邹玉蓉
复旦大学附属华山医院 信息科,上海200040
我院网络系统的改造与实现
邹玉蓉
复旦大学附属华山医院 信息科,上海200040
本文对我院计算机网络现状和需求进行了分析,提出合理的设计方案并实现。通过网络改造,使医院网络升级成为双核心、三层网络架构,满足了医院现有各个应用系统对网络的需求。同时增强了网络的稳定性、安全性、可靠性以及可管理性。
医院网络; 网络改造; 双核心 ;三层网络架构
现代化医院除了医疗技术现代化、设备现代化,信息和管理手段也要现代化[1]。医院信息化程度,标志着一个医院的发展水平。医院信息化发展的目标之一就是整合医院的各种资源,为医院的医疗、科研、教学搭建一个共享平台[2]。
华山医院是一个集医疗、科研、教学于一体的三级甲等医院,现有核定床位1216张,全院每年门急诊就诊病人220余万人次,住院病人4万余人次。医院自2000年上线HIS 系统以来,已陆续上线了LIS、PACS、RIS 等系统。经过前期的信息化建设,建成了基本适应医院应用系统要求的网络基础平台。然而,随着近两年应用系统的快速发展、用户数量的不断增加、医疗数据的急剧膨胀,现有的医院网络架构已经显露出不能更好地适应医院信息化管理发展需求的迹象。
随着医疗行业信息化的发展,为了认真贯彻卫生部召开的关于加快医卫系统信息化建设及管理的会议精神,进一步推进医院的信息化建设,提高华山医院信息化应用的管理水平,使医院经济效益和社会效益双丰收,逐步加快医院的信息化建设步伐,网络系统改造刻不容缓。本文主要介绍通过对华山医院网络系统的改造设想与实现路径,使得网络系统更加趋于合理、可靠、稳定、安全,性能更优越,可管理性更强,满足医院信息化管理不断发展的需要。
医院原有网络系统核心,通过两台C4506和C4006思科路由交换机负责全院核心数据的转发和交换,两台核心设备分别通过单链路互联全院各楼宇的思科接入层交换机,同时预留备份线路(如图1)。全网采用千兆主干链路,百兆接入到桌面的网络架构,实现医院内各种医疗信息系统的数据传输,满足基本的医院业务和办公需要。
随着医院应用系统的不断深入发展,原有的网络系统已经不能满足医院的应用需要,网络系统主要存在以下问题:
图 1 改造前网络系统构架
(1)网络架构本身的不足。改造前的网络架构是二层结构,其优点是交换速度快,缺点是容易引起广播风暴,甚至导致网络瘫痪,而且不能处理不同IP子网之间的数据交换[3]。这种网络结构扁平,没有层次化概念。由于医院网络的规模在不断扩大,工作站增加到几百台甚至上千台的时候,网络性能就会明显下降,在数据传输高峰期网络整体速度缓慢,严重时将会影响医院业务开展。
(2)网络设备硬件老化,维护不便。改造前网络系统中大部分设备已经属于数年前的产品,其交换容量及其扩展性有限,特别是核心设备即将或者已经到达规定使用年限,厂方给定的质保期限也已经过期,其中C4006已属于停产设备,这样的设备架构使得返修更换过程耗时过长,网络一旦出现问题,恢复周期将会过长。
(3)缺乏网络管理措施和方法。改造前网络系统中所有设备处在一个网段中,因设备本身原因,网络中未采用任何管理措施,病毒、攻击行为在网络中大量存在,这是最常见、最普遍的网络安全隐患[4],对网络的稳定提出了挑战。
可见网络稳定性、网络传输带宽、网络安全、网络管理等问题日趋严峻,各种医院信息系统的开展受到了现有网络系统传输平台的制约。因此,需要通过提升基础网络平台的稳定性、传输带宽、安全性和可管理性等,促进医院信息化建设的进一步发展[5],为到我院就诊的患者提供更高质量的服务,同时提升我院自身的信息化管理水平,逐步提升我院整体的经济效益和社会效益。
数字化医院是现代医疗发展的趋势,能否提供更便捷、更系统的服务已成为医院赢得市场的关键[6]。因此医院的网络建设尤其重要,是建设数字化医院的基础工程[7]。为了提升我院的整体医疗服务水平,提升医院各种医疗应用系统的服务效率,需要从以下几个方面考虑医院网络系统平台的建设。
