医院机房是干什么用的(医院机房设备)

大家好，我是CMCC肖扬。
今天分享一套word版本的医院机房建设方案，适用于二甲以上医院机房建设项目，可以直接使用。
正文：医院机房建设方案2020.6目录5第一部分 机房工程5第一章 概述51、设计依据72、设计理念83、机房环境设计指标94、现状分析94.1基本结构94.2 本次工程设计范围9第二章 装饰工程设计说明101、装饰设计基本原则102、平面功能分区设计思路103、材料选择原则114、机房标高115、吊顶装饰工程115.1 顶面防尘、防潮处理115.2金属吊顶板126、墙柱面装饰工程127、隔断工程138、地面工程138.1地面防尘处理138.2 防静电活动地板149、门窗工程14第三章 空调通风系统工程141、机房精密空调141.1 机房空调任务151.2 方案配置151.2.1 室外机布置方案151.2 精密空调环境区域的保温151.3 精密空调周围的防水162、新/排风机组配置方案162.1 新风机组的选型162.2 新风系统的布置162.3排风机组的选型162.4 排风系统的布置17第四章 供配电系统工程171、供配电系统171.1电力分配171.2 UPS系统181.3机柜的供电181.4空调设备电源181.5照明、市电插座电源181.6电线电缆191.7电源开关和插座191.8 强电管道设计192、电气安装要求193、辅助供配电系统204、照明系统204.1普通照明204.2 应急照明204.3 事故照明215、防雷接地系统215.1 机房接地方案225.2 电源防雷22第五章 机房气体消防工程231、设计依据232、设计思路233、工作原理244、控制方式25第六章 动力环境集中监控系统251、概述252、设计依据和原则252.1设计依据262.2设计原则263、系统选型263.1系统分析273.2机房环境监控273.3机房动力设备监控28第七章 机柜选型28第八章 综合布线系统工程设计说明281、概述282、系统设计282.1 总体方案设计考虑282.2 设备间子系统292.3 工作区子系统292.4 水平子系统293、线缆布放30第二部分 网络部分30第一章 项目设计原则33第二章 网络规划方案331、总体思路352、内网系统设计363、外网系统设计374、监控应急管理系统设计385、无线网络设计456、网络管理设计46第三部分 网络安全46第一章 概述461、安全背景462、建设目标473、建设依据49第二章 需求分析491、安全技术需求分析491.1网络和通信安全501.2应用和数据安全511.3设备与计算安全512、安全管理需求分析52第三章 总体设计方案521、网络规划设计521.1设计原则521.2网络结构541.3总体设计552、网络技术体系552.1边界防火墙552.2VPN通信传输552.3入侵防御系统562.4上网行为管理572.5外联防火墙572.6安全隔离网闸573、业务安全体系573.1数据中心防火墙583.2数据库防护与审计系统594、终端安全体系594.1终端安全加固594.2网络接入控制604.3非法外联控制604.4资产管理604.5移动存储管控604.6终端配置维护604.7主机监控审计605、运维管理体系605.1运维堡垒机615.2漏洞扫描615.3日志审计626、安全管理体系64第四部分 服务器部分64第一章 概述641、信息化建设的重要性642、医院信息化建设等级保护要求65第二章 解决方案651、数据中心建设拓扑图672、总体建设方案介绍672.1超融合软件定义计算设计762.2 HIS应用服务器建设772.3 平台服务器集群建设792.4数据库存储系统建设第一部分 机房工程第一章 概述在现代科学技术高度发展的社会里，电子计算机机房这个概念将越来越广泛地应用于各个领域，近年来信息技术正迅猛发展，但是计算机设备只有通过稳定、可靠的运行才能发挥其效益，而计算机设备的稳定、可靠运行要依靠电子计算机房的严格的环境条件，即机房温度、湿度、洁净度、噪声、承重、振动、电磁屏蔽、防静电、不间断供电、安保、防雷、防火、防漏水、防窃、防鼠虫害等条件及其控制精度，因此计算机机房系统工程是一项多学科紧密结合的复杂系统工程，其设计与施工也日益被人们所重视起来。
计算机机房工程是一种涉及到空调及新风技术、供配电技术、自动检测与控制技术、抗干扰技术、综合布线及弱电技术、净化、消防、建筑、装潢等多种专业的综合性产业。
我公司在吸取了国内外十多年来计算机机房建设的设计、施工方面的经验教训的基础上，根据现场资料和实际需求，对影响计算机设备稳定、可靠运行的各种因素作了较全面的分析，在设计过程中采用先进的设计思想及理念。
1、设计依据《电子计算机机房设计规范》（GB50174—93）《电子计算机场地通用规范》（GB/T2887-2000）《建筑物防雷设计规范》（GB 50057 -94）《计算站场地安全要求》（GB 9361-88）《建筑内部装修设计防火规范》（GB 50222-95）《火灾自动报警系统设计规范》（GB 50116-98）《气体灭火系统施工及验收规范》（GB 50263-97）《火灾自动报警系统施工及验收规范》（GB 50166-92）《计算机房施工及验收规范》（SJ/30003-93）《工业企业通信接地设计规范》（GBJ79-85）《通风与空调工程施工施工及验收规范》（GB50243-97）《低压配电设计规范》（GB50054-95）《环境电磁卫生标准》（GB9175-88）《电磁辐射防护规定》（GB9175-88）《通讯机房静电防护通则》（YD/T754-95）《计算机机房用活动地板技术条件》（GB 6650 -86）《计算机信息系统安全法规汇编》公安部编印《建筑与建筑群综合布线系统工程施工及验收规范》(GBT/T 50311-2000)《建筑与建筑群综合布线系统工程施工和验收规范》(GBT/T 50312-2000)《民用建筑电气设计规范》（JGJ/T16—92）《电气装置安装工程施工及验收规范》（GBJ32—82）《工业与民用供电系统设计规范》（GBJ52—82）《建筑与建筑群综合布线系统工程设计规范》修订本《建筑与建筑群综合布线系统工程施工及验收规范》《智能建筑设计标准》《低压配电装置及线路设计规范》(GBJ54​—83)《安全防范工程程序与要求》（GA/T75—94）《工业电视系统工程设计规范》（GBJ115—87）《计算机场地技术要求》（B2887—89）《电子计算机机房施工及验收规范》（SJ/T30003—93）《民用闭路监控电视系统工程技术规范》（GB 50198-94）《中华人民共和国安全防范行业标准》（GA/T74-94）《中华人民共和国安全防范行业标准》（GA/T70-94）TIA/EIA 568A 工业标准及国际商务建筑布线标准SYSTIMAX SCS 设计工程手册《电视监控系统设计规范》（1995）《不间断电源设备》《不间断电源技术性能标定方法和试验要求》（现行国际电工标准）《电力系统谐波管理暂行规定》（能源部标准）《建筑物电气装置》（国际电工标准）《民用建筑照明设计标准》《工业企业照明设计标准》《工业管道工程施工及验收规范》（GBJ235）现场观察情况及楼层图纸《招标书》2、设计理念为了将本计算机机房建设成为具有当今领先水平的智能化数据处理和通信中心，使其成为一个能满足当前及今后若干年发展需要的、系统功能完善、高可靠性的标准化的GB标准A类机房，设计过程中遵循以下原则：1）整体规划政务外网机房改造项目是一个整体，在设计中充分考虑各系统设备设置的协调性，装修格调及效果的整体性，以及后期扩容的方便灵活性。
2）合理布局机房可使用的面积共80平米，空间是有限的，在设计中在瞒足规范的前提下充分利用现有的面积，将网络机房和监控室进行合理设置，空间合理布局。
3）技术先进在满足可靠，适用的前提下，采用新技术新材料，及先进的施工、工艺、和成熟稳定性价比高的动力环境设备，为计算机系统、网络系统的运行提供保障，同时为工作人员提供先进的高科技工作环境。
4）安全可靠机房建设项目从设计，设备选型到施工，把安全可靠作为该项目的核心，并充分考虑建筑结构的安全，计算机网络设备运行的安全和在机房内工作的技术人员的身心健康的安全，从建筑结构的荷载、装修材料的防火、环保、节能、方面和供配电系统、防雷接地系统，空调及通风系统，消防系统，安全监控系统设备运行的可靠性，稳定性等方面采取有效措施，确保政务外网设备的运行环境以及技术人员的工作环境。
5）节能环保节能、环保是我们国家的国策，计算机、网络机房中的空调系统和照明系统是主要耗能系统。
因此，在机房围护结构的处理，空调通风设备的选型以及照明光源的选型、控制等方面予以重点考虑，同时在装修材料的选择上选用有检测报告、甲醛含量低，合格产品，保证建成后整体空气质量合格。
6）经济适用保证项目的重点环节，在考虑日后维护费用的同时，使工艺与造价两者兼顾，性价比的最优化。
3、机房环境设计指标3.1 开机时的温度和湿度温度：22±20C，最佳：220C；关机时3~350C开机时相对湿度：45％－65％，最佳:55％；关机时40％－70％变化率<5％；不结露3.2 空气洁净度在静态条件下测试，每升空气中大于等于0.5μm的尘粒数,应小于10000粒/dm3。
3.3 噪声5点测试平均值应小于70dB(A)。
3.4 电磁干扰磁场干扰：≤800A／m.3.5 无线电干扰在频率为0．15～1000mHz时,≤120dB。
3.6 振动在系统停机条件下，地板表面垂直及水平方向的振动加速度不大于500mm／s².3.7 静电地面、吊顶、吊顶及工作台面的静电泄露电阻，符合现行国家标准《计算机机房用活动地板技术条件》的规定；3.8 照度机房区域平均照度为≥300勒克斯（离地面800㎜处），辅助房间的平均照度为≥200勒克斯（离地面800mm处），应急照明的平均照度为≥５勒克斯（离地面800mm处）。
3.9 电压、频率允许变动范围；单相220V＋5%～220V－5%；50Hz±0.2Hz。
波形失真<±5％。
3.10 瞬间变动电压不能超过220V±15％。
4、现状分析4.1基本结构机房建筑面积80㎡。
抗静电地板铺设高度为0.3米，装修后净高为3.2米。
4.2 本次工程设计范围计算机机房区域：计算机机房区域由网络监控室、中心机房、UPS电源配电间、构成。
本次设计建筑平面根据实际使用的要求功能分区如下：互联网UPS机房本次中心机房设计包括以上各功能间的以下子系统工程：1、结构加固工程2、装修工程3、供配电、照明、UPS系统工程4、防雷、接地工程5、空调及通风工程6、消防工程7、环境监控、安防工程8、综合布线工程第二章 装饰工程设计说明计算机机房应建成安全性、可靠性要求最高、最重要的部位，是数据交换、储存和通讯枢纽，是项目的重要组成部分。
主机房内放置的昂贵的计算机设备和网络通讯设备等，不仅因为高科技产品需要一个非常严格的环境，更重要的是它能否正常可靠运作，对系统工作是至关重要的。
因此，机房的基本结构组合必须达到以下目的及水准。
重点目标有防火、防尘、防静电、防漏水、防电磁干扰、防鼠虫害、防窃、隔热、保温、和适当的屏蔽等。
该机房的装饰部分的主旨是：既要与现代化的计算机通信设备相匹配，又能通过精良而独特的设计构思，真正体现"安全、可靠、现代、高雅、美观、适用"的整体形象。
1、装饰设计基本原则体现特点――体现出计算机机房高科技部门的室内装潢特点。
突出重点――在充分考虑服务器、网络通讯、空调、UPS等设备的安全性、可靠性、先进性的前提下，达到高雅、大方的风格。
宜于健康――在材料的选用方面，要以自然材料为主，充分考虑环保因素，采用安全、环保和对人体无害的材料。
2、平面功能分区设计思路机房区域出入口共有1个，作为进出的人员的出入口，人员进出机房时在出入口换鞋后进入机房，保证机房的洁净度和安全性，机房门采用防火屏蔽门，完全满足消防规范的要求。
机房内部隔断采用12mm厚防火玻璃，将机房分为值班室和网络中心机房两部分，透过玻璃隔断，展示出高科技整齐美观IT设备的靓丽外观，同时使整体机房通透可视，实现机房区域内设备运转和人员流通互不干扰。
电源室的独立，主要考虑作为机房区域的UPS配电中心，同时保证了设备在维护和管理上的便利性，考虑到UPS蓄电池组的重量较大，因此蓄电池组安装在加固位置处。
3、材料选择原则为保证机房的洁净度，装修材料应选用气密性好、不起尘、易清洁、安全、环保和对人体无害的饰面材料。
应避开强电磁场的干扰及保障电脑系统信息安全，要采取有效的电磁屏蔽措施，满足机房内抗无线电干扰场强要求和抗磁场干扰场强要求。
为满足机房的防火要求，装修材料必须全部采用不燃、阻燃材料。
所选天花板、地板、墙板、防火防盗门均为防火性能高的材料,满足机房的防火要求。
各装饰材料均通过国家建筑装饰材料检测中心检测合格，并通过国家消防部消防材料检测中心检测合格。
4、机房标高本着科学设计，严谨施工的态度，对完成后的最终标高问题将根据建筑、机电、消防具体设计与施工，根据现场建筑空间的实际情况，保证机房的净空高达到3米, 防静电地板高度为0.3m5、吊顶装饰工程网络中心机房顶棚装修采用双层吊顶的方式，首先在机房区域（精密空调工作区域）设置轻钢龙骨、防火线纸面石膏板内层吊顶，以压缩吊顶内的无用空间，降低空调设备的工作负荷，其次外层吊顶为600×600×0.8㎜ 微孔金属板吊顶。
网络监控室的吊顶可以设计为异形顶，主要采用石膏板进行吊顶，具体风格可以根据现场情况进行确定，吊顶主要具有以下作用：安装固定照明灯具及走线。
安装桥架、管路。
吸音、防尘。
回风静压箱。
5.1 顶面防尘、防潮处理首先将机房区域内吊顶内的四壁、梁柱面、顶面进行高级抹灰、找平，在抹灰材料中掺入优质防渗剂，待抹灰层干透后，在其表面刷三道优质内墙防水涂料，然后待内墙防水涂料干透后，在其上刷防尘油漆三遍,然后再用橡塑保温板保温处理。
以满足机房防尘及建筑面不起尘的需要和防水的现象，即使上一层地面出现水患，水也不会渗到机房内同时夏季机房与楼上办公室温差较大时，也不会引起楼上办公室地面出现结露现象。
