5.3.3Комплексы технических средств учреждений здравоохранения
Типовые проекты комплексов технических средств учреждений здравоохранения зависят от уровня взаимодействия с остальными элементами инфраструктурного сегмента и подразделяются на:
КТС учреждений здравоохранения, содержащих серверную инфраструктуру (объекты типа «ЛПУ-С»);
КТС учреждений здравоохранения, использующих терминальный доступ (объекты типа «ЛПУ-Г»).
5.3.3.1КТС объектов информатизации типа «ЛПУ-С» 5.3.3.1.1Вычислительная инфраструктура
Компоненты серверной инфраструктуры объектов информатизации типа «ЛПУ-С» целесообразно развертывать c использованием технологий виртуализации. В качестве гипервизора целесообразно применить программное обеспечение
VMware ESXi v.4.1.
В виде виртуальных серверов на объектах «ЛПУ-С» будут развернуты:
Основной и резервный контроллеры домена;
Серверы БД, объединенные в отказоустойчивый кластер;
Серверы приложений (в том числе, 1С), объединенные в кластер балансировки сетевой нагрузки;
Технологические серверы (управление резервным копированием, почтовый сервер, службы обновления ПО и т.п.), объединенные в отказоустойчивый кластер.
Независимые дисковые массивы объектов «ЛПУ-С» будут подключаться по технологии SAN, в общем случае они будут содержать следующие разделы:
Раздел для хранения файлов БД;
Раздел для хранения образов виртуальных машин;
Раздел для файлового сервера;
Раздел для обеспечения работы отказоустойчивого кластера (Quorum).
На Рис. 12 приведена структурная схема вычислительной инфраструктуры объектов «ЛПУ-С».
Рис. 12. Структурная схема вычислительной инфраструктуры «ЛПУ-С»
Предварительный состав и характеристики оборудования, приведены ниже (Таблица 15).
Таблица 15. Предварительный состав и характеристики оборудования «ЛПУ-С»
Наименование оборудования
|
Характеристики оборудования
|
Кол-во
|
Сервер виртуализации
|
CPU 1x4 Core
RAM 16 Gb
HDD: 2x146 Gb
или
CPU 2x4 Core
RAM 48 Gb
HDD: 2x146 Gb
|
2
|
Дисковый массив
|
Не менее 1-го контроллера SAS 3Gb/s
HDD: 8x300 Gb
|
1
|
Стример
|
Не менее 120MB/s, 800 Gb с поддержкой SAS V2
|
2
|
Дисковые рабочие станции
|
CPU: не менее 3.3 GHz, 3 MB
RAM: не менее 2 Gb
HDD: не менее 320 Gb 7200 rpm
DVD-R
Монитор: не менее 19”
Оптический манипулятор «мышь», клавиатура
|
Формируется на основании данных о кол-ве АРМ в конкретном учреждении здравоохранения
|
Бездисковые рабочие станции
|
CPU: не менее 1.5 GHz
RAM: не менее 1 Gb
HDD: 2 Gb (80x)
Монитор: не менее 19”
Оптический манипулятор «мышь», клавиатура
| 5.3.3.1.2Инженерные системы
Требования к инженерным системам объектов данного типа аналогичны требованиям, предъявляемым к инженерным системам объектов информатизации типа «МЦОД» (см. раздел 5.3.2.2).
5.3.3.2КТС объектов информатизации типа «ЛПУ-Г» 5.3.3.2.1Вычислительная инфраструктура
На объектах информатизации типа «ЛПУ-Г» будут развернуты контроллеры доменов (основной и резервный), и рабочие станции пользователей. Структурная схема КТС «ЛПУ-Г» приведена на Рис. 13.
Рис. 13. Структурная схема КТС «ЛПУ-Г»
Предварительный состав и характеристики КТС «ЛПУ-Г» приведены ниже (Таблица 16).
Таблица 16. Предварительный состав и характеристики КТС «ЛПУ-Г»
Наименование оборудования
|
Характеристики оборудования
|
Контроллеры домена
(2 шт.)
|
CPU: достаточно для установки MS Windows Server 2008 R2
RAM: не менее 2 Gb
HDD: не менее 2 х 120 Gb
|
Дисковые рабочие станции
|
CPU: не менее 3.3 GHz, 3 MB
RAM: не менее 2 Gb
HDD: не менее 320 Gb 7200 rpm
DVD-R
Монитор: не менее 19”
Оптический манипулятор «мышь», клавиатура
|
Бездисковые рабочие станции
|
CPU: не менее 1.5 GHz
RAM: не менее 1 Gb
HDD: 2 Gb (80x)
Монитор: не менее 19”
Оптический манипулятор «мышь», клавиатура
|
Количество и типы используемых в конкретных учреждениях здравоохранения рабочих станций будут формироваться на основании данных о количестве рабочих мест пользователей учреждений здравоохранения.
