專科醫(yī)院網絡信息體系的建設與安全淺論

于淼，方工文

1.青島市傳染病醫(yī)院 統(tǒng)計信息科，山東 青島 266033 2.青島市婦女兒童醫(yī)院 人事科，山東青島 266034

專科醫(yī)院網絡信息體系的建設與安全淺論

于淼1，方工文2

1.青島市傳染病醫(yī)院 統(tǒng)計信息科，山東 青島 266033 2.青島市婦女兒童醫(yī)院 人事科，山東青島 266034

本文綜述了針對醫(yī)院原有網絡進行升級改建過程中的瓶頸問題，實現(xiàn)了醫(yī)院網絡的安全性、可靠性以及可擴展性，為醫(yī)院實現(xiàn)“數(shù)字化”奠定了堅實的基礎。

醫(yī)院數(shù)字化；網絡體系；虛擬化；網絡安全

隨著現(xiàn)代醫(yī)學的發(fā)展，醫(yī)院規(guī)模的不斷擴大，就診患者數(shù)量的增多，以往醫(yī)院的運營模式已不能滿足患者對服務效率的要求，醫(yī)院急需通過引進先進的管理理念與方法對診療流程進行優(yōu)化，借助于現(xiàn)代的信息技術，不僅可以優(yōu)化診療流程，同時可降低人力成本。一所現(xiàn)代化的醫(yī)院，必須以現(xiàn)代化的網絡系統(tǒng)為基礎，采用有效的信息技術，實現(xiàn)醫(yī)院管理的數(shù)字化，滿足患者對服務質量的要求，提高醫(yī)院服務滿意度[1]。

1 需求分析

醫(yī)院信息系統(tǒng)從以往單純的以收費為中心，正向以病人為中心，全面主持診療過程、高度集成化以及數(shù)據挖掘與分析的方向發(fā)展。醫(yī)院結合現(xiàn)有業(yè)務系統(tǒng)、流量、現(xiàn)網環(huán)境和未來醫(yī)院的發(fā)展規(guī)劃，要求網絡信息系統(tǒng)達到以下幾點要求：

（1）能夠較好地承載臨床信息系統(tǒng)的建設。實現(xiàn)信息系統(tǒng)的集成平臺化的管理，一改目前各系統(tǒng)孤立的體系架構，所有子系統(tǒng)將通過平臺進行對接。診療過程將實現(xiàn)以電子病歷為核心的全流程閉環(huán)管理，所有系統(tǒng)中的臨床數(shù)據都能歸及到電子病歷中，所有系統(tǒng)都扁平化，實現(xiàn)快速流程管理。這樣患者就醫(yī)時，接診醫(yī)生可及時獲取患者全生命周期的醫(yī)療信息，為了解患者病史，進行準確診斷提供幫助。

（2）具有良好的擴展性，為無線查房、移動醫(yī)療提供接口。移動醫(yī)療具有良好的便攜性，通過移動醫(yī)療，可實現(xiàn)患者診療信息的無縫連接與全院無縫覆蓋。幫助醫(yī)生隨時采集到患者的診療信息，掌握患者的最新情況，為多學科會診、及時控制病情等提供便利，促使診療效率與病患滿意度的提高。

（3）網絡信息系統(tǒng)建設中要加強虛擬化技術的應用。對關鍵硬件設備及全部應用進行虛擬化，提高硬件設備的可靠性、穩(wěn)定性與利用率。通過虛擬化技術不僅可以降低醫(yī)院在硬件建設中的投入，同時還可為醫(yī)院節(jié)省用電量、制冷量等，降低運營成本。

（4）網絡信息系統(tǒng)有較好的管理性。通過智能的管理可以大幅提升管理效率，并且有助于更加合理的調配網絡資源，從而間接提升全院的工作效率。因此，需要可視化和智能化的網管軟件對整網從設備、用戶到流量進行全面監(jiān)控和管理。

