馮秀芳

(昆明經濟技術開發(fā)區(qū)疾病預防控制中心，云南昆明 650501)

淺談疾病預防控制機構計算機網絡系統(tǒng)的建設與管理

馮秀芳

(昆明經濟技術開發(fā)區(qū)疾病預防控制中心，云南昆明 650501)

本文就疾病預防控制機構計算機網絡系統(tǒng)的建設及系統(tǒng)運行中出現(xiàn)的問題及相應的解決方法，提出了網絡分離、分層設計、分期建設的原則，實踐證明這些原則對于網絡系統(tǒng)平穩(wěn)安全運行十分重要。

疾控機構信息化；計算機網絡；網絡設計與管理

1 網絡的設計、構成及建設的原則

1.1 網絡的設計原則

1.1.1 高可靠性。網絡系統(tǒng)的穩(wěn)定可靠是保證應用系統(tǒng)正常運行的關鍵，在網絡設計中應該選用高可靠性網絡產品，合理設計網絡架構，最大限度地支持系統(tǒng)的正常運行。

1.1.2 靈活性及可擴展性。根據(jù)醫(yī)院業(yè)務的增長和流程變化，計算機網絡應該可以平滑地擴充、升級和調整，最大程度地減少對網絡架構和現(xiàn)有設備的調整，保護原有建設投資。

1.1.3 安全可管理性。隨著醫(yī)院應用規(guī)模和復雜程度的增加，網絡的管理維護和排除故障也越來越困難。建立一個先進而完善的可管理的網絡，對網絡實行集中監(jiān)測、分權管理，從而保證醫(yī)院業(yè)務的安全可靠運行。而實現(xiàn)安全可管理，往往需要軟硬件結合的方式。

1.2 網絡分離與分層設計。網絡分離是指根據(jù)需要將不同用途的計算機網絡在物理上分開，避免出現(xiàn)一個網絡承載多種業(yè)務，尤其是核心業(yè)務。分層設計即按照接入層→匯聚層→核心層的層次結構進行設計，分層設計利于網絡擴展和靈活布置，對實現(xiàn)網絡有效管理、提高網絡性能、預防病毒攻擊、網絡風暴等有重要作用。

1.3 分階段建設。由于疾控機構信息化建設的特殊性、機構對信息網絡的投入、機構管理層對于信息化建設的認識等原因，疾病預防機構計算機網絡系統(tǒng)的建設不可能一蹴而就，在建設的初期就應該確定“前瞻性、分階段”的建設原則，根據(jù)資金投入和階段目標，兼顧未來發(fā)展趨勢進行建設。

2 網絡構成圖

疾病預防醫(yī)療機構網絡示意圖秉承“網絡分離”的原則，機構的計算機網絡由業(yè)務網(內網)、互聯(lián)網(外網)、醫(yī)保專網等三個相互隔離的網絡系統(tǒng)構成。在每個網絡中，核心交換機均采用企業(yè)級核心交換機，另外有匯聚層交換機，接入層交換機，核心交換機與匯聚交換機之間用千兆光纖進行連接，匯聚交換機與接入交換機之間、接入交換機與工作站之間采用百兆雙絞線進行連接。從地域結構上看，接入層交換機分布在大樓的各層，每棟樓根據(jù)需要設置數(shù)臺匯聚層交換機，為了方便管理，每個匯聚層交換機可設置為一個獨立的虛擬子網。業(yè)務網主要用于承載病區(qū)管理系統(tǒng)、醫(yī)技科室管理系統(tǒng)、藥品管理系統(tǒng)、財務管理系統(tǒng)、物資管理系統(tǒng)、電子病案系統(tǒng)等系統(tǒng)的運行與互聯(lián)網完全隔離，網絡結構穩(wěn)定，用戶行為相對單一。業(yè)務網中心服務器采用兩臺服務器組成雙機熱備系統(tǒng)，實現(xiàn)了當A機死機時，B機能在短時間內實現(xiàn)接管，保證業(yè)務正常運行，同時應建立了遠程異地災備系統(tǒng)。業(yè)務網建立單獨的域，對于接入業(yè)務網的用戶由域服務器進行權限控制，系統(tǒng)管理員按照“分級授權”的原則設定資源訪問權限。在業(yè)務網的管理上，主要是防病毒及協(xié)助用戶使用業(yè)務軟件?；ヂ?lián)網主要為了方便機構醫(yī)務人員查找資料、對外發(fā)布疾控機構有關信息等。由于安全等原因，對接入互聯(lián)網的用戶需要實行相對比較復雜的管理方式，包括根據(jù)建筑物劃分虛擬子網、IP地址綁定、限制訪問區(qū)域、端口屏蔽等有效的措施，同時應針對不同的網絡用戶，設置不同的QOS策略。

