梁富宏，柯金偉，陳玲莉，楊威，薛新軍，施毅

（浙江和仁科技股份有限公司）

醫(yī)院網(wǎng)絡建設內外網(wǎng)合與分之優(yōu)化方案

梁富宏，柯金偉，陳玲莉，楊威，薛新軍，施毅

（浙江和仁科技股份有限公司）

通過綜合運用綜合布線系統(tǒng)、網(wǎng)絡交換系統(tǒng)、網(wǎng)絡安全系統(tǒng)等網(wǎng)絡相關系統(tǒng)主流技術及相關高級特性，在醫(yī)院網(wǎng)絡建設內外網(wǎng)分開和內外網(wǎng)合一的通行做法中，以綜合布線系統(tǒng)維護、網(wǎng)絡設備投入與維護、信息共享與安全為著眼點，結合多年網(wǎng)絡規(guī)劃、實施經(jīng)驗，提出一種新的思路并對部分實施的關鍵細節(jié)進行論述，在成本、安全、維護等方面取得一個平衡點，據(jù)此可以削減部分設備投入，提高醫(yī)院網(wǎng)絡的可維護性，網(wǎng)絡安全亦得到保障，同時減輕醫(yī)院IT人員的工作量。

醫(yī)院網(wǎng)絡；內網(wǎng)；外網(wǎng)；布線系統(tǒng)；網(wǎng)絡結構；網(wǎng)絡規(guī)劃；VLAN隔離；安全隔離

1 引言

在醫(yī)院、政府等領域的網(wǎng)絡系統(tǒng)設計中，經(jīng)常會提到內網(wǎng)、外網(wǎng)、專網(wǎng)等概念，與平時所說的內網(wǎng)、公網(wǎng)、外網(wǎng)等概念有所區(qū)別。在教材中，內網(wǎng)一般是指單位內部、園區(qū)內部的計算機網(wǎng)絡；外網(wǎng)、公網(wǎng)一般指互聯(lián)網(wǎng)。但對醫(yī)院、政府等單位的網(wǎng)絡系統(tǒng)而言，內網(wǎng)是指單位內部的關鍵業(yè)務網(wǎng)，通常與互聯(lián)網(wǎng)物理隔離，供內部人員訪問單位自身的業(yè)務系統(tǒng)；外網(wǎng)是指單位內部的非關鍵業(yè)務網(wǎng)，通常經(jīng)路由器、防火墻等設備與互聯(lián)網(wǎng)連接，供內部人員訪問互聯(lián)網(wǎng)使用；專網(wǎng)是指政府內部某些部門的專有網(wǎng)絡，比如機要網(wǎng)、設備專用網(wǎng)等。具體定義如下：

1）醫(yī)院內網(wǎng)，是指承載醫(yī)院信息化業(yè)務應用系統(tǒng)的網(wǎng)絡，為HIS、PACS、LIS等醫(yī)療業(yè)務系統(tǒng)提供基礎網(wǎng)絡環(huán)境，是關鍵業(yè)務網(wǎng)絡；

2）醫(yī)院外網(wǎng)，是指為醫(yī)院醫(yī)護人員、患者提供互聯(lián)網(wǎng)接入服務的網(wǎng)絡，是非關鍵業(yè)務網(wǎng)絡；

3）內外網(wǎng)合一，是指醫(yī)院只建設一套網(wǎng)絡，承載醫(yī)院信息化業(yè)務應用系統(tǒng)，同時為醫(yī)護人員、患者提供互聯(lián)網(wǎng)接入服務；

4）內外網(wǎng)分開，是指醫(yī)院建設兩套網(wǎng)絡，一套為內網(wǎng)，用于承載醫(yī)院信息化業(yè)務應用系統(tǒng)；一套為外網(wǎng)，用于為醫(yī)護人員、患者提供互聯(lián)網(wǎng)接入服務。

當前的醫(yī)院網(wǎng)絡系統(tǒng)設計，內外網(wǎng)分開和內外網(wǎng)合一都有其存在的理由，業(yè)界并無統(tǒng)一意見。

2 醫(yī)院網(wǎng)絡需求

關于醫(yī)院網(wǎng)絡建設需求，經(jīng)過這么多年的發(fā)展、實踐，已經(jīng)比較清晰，這里簡單列舉幾條：

1）醫(yī)護人員訪問互聯(lián)網(wǎng);

2）患者及家屬訪問互聯(lián)網(wǎng);

3）承載醫(yī)院信息化業(yè)務應用系統(tǒng);

4）對接各級醫(yī)療保險系統(tǒng);