根據上述幾點要求，在網絡規(guī)劃設計中，對基礎帶寬、虛擬化技術、無線網絡等方面進行重點說明[2-3]。

2 網絡規(guī)劃

高帶寬是保證醫(yī)院各業(yè)務系統(tǒng)快速、穩(wěn)定運行的基礎。例如遠程會診、醫(yī)療影像資料傳輸、醫(yī)療科研協(xié)作等均需消耗大量帶寬，不僅涉及醫(yī)院的服務質量，也會影響患者的滿意度。根據醫(yī)院實際需求，要求組建萬兆骨干線路、千兆帶寬到桌面的以太網，為醫(yī)務工作者提供一個嶄新高效能的工作平臺。網絡拓撲結構分兩級：接入層與核心層。以有線網絡為主，無線網絡用于擴展。中心網絡采用IRF二層扁平化架構，核心到接入設備的骨干鏈路采用萬兆帶寬[4]。

2.1 網絡虛擬化技術

為提高網絡的可靠性，核心交換機采用雙電源、雙機熱備的方式。一方面可以實現(xiàn)網絡數(shù)據流量的負載均衡，另一個方面可以互為備份，保證醫(yī)院的各種服務不會中斷。為提高系統(tǒng)性能，每個接入層交換機均直接千兆上聯(lián)至兩臺核心交換機且要求內網部分千兆到桌面、外網百兆到桌面。

核心交換機采用H3C公司的S12500系列，S12500系列產品支持IRF2技術，最多將4臺高端設備虛擬化為一臺邏輯設備，在可靠性、分布性和易管理性方面具有強大的優(yōu)勢。IRF技術是一種網絡層面的虛擬化，對于網絡與業(yè)務規(guī)劃者，虛擬化后的邏輯設備對外只顯示單個節(jié)點，從而可將整個網絡的邏輯設備數(shù)量下降至一半，最多可降至物理節(jié)點數(shù)的1/4，這樣極大簡化了網絡規(guī)劃，降低了設計復雜度；虛擬化后的網絡，只需要采用簡單的鏈路聚合技術，就可以完全消除環(huán)路，并提升鏈路帶寬、提升可靠性，因此無須再采用環(huán)路協(xié)議以及VRRP等網關冗余協(xié)議。IRF2系統(tǒng)采用的是1：N冗余，基本思想是將多臺設備合并成單臺高密邏輯框式設備，系統(tǒng)內有多塊主控，但Master負責處理業(yè)務，Slave作為Master的備份，隨時與Master保持同步，當Master工作異常時，IRF2系統(tǒng)將選擇其中一臺Slave成為新的Master，接替原Master繼續(xù)管理和運營IRF2系統(tǒng)，不會對原有網絡功能和業(yè)務造成影響[5-6]。

2.2 服務器

在關鍵業(yè)務所用服務器，數(shù)據及業(yè)務的重要性已遠超過硬件設備本身，因此需采用雙機熱備份[3]，具體采用磁盤陣列備份方式。整個系統(tǒng)由兩臺IBM System x服務器x3850X5和IBMDS3400磁盤陣列構成雙機熱備份模式，雙臺服務器互為備份，兩臺服務器通過SCSI卡接口及SCSI線與磁盤陣列連接，進行數(shù)據傳輸；兩臺服務器通過RS-232接口及RS-232線連接，用于系統(tǒng)進行“心跳偵測”；一臺主機為工作機（Primary Server），另一臺主機為備份機（Standby Server）,在系統(tǒng)正常情況下，工作機為信息系統(tǒng)提供支持，備份機監(jiān)視工作機的運行情況（工作機也同時監(jiān)視備份機是否正常，有時備份機因某種原因出現(xiàn)異常，工作機可盡早通知系統(tǒng)管理工作人員解決,確保下一次切換的可靠性）[7-8]。當工作機出現(xiàn)異常，不能支持信息系統(tǒng)運營時，備份機主動接管（Take Over）工作機的工作，繼續(xù)支持信息的運營，從而保證信息系統(tǒng)能夠不間斷地運行（Non-Stop）。當工作機經過維修恢復正常后，它會將其先前的工作自動抓回，恢復以前正常時的工作狀態(tài)。兩臺服務器通過網卡及網線與網絡連接，進行數(shù)據傳輸與故障服務器的切換；服務器本地硬盤上安裝相應的操作系統(tǒng)及相應的應用，用戶數(shù)據放在共享磁盤陣列上。

