陳前程+施偉

摘要：文章主要介紹了醫(yī)療內(nèi)網(wǎng)、外網(wǎng)、智能化專網(wǎng)、安防專網(wǎng)四套網(wǎng)絡(luò)的建設(shè)方案，從網(wǎng)絡(luò)架構(gòu)形式闡述了網(wǎng)絡(luò)的建設(shè)方式，四套網(wǎng)絡(luò)的建設(shè)有效的促進了醫(yī)院信息化的發(fā)展。

關(guān)鍵詞：網(wǎng)絡(luò)；信息化

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-3044（2015）03-0017-03

Design of Computer Network System for a Hospital

CHEN Qian-cheng， SHI Wei

（The Information Section of PLA 105th Hospital， Hefei 230031， China）

Abstract： This paper mainly introduces the construction scheme of the medical intranet， extranet， intelligent network， security network four sets of network， from the network structure of the form describes the ways of network construction， the construction of four sets of network effectively to promote the development of hospital information.

Key word： network； informatization

1系統(tǒng)概述

隨著信息化的飛速發(fā)展，基礎(chǔ)信息化網(wǎng)絡(luò)平臺成為醫(yī)院信息發(fā)展的基礎(chǔ)和平臺，醫(yī)療信息的發(fā)展可以有效提升醫(yī)院的服務(wù)水平和競爭力。伴隨著醫(yī)院信息系統(tǒng)從最初的“以財務(wù)為中心”向“以病人為中心”的轉(zhuǎn)變，醫(yī)院信息化建設(shè)已經(jīng)取得了飛速的發(fā)展，醫(yī)院信息化正成為強化醫(yī)院服務(wù)水平與競爭力的關(guān)鍵行為，醫(yī)療業(yè)務(wù)應(yīng)用與基礎(chǔ)網(wǎng)絡(luò)平臺的逐步融合正成為醫(yī)院發(fā)展前進的新的驅(qū)動。

2 總體需求及設(shè)計說明

本次醫(yī)院新建住院大樓，主要建設(shè)醫(yī)療內(nèi)網(wǎng)、外網(wǎng)、智能化專網(wǎng)、安防專網(wǎng)四套物理隔離網(wǎng)絡(luò)。

? 醫(yī)療內(nèi)網(wǎng)：

內(nèi)部醫(yī)療信息網(wǎng)主要承載醫(yī)院HIS系統(tǒng)、OA系統(tǒng)、PACS系統(tǒng)等重要業(yè)務(wù)，是醫(yī)院信息系統(tǒng)的核心，內(nèi)部醫(yī)療信息網(wǎng)將與醫(yī)保網(wǎng)、社保網(wǎng)對接，實現(xiàn)醫(yī)保聯(lián)網(wǎng)服務(wù)；內(nèi)部公共信息網(wǎng)主要承載醫(yī)院一些非關(guān)鍵業(yè)務(wù)和增值業(yè)務(wù)，內(nèi)網(wǎng)信息點多，內(nèi)部醫(yī)療信息網(wǎng)以萬兆主干，用戶線速千兆交換到桌面，整個大樓部署WLAN，以增強網(wǎng)絡(luò)的覆蓋范圍和應(yīng)用的靈活性。本次計算機內(nèi)網(wǎng)建設(shè)三層架構(gòu)，即核心-匯聚-接入。網(wǎng)內(nèi)所有用戶需要使用認(rèn)證安全接入，并且具有對認(rèn)證用戶進行規(guī)范化管理。整網(wǎng)實現(xiàn)智能網(wǎng)絡(luò)管理，將多種管理系統(tǒng)，如設(shè)備管理、用戶管理、業(yè)務(wù)管理、資源管理合為統(tǒng)一平臺。其中在新樓三層有200個點左右手術(shù)中心業(yè)務(wù)，與PACS等業(yè)務(wù)分開單獨走光纖接入?yún)R聚層交換機。

? 智能化專網(wǎng)

智能化專網(wǎng)作為一卡通系統(tǒng)、信息發(fā)布系統(tǒng)設(shè)備及門禁控制器等智能化設(shè)備的獨立通信網(wǎng)絡(luò)，采用核心層—接入層兩層架構(gòu)，千兆骨干百兆桌面，每個樓宇利用接入交換機匯聚到接入核心交換機。

? 安防專網(wǎng)