(1)网络稳定需求分析。医疗行业是关系到病人生命安危的重要行业,医院的各种应用系统和基础设备都要保证超高的稳定性。系统的稳定性(7×24h稳定、可靠、持续运行)是投入运行的医疗系统的生命线。
同时,对于门诊这样提供给病人及时性服务的重要区域,如果网络系统无法保障稳定可靠,在故障情况下,将造成大量的门诊病人无法进行门诊挂号、收费、取药等,会造成大量的病人滞留门诊大厅,不仅造成医院严重的经济损失,也会给医院的社会效应造成极大的负面影响。因此,稳定的网络系统建设是医院各种应用系统开展的根本保障,是降低医院目前出现的“三长一短”问题的根本性措施之一[8]。
怎样的网络结构能够保证整个网络的稳定、可靠,保证在单点故障的情况下不会对整个网络造成冲击,保证核心、骨干设备在出问题的时候能够无缝的恢复或切换,这些都是医院网络系统建设的最根本需要。
(2)网络性能需求分析。目前医院的应用系统主要是以HIS为主,同时还有诸如LIS、PACS、RIS等其他临床信息系统,各种系统对网络的性能都有不一样的需要。
HIS、LIS的应用主要是以数据信息为主,虽然信息量不大,但是对于基础架构的可靠性和安全性需要较高,对服务质量也有一定的要求。
PACS、RIS等信息系统的应用内容则较为丰富。除了一般文字信息外,医疗应用数据包含大量的图形、视频和语音信息。这就要求有足够的传输带宽来满足急剧增长的数据流量,要求安全、可靠、保证服务质量和高性能,需要同时支持语音、视频和数据等多种业务,又要方便以后的扩展。在某些关键应用上,对于服务质量、高性能、高可用性都提出了很高的需求。
(3)网络安全需求分析。医院信息系统的安全性包括实体安全、网络安全、传输安全、用户安全[9]。卫生部新《规范》重点强调了系统的可靠性和安全性问题,要求门诊系统恢复时间在5~10min之内,系统支持7×24h工作,关键设备必须有备份系统。一般网络和服务器等硬件设备在2~3年之内不易出现故障,这使人们容易心存侥幸。一旦关键设备发生故障,又没有备用设备或备用链路,将造成重大损失。
目前,网络系统中蠕虫病毒、扫描攻击、ARP等攻击越来越普遍,而这些攻击将直接导致网络系统瘫痪和中断,给医院的正常业务开展造成非常严重的影响。如何通过有效的手段控制和防御网络病毒和攻击,是医院在进行网络建设时必须思考的问题。
医院的信息主要是以病人的病例、处方和医嘱等信息为主,医院有义务保障病人的信息安全,保证病人的信息不被没有必要的部门或人员查看,同时也要保证信息不能外传。医院的信息必须要被保存7~21年甚至更长时间。因此,如何保证整个系统的保密性、完整性、可用性、可审核性也是医院信息系统安全性的一部分。
(4)网络规划需求分析。随着医院信息化建设的深入发展,医院应用服务的不断增加,数据中心作为医院的各种应用系统的“大脑”,需要保障极高的稳定性和可靠性,为医院的各种应用服务提供持续不断的数据传输服务[10]。通过合理的数据中心规划,提升医院应用服务“大脑”的稳定性和可靠性,为医院各种应用服务提供不间断的数据响应需求。
在医院规模不断扩展的同时,医院的网络接入信息点数也在不断扩展,网络规模逐渐增大,网络管理和网络安全问题日趋严峻。如何通过合理的网络系统规划,通过隔离广播风暴等垃圾数据,提升医院大型网络系统的稳定性和可靠性,结合合理的安全策略规划,实现医院各科室对网络资源的受控访问,是医院网络规划中必须考虑的问题。
(5)网络管理需求分析。随着网络规模的不断扩大,网络覆盖范围的不断延伸,网络设备数量和种类也在不断的增加。需要通过有效的网络流量和网络故障监控,及时发现网络中存在的各种故障和隐患,以便能够通过快速故障处理,有效的排除网络故障,降低网络使用风险,确保各种业务的正常开展。同时,先进的网络管理,不仅可以极大的降低医院信息科的网络维护和管理难度,对于HUB和非网管设备在医院内部的受控使用,也可以有效的降低内部网络的安全风险,提升医院内部网络系统的可靠性。
