基于智慧醫(yī)院的醫(yī)院網(wǎng)絡(luò)規(guī)劃建設(shè)
——以邳州新區(qū)人民醫(yī)院項(xiàng)目為例

王肖

南京震鑠電子科技有限公司 江蘇南京 210000

1 智慧醫(yī)院網(wǎng)絡(luò)設(shè)計(jì)思想與設(shè)計(jì)原則

醫(yī)院網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)的平臺(tái)搭建，它負(fù)責(zé)傳輸所有的醫(yī)院數(shù)據(jù)通信?？煽康男畔⒓夹g(shù)服務(wù)，穩(wěn)定的運(yùn)營(yíng)至關(guān)重要。建設(shè)網(wǎng)絡(luò)平臺(tái)要符合以下原則進(jìn)行：

1.1 穩(wěn)定性、可靠性

醫(yī)院進(jìn)行網(wǎng)絡(luò)運(yùn)行最基本的訴求即為網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定和可靠性，包括：PACS 數(shù)據(jù)傳輸、醫(yī)生閱片調(diào)取、門(mén)急診掛號(hào)及收費(fèi)等系統(tǒng)的穩(wěn)定運(yùn)行。

關(guān)鍵設(shè)備冗余，在硬件上包括預(yù)留支持熱插拔板，增加冗余控制模塊，雙路甚至四路UPS 電源接入。冗余信息網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)，包括核心及匯聚層網(wǎng)絡(luò)設(shè)備雙機(jī)熱備，接入層鏈路端口冗余、主要技術(shù)設(shè)備端口鏈路聚合、主要存儲(chǔ)設(shè)備負(fù)載均衡設(shè)計(jì)[1]。

1.2 安全性

安全性關(guān)系到醫(yī)院信息系統(tǒng)病患及醫(yī)療信息的保密，自身網(wǎng)絡(luò)系統(tǒng)運(yùn)行的穩(wěn)定，包括邏輯安全控制和物理空間的網(wǎng)絡(luò)安全控制。除了天融信、亞信安全、深信服等專業(yè)的安全設(shè)備提供的專業(yè)安全防護(hù)，基礎(chǔ)的網(wǎng)絡(luò)技術(shù)層面也需要我們具備一定的網(wǎng)絡(luò)信息安全防范能力，如防IP 沖突、ARP 攻擊等。通過(guò)部署網(wǎng)絡(luò)安全設(shè)備，一方面是為了滿足醫(yī)院內(nèi)部信息的安全性，另一方面滿足等保要求和醫(yī)院等級(jí)評(píng)審需求。

1.3 先進(jìn)性、可擴(kuò)展性與實(shí)用性結(jié)合

醫(yī)院網(wǎng)絡(luò)設(shè)計(jì)不僅需要能夠滿足當(dāng)前系統(tǒng)運(yùn)行需要，隨著不斷涌現(xiàn)的新新業(yè)務(wù)系統(tǒng)和不斷升級(jí)的現(xiàn)有業(yè)務(wù)系統(tǒng)，網(wǎng)絡(luò)系統(tǒng)需要能夠承載更多豐富業(yè)務(wù)及提供更快捷的服務(wù)。同時(shí)隨著城市經(jīng)濟(jì)發(fā)展，諸多醫(yī)院開(kāi)始在建設(shè)新的院區(qū)，新老院的信息互聯(lián)、共享，也是今后醫(yī)院發(fā)展的主流需求。所以，網(wǎng)絡(luò)的前瞻性設(shè)計(jì)需要充分考慮網(wǎng)絡(luò)的可擴(kuò)展性。

1.4 易維護(hù)、可管理性

長(zhǎng)期以來(lái)網(wǎng)絡(luò)運(yùn)維大多依賴儲(chǔ)備相當(dāng)網(wǎng)絡(luò)知識(shí)的專業(yè)型廠商工程師，才能在網(wǎng)絡(luò)癱瘓時(shí)迅速排查網(wǎng)絡(luò)故障節(jié)點(diǎn)，分析事故原因，再進(jìn)行問(wèn)題的解決。在新的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)及產(chǎn)品選型時(shí)可管理及易維護(hù)性的需求日益增加。醫(yī)院運(yùn)維管理團(tuán)隊(duì)?wèi)?yīng)該從繁雜的運(yùn)維工作中抽出身來(lái)，更多的關(guān)注業(yè)務(wù)應(yīng)用和創(chuàng)新。

2 智慧醫(yī)院網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)

2.1 總體物理架構(gòu)設(shè)計(jì)

醫(yī)院院區(qū)網(wǎng)絡(luò)的邏輯包括八大部分

終端層：包含醫(yī)院院區(qū)內(nèi)的各種終端設(shè)備，例如醫(yī)生辦公電腦、自助報(bào)道機(jī)、自助膠片打印機(jī)、自助繳費(fèi)機(jī)、查房PDA、門(mén)禁控制器、PACS 工作站等等。