5）醫(yī)院提供網(wǎng)上服務，包括：網(wǎng)上預約；網(wǎng)上掛號；網(wǎng)上查看化驗結果；遠程醫(yī)療；遠程辦公。

3 合與分優(yōu)劣分析

3.1 內外網(wǎng)分開

內外網(wǎng)分開，是指醫(yī)院的內網(wǎng)和外網(wǎng)物理上分開，科室里面的信息點明確標識內網(wǎng)點、外網(wǎng)點；樓層設備間里面的線纜也分開，接入不同的配線機柜或者同一機柜的不同區(qū)域，比如靠上是內網(wǎng)區(qū)，靠下是外網(wǎng)區(qū)；交換機也分為內網(wǎng)交換機和外網(wǎng)交換機；主干光纜也分內網(wǎng)主干和外網(wǎng)主干；核心交換機、路由器、防火墻、服務器等設備也都全部分開?？傊仟毩⒌膬商紫到y(tǒng)。其優(yōu)點有：

1）內網(wǎng)為關鍵業(yè)務網(wǎng)，僅供相關人員接入，管理得好，安全上較有保障；

2）內外網(wǎng)物理分開，即便內網(wǎng)有些漏洞或者配置失誤，不易被人利用；

3）外網(wǎng)濫用，對內網(wǎng)不構成威脅。

其缺點有：

1）布線系統(tǒng)維護較為復雜，由于項目建設完成時，布線系統(tǒng)均已按照當時的需求配線、理線完畢，眾多線纜已經(jīng)捆扎、固定。如果后期想將內網(wǎng)點改成外網(wǎng)點或者外網(wǎng)點改成內網(wǎng)點，需要重新跳線到相應的內外網(wǎng)交換機，重新理線，如果手法不專業(yè)，久而久之，必將引起配線混亂；布線系統(tǒng)維護需要投入更多的人力物力；

2）終端維護較為困難，雖然現(xiàn)在很多項目，會用不同的顏色標識內網(wǎng)點和外網(wǎng)點，然而對醫(yī)護人員來說，仍然可能混淆內外網(wǎng)點，從而出現(xiàn)差錯；

3）部分科室人員的計算機需要重復投入，內外網(wǎng)各一臺；

4）醫(yī)院部分業(yè)務對互聯(lián)網(wǎng)用戶開放是一種趨勢，比如網(wǎng)上預約、網(wǎng)上掛號、網(wǎng)上查看檢查結果等，這些需要將數(shù)據(jù)從內網(wǎng)引入外網(wǎng)，采用什么樣的技術手段，既能維持內外網(wǎng)分開運行，又能方便地進行數(shù)據(jù)共享，這需要仔細斟酌；

5）醫(yī)院一般都是內網(wǎng)點遠多于外網(wǎng)點，由于布線系統(tǒng)設計及日后設備采購、維護的需要，內外網(wǎng)設備系列、型號基本一致，勢必導致設備利用率低下，比如某些設備間覆蓋的外網(wǎng)點只有幾個，然而也需要配備獨立的主干光纖、交換機等；

6）防火墻、路由器、網(wǎng)絡管理軟件等部件重復投入；

7）內網(wǎng)為關鍵業(yè)務網(wǎng)，但遠程維護等相關管理功能比較難以開展，不利于提高系統(tǒng)維護效率。

3.2 內外網(wǎng)合一

內外網(wǎng)合一，是指醫(yī)院的內網(wǎng)和外網(wǎng)物理上合為一體，只有獨立的一套系統(tǒng)，關鍵業(yè)務系統(tǒng)和非關鍵業(yè)務系統(tǒng)混雜在一起。其優(yōu)點有：

1）布線系統(tǒng)維護簡單，信息點功能改變時只需在交換機上調整，不需改動物理線路；

2）不存在內外網(wǎng)數(shù)據(jù)共享困難的問題；

3）終端用戶面對一張網(wǎng)絡，無需區(qū)分內外網(wǎng)，避免混淆問題；

4）防火墻、路由器、網(wǎng)絡管理系統(tǒng)等關鍵設備，無需分開投入，成本較低，設備利用率較高；

5）網(wǎng)絡設備維護較為方便，特別是遠程維護更加容易開展，可以靈活開展多種系統(tǒng)維護工作，提高故障處理效率；

其缺點有：

1）計算機病毒防范要求更高；

2）計算機木馬泛濫，需提防對醫(yī)院業(yè)務系統(tǒng)有意/無意的侵害；

3）網(wǎng)絡安全需要投入更多精力；

4）業(yè)務系統(tǒng)混雜在一起，由于接入互聯(lián)網(wǎng)的終端可能引入病毒、木馬等安全隱患，需要網(wǎng)絡管理部門在網(wǎng)絡安全方面投入更多，并對業(yè)務系統(tǒng)的安全隔離做更加細致的工作；

