郭偉

【摘要】? ? 通過對網(wǎng)絡硬件設備的改造和擴容，解決太和縣人民醫(yī)院信息化建設中工作中新需求，增加網(wǎng)絡安全性和穩(wěn)定性及傳輸速率。通過雙冗余通信服務商光纖線路、堆疊雙活網(wǎng)絡設備保障網(wǎng)絡傳輸，擴充升級設備帶寬滿足遠距離醫(yī)院信息系統(tǒng)互接、PACS上線帶寬提升的工作需求，并通過劃分VALN，擴容核心交換機等方法保證網(wǎng)絡安全和穩(wěn)定性。改造原則：統(tǒng)一規(guī)劃、分步實施、合理配置、穩(wěn)步建設。

【關(guān)鍵字】? ? 醫(yī)院? ? 網(wǎng)絡? ? 改造擴容? ? 實施

一、前言

隨著醫(yī)院信息系統(tǒng)的快速發(fā)展，更多的中小醫(yī)院已從基礎(chǔ)信息化建設發(fā)展成多業(yè)務、多模塊、多病區(qū)互聯(lián)的整體建設，以提高醫(yī)院的服務水平和核心競爭力。從最初的“以藥品、財務為中心”的醫(yī)院基本信息系統(tǒng)向“以電子病歷為核心”的醫(yī)院信息系統(tǒng)轉(zhuǎn)變，醫(yī)院信息化建設已經(jīng)取得了顯著成效。隨著醫(yī)院信息化的不斷深入，醫(yī)院HIS系統(tǒng)、LIS系統(tǒng)、CIS系統(tǒng)、PACS等系統(tǒng)相互融合，醫(yī)院的信息化建設也已經(jīng)從簡單的數(shù)據(jù)業(yè)務應用逐步發(fā)展到數(shù)據(jù)、圖像、視訊等多業(yè)務統(tǒng)一承載，而傳統(tǒng)醫(yī)院網(wǎng)絡已經(jīng)無法滿足新業(yè)務的需求。一個穩(wěn)定、高效、兼容、安全的網(wǎng)絡規(guī)劃建設已迫在眉睫。

二、項目背景與需求

項目基本情況：太和縣人民醫(yī)院是一所國家三級甲等綜合醫(yī)院，實際開放床位1680張?，F(xiàn)擁有南區(qū)、北區(qū)、五星三個病區(qū)。五星病區(qū)距離南區(qū)本部二十公里，此次方案需解決的問題之一為遠距離醫(yī)院信息系統(tǒng)互聯(lián)。

隨著業(yè)務系統(tǒng)的不斷增加，原兩層架構(gòu)交換機接入方式已不能滿足業(yè)務需求。根據(jù)信息化建設需求，實施網(wǎng)絡設備改造升級，擴容核心設備，以提高網(wǎng)絡帶寬速率，保證安全性與穩(wěn)定性，并采用智能管理軟件提高管理效率。

三、建設目標

為保證內(nèi)部網(wǎng)絡系統(tǒng)的安全，采用雙核心樹型三層架構(gòu)。主干網(wǎng)與影像中心萬兆網(wǎng)速、千兆到桌面。所有重要應用服務器，如HIS、LIS、EMR、PACS系統(tǒng)等都部署在內(nèi)部網(wǎng)絡數(shù)據(jù)中心，數(shù)據(jù)中心需要有一定的備份容災能力和入侵防御能力。根據(jù)醫(yī)院發(fā)展需要，解決五星病區(qū)信息系統(tǒng)互聯(lián)需求。

四、實施方案

4.1網(wǎng)絡改造升級方案

太和縣人民醫(yī)院信息系統(tǒng)重要業(yè)務應用全部處于內(nèi)網(wǎng)，網(wǎng)絡平臺的高效以及可靠直接影響到整個醫(yī)院信息化實施，醫(yī)院的多種業(yè)務系統(tǒng)如：門診系統(tǒng)、住院系統(tǒng)、電子病歷系統(tǒng)、PACS影像系統(tǒng)、檢驗等信息系統(tǒng)并行，業(yè)務數(shù)據(jù)量巨大。

