陈前程+施伟
摘要:文章主要介绍了医疗内网、外网、智能化专网、安防专网四套网络的建设方案,从网络架构形式阐述了网络的建设方式,四套网络的建设有效的促进了医院信息化的发展。
关键词:网络;信息化
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)03-0017-03
Design of Computer Network System for a Hospital
CHEN Qian-cheng, SHI Wei
(The Information Section of PLA 105th Hospital, Hefei 230031, China)
Abstract: This paper mainly introduces the construction scheme of the medical intranet, extranet, intelligent network, security network four sets of network, from the network structure of the form describes the ways of network construction, the construction of four sets of network effectively to promote the development of hospital information.
Key word: network; informatization
1系统概述
随着信息化的飞速发展,基础信息化网络平台成为医院信息发展的基础和平台,医疗信息的发展可以有效提升医院的服务水平和竞争力。伴随着医院信息系统从最初的“以财务为中心”向“以病人为中心”的转变,医院信息化建设已经取得了飞速的发展,医院信息化正成为强化医院服务水平与竞争力的关键行为,医疗业务应用与基础网络平台的逐步融合正成为医院发展前进的新的驱动。
2 总体需求及设计说明
本次医院新建住院大楼,主要建设医疗内网、外网、智能化专网、安防专网四套物理隔离网络。
? 医疗内网:
内部医疗信息网主要承载医院HIS系统、OA系统、PACS系统等重要业务,是医院信息系统的核心,内部医疗信息网将与医保网、社保网对接,实现医保联网服务;内部公共信息网主要承载医院一些非关键业务和增值业务,内网信息点多,内部医疗信息网以万兆主干,用户线速千兆交换到桌面,整个大楼部署WLAN,以增强网络的覆盖范围和应用的灵活性。本次计算机内网建设三层架构,即核心-汇聚-接入。网内所有用户需要使用认证安全接入,并且具有对认证用户进行规范化管理。整网实现智能网络管理,将多种管理系统,如设备管理、用户管理、业务管理、资源管理合为统一平台。其中在新楼三层有200个点左右手术中心业务,与PACS等业务分开单独走光纤接入汇聚层交换机。
? 智能化专网
智能化专网作为一卡通系统、信息发布系统设备及门禁控制器等智能化设备的独立通信网络,采用核心层—接入层两层架构,千兆骨干百兆桌面,每个楼宇利用接入交换机汇聚到接入核心交换机。
? 安防专网
安防专网采用系统数字化设计,包括音视频监控系统、综合报警系统等子系统。安防网采用二层网络架构,即核心-接入方式。设计速率为千兆骨干、百兆到桌面, 每个楼宇利用接入交换机汇聚到接入核心交换机。
2.1 内网建设方案
图1
医院新住院大楼总体分为2个区域,老区和新建区。老区主要有东区住院部、西区住院部、门诊楼、制剂楼、肿瘤中心机房等如上图所示。新建区主要有一栋新住院大楼。本次在新住院大楼建设一个大机房,新住院大楼网络要与老区网络互通,现目前只考虑新建区机房与老区核心机房的网络互通性,但后期业务增多,可能会将老区的各栋楼进行汇聚设计,再接入新住院大楼机房的核心交换机。为考虑后期扩容,本次核心交换机采用高性能的交换机,支持12个业务插槽,可最大可接入576个万兆端口,96个40GE端口,为后期扩容提供很好的接入。
现根据实际需求,内部医疗信息网以万兆主干,用户线速千兆交换到桌面,整个大楼部署WLAN,以增强网络的覆盖范围和应用的灵活性。网内所有用户需要使用认证安全接入,并且具有对认证用户进行规范化管理。整网实现智能网络管理,将多种管理系统,如设备管理、用户管理、业务管理、资源管理合为统一平台。其中在新楼三层有200个点左右手术中心业务,与PACS等业务分开单独走光纤接入核心交换机。
? 出口处
由于数据量大(共有4031个信息点,其中含有无线AP共342个点)建议在网络出口处部署硬件(非插卡,若在核心交换机上采用防火墙插卡,会占用大量的CPU资源,当CPU利用率过高时会导致核心交换机宕机,导致业务中断)万兆防火墙,能很好的应对高峰期业务数据,避免出现数据拥塞,丢包现象的发生。
内网属于涉密网,出口处采用2高端防火墙互为双机,防火墙主要用于审核所连各网络区域之间的访问请求,通过与访问控制规则的比较,确保合法的访问的通过,从而为外网与内部网络建立了一道防御屏障,严格阻止了外部网络非法用户的攻击和入侵。同时,社保局可以通过NAT映射访问相应的设备。
1)核心层
核心层是整个内网的骨干中心,负责提供数据的高速转发。要求网络高度可靠,具有极高的性能和扩展性;本次设计在核心层部署2台高端核心交换机互做双机,核心交换机支持冗余引擎,配置冗余电源,模块支持热插拔。内网主干为万兆双链路,核心交换机能够提供万兆接入能力。