5.3.3.2.2Инженерные системы
Рабочие места пользователей, как правило, располагаются в помещениях, расположенных на нескольких этажах. Для этих помещений необходимо выполнение требований СанПиН 2.2.2.542-96. Рабочие места должны размещаться в помещениях с естественным и искусственным освещением, наличием систем отопления и вентиляции, площадью на одно рабочее место не менее 6,0 м2 и объемом не менее 20,0 м3. Для рабочих мест должна быть организована система выделенного электроснабжения. Система выделенного электроснабжения должна удовлетворять требованиям, предъявляемым к силовым кабельным проводкам для компьютерной техники. Подводка электропитания от распределительного щита к рабочим местам должна осуществляться трехжильным медным кабелем сечением не менее 2,5 мм2. Подводка электропитания от главных распределительных щитов к распределительному щиту выделенного электропитания рабочих мест должна производиться пятижильным медным кабелем, сечение которого должно определяться, исходя из требований раздела 1.3.10 ПУЭ. Каждое рабочее место должно быть оборудовано индивидуальным источником бесперебойного питания со временем автономии не менее 30 минут, с возможностью защиты устройств, отключение которых не угрожает потерей данных без расходования ресурсов собственно ИБП, от всплесков напряжения, предупреждения о приближении отказа батарей, работы при пониженных и повышенных напряжениях без перехода на батареи.
Телекоммуникационное и серверное (в случае наличия) оборудование должно устанавливается в 19-дюймовый шкаф глубиной не менее 1000 см. Двери шкафа должны быть металлическими, закрываемыми на замок, со стеклянной передней дверью.
Шкаф должен быть оснащен:
19” направляющими для установки оборудования;
комплектом крепежа для установки 19” оборудования;
комплектом заземления;
панелью силовых розеток;
полками для установки оборудования;
вентиляторами.
Рекомендуется устанавливать шкаф в отдельном помещении, оснащенным в соответствии со строительными нормами СН 512-78 (в этом случае необходимо выполнять требования к серверному помещению согласно п. 5.3.2.2). В случае невозможности выделения отдельного помещения, допускается шкаф устанавливать в помещениях с рабочими местами. В этом случае шкаф должен быть иметь степень защиты не менее IP54. Корпус шкафа, а также все металлические части должны быть заземлены.
Защитное и телекоммуникационного заземления должны удовлетворять требованиям стандартов ГОСТ Р 50571.21-2000 «Заземляющие устройства и системы уравнивания электрических потенциалов в электроустановках, содержащих оборудование обработки информации» и ГОСТ Р 50571.10-96 «Заземляющие устройства и защитные проводники».
При наличии технической возможности обеспечить электроснабжение технических средств в случае отключения основных питающих вводов здания от существующего автономного источника питания.
Электроснабжение оборудование внутри шкафа должно обеспечиваться через источники бесперебойного питания с двойным преобразованием, каждый из которых должен удовлетворять следующим требованиям:
максимальная выходная мощность должна быть выше (не менее чем на 30 %) суммарной установленной мощности всего оборудования шкафа;
искажение формы выходного напряжения менее 3 %;
отклонение выходной частоты – не более 3 %;
наличие внутреннего байпаса с автоматическим или ручным включением;
наличие интерфейсного порта для удаленного контроля и управления;
время автономной работы на номинальной мощности – не менее 30 минут;
возможность увеличения времени автономной работы за счет подключения дополнительных батарейных блоков;
диапазон входного напряжения при работе от сети +/- 30 % от номинального значения;
возможность автоматического запуска оборудования после восстановления электропитания.
Источники бесперебойного электропитания должны подключаться к разным вводам. В случае наличия только одного ввода и отсутствия дизель-генераторной установки, ИБП должны подключаться к разным секциям вводного распределительного устройства (ВРУ). Электрическое подключение оборудования, имеющего более одного блока питания должно осуществляться одновременно от 2-х ИБП. Оборудование с единственным блоком питания должно подключаться через статический переключатель нагрузки, на вход которого подключаются ИБП. Статический переключатель нагрузки должен отвечать следующим требованиям:
время переключения в ручном режиме менее 0,1 мс, в автоматическом режиме – менее 6 мс;
коэффициент мощности – 0,5 – 1,0;
допустимый крест-фактор – 3,5:1;
возможность установки в 19” конструктив;
уровень шума – менее 55 дБА.
