醫(yī)院數(shù)據(jù)中心建設(shè)中網(wǎng)絡(luò)規(guī)劃研究與應(yīng)用

摘要：隨著醫(yī)院數(shù)據(jù)中心建設(shè)愈發(fā)成為醫(yī)院信息化建設(shè)的重要組成部分，網(wǎng)絡(luò)建設(shè)作為數(shù)據(jù)中心建設(shè)的基礎(chǔ)。本文以山東省立第三醫(yī)院數(shù)據(jù)中心建設(shè)為例，介紹數(shù)據(jù)中心的網(wǎng)絡(luò)規(guī)劃和實(shí)施。文中網(wǎng)絡(luò)建設(shè)劃分為醫(yī)院內(nèi)網(wǎng)、醫(yī)院外網(wǎng)兩個(gè)區(qū)域。院內(nèi)網(wǎng)區(qū)域?qū)崿F(xiàn)醫(yī)院HIS、LIS、PACS等主要業(yè)務(wù)安全穩(wěn)定地運(yùn)行，同時(shí)部署安全防護(hù)區(qū)域用于保護(hù)網(wǎng)絡(luò)安全和數(shù)據(jù)安全。醫(yī)院外網(wǎng)區(qū)域主要實(shí)現(xiàn)提供以面向患者服務(wù)的信息系統(tǒng)，同時(shí)部署安全產(chǎn)品進(jìn)行互聯(lián)網(wǎng)訪問(wèn)保護(hù)。通過(guò)網(wǎng)閘實(shí)現(xiàn)醫(yī)院內(nèi)網(wǎng)和外網(wǎng)區(qū)域的數(shù)據(jù)交換，本院數(shù)據(jù)中心網(wǎng)絡(luò)規(guī)劃與實(shí)施確保了網(wǎng)絡(luò)通信與安全穩(wěn)定運(yùn)行，為數(shù)據(jù)中心提供了良好的網(wǎng)絡(luò)基礎(chǔ)。

關(guān)鍵詞：數(shù)據(jù)中心;信息系統(tǒng);網(wǎng)絡(luò)規(guī)劃;網(wǎng)絡(luò)通信

【Abstract】Withthedevelopmentofhospitaldatacenter，itsdesignhasbecomeanimportantpartofhospitalinformationconstruction.TakingthedatacenterconstructionofShandongProvincialThirdHospitalasanexample，thepaperresearchesthenetworkplanningandimplementationofthedatacenter.Thenetworkconstructionisdividedintohospitalintranetandhospitalextranet.Themainbusiness，suchasHIS，LISandPACScanrunsafelyandstablyinthehospitalintranetarea.Atthesametime，thesecurityzoneisdeployedtoprotectnetworksecurityanddatasecurity.Theexternalnetworkareaofthehospitalmainlyprovidespatientorientedinformationsystem.Afterthat，securityproductsaredeployedforInternetaccessprotection.Dataexchangebetweenintranetandextranetinhospitalisrealizedthroughgateway.Thedatacenternetworkplanningandimplementationinthehospitalensurethenetworkcommunicationandsafeandstableoperation.Itprovidesagoodnetworkfoundationforthedatacenter.

【Keywords】datacenter;informationsystem;networkplanning;networkcommunication

作者簡(jiǎn)介：吳冠朋（1989-），男，碩士，山東省立第三醫(yī)院信息網(wǎng)絡(luò)部工程師，主要研究方向：人工智能與圖像處理技術(shù)。

0引言

隨著信息化發(fā)展，國(guó)家加大基礎(chǔ)建設(shè)投入，數(shù)據(jù)中心[1-3]建設(shè)成為政企、醫(yī)院、學(xué)校等建設(shè)的重要組成部分。而數(shù)據(jù)中心建設(shè)包含硬件設(shè)備和軟件設(shè)備。其中，硬件設(shè)備包含網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備、安全設(shè)備等。而網(wǎng)絡(luò)架構(gòu)[4-5]作為數(shù)據(jù)中心的通信基礎(chǔ)，也是建設(shè)數(shù)據(jù)中心必不可少的關(guān)鍵建設(shè)。本文以山東省立第三醫(yī)院數(shù)據(jù)中心建設(shè)為例，介紹數(shù)據(jù)中心的網(wǎng)絡(luò)規(guī)劃和實(shí)施。本次研究的網(wǎng)絡(luò)規(guī)劃與實(shí)施很好地確保了網(wǎng)絡(luò)通信與安全穩(wěn)定運(yùn)行。對(duì)此擬展開研究詳述如下。