5）需要大量訪問控制列表，而訪問控制列表的編寫、測試、改動是非常麻煩的事情；

6）外網(wǎng)濫用，可能在安全、性能上對業(yè)務系統(tǒng)造成壓力。

4 新的架構

我們在多年的醫(yī)院網(wǎng)絡項目建設過程中，接觸了很多內外網(wǎng)分開和內外網(wǎng)合一的業(yè)主，體會到其中的困惑與憂慮。也嘗試提出一些建議，得到部分業(yè)主的認同，并加以實施。

我們分析了內外網(wǎng)分開和內外網(wǎng)合一的優(yōu)劣，考慮到業(yè)務系統(tǒng)的應用趨勢，對內外網(wǎng)合一的架構做了優(yōu)化，形成一種新的醫(yī)院網(wǎng)絡架構，為了表述方便，姑且稱為Y型架構。

4.1 Y型架構出發(fā)點

Y型架構主要基于以下幾點進行考慮：

1）解決網(wǎng)絡建成后，后續(xù)維護造成布線系統(tǒng)混亂的問題；

2）減少網(wǎng)絡需求變更對布線系統(tǒng)的改動；

3）減少維護人員的簡單重復工作量，將更多精力投入網(wǎng)絡應用保障工作；

4）在不考慮電磁輻射等物理層面的安全問題前提下，提高醫(yī)院業(yè)務系統(tǒng)的安全性并減少醫(yī)院投入；

5）規(guī)避物理隔離的概念，解決內外網(wǎng)之間信息共享與安全隔離的矛盾；

6）醫(yī)護人員的日常業(yè)務工作，對互聯(lián)網(wǎng)依賴性比較小，因此對分布接入層的性能需求較低，不會對內網(wǎng)性能需求產(chǎn)生太多影響；

7）行政辦公及后勤人員的日常工作對互聯(lián)網(wǎng)依賴性相對較大，但該區(qū)域的醫(yī)護人員較少，對內網(wǎng)性能需求較低，綜合起來對分布接入層的性能影響不會太大；

8）外網(wǎng)出口一般以10M/100M為主，分攤到全院，各網(wǎng)絡主干上的外網(wǎng)數(shù)據(jù)流不會太大，對千兆/萬兆主干網(wǎng)來說，比例很小，不會成為網(wǎng)絡擁塞的關鍵因素；

9）外網(wǎng)依附在內網(wǎng)上，內網(wǎng)是主導。

4.2 Y型架構水平布線

Y型架構的綜合布線系統(tǒng)只需一套，從這點來說，類似內外網(wǎng)合一的架構。綜合布線系統(tǒng)設計時，按需求進行內外網(wǎng)信息點布點，并分開統(tǒng)計，工作區(qū)的點位可以使用可變標簽標識內外網(wǎng)，在后續(xù)使用過程中，變更量不會太大，內外網(wǎng)信息點進行標識更容易維護。IDF水平布線打線時，內外網(wǎng)分開，但又連成一體，先內網(wǎng)后外網(wǎng)，這樣內外網(wǎng)點位集中，方便識別、維護，交換機端口配置比較清晰。

4.3 Y型架構主干布線

Y型架構中，內網(wǎng)是主導，主干布線系統(tǒng)以內網(wǎng)需求為準進行設計，內外網(wǎng)數(shù)據(jù)合用主干線路。

4.4 Y型架構接入層

Y型架構的接入層交換機內外網(wǎng)合用，以該IDF的內外網(wǎng)信息點合計數(shù)量來設計接入交換機數(shù)量，并以內網(wǎng)的需求來設計IDF上聯(lián)端口。

接入層交換機的管理VLAN歸入內網(wǎng)，根據(jù)內外網(wǎng)信息點跳線的情況，將相應的交換機端口歸入各自的內外網(wǎng)VLAN，即通過VLAN號區(qū)分內外網(wǎng)。

內外網(wǎng)信息點功能變更時，比如外網(wǎng)點改成內網(wǎng)點或者內網(wǎng)點改成外網(wǎng)點，物理上不需要改動，僅需將該信息點所在交換機端口所屬的VLAN號進行相應的變更即可，從而避免內外網(wǎng)分開引發(fā)的弊端。

