求的多变要求系统越来越灵活系统越来越灵活信息系统建设中逐渐出现了矛盾信息系统架构简介1987 J.A.Zachman在在IBM Systems Journal上发表上发表“A Framework for Information Systems Architecture”提出系统架构概念提出系统架构概念1994美国国防部制定美国国防部制定“Technical Architectu
5、re Framework for Information Management(TAFIM)”1996美国国会通过美国国会通过Clinger-Cohen Act法案法案1999美国美国CIO委员会发布委员会发布 Federal Enterprise Architecture Framework(FEAF)2002行政管理和预算局用行政管理和预算局用Federal Enterprise Architecture(FEA)取代取代FEAF2003 The Open Group 发布发布The Open Group Architectural Framework,TOGAF2005 Gartner与
6、与Meta Group合并合并系统架构的发展史信息系统架构简介系统架构的发展史信息系统架构简介1.Zachman企业结构框架企业结构框架(The Zachman Framework for Enterprise Architectures)实际上是一个分类法2.开放组结构框架开放组结构框架(The Open Group Architectural Framework,TOGAF)虽叫框架,但称其为“流程”更准确3.联邦企业结构联邦企业结构(The Federal Enterprise Architecture,FEA)是一种企业结构实施的方法或创建企业结构的权威方法4.The Gartner
7、Methodology 被认为是建立企业结构化的实践方法四个企业架构的方法论信息系统架构简介Zachman企业结构框架企业结构框架功能功能(How)数据数据(What)动机动机(Why)时间时间(When)人员人员(Who)网络网络(Where)抽取抽取设计者设计者建造者建造者视角视角/关注点关注点Objective/Scope(Contextual)EnterpriseModel(Conceptual)SystemModel(Logical)TechnologyModel(Physical)DetailedModel(Out ofContext)运转的企业运转的企业所有者所有者规划者规划者分
8、包商分包商信息系统架构简介Zachman企业结构框架信息系统架构简介联邦企业结构框架联邦企业结构框架(FEAF 1.1)信息系统架构简介五个参考模型l性能参考模型(PRM)l业务参考模型(BRM)l服务组件参考模型(SRM)l技术参考模型(TRM)l数据参考模型(DRM)联邦企业结构框架联邦企业结构框架(FEA 2.3)信息系统架构简介联邦企业结构框架联邦企业结构框架(FEA 2.3)信息系统架构简介企业结构包括企业结构包括 4 种形式的结构:种形式的结构:1.业务(或业务流程)结构 定义业务战略、控制、组织,和关键业务流程;2.数据结构 对逻辑和物理数据结构以及数据的管理进行描述;3.应用结
9、构 描述各个应用、其间的相互作用,以及他们与核心业务流程的关系;4.技术架构 描述为支持业务、数据和应用服务的部署所需要的软、硬件的能力,包括基础设施、中间件、网络、通讯、过程和标准等;The Open Group Architecture Framework(TOGAF)信息系统架构简介五个参考模型l性能参考模型(PRM)l业务参考模型(BRM)l服务组件参考模型(SRM)l技术参考模型(TRM)l数据参考模型(DRM)面向服务的结构面向服务的结构(SOA)信息系统架构简介The Evolution of Architecture in Business Applications指南概述集成
10、不是目的,我们不得已而为之;系统结构不是一个,而是一组;建立系统结构需要采用适合自己的方法论;指南的技术架构是整个其中一部分;网络基础服务是整个技术架构的具体功能结构小结结构小结第三章 网络基础服务网络基础服务的作用网络基础服务的内容l名字服务(DNS、WINS)lDHCP服务l时间服务(NTP、SNTP)l认证服务(RADIUS、Kerberos、LDAP、CA/PKI)l用户管理l补丁管理l病毒防范主要内容第三章 网络基础服务网络基础服务是控制道路交通的指挥和信号系统基础设施和应用的纽带网络基础服务的作用第三章 网络基础服务l名字服务(DNS、WINS)lDHCP服务l时间服务(NTP、S