Шкаф должен оборудоваться индивидуальной локальной системой пожаротушения, которая должна содержать безвредный для людей и окружающей среды огнетушащий состав. Система пожаротушения должна содержать активную систему обнаружения возгорания и осуществлять автоматическое гашение огня в случае его обнаружения. Система пожаротушения должна удовлетворять следующим требованиям:
защищаемый объем – до 3 м3;
метод извещения о пожаре – за счет аспирационных дымовых оптических извещателей;
продолжительность автономной работы – до 4-х часов;
допустимый уровень влажности – 96 %;
пределы объема анализируемого воздуха - +/- 10 % защищаемого объема;
возможность установки в 19-дюймовый конструктив;
время достижения огнетушащей концентрации (с момента выхода огнетушащего вещества) – не более 10 сек;
инерционность АУГПТ – не более 2 сек;
порог срабатывания устройства контроля количества огнетушащего вещества – 5 % от массы;
гарантийный срок эксплуатации – не менее 5 лет;
срок эксплуатации – не менее 10 лет.
Структурированная кабельная система должна быть выполнена в соответствии с международным стандартом ISO/IEC 11801:2002. Кабельная система должна иметь физическую топологию типа «звезда». Центр коммутации должен находиться в телекоммуникационном шкафу. В качестве физических каналов связи кабельная система должна использовать 4-парный медный кабель неэкранированная витая пара категории 5е. Информационные розетки, устанавливаемые на рабочих местах СКС, должны содержать два неэкранированных модульных разъема категории 5е. В качестве коммутационного оборудования для медных кабелей должны быть использованы
19-дюймовые 24-портовые коммутационные панели с разъемами категории 5e. Для коммутации между портами коммутационных панелей и активным сетевым оборудованием в проекте должны быть учтены коммутационные шнуры категории 5e с разъемами «RJ45» на обоих концах.
Кабель должен прокладываться по помещениям в системе кабелепроводов, которая должна включать в себя металлические лотки для прокладки кабелей по коридорам за фальшпотолком и пластиковые кабельные каналы для прокладки кабелей внутри помещений. Металлические конструкции лотков должны быть подключены проводом ПВ3 1х6 мм2 к шине РЕ этажного распределительного щита электропитания.
При выполнении скрытой проводки за фальшстенами все кабели должны прокладываться в гофрированных трубках, причем силовые кабели и кабели СКС должны прокладываться в отдельных трубках.
5.3.4Телекоммуникационная инфраструктура 5.3.4.1Каналы передачи данных
При проектировании телекоммуникационной инфраструктуры РИАМС необходимо учитывать и максимально эффективно использовать каналы передачи данных, создаваемые в рамках создания электронного правительства Республики Коми.
Каналы передачи данных должны обеспечивать пропускную способность от объектов информатизации до оборудования ядра сети передачи данных:
для объектов информатизации типов «МЦОД-В», «МЦОД-УП», «МЦОД-И», «МЦОД-У» не менее 10 Мбит/с по основному и не менее 512 Кбит/с по резервному каналам связи;
для объектов информатизации типа «ЛПУ-С» не менее 512 Кбит/с;
для объектов информатизации типа «ЛПУ-Г» не менее 10 Мбит/с по основному и не менее 512 Кбит/с по резервному каналам связи.
Каналы передачи данных должны обеспечивать задержку распространения на передачу в один конец, от телекоммуникационного оборудования объекта информатизации до телекоммуникационного оборудования РЦОД, независимо от типа объекта, не более 50 мсек.
Каналы передачи данных должны обеспечивать не более 3 % потери пакетов.
Детальные требования к каналам передачи данных должны быть разработаны на стадии технического проектирования телекоммуникационной инфраструктуры РИАМС.
Для защиты передаваемой по каналам связи информации необходимо в состав телекоммуникационной инфраструктуры каждого объекта информатизации необходимо применять криптошлюзы. В качестве криптошлюзов целесообразно выбрать и использовать на всех объектах РИАМС, независимо от типа, программно-аппаратный комплекс ViPNet Coordinator HW1000, а для учреждений здравоохранения с малым количеством пользователей – ПАК ViPNet Coordinator HW100 производства российской компании ОАО «Информационные технологии и коммуникационные системы» (ОАО «ИнфоТеКС»). Данный программно-аппаратный комплекс сертифицирован ФСТЭК России для применения в системах защиты информации в ИСПДн до 1-ого класса включительно.