安防專網(wǎng)采用系統(tǒng)數(shù)字化設(shè)計，包括音視頻監(jiān)控系統(tǒng)、綜合報警系統(tǒng)等子系統(tǒng)。安防網(wǎng)采用二層網(wǎng)絡(luò)架構(gòu)，即核心-接入方式。設(shè)計速率為千兆骨干、百兆到桌面， 每個樓宇利用接入交換機匯聚到接入核心交換機。

2.1 內(nèi)網(wǎng)建設(shè)方案

圖1

醫(yī)院新住院大樓總體分為2個區(qū)域，老區(qū)和新建區(qū)。老區(qū)主要有東區(qū)住院部、西區(qū)住院部、門診樓、制劑樓、腫瘤中心機房等如上圖所示。新建區(qū)主要有一棟新住院大樓。本次在新住院大樓建設(shè)一個大機房，新住院大樓網(wǎng)絡(luò)要與老區(qū)網(wǎng)絡(luò)互通，現(xiàn)目前只考慮新建區(qū)機房與老區(qū)核心機房的網(wǎng)絡(luò)互通性，但后期業(yè)務(wù)增多，可能會將老區(qū)的各棟樓進行匯聚設(shè)計，再接入新住院大樓機房的核心交換機。為考慮后期擴容，本次核心交換機采用高性能的交換機，支持12個業(yè)務(wù)插槽，可最大可接入576個萬兆端口，96個40GE端口，為后期擴容提供很好的接入。

現(xiàn)根據(jù)實際需求，內(nèi)部醫(yī)療信息網(wǎng)以萬兆主干，用戶線速千兆交換到桌面，整個大樓部署WLAN，以增強網(wǎng)絡(luò)的覆蓋范圍和應(yīng)用的靈活性。網(wǎng)內(nèi)所有用戶需要使用認(rèn)證安全接入，并且具有對認(rèn)證用戶進行規(guī)范化管理。整網(wǎng)實現(xiàn)智能網(wǎng)絡(luò)管理，將多種管理系統(tǒng)，如設(shè)備管理、用戶管理、業(yè)務(wù)管理、資源管理合為統(tǒng)一平臺。其中在新樓三層有200個點左右手術(shù)中心業(yè)務(wù)，與PACS等業(yè)務(wù)分開單獨走光纖接入核心交換機。

? 出口處

由于數(shù)據(jù)量大（共有4031個信息點，其中含有無線AP共342個點）建議在網(wǎng)絡(luò)出口處部署硬件（非插卡，若在核心交換機上采用防火墻插卡，會占用大量的CPU資源，當(dāng)CPU利用率過高時會導(dǎo)致核心交換機宕機，導(dǎo)致業(yè)務(wù)中斷）萬兆防火墻，能很好的應(yīng)對高峰期業(yè)務(wù)數(shù)據(jù)，避免出現(xiàn)數(shù)據(jù)擁塞，丟包現(xiàn)象的發(fā)生。

內(nèi)網(wǎng)屬于涉密網(wǎng)，出口處采用2高端防火墻互為雙機，防火墻主要用于審核所連各網(wǎng)絡(luò)區(qū)域之間的訪問請求，通過與訪問控制規(guī)則的比較，確保合法的訪問的通過，從而為外網(wǎng)與內(nèi)部網(wǎng)絡(luò)建立了一道防御屏障，嚴(yán)格阻止了外部網(wǎng)絡(luò)非法用戶的攻擊和入侵。同時，社保局可以通過NAT映射訪問相應(yīng)的設(shè)備。

1）核心層

核心層是整個內(nèi)網(wǎng)的骨干中心，負(fù)責(zé)提供數(shù)據(jù)的高速轉(zhuǎn)發(fā)。要求網(wǎng)絡(luò)高度可靠，具有極高的性能和擴展性；本次設(shè)計在核心層部署2臺高端核心交換機互做雙機，核心交換機支持冗余引擎，配置冗余電源，模塊支持熱插拔。內(nèi)網(wǎng)主干為萬兆雙鏈路，核心交換機能夠提供萬兆接入能力。

2）匯聚層

匯聚層用于匯聚所有接入交換機的數(shù)據(jù)至核心交換機，因此部署的交換機需具備大容量、高性能的要求，可提供多個千兆光接口和萬兆光接口。

3）接入層

接入交換機通過雙鏈路千兆多模光纖連接至匯聚交換機，同時提供千兆接入到桌面的能力；接入層應(yīng)具有快速收斂、易于擴展、上行鏈路備份和負(fù)載均衡等特點，同時提供了良好的擴展性。

4）網(wǎng)管系統(tǒng)

