专科医院网络信息体系的建设与安全浅论

于淼，方工文

1.青岛市传染病医院 统计信息科，山东 青岛 266033 2.青岛市妇女儿童医院 人事科，山东青岛 266034

专科医院网络信息体系的建设与安全浅论

于淼1，方工文2

1.青岛市传染病医院 统计信息科，山东 青岛 266033 2.青岛市妇女儿童医院 人事科，山东青岛 266034

本文综述了针对医院原有网络进行升级改建过程中的瓶颈问题，实现了医院网络的安全性、可靠性以及可扩展性，为医院实现“数字化”奠定了坚实的基础。

医院数字化；网络体系；虚拟化；网络安全

随着现代医学的发展，医院规模的不断扩大，就诊患者数量的增多，以往医院的运营模式已不能满足患者对服务效率的要求，医院急需通过引进先进的管理理念与方法对诊疗流程进行优化，借助于现代的信息技术，不仅可以优化诊疗流程，同时可降低人力成本。一所现代化的医院，必须以现代化的网络系统为基础，采用有效的信息技术，实现医院管理的数字化，满足患者对服务质量的要求，提高医院服务满意度[1]。

1 需求分析

医院信息系统从以往单纯的以收费为中心，正向以病人为中心，全面主持诊疗过程、高度集成化以及数据挖掘与分析的方向发展。医院结合现有业务系统、流量、现网环境和未来医院的发展规划，要求网络信息系统达到以下几点要求：

（1）能够较好地承载临床信息系统的建设。实现信息系统的集成平台化的管理，一改目前各系统孤立的体系架构，所有子系统将通过平台进行对接。诊疗过程将实现以电子病历为核心的全流程闭环管理，所有系统中的临床数据都能归及到电子病历中，所有系统都扁平化，实现快速流程管理。这样患者就医时，接诊医生可及时获取患者全生命周期的医疗信息，为了解患者病史，进行准确诊断提供帮助。

（2）具有良好的扩展性，为无线查房、移动医疗提供接口。移动医疗具有良好的便携性，通过移动医疗，可实现患者诊疗信息的无缝连接与全院无缝覆盖。帮助医生随时采集到患者的诊疗信息，掌握患者的最新情况，为多学科会诊、及时控制病情等提供便利，促使诊疗效率与病患满意度的提高。

（3）网络信息系统建设中要加强虚拟化技术的应用。对关键硬件设备及全部应用进行虚拟化，提高硬件设备的可靠性、稳定性与利用率。通过虚拟化技术不仅可以降低医院在硬件建设中的投入，同时还可为医院节省用电量、制冷量等，降低运营成本。

（4）网络信息系统有较好的管理性。通过智能的管理可以大幅提升管理效率，并且有助于更加合理的调配网络资源，从而间接提升全院的工作效率。因此，需要可视化和智能化的网管软件对整网从设备、用户到流量进行全面监控和管理。

根据上述几点要求，在网络规划设计中，对基础带宽、虚拟化技术、无线网络等方面进行重点说明[2-3]。

2 网络规划

高带宽是保证医院各业务系统快速、稳定运行的基础。例如远程会诊、医疗影像资料传输、医疗科研协作等均需消耗大量带宽，不仅涉及医院的服务质量，也会影响患者的满意度。根据医院实际需求，要求组建万兆骨干线路、千兆带宽到桌面的以太网，为医务工作者提供一个崭新高效能的工作平台。网络拓扑结构分两级：接入层与核心层。以有线网络为主，无线网络用于扩展。中心网络采用IRF二层扁平化架构，核心到接入设备的骨干链路采用万兆带宽[4]。

2.1 网络虚拟化技术

为提高网络的可靠性，核心交换机采用双电源、双机热备的方式。一方面可以实现网络数据流量的负载均衡，另一个方面可以互为备份，保证医院的各种服务不会中断。为提高系统性能，每个接入层交换机均直接千兆上联至两台核心交换机且要求内网部分千兆到桌面、外网百兆到桌面。

核心交换机采用H3C公司的S12500系列，S12500系列产品支持IRF2技术，最多将4台高端设备虚拟化为一台逻辑设备，在可靠性、分布性和易管理性方面具有强大的优势。IRF技术是一种网络层面的虚拟化，对于网络与业务规划者，虚拟化后的逻辑设备对外只显示单个节点，从而可将整个网络的逻辑设备数量下降至一半，最多可降至物理节点数的1/4，这样极大简化了网络规划，降低了设计复杂度；虚拟化后的网络，只需要采用简单的链路聚合技术，就可以完全消除环路，并提升链路带宽、提升可靠性，因此无须再采用环路协议以及VRRP等网关冗余协议。IRF2系统采用的是1：N冗余，基本思想是将多台设备合并成单台高密逻辑框式设备，系统内有多块主控，但Master负责处理业务，Slave作为Master的备份，随时与Master保持同步，当Master工作异常时，IRF2系统将选择其中一台Slave成为新的Master，接替原Master继续管理和运营IRF2系统，不会对原有网络功能和业务造成影响[5-6]。