4.5 Y型架構匯聚層

Y型架構的匯聚層交換機內外網(wǎng)合用，通過VLAN號區(qū)分內外網(wǎng)，交換機管理VLAN歸入內網(wǎng)，以內網(wǎng)的需求來設計匯聚交換機的配置、性能、上聯(lián)端口和下聯(lián)端口等。

當內網(wǎng)規(guī)模較大，需要做三層匯聚時，僅允許內網(wǎng)VLAN在匯聚交換機終結，外網(wǎng)VLAN號只能從匯聚交換機透傳，不允許在此終結。

4.6 Y型架構核心層

Y型架構需要將內外網(wǎng)核心分開，以內網(wǎng)的需求來設計內網(wǎng)核心層的架構、設備性能及配置等，以外網(wǎng)的需求來設計外網(wǎng)核心層的架構、設備性能及配置等。

為了解決內外網(wǎng)信息共享問題，需要在核心層考慮信息共享的方式及技術，據(jù)此調整內外網(wǎng)核心層設備的清單、配置，比如外網(wǎng)VLAN號需要從內網(wǎng)核心交換機透傳到外網(wǎng)核心交換機，必然導致內外網(wǎng)核心交換機之間需要互連，而需要增加相應的模塊、端口、線纜等。

核心層的關鍵點在于分離并終結內外網(wǎng)的VLAN。內網(wǎng)核心交換機允許內網(wǎng)VLAN終結，而僅允許外網(wǎng)VLAN透傳，不允許外網(wǎng)VLAN終結。內網(wǎng)核心交換機與外網(wǎng)核心交換機互連的端口，僅允許外網(wǎng)VLAN通過。外網(wǎng)核心交換機僅允許外網(wǎng)VLAN進入并終結。

4.7 Y型架構IP規(guī)劃

Y型架構的IP規(guī)劃，需要做兩套，一套內網(wǎng)，一套外網(wǎng)，從這個層面講，類似于內外網(wǎng)分開的架構。內外網(wǎng)的IP規(guī)劃，參照內外網(wǎng)分開的架構，各自按自己的需求進行。需要注意的是：內網(wǎng)IP規(guī)劃，覆蓋接入層、匯聚層、核心層設備；而外網(wǎng)IP規(guī)劃僅限于核心層，匯聚層、接入層僅為外網(wǎng)數(shù)據(jù)提供二層通道。

從OSI七層模型上看，內外網(wǎng)僅在物理層合并，數(shù)據(jù)鏈路層及以上均隔離，內外網(wǎng)不能直接通信。

5 實踐細節(jié)

為了方便大家更加深入地理解Y型架構，并對它的可操作性有所了解，下面將從布線、設備、規(guī)劃幾方面介紹一下。

5.1 布線系統(tǒng)

1）布線系統(tǒng)設計時，按照內外網(wǎng)需求分別布點、統(tǒng)計，并以IDF為單位合計；

2）以IDF為單位，計算配線架、理線架、模塊等布線產(chǎn)品的數(shù)量；

3）以內網(wǎng)的拓撲結構，設計主干布線系統(tǒng)；

4）建設時內外網(wǎng)分區(qū)連續(xù)打線；

5）建設時內外網(wǎng)分區(qū)連續(xù)跳線。

5.2 網(wǎng)絡設備

1）以IDF合計的點位表，計算接入層交換機的數(shù)量及附件；

2）以內網(wǎng)的拓撲結構，設計接入層、匯聚層；

3）按照內網(wǎng)的需求，設計內網(wǎng)核心交換機、防火墻、路由器等內網(wǎng)核心設備，注意：接入層、匯聚層接入內網(wǎng)核心交換機；

4）按照外網(wǎng)的需求，設計外網(wǎng)核心交換機、防火墻、路由器等外網(wǎng)核心設備，注意：接入層、匯聚層與外網(wǎng)核心交換機不能直接連接；