另外,随着网络接入终端数量的不断增加,需要对网络接入用户实现严格的接入控制,确保只有内部的合法人员才能够接入内部网络,防止非法用户私自接入内部网络系统,确保医院内部重要信息的安全,同时提升信息科对医院内部用户的管理水平,保障网络的高安全性。
此次医院网络系统改造将以建设数字化医院的网络基础平台为目标,采用“核心+汇聚+接入”的三层网络架构,在考虑网络系统基础平台的稳定、安全等根本需求的同时,也要考虑一定先进性和网络资源预留,为后期各种网络应用系统的部署奠定坚实的基础。
网络系统设计通过采用锐捷网络基于10万兆平台的核心路由交换机,完成全网的数据转发和控制,通过两台S8610核心路由交换机,双链路下联1号楼、2号楼、3号楼、6号楼、8号楼和江苏路分部的万兆汇聚设备S6506(如图2)。同时,为了保障门诊收费区域的全面可靠性,门诊收费区域通过双汇聚设备上联两台核心交换机,保障门诊收费区域的7×24h的可靠性。
为了确保住院区域大流量数据传输的需要,方案设计2号楼通过单条万兆链路上联网络核心层,千兆链路为备份,实现链路的冗余备份和负载分担。同时,核心层网络中心两台核心交换机之间,通过万兆链路实现核心之间的高速数据交互,确保全网大流量数据跨楼宇转发的需要。
为了为医院的各种应用服务提供持续不间断的数据服务响应,通过设计两台万兆数据中心交换机S5750,通过双链路上联网络核心层,实现数据中心链路和设备的冗余备份,同时为后期扩展基于IP的存储奠定基础。
为了确保未来各种基于视频等的大流量数据服务传输需求,此次网络设计,全网接入设备采用锐捷网络的全千兆接入层交换机S2924G,通过分布在各楼层的全千兆接入交换机,实现千兆上联各楼宇的汇聚设备,通过千兆接入到桌面,为医院未来大流量多媒体应用奠定了网络高带宽接入平台。
为了能够对网络中的数据流量和设备状况进行实时的监控,降低网络故障风险。同时,实现对全院用户的入网身份管理,确保入网用户的合法性。今后将会通过在网络中心部署网络设备管理系统StarView和网络安全认证管理平台SAM,实现对全网设备和用户的监控和管理,提升网络的安全性和可靠性。
图 2 医院网络系统拓扑示意图
基于上述的网络系统改造设计方案,全面更改和规划了医院的内网网络,其具体实现如下:
(1)网络核心层配置两台锐捷的RG-S8610核心路由交换机,实现网络的核心的冗余备份;配置M8600-24SFP/12GT×2块,实现各汇聚层交换机、服务器交换机等的千兆上联;配置M8600-02XFP×2块,实现核心与核心之间,以及核心与2号楼之间的万兆光纤连接。
(2)数据服务器交换机共配置两台锐捷的RG-S5750-24GT/12SFP,通过全千兆光纤链路上联核心设备,以及两台数据服务器交换机之间的互联,在提供全千兆的光口和电口的同时,提供基于万兆带宽的扩展,通过扩展万兆模块,实现万兆链路的互联。
(3)汇聚交换机共配置7台锐捷的RG-S6506万兆骨干路由交换机;配置M6506-12SFP/GT接口模块8块,实现单链路千兆光纤下联网络接入交换机,双链路分别上联两台网络核心交换机,实现骨干网络的冗余备份;其中2号楼的汇聚交换机配置M6506-01XENPAK×1块,实现2号楼上联网络核心层以万兆链路为传输主干,千兆链路为备份链路的冗余备份架构。
(4)接入交换机共配置34台锐捷的RG-S2924G全千兆接入交换机,实现网络终端的全千兆接入,以及接入层交换机的千兆上联需要。
(5)网络用户接入控制系统配置RG-SAM安全认证管理系统,实现对接入用户使用网络的准入控制;网络设备管理系统配置RG-StarView网络设备管理系统企业版,实现对全网网络设备的统一管理、监控和维护。
通过此次改造的成功实现,医院网络系统收到了明显的实际效果。由于充分考虑到系统的先进性,改造后的“核心+汇聚+接入”三层网络架构和网络设备的配置及带宽接入在能很好地满足医疗业务的需要的同时,也增强了网络的可扩展性。双核心网络设计架构,为我院网络提供了高稳定性和可靠性的数据传输平台,保证了网络能够提供7×24h高速稳定的数据传输,为医院提供健壮的数据传输神经中枢。本次网络系统改造使得医院信息系统的稳定性、安全性、可靠性以及可管理性得到大幅度的提高,保障了医院各种医疗应用系统的顺利运行,为前来我院就诊的患者提供良好的就医环境,在满足医院信息化建设的需要的同时,提升了医院的经济效益和社会效益。