網(wǎng)絡(luò)安全和管理是整個網(wǎng)絡(luò)必須重視的一個重要環(huán)節(jié)，需要加強網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)，防止黑客、木馬和病毒等的侵?jǐn)_，拒絕惡意攻擊和泄密，該網(wǎng)絡(luò)需要建設(shè)完善的網(wǎng)絡(luò)安全體系。由于網(wǎng)絡(luò)規(guī)模較大，網(wǎng)絡(luò)管理人員有限，所以需要建立實用、高效的網(wǎng)絡(luò)管理系統(tǒng)。

5）防火墻的部署

由于內(nèi)網(wǎng)業(yè)務(wù)的重要性，在內(nèi)網(wǎng)部署兩臺面向大中型企業(yè)機構(gòu)和數(shù)據(jù)中心設(shè)計的新一代萬兆防火墻，實現(xiàn)該接口訪問控制，通過在該防火墻設(shè)置嚴(yán)格的訪問控制策略，對訪問醫(yī)院應(yīng)用數(shù)據(jù)系統(tǒng)的訪問做嚴(yán)格的訪問控制，同時在應(yīng)用交換機上根據(jù)訪問的特點設(shè)置相應(yīng)的ACL。同事可以對核心交換機的每個端口和業(yè)務(wù)流供外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、URL過濾、應(yīng)用層過濾等功能。

6）數(shù)據(jù)庫審計系統(tǒng)

醫(yī)院內(nèi)部業(yè)務(wù)要經(jīng)常使用到農(nóng)合、醫(yī)保，如果不能有一個有效的方法來管理，就會對內(nèi)部的資源以及辦公OA信息造成泄漏，對整個醫(yī)院造成無法估量的損失，因此本次網(wǎng)絡(luò)中部署一臺運維審計設(shè)備，從而對整個醫(yī)院資源以及內(nèi)部信息起到有效的保護作用。

2.2 智能化專網(wǎng)建設(shè)方案

圖2

智能化設(shè)備通信網(wǎng)作為一卡通系統(tǒng)、醫(yī)療信息發(fā)布等智能化設(shè)備的獨立通信網(wǎng)絡(luò)，本次接入設(shè)備少，采用核心層—接入層兩層架構(gòu)，實現(xiàn)千兆骨干，百兆到桌面的網(wǎng)絡(luò)結(jié)構(gòu)。

1）核心交換機

本方案在核心層，部署模塊化核心路由交換機一臺，配置冗余電源和主控板，可以實現(xiàn)對全網(wǎng)的數(shù)據(jù)進行高速無阻塞的交換，負(fù)責(zé)路由管理、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)服務(wù)、核心數(shù)據(jù)處理等。其硬件策略路由功能為醫(yī)院的出口規(guī)則提供了靈活的設(shè)置。

2）接入交換機

接入層應(yīng)該能夠?qū)崿F(xiàn)對用戶的訪問控制，并具有較強的安全和QOS控制功能，支持802.1x的認(rèn)證，支持千兆上聯(lián)百兆到桌面，支持SMNP的網(wǎng)管。同時，為滿足醫(yī)院智能化專網(wǎng)接入的需求，接入層應(yīng)考慮百兆可智能堆疊交換機。

2.3 安防專網(wǎng)建設(shè)方案

圖3

采用兩層網(wǎng)絡(luò)架構(gòu)，千兆核心，百兆接入，單核心單鏈路。主要支持所有網(wǎng)絡(luò)結(jié)構(gòu)的安防系統(tǒng)的信號傳輸。從新住院樓到每個建筑單體預(yù)留1根12芯光纖，作為將來相應(yīng)的建筑單體改造后，智能化系統(tǒng)全部實現(xiàn)網(wǎng)絡(luò)化結(jié)構(gòu)，接入到現(xiàn)有管理中心的需要。

安防專網(wǎng)采用系統(tǒng)數(shù)字化設(shè)計，包括音視頻監(jiān)控系統(tǒng)、綜合報警系統(tǒng)等多個子系統(tǒng)。安防網(wǎng)采用二層網(wǎng)絡(luò)架構(gòu)，即核心-接入方式。設(shè)計速率為千兆骨干、百兆到桌面，每個樓宇利用接入交換機匯聚到接入核心交換機。

1）核心交換機

本方案在核心層，部署模塊化核心路由交換機一臺，配置冗余電源和主控板，可以實現(xiàn)對全網(wǎng)的數(shù)據(jù)進行高速無阻塞的交換，負(fù)責(zé)路由管理、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)服務(wù)、核心數(shù)據(jù)處理等。其硬件策略路由功能為醫(yī)院的出口規(guī)則提供了靈活的設(shè)置。