11、NTP)l认证服务(RADIUS、Kerberos、LDAP、CA/PKI)l用户管理l补丁管理l病毒防范网络基础服务的主要内容第三章 网络基础服务名字服务的作用名字服务的作用是把字符串名称翻译成为IP地址,以方便用户及系统对网络资源的引用并屏蔽网络系统环境变更对系统配置的影响名字服务名字服务(DNS、WINS)第三章 网络基础服务为什么使用名字服务l便于使用l便于管理l便于应急方案的实施l提供更多的信息l名字服务名字服务(DNS、WINS)第三章 网络基础服务Windows Internet Name Service,WINSlWINS是微软开发的名字服务系统,针对NetBEUI协议对主机的
12、命名。这种主机的名被称为NetBIOS名称。WINS的作用是将NetBIOS名字解析为IP地址,WINS服务主要用于Windows 2000以前版本。如:DC1、PostMan、Web1Domain Name Service,DNSlDNS是被广泛用于Internet的名字服务,Internet对主机的命名称为完全限定域名(FQDN)。DNS的作用是将FQDN名称解析为IP地址。FQDN名称除包括主机名外,还包含主机所在域的名称。如:dc1.pumch.local、医院网络环境中的名字服务医院网络环境中的名字服务第三章 网络基础服务WINSlWINS服务的优势是简单易行,维护量极小,对于小而简
13、单的网络可考虑使用。DNSlDNS服务在医院网络中是必须的服务,对内、对外均需要提供DNS。通常情况下,通常情况下,WINS和和DNS同时使用。同时使用。使用哪种名字服务?使用哪种名字服务?第三章 网络基础服务名字服务的设置名字服务的设置 WINS第三章 网络基础服务名字服务的设置名字服务的设置 DNS第三章 网络基础服务NetBIOS和和DNS的比较的比较NetBIOSDNS类型类型平面平面层次层次组成字符限制组成字符限制Unicode字符、字符、数字数字AZ,az,09和连和连字符字符“-”最大长度最大长度15个字符个字符DNS域名的每一节最大域名的每一节最大长度为长度为63字节,字节,F
14、QDN长度最大为长度最大为255字节字节名字解析方式名字解析方式广播广播WINS服务器服务器Lmhosts文件文件DNS服务器服务器Hosts文件文件适用范围适用范围局域网局域网Internet通讯协议端口通讯协议端口UDP 137UDP 53第三章 网络基础服务WINS部署和管理比较简单,但要注意一下问题:部署和管理比较简单,但要注意一下问题:lWINS服务的冗余;lWINS数据的备份;lWINS与DHCP的配合;l对不同操作系统的支持(可能需要Lmhosts文件的配合)。可用域控制器可用域控制器(DC)兼任兼任WINS服务器。服务器。WINS的部署的部署第三章 网络基础服务WINS部署和管
15、理比较简单,但要注意一下问题:部署和管理比较简单,但要注意一下问题:lWINS服务的冗余;lWINS数据的备份;lWINS与DHCP的配合;l对不同操作系统的支持(可能需要Lmhosts文件的配合)。可用域控制器可用域控制器(DC)兼任兼任WINS服务器。服务器。WINS的部署的部署第三章 网络基础服务DNS的部署和管理要比的部署和管理要比WINS复杂的多,因此需要很好的复杂的多,因此需要很好的规划。需主要考虑如下问题:规划。需主要考虑如下问题:l应用系统对DNS的需求;l应用环境对DNS的需求;l网络环境对DNS的需求;l网络应用(如Email、ISA)对DNS的需求;l内部DNS和外部(I
16、nternet)DNS的关系;lDNS的安全和扩展性考虑;lDNS的管理;可用域控制器可用域控制器(DC)兼任兼任DNS服务器。服务器。DNS的部署的部署 规划规划第三章 网络基础服务lLmhosts 和 hosts是名字服务出现前的解析方法,是静态静态解析名字的文件,DNS和WINS是动态解析名字的服务。位于:C:WINDOWSsystem32driversetcl服务器的配置有时采用;l机器很少,又采用静态IP时仍然可以使用;Lmhosts 和和 hosts第三章 网络基础服务解析NetBIOS名字是LAN Manager NET 实用程序是Windows 95/98/ME的主要解析方法对
17、应WINS解析FQDN名字是TCP/IP 实用程序是Windows 2000以后的主要解析方法对应DNSLmhosts hosts第三章 网络基础服务使用名字服务应注意的问题l指向最近(快)的服务器;l服务器的“位置”应相对稳定;l内、外 DNS 要严格分开;l通过 IP 地址、端口过滤实施 DNS 保护;名字服务名字服务(DNS、WINS)第三章 网络基础服务DNS命名空间命名空间lDNS命名空间就是DNS域名及结构;lDNS域名是以树状结构进行管理的。DNS的部署的部署 内容内容第三章 网络基础服务什么是域名?什么是域名?l表示一个单位、机构或个人在Intenret上确定的名称或位置。l用