1數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案

醫(yī)院數(shù)據(jù)中心的建設(shè)是醫(yī)院信息化[6]建設(shè)的重要評(píng)判標(biāo)準(zhǔn)，數(shù)據(jù)中心建設(shè)需要合理規(guī)劃數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)、安全防范[7]體系建設(shè)、

服務(wù)器集群搭建等。本文通過(guò)合理選用設(shè)備廠商提供的通信設(shè)備、安全交互設(shè)備、服務(wù)器等。數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案如圖1所示。圖1中，數(shù)據(jù)中心區(qū)域主要是以服務(wù)器區(qū)域?yàn)橹鳎簠^(qū)的醫(yī)院信息系統(tǒng)（HospitalInformationSystem，HIS）、實(shí)驗(yàn)室信息管理系統(tǒng)（LaboratoryInformationManagementSystem，LIS）、醫(yī)學(xué)影像存檔與通訊系統(tǒng)（Picturearchivingandcommunicationsystems，PACS）、電子病歷系統(tǒng)（ElectronicMedicalRecord，EMR）等，是醫(yī)院業(yè)務(wù)展開的核心。其次，是運(yùn)維管理區(qū)域，包含運(yùn)維管理系統(tǒng)、認(rèn)證系統(tǒng)等。安全防護(hù)區(qū)域包含：準(zhǔn)入系統(tǒng)、殺毒系統(tǒng)、日志審計(jì)系統(tǒng)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、堡壘機(jī)系統(tǒng)、VPN接入系統(tǒng)等。院區(qū)網(wǎng)主要分為醫(yī)院內(nèi)網(wǎng)和醫(yī)院外網(wǎng)，都是通過(guò)標(biāo)準(zhǔn)三層網(wǎng)絡(luò)架構(gòu)，包含核心設(shè)備、匯聚設(shè)備、接入設(shè)備等。院區(qū)內(nèi)外網(wǎng)絡(luò)通過(guò)具有網(wǎng)絡(luò)隔離的網(wǎng)閘設(shè)備進(jìn)行內(nèi)外網(wǎng)間的數(shù)據(jù)交互。對(duì)外網(wǎng)區(qū)域包括互聯(lián)網(wǎng)出口防火墻、上網(wǎng)行為管理系統(tǒng)等進(jìn)行網(wǎng)絡(luò)保護(hù)與行為管理。

2數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)規(guī)劃與實(shí)施

網(wǎng)絡(luò)架構(gòu)的規(guī)劃與實(shí)施是數(shù)據(jù)中心建設(shè)的基礎(chǔ)，為達(dá)到網(wǎng)絡(luò)架構(gòu)規(guī)劃與實(shí)施，對(duì)此可做闡釋分述如下。

2.1數(shù)據(jù)中心建設(shè)需求

以網(wǎng)絡(luò)應(yīng)用需求、網(wǎng)絡(luò)性能需求、信息點(diǎn)統(tǒng)計(jì)作為網(wǎng)絡(luò)規(guī)劃需求分析。網(wǎng)絡(luò)應(yīng)用應(yīng)滿足目前院區(qū)現(xiàn)有HIS系統(tǒng)、LIS系統(tǒng)、PACS系統(tǒng)等業(yè)務(wù)，系統(tǒng)總體需要使用HTTP、FTP、HTTPS等端口應(yīng)用需求，核心層網(wǎng)絡(luò)需要具備：整機(jī)交換容量≥150Tbps，包轉(zhuǎn)發(fā)率≥36000Mpps，業(yè)務(wù)插槽數(shù)量≥6，全寬主控引擎槽位≥2，獨(dú)立交換網(wǎng)板槽位≥1個(gè)等。匯聚層設(shè)備需要滿足：交換容量≥23Tbps，包轉(zhuǎn)發(fā)率≥1080Mpps，萬(wàn)兆光接口≥48，40G光接口≥2等。接入層設(shè)備需要滿足的性能：千兆電口≥48個(gè)，萬(wàn)兆光接口≥2個(gè)，萬(wàn)兆電口≥2個(gè);整機(jī)交換容量≥330Gbps，轉(zhuǎn)發(fā)性能≥160Mpps等。并且所有網(wǎng)絡(luò)設(shè)備可以做到物理設(shè)備虛擬化、支持冗余鏈路。信息點(diǎn)統(tǒng)計(jì)主要是以電腦、打印機(jī)等接入終端數(shù)量，信息點(diǎn)達(dá)到2000多，根據(jù)樓宇及樓層劃分不同的虛擬局域網(wǎng)（VirtualLocalAreaNetwork，VLAN）。實(shí)現(xiàn)網(wǎng)絡(luò)的訪問(wèn)隔離。