3 軟件系統(tǒng)構成

目前，醫(yī)療機構業(yè)務網軟件系統(tǒng)主要有HIS、PACS、LIS、電子病歷系統(tǒng)等，實現(xiàn)了病人從掛號、繳費到出院的全程計算機管理，機構各級領導可通過計算機調閱授權范圍內的數(shù)據(jù)?；ヂ?lián)網除了提供HTTP、FTP等傳統(tǒng)業(yè)務外，開通機構中心內電子期刊系統(tǒng)也很有必要，醫(yī)護人員可以到中心內電子閱覽室查閱電子期刊，也可在開通互聯(lián)網業(yè)務的病區(qū)計算機上查閱資料，使得醫(yī)護人員繼續(xù)教育手段進一步多樣化。為了最大限度發(fā)揮計算機網絡的功能，同時保證網絡安全平穩(wěn)運行，需要使用各種網絡管理軟件及輔助工具。在機構的網絡管理軟件中，主要包括網絡拓撲管理、網上行為管理、流量管理、桌面管理、防病毒軟件等。在這些軟件的安裝布置中，有些是保證網絡安全平穩(wěn)運行所必需的，例如防病毒軟件等，有些是根據(jù)實際工作需要添加的，例如，在實際工作中，根據(jù)統(tǒng)計，我們發(fā)現(xiàn)日常工作的多數(shù)問題是工作站用戶由于操作不當而引起，同時由于各用戶節(jié)點遍及全院各建筑物，因此為了能夠及時處理這些可以通過遠程協(xié)助解決的問題，采用了遠程桌面管理軟件。通過這些工具，實現(xiàn)了準確、及時地處理問題。需要注意的是，對于疾控機構計算機網絡系統(tǒng)而言，在采用一套新的軟件時是需要十分慎重的。在安裝布置一套新軟件之前，需要先詳細地了解該軟件的工作原理、工作性能、健壯性、兼容性等特性。然后在特定范圍內進行試用，針對出現(xiàn)的網絡異常情況(如網速下降、部分掉線等)進行認真分析，確定是否是新軟件引起、是否對網絡安全平穩(wěn)運行構成威脅及如何處理。軟件安裝布置完成后，系統(tǒng)管理員要定時收集網絡性能參數(shù)，對異常及時處理防患于未然。如在ARP攻擊、熊貓燒香等病毒爆發(fā)前，網絡中均會出現(xiàn)比較明顯的異常。

4 網絡管理

4.1 安全管理

對于網絡的安全管理主要由以下幾部分構成：權限管理、防病毒管理、設備管理等。安全管理的基本任務就是對網絡的日常巡查和性能監(jiān)視，如每天察看流量日志、安全日志等并進行認真分析確定有無異常情況，對網絡應用軟件進行及時升級更新。一個核心是制定一套完善可行的管理制度，保證每項工作都有人員具體負責，保證每一次操作都是規(guī)范和允許的。堅持對管理人員、操作人員集中培訓，從而大大降低人為因素引入的安全問題。

4.2 服務管理

在計算機網絡系統(tǒng)建立完成后，系統(tǒng)管理員應該根據(jù)實際運行情況和用戶行為模式制定服務策略。例如，對于互聯(lián)網網絡帶寬的分配，正常辦公時間行政部門對帶寬需求大，那么分配上就要適當傾斜，而在非辦公時間，帶寬就要對電子閱覽室適當傾斜，因為此時有更多的人員去電子閱覽室下載資料、觀看視頻教學等。同時為了保證網絡正常使用，要對P2P應用、網絡電視等進行限制。

4.3 應急管理

計算機網絡系統(tǒng)作為醫(yī)院信息化的基礎工程，從投入使用的第一天起，就應該建立完善的應急管理機制，包括各項制度及措施。應急管理的內容不僅包括出現(xiàn)硬件損壞、線路故障的硬件應急措施，還應該包括異常數(shù)據(jù)流、頻繁掉線等軟件問題。尤其是軟件問題，需要管理員借助專業(yè)的工具進行長時間的觀察和分析才能找到問題所在，因此更需要事先制定詳細的應急處理措施，才能保證業(yè)務系統(tǒng)正常運行，特別是承載信息系統(tǒng)的容災和備份業(yè)務的計算網絡。

5 結語

隨著計算機網絡技術的進一步發(fā)展，網絡速度進一步提高，網絡設備更加多樣化，網絡需求更加復雜，疾病控制機構計算機網絡的設計、運行和維護管理等必將更加復雜。在實際工作中，網絡管理人員應該進一步加強學習，提高業(yè)務素質，深入了解技術和應用發(fā)展趨勢，使計算機網絡更好地為疾病預防控制信息化發(fā)展服務。

[1]黃紹賢.醫(yī)院計算機基礎網絡建設的幾點體會[J].中國醫(yī)院管理，2003,23(8):36-37.

[2]李懷慶等.醫(yī)療信息系統(tǒng)故障應急預案的建立與實施[J].醫(yī)療設備信息，2006,21(10):62-63.

2014-05-30

TP393

B

1002-2376(2014)08-0025-02