醫(yī)院數(shù)據(jù)中心建設中網(wǎng)絡規(guī)劃研究與應用

摘要：隨著醫(yī)院數(shù)據(jù)中心建設愈發(fā)成為醫(yī)院信息化建設的重要組成部分，網(wǎng)絡建設作為數(shù)據(jù)中心建設的基礎。本文以山東省立第三醫(yī)院數(shù)據(jù)中心建設為例，介紹數(shù)據(jù)中心的網(wǎng)絡規(guī)劃和實施。文中網(wǎng)絡建設劃分為醫(yī)院內(nèi)網(wǎng)、醫(yī)院外網(wǎng)兩個區(qū)域。院內(nèi)網(wǎng)區(qū)域?qū)崿F(xiàn)醫(yī)院HIS、LIS、PACS等主要業(yè)務安全穩(wěn)定地運行，同時部署安全防護區(qū)域用于保護網(wǎng)絡安全和數(shù)據(jù)安全。醫(yī)院外網(wǎng)區(qū)域主要實現(xiàn)提供以面向患者服務的信息系統(tǒng)，同時部署安全產(chǎn)品進行互聯(lián)網(wǎng)訪問保護。通過網(wǎng)閘實現(xiàn)醫(yī)院內(nèi)網(wǎng)和外網(wǎng)區(qū)域的數(shù)據(jù)交換，本院數(shù)據(jù)中心網(wǎng)絡規(guī)劃與實施確保了網(wǎng)絡通信與安全穩(wěn)定運行，為數(shù)據(jù)中心提供了良好的網(wǎng)絡基礎。

關(guān)鍵詞：數(shù)據(jù)中心;信息系統(tǒng);網(wǎng)絡規(guī)劃;網(wǎng)絡通信

【Abstract】Withthedevelopmentofhospitaldatacenter，itsdesignhasbecomeanimportantpartofhospitalinformationconstruction.TakingthedatacenterconstructionofShandongProvincialThirdHospitalasanexample，thepaperresearchesthenetworkplanningandimplementationofthedatacenter.Thenetworkconstructionisdividedintohospitalintranetandhospitalextranet.Themainbusiness，suchasHIS，LISandPACScanrunsafelyandstablyinthehospitalintranetarea.Atthesametime，thesecurityzoneisdeployedtoprotectnetworksecurityanddatasecurity.Theexternalnetworkareaofthehospitalmainlyprovidespatientorientedinformationsystem.Afterthat，securityproductsaredeployedforInternetaccessprotection.Dataexchangebetweenintranetandextranetinhospitalisrealizedthroughgateway.Thedatacenternetworkplanningandimplementationinthehospitalensurethenetworkcommunicationandsafeandstableoperation.Itprovidesagoodnetworkfoundationforthedatacenter.

【Keywords】datacenter;informationsystem;networkplanning;networkcommunication

作者簡介：吳冠朋（1989-），男，碩士，山東省立第三醫(yī)院信息網(wǎng)絡部工程師，主要研究方向：人工智能與圖像處理技術(shù)。

0引言

隨著信息化發(fā)展，國家加大基礎建設投入，數(shù)據(jù)中心[1-3]建設成為政企、醫(yī)院、學校等建設的重要組成部分。而數(shù)據(jù)中心建設包含硬件設備和軟件設備。其中，硬件設備包含網(wǎng)絡設備、服務器設備、安全設備等。而網(wǎng)絡架構(gòu)[4-5]作為數(shù)據(jù)中心的通信基礎，也是建設數(shù)據(jù)中心必不可少的關(guān)鍵建設。本文以山東省立第三醫(yī)院數(shù)據(jù)中心建設為例，介紹數(shù)據(jù)中心的網(wǎng)絡規(guī)劃和實施。本次研究的網(wǎng)絡規(guī)劃與實施很好地確保了網(wǎng)絡通信與安全穩(wěn)定運行。對此擬展開研究詳述如下。

1數(shù)據(jù)中心網(wǎng)絡建設方案

醫(yī)院數(shù)據(jù)中心的建設是醫(yī)院信息化[6]建設的重要評判標準，數(shù)據(jù)中心建設需要合理規(guī)劃數(shù)據(jù)中心網(wǎng)絡架構(gòu)、安全防范[7]體系建設、

