我院網絡系統的改造與實現

鄒玉蓉

復旦大學附屬華山醫院 信息科，上海200040

我院網絡系統的改造與實現

鄒玉蓉

復旦大學附屬華山醫院 信息科，上海200040

本文對我院計算機網絡現狀和需求進行了分析，提出合理的設計方案并實現。通過網絡改造，使醫院網絡升級成為雙核心、三層網絡架構，滿足了醫院現有各個應用系統對網絡的需求。同時增強了網絡的穩定性、安全性、可靠性以及可管理性。

醫院網絡； 網絡改造； 雙核心 ；三層網絡架構

0 前言

現代化醫院除了醫療技術現代化、設備現代化，信息和管理手段也要現代化[1]。醫院信息化程度，標志著一個醫院的發展水平。醫院信息化發展的目標之一就是整合醫院的各種資源，為醫院的醫療、科研、教學搭建一個共享平臺[2]。

華山醫院是一個集醫療、科研、教學于一體的三級甲等醫院，現有核定床位1216張，全院每年門急診就診病人220余萬人次，住院病人4萬余人次。醫院自2000年上線HIS 系統以來，已陸續上線了LIS、PACS、RIS 等系統。經過前期的信息化建設，建成了基本適應醫院應用系統要求的網絡基礎平臺。然而，隨著近兩年應用系統的快速發展、用戶數量的不斷增加、醫療數據的急劇膨脹，現有的醫院網絡架構已經顯露出不能更好地適應醫院信息化管理發展需求的跡象。

隨著醫療行業信息化的發展，為了認真貫徹衛生部召開的關于加快醫衛系統信息化建設及管理的會議精神，進一步推進醫院的信息化建設，提高華山醫院信息化應用的管理水平，使醫院經濟效益和社會效益雙豐收，逐步加快醫院的信息化建設步伐，網絡系統改造刻不容緩。本文主要介紹通過對華山醫院網絡系統的改造設想與實現路徑，使得網絡系統更加趨于合理、可靠、穩定、安全，性能更優越，可管理性更強，滿足醫院信息化管理不斷發展的需要。

1 改造前網絡系統分析

醫院原有網絡系統核心，通過兩臺C4506和C4006思科路由交換機負責全院核心數據的轉發和交換，兩臺核心設備分別通過單鏈路互聯全院各樓宇的思科接入層交換機，同時預留備份線路（如圖1）。全網采用千兆主干鏈路，百兆接入到桌面的網絡架構，實現醫院內各種醫療信息系統的數據傳輸，滿足基本的醫院業務和辦公需要。

隨著醫院應用系統的不斷深入發展，原有的網絡系統已經不能滿足醫院的應用需要,網絡系統主要存在以下問題：

圖 1 改造前網絡系統構架

(1)網絡架構本身的不足。改造前的網絡架構是二層結構，其優點是交換速度快，缺點是容易引起廣播風暴，甚至導致網絡癱瘓，而且不能處理不同IP子網之間的數據交換[3]。這種網絡結構扁平，沒有層次化概念。由于醫院網絡的規模在不斷擴大，工作站增加到幾百臺甚至上千臺的時候，網絡性能就會明顯下降，在數據傳輸高峰期網絡整體速度緩慢，嚴重時將會影響醫院業務開展。

(2)網絡設備硬件老化，維護不便。改造前網絡系統中大部分設備已經屬于數年前的產品，其交換容量及其擴展性有限，特別是核心設備即將或者已經到達規定使用年限，廠方給定的質保期限也已經過期，其中C4006已屬于停產設備，這樣的設備架構使得返修更換過程耗時過長，網絡一旦出現問題，恢復周期將會過長。

(3)缺乏網絡管理措施和方法。改造前網絡系統中所有設備處在一個網段中，因設備本身原因，網絡中未采用任何管理措施，病毒、攻擊行為在網絡中大量存在，這是最常見、最普遍的網絡安全隱患[4]，對網絡的穩定提出了挑戰。

可見網絡穩定性、網絡傳輸帶寬、網絡安全、網絡管理等問題日趨嚴峻，各種醫院信息系統的開展受到了現有網絡系統傳輸平臺的制約。因此，需要通過提升基礎網絡平臺的穩定性、傳輸帶寬、安全性和可管理性等，促進醫院信息化建設的進一步發展[5]，為到我院就診的患者提供更高質量的服務，同時提升我院自身的信息化管理水平，逐步提升我院整體的經濟效益和社會效益。