5.2金属吊顶板吊顶采用600×600×0.8的方形微孔天花板，具有吸音、高雅、美观、大方、耐用、易清洁、阻燃、防静电、防电磁干扰等诸多优点，使整体机房区域独具特色，采用轻钢龙骨活动式装配吊顶，饰面板嵌装入三角龙骨中。
金属吊顶的特点：●美观及实用性以高标准的预着色（闻名于世瓷型聚酯漆）铝板为主要原料，无论是在质感上、强度上以及名种耐火性能上远远超过静电喷涂材料。
●不燃性由于以金属为原料，不会燃烧，符合现代建筑消防安全的需要，这是该产品得以大量应用的重要条件。
●吸音及隔音效果由于该吊顶可以不同的组合，利用钢口面板及开口安装法，加上吸音材料，具有极好的吸音、隔音效果。
●安装容易、维修方便由于设计先进，可根据客户不同的要求，采用不同的高度和规格，把照明系统、空调系统、通风系统、给排水系统、广播系统、消防系统等管线安装在吊顶内部，同时由于该吊顶的每一个单元都可拆卸，故给内部管线工程带来极大的方便。
●产品寿命该产品有极长的使用寿命，由于板材原料均为纯铝，所以使用时间再长也不会生锈，不会出现变形和脱漆的现象。
●良好的性能价格比6、墙柱面装饰工程为使机房区达到良好的屏蔽、防水、防尘、防静电、防火、美观、耐用的效果，墙面采用轻钢龙骨石膏板为基层，再复以厚彩钢板来制作墙面装饰，真正起到屏蔽、防尘、防静电、防火、美观、耐用的作用。
7、隔断工程隔断墙的特点：隔断墙具有一定的屏蔽、防静电、隔声、防火、隔热和减少尘埃附着的能力。
同时计算机的更新换代及布局的变更和扩充，隔断墙又易于拆除方便日后扩容与变动，而又不损坏其它部分的建筑构造。
本工程机房的隔断根据实际情况设计如下：1)机房区域内各功能间之间采用12mm厚防火玻璃隔断。
耐火时间为45分种。
玻璃隔断支架和框体采用槽钢制作，并进行防锈处理，在外饰部分采用拉丝不锈钢饰面。
2)机房区域玻璃隔断包框和踢脚线均采用70mm高拉丝不锈钢踢脚线。
8、地面工程8.1地面防尘处理机房区域先用水泥沙浆找平层，待找平层干透后，在其表面上刷防尘油漆三道，以起到不起尘和尘埃附着的作用。
8.2 防静电活动地板防静电活动地板在计算中心各房间的工程技术设施中是一个很重要的组成部分。
活动地板铺设在计算机机房的建筑地面上，活动地板上安装着计算机设备及其它电子设备，而在活动地板与建筑地面之间的空间内可以敷设联接设备的各种管线，如设备间的信号线，电源线及设备的保护地线等。
活动地板具有可拆卸的特点，因此所有设备的导线电缆的连接。
管路的连接及检修更换都很方便，敷设路线距离最短，因而可减少信号在传输过程中的损耗。
活动地板可迅速地安装与拆御、方便设备的布局与调整。
为设备的增容和设备的更新换代提供了有利条件。
机房用活动地板敷设、增加了机房内的整齐、美观、为计算机房创造了一个舒适而又安全的工作环境。
由此可见，活动地板在机房中正确的应用可以提高计算机的运行可靠性及延长设备的使用寿命。
本设计机房区域无黑边复合防静电地板，规格为800×800×30，地板集中负荷为4500N，分散承受力23000N/m2，电阻抗≤109Ohm,选择防火耐磨抗静电贴面，具有良好的防静电效果和长的使用寿命，防静电地板抗弯强度大，四周封边平整牢固，密封性强，且使用寿命长，受温度、湿度变化的影响较小，铺后整体效果好，地板按最高防火标准进行设计并经过严格的防火性能测试，质量通过ISO9001质量管理体系的认证。
9、门窗工程在机房区域，大门采用钢质1500×2100双开甲级防火门，配以防火琐和闭门器。
机房内其他各门因考虑到宽敞的可视效果，在机房区域内部的玻璃隔断上的门统一采用相应的12mm厚玻璃无框地弹门，配以不锈钢双H拉手、上下门夹、转角冒头、地弹簧。
第三章 空调通风系统工程1、机房精密空调1.1 机房空调任务计算机房空调的任务是保证计算机系统连续、稳定、可靠地运行。
其作用是排出机房内各设备及其它热源散发的热量，维持机房内的恒温恒湿状态，并控制机房的空气含尘量。
为此要求机房空调系统具有送风、回风、加热、加湿、冷却、减湿和空气净化的能力。
中华人民共和国国家标准《计算机房场地技术要求》（GB2887—93）规定了计算机房环境的温湿度条件，参数如下：开机时应满足的条件:停机时应满足的条件:为了保证计算机系统稳定可靠的工作，减少故障，延长使用寿命，提高工作效率，必须创造一个良好的环境。
温度、湿度、洁净度都会对计算机带来严重的影响。
温度过高：电参数变化、尺寸变化、散热困难。
温度过低：电参数变化、润滑性能下降、机器的几何尺寸变化。
温度剧烈变化：电参数变化、水汽凝结、机器的几何尺寸变化。
湿度过高：电参数变化、水汽渗透，金属生锈、腐蚀、短路等。
湿度过低：龟裂、产生静电（摩擦）。
洁净度：尘埃造成光路堵塞、鼓面、盘面划破、接插件磨损，工业气体、盐雾造成金属腐蚀。
计算机房有如下特点：余热量大、余湿量小、循环风量大、焓差小空调电源与消防信号联动，当有消防信号时，自动切断精密空调和新风系统电源。
1.2 方案配置为满足机房温度200C～240C、湿度（45％～65％）、洁净度（≥0.5μm的微粒数，应<10000粒/升）和送风速度(出口风速<3ｍ/ｓ)的要求，我们根据机房设计原则来进行核算，空调选型制冷为30KW左右便满足机房设备的散热制冷需求。
1.2.1 室外机布置方案室外机选用MGE风冷式冷凝器，置于楼体顶上，精密空调冷媒管由机房地板下通过管井穿上室外。
穿楼板处必须做好防水处理。
室外机必须固定在角铁支架上。
1.2 精密空调环境区域的保温采用先进、适用、性能良好的保温系统在整个精密空调工作区域地面和顶面及周围维护结构进行全封闭保温处理，整体保温结构严实可靠、防火、防尘、防静电、防潮、防灾害，同时真正起到保温、防结露作用。
1.3 精密空调周围的防水为防止由于水患造成的损失，在空调机房抗静电地板下设置Ф50出水地漏四个，在空调机组周圈安装漏水感应探测器一圈。
由于精密空调拥有供应常年不间断的水源，为防止进水管出现暴裂或冷凝水排放不畅而产生大量溢水，采用性能优异的PPR进水管道，中途不连接任何器件，直接接入空调主机，维修阀门安装于机房区以外并作保温处理，防止温差造成管道发生老化。
2、新/排风机组配置方案2.1 新风机组的选型合适的新风即可以满足工作人员对氧气的需求，又可以保持机房的正压，防止外界的尘土及潮气侵入。
新风都需要经过处理才能进入机房。
一般性机房，需经过初效、中效、亚高效过虑器，才能满足要求。
新风必须送至机房精密空调上方，与室内回风混合后，再通过机房专用空调过滤处理，送风至主机房各个区域。
新风机组的选择：选择风量为 400 m３/ｈ新风机一台2.2 新风系统的布置新风机安装在机房室外，通过新风管道将室外新风送至机房各区域，保证新风进入机房的清洁度，室外新风先通过进风口引至新风机进行两级过滤，经新风机处理后的新风还未达到机房要求，为此这些新风再经过机房专用空调处理，最后送入地板下静压箱。
新风机通风管道必须安装手动、电动关断阀门（防火阀）并与消防控制系统联动。
当机房出现火警时，新风机电源被切断。
新风管道阀门关闭防止火势蔓延扩大。
2.3排风机组的选型在本空调系统中，排风系统主要考虑换气排风，同时保持空调机房内一定的正压。
排风机组的选择：选择风量为 350 m３/ｈ排风机一台。
2.4 排风系统的布置排风机安装在机房吊顶内。
通过排风管道将机房各区被污染的空气排出室外，排风口设在机房北侧吊顶内，排风处为大楼外，在机房外墙上做防水百叶。
为了防止雨水和鼠虫沿排风管进入机房，在室外排风处安装防水百叶和防虫网。
第四章 供配电系统工程计算机房的建设必须建立一个良好的供电系统，在这个系统中不仅要解决计算机设备（主机、网络、主控、电脑、终端等）用电的问题，还要解决保障计算机设备正常运行的其它附属设备（计算机房空调、照明系统、安全消防系统等）的供配电问题。
我公司倡导的机房供电方案是端到端无单点故障的高可靠性方案。
为保障设备的长期稳定安全运行，计算机、网络设备，机房空调通风设备按一级负荷供电。
机房照明及辅助用电设备，按二级负荷供电。
1、供配电系统1.1电力分配本项目低压供电系统均采用TN-S系统，交流50HZ，380/220V电源。
计算机房及辅助区域用电设备包括：网络设备、计算机及其它相关设备；动力设备、空调与新风设备、排风设备以及一般照明和应急照明设备等。
市电经过低压配电柜配电后分别向UPS、精密空调、维修插座、照明等设备提供市电电源。
经过UPS逆变整流后电源输出到UPS输出配电柜、为机房内服务器、网络设备、监控设备、消防设备等提供电源。
进线ATS必须与消防信号实现联动，当火灾出现时，该ATS自动分离，此时空调自动停机，门禁自动打开，以避免火灾的蔓延。
在UPS输入配电柜内专门设置了带锁维修旁路断路器，该带锁维修旁路断路器由专人进行管理，用于当UPS出现灾难性故障时，需要将UPS退出运行并保证整台UPS无电时以便检修，通过切换该带锁维修旁路断路器，可临时在不间断供电的情况下将机房内计算机负载全部转移于为市电供电。
以满足在检修UPS时，能够用市电直接向计算机供电。
1.2 UPS系统对机房内计算机设备提供干净、不间断的电源供应是极端重要的。
但公用供电系统由于电网受各种因素的影响，时常有不正常的现象发生，往往会对计算机系统造不利的作用，为此，采用UPS不间断电源极为重要，它不但能提供稳定可靠的高质量的电源，没有瞬变和谐波，即使当电网断电时，它也可由后备电池支撑，继续供电，使计算机设备有一定的时间进行处理。
1.3机柜的供电在主机房内设置UPS输出配电柜，配电柜分别向每台机柜输出2条ZR-VV-3*4mm²电缆，即实现双回路向各计算机供电。
上述的供电每一台计算机机柜的两路电源中的每路电源采用一对一的方式与馈出断路器连接。
机柜内安装带有防浪涌专用PDU电源插座。
以上供电系统是一可靠性非常高的方式，整个供电系统任意一点（如市电同时停，配电柜故障，某一电缆故障，或计算机负载短路跳闸等等）均不会影响机房其他计算机或机房设备的正常供电。
另外为防止UPS输出的三相电源不平衡，必须合理均匀分布UPS输出配电柜的各路输出，使三相电源在正常工作时，负载趋于平衡。
由于三相UPS如果三相负载不平衡，则该UPS会因一相超过额定值而引起UPS过载跳闸，大大减小UPS的带载容量。
另外当三相电流不平衡时使中性线电流增大，造成高次谐波干扰增大和中性点电位漂移。
1.4空调设备电源每个功能间内的空调由市电配电柜提供电源。
当消防动作时，空调电源自动切断，以利及时消除灾情，防止火灾的蔓延。
机房区域的空调统一由动力配电柜提供电源并控制。
1.5照明、市电插座电源照明、市电插座电源统一由动力配电柜提供电源并控制，日常采用市电供电，当市电停电后自动转换为UPS供电。
1.6电线电缆机房内的电线电缆除具备相应的载流量以外，还要考虑到线缆阻燃特性等要求。
我们在电线电缆选型时主要考虑了以下因素：电缆型式：机房内所用电线电缆全部采用A级阻燃电线电缆。
导线截面选择：根据负荷大小、允许电压损失、导线长时间允许温升及导线机械强度等因素进行选择，载流量留有30%的备用能力，以备将来扩容。
为方便查线，每回电缆两端均加以标记。
1.7电源开关和插座机房区域电源插座分为两种，一种为UPS插座，一种为市电插座，电源分别取自两台配电柜，供市电辅助插座的断路器均采用高灵敏度的漏电保护断路器，以保证人身的安全。
机房区根据各种设备的位置，设置足够数量和容量的电源插座。
1.8 强电管道设计机房内所有电线电缆均于地板下沿热镀锌金属桥架和金属电线管敷设，钢管和金属桥架内径留有余量。
天花照明电源线在天花吊顶上穿镀锌钢管敷设，然后就近经软管敷设至灯具。
一般插座和照明开关电线在轻钢龙骨墙面通过镀锌钢管铺设至相应位置。
为防止漏电危及人身安全，并防止电磁干扰，机房内所有金属线管、线槽、电气设备外壳等不带电的金属部分都可靠接地。
强电管道的布置必须考虑与弱电管道的间距和通风情况。
机房内强电管道和弱电管道均采用：国标金属300×75、250*50镀锌桥架，DG25金属电线管、DG20金属软管、DG20金属接头、86型接、分线盒。
2、电气安装要求电气元器件的安装整齐、牢固、正确、标志明确、外观良好、内外清洁。
电气接线盒（箱）内无残留物，盖板整齐，同类设备安装高度一样，电气装置的台座必须安装牢固、干线采用压接端子连接。
电源相线、零线、保护接地线、直流工作接地线的颜色有所区分。
管内穿线总面积不超过管内截面积40%。
不同回路、不同电压的线不能穿在同一管内。
机房内电源线主干部分采用镀锌桥架。
3、辅助供配电系统为防止机房内辅助用电设备在运行时可能对计算机系统造成的干扰，一般将计算机系统中的辅助设备用电自成系统，称为辅助供配电系统。
计算机系统中的辅助用电设备主要包括各类空调、照明灯具、维护设备以及辅助插座等。
辅助插座主要有以下作用：1)为计算机的通用测试设备提供临时电源；2)为临时局部照明提供临时电源；3)为清扫机房的吸尘器等设备提供临时电源；这些设备通常采用单相电源，电压为220V。
这样每个辅助插座至少应具有二孔和三孔各一个，总容量一般小于15A，每12-15m2左右设置一组。
在机房内通常将该类辅助插座安装在活动地板上或利用暗线安装在墙上；4、照明系统计算机机房主要依靠人工采光，计算机房照明质量的好坏不仅会影响计算机操作人员和软硬件维修人员的工作效率和身心健康，因此要对机房照明系统进行科学合理的设计。
机房照明系统又分为普通照明和应急照明两大类。
4.1普通照明机房各类房间对照度的要求各不相同。
据有关统计资料提供的数据，目前国内新建的机房照度平均照度可按400LX取值；基本工作间、第一类辅助工作间的平均照度按300LX取值；第二、三类辅助工作间及办公室应按国家建委标准TJ34---79（工业企业照明设计标准）执行。
与此同时，设计中对机房照明的均匀度、稳定性、光源的显色性、眩光和阴影等指标也要认真考虑。
针对该机房工程的具体情况，机房区域设计采用600×600嵌入式格栅灯具。
灯具位置排列根据机柜位置进行排列，使机柜前后均有较高的照度，避免了灯具设置在机柜正上方。
