冯秀芳
(昆明经济技术开发区疾病预防控制中心,云南昆明 650501)
浅谈疾病预防控制机构计算机网络系统的建设与管理
冯秀芳
(昆明经济技术开发区疾病预防控制中心,云南昆明 650501)
本文就疾病预防控制机构计算机网络系统的建设及系统运行中出现的问题及相应的解决方法,提出了网络分离、分层设计、分期建设的原则,实践证明这些原则对于网络系统平稳安全运行十分重要。
疾控机构信息化;计算机网络;网络设计与管理
1.1 网络的设计原则
1.1.1 高可靠性。网络系统的稳定可靠是保证应用系统正常运行的关键,在网络设计中应该选用高可靠性网络产品,合理设计网络架构,最大限度地支持系统的正常运行。
1.1.2 灵活性及可扩展性。根据医院业务的增长和流程变化,计算机网络应该可以平滑地扩充、升级和调整,最大程度地减少对网络架构和现有设备的调整,保护原有建设投资。
1.1.3 安全可管理性。随着医院应用规模和复杂程度的增加,网络的管理维护和排除故障也越来越困难。建立一个先进而完善的可管理的网络,对网络实行集中监测、分权管理,从而保证医院业务的安全可靠运行。而实现安全可管理,往往需要软硬件结合的方式。
1.2 网络分离与分层设计。网络分离是指根据需要将不同用途的计算机网络在物理上分开,避免出现一个网络承载多种业务,尤其是核心业务。分层设计即按照接入层→汇聚层→核心层的层次结构进行设计,分层设计利于网络扩展和灵活布置,对实现网络有效管理、提高网络性能、预防病毒攻击、网络风暴等有重要作用。
1.3 分阶段建设。由于疾控机构信息化建设的特殊性、机构对信息网络的投入、机构管理层对于信息化建设的认识等原因,疾病预防机构计算机网络系统的建设不可能一蹴而就,在建设的初期就应该确定“前瞻性、分阶段”的建设原则,根据资金投入和阶段目标,兼顾未来发展趋势进行建设。
疾病预防医疗机构网络示意图秉承“网络分离”的原则,机构的计算机网络由业务网(内网)、互联网(外网)、医保专网等三个相互隔离的网络系统构成。在每个网络中,核心交换机均采用企业级核心交换机,另外有汇聚层交换机,接入层交换机,核心交换机与汇聚交换机之间用千兆光纤进行连接,汇聚交换机与接入交换机之间、接入交换机与工作站之间采用百兆双绞线进行连接。从地域结构上看,接入层交换机分布在大楼的各层,每栋楼根据需要设置数台汇聚层交换机,为了方便管理,每个汇聚层交换机可设置为一个独立的虚拟子网。业务网主要用于承载病区管理系统、医技科室管理系统、药品管理系统、财务管理系统、物资管理系统、电子病案系统等系统的运行与互联网完全隔离,网络结构稳定,用户行为相对单一。业务网中心服务器采用两台服务器组成双机热备系统,实现了当A机死机时,B机能在短时间内实现接管,保证业务正常运行,同时应建立了远程异地灾备系统。业务网建立单独的域,对于接入业务网的用户由域服务器进行权限控制,系统管理员按照“分级授权”的原则设定资源访问权限。在业务网的管理上,主要是防病毒及协助用户使用业务软件。互联网主要为了方便机构医务人员查找资料、对外发布疾控机构有关信息等。由于安全等原因,对接入互联网的用户需要实行相对比较复杂的管理方式,包括根据建筑物划分虚拟子网、IP地址绑定、限制访问区域、端口屏蔽等有效的措施,同时应针对不同的网络用户,设置不同的QOS策略。
