淺談疾病預防控制機構計算機網絡系統的建設與管理

馮秀芳

(昆明經濟技術開發區疾病預防控制中心，云南昆明 650501)

淺談疾病預防控制機構計算機網絡系統的建設與管理

馮秀芳

(昆明經濟技術開發區疾病預防控制中心，云南昆明 650501)

本文就疾病預防控制機構計算機網絡系統的建設及系統運行中出現的問題及相應的解決方法，提出了網絡分離、分層設計、分期建設的原則，實踐證明這些原則對于網絡系統平穩安全運行十分重要。

疾控機構信息化；計算機網絡；網絡設計與管理

1 網絡的設計、構成及建設的原則

1.1 網絡的設計原則

1.1.1 高可靠性。網絡系統的穩定可靠是保證應用系統正常運行的關鍵，在網絡設計中應該選用高可靠性網絡產品，合理設計網絡架構，最大限度地支持系統的正常運行。

1.1.2 靈活性及可擴展性。根據醫院業務的增長和流程變化，計算機網絡應該可以平滑地擴充、升級和調整，最大程度地減少對網絡架構和現有設備的調整，保護原有建設投資。

1.1.3 安全可管理性。隨著醫院應用規模和復雜程度的增加，網絡的管理維護和排除故障也越來越困難。建立一個先進而完善的可管理的網絡，對網絡實行集中監測、分權管理，從而保證醫院業務的安全可靠運行。而實現安全可管理，往往需要軟硬件結合的方式。

1.2 網絡分離與分層設計。網絡分離是指根據需要將不同用途的計算機網絡在物理上分開，避免出現一個網絡承載多種業務，尤其是核心業務。分層設計即按照接入層→匯聚層→核心層的層次結構進行設計，分層設計利于網絡擴展和靈活布置，對實現網絡有效管理、提高網絡性能、預防病毒攻擊、網絡風暴等有重要作用。

1.3 分階段建設。由于疾控機構信息化建設的特殊性、機構對信息網絡的投入、機構管理層對于信息化建設的認識等原因，疾病預防機構計算機網絡系統的建設不可能一蹴而就，在建設的初期就應該確定“前瞻性、分階段”的建設原則，根據資金投入和階段目標，兼顧未來發展趨勢進行建設。

2 網絡構成圖

疾病預防醫療機構網絡示意圖秉承“網絡分離”的原則，機構的計算機網絡由業務網(內網)、互聯網(外網)、醫保專網等三個相互隔離的網絡系統構成。在每個網絡中，核心交換機均采用企業級核心交換機，另外有匯聚層交換機，接入層交換機，核心交換機與匯聚交換機之間用千兆光纖進行連接，匯聚交換機與接入交換機之間、接入交換機與工作站之間采用百兆雙絞線進行連接。從地域結構上看，接入層交換機分布在大樓的各層，每棟樓根據需要設置數臺匯聚層交換機，為了方便管理，每個匯聚層交換機可設置為一個獨立的虛擬子網。業務網主要用于承載病區管理系統、醫技科室管理系統、藥品管理系統、財務管理系統、物資管理系統、電子病案系統等系統的運行與互聯網完全隔離，網絡結構穩定，用戶行為相對單一。業務網中心服務器采用兩臺服務器組成雙機熱備系統，實現了當A機死機時，B機能在短時間內實現接管，保證業務正常運行，同時應建立了遠程異地災備系統。業務網建立單獨的域，對于接入業務網的用戶由域服務器進行權限控制，系統管理員按照“分級授權”的原則設定資源訪問權限。在業務網的管理上，主要是防病毒及協助用戶使用業務軟件。互聯網主要為了方便機構醫務人員查找資料、對外發布疾控機構有關信息等。由于安全等原因，對接入互聯網的用戶需要實行相對比較復雜的管理方式，包括根據建筑物劃分虛擬子網、IP地址綁定、限制訪問區域、端口屏蔽等有效的措施，同時應針對不同的網絡用戶，設置不同的QOS策略。