4.2 应急照明应急照明又称事故照明，是在正常照明因故障或停电熄灭时提供的照明。
国家标准《电子计算机机房设计规范》中规定：主机室及已记录的媒体存放间中距地面0.8米处的测量照度不应低于150LX。
此外，应急照明的电源控制要能快速、可靠地自动投入，且与正常照明电源联动，即在正常照明断电后应急照明的电源应能迅速、可靠地接通。
4.3 事故照明在机房大门内侧门框上方分别安装一套电子式出口指示灯，以作消防事故发生后的消防通道标记。
5、防雷接地系统计算机的接地系统是消除公共阻抗的耦合，以及防止寄生电容耦合的干扰，保护设备和人身的安全，保证计算机系统稳定可靠地运行的重要手段。
因此为了能保证计算机安全、可靠、稳定地运行，保证设备、人身的安全，针对不同类型计算机的不同要求，设计出适当形式的接地系统。
在国家标准《计算机站场地及时要求》中多计算机站接地系统的要求做了具体的规定。
计算机机房一般具有以下几种地：1) 交流工作接地;2) 计算机系统的弱电接地;3) 安全保护接地;4) 防雷保护接地；5) 防静电接地；接地电阻及相互关系：① 交流工作地的接地电阻应不大于4Ω；② 安全保护地的接地电阻应不大于4Ω；③ 防雷保护地的接地电阻应不大于10Ω；④ 计算机直流工作接地电阻的大小、接法以及诸地之间的关系，应依不同计算机系统的要求而定。
一般要求该电阻不大于1Ω；所谓接地，既把电路中的某一点或某一金属壳体用导线与大地连在一起，形成电气通路。
其目的是让电流易于流到大地，因此从这个意义上讲，希望接地电阻是越小越好。
另外计算机系统的接地，还希望在接地电流受某种外界条件影响而数值发生变化时使接地点的电位随之变化而产生的噪音应尽量减少。
所以接地电阻也是越小越好。
5.1 机房接地方案基于该工程的接地系统现状和实际情况以及地当今计算机的特点，我公司设计采用以下接地方案：(1)防雷接地： 防雷接地系统使用大楼的防雷接地系统。
(2)交流设备保护地：从大楼市电总低压配电屏沿五芯供电电缆的地线将大楼综合地送入计算机房，在机房形成安全保护接地母线。
然后将机房的天花板、墙板、防静电地板等通过分支接地线接入防静电接地母线，将所有的机柜外壳、机架、金属桥架、金属电线管等不导电的金属部分通过分支接地线接入安全保护接地母线。
在机房区的抗静电地板下设置一组接地铜排以实现等电位接地，避免各种地在机房内不同点形成电位差。
(3)防静电释放地机房地板下采用30*0.3铜皮做1800*1800网格，地板支脚压于交汇点处。
机房选用S型等电位接地网络，从大楼市电总低压配电屏沿五芯供电电缆的地线将大楼综合地送入计算机房，在机房形成防静电释放地接地母线。
然后用网格编织多股铜线对天棚龙骨、金属吊顶、抗静电地板支架、墙体金属龙骨、金属风管、隔断金属骨架等可能产生静电的金属、非金属件通过分支接地线接入机房内分区设置专用接地端子汇接箱。
机房内的各种箱体、壳体、机架等金属组件均分区接到端子汇接箱中。
周边采用机房原有就铜排做等电位铜排。
5.2 电源防雷防雷最重要的就是等电位连接，把各种设备利用防雷器、线材、钢筋和铜排进行设备的电气处理。
使各种设备在雷电流入侵时行成等电位体，这样设备与设备、设备与大地、设备与大楼整体结构之间就不会产生电位差。
利用这些材料和设备把雷电流引入大地，从而保护设备。
电源防雷应保护配电系统、UPS、用电设备等。
电源防雷采用三级分流法。
第一级采用70KA的防雷器，将较大部分的雷电源分流到地下。
它安装在大楼进线的总配电柜的后面。
第二级防雷采用40KA的防雷器，它能进一步的衰减雷电流。
它的安装位置在UPS输入配电柜中。
第三级防雷采用10KA的防雷器，它能更进一步的衰减雷电流，接进正常值。
它的安装位置在UPS输出配电柜中。
第五章 机房气体消防工程火灾是计算机房可能遇到的各种灾害中发生的概率较大、危害较大的一种，而且它造成的损失将是十分巨大甚至是无法估计的。
为解决好机房的防火问题，除在机房设计、施工时采取相应的防范措施外，同时还必须设置火灾自动报警系统和自动灭火设施。
我司在设计该机房工程方案时对消防系统做了充分的考虑。
针对该工程的具体情况，我司整体设计时采用如下设计方案：设置电源应急开关，在火灾发生时立即切断机房总配电柜电源。
该应急开关既可与自动报警系统联动，也可以手动。
在选择机房内设备、元器件、导线、电缆等的品种、规格时充分考虑了它们的过载能力和防火阻燃性能，防止因过热导致温升过高而引起火灾。
火灾报警系统及自动灭火系统与空调、新风、排气系统联动。
选择机房内材料时充分考虑了其阻燃能力。
火灾报警设备选用联动报警控制器。
温感和烟感设置于天花板向室内一侧、活动地板下、天花吊顶里及人不常出入和视线达不到的地方。
消防设备采用七氟丙烷气体灭火装置。
1、设计依据《建筑设计防火规范》（GBJ16-87）（2001版）《高层民用建筑设计防火规范》（GB50045-95）《火灾自动报警系统设计规范》（GB50116-98）《火灾自动报警系统设计规范》GB50116-98《电子计算机房设计规范》GB50174-19932、设计思路依据该机房的气体防护区面积，及使用功能不同进行分隔，故将整个机房划分为三个气体防护区。
网络机房、值班室。
当报警设备感应到火灾信号后启动灭火装置，联动门禁系统开门、配电柜断电。
3、工作原理气体灭火控制器在接收到感烟或感温探测器中任意一个发出的火灾信号后，立即发出报警声以作出警报。
同时向声光报警器发出传输信号，令声光报警器发出声光预警信号——指示灯亮。
当保护区内的温度和烟的浓度都达到响应值时，即感烟和感温探测器同时都动作时，气体灭火控制器会立即向联动设备发出联络信号，发出声光报警，并启动延时器延时30秒钟。
30秒钟以后，气溶胶灭火装置开始启动，气体过导流系统进入保护区将火扑灭。
同时释放显示灯也动作，指示防护区内在进行灭火，防止人员进入。
整个气体喷放过程在60秒内完成。
在需要人工启动或停止启动时，还可以使用安装在防护区外的手动控制盒以实现现场手动控制功能。
4、控制方式 本系统主要有自动、手动、机械应急手动和紧急启动/停止四种控制方式。
（1）自动控制方式：本灭火控制器配有感烟火灾探测器和定温式感温火灾探测器。
控制器上有控制方式选择锁，当将其置于"自动"位置时，灭火控制器处于自动控制状态。
当只有一种探测器发出火灾信号时，控制器即发出火警声光信号，通知有异常情况发生，而不启动灭火装置释放灭火剂。
如确需启动灭火装置灭火时，可按下"紧急启动按钮"，即可启动灭火装置释放灭火剂，实施灭火。
当两种探测器同时发出火灾信号时，控制器发出火灾声、光信号，通知有火灾发生，有关人员应撤离现场，并发出联动指令，关闭风机、防火阀等联动设备，经过一段时间延时后，即发出灭火指令，打开电磁阀，启动气体打开容器阀，释放灭火剂，实施灭火；如在报警过程中发现不需要启动灭火装置，可按下保护区外的或控制操作面板上的"紧急停止按扭"，即可终止控制灭火指令的发生，不启动灭火装置，释放灭火剂，实施灭火。
（2）手动控制方式：将控制器上的控制方式选择锁置于"手动"位置时，灭火控制器处于手动控制状态。
这时，当火灾探测器发出火警信号时，控制器即发出火灾声、光报警信号，而不启动灭火装置，需经人员观察，确认火灾已发生时，可按下保护区外或控制器操作面板上的"紧急启动按钮"，即可启动灭火装置，释放灭火剂，实施灭火。
但报警信号仍存在。
无论装置处于自动或手动状态，按下任何紧急启动按扭，都可启动灭火装置，释放灭火剂，实施灭火。
同时控制器立即进入灭火报警状态。
（3）应急机械启动工作方式：用于控制器失效时，当职守人员判断为火灾时，应立即通知现场所有人员撤离现场，在确定所有人员撤离现场实施灭火。
（4）紧急启动/停止工作方式：用于紧急状态。
情况一，当职守人员发现火情而时气体灭火控制器未发出声光报警信号时，应立即通知现场所有人员撤离现场，在确定所有人员撤离现场后，方可按下紧急启动/停止按钮，系统立即实施灭火操作；情况二，当气体灭火控制器发出声光报警信号时并正处于延时阶段时，如发现为无报火警时可立即按下紧急启动/停止按钮，系统将停止实施灭火操作避免不必要的损失。
第六章 动力环境集中监控系统1、概述随着计算机技术的发展和普及，计算机系统数量与日俱增，其配套的环境设备也日益增多，计算机房已成为各大单位的重要组成部分。
机房的环境设备（如供配电、UPS、空调、消防、安保等）必须时刻为计算机系统提供正常的运行环境，一旦机房环境设备出现故障而又得不到及时的处理，就会影响到计算机系统的运行并对数据传输、存储及系统运行的可靠性构成威胁，尤其是对于税务机构这种需要实时交换数据的机房，其机房内设备的正常运做是保障国家利益的关键，所以机房管理就显得更为重要，一旦系统发生故障，造成的影响和经济损失将是不可估量。
此外，目前许多机房不得不采用24小时专人值班的方式定时巡查机房环境设备，这样不仅加重了管理人员的负担，而且往往不能及时排除故障，对事故发生的时间及责任也无科学的管理。
尤其目前国内普遍缺乏机房环境设备的专业管理人员，这对机房的安全运行无疑又是一个不利因素。
因此，对机房的监控和管理就成为了一个新的难题，而智能化机房监控系统就可以很好的解决这些问题，实现以下几个功能：为相关设备提供全面的保障减少管理人员的工作负担及时发现并排除故障现场/远程实时反映设备的运行参数2、设计依据和原则2.1设计依据计算机机房集中监控用户要求：《智能建筑设计标准（DBJ08-47-95）》《民用建筑电气设备规范（JGJ/T16-92）》《商用建筑线缆标准（EIA/TIA-569）》《工业电视系统工程设计规范（GBJ115-87）》《电气装置安装工程施工及验收规范（GBJ23-90，92）》《民用闭路监视系统工程技术规范（GB50198-91）》《安全防范工程程序与要求（GA/T75-94）》《建筑及建筑群综合布线系统工程设计规范（GB/T50311-2000）》《建筑及建筑群综合布线系统工程设计规范（GB/T50312-2000）》《民用闭路监视系统工程技术规范（GB50198-94）》《安全防范系统通用图形符号（GA/T74-2000）》《入侵探测器第四部分主动红外入侵探测器（B10408.4-2000）》《入侵探测器，通用要求（GB/10408.1-2000）》《安全防范系统通用图形符号（GA/10408.5-2000）》《民用建筑电缆电视系统工程技术规范（GBJ-120-78）》《电气装置安装施工及验收规范（BJ232-90，92）》《公安部监控设备安装规范》《建筑防雷设计规范（GBJ57-83）》《入侵探测器通用技术条件（GB10408.1-89）》2.2设计原则本系统严格按照"严格、合理、可靠、经济、完善"和"无人值班、少人值守"的要求进行设计.3、系统选型3.1系统分析机房工程机房约80m²，监控系统将通过智能化途径、开放型数据接口对机房进行全方位、全天候的密集监控，包括机房动力监控、机房环境监控和机房保安监控三个子系统共七类监控对象。
同时在集中监控中心要对机房做到4种管理方式：性能管理、告警管理、配置管理和安全管理。
监控系统还必须满足无地域查看信息和接收报警的要求，这样用户就可以在任何有网络的地方、任何可以使用无线电话的地方实时接收查看到被监控对象的信息和报警，并且可以通过网络对设备进行操作控制。
3.2机房环境监控（1）空调监控系统通过空调自带智能通讯接口，系统可实时、全面地监控空调各部件（压缩机、风机、加热器、加湿器、去湿器、滤网等）的运行状态与参数，并可远程修改空调设置参数（温度和湿度），并能实现空调的远程开关机。
（2）漏水监测系统漏水检测系统。
当发生漏水时，系统会自动启用对外报警系统，根据用户选择，系统会自动拨打用户预先设定的电话号码和发送短消息等。
漏液检测，由一条检测液体泄漏的感应线缆和报警控制器两部分组成。
当泄漏发生时，感应线缆与水或其它液体接触，就会立即将信号传给报警控制器，红灯亮，并同时报警。
正常情况下，控制器绿灯亮，安全无事故；黄灯亮时，表明线缆有故障，请时维护。
当泄漏清理好后，线缆很快便干爽而报警器即回复监察工作。
3.3机房动力设备监控（1）电源参数监测系统实时监控机房内市电输入柜的三相电的各重要参数，如电压、电流、功率（有功、无功视在）功率因数、频率电度（有功、无功）等。
现在，配电柜的供电参数通过智能电量仪表把市电的运行状态以数据的形式传输给监控系统，对其进行监视，使现场达到无人值守的目的。
配置智能电量检测仪，实时监视进线柜的三相电压、电流,频率,功率因数，有功功率,无功功率。
系统管理员和操作员可以通过历史曲线图中见到每天的电压、频率、有功、无功的最大值、最小值、当前值及电压、电流峰值。
使能清楚地知道三相电压、电流是否均衡。
（2）开关状态监测系统实时监测机房内配电柜的各重要的配电开关，其状态监控是十分必要的，一旦开关跳闸，计算机系统可能会立即崩溃，需要尽快报警处理。
机房电源室配电柜，重要开关共计6路，设计通过ICS-D8H与I-7052模块对信号进行采集和转换后，将其全部纳入开光状态监测系统中。
（3）UPS监控系统通过由 UPS厂家提供的通讯协议及智能通讯接口，对机房内 UPS 进行监控，对UPS内部整流器、逆变器、电池、旁路、负载等各部件的运行状态进行实时监视，一旦有部件发生故障，系统会自动报警。
并且实时监视UPS的各种电压、电流、频率、功率等参数，并有直观的图形界面显示。
第七章 机柜选型为保证机房整齐美观统一选用服务器专用机柜，具体规格：⑴、尺寸：600×960×2000⑵、机柜柜壁：四周柜壁冲孔网眼，厚度不小于1.5mm。
⑶、电源：每个机柜安装2个机柜专用PDU 8插座。
⑷、弱电线槽：机柜安装弱电线槽，留有出线口，排线方便。
⑸、风扇：每个机柜安装4个风扇，保证机柜内的通信设备通风散热；⑹、机柜搁板：每个机柜安装3-4个机柜搁板。
第八章 综合布线系统工程设计说明1、概述中心机房综合布线工程主要网络机房、值班室等功能间内的办公和网络的数据信息点及语音信息点的设计。