服務器集群搭建等。本文通過合理選用設備廠商提供的通信設備、安全交互設備、服務器等。數(shù)據(jù)中心網(wǎng)絡建設方案如圖1所示。圖1中，數(shù)據(jù)中心區(qū)域主要是以服務器區(qū)域為主，包含院區(qū)的醫(yī)院信息系統(tǒng)（HospitalInformationSystem，HIS）、實驗室信息管理系統(tǒng)（LaboratoryInformationManagementSystem，LIS）、醫(yī)學影像存檔與通訊系統(tǒng)（Picturearchivingandcommunicationsystems，PACS）、電子病歷系統(tǒng)（ElectronicMedicalRecord，EMR）等，是醫(yī)院業(yè)務展開的核心。其次，是運維管理區(qū)域，包含運維管理系統(tǒng)、認證系統(tǒng)等。安全防護區(qū)域包含：準入系統(tǒng)、殺毒系統(tǒng)、日志審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、堡壘機系統(tǒng)、VPN接入系統(tǒng)等。院區(qū)網(wǎng)主要分為醫(yī)院內(nèi)網(wǎng)和醫(yī)院外網(wǎng)，都是通過標準三層網(wǎng)絡架構(gòu)，包含核心設備、匯聚設備、接入設備等。院區(qū)內(nèi)外網(wǎng)絡通過具有網(wǎng)絡隔離的網(wǎng)閘設備進行內(nèi)外網(wǎng)間的數(shù)據(jù)交互。對外網(wǎng)區(qū)域包括互聯(lián)網(wǎng)出口防火墻、上網(wǎng)行為管理系統(tǒng)等進行網(wǎng)絡保護與行為管理。

2數(shù)據(jù)中心網(wǎng)絡架構(gòu)規(guī)劃與實施

網(wǎng)絡架構(gòu)的規(guī)劃與實施是數(shù)據(jù)中心建設的基礎，為達到網(wǎng)絡架構(gòu)規(guī)劃與實施，對此可做闡釋分述如下。

2.1數(shù)據(jù)中心建設需求

以網(wǎng)絡應用需求、網(wǎng)絡性能需求、信息點統(tǒng)計作為網(wǎng)絡規(guī)劃需求分析。網(wǎng)絡應用應滿足目前院區(qū)現(xiàn)有HIS系統(tǒng)、LIS系統(tǒng)、PACS系統(tǒng)等業(yè)務，系統(tǒng)總體需要使用HTTP、FTP、HTTPS等端口應用需求，核心層網(wǎng)絡需要具備：整機交換容量≥150Tbps，包轉(zhuǎn)發(fā)率≥36000Mpps，業(yè)務插槽數(shù)量≥6，全寬主控引擎槽位≥2，獨立交換網(wǎng)板槽位≥1個等。匯聚層設備需要滿足：交換容量≥23Tbps，包轉(zhuǎn)發(fā)率≥1080Mpps，萬兆光接口≥48，40G光接口≥2等。接入層設備需要滿足的性能：千兆電口≥48個，萬兆光接口≥2個，萬兆電口≥2個;整機交換容量≥330Gbps，轉(zhuǎn)發(fā)性能≥160Mpps等。并且所有網(wǎng)絡設備可以做到物理設備虛擬化、支持冗余鏈路。信息點統(tǒng)計主要是以電腦、打印機等接入終端數(shù)量，信息點達到2000多，根據(jù)樓宇及樓層劃分不同的虛擬局域網(wǎng)（VirtualLocalAreaNetwork，VLAN）。實現(xiàn)網(wǎng)絡的訪問隔離。

2.2綜合布線[8-9]總體設計

根據(jù)院區(qū)現(xiàn)有HIS系統(tǒng)、LIS系統(tǒng)、PACS系統(tǒng)等業(yè)務，結(jié)合網(wǎng)絡總體設計考慮到樓宇間、中心機房的綜合布線[8]、樓宇間互聯(lián)設備及傳輸介質(zhì)的選擇、主干鏈路帶寬、接入帶寬、無線網(wǎng)絡方案等多種需求。樓宇間、中心機房的綜合布線以支持萬兆傳輸?shù)?類雙絞線及支持萬兆光纖作為主要布線方式。樓宇間互聯(lián)設備通過長距離的萬兆光纖進行互聯(lián)，為了保證鏈路傳輸?shù)姆€(wěn)定性及安全性，樓宇互聯(lián)設備采用雙冗余鏈路。主干鏈路帶寬通過4臺核心設備兩兩形成虛擬化，主干鏈路之間通過4條10G鏈路聚合成一條40G邏輯鏈路，增加鏈路帶寬、提高網(wǎng)絡安全性等。接入帶寬主要是以滿足臨床對PACS系統(tǒng)的需求，接入電腦支持千兆鏈路接入。為滿足移動護理、手持終端PDA的需求，無線網(wǎng)絡同樣采用標準化三層網(wǎng)絡架構(gòu)，且通過安全加密認證方式達到內(nèi)網(wǎng)訪問的安全性。例如診室的設計圖紙，見圖2。圖2中，TN表示內(nèi)網(wǎng)接入點。