5.3.4.2Телекоммуникационное оборудование РЦОД РИАМС
Поскольку РЦОД РИАМС развертывается на базе РЦОД Аппарата Правительства Республики Коми, он должен использовать существующую телекоммуникационную инфраструктуру данного объекта.
Структурная схема телекоммуникационной инфраструктуры РЦОД представлена на Рис. 14. Красным цветом на схеме выделены необходимые доработки в телекоммуникационной инфраструктуре РЦОД, которые необходимо выполнить в интересах РИАМС.
Рис. 14. Структурная схема телекоммуникационного оборудования РЦОД
Телекоммуникационная инфраструктура РЦОД построена на оборудовании компании Juniper. РЦОД имеет два независимых канала связи, подключенные к двум различным операторам связи (Ростелеком и Транстелеком), с реализацией отказоустойчивой схемы. Агрегацию и маршрутизацию трафика объекта обеспечивают маршрутизаторы модели Juniper J6350. Межсетевое экранирование и фильтрация трафика реализовано на межсетевых экранах Juniper SRX650. Устройства агрегирующих коммутаторов реализуются на моделях Juniper EX4200-48T, собранных в кластер. Данный коммутатор поддерживают технологию кластеризации, наращивание портовой емкости производится добавлением коммутаторов в кластер. Серверное оборудование РЦОД подключается к кластеру коммутаторов EX4200-48T. Коммутаторы уровня доступа АРМ реализуются на моделях Juniper EX2200-48-T.
В целях обеспечения использования телекоммуникационной инфраструктуры РЦОД в интересах РИАМС необходимо каждый из каналов связи подключить к маршрутизаторам через криптошлюз, как показано на схеме.
Криптошлюзы должны иметь сертификаты ФСТЭК для использования в ИСПДн класса К1.
5.3.4.3Телекоммуникационное оборудование муниципальных ЦОД
Телекоммуникационное оборудование муниципальных ЦОД должно включать (см. Рис. 15):
два маршрутизатора, работающих в режиме горячего резервирования, подключенных к двум различным операторам связи;
два агрегирующих коммутатора (L3), работающих в режиме горячего резервирования, подключенных к двум различным операторам связи;
от двух до двенадцати коммутаторов (L2), подключенных непосредственно к вычислительной инфраструктуре объекта информатизации и работающие по отказоустойчивой схеме. Количество коммутаторов этого уровня зависит от состава серверной группировки МЦОД, а также от количества рабочих мест операторов и администраторов МЦОД (и пользователей РИАМС для объекта
«МЦОД-У»).
Если в муниципальном ЦОД размещен один коммутационный узел, функции и коммутатора доступа и агрегирующего коммутатора выполняет коммутатор L2. Конечное оборудование должно подключаться по двум линиям связи для организации резервирования на уровне L2.
Рис. 15. Структурная схема телекоммуникационного оборудования муниципальных ЦОД
Муниципальный ЦОД должен иметь два независимых канала связи с реализацией отказоустойчивой схемы и резервированием каналов. Подключение к операторам связи осуществляется по защищенному VPN-каналу посредством ПАК ViPNet. Каждый канал связи от оператора по медной Ethernet линии подключается в криптошлюз, обеспечивающий шифрование трафика. Агрегацию, маршрутизацию и туннелирование трафика обеспечивает маршрутизатор, подключаемый в LAN-порт криптошлюза по медной Ethernet линии.
Агрегирующие коммутаторы (L3) должны быть подключены по медной или оптической линии (в зависимости от СКС) к коммутаторам уровня L2, подключение их к маршрутизаторам осуществляется по медной Ethernet линии. При техническом проектировании портовая емкость коммутаторов этого типа должна быть рассчитана с учетом возможности расширения.
Характеристики телекоммуникационного оборудования муниципальных ЦОД приведены ниже (Таблица 17).
Таблица 17. Характеристики телекоммуникационного оборудования муниципальных ЦОД
Тип оборудования
|
Характеристики оборудования
|
Кол-во
|
Криптошлюз
|
Наличие сертификатов ФСТЭК для применения в ИСПДн класса К1
|
2
|
Маршрутизатор
|
Должен соответствовать методическим рекомендациям Минздравсоцразвития
|
2
|
Коммутатор уровня L3
|
Поддержка стекирования
|
2
|
Коммутатор уровня L2
|
Combo-порты под SFR-модули, возможна поддержка PoE
|
2-12
| 5.3.4.4Телекоммуникационное оборудование объектов «ЛПУ-С»
Телекоммуникационное оборудование объектов «ЛПУ-С» должно включать (см. Рис. 16):
маршрутизатор;
агрегирующий коммутатор (L3);
коммутаторы (L2), подключенные непосредственно к вычислительной инфраструктуре объекта информатизации и работающие по отказоустойчивой схеме. Количество коммутаторов этого уровня зависит от количества пользователей РИАМС в учреждениях здравоохранения.