[1] 沈华亮,史自强,赵惠源.加强计算机管理促进医院信息系统现代化[J].中国医院管理,1992(10):33-35.
[2] 李翔,唐慧.我院综合数字网络架构设计[J].医院数字化,2009 (10):42-44.
[3] 朱旭东,迟彦.医院信息系统的多层体系结构[J].中国卫生经济,2009(5):60-61.
[4] 王达.网管员必读—网络安全[M].北京:电子工业出版社,2005.
[5] 王鲁,尹爱群,刘炜,等.医院信息化建设面临的问题及解决建议[J].医疗设备信息,2007,22(7):81-82.
[6] 李刚荣,刘国祥,吴昊,等.数字化医院安全机制构建研究[J].解放军医院管理杂志,2004(2):53-54.
[7] 张东湖,何雨生,罗京全,等.医院三层网络架构分析与设计[J].中国医疗设备,2008(7):30-32.
[8] 冯嵩.大型综合性医院计算机网络设计[J].中国现代医学杂志,2002,12(8):103-105.
[9] 马文寿.计算机网络安全问题的探讨和对策[J].青海师专学报,2006(5):106-108.
[10] 朱弋,张卫东.医院信息化过程中的网络安全措施[J].医疗装备,2007(9):14-16.
Discussion of Reconstruction and Realization of Hospital Network System
ZOU Yu-rong
Information Department, Huashan Hospital, Fudan University, Shanghai 200040, China
TP393.1
A
10.3969/j.issn.1674-1633.2010.09.010
1674-1633(2010)09-0030-03
2010-04-23
作者邮箱:zyryf@hotmail.com
Abstract:By the development of computer technology and network technology, as well as the need of building a modern hospital, hospital network system become the most important part of the construction of hospital informatization. In this paper, status and requirement analysis have been carried out on the reconstruction of hospital network, and a reasonable program has been designed and implemented.The hospital network updates to dual-core, three-layer network architecture, and meets the demand for the network of every present hospital section. Furthermore, it improves the stability, security, credibility and manageability.
Key words:hospital network; network reconstruction; dual-core; three-layer network architecture