內(nèi)網(wǎng)系統(tǒng)采用萬兆主干、千兆到桌面的方式，增大內(nèi)部數(shù)據(jù)交換的帶寬和速率，讓內(nèi)部網(wǎng)絡真正成為信息化效率的助推器。整網(wǎng)設備都部署智能型可管理設備，可以對網(wǎng)內(nèi)不同業(yè)務進行隔離，保證了不同應用系統(tǒng)數(shù)據(jù)不交叉，從基礎(chǔ)上增加了網(wǎng)絡以及應用數(shù)據(jù)的安全性。

考慮到所有區(qū)域樓層交換通過光纖鏈路直接接入核心交換，可能造成核心交換接口數(shù)量過重，為了均衡網(wǎng)絡結(jié)構(gòu)，本次采用三層架構(gòu)，分別為核心層、匯聚層、接入層。核心層作為整網(wǎng)核心，承擔整網(wǎng)數(shù)據(jù)傳輸中樞;匯聚層，在主要區(qū)域進行鏈路匯聚及部分二層流量終結(jié)，減輕核心的接口數(shù)量壓力及部分轉(zhuǎn)發(fā)壓力;接入層，直接面對桌面用，提供線速數(shù)據(jù)傳輸。具體如下圖1所示：

4.2五星病區(qū)網(wǎng)絡設計

與電信、移動業(yè)務提供商簽訂光纖租賃合同，完成南區(qū)到五星病區(qū)物理層連接。五星病區(qū)共有三棟大樓網(wǎng)絡接入，樓宇之間預埋十二芯光纖接入至五星病區(qū)中心機房。中心機房放置兩臺匯聚交換機，用于上聯(lián)核心交換機，下聯(lián)樓宇接入層交換機，做到光纖傳輸鏈路和網(wǎng)絡設備雙冗余保障物理連接。由于五星病區(qū)與南區(qū)本部距離較遠，采用千兆單模40KM光模塊做為連接，以保證傳輸?shù)姆€(wěn)定性和速率。

4.3網(wǎng)絡安全與智能化管理

據(jù)調(diào)查得知，在網(wǎng)絡安全事情中，大部分是發(fā)生局域網(wǎng)內(nèi)的，并且隨著內(nèi)部網(wǎng)絡的龐大化和復雜化，這一比例仍有增長的趨勢，而各類移動設備通過USB接口也成為病毒和木馬的重要入侵手段 。因此內(nèi)網(wǎng)安全一直是網(wǎng)絡安全建設關(guān)注的重點，但是由于內(nèi)網(wǎng)以交換環(huán)境為主、節(jié)點數(shù)量多、分布復雜、終端用戶安全應用水平參差不齊等原因，一直以來也都是安全建設的難點。為應對以上問題，我院在網(wǎng)絡改造的同時也針對網(wǎng)絡安全做出以下布置：

1）劃分VLAN提升網(wǎng)絡安全

我院根據(jù)業(yè)務模塊、物理位置、易于管理等方面仔細分析了子網(wǎng)劃分，確定實施網(wǎng)絡了VLAN劃分方案，把整個網(wǎng)絡劃分成若干虛擬局域網(wǎng)，相互之前通過策略進行訪問與隔離，提高網(wǎng)絡的利用率，確保網(wǎng)絡的安全性，解決從前網(wǎng)絡運行速度較慢的問題。另外，隨著醫(yī)院信息化建設的深入發(fā)展，我院內(nèi)網(wǎng)的計算機數(shù)量也越來越多，為了控制穩(wěn)中有各類攻擊、廣播風暴和提高網(wǎng)絡安全性，也迫切需要實施VLAN 劃分。同時應用網(wǎng)管軟件進一步增強醫(yī)院網(wǎng)絡安全。

2）以防火墻為核心的內(nèi)網(wǎng)訪問控制

為解決傳統(tǒng)基于VLAN和ACL的內(nèi)網(wǎng)訪問控制解決方案的不足，我院采用以防火墻為核心的內(nèi)網(wǎng)訪問控制解決方案。其核心是在核心交換機上擴展SecBlade防火墻模塊，通過SecBlade防火墻模塊對內(nèi)網(wǎng)各個VLAN之間的訪問進行精細化的控制。同時配合交換機的端口隔離特性，實現(xiàn)對同一VLAN內(nèi)終端之間通過策略進行訪問限制。