2 改造網絡系統的需求分析

數字化醫院是現代醫療發展的趨勢，能否提供更便捷、更系統的服務已成為醫院贏得市場的關鍵[6]。因此醫院的網絡建設尤其重要，是建設數字化醫院的基礎工程[7]。為了提升我院的整體醫療服務水平，提升醫院各種醫療應用系統的服務效率，需要從以下幾個方面考慮醫院網絡系統平臺的建設。

(1)網絡穩定需求分析。醫療行業是關系到病人生命安危的重要行業，醫院的各種應用系統和基礎設備都要保證超高的穩定性。系統的穩定性（7×24h穩定、可靠、持續運行）是投入運行的醫療系統的生命線。

同時，對于門診這樣提供給病人及時性服務的重要區域，如果網絡系統無法保障穩定可靠，在故障情況下，將造成大量的門診病人無法進行門診掛號、收費、取藥等，會造成大量的病人滯留門診大廳，不僅造成醫院嚴重的經濟損失，也會給醫院的社會效應造成極大的負面影響。因此，穩定的網絡系統建設是醫院各種應用系統開展的根本保障，是降低醫院目前出現的“三長一短”問題的根本性措施之一[8]。

怎樣的網絡結構能夠保證整個網絡的穩定、可靠，保證在單點故障的情況下不會對整個網絡造成沖擊，保證核心、骨干設備在出問題的時候能夠無縫的恢復或切換，這些都是醫院網絡系統建設的最根本需要。

(2)網絡性能需求分析。目前醫院的應用系統主要是以HIS為主，同時還有諸如LIS、PACS、RIS等其他臨床信息系統，各種系統對網絡的性能都有不一樣的需要。

HIS、LIS的應用主要是以數據信息為主，雖然信息量不大，但是對于基礎架構的可靠性和安全性需要較高，對服務質量也有一定的要求。

PACS、RIS等信息系統的應用內容則較為豐富。除了一般文字信息外，醫療應用數據包含大量的圖形、視頻和語音信息。這就要求有足夠的傳輸帶寬來滿足急劇增長的數據流量，要求安全、可靠、保證服務質量和高性能，需要同時支持語音、視頻和數據等多種業務，又要方便以后的擴展。在某些關鍵應用上，對于服務質量、高性能、高可用性都提出了很高的需求。

(3)網絡安全需求分析。醫院信息系統的安全性包括實體安全、網絡安全、傳輸安全、用戶安全[9]。衛生部新《規范》重點強調了系統的可靠性和安全性問題，要求門診系統恢復時間在5～10min之內，系統支持7×24h工作，關鍵設備必須有備份系統。一般網絡和服務器等硬件設備在2～3年之內不易出現故障，這使人們容易心存僥幸。一旦關鍵設備發生故障，又沒有備用設備或備用鏈路，將造成重大損失。

目前，網絡系統中蠕蟲病毒、掃描攻擊、ARP等攻擊越來越普遍，而這些攻擊將直接導致網絡系統癱瘓和中斷，給醫院的正常業務開展造成非常嚴重的影響。如何通過有效的手段控制和防御網絡病毒和攻擊，是醫院在進行網絡建設時必須思考的問題。

醫院的信息主要是以病人的病例、處方和醫囑等信息為主，醫院有義務保障病人的信息安全，保證病人的信息不被沒有必要的部門或人員查看，同時也要保證信息不能外傳。醫院的信息必須要被保存7～21年甚至更長時間。因此，如何保證整個系統的保密性、完整性、可用性、可審核性也是醫院信息系統安全性的一部分。

(4)網絡規劃需求分析。隨著醫院信息化建設的深入發展，醫院應用服務的不斷增加，數據中心作為醫院的各種應用系統的“大腦”，需要保障極高的穩定性和可靠性，為醫院的各種應用服務提供持續不斷的數據傳輸服務[10]。通過合理的數據中心規劃，提升醫院應用服務“大腦”的穩定性和可靠性，為醫院各種應用服務提供不間斷的數據響應需求。