2.3 無線局域網

無線局域網為有線網絡提供了靈活有效的延伸，利用PDA或計算機通過無線網絡隨時隨地進行醫(yī)生查房、生命體征數(shù)據采集、藥物配送等移動醫(yī)療[9]。根據醫(yī)院的需求及實際情況，采用瘦AP組網結構，依托現(xiàn)有有線網絡資源融合組網。瘦AP架構，由無線控制器實現(xiàn)無線AP的管理和控制，無線AP實現(xiàn)無線信號的加密和解密，這種組網方式具有組網靈活、業(yè)務開展能力強的特點，更適合規(guī)模部署。選擇802.11 n 標準及MIMO智能天線、幀聚合、塊應答等技術，能提供6倍于802.11 g的帶寬，能提供更大的覆蓋范圍、更高的接入密度、更穩(wěn)定的網絡，并向下兼容802.11 a/b/g。WLAN部署實施時考慮建筑結構、用戶密度等因素，采用軟件模擬、設備實測與現(xiàn)場工勘相配合的方式。

在設備選型方面，無線控制器部署兩臺萬兆核心多業(yè)務無線控制器，分別旁掛在數(shù)據中心核心交換機及備份數(shù)據中心核心交換機側，單臺無線控制器配置雙電源、雙主控以保障可靠性，配置相應license授權便于以后擴容。考慮到醫(yī)院臨床業(yè)務應用趨于多元化，無線接入點選用大功率11 nAP，不僅能滿足后期新業(yè)務開展，避免后期重復施工替換帶來不必要的麻煩，還可滿足更高速率、更高性能、更高安全性、更強覆蓋能力的要求。接入交換機選用千兆PoE交換機，一方面實現(xiàn)11 nAP千兆上行接入，網絡帶寬高，不存在瓶頸問題；另一方面實現(xiàn)PoE供電，便于施工。

2.4 網絡安全

由于醫(yī)院業(yè)務性質的特殊性，網絡安全異常重要，除了在信息傳輸流程中實施安全解決方案之外，還需要進行全局安全管理，這種管理涉及到網絡上的設備、使用者以及業(yè)務，只有對這三者實現(xiàn)閉環(huán)管理，才能對網絡安全狀況了如指掌[10]。因此，醫(yī)院建設一個“全局安全管理平臺”是必要的。

由于醫(yī)院各種業(yè)務系統(tǒng)繁多，所有業(yè)務數(shù)據都存儲在數(shù)據中心，存儲系統(tǒng)和網絡系統(tǒng)構成醫(yī)院數(shù)據中心，組成了醫(yī)院最重要的區(qū)域，數(shù)據中心的安全和存取數(shù)據的速度都非常關鍵。基于以上原因，在服務器匯聚層H3C S7510E多業(yè)務數(shù)據交換機上部署防火墻插卡，這種在交換機上部署防火墻插卡的形式，不但可以抵御醫(yī)院網絡中的各種攻擊和病毒，而且解決了普通獨立式防火墻成為網絡數(shù)據轉發(fā)速率的瓶頸問題，保證醫(yī)院用戶能從數(shù)據中心快速穩(wěn)定的存取數(shù)據。同時實現(xiàn)網絡安全一體化，為后續(xù)的管理和維護帶來了方便。

網絡安全[2]是醫(yī)院信息化安全體系的最基本環(huán)節(jié)，通過合理的網絡安全設計方法可以保證基礎網絡平臺的安全可靠，并提供持續(xù)安全加固的擴展性設計。但是要想構建全面安全的醫(yī)院網絡，還需要從數(shù)據安全、系統(tǒng)安全以及安全管理制度等多角度出發(fā)進行相應的安全規(guī)劃，不斷提高醫(yī)院網絡的安全防范等級。

[1]徐亞南,王婷利,王禮．中型醫(yī)院網絡規(guī)劃方案設計[J]．計算機

Discussion on the Construction and Safety of the Network Information System in the Specialized Hospital

YU M iao1, FANG Gong-wen2
1. Department of Information and Statistics, Qingdao Infection Diseases Hospital, Qingdao Shandong 266033, China 2. Personnel Department, Qingdao Women ＆Children Medical Healthcare Center, Qingdao Shandong 266034, China

This paper described an upgrade to the existing hospital network reconstruction process and eliminated bottlenecks on the network as a whole, which realized the security, reliability and scalability of the hospital network and laid a solid foundation for hospital digitalization.

digital hospital；network systems；virtualization；network security

TP393.1

A

10.3969/j.issn.1674-1633.2015.11.022

1674-1633（2015）11-0071-02

2015-06-01

2015-06-17

作者郵箱：yum iao19831113@163．com