本方案选择结构化1000MHZ六类非屏蔽综合布线系统，对智能化建筑中语音、数据传输网络均采用1000MHZ六类非屏蔽综合布线，不仅能够更好的增加系统的冗余，也更好地满足未来需求发展,在本方案中我们采用结构化、模块化设计。
2、系统设计2.1 总体方案设计考虑本次方案设计主要分为工作区子系统、水平子系统、管理区子系统三个部分组成：2.2 设备间子系统作为信息中心机房的配线管理机柜。
并在机柜内配置配线架交换机、光纤收发器等，及其它管理装置，如理线架等，供电的电源排插等。
机柜必须与工作接地系统连接，以防止静电干扰和保护人员安全。
2.3 工作区子系统工作区子系统由终端设备连接到信息插座的连线和各种适配器等布线设备所组成。
通过高性能的信息插座既可以连接数据终端也可以接语音终端和其他弱电设备。
2.4 水平子系统系统水平布线采用六类非屏蔽8芯双绞线，连接各服务器机柜和配线机柜。
3、线缆布放布放线缆的规格、路由和位置应符合施工图的规定，线缆排列必须整齐，外表无损伤。
线缆在转弯处应注意弯曲率半径应大于50mm。
建议统一采用暗敷形式的钢管和金属桥架敷设线缆，钢管之间、桥架之间、钢管与桥架之间应保持可靠的电气连接，并做跨接地线，桥架的规格应当保证在放完线缆后有的填充度不超过60％。
布放走道线缆必须绑扎，绑扎后的线缆应互相紧密靠拢，外观平直整齐。
线扣间距均匀，松紧适度。
布放槽道线缆可以不绑扎，槽内线缆应顺直，在线缆进出槽道部位和线缆转弯处用塑料卡捆扎固定。
在从桥架至室内信息点底盒的管道选择上，建议每组信息点中，三个UTP统一放在直径为25mm的金属管内，防静电活动地板下的线缆，应顺直不凌乱，避免交叉，并且不得堵住送风管道。
网络部分第一章 项目设计原则根据业务应用环境及需求，本次网络系统平台规划采用以下基本原则：安全性、可靠性网络系统应严格按照国家有关信息安全标准进行建设，可以阻断非法用户访问，防止合法用户的越权访问。
通过防火墙、入侵检测、入侵防御、漏洞扫描、安全审计、主机安全管理、上网行为管理、网页防篡改以及防病毒等不但能保证主机安全，网络安全而且还能确保应用安全及数据安全。
安全的前提在于设备可靠、可用，一方面，当网络服务不可用时，不管是何种原因，网络就失去了实际价值。
另一方面，当网络服务中断恢复时间不可控时，说明网络系统已经不可靠、不可用。
电信级高可靠的网络设备，设备关键功能部件，包括电源、路由协议处理、交换和控制等均具备1+1备份能力，规避单点故障，提供设备可靠性；设备所有关键部件支持热插拔，不但便于维护，而且能保证网络业务的连续性。
合理性信息技术的飞速发展，合理的网络架构对网络系统规划和设计尤为重要，分层网络架构设计不但能做到建网成本合理化，而且还能充分挖掘设备潜力，实现合理、灵活组网的目的。
先进性、成熟性、稳定性基础网络建设具有投资大、周期长等特性，因此网络规划设计时必须保证网络在相当长的时间内不会由于技术、标准等原因而被淘汰。
采用先进的、成熟的、符合标准的技术不但能满足网络性能和稳定要求，而且还能兼容技术未来发展。
开放性和互连、互通性开放性意味着遵循大多数网络系统所共同遵循的标准，以实现内部各系统之间，以及与其它系统以及与第三方设备的互连互通，开放性还意味着更多的选择和最佳的性能价格比，有利于在众多满足开放标准要求的硬件、软件系统中选择最符合要求的产品。
网络规划设计应采用国家、国际标准化组织制定的标准规范，符合开放系统互连互通，便于业务功能及网络的统一管理和维护。
可管理性和可维护性网络管理已经越来越受到人们的重视，因为它关系到网络系统的使用效率、维护、监控甚至系统资源的再分配；因而一体化完整的系统管理能力至关重要。
网络管理包括配置管理、故障管理、性能管理等基本网络管理功能，同时应具有强大的用户管理和安全控制策略，并将各种接入设备、用户终端设备等纳入统一管理的范畴。
可扩展性网络系统的可伸缩性已成为网络规划设计非常重要的一环，良好的规划设计应能方便地对网络系统规模或技术进行扩展。
用户对网络资源的需求经常随着应用而发生变化，系统应具有一定的灵活性，为满足用户的不同需求而作灵活的系统配置和资源的再分配。
网络系统扩展性主要包括：1）网络规模的扩展，包括网络的地理分布，用户数；2）应用内容的扩展，网络平台将不仅承载数据业务传输，而且也肩负语音、语音会议、视频会议等业务的传输。
这就要求网络系统平台必须具有多种业务支持的能力。
3）网络容量的扩展，随着规模和应用的扩展，网络容量也必须能具备扩展能力。
4）网络设备的扩展，模块化架构的网络设备在可伸缩性上亦有着固定式系统无法比拟的优越性。
整个系统的性能将能随着模块数量的增加而得到相应的增加，因此也就更能适应不同规模网络对设备的要求。
模块化的网络设备在多种技术的适应能力上也具有相当大的灵活性。
网络系统规划设计应当考虑系统平台平滑升级的能力，使系统能满足各种用户对应用处理不同程度的需求，以及逐步升级的发展规划，以节约投资避免系统性能的闲置和浪费。
第二章 网络规划方案1、总体思路信息系统网络以应用为核心，多种通信方式并存，跨平台、支持分布式处理的计算机网络系统。
针对网络应用和特点，采用分区、分层、分类的模块化设计思想保证网络架构的安全可靠、高扩展能力。
分类：信息系统基于业务功能分为内网系统、外网系统、监控应急系统、无线网等4套网络，4套网络物理隔离。
内网系统：承载公文流转、OA系统、视频会议、IP电话系统等，实现内部各级部门互联 外网系统：与Internet互联，承载内部上网、对外公共信息服务等业务监控应急系统：承载安防视频监控、报警系统、温控、动环、应急管理、广播系统、智能停车系统等；无线网：主要对大楼部分区域进行无线覆盖，方便办工和多动终端的接入。
分层4套网络均采用核心、接入两层分层架构。
核心层负责数据的高速交换，提供快速路由和高交换能力，并提供相应的策略控制等，如安全控制，路由、地址聚合等；接入层根据用户需求，接入最终用户，接入层也可实现部分策略控制，如VLAN划分，安全准入控制等。
分区根据用户和业务的不同及安全要求，将网络划分域便于安全控制和统一管理，如安全检测域、安全接入域、服务器域、互联域等。
分类、分层、分区模块化设计的优点：(1) 可扩展性：网络规模或者业务增长不会导致网络大规模改动，局部或者增加部件即可满足网络增长要求；(2) 简单性：通过将网络分成许多功能模块，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题；(3) 灵活性：使网络容易升级到最新的技术，升级任意层次的网络不会对其他层次造成影响，无需改变整个环境；(4) 可管理性：层次结构使单个设备的配置的复杂性大大降低，更易管理。
2、内网系统设计内网结构介绍(1) 内网系统采用双核心、接入两层分层网络架构，核心层和接入层间采用双链路万兆光纤连接；接入层为全千兆交换机实现千兆到桌面，内网承载内部办公系统、视频会议系统、IP电话系统等；(2) 内网系统核心交换区域采用多台核心交换机互为备份并作虚拟化；通过万兆链路直接与接入交换机互联。
(3) 内网划分为服务器区域、政务外网管理区域组成，为防止服务器区域公众服务器网页被篡改，在服务器区域部署入侵防御系统和入侵检测系统，实现外部攻击精准阻断。
安全检测子域由防病毒系统、上网行为管理、流量控制检测及管理平台构成，防止病毒攻击、防范访问不良网站行为和统一管理。
(4) 接入层交换机采用全千兆三层交换机，配备冗余交流电源，并通过冗余万兆端口上联，提高接入端设备的可靠性。
(5) 核心区域的核心交换机设备，其稳定性对整个外网稳定运行至关重要。
核心交换机采用主控与交换物理分离架构，并配置主控、交换及电源双冗余，可规避单点故障。
3、外网系统设计(1) 外网采用双核心、接入两层分层网络架构，核心层和接入层间采用双链路万兆光纤连接；接入层为全千兆交换机实现千兆到桌面。
(2) 外网核心交换区域采用多台核心交换机互为备份并作虚拟化；通过万兆链路直接与接入交换机互联。
(3) 外网划分为互联网接入区域、服务器区域、外网管理区域组成，为防止服务器区域公众服务器网页被篡改，在服务器区域部署入侵防御系统和入侵检测系统，实现外部攻击精准阻断。
安全检测子域由防病毒系统、上网行为管理、流量控制检测及管理平台构成，防止病毒攻击、防范访问不良网站行为和统一管理。
(4) 接入层交换机采用全千兆三层交换机，配备冗余交流电源，并通过冗余万兆端口上联，提高接入端设备的可靠性。
(5) 核心层核心交换设备，其稳定性对整个外网稳定运行至关重要。
核心交换机采用主控与交换物理分离架构，并配置主控、交换及电源双冗余，可规避单点故障。
4、监控应急管理系统设计(1) 监控应急管理系统采用双核心、接入两层分层网络架构，核心层和接入层间采用双链路万兆光纤连接；接入层为全千兆交换机实现千兆到桌面，网络承载安防视频监控、报警系统、温控、动环、应急管理、广播系统、智能停车系统等(2) 监控应急管理系统核心交换区域采用2台核心交换机互为备份并作虚拟化；通过万兆链路直接与接入交换机互联。
(3) 监控应急管理系统划分为服务器区域、外联监管单位、内网单项互联区域等，在外联监管单位互联区需部署双向防火墙，通过NAT等手段隐藏内部结构，与内网互联区域部署防火墙或者网闸设备，严格控制内网访问规则，只允许部分内网单元可以访问监控应应急管理系统的部分服务器，保证数据的安全独立；在服务器区域防止服务器网页被篡改，在服务器区域部署入侵防御系统和入侵检测系统，实现外部攻击精准阻断。
安全检测子域由防病毒系统、上网行为管理、流量控制检测及管理平台构成。
(4) 接入层交换机采用全千兆三层交换机，具有冗余交流电源，并配置冗余端口万兆端口上联，提高接入端设备的可靠性。
(5) 核心层核心交换设备，其稳定性对整个外网稳定运行至关重要。
核心交换机采用主控与交换物理分离架构，并配置主控、交换及电源双冗余，可规避单点故障。
5、无线网络设计5.1系统方案设计原则本方案的设计将在追求性能优越、经济实用的前提下，本着严谨、慎重的态度，从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计，力图使该系统真正成为符合需求的无线网络系统。
系统总体设计本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性，以及经济性。
在网络的设计和实现中，本方案严格遵守以下原则：先进性原则采用先进的设计思想，选用先进的网络设备，使网络在今后一定时期内保持技术上的先进性。
开放性原则网络设计及网络设备选型遵从国际标准及工业标准，使网络具有高度的开放性和所提供设备在技术上的兼容性。
只有支持标准性和开放性的系统，才能支持与其它开放型系统一起协同工作，在网络中采用的硬件设备及软件产品应该支持国际工作标准或事实上的标准，以便能和不同厂家的开放性产品在同一网络中同时共存。
通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。
本方案中，网络设计及网络设备选型遵从国际标准及工业标准，使网络具有开放性和兼容性。
无线局域网系统满足国际和国内的无线标准， WLAN最大程度的兼容符合Wi-Fi标准的各种无线终端设备。
网络采用开放式体系结构，易于扩充，使相对独立的分系统易于进行组合和调整。
选用的通信协议符合国际标准或工业标准，网络的硬件环境、通信环境、软件环境相互独立，自成平台，使相互间依赖减至最小，同时保证网络的互联。
可扩充性原则网络设计在充分考虑当前情况的同时，必须考虑到今后较长时期内业务发展的需要，留有充分的升级和扩充的可能性。
充分利用现有通讯微波资源，为以后扩充到更高速率提供充分的余地。
另一方面，还必须为网络规模的扩展留有充分的余地。
网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、系统容量与处理能力、物理接连、产品支持等方面具有扩充与升级换代的可能，采用的产品要遵循通用的工业标准，以便不同的设备能方便灵活地接连入网并满足系统规模扩充的要求。
为了使所实现系统能够在应用发生变化的情况下保护原有的开发投资，在设计系统时，应将系统按功能做成模块化的，可根据需要增加和删除功能模块。
安全性原则网络系统的设计必须贯彻安全性原则，以防止来自网络内部和外部的各种破坏。
贯彻安全性原则体现在以下方面：设备采用的是扩频技术；提供了射频信道的加密；用户可以通过设置自己的网桥或另加独立加密设备实现更高的安全性；网络内部对资源访问的授权、认证、控制以及审计等安全措施：防止网络内部的用户对网络资源的非法访问和破坏。
可靠性原则作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通信的需要。
网络硬件体系结构在实际应用中能经过较长时间的考验，在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案，并通到较多的第三方开发商和用户在全球的广泛支持和使用。
同时，应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品，以适应系统未来的发展需要。
可靠性也是衡量一个计算机应用系统的重要标准之一。
在确保系统网络环境中单独设备稳定、可靠运行的前提下，还需要考虑网络整体的容错能力、安全性及稳定性，使系统出现问题和故障时能迅速地修复。
因此需要采取一定的预防措施，如对关键应用的主干设备考虑有适当的冗余。
应急处理信息系统能够全天候工作，达到每周7*24小时工作的要求。
一个高可用性的系统才能使用户的投资真正得到回报。
网络系统的设计必须贯彻可靠性原则，使网络系统具有很高的可用性。
可靠性原则体现在以下方面：选用技术先进、成熟高可靠性的网络设备；系统增益储备高；链路的可维护性好；可管理性原则网络系统应具有良好的可管理性，使得网络管理人员能方便及时地掌握诸如网络拓扑结构、网络性能统计、网络故障等信息，能简便地对网络进行配置和调整，确保网络工作在良好状态。
整个信息网络系统中的互连设备，应是使用方便、操作简单易学，并便于维护。