18、于解决Internet中地址对应问题的一种方法。医院若想在Internet上有一个确定的名称或位置,需要进行域名登记。域名登记工作是由经过授权的注册中心进行的。国际域名的申请由InterNIC及其他由“Internet国际特别委员会”(IAHC)”授权的机构进行;我国域名的注册工作则由中国互联网络信息中心(CNNIC)负责进行。而域名分为国际域名及在国家顶级域名之下的二级域名(国内域名)。DNS的部署的部署 Internet域名域名第三章 网络基础服务域名的种类域名的种类域名的种类大体上分为:普通域名、中文域名、通用网址和无线网址。域名的种类大体上分为:普通域名、中文域名、通用网址和无线网址。
19、l普通域名普通域名也称为英文域名,是传统的域名体系形式,目前绝大多数的网上资源仍在使用普通域名。l中文域名中文域名是符合国际标准的一种域名体系,使用上和英文域名近似,作为域名的一种,可以通过DNS解析,支持虚拟主机,电子邮件等服务。l通用网址通用网址是一种新兴的网络名称访问技术,通过建立通用网址与网站地址URL的对应关系,实现浏览器访问的一种便捷方式。是基于DNS之上的一种访问技术。l通用网址通用网址本质上是一种应用服务,它是针对简化浏览器URL地址输入和便于记忆的服务。“网络实名”、“快捷网址”是各个公司对通用网址的不同称谓。在技术实现方案方面,各家公司也采用了不尽相同、甚至大相径庭的技术方
20、案。l无线网址无线网址也称为短信网址,是利用短信方式为移动终端设备,快捷访问无线互联网而建立的寻址方式,它是基于无线互联网的IP及域名体系之上的应用标准。无线网址又包含本地网址,与一般无线网址不同的是,本地网址可以在不同的地区分别注册,如分别访问A地区或B地区的本地网址,其访问结果是不同的,具有信息的地域性。DNS的部署的部署 Internet域名域名第三章 网络基础服务域名的注册域名的注册l注册域名是任何要在Internet上建立站点的医院必做的第一步。首先,要明确的一个问题是要注册一个什么样的域名,然后填写域名注册申请表,递交到域名服务公司,并需要交纳一定的费用。手续完成后,申请的域名很快
21、就可以使用了。l虽然中国互联网络信息中心(CNNIC)是我国域名注册管理机构和域名根服务器运行机构,但不直接面对最终用户提供域名注册相关服务,域名注册服务由CNNIC认证的域名注册服务机构提供。这些机构的联系方式在CNNIC网站(http:/ Internet域名域名第三章 网络基础服务通常情况下医院网络环境中存在内部域名和外部(Internet)域名。两者的关系一般有两种情况:1.将内部域名作为外部域名的子域2.内、外域名相互独立前者易于部署和配置,后者安全性较高、有利于管理和控制。域名域名局域网内部的命名局域网内部的命名第三章 网络基础服务域名的管理主要是外部域名的管理,涉及的问题有以下域
22、名的管理主要是外部域名的管理,涉及的问题有以下几方面:几方面:l服务器变化;l对外服务的增减;l变更Internet服务商引起的IP地址改变;l改变接入方式可能引起的IP地址;l增加、减少以及变更域名;l其它情况;如注册内容、联系人或联系方式的变更,以及域名的续费等。医院要指定专人对域名进行管理。域名域名 域名的管理域名的管理第三章 网络基础服务DNS的部署的部署 Split-DNS第三章 网络基础服务DNS的部署的部署 DNS策略解析策略解析第三章 网络基础服务WINS的安装的安装第三章 网络基础服务WINS的安装的安装第三章 网络基础服务DHCP是Dynamic Host Configur
23、ation Protocol(动态主机配置协议)的缩写,是一种用于简化主机 IP 配置管理的 IP 标准。通过采用 DHCP 标准,可以使用 DHCP 服务为网络上启用了 DHCP 的客户端动态分配IP 地址和其他相关配置细节。DHCP服务服务第三章 网络基础服务有如下情况时应采用DHCP服务:l网络中主机数量过多;l需要支持移动用户;l网络中有需要DHCP服务的应用;何时采用何时采用DHCP服务?服务?第三章 网络基础服务静态分配缺点缺点l管理工作量大;l易出现地址冲突;l不支持移动用户;l降低网络的灵活性;优点优点l不受非法DHCP影响;l可实施地址绑定控制动态分配优点优点l易于管理;l不