在醫院規模不斷擴展的同時，醫院的網絡接入信息點數也在不斷擴展，網絡規模逐漸增大，網絡管理和網絡安全問題日趨嚴峻。如何通過合理的網絡系統規劃，通過隔離廣播風暴等垃圾數據，提升醫院大型網絡系統的穩定性和可靠性，結合合理的安全策略規劃，實現醫院各科室對網絡資源的受控訪問，是醫院網絡規劃中必須考慮的問題。

(5)網絡管理需求分析。隨著網絡規模的不斷擴大，網絡覆蓋范圍的不斷延伸，網絡設備數量和種類也在不斷的增加。需要通過有效的網絡流量和網絡故障監控，及時發現網絡中存在的各種故障和隱患，以便能夠通過快速故障處理，有效的排除網絡故障，降低網絡使用風險，確保各種業務的正常開展。同時，先進的網絡管理，不僅可以極大的降低醫院信息科的網絡維護和管理難度，對于HUB和非網管設備在醫院內部的受控使用，也可以有效的降低內部網絡的安全風險，提升醫院內部網絡系統的可靠性。

另外，隨著網絡接入終端數量的不斷增加，需要對網絡接入用戶實現嚴格的接入控制，確保只有內部的合法人員才能夠接入內部網絡，防止非法用戶私自接入內部網絡系統，確保醫院內部重要信息的安全，同時提升信息科對醫院內部用戶的管理水平，保障網絡的高安全性。

3 改造網絡系統的設計

此次醫院網絡系統改造將以建設數字化醫院的網絡基礎平臺為目標，采用“核心+匯聚+接入”的三層網絡架構，在考慮網絡系統基礎平臺的穩定、安全等根本需求的同時，也要考慮一定先進性和網絡資源預留，為后期各種網絡應用系統的部署奠定堅實的基礎。

網絡系統設計通過采用銳捷網絡基于10萬兆平臺的核心路由交換機，完成全網的數據轉發和控制，通過兩臺S8610核心路由交換機，雙鏈路下聯1號樓、2號樓、3號樓、6號樓、8號樓和江蘇路分部的萬兆匯聚設備S6506（如圖2）。同時，為了保障門診收費區域的全面可靠性，門診收費區域通過雙匯聚設備上聯兩臺核心交換機，保障門診收費區域的7×24h的可靠性。

為了確保住院區域大流量數據傳輸的需要，方案設計2號樓通過單條萬兆鏈路上聯網絡核心層，千兆鏈路為備份，實現鏈路的冗余備份和負載分擔。同時，核心層網絡中心兩臺核心交換機之間，通過萬兆鏈路實現核心之間的高速數據交互，確保全網大流量數據跨樓宇轉發的需要。

為了為醫院的各種應用服務提供持續不間斷的數據服務響應，通過設計兩臺萬兆數據中心交換機S5750，通過雙鏈路上聯網絡核心層，實現數據中心鏈路和設備的冗余備份，同時為后期擴展基于IP的存儲奠定基礎。

為了確保未來各種基于視頻等的大流量數據服務傳輸需求，此次網絡設計，全網接入設備采用銳捷網絡的全千兆接入層交換機S2924G，通過分布在各樓層的全千兆接入交換機，實現千兆上聯各樓宇的匯聚設備，通過千兆接入到桌面，為醫院未來大流量多媒體應用奠定了網絡高帶寬接入平臺。

為了能夠對網絡中的數據流量和設備狀況進行實時的監控，降低網絡故障風險。同時，實現對全院用戶的入網身份管理，確保入網用戶的合法性。今后將會通過在網絡中心部署網絡設備管理系統StarView和網絡安全認證管理平臺SAM，實現對全網設備和用戶的監控和管理，提升網絡的安全性和可靠性。

圖 2 醫院網絡系統拓撲示意圖

4 改造醫院網絡系統的實現和經驗總結

基于上述的網絡系統改造設計方案，全面更改和規劃了醫院的內網網絡，其具體實現如下：

(1)網絡核心層配置兩臺銳捷的RG-S8610核心路由交換機，實現網絡的核心的冗余備份；配置M8600-24SFP/12GT×2塊，實現各匯聚層交換機、服務器交換機等的千兆上聯；配置M8600-02XFP×2塊，實現核心與核心之間，以及核心與2號樓之間的萬兆光纖連接。