对复杂和庞大的网络，要求有强有力的网络管理手段，以便合理的管理网络资源，监视网络状态及控制网络的运行，因此，网络所选的网络设备应支持多种协议，管理员能方便进行网络管理、维护甚至修复。
在设计和实现时，必须充分考虑整个系统的便于维护性，以使系统万一发生故障时能提供有效手段及时进行恢复，尽量减少损失。
5.2 设计遵守规范IEEE802.11系列标准国际以太网标准ISO/IEC 8802-3国际以太网标准ANSI X3T89.5 FDDI国际布线标准ISO/IEC 11801国家布线标准CECE89:9中华人民共和国卫生部颁发的"环境电磁波卫生标准"5.3系统架构理念所见即所得的射频规划工具－减少设计成本、提高部署效率为了有效解决网络建设者在无线网络设计和规划所面临的困难，并有效降低在无线网络设计和规划方面的总体成本。
提供可视化的无线射频规划和部署工具。
该工具将为网络建设者提供最具时效的可视化无线网络部署和规划手段。
通过向 RF 部署工具导入需要实施 WLAN 部署的各区域平面图及其面积、预期的覆盖效果、障碍物材质等参数，RF 部署工具将综合考虑整个覆盖区域内三维空间的射频特性，自动输出各覆盖区域的 AP 最佳部署位置及预测的覆盖效果。
这将为 WLAN 网络的实际部署提供有力的参考，帮助无线网络设计和实施人员快速、准确对整个无线网络进行射频信道规划、射频功率确定及设备布点指导。
针对无线网络中存在的射频管理难题，提供基于集中化或内置于无线控制设备的可视化智能 RF 管理工具。
借助该管理工具所提供的强大功能，无线控制设备可以及时发现无线网络中由于接入点失效而产生的射频覆盖黑洞，并通过经优化设计的 RF 算法协调失效 AP 周边的其它 AP 资源来完成对覆盖黑洞的有效弥补。
同时无线控制设备还可以发现无线网络中存在的射频干扰问题，继而利用经优化设计的 RF 算法协调整网射频信道资源，从而为受干扰 AP 选择新的可用信道。
该新的信道信息会自动下发到受干扰的 AP 并得到执行，从而快速解决射频干扰问题。
当在现有无线网络中为满足覆盖需求而增加新的 AP 时，无线控制设备也可以通过优化的 RF 算法自动决策并指导新的AP 完成无线信道及射频功率的调整，以此实现无线接入点的快速部署。
智能化的管理特性可显著提高网络管理者对无线网络的部署和管理效率。
无线网络在某种程度上可以看作是一个开放式的公共网络，因此，为了向网络经营者提供强健安全的现代化无线网络，在关系到网络安全的各个层面均提供强健丰富的安全特性。
在用户接入安全方面，提供 802.1x 接入认证、PSK 认证、MAC 接入认证以及portal 认证等。
通过 AAA 服务器与无线控制设备的有机结合，可为用户提供基于用户角色的策略控制，这其中包括对用户的 QOS 特性、应用访问权限及无线漫游特性等参数的管理和控制。
在无线用户数据安全方面，提供 WEP、WPA、WPA2 及 WAPI 在内的强健的无线网络加密功能，为无线用户提供不同级别的数据安全保障，满足无线网络各种应用对数据安全的要求。
在无线网络环境安全方面，智能无线接入点可同时工作在无线接入点和无线监视器的模式。
同时，还提供完善的WIDS 功能，帮助网络管理者及时发现并响应网络中存在的 RogueAP 和 ADHoc 主机等不安全因素，并可有效防护发生在无线网络中的 DOS 攻击。
针对现在社会节能环保的切实需求，推出全系列采用独特环保理念设计的无线控制器。
得益于独具特色的动态功率管理特性，该系列无线控制器在保持性能无损的情况下可根据自身运行情况、端口工作状态、线缆的长度和质量等多种因素自动调整供电功率，由此提供比同类型传统以太网交换机降低约30%的超低功耗。
针对网络中部署的无线接入点，提供集中化的零配置管控能力，允许所有接入点自动发现并与控制设备关联，并提供对接入点的配置信息和软件版本进行自动更新和升级。
由此，最大限度减少网络管理人员对无线接入点的维护工作量。
为了解决无线接入点设备供电问题，全系列无线接入点均提供基于 802.3af 标准的以太网供电（POE）支持。
由此，网络建设可以使用 POE 供电设备为广泛分布的无线接入点进行集中供电，有效解决在各种环境下部署无线接入点时的电源引入问题，提高部署灵活性、减少部署时间并降低部署成本。
同时，通过配合使用的 POE 供电交换机，网络管理者还可以实现对无线接入点工作状态及其耗电情况等方面的远程检测或调整。
对于每一个在网络中部署的设备，均提供内置于设备的可视化中英文 WEB 网管系统。
基于该网管系统用户可获得基于统一风格和操作习惯设计的有线、无线集成网管所带来的好处，有效帮助网络管理员以最高的效率完成设备的配置和维护工作。
针对整个网络所有设备的集中化管理需求，提供全面集成有线、无线管理能力的智能融合一体化网络级大型网管平台。
是一个将有线和无线网络管理特性完美融合开发而成的开创性网管平台，除向用户提供风格完全一致的有线、无线网络管理操作手段和全特性的有线、无线管理套件，还提供全面的网络性能、事件、日志和趋势分析能力。
借助于丰富强大的管理和分析特性，网络管理员只需操作一套软件即可顺利完成对整体网络的部署、管理和优化，还可快速定位并帮助解决网络中产生的故障。
这极大简化了网络维护的复杂性，并有效降低网络运营成本。
无线控制器是公司为网络运营者交付的全特性无线网络控制和管理设备。
全系列产品采用先进的并行多核多业务处理器及高速 ASIC 作为业务和数据处理平台。
借助于先进的软、硬件产品设计，无线控制器除提供无线用户接入、无线设备管理、无线实时语音、无线视频传送、无线快速漫游等全面无线业务能力外，还可提供高性能的NAT、VPN、基于 DPI 的应用控制、带宽管理等丰富业务特性。
同时，无线控制器还提供基于芯片级别的 IPv6 业务特性，可对 Ipv6数据报文进行硬件级的高速转发，加速各种基于 Ipv6 的业务处理能力。
5.4无线网络架构无线网络覆盖采用AC+AP模式集中管理，AP采用POE交换机集中供电，中心机房部署核心交换机用于汇聚所有的POE接入交换机，核心交换机与POE交换机之间采用光纤互联，同时在中心部署AC控制器用于对AP进行集中管理，可以根据实际需要中心部署接入认证服务器和无线网络管理服务器、日志服务器等。
6、网络管理设计网络管理系统的建设应适应网络建设的中长期发展规划，网络管理必须是管理和技术相结合的模式。
由于网络庞大，复杂，面对一个异种设备组成的网络，就要求网络管理解决方案必须具有很强的可集成性，可以集成各种设备的网元级网管系统、各种管理工具、各种诊断分析工具，能够将为网络管理服务的系统和工具集成在一个统一的操作平台上；网络管理系统的需求随着用户业务的不断扩展、网络的变化，必将出现需求的增加和变化，这将要求网络管理系统具有很强的扩展性和二次开发能力，在业务和需求发生变化的时候，能够方便地进行功能的扩展；网络的规模必将是不断发展和扩展的，这就要求网络管理系统必须具有平滑升级的能力，以便在不影响原有系统的前提下，管理更大的网络；面对异种网络的统一管理，要求网络管理系统必须能够集成第三方面网元管理系统，并提供了良好的二次开发接口，支持用户按照故障情况执行自定义命令，支持用户按照各自需求开发符合自己需求的报表等。
网络管理系统必须具备分布式体系架构，各个功能组件可以灵活的部署，以便支持管理更大的网络，比如：告警数据采用、性能数据采集等。
网络安全概述1、安全背景经过近二十年的发展，我国医院信息系统(Hospital Information System，HIS)建设初具规模，日趋完善。
信息系统的发展经历了从单机系统、局部网络系统到整个医院信息系统的多个阶段，可以说，HIS系统是医疗信息化的最核心资产。
从目前医院的网络结构上看，可以分为两大部分，用于日常医疗信息交换的业务专网以及实时获取Internet信息资源的办公网。
其中，医院业务专网是医院业务开展的重要平台，承载着核心业务，同时具备线路出口与医保等其他机构交换数据；而办公网主要对外提供信息发布门户，对内提供Internet网络接入等服务。
在服务患者方面，医院基于信息化平台，为患者提供了更多的便捷服务。
随着医院信息化建设的深入，医疗智慧化、信息化给医院管理、医疗服务和研究带来巨大的创新契机。
伴随而来的的安全问题也日益突出，尤其是随着网络规模的不断扩大，网络应用项目越来越丰富，涉及到的人员越来越来越庞杂，部署策略越来越繁琐，整个系统变得越复杂，医院面对的安全风险也越来越大。
如何有效地降低安全风险、降低安全成本，安全的策略显得尤为重要。
医院的HIS系统是关键业务系统，需要系统不间断运行。
即使发生短暂的业务中断，也会导致难以估量的经济和名誉损失。
2、建设目标鉴于当前的信息安全形势，如何保证医院的网络正常运行和网络安全已成为迫切需要关注的问题。
随着医疗行业信息化发展的要求，《全国卫生信息化2003-2010年发展规划纲要》中对信息安全提出了明确的要求：加强与卫生信息化相关的法律、法规、政策体系的建设；提高信息安全意识，加强计算机和网络安全培训，防范、打击计算机与网络犯罪；在卫生信息系统建设的同时，要进行信息安全的总体设计和信息系统安全工程建设；在系统验收时必须对信息系统安全进行测评认证；对于已建的卫生信息系统，要采取信息安全加固措施，进行系统安全测评认证；卫生信息系统建设中信息安全投资应占系统投资的一定比例。
通过本次网络系统及网络安全规划与建设，将延津县人民医院的网络建设成为一个具有现代化、多功能、结构化、智能化的综合性网络系统。
医院网络系统是为医院内部提供网络信息系统应用的IT基础平台，包括PACS/RIS系统、HIS/OA信息系统、管理、科研和多业务的综合信息服务网络系统。
同时，按照等级保护的要求，将满足"安全访问，内外隔离，分期建设"三点基本原则，安全访问包含两方面，即从内网可以安全访问互联网，从互联网也能够安全访问内网；而在内外隔离上则是要保证内网数据与互联网之间保持逻辑或物理隔离；分期建设则是建设的思路，是根据医院的实际情况，分步骤从基础到深入，从满足最迫切的安全需求慢慢上升到管理安全上来。
以下此方案将针对这三点进行详细的需求描述与解决思路陈述。
3、建设依据本次建设方案，将综合医院相关业务系统流程，严格按照国家以及行业规范进行设计，主要参考依据如下：《中华人民共和国网络安全法》；《信息安全技术信息安全等级保护基本要求》GB/T22239-2019；《信息安全等级保护管理办法》（公通字[2007]43号）；《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007）；ISO/IEC 27001信息安全管理体系标准；ISO/IEC 13335信息安全管理标准；《信息安全技术 信息系统等级保护安全设计技术要求》（GB/T25070-2019）；《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2019)；《卫生部关于印发〈卫生行业信息安全等级保护工作的指导意见〉的通知》（卫办发〔2011〕85号）；《河南省数字化医院建设指南》（2018版）；《河南省数字化医院评审标准》（2018版）；《全国医院信息化建设标准与规范》（试行）；《医疗机构病历管理规定》；《侵权责任法》。
第二章 需求分析1、安全技术需求分析1.1网络和通信安全外部网络边界主要指业务网所有外部网络边界，包括：专网边界：该边界位于院内业务网与其他单位互联的专网之间。
专网边界两侧都是内部用户，网络环境、应用环境、用户身份及规章制度都很接近，所面临的网络安全风险及相应的需求也基本类似。
主要需要考虑防止内部的非法访问以及病毒、蠕虫等恶性安全事件的快速蔓延。
互联网边界：互联网接入主要用于提供对外基于互联网的WEB业务、内部人员的互联网访问，因此在同一个边界具备两种属性。
外网边界直接面临社会各界用户，使用环境复杂面临的安全风险极大。
各类复合网络攻击手段以及针对网站的流量攻击均是常见的安全威胁。
应予以严格的安全防护手段在此边界进行设防，维护整个内部网络不被外部侵入。
内部安全域边界在内部网络中，可以划分处多个网络安全域，包括多个服务器区、业务区等等。
这些安全域之间存在着内部边界，为能更加有针对性的对各安全域进行防护，在不同的边界应采取不同的边界防护措施。
数据传输安全对于外部单位用户的接入存在两种方式：专线方式、互联网方式。
通过互联网进行接入传输的数据属于医院内部的信息，这些敏感的数据信息在互联网上十分容易被非法窃取、篡改或删除。
因此必须采用技术手段保证数据的机密性、完整性以及可用性。
1.2应用和数据安全首先分析业务网。
业务网承载着最核心HIS系统、LIS系统、PACS系统等，整个安全建设将围绕保障业务系统的安全运行为目标。
从整体上可分为外部和内部两大类。
外联接入业务网外部边界通常有两个，一个是与医保、银联等外联单位的边界，一个是与办公网的边界。
需要采取措施维护业务网整体的高度独立与安全，并同时能够与医保等相关外联单位以及业务网进行必要的数据交换。
内部网络"超过70%的安全问题来自于网络内部"。
内部威胁比外部更复杂多样。
病毒扩散：严重威胁着广大终端和HIS业务系统的运行安全。
终端管理：终端用户能否正确使用终端系统关系到HIS系统是否正常运行和日常业务的正常开展。
误操作、非法拷贝、系统漏洞、非法程序等均可导致终端自身和HIS系统的非正常运行。
内部边界：HIS系统不仅面临着外部人员的安全威胁，内部人员则更加容易威胁到业务系统的安全，因此核心区域边界必须能够进行从网络层到应用层的攻击过滤。
业务监控：解决了各类安全威胁后，业务系统自身的运行状态还缺乏有效监控。
实时监控业务系统的健康状态，对已经发生过的运行问题要能够回溯并发现原因，为改善系统的能力提供依据。
对于存在于医院局域网平台上的众多应用系统，同样存在着多种类型安全需求，包括：数据库审计由于用户的计算机相关的知识水平参差不齐，一旦某些安全意识薄弱的管理用户误操作，将给信息系统带来致命的破坏。
有必要进行基于数据库的审计。