5）內網(wǎng)核心交換機與外網(wǎng)核心交換機需要互連，據(jù)此調整內外網(wǎng)核心交換機的端口、模塊配置等；

6）根據(jù)內外網(wǎng)信息共享的需求，設計調整內外網(wǎng)防火墻、路由器的互連功能及相應的端口、模塊配置。

核心層設備連接示意圖如圖1所示。

5.3 網(wǎng)絡規(guī)劃

1）網(wǎng)絡規(guī)劃以內網(wǎng)為主導，包括管理VLAN等，外網(wǎng)依附于內網(wǎng)；

2）按照內網(wǎng)的拓撲結構、需求進行規(guī)劃，包括接入層、匯聚層、核心層、防火墻、路由器等；

圖1 Y型架構核心層設備互聯(lián)示意圖

3）按照外網(wǎng)的需求進行規(guī)劃，包括核心層、防火墻、路由器等。

5.3.1 VLAN隔離

1）關鍵是不能通過外網(wǎng)對接入交換機、匯聚交換機、內網(wǎng)設備進行配置；

2）外網(wǎng)能控制的設備，僅為外網(wǎng)核心交換機、防火墻、路由器等；

3）外網(wǎng)即使知道內網(wǎng)規(guī)劃，仍不能通過操作交換機進入內網(wǎng)；

4）外網(wǎng)核心交換機即使創(chuàng)建內網(wǎng)VLAN及內網(wǎng)VLAN路由接口，仍不能進入內網(wǎng)；

5）接入層、匯聚層交換機管理VLAN號采用1以外的VLAN ID，避免使用默認管理VLAN ID，導致外網(wǎng)竄入；

6）內外網(wǎng)VLAN ID不能重疊，并在內外網(wǎng)核心交換機互連端口上，嚴格限定透傳到外網(wǎng)核心交換機的VLAN ID；

7）內外網(wǎng)VLAN隔離的控制權在內網(wǎng)，因此需要做好內網(wǎng)設備管理權的約束：內網(wǎng)VLAN不能透傳到外網(wǎng)核心；外網(wǎng)VLAN不能在接入、匯聚、內網(wǎng)核心上終結。

內外網(wǎng)VLAN隔離示意圖如圖2所示。

5.3.2 信息共享

內外網(wǎng)信息共享可選方式和技術比較多，不同的安全需求有不同的做法，這里僅列舉常規(guī)的做法，以投入不多、維護簡便、技術常見為目標：

1）外網(wǎng)只能通過防火墻、路由器接入內網(wǎng)的防火墻、路由器；

2）內網(wǎng)防火墻、路由器把外網(wǎng)歸入非信任區(qū)，內網(wǎng)訪問外網(wǎng)須經(jīng)NAT；

3）外網(wǎng)訪問內網(wǎng)，需要內網(wǎng)將相應服務端口映射出來，不能直接路由訪問；

4）嚴格控制內網(wǎng)可以訪問的外網(wǎng)資源，做NAT時嚴格限定源地址和目的地址、目的端口；

5）位于內網(wǎng)的網(wǎng)管系統(tǒng)，通過NAT訪問外網(wǎng)設備；

圖2 Y型架構內外網(wǎng)VLAN隔離示意圖

6）外網(wǎng)設備通過端口映射使用內網(wǎng)網(wǎng)管服務，如認證服務、記賬服務、traps服務等；

7）外網(wǎng)配備VPN服務器，遠程管理員撥入VPN服務器，以VPN服務器為跳板，作為外網(wǎng)的一員訪問內網(wǎng)；

8）VPN服務器僅將本地桌面共享給遠程管理員，遠程管理員的任何操作，本地用戶均可通過顯示器監(jiān)視。

內外網(wǎng)信息共享示意圖如圖3所示。

6 結束語

網(wǎng)絡安全是個系統(tǒng)工程，網(wǎng)絡建設的需求多種多樣，可選的構建手段也非常豐富，本文不能面面俱到，僅圍繞常規(guī)的內外網(wǎng)分開和內外網(wǎng)合一兩種架構所面臨的一些困惑與隱患，而提出自己的優(yōu)化思路，為醫(yī)院網(wǎng)絡建設多提供一種可選方案。

The Optimization Project of Separate and Combined Internal and External Network in Hospital Network Construction

LIANG Fu-hong, KE Jin-wei, CHEN Ling-li, YANG Wei, XUE Xin-jun, SHI Yi
（Zhejiang Heren Technology Inc.）

Through integrated use of integrated wiring system, network switching system and network security system’s mainstream technology and related advanced features, separate and combined internal and external networks in the construction of the hospital network as the common practice, focus on the integrated wiring system maintenance and network equipment investment and maintenance, information sharing and security, combined with years of network planning and implementation experience, propose a new idea and discuss partially implemented key details, get the balance between cost, security and maintenance, in order to reduce some of the equipment investment,improve the maintainability of the hospital network and guarantee the network security, meanwhile reduce the workload of hospital IT staff.

hospital network; internal network; external network; wiring system; network construction; network planning; VLAN isolation;security isolation

10.13655/j.cnki.ibci.2015.07.018

圖3 Y型架構內外網(wǎng)信息共享示意圖