2.3網(wǎng)絡三層結(jié)構(gòu)設計。

數(shù)據(jù)中心網(wǎng)絡建設采用標準三層架構(gòu)，詳見圖3。由圖3可知，該架構(gòu)包含核心層、匯聚層、接入層架構(gòu)。根據(jù)接入信息點的數(shù)量計算出接入層設備、匯聚層設備、核心層設備的數(shù)據(jù)交換率、轉(zhuǎn)發(fā)率、路由條數(shù)目、ARP數(shù)量、路由方式、負載分擔、虛擬化等功能。

核心層設備采用2臺H3C的7506E作為核心交換機，并且通過其獨有的智能彈性框架技術(shù)（IntelligentResilientFramework，IRF）將設備上多臺物理接口連接在一起后通過IRF技術(shù)將多臺物理設備虛擬成一臺邏輯設備。在設備上完成虛擬化后的配置如圖4所示。

在核心交換機上完成業(yè)務接入虛擬局域網(wǎng)[10]（VirtualLocalAreaNetwork，VLAN）設計、物理接口鏈路聚合、訪問控制策略、流量鏡像、訪問路由、登錄方式等。

匯聚層設備主要完成接入層設備的匯聚、流量轉(zhuǎn)發(fā)、網(wǎng)絡隔離、協(xié)議過濾等功能。匯聚層設備采用2臺H3C的S6520作為匯聚交換機，同樣通過IRF技術(shù)實現(xiàn)物理設備虛擬化，并且在上行鏈路連接至匯聚交換機時采用冗余口字型鏈路，提高網(wǎng)絡穩(wěn)定性，降低因單鏈路、單點故障而導致的網(wǎng)絡中斷，匯聚交換機上物理接口上的配置如圖5所示。

接入層交換機主要完成終端設備的接入，通過在不同樓層劃分不同的VLAN，實現(xiàn)網(wǎng)絡訪問隔離。并且接入層交換機通過鏈路聚合分別上聯(lián)不通的2臺匯聚交換機，實現(xiàn)物理鏈路的冗余。接入交換機上的聚合鏈路及接入VLAN如圖6所示。

以部分樓層IP及網(wǎng)絡劃分為例，具體規(guī)劃見表1。

3安全防范體系建設

安全防范體系[11-12]建設分為內(nèi)外網(wǎng)數(shù)據(jù)交互、互聯(lián)網(wǎng)訪問交互、院內(nèi)安全管理區(qū)域。對此可給出探討論述如下。

內(nèi)外網(wǎng)數(shù)據(jù)的交互主要以網(wǎng)閘設備進行數(shù)據(jù)交換，網(wǎng)閘主要分為安全區(qū)域和非安全區(qū)，通常內(nèi)網(wǎng)設備所在的區(qū)域為安全區(qū)，互聯(lián)網(wǎng)設備所在的區(qū)域是非安全區(qū)。信息交互的原理是分時使用2個區(qū)域中的數(shù)據(jù)通道進行數(shù)據(jù)交換，類似船只擺渡原理。網(wǎng)閘能夠在數(shù)據(jù)交換過程中進行惡意病毒攻擊防范、惡意信息過濾，提高信息的安全性。

互聯(lián)網(wǎng)訪問交互主要是以防火墻設備為主，出口防火墻上配置雙機冗余實現(xiàn)熱備，這樣一臺設備故障其他設備接替工作，同時增強網(wǎng)絡穩(wěn)定性，保證業(yè)務的連續(xù)性。出口防火墻外網(wǎng)區(qū)域連接不同運營商線路，實現(xiàn)負載均衡的同時提高出口穩(wěn)定性。互聯(lián)網(wǎng)訪問交互區(qū)域還部署IPS設備、WAF設備、上網(wǎng)行為設備、終端準入與管理設備等安全產(chǎn)品。