从而威慑那些心存侥幸、有恶意企图的少部分用户，以利于规范正常的网络应用行为。
系统风险评估管理对于外网平台上大量的服务器系统，因此，对服务器各项服务的安全配置就显得尤为重要，如果有一点疏忽也会直接造成审计署信息系统被攻击。
我们建议定期/不定期的全面掌握网络设备、安全设备、主机、应用系统、数据库系统的风险情况，并以此在安全事件发生前进行加固，全面提高抗风险能力。
应用安全管理从用户角度看，其业务系统的正常运转是最关心的核心问题，而业务系统能否实施良好的监控管理则是关键因素之一。
因此需要技术手段对应用系统的状况进行全面监控，能够全盘呈现业务环境，实施主动监控，进行运行趋势分析，及时发现存在的问题。
1.3设备与计算安全保护计算机终端关注的是采用信息保障技术确保用户信息在进入、离开或驻留客户机与服务器时具有可用性、完整性和秘密性。
主要是指主机硬件、OS，应用软件等的安全需求。
包括：病毒是对计算环境造成危害最大的隐患，当前病毒威胁非常严峻，特别是蠕虫病毒的爆发，会立刻向其他子网迅速蔓延，这样会大量占据正常业务十分有限的带宽，造成网络性能严重下降甚至网络通信中断，严重影响正常业务开展。
因此必须采取有效手段进行查杀，阻止病毒的蔓延危害整个数据中心。
2、安全管理需求分析"三分技术、七分管理"更加突出的是管理层面在安全体系中的重要性。
除了技术管理措施外，安全管理是保障安全技术手段发挥具体作用的最有效手段，建立健全安全管理体系不但是国家等级保护中的要求，也是作为一个安全体系来讲，不可或缺的重要组成部分。
安全管理体系依赖于国家相关标准、行业规范、国际安全标准等规范和标准来指导，形成可操作的体系。
第三章 总体设计方案1、网络规划设计1.1设计原则等级保护建设原则医院的核心业务系统属国家重要信息系统，其安全建设不能忽视国家相关政策要求，在安全保障体系建设上最终所要达到的保护效果应符合《信息系统安全等级保护基本要求》。
体系化的设计原则系统设计应充分考虑到各个层面的安全风险，构建完整的安全防护体系，充分保证系统的安全性。
同时，应确保方案中使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。
产品的先进性原则本次建设对所需的各类安全产品提出了很高的要求。
必须认真考虑各安全产品的技术水平、合理性、先进性、安全性和稳定性等特点，共同打好工程的技术基础。
按步骤有序性建设原则信息安全保障体系的建设是一项长期的工程，并非一蹴而就解决所有安全问题。
因此，在实际建设过程中要根据实际情况分轻重缓急，分期、分批的进行部署。
1.2网络结构根据业务性质以及流程的不同，划分为办公网安全域和内网、专网安全域。
按照等级保护基本要求，对医院网络划分为两大安全域、三张网络。
两大安全域为：办公网安全域和内网、专网安全域；三张网络为：互联网、内网和专网。
采用横向隔离、纵深防御的基本策略，对网络安全进行全面的安全防护。
横向隔离：横向隔离分为物理隔离（强逻辑隔离）与逻辑隔离，（即外网区与内网区物理隔离，办公网与业务专网逻辑隔离）。
纵深防御：分区分域防护，办公网安全域分为互联网接入、无线接入、终端接入和DMZ服务区；内网、专网安全域分为数据业务区、安全管理区、外联接入区和终端接入区。
1.3总体设计根据医院网络情况，以及2018年4月份颁布的《全国医院信息化建设标准与规范》（试行），设计如下整体网络结构：2、网络技术体系2.1边界防火墙办公互联网出口部署防火墙，防火墙技术是目前网络边界保护最有效也是最常见的技术。
采用防火墙技术，对医院局域网重要节点和网段进行边界保护，可以对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为。
防火墙对应用能够精确识别，感知网络安全态势，智能调整安全策略达到主动防御的目的，同时集成DOS防御、用户认证、应用控制、入侵防御、站点分类过滤、病毒过滤、web应用防御、数据防泄密等多种安全防御手段为用户提供集成式的多方位的安全防护，利用人工智能技术对异常流量、病毒木马变种进行检测，不再依赖特征对威胁进行匹配和判断，而是通过机器学习模型判定安全威胁，能够检测木马变种和未知威胁攻击、0day攻击等。
2.2VPN通信传输使用VPN设备或采用PKI/PMI平台体系中的完整性校验功能进行完整性检查，保障通信完整性及通信过程中敏感信息字段或整个报文的保密性。
2.3入侵防御系统在互联网边界部署了防火墙，对每个安全区进行严格的访问控制。
但是，防火墙通常不具备内容检测的能力，不具备检测新型的混合攻击和防护的能力。
而此边界是最容易成为入侵目标的部分。
为了确保局域网内部各服务器区的安全访问，必须建立一整套的安全防护体系，进行多层次、多手段的检测和防护。
入侵防护系统（IPS）就是安全防护体系中重要的一环，它能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。
入侵防御系统可在针对WEB的攻击前期：抗躲避检测——采用载体还原技术，重新组合攻击会话，可以发现那些割裂攻击会话攻击企图。
拟态识别——采用过程再现技术，模拟目标环境实现攻击语言解析，可以发现那些企图以多变shell或字符替换方式进行的攻击企图。
在攻击分析阶段：多因子协议识别——在识别网络数据的协议时，并不单纯采用RFC的端口标准规范，而是综合协议指纹技术，融合协议的常见字段、参数和惯用用法，对没有采用常规端口的协议进行准确识别。
协议伺服器——支持随时添加对新型协议的支持，而不影响原有协议识别机制。
在攻击判定阶段：会话内和会话间的时序关联——有一些攻击事件可能并不是一个会话，而是由多个会话组合，这就要求检测设备可以将多个会话关联起来分析。
多个参数组合判断事件——对于一些复杂的事件，需要组合多个逻辑参数变量进行判断，任何一个单一变量都不是攻击，但多个组合在一起，就形成完整的攻击。
基于漏洞机理的判断机制——对某一个漏洞而言，可能会存在上百种攻击方法，无需为每一种新的攻击变种定制单独的检测规则，而是针对漏洞的攻击机理进行分析，不论是什么变种，都可以及时发现。
上述技术综合起来，确保入侵防御产品的最大特点：精确阻断攻击行为，采用Bypass技术，不增加网络单点故障在内网、专网安全域的数据业务服务器区部署入侵防御系统，在防火墙进行访问控制，保证了访问的合法性之后，IPS动态的进行入侵行为的保护，对访问状态进行检测、对通信协议和应用协议进行检测、对内容进行深度的检测。
阻断来自内部的数据攻击以及垃圾数据流的泛滥。
2.4上网行为管理随着互联网的发展，越来越多的个人利用互联网浏览、发布信息，其中必然存在大量黄、赌、毒、邪黑客等不良信息，严重地危害了国家安全、社会稳定以及医院的正常业务开展。
在互联网出口部署上网行为管理，对网站浏览进行控制审计，记录所有网站访问的记录；对外发信息以及邮件进行审计，在出现一些安全事件的时候，能够及时完整的进行溯源和追踪；同时根据上网的不同需求，针对特定的应用程序进行流量管控，避免出现网络访问拥塞的情况出现。
2.5外联防火墙医院因为业务需要，将会与医保、新农合、远程会诊等进行对接，对于外部网络，有很大的不安全因素，因此在外联接入区部署防火墙，对来自外部的网络进行精细粒度的访问控制，防范来自外部网络的安全威胁。
2.6安全隔离网闸办公网需要连接互联网，对于内网、专网安全域将带来大量的安全隐含，根据等级保护要求，不同安全域之间必须进行物理隔离。
防火墙无法高度保证传输内容、协议、数据的安全性，在两大安全域之间部署安全隔离网闸，对不同安全级别的网络进行安全防护。
办公网的用户和应用系统通过安全隔离网闸访问内网单个部门服务器安全域的相应数据库完成业务处理，并将业务处理结果，按照用户部门的不同，存储在单个部门服务器安全域中、访问用户所在的部门的数据库中，完成用户通过互联网对相关业务服务器的访问。
同时内网用户通过网闸可以在内网服务器区的相应服务器上提交数据供本医院同互联网上的数据进行交换和同步。
通过这种方式，可以为访问提供更高的安全性保障。
安全隔离网闸两侧网络之间所有的TCP/IP连接在其主机系统上都要进行完全的应用协议还原，还原后的应用层信息根据用户的策略进行强制检查后，以格式化数据块的方式通过隔离交换矩阵进行单向交换，在另外一端的主机系统上通过自身建立的安全会话进行最终的数据通信，即实现"协议落地、内容检测"。
这样，既从物理上隔离、阻断了具有潜在攻击可能的一切连接，又进行了强制内容检测，从而实现最高级别的安全。
3、业务安全体系3.1数据中心防火墙访问控制是网络系统安全防范和保护的主要策略之一，它的主要任务是保证系统资源不被非法使用，是系统安全、保护网络资源的重要手段。
而安全访问控制的前提是必须合理的建立安全域，根据不同的安全访问控制需求建立不同的安全域。
通过对系统网络的边界风险与需求分析，在网络层进行访问控制部署防火墙产品，同时设置相应的安全策略（基线），对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为。
数据中心区域部署防火墙，防火墙技术是目前网络边界保护最有效也是最常见的技术。
采用防火墙技术，对医院局域网重要节点和网段进行边界保护，可以对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为。
防火墙对应用能够精确识别，感知网络安全态势，智能调整安全策略达到主动防御的目的，同时集成DOS防御、用户认证、应用控制、入侵防御、站点分类过滤、病毒过滤、web应用防御、数据防泄密等多种安全防御手段为用户提供集成式的多方位的安全防护，利用人工智能技术对异常流量、病毒木马变种进行检测，不再依赖特征对威胁进行匹配和判断，而是通过机器学习模型判定安全威胁，能够检测木马变种和未知威胁攻击、0day攻击等。
3.2数据库防护与审计系统网络审计系统综合起来讲，有两大功能：数据库审计和系统操作审计。
网络审计功能充当了网络摄像机的功能，真实地记录用户的操作；并且，当发现不符合规定的越权操作时，能及时告警并阻断；通过系统提供的审计记录能迅速地查找出违规者的真实身份。
网络审计系统是通过网络旁路侦听的方式对网络数据流进行采集、分析和识别，并对应用层协议进行完整还原，根据制定的安全审计策略进行审计响应。
网络旁路监听技术的优势是：不影响用户的网络结构；不影响用户的网络性能；不影响用户的应用业务。
网络审计系统具体的功能包括：支持网络管理行为审计如针对FTP、TELNET协议的审计；数据库行为审计如查询（Select）、插入（Insert）、删除（Delete）、创建（Create）等SQL命令以及存储过程的执行进行审计和分析；以及其他一些网络行为的审计如HTTP、NETBIOS、SMTP、POP3等进行审计。
针对内网的关键服务器，将通过部署数据库审计系统，对用户行为、用户事件及系统状态加以审计，从而把握数据库系统的整体安全。
在核心数据服务器区部署数据库审计系统，包括数据库审计插件以及数据库审计控制台。
审计控制台采用分级模式，可以实现向下一级或引擎下达管理策略，同时处理来自下一层监控中心的信息与事件。
面对网络中的用户操作行为（如读、写记录等）、用户事件（如用户帐号的创建、删除等）和系统状态（如数据库的启动和关闭等）加以审计，审计信息作为安全事件分析和追踪的基础。
通过抓取网络中的数据包，并对抓到的包进行分析、匹配、统计，通过数据库远程连接进行分析，从数据库访问操作入手，对抓到的数据包进行语法分析，从而审计对数据库中的哪些数据进行操作，可以对特定的数据操作制定规则，产生报警事件。
4、终端安全体系在进行业务访问和数据处理的过程中，内部泄密和内部攻击已经成为威胁网络安全应用的最大隐患。
在内部办公终端主机上统一部署内网安全管理系统，通过对终端和访问行为进行限制和保护，达到安全业务访问的目的。
同时，需要在内网安全管理服务器区中部署内网安全管理系统的管理主机服务器、控制台、数据库，对内网终端主机和必要的其他终端主机进行统一的管理。
在内部安全域的计算机终端上面部署内网终端管理系统，可实现终端安全加固、网络接入控制、非法外联控制、资产管理、I/O接口管理、终端配置维护、终端审计监控等功能。
4.1终端安全加固实现补丁管理，对内网终端计算机补丁状态进行定期检测并自动安装与更新。
实现防病毒软件监测，判断终端计算机是否安装了防病毒软件、防病毒软件运行是否正常以及病毒库是否保持最新等情况，并对于未进行防病毒软件部署的主机进行内网接入限制实现主机防火墙功能，有效防范网络入侵和攻击行为4.2网络接入控制对接入内网的终端计算机进行身份鉴别或者安全状态检查，阻止未授权或不安全的终端计算机接入内网和访问内网资源。
4.3非法外联控制通过控制外接设备的使用和终端计算机的拨号行为进行网络非法外联控制，充分保证内网计算机安全性4.4资产管理实现终端计算机的硬件配置（包括CPU类型、主频、内存、硬盘、显示卡、网卡等等）的自动登记，使网管人员在控制台的机器上，可以观察到各个机器的配置信息。
能够自动将终端计算机的操作系统、安装的软件、运行的程序和服务、系统日志、共享资源、以及补丁、端口等信息统计汇总，并可进行分类管理。
4.5移动存储管控移动存储设备管理是对通用移动存储设备和专用U盘从注册、使用、销毁整个生命周期提供完整的授权、控制和管理，有效地保证了移动存储介质在其整个生命周期中的可控性、安全性和可审计性。
4.6终端配置维护通过终端管理系统，IT管理人员可获得终端计算机各种相关信息，如主机名、IP地址、网络参数、帐户信息等。
IT管理人员可以响应远程终端计算机的协助请求，临时接管远程终端计算机，进行本地化操作。
4.7主机监控审计监控功能包括服务监控、进程监控、硬件操作监控、文件系统监控、打印机监控、非法外联监控、计算机用户账号监控等。
审计功能包括文件操作审计、外挂设备操作审计、非法外联审计、IP地址更改审计、服务与进程审计等。
5、运维管理体系5.1运维堡垒机运维审计系统是针对业务环境下的用户运维操作进行控制和审计的合规性管控系统。