Если на объекте типа ЛПУ-С размещается один коммутационный узел, функции и коммутатора доступа и агрегирующего коммутатора выполняет коммутатор L2.
Рис. 16. Структурная схема телекоммуникационного оборудования объектов «ЛПУ-С»
Объекты типа «ЛПУ-С» должны иметь один независимый канал связи. Подключение к оператору связи должно осуществляться по защищенному VPN-каналу посредством ПАК ViPNet. Канал связи от оператора по медной Ethernet линии подключается в криптошлюз, обеспечивающий шифрование трафика. Агрегацию, маршрутизацию и тунелирование трафика обеспечивает маршрутизатор, подключаемый в LAN-порт криптошлюза по медной Ethernet линии.
Агрегирующий (ядровой) коммутатор (L3) должен быть подключен по медной или оптической линии (в зависимости от СКС) к коммутаторам уровня L2, подключение к маршрутизаторам осуществляется по медной Ethernet линии. При техническом проектировании портовая емкость коммутаторов этого типа должна быть рассчитана с учетом возможности расширения.
Характеристики телекоммуникационного оборудования объектов «ЛПУ-С» приведены ниже (Таблица 18).
Таблица 18. Характеристики телекоммуникационного оборудования объектов «ЛПУ-С»
Тип оборудования
|
Характеристики оборудования
|
Кол-во
|
Криптошлюз
|
Наличие сертификатов ФСТЭК для применения в ИСПДн класса К1
|
1
|
Маршрутизатор
|
Должен соответствовать методическим рекомендациям Минздравсоцразвития
|
1
|
Коммутатор уровня L3
|
Поддержка стекирования
|
1
|
Коммутатор уровня L2
|
Combo-порты под SFR-модули, возможна поддержка PoE
|
2-12
| 5.3.4.5Телекоммуникационное оборудование объектов «ЛПУ-Г»
Телекоммуникационное оборудование объектов информатизации типа «ЛПУ-Г» должно включать (см. Рис. 17):
два маршрутизатора, работающих в режиме горячего резервирования, подключенных к двум различным операторам связи;
два агрегирующих коммутатора (L3), работающих в режиме горячего резервирования, подключенных к двум различным операторам связи;
коммутаторы (L2), подключенные непосредственно к вычислительной инфраструктуре объекта информатизации и работающие по отказоустойчивой схеме. Количество коммутаторов этого уровня зависит от количества пользователей в учреждениях здравоохранения.
В случаях, когда на объекте типа ЛПУ-Г размещен один коммутационный узел, функции и коммутатора доступа и агрегирующего коммутатора выполняет коммутатор L2.
Рис. 17. Структурная схема телекоммуникационного оборудования объектов «ЛПУ-Г»
Объекты «ЛПУ-Г» должны иметь два независимых канала связи с реализацией отказоустойчивой схемы и резервированием каналов. Подключение к операторам связи должно осуществляться по защищенным VPN-каналам посредством ПАК ViPNet. Каждый канал связи от оператора по медной Ethernet линии подключается в криптошлюз, обеспечивающий шифрование трафика. Агрегацию, маршрутизацию и туннелирование трафика обеспечивает маршрутизатор, подключаемый в LAN-порт криптошлюза по медной Ethernet линии.
Агрегирующие коммутаторы (L3) должны быть подключены по медной или оптической линии (в зависимости от СКС) к коммутаторам уровня L2, подключение к маршрутизаторам осуществляется по медной Ethernet линии. При техническом проектировании портовая емкость коммутаторов этого типа должна быть рассчитана с учетом возможности расширения.
Характеристики телекоммуникационного оборудования объектов «ЛПУ-Г» приведены ниже (Таблица 19).
Таблица 19. Характеристики телекоммуникационного оборудования объектов «ЛПУ-Г»
Тип оборудования
|
Характеристики оборудования
|
Кол-во
|
Криптошлюз
|
Наличие сертификатов ФСТЭК для применения в ИСПДн класса К1
|
2
|
Маршрутизатор
|
Должен соответствовать методическим рекомендациям Минздравсоцразвития
|
2
|
Коммутатор уровня L3
|
Поддержка стекирования
|
2
|
Коммутатор уровня L2
|
Combo-порты под SFR-модули, возможна поддержка PoE
|
2-12
| |
