醫院網絡改造擴容方案與實施

郭偉

【摘要】? ? 通過對網絡硬件設備的改造和擴容，解決太和縣人民醫院信息化建設中工作中新需求，增加網絡安全性和穩定性及傳輸速率。通過雙冗余通信服務商光纖線路、堆疊雙活網絡設備保障網絡傳輸，擴充升級設備帶寬滿足遠距離醫院信息系統互接、PACS上線帶寬提升的工作需求，并通過劃分VALN，擴容核心交換機等方法保證網絡安全和穩定性。改造原則：統一規劃、分步實施、合理配置、穩步建設。

【關鍵字】? ? 醫院? ? 網絡? ? 改造擴容? ? 實施

一、前言

隨著醫院信息系統的快速發展，更多的中小醫院已從基礎信息化建設發展成多業務、多模塊、多病區互聯的整體建設，以提高醫院的服務水平和核心競爭力。從最初的“以藥品、財務為中心”的醫院基本信息系統向“以電子病歷為核心”的醫院信息系統轉變，醫院信息化建設已經取得了顯著成效。隨著醫院信息化的不斷深入，醫院HIS系統、LIS系統、CIS系統、PACS等系統相互融合，醫院的信息化建設也已經從簡單的數據業務應用逐步發展到數據、圖像、視訊等多業務統一承載，而傳統醫院網絡已經無法滿足新業務的需求。一個穩定、高效、兼容、安全的網絡規劃建設已迫在眉睫。

二、項目背景與需求

項目基本情況：太和縣人民醫院是一所國家三級甲等綜合醫院，實際開放床位1680張。現擁有南區、北區、五星三個病區。五星病區距離南區本部二十公里，此次方案需解決的問題之一為遠距離醫院信息系統互聯。

隨著業務系統的不斷增加，原兩層架構交換機接入方式已不能滿足業務需求。根據信息化建設需求，實施網絡設備改造升級，擴容核心設備，以提高網絡帶寬速率，保證安全性與穩定性，并采用智能管理軟件提高管理效率。

三、建設目標

為保證內部網絡系統的安全，采用雙核心樹型三層架構。主干網與影像中心萬兆網速、千兆到桌面。所有重要應用服務器，如HIS、LIS、EMR、PACS系統等都部署在內部網絡數據中心，數據中心需要有一定的備份容災能力和入侵防御能力。根據醫院發展需要，解決五星病區信息系統互聯需求。

四、實施方案

4.1網絡改造升級方案

太和縣人民醫院信息系統重要業務應用全部處于內網，網絡平臺的高效以及可靠直接影響到整個醫院信息化實施，醫院的多種業務系統如：門診系統、住院系統、電子病歷系統、PACS影像系統、檢驗等信息系統并行，業務數據量巨大。

內網系統采用萬兆主干、千兆到桌面的方式，增大內部數據交換的帶寬和速率，讓內部網絡真正成為信息化效率的助推器。整網設備都部署智能型可管理設備，可以對網內不同業務進行隔離，保證了不同應用系統數據不交叉，從基礎上增加了網絡以及應用數據的安全性。

考慮到所有區域樓層交換通過光纖鏈路直接接入核心交換，可能造成核心交換接口數量過重，為了均衡網絡結構，本次采用三層架構，分別為核心層、匯聚層、接入層。核心層作為整網核心，承擔整網數據傳輸中樞;匯聚層，在主要區域進行鏈路匯聚及部分二層流量終結，減輕核心的接口數量壓力及部分轉發壓力;接入層，直接面對桌面用，提供線速數據傳輸。具體如下圖1所示：

4.2五星病區網絡設計

與電信、移動業務提供商簽訂光纖租賃合同，完成南區到五星病區物理層連接。五星病區共有三棟大樓網絡接入，樓宇之間預埋十二芯光纖接入至五星病區中心機房。中心機房放置兩臺匯聚交換機，用于上聯核心交換機，下聯樓宇接入層交換機，做到光纖傳輸鏈路和網絡設備雙冗余保障物理連接。由于五星病區與南區本部距離較遠，采用千兆單模40KM光模塊做為連接，以保證傳輸的穩定性和速率。