3）智能管理中心

為提高網(wǎng)絡管理的效率，減輕網(wǎng)絡維護的壓力，在整個內(nèi)網(wǎng)管理上，我院采用H3C智能管理中心進行內(nèi)網(wǎng)設備與用戶的統(tǒng)一管理。應用網(wǎng)管軟件進一步增強醫(yī)院網(wǎng)絡安全質(zhì)量。有了好的硬件網(wǎng)絡基礎(chǔ)還需要好的網(wǎng)管軟件進行輔助，才能達到真正的完全管理，提高網(wǎng)絡監(jiān)控能力，迅速找出網(wǎng)絡故障點和預警將可能發(fā)生的網(wǎng)絡問題，防范于未然。我院改造后的內(nèi)網(wǎng)統(tǒng)一使用 H3C 交換機，上線使用 H3C 智能管理平臺及端點準入控制，采用集中網(wǎng)管方式，對路由器、交換機進行統(tǒng)一管理和維護。網(wǎng)絡維護人員在同一個網(wǎng)絡管理平臺上可輕松對所有設備進行管理監(jiān)控，隨時掌握整個網(wǎng)絡情況和各業(yè)務應用情況。直接在集中監(jiān)控平臺上查看所有服務器的資源、進程、應用、服務進行監(jiān)視，全面了解服務器在線狀態(tài)。對終端電腦進行安全論證，防止非法接入，確保網(wǎng)絡安全。

智能管理平臺是在統(tǒng)一了設備資源和用戶資源管理的平臺框架的基礎(chǔ)上，實現(xiàn)的基礎(chǔ)業(yè)務管理平臺，包括iMC基礎(chǔ)網(wǎng)絡管理和iMC基本用戶和接入管理。iMC基礎(chǔ)網(wǎng)絡管理，涵蓋了傳統(tǒng)網(wǎng)管的主要功能，包括告警管理、性能管理、拓撲管理等。iMC基本用戶和接入管理，主要管理用戶的接入控制。iMC智能管理平臺和ACL Manager等網(wǎng)絡資源管理組件一起構(gòu)成了承載其他業(yè)務的基礎(chǔ)平臺，實現(xiàn)資源、用戶和業(yè)務的融合管理。

五、結(jié)語

整個網(wǎng)絡改造擴容成功后，提高了網(wǎng)絡系統(tǒng)的速率與帶寬，增強了系統(tǒng)穩(wěn)定性與安全性。我院南區(qū)本部與五星病區(qū)實現(xiàn)了安全穩(wěn)定連接，PACS系統(tǒng)平穩(wěn)傳輸。而一旦將來業(yè)務流量變大以后，現(xiàn)有匯聚及核心交換機可以平滑過度為接入、匯聚交換機;并且所有設備可以與其他產(chǎn)品組合兼容，成為一個高性能、易擴展的平臺，不僅節(jié)約了醫(yī)院的網(wǎng)絡投資成本，而且為我院后續(xù)業(yè)務的快速發(fā)展奠定了堅實的基礎(chǔ)。

參? 考? 文? 獻

[1]作者：紀亞亮 文獻題名：一院兩址網(wǎng)絡割接改造方案的設計與實施? 刊名：《醫(yī)療衛(wèi)生裝備》2018年39卷6期 55-57，90頁

[2]作者：王玉珍 [1] 李洪威 [1] 武旭紅 [1] 文獻題名：醫(yī)院網(wǎng)絡及數(shù)據(jù)中心升級改造研究 刊名：《中國醫(yī)療設備》2018年33卷9期 141-143，157頁

[3]作者：蘇悅洪 [1] 李彬 [1] 石文娟 [1] 任忠敏 [1] 何彩升 [1] 文獻題名：醫(yī)院業(yè)務系統(tǒng)硬件平臺信息化建設與改造 刊名：《醫(yī)學信息學雜志》2017年38卷1期 41-44頁