院內(nèi)安全管理區(qū)域主要是將安全設備通過旁路方式接入院內(nèi)網(wǎng)絡，安全設備包含VPN、堡壘機、日志審計、數(shù)據(jù)庫審計、終端準入、入侵檢測等。通過VPN、堡壘機、終端準入、入侵檢測等安全設備的訪問控制手段保護終端設備訪問服務器;日志審計、數(shù)據(jù)庫審計設備提供訪問記錄與操作記錄，實現(xiàn)安全事件發(fā)生后的追蹤。

4結(jié)束語

本文中網(wǎng)絡建設劃分為醫(yī)院內(nèi)網(wǎng)、醫(yī)院外網(wǎng)兩個區(qū)域。內(nèi)網(wǎng)區(qū)域建設可實現(xiàn)醫(yī)院HIS、LIS、PACS等主要業(yè)務的安全穩(wěn)定運行，同時部署安全防護區(qū)域用于保護網(wǎng)絡安全和數(shù)據(jù)安全。醫(yī)院外網(wǎng)區(qū)域主要提供面向患者服務的信息系統(tǒng)，通過網(wǎng)閘進行醫(yī)院內(nèi)網(wǎng)和外網(wǎng)區(qū)域的數(shù)據(jù)交換，實現(xiàn)面向患者服務的信息系統(tǒng)，同時部署安全產(chǎn)品進行互聯(lián)網(wǎng)訪問保護。目前，本院的網(wǎng)絡規(guī)劃與實施很好地確保了網(wǎng)絡通信與安全穩(wěn)定運行。今后將繼續(xù)針對數(shù)據(jù)中心加強訪問控制策略，進一步完善網(wǎng)絡體系架構(gòu)，提高數(shù)據(jù)安全性。

參考文獻

[1]CAIJun，ZHANGZhuo，JIZhengnan.Constructionofdatacentreincampusnetwork[C]//2012SecondInternationalConferenceonBusinessComputing&GlobalInformatization.Shanghai，China：IEEEComputerSociety，2012：622-624.

[2]魏祥麟，陳鳴，范建華，等.數(shù)據(jù)中心網(wǎng)絡的體系結(jié)構(gòu)[J].軟件學報，2013（2）：295-316.

[3]許鑫，蘇新寧，吳乃岡.高校共享數(shù)據(jù)中心平臺的設計與實現(xiàn)[J].現(xiàn)代圖書情報技術(shù)，2005（6）：48-53.

[4]張東湖，何雨生，羅京全，等.醫(yī)院三層網(wǎng)絡架構(gòu)分析與設計[J].中國醫(yī)療設備，2008，23（7）：30-32，40.

[5]朱建江，朱正江，彭龍.企業(yè)園區(qū)三層網(wǎng)絡架構(gòu)的設計與實現(xiàn)[J].計算機與現(xiàn)代化，2009（9）：70-73，76.

[6]王佳，王偉，程實.醫(yī)院信息化建設實踐中問題的探討[J].醫(yī)學信息學雜志，2013（3）：20-23.

[7]林慶華.企業(yè)網(wǎng)絡系統(tǒng)安全架構(gòu)分析設計與實施[D].濟南：山東大學，2007.

[8]任增龍.對醫(yī)院綜合布線系統(tǒng)建設的幾點意見[J].中國醫(yī)療設備，2010，25（4）：62-64.

[9]羅敏，王小林，羅松，等.醫(yī)學影像存儲與傳輸系統(tǒng)的綜合布線和網(wǎng)絡系統(tǒng)的設計[J].中華放射學雜志，2002，36（6）：493-497.

[10]劉佳蘭.VLAN在醫(yī)院網(wǎng)絡信息安全管理上的運用[J].信息系統(tǒng)工程，2018（4）：50.

[11]尚文剛，吳華.醫(yī)院信息系統(tǒng)安全防范體系的設計與實現(xiàn)[J].計算機工程與設計，2006，27（9）：1675-1677.

[12]周立志，朱尚明.高校網(wǎng)絡信息安全體系建設實踐和思考[J].深圳大學學報（理工版），2020，37（S1）：79-83.