4.3網絡安全與智能化管理

據調查得知，在網絡安全事情中，大部分是發生局域網內的，并且隨著內部網絡的龐大化和復雜化，這一比例仍有增長的趨勢，而各類移動設備通過USB接口也成為病毒和木馬的重要入侵手段 。因此內網安全一直是網絡安全建設關注的重點，但是由于內網以交換環境為主、節點數量多、分布復雜、終端用戶安全應用水平參差不齊等原因，一直以來也都是安全建設的難點。為應對以上問題，我院在網絡改造的同時也針對網絡安全做出以下布置：

1）劃分VLAN提升網絡安全

我院根據業務模塊、物理位置、易于管理等方面仔細分析了子網劃分，確定實施網絡了VLAN劃分方案，把整個網絡劃分成若干虛擬局域網，相互之前通過策略進行訪問與隔離，提高網絡的利用率，確保網絡的安全性，解決從前網絡運行速度較慢的問題。另外，隨著醫院信息化建設的深入發展，我院內網的計算機數量也越來越多，為了控制穩中有各類攻擊、廣播風暴和提高網絡安全性，也迫切需要實施VLAN 劃分。同時應用網管軟件進一步增強醫院網絡安全。

2）以防火墻為核心的內網訪問控制

為解決傳統基于VLAN和ACL的內網訪問控制解決方案的不足，我院采用以防火墻為核心的內網訪問控制解決方案。其核心是在核心交換機上擴展SecBlade防火墻模塊，通過SecBlade防火墻模塊對內網各個VLAN之間的訪問進行精細化的控制。同時配合交換機的端口隔離特性，實現對同一VLAN內終端之間通過策略進行訪問限制。

3）智能管理中心

為提高網絡管理的效率，減輕網絡維護的壓力，在整個內網管理上，我院采用H3C智能管理中心進行內網設備與用戶的統一管理。應用網管軟件進一步增強醫院網絡安全質量。有了好的硬件網絡基礎還需要好的網管軟件進行輔助，才能達到真正的完全管理，提高網絡監控能力，迅速找出網絡故障點和預警將可能發生的網絡問題，防范于未然。我院改造后的內網統一使用 H3C 交換機，上線使用 H3C 智能管理平臺及端點準入控制，采用集中網管方式，對路由器、交換機進行統一管理和維護。網絡維護人員在同一個網絡管理平臺上可輕松對所有設備進行管理監控，隨時掌握整個網絡情況和各業務應用情況。直接在集中監控平臺上查看所有服務器的資源、進程、應用、服務進行監視，全面了解服務器在線狀態。對終端電腦進行安全論證，防止非法接入，確保網絡安全。

智能管理平臺是在統一了設備資源和用戶資源管理的平臺框架的基礎上，實現的基礎業務管理平臺，包括iMC基礎網絡管理和iMC基本用戶和接入管理。iMC基礎網絡管理，涵蓋了傳統網管的主要功能，包括告警管理、性能管理、拓撲管理等。iMC基本用戶和接入管理，主要管理用戶的接入控制。iMC智能管理平臺和ACL Manager等網絡資源管理組件一起構成了承載其他業務的基礎平臺，實現資源、用戶和業務的融合管理。

五、結語

整個網絡改造擴容成功后，提高了網絡系統的速率與帶寬，增強了系統穩定性與安全性。我院南區本部與五星病區實現了安全穩定連接，PACS系統平穩傳輸。而一旦將來業務流量變大以后，現有匯聚及核心交換機可以平滑過度為接入、匯聚交換機;并且所有設備可以與其他產品組合兼容，成為一個高性能、易擴展的平臺，不僅節約了醫院的網絡投資成本，而且為我院后續業務的快速發展奠定了堅實的基礎。

參? 考? 文? 獻

[1]作者：紀亞亮 文獻題名：一院兩址網絡割接改造方案的設計與實施? 刊名：《醫療衛生裝備》2018年39卷6期 55-57，90頁

[2]作者：王玉珍 [1] 李洪威 [1] 武旭紅 [1] 文獻題名：醫院網絡及數據中心升級改造研究 刊名：《中國醫療設備》2018年33卷9期 141-143，157頁

[3]作者：蘇悅洪 [1] 李彬 [1] 石文娟 [1] 任忠敏 [1] 何彩升 [1] 文獻題名：醫院業務系統硬件平臺信息化建設與改造 刊名：《醫學信息學雜志》2017年38卷1期 41-44頁