目前,医疗机构业务网软件系统主要有HIS、PACS、LIS、电子病历系统等,实现了病人从挂号、缴费到出院的全程计算机管理,机构各级领导可通过计算机调阅授权范围内的数据。互联网除了提供HTTP、FTP等传统业务外,开通机构中心内电子期刊系统也很有必要,医护人员可以到中心内电子阅览室查阅电子期刊,也可在开通互联网业务的病区计算机上查阅资料,使得医护人员继续教育手段进一步多样化。为了最大限度发挥计算机网络的功能,同时保证网络安全平稳运行,需要使用各种网络管理软件及辅助工具。在机构的网络管理软件中,主要包括网络拓扑管理、网上行为管理、流量管理、桌面管理、防病毒软件等。在这些软件的安装布置中,有些是保证网络安全平稳运行所必需的,例如防病毒软件等,有些是根据实际工作需要添加的,例如,在实际工作中,根据统计,我们发现日常工作的多数问题是工作站用户由于操作不当而引起,同时由于各用户节点遍及全院各建筑物,因此为了能够及时处理这些可以通过远程协助解决的问题,采用了远程桌面管理软件。通过这些工具,实现了准确、及时地处理问题。需要注意的是,对于疾控机构计算机网络系统而言,在采用一套新的软件时是需要十分慎重的。在安装布置一套新软件之前,需要先详细地了解该软件的工作原理、工作性能、健壮性、兼容性等特性。然后在特定范围内进行试用,针对出现的网络异常情况(如网速下降、部分掉线等)进行认真分析,确定是否是新软件引起、是否对网络安全平稳运行构成威胁及如何处理。软件安装布置完成后,系统管理员要定时收集网络性能参数,对异常及时处理防患于未然。如在ARP攻击、熊猫烧香等病毒爆发前,网络中均会出现比较明显的异常。
4.1 安全管理
对于网络的安全管理主要由以下几部分构成:权限管理、防病毒管理、设备管理等。安全管理的基本任务就是对网络的日常巡查和性能监视,如每天察看流量日志、安全日志等并进行认真分析确定有无异常情况,对网络应用软件进行及时升级更新。一个核心是制定一套完善可行的管理制度,保证每项工作都有人员具体负责,保证每一次操作都是规范和允许的。坚持对管理人员、操作人员集中培训,从而大大降低人为因素引入的安全问题。
4.2 服务管理
在计算机网络系统建立完成后,系统管理员应该根据实际运行情况和用户行为模式制定服务策略。例如,对于互联网网络带宽的分配,正常办公时间行政部门对带宽需求大,那么分配上就要适当倾斜,而在非办公时间,带宽就要对电子阅览室适当倾斜,因为此时有更多的人员去电子阅览室下载资料、观看视频教学等。同时为了保证网络正常使用,要对P2P应用、网络电视等进行限制。
4.3 应急管理
计算机网络系统作为医院信息化的基础工程,从投入使用的第一天起,就应该建立完善的应急管理机制,包括各项制度及措施。应急管理的内容不仅包括出现硬件损坏、线路故障的硬件应急措施,还应该包括异常数据流、频繁掉线等软件问题。尤其是软件问题,需要管理员借助专业的工具进行长时间的观察和分析才能找到问题所在,因此更需要事先制定详细的应急处理措施,才能保证业务系统正常运行,特别是承载信息系统的容灾和备份业务的计算网络。
随着计算机网络技术的进一步发展,网络速度进一步提高,网络设备更加多样化,网络需求更加复杂,疾病控制机构计算机网络的设计、运行和维护管理等必将更加复杂。在实际工作中,网络管理人员应该进一步加强学习,提高业务素质,深入了解技术和应用发展趋势,使计算机网络更好地为疾病预防控制信息化发展服务。
[1]黄绍贤.医院计算机基础网络建设的几点体会[J].中国医院管理,2003,23(8):36-37.
[2]李怀庆等.医疗信息系统故障应急预案的建立与实施[J].医疗设备信息,2006,21(10):62-63.
2014-05-30
TP393
B
1002-2376(2014)08-0025-02