它通过对自然人身份以及资源、资源账号的集中管理建立"自然人—资源—资源账号"对应关系，实现自然人对资源的统一授权，同时，对授权人员的运维操作进行记录、分析、展现，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部业务操作行为监管、避免核心资产（服务器、网络设备、安全设备等）损失、保障业务系统的正常运营。
运维审计系统由WEB模块、协议代理模块、行为审计模块和应用发布模块和存储模块组成。
WEB模块：为用户提供web方式访问系统的界面。
管理员用户在界面中进行运维用户管理、设备及帐号管理、用户授权管理和运维审计管理等管理功能；运维用户在界面中进行资源单点登录等操作。
协议代理模块：实现对主机、数据库、网络设备维护过程中的协议数据包代理转发、行为还原及记录、高危/违规行为阻断等功能。
行为审计模块：实现对行为操作的审计功能，包括实时高危/违规行为的告警、实时监控、历史数据检索及报表统计等功能。
应用发布模块：安装在Windows服务器上，用于发布非标准协议或应用客户端，如IE、plsql、sqlplus等。
可实现对应用客户端工具的自动调出、密码代填和操作审计功能。
5.2漏洞扫描建立漏洞扫描管理体系。
在系统中部署漏洞扫描软件，结合后期的安全服务，制定相应的管理制度，用户可以建立自己的主动安全防护体系。
漏洞扫描软件可以装在移动平台上或装在几台固定的主机上，定期对网络进行扫描，提前发现漏洞提前修补。
网络漏洞扫描与评估系统，包括网络模拟攻击、漏洞检测、报告服务进程、提取对象信息、风险评估和安全建议等功能，帮助用户控制可能发生的安全事件，最大可能地消除安全隐患。
该系统具有强大的漏洞检测能力和检测效率、贴切用户需求的功能定义、灵活多样的检测方式、详尽的漏洞修补方案和友好的报表系统，并支持在线升级。
同时，漏洞扫描的部署，可以与入侵检测系统配合，构成网络安全评估系统，实施的将系统安全漏洞信息与入侵事件相结合进行分析。
5.3日志审计为了解决网络不断出现的安全问题，部署了大量安全设备，同时也具备了专业的技术队伍，对信息系统进行安全维护和保障。
但由于IT环境中存在较多的安全设备和大量的日志信息，安全管理人员面对众多的控制台界面、告警窗口和日志信息，往往束手无策，导致工作效率低下，难以发现真正的安全隐患。
而部署的各个安全设备只能分别防范来自某个方面的安全威胁，这样形成了一个个安全防御的孤岛，无法产生协同效应。
新颁布的《网络安全法》中，对系统日志做了明确要求，要求对日志必须要有不少于180天的保存周期。
日志审计系统，通过SYSLOG被动接受和主动探测资产手段，对网络中的大量设备进行探测，并且收集日志信息。
通过对网络安全设备的安全事件以及服务器主机的syslog进行深度分析和关联审计，为医院提供全方位的安全防护服务。
通过其它安全产品的主动防御手段和联动协调手段，在网络内部建立一个立体的防御体系，为用户提供一个安全的网络环境。
通过对网络基础设施的安全日志事件，对海量的安全日志事件进行智能分析，评估网络安全风险，定位系统脆弱点，提前进行预警。
6、安全管理体系安全体系管理层面设计主要是依据《信息系统安全等级保护基本要求》中的管理要求而设计。
第四部分 服务器部分第一章 概述1、信息化建设的重要性全国医疗制度的改革正在把病人-医院的二元关系改变为病人-院-险机构-府监督的多元关系。
医院要强化自身内部的管理，医院要加强医疗服务质量的自我监督、自我控制的能力。
国内医院分级评审的一个重要考查项目，国内每个医院的信息系统将成为我国广域医疗信息网络的基础。
国家即将进行卫生资源区域规划，实现局部和整体相结合的卫生医疗资源共享。
为此，建立医院管理信息系统才能适应当代社会发展的需要，为将来纳入社会化管理、共享卫生资源奠定基础。
数字化医院建设可以优化各种工作环节，良好的信息化系统对医务人员来说能将他们从繁重的事物性工作中解脱出来，可以将精力集中到临床业务的研究和提高中；对病人来说能加快就诊速度，缓解 "三长一短"（挂号、收费、取药时间长、医生看病时间短）的矛盾，同时住院病人费用能做到了"日日清"；对医院来说一方面利用信息化手段，改善了医院的服务质量，加强了患者监督能力，赢得了声誉，同时可以利用规范化的流程，把难以量化的东西全部量化，堵住了收费、药品管理中的漏洞，降低了成本，减轻了病人负担，也提高了医院的竞争力。
2、医院信息化建设等级保护要求随着医疗卫生信息化应用不断普及，医院信息化系统已成为医疗服务的重要支撑体系。
其应用的安全与稳定，直接关系到医院医疗工作的正常运行，一旦出现网络瘫痪、数据丢失，信息的泄露等，将会给医院、社会和患者带来极大的风险。
在面对医疗信息泄密事件频发的同时，国家对医疗信息化安全也越来越重视。
为贯彻落实国家信息安全等级保护制度，规范和指导全国卫生行业信息安全等级保护工作，卫生部办公厅下发《卫生行业信息安全等级保护工作的指导意见》，要求卫生行业各单位按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作。
国家信息安全等级保护制度将信息安全保护等级分为五级：第一级为自主保护级，第二级为指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级。
重要卫生信息系统安全保护等级原则上不低于第三级：等级保护设计参考一下标准：GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求 GB/T 22240-2008信息安全技术信息系统安全等级保护实施指南GB/T 20271-2006 信息安全技术信息系统安全通用技术要求 GA/T 708-2007 信息安全技术信息系统安全等级保护体系框架GA/T 709-2007 信息安全技术信息系统安全等级保护基本模型GA/T 709-2007信息安全技术信息系统安全等级保护基本配置GA/T 709-2007信息安全技术信息系统安全等级保护基本配置信息安全技术信息系统等级保护安全建设技术方案设计规范信息安全技术信息系统安全等级保护测评要求 第二章 解决方案1、数据中心建设拓扑图新建数据中心规划如下图所示：2、总体建设方案介绍2.1超融合软件定义计算设计超融合设备的特点在于在通用x86服务器通过安装虚拟化软件和分布式存储软件，构建计算存储网络相融合的云平台环境，实现软硬件一体化交付。
对客户来说，这种开箱即用的解决方案可以帮助用户快速搭建虚拟化平台，快速部署任何基于虚拟机的业务，真正实现业务的快速上云。
另一方面，超融合系统使用户摆脱了对于传统共享存储的依赖。
超融合设备基于分布式存储系统，最大化利用了x86服务器的本地存储空间，构建成一个统一的存储资源池为虚拟机提供存储空间。
超融合架构相比于传统存储架构的优势在于，无需购买昂贵的存储设备以及软件服务，而且可以真正的将计算资源和存储资源进行统一化的管理，从资源调度的角度来说，这将是极大的便利。
总体来说，超融合设备基于服务器虚拟化和软件定义存储技术实现对计算、存储以及网络资源的池化，并通过相关虚拟化技术保障业务的连续性和冗余性。
满足用户想要快速新建私有云数据中心，快速实现业务上云，降低运维复杂度，提高资源交付效率的实际需求。
医院应用系统比较丰富，传统IT架构中除HIS、PACS等核心业务之外的应用系统，容灾保障机制较少；且随着现代化智慧医疗的发展，医院也需要有随之准备新业务上线的准备。
超融合架构的特点非常完美的解决的医院信息化发展的难题。
超融合优化功能示例CPU绑定通过CPU绑定选项，可以精确控制虚拟机CPU在主机的物理核心之间分布的方式。
使用CPU绑定可以向虚拟机分配特定处理器，通过此操作，可以将虚拟机只分配给多处理器系统中特定的可用处理器。
对于某些重要业务来说，令其独占CPU资源，解决了计算资源争用的问题。
CPU/内存热添加由于前期调研或规划不足导致虚拟机的CPU或内存资源紧缺，因此需要扩容CPU或内存资源。
若需扩容的虚拟机运行是业务连续性要求比较高的系统，可以通过CPU或内存热添加功能在不停机的情况下调整CPU或内存资源。
这是一种能够在虚拟机运行期间不中断业务便可以动态增加计算资源的管理功能。
CPU QoSCPU的QoS只在各虚拟机竞争计算资源的时候才发挥作用，如果没有竞争情况发生，有需求的虚拟机可以独占物理CPU资源。
CPU份额是在多个虚拟机竞争物理CPU的时候按比例分配计算资源。
以一个主频为2.8GHz的单核物理机为例，如果上面运行有三台单核的虚拟机。
三个虚拟机A、B、C，它们的份额分别设置为低，正常，高。
当三个虚拟机内部都运行满CPU负载的应用时，Hypervisor会根据三个虚拟机的份额按比例分配计算资源，份额为低的虚拟机A的计算能力约为400MHz，份额为正常的虚拟机；B获得的计算能力约为 800MHz，份额为高的虚拟机；C获得的计算能力约为1600MHz。
（以上举例仅为说明CPU份额的概念，实际应用过程中情况会更复杂）。
CPU份额可以控制一个服务器上的各个虚拟机在竞争CPU资源时的资源占用率，以便针对不同等级的用户提供服务。
裸磁盘映射裸磁盘映射通过将SCSI LUN或本地硬盘以块设备的方式直接映射到虚拟机中，可以为虚拟机提供接近物理磁盘的性能。
当虚拟机对裸磁盘执行读写操作时，虚拟机内的块设备前端驱动将对应的I/O操作传递给半虚拟化驱动后端，后端驱动再将这个I/O操作作用在实际的物理存储设备，并将其应答返回给虚拟机，为高I/O的应用提供支持，保证应用的读写性能，发挥应用的最大优势裸磁盘映射一般用于虚拟机的大容量存储需求。
虚拟磁盘快照虚拟磁盘管理支持磁盘快照功能，采用写时重定向技术（Redirect on Write），实现当快照后的磁盘文件被修改时，不修改原磁盘文件，而是将修改内容直接操作于一个快照文件中，并将该快照文件的父节点指向原磁盘，使得从快照文件读取数据时，可以从原磁盘获取数据；通过虚拟磁盘快照管理，既可以保存虚拟磁盘任意时刻的状态，又可以恢复任意快照时刻的虚拟磁盘状态。
借助于磁盘快照功能与磁盘移动和复制的操作，为虚拟机提供存储数据的冷/热迁移以及链接克隆等功能。
虚拟网络调优对于大多数的虚拟化业务场景，使用基于OVS的虚拟交换机都可以满足其业务需求，但某些对于网络要求较高的业务则需要更高性能的网络技术予以支持。
I支持多种不同的虚拟化网络，包括SR-IOV网络，MAVTAP网络和Pass-through直通网络。
相比于虚拟交换机，这些网络性能更强，但是无法实现类似于虚拟交换机的网络策略，其灵活度不如虚拟交换机。
SR-IOV支持虚拟机挂载SR-IOV网卡，SR-IOV 技术是一种基于硬件的虚拟化解决方案，SR-IOV实现了多个虚拟机共享使用一个物理网卡的功能，并且达到直接分配的目的，提供了网络交换的性能。
SR-IOV 使用两种功能： 物理功能（Physical Functions，PF）是完整的带有 SR-IOV 能力的PCIe设备，PF能像普通 PCI 设备那样被发现、管理和配置；虚拟功能（Virtual Functions，VF）具有简单的PCIe功能，VF只能处理I/O，每个VF都是从PF中分离出来的。
每个物理硬件都有一定数目的VF可以配置，一个PF能被虚拟成多个VF用于分配给多个虚拟机，Hypervisor 能将一个或者多个VF分配给一个虚拟机。
在某一时刻，一个VF只能被分配给一个虚拟机，一个虚拟机可以拥有多个VF。
在虚拟机的操作系统看来，一个VF 网卡看起来和一个普通网卡没有区别。
SR-IOV特性的使用需要硬件平台 Intel VT-d 或者 AMD IOMMU 的支持，在使用此功能时，这些特性必须在BIOS中被启用，如果BIOS中有SR-IOV的使能配置，那么也需要进行开启操作，系统支持虚拟机在使用SR-IOV类型的网卡时，进行热添加，不支持SR-IOV类型网卡的热删除以及虚拟机使用SR-IOV类型网卡时的迁移功能。
MACVTAP支持虚拟机挂载MACVTAP虚拟网卡，MACVTAP是Linux引入的一种新的网络设备模型，用以代替传统的Linux TAP设备加Bridge设备组合，同时支持新的虚拟化网络技术。
MACVTAP可以直接绕过内核协议栈，有效提高数据从物理网卡到虚机之间的性能，并简化虚拟化环境中的交换网络。
MACVTAP 的实现基于传统的 MACVLAN，和TAP设备一样，每一个MACVTAP设备拥有一个对应的Linux字符设备，并拥有和 TAP 设备一样的IOCTL接口，因此能直接被KVM/Qemu使用，方便地完成网络数据交换工作。
Pass-through网卡Pass-through也称为网卡直通，通过Pass-through，虚拟机可以使用 I/O 内存管理单元直接对物理网卡进行独占使用，简单理解就是在虚拟机添加网卡时直接将物理网卡以透传的方式直接给虚拟机使用，即支持客户机以独占方式访问宿主机上的物理网卡，客户机对该物理网卡的I/O交互操作和实际的物理设备操作完全一样，不需要或者很少需要KVM的参与。
网卡的Pass-through需要硬件平台 Intel VT-d 或者 AMD IOMMU 的支持，在使用此功能时，这些特性必须在BIOS中被启用，系统支持虚拟机在使用网卡直通时，进行热添加，不支持Pass-through类型网卡的热删除以及虚拟机使用Pass-through类型网卡时的迁移功能。
超融合集群可靠性设计高可用机制虚拟机在线迁移vMotion是重要功能，vMotion提供虚拟机灵活性和可用性，可以更改运行虚拟机的计算资源，或者同时更改虚拟机的计算和存储资源。
可将正在运行的整个虚拟机能够从一台服务器迁移到另一台服务器上，且虚拟机保留其网络标识和连接，从而实现无缝迁移。
为虚拟机提供了灵活性和可用性，满足业务和最终用户不断增长的需求。
支持异构CPU Model的虚拟机迁移，支持的CPU Model类型达到10个，支持最新的Intel至强可扩展处理器。