(2)數據服務器交換機共配置兩臺銳捷的RG-S5750-24GT/12SFP，通過全千兆光纖鏈路上聯核心設備，以及兩臺數據服務器交換機之間的互聯，在提供全千兆的光口和電口的同時，提供基于萬兆帶寬的擴展，通過擴展萬兆模塊，實現萬兆鏈路的互聯。

(3)匯聚交換機共配置7臺銳捷的RG-S6506萬兆骨干路由交換機；配置M6506-12SFP/GT接口模塊8塊，實現單鏈路千兆光纖下聯網絡接入交換機，雙鏈路分別上聯兩臺網絡核心交換機，實現骨干網絡的冗余備份；其中2號樓的匯聚交換機配置M6506-01XENPAK×1塊，實現2號樓上聯網絡核心層以萬兆鏈路為傳輸主干，千兆鏈路為備份鏈路的冗余備份架構。

(4)接入交換機共配置34臺銳捷的RG-S2924G全千兆接入交換機，實現網絡終端的全千兆接入，以及接入層交換機的千兆上聯需要。

(5)網絡用戶接入控制系統配置RG-SAM安全認證管理系統，實現對接入用戶使用網絡的準入控制；網絡設備管理系統配置RG-StarView網絡設備管理系統企業版，實現對全網網絡設備的統一管理、監控和維護。

通過此次改造的成功實現，醫院網絡系統收到了明顯的實際效果。由于充分考慮到系統的先進性，改造后的“核心+匯聚+接入”三層網絡架構和網絡設備的配置及帶寬接入在能很好地滿足醫療業務的需要的同時，也增強了網絡的可擴展性。雙核心網絡設計架構，為我院網絡提供了高穩定性和可靠性的數據傳輸平臺，保證了網絡能夠提供7×24h高速穩定的數據傳輸，為醫院提供健壯的數據傳輸神經中樞。本次網絡系統改造使得醫院信息系統的穩定性、安全性、可靠性以及可管理性得到大幅度的提高，保障了醫院各種醫療應用系統的順利運行，為前來我院就診的患者提供良好的就醫環境，在滿足醫院信息化建設的需要的同時，提升了醫院的經濟效益和社會效益。

[1] 沈華亮,史自強,趙惠源.加強計算機管理促進醫院信息系統現代化[J].中國醫院管理,1992(10):33-35.

[2] 李翔,唐慧.我院綜合數字網絡架構設計[J].醫院數字化,2009 (10):42-44.

[3] 朱旭東,遲彥.醫院信息系統的多層體系結構[J].中國衛生經濟,2009(5):60-61.

[4] 王達.網管員必讀—網絡安全[M].北京:電子工業出版社,2005.

[5] 王魯,尹愛群,劉煒,等.醫院信息化建設面臨的問題及解決建議[J].醫療設備信息,2007,22(7):81-82.

[6] 李剛榮,劉國祥,吳昊,等.數字化醫院安全機制構建研究[J].解放軍醫院管理雜志,2004(2):53-54.

[7] 張東湖,何雨生,羅京全,等.醫院三層網絡架構分析與設計[J].中國醫療設備,2008(7):30-32.

[8] 馮嵩.大型綜合性醫院計算機網絡設計[J].中國現代醫學雜志,2002,12(8):103-105.

[9] 馬文壽.計算機網絡安全問題的探討和對策[J].青海師專學報,2006(5):106-108.

[10] 朱弋,張衛東.醫院信息化過程中的網絡安全措施[J].醫療裝備,2007(9):14-16.

Discussion of Reconstruction and Realization of Hospital Network System

ZOU Yu-rong
Information Department, Huashan Hospital, Fudan University, Shanghai 200040, China

TP393.1

A

10.3969/j.issn.1674-1633.2010.09.010

1674-1633(2010)09-0030-03

2010-04-23

作者郵箱：zyryf@hotmail.com

Abstract:By the development of computer technology and network technology, as well as the need of building a modern hospital, hospital network system become the most important part of the construction of hospital informatization. In this paper, status and requirement analysis have been carried out on the reconstruction of hospital network, and a reasonable program has been designed and implemented.The hospital network updates to dual-core, three-layer network architecture, and meets the demand for the network of every present hospital section. Furthermore, it improves the stability, security, credibility and manageability.

Key words:hospital network; network reconstruction; dual-core; three-layer network architecture