24、易出现地址冲突;l支持移动用户;l集中式管理l组网灵活缺点缺点l可能被网络中非法DHCP服务影响;l服务器故障会导致客户端上网。静态分配静态分配?动态分配?动态分配?第三章 网络基础服务网络设备缺点缺点l不易于管理;l配置相对复杂;l无法与名字服务集成。优点优点l故障时影响面小;l抗病毒能力强专用服务器优点优点l易于管理;l配置简单;l可与名字服务集成;缺点缺点l服务器故障会导致客户端上网DHCP服务的提供服务的提供 第三章 网络基础服务在网络环境中很多应用需要有统一的时间环境,事件追踪、审计也需要准确的时间。网络中一些协议的运行需要更加精确的时间,例如,Kerberos V5认证协议。将网络
25、环境中的各种设备或主机的时间信息(年月日时分秒)与协调世界时(Universal Time Coordinated,UTC)的时间偏差限定在足够小的范围内(如100ms),这种同步过程叫做时间同步。时间服务时间服务第三章 网络基础服务时间服务的作用:l网络管理系统的日志审计;l应用认证过程;l与时间有关的应用系统:IDS/IPS及医嘱处理的应用;l网络备份系统:在备份服务器和客户机之间进行增量备份时要求这两个系统之间的时间同步;l计费系统:网络计费系统中也要用到数字时间戳服务。时间服务时间服务作用作用第三章 网络基础服务时间服务的部署需要考虑如下问题:l尽量选取非常精确的时间源;l如何将精确的
26、时间传送到需要时间服务的设备或主机,且减小传输过程中的误差;l选用绝对时间同步的时间设备,充分利用设备的时间校准机制自动实现时间同步,排除人工因素。时间服务时间服务部署部署第三章 网络基础服务时间同步的实现一般使采用分层结构,不同位置的网络节点会选择不同的时间源客户端的时间源l对运行Windows系统的客户端最好采用Windows域管理,域中的客户端会自动以域控制器(DC)作为时间服务器,并自动地与之进行时钟同步。时间服务器的时钟校准l院内的时钟服务器可与外界时间源同步:通常可选中国科学院国家授时中心的时间服务器(210.72.145.44)作为标准时间源。有科研教育网(CERNET)出口的教
27、学医院也可以选择下表中的时间服务器时间服务时间服务 时间源的选取时间源的选取第三章 网络基础服务1.用户管理用户管理认证、授权、记账(AAA)2.用户上网行为的监控与管理用户上网行为的监控与管理资源访问行为管理3.用户端的管理用户端的管理设备硬件及操作系统的维护与管理应用系统软件的维护管理接入网的控制用户管理第三章 网络基础服务建立统一的认证中心是用户管理前提,也是安全的基础。建立统一的认证中心需考虑如下问题:权限管理、用户角色的规划支持多种认证协议。如LDAP、RADIUS及802.1x等支持集中及分层管理支持证书的分发与管理设备认证用户管理认证中心第三章 网络基础服务存在多种身份的识别用户
28、身份(MAC、IP)设备身份网络身份应用身份用户管理身份的识别第三章 网络基础服务主要集中在两个方面:院内资源访问行为,如监控软件和硬件的非法安装、私自变更上网上网参数,如IP/MAC地址等。Internet访问行为,如网络资源的滥用和访问非法网站等。用户管理用户管理 上网行为的监控与管理上网行为的监控与管理第三章 网络基础服务包括三方面的内容:设备硬件及操作系统的维护与管理应用系统软件的维护与管理接入网的控制用户管理用户端的管理第三章 网络基础服务步骤 评估找出需要打补丁的环节,不尽包括软件,还包括硬件设备,如:如交换机、服务器的Firmware;识别及时发现新补丁,及时发现未打补丁的环节;
29、规划新补丁的发布应符合生产环节中正确的变更流程,确保该变更不会危及关键业务。实施服务器环节应采用手工方式,普通桌面终端可借助桌面管理软件。补丁管理第三章 网络基础服务免费产品1.Windows的自带的补丁功能2.微软的Software Update Services,SUS收费产品 微软的Systems Management Services,SMS(新的版本为SCMS)第三方产品,如,LANdesk、通软、软通、华赛、日立的JP1等等补丁管理常用工具第三章 网络基础服务下午专题讨论病毒防范第三章 网络基础服务F名字服务名字服务 DNS DNSFDHCP服务服务 动态?静态?动态?静态?F时间服务时间服务 时间源时间源F用户管理用户管理认证中心认证中心小结第四章 网络系统建设网络系统建设是指实际网络的建造过程,其中包括如下几个阶段:准备 实施/切换 试运行 验收阶段概述第四章 网络系统建设任务1.现状调查2.技术培训3.技术实验目的 获得实施需要的详细信息,为制定实施计划及施工文档提供详细资料准备阶段第四章 网络系统建设调查内容 物理链路 逻辑设置 施工环境准备阶段第四章 网络系统建设调查内容 物理链路 逻辑设置 施工环境准备阶段第四章 网络系统建设调查表调查表 调查表-光纤.doc 虚网划分情况.doc准备阶段举例第四章 网络系统建设“断指法”“分层法”切换