vMotion优势在零停机且用户未感知的情况下执行实时迁移不间断自动化优化资源池中的虚拟机在不安排停机时间、不中断业务运营的情况下执行硬件维护主动将虚拟机从故障或运行异常的服务器中移出Storage vMotion是现有的虚拟机 vMotion实时迁移功能的一种，即存储的迁移。
实质是虚拟机的磁盘文件迁移到主机可以访问的其他存储上，可以是同资源池或跨资源池的，而不影响虚拟机运行。
Storage vMotion优势重新分配存储器负载。
在零停机的情况下实时迁移磁盘数据，平衡容量，提高存储设备的性能存储维护和重新配置。
无需关闭虚拟机，即可将虚拟机数据从设备移出，从而对设备进行维护此外，还可以支持虚拟机的跨集群vMotion，只要两个集群保持网络连通状态，可以令虚拟机同时更改计算资源和存储资源的位置。
同样的，在整个迁移过程中，虚拟机不会中断，业务无感知。
虚拟机在跨集群迁移前，需要为虚拟机提前配置新集群的虚拟网络。
跨集群vMotion优势集群维护和重新配置。
无需关闭虚拟机，即可将虚拟机数据从集群移出，从而对整个集群进行维护为规划多集群的虚拟化架构铺平道路管理节点高可用为消除管理节点单点故障，提供管理节点双机热备的部署方式，两台管理节点实时互备数据，但只有一台作为整个系统的管理节点。
当主管理节点宕机，另一台管理节点会迅速接管整套系统，保障系统整体的持续运行。
虚拟机高可用High Availability（HA）为系统中虚拟机提供了简单易用、成本效益高的高可用性功能。
由于硬件故障导致的VM不会再造成灾难性的后果， HA会对宕机的VM进行重新分配资源并快速重启这些虚拟机， DRS 则会决定放置这些虚拟机的最佳位置以满足其资源要求，其业务可在短时间内恢复正常。
提供两种设置方式： 在集群管理中设置集群HA策略；单虚拟机设置启用HA。
集群内服务器发生宕机，通过主动上报机制将宕机事件上报，HA主调度服务将该服务器上运行状态的虚拟机在集群内其它服务器上重新分配资源并进行重新启动，如下图单个运行状态的虚拟机发生宕机，通过主动上报机制将宕机事件上报，HA主调度服务对宕机的虚拟机快速进行重启，如下图：资源调度机制负载均衡负载均衡是对集群中主机资源的优化管理，对当前集群资源利用进行综合评估，并采取对集群中虚拟机的合理调度，达到对集群中资源的负载均衡，以及在保证性能的前提下通过主机的待机操作（将主机电源关闭）减少能耗。
DRS：提供资源负载均衡机制（默认开启）：DRS提供可配置的CPU、内存利用阈值，进行定制化的配置；DRS周期性的对集群资源利用情况进行检测评估，并依据评估结果合理调度虚拟机，实现整个集群资源的负载均衡；DRS提供优秀的调度策略，当集群中主机资源利用率超过阈值，DRS调度算法会对该主机上的虚拟机进行迁移预算评估，并从中最佳的虚拟机迁移组合方案，在保证能把主机利用率降到阈值的前提下，选取最小的资源迁移量；可靠的迁移过程，DRS在迁移虚拟机过程中，会对生成的迁移策略进行排序调度，保证单个主机在同一时刻的迁入/迁出线性执行，防止并发迁移给主机增加过大的迁移压力。
节能调度DPM（电源管理）：在DRS基础上提供节能调度机制：DPM提供可配置的CPU、内存利用率低阈值；DPM同样会针对集群的资源利用情况，产生待机请求（即: 将会把主机电源关闭的请求），或对待机的主机进行电源打开操作；当集群负载较低时，DPM会向DRS提出将利用率低于阈值的主机待机的请求，DRS收到待机请求，同样会根据集群中主机的负载的情况，进行资源预判评估。
从利用率低于阈值的主机中选出合理的一个，在保证剩余主机负载不超过阈值的情况下，将该主机上的虚拟机均衡的迁移到其他主机上，并且成功处理完迁移请求之后，DPM会在等待一个周期的资源稳定之后，将该主机进行下电待机，节约能耗；当集群负载较高时，且当前集群中的主机不足以满足资源需求时，DRS会向DPM发出打开待机主机电源的请求，DPM会给出候选的待机主机列表，DRS会对给出的待机主机进行资源评估，并选取合适的主机，由DPM进行电源打开操作。
虚拟机备份与恢复虚拟机备份功能旨在允许用户从虚拟机备份恢复由于服务器硬件故障损坏或用户误操作损坏的虚拟机。
虚拟机快照备份提供了一种简便的快照机制，无需额外配置向导。
借助快照机制，可以在给定的时间内生成虚拟机磁盘信息和元数据的快照。
生成快照时，可在需要时临时停止IO以确保捕获自身一致的磁盘镜像。
通过创建虚拟机的快照，捕获虚拟机磁盘数据备份和虚拟机配置，并可以通过虚拟机快照生成虚拟机模板或生成新的虚拟机。
虚拟机的快照包含该虚拟机所有的磁盘信息和虚拟机的配置信息，可以导出并还原这些信息并进行备份。
支持基于磁盘的快照和回滚，同时也支持基于内存的快照及回滚技术来保证交易的完整性。
在原快照的基础上，还支持多分支的连续快照以最大限度保证业务的连续性。
的虚拟机快照包含两个部分：虚拟磁盘文件和虚拟机配置文件。
支持静态快照和动态快照两种快照。
要创建静态快照，则生成虚拟机磁盘快照；要创建动态快照，则选择生成虚拟机磁盘和内存快照，但是需要更长的创建时间。
出现故障时，通过快照恢复/还原，可以将虚拟机还原为创建快照时的状态。
快照还原将会放弃自生成快照以来对虚拟机进行的所有更改。
用户还可以将快照另存为新模板，如果用来创建快照的原始虚拟机已删除，也可以将孤立快照另存为新模板导出。
当出现故障时，重新导入模板即可完成虚拟机的恢复工作。
虚拟机备份支持虚拟机备份功能，为虚拟机在可用存储上创建虚拟机某一时刻的备份。
特定类型的虚拟机不支持虚拟机备份：包含裸磁盘的虚拟机，包含物理网卡或SRIOV网卡的虚拟机。
支持为启动和关闭状态的虚拟机创建虚拟机备份。
支持的备份存储类型：本地存储，CFS存储，NFS存储。
有厚置备磁盘的虚拟机不支持备份到NFS存储。
由于本地存储位于特定主机，所以不推荐使用本地存储作为备份存储，推荐使用CFS存储或NFS存储进行备份（如果虚拟机没有厚置备磁盘）。
系统支持设置自动为虚拟机创建备份功能，通过此功能，系统可以在指定时间为指定的虚拟机创建备份。
可以设置只创建一次或周期性执行。
设置调度任务后， 系统会在设置的时间自动为指定的虚拟机创建备份，自动备份任务的成功与否依赖备份时的主机状态和存储状态， 如果主机，网络和存储状态良好，则可以成功生成虚拟机备份。
虚拟机恢复用户使用备份恢复功能，用指定的虚拟机备份恢复生成新虚拟机。
恢复备份生成的虚拟机与源虚拟机配置相同，虚拟磁盘内的数据状态为源虚拟机创建备份时的文件系统状态。
恢复备份产生的虚拟机是一个全新的虚拟机（拥有全新的虚拟机名称和ID），恢复备份过程不依赖源虚拟机状态，生成的新虚拟机与源虚拟机互不影响。
2.2 HIS应用服务器建设HIS应用是医院信息化系统的中枢神经，可采用两台物理服务器作物HIS应用专区，单独承载HIS应用系统，且两台服务器可做双机热备，保证业务系统的连续性。
高可用集群(HA/双机热备技术)就是保障用户核心应用系统24*365小时持续稳定的运行。
集群技术是将多台服务器联在一起，组成一个透明的系统，这些服务器之间互相共享资源，如IP、数据或应用软件等。
对最终用户来说，可把这个集群系统当作一个虚拟的服务器来使用。
当集群中的某台服务器由于软件或硬件原因发生故障时，集群系统可以把IP、应用软件等资源切换到其他健康的服务器上，即另外的服务器可立即取代该故障机的职责，继续为用户提供服务，使整个系统能连续不间断的对外提供服务，从而为企业24x365的关键业务提供了可靠的保障。
2.3 平台服务器集群建设RAC服务器建设保障数据安全与稳定是信息化建设的核心之一，为保障数据库的性能与稳定，采用两台数据库服务器做RAC集群。
Oracle RAC高可用原理Oracle Real Application Clusters (RAC) 是数据库高可用性 (HA) 的基础。
Oracle RAC 体系以 Oracle Grid Infrastructure 作为自己的管理框架，该框架提供计划、意外以及运行时和按需容量管理方法，因此可确保数据中心针对各种应用程序的操作不会中断。
Oracle ASM/CloudFS 和 Oracle Clusterware 的 Oracle Grid Infrastructure 以及包含 Oracle Real Application Clusters (RAC) 选件的 Oracle 数据库共同构成了 Oracle RAC 体系.Oracle RAC 采用共享磁盘架构，因此卷管理和用于存储数据库数据的文件系统必须支持集群识别。
Oracle 自动存储管理 (ASM) 是为 Oracle 数据库推荐的（集群）卷管理器。
Oracle ASM 管理所有数据，如Oracle 数据库文件、Oracle 集群件文件和非结构化数据，如 二进制文件、外部文件和文本文件（通过 Oracle CloudFS 进行管理）。
凭借其较低的开销、便捷的管理以及较高的性能特点，Oracle ASM 成为管理 Oracle 数据库的理想的存储技术。
数据库系统高可靠Oracle数据库服务器在选型时具备以下五个原则：高性能、高可靠、高可扩展、安全性以及可管理性等。
对于企业而言，Oracle数据库已经是必不可少的重要IT组份之一了 。
Oracle支持非结构化数据，其二进制XML大大改进了存储效率并且XML索引的速度，另一方面，Oracle增加了服务器和客户端的结果缓存技术，使得PL/SQL性能提高了两倍，JAVA性能提高了11倍，这意味着基础硬件的要求也越来越严格。
由于Oracle 具有RAC(真正应用集群)技术，可以分布式的将数据库部署在众多服务器中以避免单台服务器效率补足并保证冗余，x86平台的通用性和灵活性符合他们数据库的伸缩性特征。
Oracle数据库对于服务器的要求总结为：虚拟化性能高、内存容量大、可靠性好，而4路服务器的性能和RAS特性可以为Oracle数据库提供完备的硬件能力支撑。
2.4数据库存储系统建设数据库的特点为结构化数据、高IO，低延时、高稳定性等特定，并且存储容量要求相对不高。
此类存储场景非常适用于SAN架构统一存储系统。
采用16Gb FC主流光纤通道协议，并提供多路径，确保传输线路存储阵列采用融合活性存储系统是一款定位于中大型企业级应用环境，面向结构化和非结构化复杂应用环境的存储系统。
凭借专门为云计算，大数据环境而打造的存储操作系统、丰富灵活的软件特性、业内领先一代的硬件平台、以及智能直观的统一管理软件，很好的满足了大中型数据库OLTP/OLAP、虚拟化、文件共享，云计算，大数据等各种应用下的数据存储、数据中心容灾、以及数据备份、云备份等存储需求，活性存储系统在性能、功能、可靠性和易用性上都达到了业界同档次产品中的最高水准，并广泛适应用于政府、金融、通信、能源、媒资、医疗、教育、SMB等行业。
产品特性统一存储支持SAN+NAS： SAN和NAS存储协议的统一，在同一套存储系统内可以支持结构化和非结构化数据，统一管理，简化用户数据中心架构和降低运维成本，灵活应对不同业务需求。
支持多种协议： 支持iSCSI、 FC、 NFS、 CIFS、 HTTP、FTP等多种存储网络和协议，满足数据库、文件共享应用、云计算等应用的数据存储需求。
先进的架构设计Active-Active架构：活性存储采用了业内领先的AA存储架构，实现了控制器间的负载均衡，可以使控制器并发响应前端应用IO请求，消除控制器的性能瓶颈，实现系统高可用性，保证业务的连续性。
Scale-Out架构：活性存储支持在线横向扩展，最大支持8控制器，2TB缓存，使用户的的存储资源得到线性的增长，满足客户不断变化的需求。
主机接口灵活：丰富的扩展接口能够满足不同业务需求，充分保证了硬件的灵活性、可靠性和扩展性。
冗余组件：采用全冗余架构、全模块化设计，无单点故障，保障业务系统持续运行。
双控制器（active-active），主要组件，例如电源、风扇、端口模块、连接线缆均为冗余组件；冗余缓存数据确保数据完整性；驱动器组件冗余，双端口。
热插拔、在线扩展：无需停止系统即可对故障组件实现热插拔；支持驱动器在线扩展；无需停止运行即可更新固件（控制器和磁盘）。
支持系统掉电保护：BBU+Flash，确保系统在意外断电情况下数据的完整性。
高指标：最大支持784/968块硬盘，可以提供PB级的海量存储空间，以及单控64/128GB大缓存。
丰富的软件功能——满足不同级别业务的需求自精简：存储资源的分配不再受存储物理空间大小的限制，实现 100% 的随需分配。
当物理存储资源不足时，可在线实时扩容；降低初期 IT 投入成本的同时，大幅度提高了资源使用效率。
二级缓存：支持PCIe SSD二级缓存，满足业务对IOPS和响应时间的需求，让访问速度不再是性能瓶颈。
快照：基于存储系统的数据快照功能可对存储系统中的卷创建即时的逻辑拷贝，可实现数据复用，满足备份、应用测试或开发、信息分析或者数据挖掘等需求，并有效节省磁盘空间，降低投资成本。
自动分层：根据数据访问的频繁度被准确迁移到之性能相匹配的磁盘介质，通过优化及高效的数据迁移实现存储成本和性能的最佳平衡，提高客户投资回报率、有效保护客户总体拥有成本。
QoS：根据不同应用对IO性能要求不同，可以对卷的读写性能进行动态管理。
可以为LUN、host、port设置上限（带宽、IOPS等），确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。
在线压缩：业界领先的基于时间的变长的实时在线压缩功能，对存储性能无任何影响。
异构存储融合：活性存储可以通过自身的存储异构虚拟化技术来接管第三方的存储，实现统一的虚拟存储资源池，提供容灾，数据保护，数据迁移等服务。
云备份融合：业内领先的云备份技术，除了传统的备份方式之外，活性存储提供了公有云和私有云的备份方式，无需购买备份软件即可实现数据向云端的备份，降低备份复杂程度，有效保护客户的数据安全。
同步/异步远程复制功能：重要数据多地保护，达到数据级容灾，并可实现存储双活和两地三中心方案。
单机系统集群系统在故障服务器恢复期间，业务一直被终止只在业务切换到其他服务器期间，业务暂时中止