2.2 服务器

在关键业务所用服务器，数据及业务的重要性已远超过硬件设备本身，因此需采用双机热备份[3]，具体采用磁盘阵列备份方式。整个系统由两台IBM System x服务器x3850X5和IBMDS3400磁盘阵列构成双机热备份模式，双台服务器互为备份，两台服务器通过SCSI卡接口及SCSI线与磁盘阵列连接，进行数据传输；两台服务器通过RS-232接口及RS-232线连接，用于系统进行“心跳侦测”；一台主机为工作机（Primary Server），另一台主机为备份机（Standby Server）,在系统正常情况下，工作机为信息系统提供支持，备份机监视工作机的运行情况（工作机也同时监视备份机是否正常，有时备份机因某种原因出现异常，工作机可尽早通知系统管理工作人员解决,确保下一次切换的可靠性）[7-8]。当工作机出现异常，不能支持信息系统运营时，备份机主动接管（Take Over）工作机的工作，继续支持信息的运营，从而保证信息系统能够不间断地运行（Non-Stop）。当工作机经过维修恢复正常后，它会将其先前的工作自动抓回，恢复以前正常时的工作状态。两台服务器通过网卡及网线与网络连接，进行数据传输与故障服务器的切换；服务器本地硬盘上安装相应的操作系统及相应的应用，用户数据放在共享磁盘阵列上。

2.3 无线局域网

无线局域网为有线网络提供了灵活有效的延伸，利用PDA或计算机通过无线网络随时随地进行医生查房、生命体征数据采集、药物配送等移动医疗[9]。根据医院的需求及实际情况，采用瘦AP组网结构，依托现有有线网络资源融合组网。瘦AP架构，由无线控制器实现无线AP的管理和控制，无线AP实现无线信号的加密和解密，这种组网方式具有组网灵活、业务开展能力强的特点，更适合规模部署。选择802.11 n 标准及MIMO智能天线、帧聚合、块应答等技术，能提供6倍于802.11 g的带宽，能提供更大的覆盖范围、更高的接入密度、更稳定的网络，并向下兼容802.11 a/b/g。WLAN部署实施时考虑建筑结构、用户密度等因素，采用软件模拟、设备实测与现场工勘相配合的方式。

在设备选型方面，无线控制器部署两台万兆核心多业务无线控制器，分别旁挂在数据中心核心交换机及备份数据中心核心交换机侧，单台无线控制器配置双电源、双主控以保障可靠性，配置相应license授权便于以后扩容。考虑到医院临床业务应用趋于多元化，无线接入点选用大功率11 nAP，不仅能满足后期新业务开展，避免后期重复施工替换带来不必要的麻烦，还可满足更高速率、更高性能、更高安全性、更强覆盖能力的要求。接入交换机选用千兆PoE交换机，一方面实现11 nAP千兆上行接入，网络带宽高，不存在瓶颈问题；另一方面实现PoE供电，便于施工。

2.4 网络安全

由于医院业务性质的特殊性，网络安全异常重要，除了在信息传输流程中实施安全解决方案之外，还需要进行全局安全管理，这种管理涉及到网络上的设备、使用者以及业务，只有对这三者实现闭环管理，才能对网络安全状况了如指掌[10]。因此，医院建设一个“全局安全管理平台”是必要的。

由于医院各种业务系统繁多，所有业务数据都存储在数据中心，存储系统和网络系统构成医院数据中心，组成了医院最重要的区域，数据中心的安全和存取数据的速度都非常关键。基于以上原因，在服务器汇聚层H3C S7510E多业务数据交换机上部署防火墙插卡，这种在交换机上部署防火墙插卡的形式，不但可以抵御医院网络中的各种攻击和病毒，而且解决了普通独立式防火墙成为网络数据转发速率的瓶颈问题，保证医院用户能从数据中心快速稳定的存取数据。同时实现网络安全一体化，为后续的管理和维护带来了方便。

网络安全[2]是医院信息化安全体系的最基本环节，通过合理的网络安全设计方法可以保证基础网络平台的安全可靠，并提供持续安全加固的扩展性设计。但是要想构建全面安全的医院网络，还需要从数据安全、系统安全以及安全管理制度等多角度出发进行相应的安全规划，不断提高医院网络的安全防范等级。

[1]徐亚南,王婷利,王礼．中型医院网络规划方案设计[J]．计算机

Discussion on the Construction and Safety of the Network Information System in the Specialized Hospital

YU M iao1, FANG Gong-wen2
1. Department of Information and Statistics, Qingdao Infection Diseases Hospital, Qingdao Shandong 266033, China 2. Personnel Department, Qingdao Women ＆Children Medical Healthcare Center, Qingdao Shandong 266034, China

This paper described an upgrade to the existing hospital network reconstruction process and eliminated bottlenecks on the network as a whole, which realized the security, reliability and scalability of the hospital network and laid a solid foundation for hospital digitalization.

digital hospital；network systems；virtualization；network security

TP393.1

A

10.3969/j.issn.1674-1633.2015.11.022

1674-1633（2015）11-0071-02

2015-06-01

2015-06-17

作者邮箱：yum iao19831113@163．com