2.2綜合布線[8-9]總體設(shè)計(jì)

根據(jù)院區(qū)現(xiàn)有HIS系統(tǒng)、LIS系統(tǒng)、PACS系統(tǒng)等業(yè)務(wù)，結(jié)合網(wǎng)絡(luò)總體設(shè)計(jì)考慮到樓宇間、中心機(jī)房的綜合布線[8]、樓宇間互聯(lián)設(shè)備及傳輸介質(zhì)的選擇、主干鏈路帶寬、接入帶寬、無(wú)線網(wǎng)絡(luò)方案等多種需求。樓宇間、中心機(jī)房的綜合布線以支持萬(wàn)兆傳輸?shù)?類雙絞線及支持萬(wàn)兆光纖作為主要布線方式。樓宇間互聯(lián)設(shè)備通過(guò)長(zhǎng)距離的萬(wàn)兆光纖進(jìn)行互聯(lián)，為了保證鏈路傳輸?shù)姆€(wěn)定性及安全性，樓宇互聯(lián)設(shè)備采用雙冗余鏈路。主干鏈路帶寬通過(guò)4臺(tái)核心設(shè)備兩兩形成虛擬化，主干鏈路之間通過(guò)4條10G鏈路聚合成一條40G邏輯鏈路，增加鏈路帶寬、提高網(wǎng)絡(luò)安全性等。接入帶寬主要是以滿足臨床對(duì)PACS系統(tǒng)的需求，接入電腦支持千兆鏈路接入。為滿足移動(dòng)護(hù)理、手持終端PDA的需求，無(wú)線網(wǎng)絡(luò)同樣采用標(biāo)準(zhǔn)化三層網(wǎng)絡(luò)架構(gòu)，且通過(guò)安全加密認(rèn)證方式達(dá)到內(nèi)網(wǎng)訪問(wèn)的安全性。例如診室的設(shè)計(jì)圖紙，見圖2。圖2中，TN表示內(nèi)網(wǎng)接入點(diǎn)。

2.3網(wǎng)絡(luò)三層結(jié)構(gòu)設(shè)計(jì)。

數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)采用標(biāo)準(zhǔn)三層架構(gòu)，詳見圖3。由圖3可知，該架構(gòu)包含核心層、匯聚層、接入層架構(gòu)。根據(jù)接入信息點(diǎn)的數(shù)量計(jì)算出接入層設(shè)備、匯聚層設(shè)備、核心層設(shè)備的數(shù)據(jù)交換率、轉(zhuǎn)發(fā)率、路由條數(shù)目、ARP數(shù)量、路由方式、負(fù)載分擔(dān)、虛擬化等功能。

核心層設(shè)備采用2臺(tái)H3C的7506E作為核心交換機(jī)，并且通過(guò)其獨(dú)有的智能彈性框架技術(shù)（IntelligentResilientFramework，IRF）將設(shè)備上多臺(tái)物理接口連接在一起后通過(guò)IRF技術(shù)將多臺(tái)物理設(shè)備虛擬成一臺(tái)邏輯設(shè)備。在設(shè)備上完成虛擬化后的配置如圖4所示。