3 軟件系統構成

目前，醫療機構業務網軟件系統主要有HIS、PACS、LIS、電子病歷系統等，實現了病人從掛號、繳費到出院的全程計算機管理，機構各級領導可通過計算機調閱授權范圍內的數據。互聯網除了提供HTTP、FTP等傳統業務外，開通機構中心內電子期刊系統也很有必要，醫護人員可以到中心內電子閱覽室查閱電子期刊，也可在開通互聯網業務的病區計算機上查閱資料，使得醫護人員繼續教育手段進一步多樣化。為了最大限度發揮計算機網絡的功能，同時保證網絡安全平穩運行，需要使用各種網絡管理軟件及輔助工具。在機構的網絡管理軟件中，主要包括網絡拓撲管理、網上行為管理、流量管理、桌面管理、防病毒軟件等。在這些軟件的安裝布置中，有些是保證網絡安全平穩運行所必需的，例如防病毒軟件等，有些是根據實際工作需要添加的，例如，在實際工作中，根據統計，我們發現日常工作的多數問題是工作站用戶由于操作不當而引起，同時由于各用戶節點遍及全院各建筑物，因此為了能夠及時處理這些可以通過遠程協助解決的問題，采用了遠程桌面管理軟件。通過這些工具，實現了準確、及時地處理問題。需要注意的是，對于疾控機構計算機網絡系統而言，在采用一套新的軟件時是需要十分慎重的。在安裝布置一套新軟件之前，需要先詳細地了解該軟件的工作原理、工作性能、健壯性、兼容性等特性。然后在特定范圍內進行試用，針對出現的網絡異常情況(如網速下降、部分掉線等)進行認真分析，確定是否是新軟件引起、是否對網絡安全平穩運行構成威脅及如何處理。軟件安裝布置完成后，系統管理員要定時收集網絡性能參數，對異常及時處理防患于未然。如在ARP攻擊、熊貓燒香等病毒爆發前，網絡中均會出現比較明顯的異常。

4 網絡管理

4.1 安全管理

對于網絡的安全管理主要由以下幾部分構成：權限管理、防病毒管理、設備管理等。安全管理的基本任務就是對網絡的日常巡查和性能監視，如每天察看流量日志、安全日志等并進行認真分析確定有無異常情況，對網絡應用軟件進行及時升級更新。一個核心是制定一套完善可行的管理制度，保證每項工作都有人員具體負責，保證每一次操作都是規范和允許的。堅持對管理人員、操作人員集中培訓，從而大大降低人為因素引入的安全問題。

4.2 服務管理

在計算機網絡系統建立完成后，系統管理員應該根據實際運行情況和用戶行為模式制定服務策略。例如，對于互聯網網絡帶寬的分配，正常辦公時間行政部門對帶寬需求大，那么分配上就要適當傾斜，而在非辦公時間，帶寬就要對電子閱覽室適當傾斜，因為此時有更多的人員去電子閱覽室下載資料、觀看視頻教學等。同時為了保證網絡正常使用，要對P2P應用、網絡電視等進行限制。

4.3 應急管理

計算機網絡系統作為醫院信息化的基礎工程，從投入使用的第一天起，就應該建立完善的應急管理機制，包括各項制度及措施。應急管理的內容不僅包括出現硬件損壞、線路故障的硬件應急措施，還應該包括異常數據流、頻繁掉線等軟件問題。尤其是軟件問題，需要管理員借助專業的工具進行長時間的觀察和分析才能找到問題所在，因此更需要事先制定詳細的應急處理措施，才能保證業務系統正常運行，特別是承載信息系統的容災和備份業務的計算網絡。

5 結語

隨著計算機網絡技術的進一步發展，網絡速度進一步提高，網絡設備更加多樣化，網絡需求更加復雜，疾病控制機構計算機網絡的設計、運行和維護管理等必將更加復雜。在實際工作中，網絡管理人員應該進一步加強學習，提高業務素質，深入了解技術和應用發展趨勢，使計算機網絡更好地為疾病預防控制信息化發展服務。

[1]黃紹賢.醫院計算機基礎網絡建設的幾點體會[J].中國醫院管理，2003,23(8):36-37.

[2]李懷慶等.醫療信息系統故障應急預案的建立與實施[J].醫療設備信息，2006,21(10):62-63.

2014-05-30

TP393

B

1002-2376(2014)08-0025-02