2)汇聚层
汇聚层用于汇聚所有接入交换机的数据至核心交换机,因此部署的交换机需具备大容量、高性能的要求,可提供多个千兆光接口和万兆光接口。
3)接入层
接入交换机通过双链路千兆多模光纤连接至汇聚交换机,同时提供千兆接入到桌面的能力;接入层应具有快速收敛、易于扩展、上行链路备份和负载均衡等特点,同时提供了良好的扩展性。
4)网管系统
网络安全和管理是整个网络必须重视的一个重要环节,需要加强网络安全系统的建设,防止黑客、木马和病毒等的侵扰,拒绝恶意攻击和泄密,该网络需要建设完善的网络安全体系。由于网络规模较大,网络管理人员有限,所以需要建立实用、高效的网络管理系统。
5)防火墙的部署
由于内网业务的重要性,在内网部署两台面向大中型企业机构和数据中心设计的新一代万兆防火墙,实现该接口访问控制,通过在该防火墙设置严格的访问控制策略,对访问医院应用数据系统的访问做严格的访问控制,同时在应用交换机上根据访问的特点设置相应的ACL。同事可以对核心交换机的每个端口和业务流供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能。
6)数据库审计系统
医院内部业务要经常使用到农合、医保,如果不能有一个有效的方法来管理,就会对内部的资源以及办公OA信息造成泄漏,对整个医院造成无法估量的损失,因此本次网络中部署一台运维审计设备,从而对整个医院资源以及内部信息起到有效的保护作用。
2.2 智能化专网建设方案
图2
智能化设备通信网作为一卡通系统、医疗信息发布等智能化设备的独立通信网络,本次接入设备少,采用核心层—接入层两层架构,实现千兆骨干,百兆到桌面的网络结构。
1)核心交换机
本方案在核心层,部署模块化核心路由交换机一台,配置冗余电源和主控板,可以实现对全网的数据进行高速无阻塞的交换,负责路由管理、网络管理、网络服务、核心数据处理等。其硬件策略路由功能为医院的出口规则提供了灵活的设置。
2)接入交换机
接入层应该能够实现对用户的访问控制,并具有较强的安全和QOS控制功能,支持802.1x的认证,支持千兆上联百兆到桌面,支持SMNP的网管。同时,为满足医院智能化专网接入的需求,接入层应考虑百兆可智能堆叠交换机。
2.3 安防专网建设方案
图3
采用两层网络架构,千兆核心,百兆接入,单核心单链路。主要支持所有网络结构的安防系统的信号传输。从新住院楼到每个建筑单体预留1根12芯光纤,作为将来相应的建筑单体改造后,智能化系统全部实现网络化结构,接入到现有管理中心的需要。
安防专网采用系统数字化设计,包括音视频监控系统、综合报警系统等多个子系统。安防网采用二层网络架构,即核心-接入方式。设计速率为千兆骨干、百兆到桌面,每个楼宇利用接入交换机汇聚到接入核心交换机。
1)核心交换机
本方案在核心层,部署模块化核心路由交换机一台,配置冗余电源和主控板,可以实现对全网的数据进行高速无阻塞的交换,负责路由管理、网络管理、网络服务、核心数据处理等。其硬件策略路由功能为医院的出口规则提供了灵活的设置。
2)接入交换机
接入层应该能够实现对用户的访问控制,并具有较强的安全和QOS控制功能,支持802.1x的认证,支持千兆上联百兆到桌面,支持SMNP的网管。同时,为满足医院安防专网接入的需求,接入层应考虑百兆可智能堆叠交换机。
2.4网络管理设计
对于住院部大楼建设的三套物理隔离的网络系统,实现三套网络的互访。随着网络的建成,大量的网络应用投入运行。网络管理的目的在于保障网络运行的性能,如维持传输频宽,避免传递延迟,降低错误率及网络中断,提供使用者透明度及依赖度等。使用网络管理系统可以大大提高网络管理员的工作效率,在用户内部网络不断成长的情况下,仍可维持较少的网络管理员,降低网络的使用,维护成本。
本次选用的网络管理软件使用灵活的组件技术,支持多种操作平台,并能够与多种通用网管平台集成,实现从设备级到网络级全方位的网络管理。
2.4.1 拓扑集中监视
提供统一拓扑发现功能,全网监控,可以实时监控所有设备的运行状况,并根据网络运行环境变化提供合适的方式对网络参数进行配置修改,保证网络以最优性能正常运行。
2.4.2 故障管理
对全网设备的故障、运行状态进行实时监控、历史统计并提供协助排障的手段。
2.4.3 IP网络性能管理
性能管理组件是针对网络层管理特性的一个重要组件,提供大规模IP网络性能监控手段,可以从设备、路径、链路、业务等层面对网络性能进行监控,作为IP网络运行质量状况的监视器。
2.4.4 基于WEB的报表管理
采用Browser/Server(B/S)架构,提供基于模板的报表开发和基于 Web 的报表生成、分发、管理等一整套灵活、方便的报表应用服务。
由于本次建设的计算机网络系统有医疗内网、智能化专网和安防专网,而医疗内网、智能化专网以及安防专网为三套物理隔离的网络,因此本次网络管理软件在三套网络各配置一套网络管理软件。同时可通过视频线缆和70寸大屏显示系统等设备可将医院的整个网络拓扑显示出来。这样管理人员就可实时的医院的网络状况进行掌握,遇到问题立即解决,保证了医院的整个网络的畅通。
参考文献:
[1] 曹茂诚, 何及夫. 数字化医院安全网络平台解决方案[J]. 电脑知识与技术,2014(6).
[2] 文春生, 段国云. 高效、安全校园网络系统的规划与设计[J]. 湖南科技学院学报,2013(5).