接入層：負(fù)責(zé)將各種終端接入到院區(qū)網(wǎng)絡(luò)，通常由以光口交換機(jī)和電口接入交換機(jī)組成。對(duì)于某些終端，例如無(wú)線接入的AP 設(shè)備，仍然需要增加室內(nèi)信號(hào)分布系統(tǒng)基站或者無(wú)線AC 控制器。

匯聚層：負(fù)責(zé)匯聚一棟大樓內(nèi)的接入交換機(jī)流量，提供路由轉(zhuǎn)換，轉(zhuǎn)發(fā)大樓內(nèi)接入交換機(jī)之間的流量。匯聚交換機(jī)應(yīng)支持路由協(xié)議，跨院區(qū)網(wǎng)絡(luò)架構(gòu)搭建時(shí)注意回指路由的配置。同時(shí)支持一些訪問(wèn)控制列表的下發(fā)，對(duì)不同業(yè)務(wù)VLAN、地址段之間的數(shù)據(jù)交換及端口流量可以進(jìn)行限制。匯聚層設(shè)備的選擇應(yīng)根據(jù)接入層設(shè)備數(shù)量和分布來(lái)選擇相應(yīng)的接口數(shù)；同時(shí)為避免擁塞現(xiàn)象，應(yīng)考慮匯聚層的上行和下行的過(guò)載比。

核心層：核心層負(fù)責(zé)院區(qū)內(nèi)部多個(gè)樓宇的數(shù)據(jù)交換，因此需要保持核心層設(shè)備配置簡(jiǎn)單，不布置具體業(yè)務(wù)。核心網(wǎng)絡(luò)需要實(shí)現(xiàn)帶寬的高利用率、數(shù)據(jù)的高轉(zhuǎn)發(fā)性能和網(wǎng)絡(luò)故障的快速收斂。同時(shí)從可靠性方面考慮，核心層需要高冗余，可以將兩臺(tái)交換機(jī)在邏輯上虛擬成一臺(tái)交換機(jī)。

院區(qū)出口：院區(qū)出口是醫(yī)院院區(qū)網(wǎng)絡(luò)到外部公網(wǎng)的唯一通道，院區(qū)網(wǎng)的內(nèi)部用戶通過(guò)網(wǎng)閘設(shè)備接入到公網(wǎng)，外部用戶（VPN 用戶等）也通過(guò)安全隔離與信息交換設(shè)備接入到內(nèi)部網(wǎng)絡(luò)[2]。

數(shù)據(jù)中心區(qū)：部署存儲(chǔ)虛擬化設(shè)備、HIS 及PACS 數(shù)據(jù)庫(kù)及應(yīng)用、虛擬化桌面應(yīng)用、網(wǎng)絡(luò)安全設(shè)備（堡壘機(jī)、IT 安全運(yùn)維管理軟件）等。為醫(yī)院內(nèi)部醫(yī)護(hù)人員及管理人員提供數(shù)據(jù)和應(yīng)用服務(wù)。

DMZ（Demilitarized Zone）區(qū)：通常外網(wǎng)應(yīng)用服務(wù)器部署于該區(qū)域，為外部訪客（非醫(yī)院內(nèi)部員工）及VPN 用戶提供相應(yīng)的訪問(wèn)業(yè)務(wù)。該區(qū)域安全性受到嚴(yán)格控制，建議部署IPS、防火墻、上網(wǎng)行為管理、防毒墻等設(shè)備。

Extranet 區(qū)：主要是面向外聯(lián)單位例如銀行、醫(yī)保網(wǎng)等其他類型為醫(yī)院提供服務(wù)的機(jī)柜。功能與DMZ 區(qū)相似。

2.2 總體邏輯架構(gòu)設(shè)計(jì)

本次項(xiàng)目涉及醫(yī)院內(nèi)網(wǎng)、外網(wǎng)和設(shè)備網(wǎng)建設(shè)：

內(nèi)網(wǎng)：醫(yī)院管理及醫(yī)療系統(tǒng)運(yùn)行的神經(jīng)，要承載所有醫(yī)療業(yè)務(wù)，如HIS（醫(yī)院信息管理系統(tǒng)）、LIS（檢驗(yàn)業(yè)務(wù)）、PACS（影像歸檔和通信系統(tǒng)）等業(yè)務(wù)數(shù)據(jù)傳輸。內(nèi)網(wǎng)設(shè)備要求高冗余、高帶寬、高速率、大容量，并需考慮未來(lái)擴(kuò)容、帶寬升級(jí)。

外網(wǎng)：即為管理辦公網(wǎng)，作為行政辦公、對(duì)外發(fā)布、互聯(lián)網(wǎng)醫(yī)學(xué)資料查詢的主要平臺(tái)，穩(wěn)定性和保密性要求低于內(nèi)網(wǎng)，且接入終端及數(shù)據(jù)流特點(diǎn)也更為復(fù)雜。