2）接入交換機

接入層應(yīng)該能夠?qū)崿F(xiàn)對用戶的訪問控制，并具有較強的安全和QOS控制功能，支持802.1x的認(rèn)證，支持千兆上聯(lián)百兆到桌面，支持SMNP的網(wǎng)管。同時，為滿足醫(yī)院安防專網(wǎng)接入的需求，接入層應(yīng)考慮百兆可智能堆疊交換機。

2.4網(wǎng)絡(luò)管理設(shè)計

對于住院部大樓建設(shè)的三套物理隔離的網(wǎng)絡(luò)系統(tǒng)，實現(xiàn)三套網(wǎng)絡(luò)的互訪。隨著網(wǎng)絡(luò)的建成，大量的網(wǎng)絡(luò)應(yīng)用投入運行。網(wǎng)絡(luò)管理的目的在于保障網(wǎng)絡(luò)運行的性能，如維持傳輸頻寬，避免傳遞延遲，降低錯誤率及網(wǎng)絡(luò)中斷，提供使用者透明度及依賴度等。使用網(wǎng)絡(luò)管理系統(tǒng)可以大大提高網(wǎng)絡(luò)管理員的工作效率，在用戶內(nèi)部網(wǎng)絡(luò)不斷成長的情況下，仍可維持較少的網(wǎng)絡(luò)管理員，降低網(wǎng)絡(luò)的使用，維護成本。

本次選用的網(wǎng)絡(luò)管理軟件使用靈活的組件技術(shù)，支持多種操作平臺，并能夠與多種通用網(wǎng)管平臺集成，實現(xiàn)從設(shè)備級到網(wǎng)絡(luò)級全方位的網(wǎng)絡(luò)管理。

2.4.1 拓?fù)浼斜O(jiān)視

提供統(tǒng)一拓?fù)浒l(fā)現(xiàn)功能，全網(wǎng)監(jiān)控，可以實時監(jiān)控所有設(shè)備的運行狀況，并根據(jù)網(wǎng)絡(luò)運行環(huán)境變化提供合適的方式對網(wǎng)絡(luò)參數(shù)進行配置修改，保證網(wǎng)絡(luò)以最優(yōu)性能正常運行。

2.4.2 故障管理

對全網(wǎng)設(shè)備的故障、運行狀態(tài)進行實時監(jiān)控、歷史統(tǒng)計并提供協(xié)助排障的手段。

2.4.3 IP網(wǎng)絡(luò)性能管理

性能管理組件是針對網(wǎng)絡(luò)層管理特性的一個重要組件，提供大規(guī)模IP網(wǎng)絡(luò)性能監(jiān)控手段，可以從設(shè)備、路徑、鏈路、業(yè)務(wù)等層面對網(wǎng)絡(luò)性能進行監(jiān)控，作為IP網(wǎng)絡(luò)運行質(zhì)量狀況的監(jiān)視器。

2.4.4 基于WEB的報表管理

采用Browser/Server（B/S）架構(gòu)，提供基于模板的報表開發(fā)和基于 Web 的報表生成、分發(fā)、管理等一整套靈活、方便的報表應(yīng)用服務(wù)。

由于本次建設(shè)的計算機網(wǎng)絡(luò)系統(tǒng)有醫(yī)療內(nèi)網(wǎng)、智能化專網(wǎng)和安防專網(wǎng)，而醫(yī)療內(nèi)網(wǎng)、智能化專網(wǎng)以及安防專網(wǎng)為三套物理隔離的網(wǎng)絡(luò)，因此本次網(wǎng)絡(luò)管理軟件在三套網(wǎng)絡(luò)各配置一套網(wǎng)絡(luò)管理軟件。同時可通過視頻線纜和70寸大屏顯示系統(tǒng)等設(shè)備可將醫(yī)院的整個網(wǎng)絡(luò)拓?fù)滹@示出來。這樣管理人員就可實時的醫(yī)院的網(wǎng)絡(luò)狀況進行掌握，遇到問題立即解決，保證了醫(yī)院的整個網(wǎng)絡(luò)的暢通。

參考文獻：

[1] 曹茂誠， 何及夫. 數(shù)字化醫(yī)院安全網(wǎng)絡(luò)平臺解決方案[J]. 電腦知識與技術(shù)，2014（6）.

[2] 文春生， 段國云. 高效、安全校園網(wǎng)絡(luò)系統(tǒng)的規(guī)劃與設(shè)計[J]. 湖南科技學(xué)院學(xué)報，2013（5）.