在核心交換機(jī)上完成業(yè)務(wù)接入虛擬局域網(wǎng)[10]（VirtualLocalAreaNetwork，VLAN）設(shè)計(jì)、物理接口鏈路聚合、訪問(wèn)控制策略、流量鏡像、訪問(wèn)路由、登錄方式等。

匯聚層設(shè)備主要完成接入層設(shè)備的匯聚、流量轉(zhuǎn)發(fā)、網(wǎng)絡(luò)隔離、協(xié)議過(guò)濾等功能。匯聚層設(shè)備采用2臺(tái)H3C的S6520作為匯聚交換機(jī)，同樣通過(guò)IRF技術(shù)實(shí)現(xiàn)物理設(shè)備虛擬化，并且在上行鏈路連接至匯聚交換機(jī)時(shí)采用冗余口字型鏈路，提高網(wǎng)絡(luò)穩(wěn)定性，降低因單鏈路、單點(diǎn)故障而導(dǎo)致的網(wǎng)絡(luò)中斷，匯聚交換機(jī)上物理接口上的配置如圖5所示。

接入層交換機(jī)主要完成終端設(shè)備的接入，通過(guò)在不同樓層劃分不同的VLAN，實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)隔離。并且接入層交換機(jī)通過(guò)鏈路聚合分別上聯(lián)不通的2臺(tái)匯聚交換機(jī)，實(shí)現(xiàn)物理鏈路的冗余。接入交換機(jī)上的聚合鏈路及接入VLAN如圖6所示。

以部分樓層IP及網(wǎng)絡(luò)劃分為例，具體規(guī)劃見表1。

3安全防范體系建設(shè)

安全防范體系[11-12]建設(shè)分為內(nèi)外網(wǎng)數(shù)據(jù)交互、互聯(lián)網(wǎng)訪問(wèn)交互、院內(nèi)安全管理區(qū)域。對(duì)此可給出探討論述如下。

內(nèi)外網(wǎng)數(shù)據(jù)的交互主要以網(wǎng)閘設(shè)備進(jìn)行數(shù)據(jù)交換，網(wǎng)閘主要分為安全區(qū)域和非安全區(qū)，通常內(nèi)網(wǎng)設(shè)備所在的區(qū)域?yàn)榘踩珔^(qū)，互聯(lián)網(wǎng)設(shè)備所在的區(qū)域是非安全區(qū)。信息交互的原理是分時(shí)使用2個(gè)區(qū)域中的數(shù)據(jù)通道進(jìn)行數(shù)據(jù)交換，類似船只擺渡原理。網(wǎng)閘能夠在數(shù)據(jù)交換過(guò)程中進(jìn)行惡意病毒攻擊防范、惡意信息過(guò)濾，提高信息的安全性。

互聯(lián)網(wǎng)訪問(wèn)交互主要是以防火墻設(shè)備為主，出口防火墻上配置雙機(jī)冗余實(shí)現(xiàn)熱備，這樣一臺(tái)設(shè)備故障其他設(shè)備接替工作，同時(shí)增強(qiáng)網(wǎng)絡(luò)穩(wěn)定性，保證業(yè)務(wù)的連續(xù)性。出口防火墻外網(wǎng)區(qū)域連接不同運(yùn)營(yíng)商線路，實(shí)現(xiàn)負(fù)載均衡的同時(shí)提高出口穩(wěn)定性。互聯(lián)網(wǎng)訪問(wèn)交互區(qū)域還部署IPS設(shè)備、WAF設(shè)備、上網(wǎng)行為設(shè)備、終端準(zhǔn)入與管理設(shè)備等安全產(chǎn)品。

院內(nèi)安全管理區(qū)域主要是將安全設(shè)備通過(guò)旁路方式接入院內(nèi)網(wǎng)絡(luò)，安全設(shè)備包含VPN、堡壘機(jī)、日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、終端準(zhǔn)入、入侵檢測(cè)等。通過(guò)VPN、堡壘機(jī)、終端準(zhǔn)入、入侵檢測(cè)等安全設(shè)備的訪問(wèn)控制手段保護(hù)終端設(shè)備訪問(wèn)服務(wù)器;日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)設(shè)備提供訪問(wèn)記錄與操作記錄，實(shí)現(xiàn)安全事件發(fā)生后的追蹤。

4結(jié)束語(yǔ)

本文中網(wǎng)絡(luò)建設(shè)劃分為醫(yī)院內(nèi)網(wǎng)、醫(yī)院外網(wǎng)兩個(gè)區(qū)域。內(nèi)網(wǎng)區(qū)域建設(shè)可實(shí)現(xiàn)醫(yī)院HIS、LIS、PACS等主要業(yè)務(wù)的安全穩(wěn)定運(yùn)行，同時(shí)部署安全防護(hù)區(qū)域用于保護(hù)網(wǎng)絡(luò)安全和數(shù)據(jù)安全。醫(yī)院外網(wǎng)區(qū)域主要提供面向患者服務(wù)的信息系統(tǒng)，通過(guò)網(wǎng)閘進(jìn)行醫(yī)院內(nèi)網(wǎng)和外網(wǎng)區(qū)域的數(shù)據(jù)交換，實(shí)現(xiàn)面向患者服務(wù)的信息系統(tǒng)，同時(shí)部署安全產(chǎn)品進(jìn)行互聯(lián)網(wǎng)訪問(wèn)保護(hù)。目前，本院的網(wǎng)絡(luò)規(guī)劃與實(shí)施很好地確保了網(wǎng)絡(luò)通信與安全穩(wěn)定運(yùn)行。今后將繼續(xù)針對(duì)數(shù)據(jù)中心加強(qiáng)訪問(wèn)控制策略，進(jìn)一步完善網(wǎng)絡(luò)體系架構(gòu)，提高數(shù)據(jù)安全性。

參考文獻(xiàn)

[1]CAIJun，ZHANGZhuo，JIZhengnan.Constructionofdatacentreincampusnetwork[C]//2012SecondInternationalConferenceonBusinessComputing&GlobalInformatization.Shanghai，China：IEEEComputerSociety，2012：622-624.

[2]魏祥麟，陳鳴，范建華，等.數(shù)據(jù)中心網(wǎng)絡(luò)的體系結(jié)構(gòu)[J].軟件學(xué)報(bào)，2013（2）：295-316.

[3]許鑫，蘇新寧，吳乃岡.高校共享數(shù)據(jù)中心平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[J].現(xiàn)代圖書情報(bào)技術(shù)，2005（6）：48-53.

[4]張東湖，何雨生，羅京全，等.醫(yī)院三層網(wǎng)絡(luò)架構(gòu)分析與設(shè)計(jì)[J].中國(guó)醫(yī)療設(shè)備，2008，23（7）：30-32，40.

[5]朱建江，朱正江，彭龍.企業(yè)園區(qū)三層網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)與現(xiàn)代化，2009（9）：70-73，76.

[6]王佳，王偉，程實(shí).醫(yī)院信息化建設(shè)實(shí)踐中問(wèn)題的探討[J].醫(yī)學(xué)信息學(xué)雜志，2013（3）：20-23.

[7]林慶華.企業(yè)網(wǎng)絡(luò)系統(tǒng)安全架構(gòu)分析設(shè)計(jì)與實(shí)施[D].濟(jì)南：山東大學(xué)，2007.

[8]任增龍.對(duì)醫(yī)院綜合布線系統(tǒng)建設(shè)的幾點(diǎn)意見[J].中國(guó)醫(yī)療設(shè)備，2010，25（4）：62-64.

[9]羅敏，王小林，羅松，等.醫(yī)學(xué)影像存儲(chǔ)與傳輸系統(tǒng)的綜合布線和網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)[J].中華放射學(xué)雜志，2002，36（6）：493-497.

[10]劉佳蘭.VLAN在醫(yī)院網(wǎng)絡(luò)信息安全管理上的運(yùn)用[J].信息系統(tǒng)工程，2018（4）：50.

[11]尚文剛，吳華.醫(yī)院信息系統(tǒng)安全防范體系的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2006，27（9）：1675-1677.

[12]周立志，朱尚明.高校網(wǎng)絡(luò)信息安全體系建設(shè)實(shí)踐和思考[J].深圳大學(xué)學(xué)報(bào)（理工版），2020，37（S1）：79-83.