設(shè)備網(wǎng)：即為弱電智能網(wǎng)，主要為院區(qū)內(nèi)時(shí)間服務(wù)器、彩色網(wǎng)絡(luò)攝像機(jī)、門(mén)禁控制器、樓控網(wǎng)關(guān)設(shè)備、背景音樂(lè)網(wǎng)絡(luò)播放器、存儲(chǔ)及應(yīng)用服務(wù)器等院區(qū)應(yīng)用設(shè)備的數(shù)據(jù)交互。隨著院區(qū)智能網(wǎng)子系統(tǒng)日趨完善，綜合安防攝像機(jī)設(shè)備數(shù)量增加及視頻質(zhì)量的提高，智能網(wǎng)的數(shù)據(jù)交換同樣需要大容量、高速率和高寬帶。

院區(qū)設(shè)計(jì)建設(shè)三張網(wǎng)，醫(yī)院內(nèi)網(wǎng)、外網(wǎng)、設(shè)備網(wǎng)單獨(dú)部署，物理隔離。其中醫(yī)院內(nèi)網(wǎng)和外網(wǎng)之間通過(guò)網(wǎng)閘進(jìn)行必須的數(shù)據(jù)傳遞，在滿足等保要求的前提下實(shí)現(xiàn)應(yīng)用接口的訪問(wèn)。

2.3 可靠性設(shè)計(jì)

院區(qū)接入層設(shè)計(jì)比數(shù)據(jù)中心部署模式與特性需求更多：安全、認(rèn)證、視頻、無(wú)線、應(yīng)用可視化等，為便于在樓層進(jìn)行靈活擴(kuò)展、可融合各種無(wú)線解決方案，院區(qū)網(wǎng)絡(luò)建議使用Instant Access 即時(shí)接入技術(shù)，同時(shí)保持所有接入層設(shè)備功能一致性。通過(guò)預(yù)配置接入交換機(jī)信息，再連接物理設(shè)備可以提前做端口配置等詳細(xì)內(nèi)容，不用等到物理設(shè)備上線再做配置。提高醫(yī)院運(yùn)行的高適應(yīng)性及高前瞻準(zhǔn)備性[3]。

接入層多機(jī)堆疊雙上聯(lián)實(shí)現(xiàn)上行鏈接的雙歸屬。通過(guò)雙機(jī)虛擬化可以提高單節(jié)點(diǎn)設(shè)備及鏈路的可靠性。接入層設(shè)備端口流量也可以均勻分布在堆疊鏈路上，鏈路帶寬利用率大大增加。一條或多條鏈路故障后，流量自動(dòng)切換到其他正常的鏈路。通過(guò)鏈路故障感知快速切換，設(shè)備上的所有業(yè)務(wù)將正常運(yùn)行。網(wǎng)絡(luò)故障迅速收斂。

物理三層，邏輯兩層，管理IP 只需要幾個(gè)。繁瑣的配置工作將呈現(xiàn)幾何級(jí)數(shù)級(jí)減少，單IP 管理及排錯(cuò)。結(jié)合Smart Install 可覆蓋FEX 與非FEX 所有設(shè)備，新增節(jié)點(diǎn)幾乎免配置。核心層設(shè)備功能延伸到接入層。網(wǎng)絡(luò)配置、管理、故障排查難度降低，運(yùn)維簡(jiǎn)化、呈單點(diǎn)形式展現(xiàn)。

2.4 網(wǎng)絡(luò)運(yùn)維

目前醫(yī)院信息中心的運(yùn)維工作人員除了負(fù)責(zé)HIS、PACS 等醫(yī)療軟件系統(tǒng)的維護(hù)還肩負(fù)著網(wǎng)絡(luò)硬件設(shè)備的運(yùn)維管理，一般一個(gè)科室10 個(gè)人需要管理上千人運(yùn)行的醫(yī)院，網(wǎng)絡(luò)系統(tǒng)的易維護(hù)性顯得尤為重要。通過(guò)PI 網(wǎng)管軟件，醫(yī)院有線和無(wú)線網(wǎng)絡(luò)得到統(tǒng)一的管理，同時(shí)網(wǎng)管軟件提供網(wǎng)絡(luò)拓?fù)涞目梢暬?、網(wǎng)絡(luò)節(jié)點(diǎn)狀態(tài)監(jiān)控、設(shè)備故障預(yù)警、實(shí)時(shí)事件警報(bào)和網(wǎng)絡(luò)流量統(tǒng)計(jì)。高效的網(wǎng)絡(luò)運(yùn)維不僅是減輕技術(shù)人員運(yùn)維和排查故障的工作量，更重要的是保障社會(huì)網(wǎng)絡(luò)及各應(yīng)用管理系統(tǒng)的穩(wěn)定發(fā)展可靠、安全的運(yùn)行。

3 結(jié)語(yǔ)

隨著生活條件的提升，整個(gè)社會(huì)對(duì)醫(yī)院發(fā)展更加關(guān)注和重視。為了滿足人們對(duì)優(yōu)質(zhì)醫(yī)療資源不斷增加的需求，必須積極促進(jìn)醫(yī)院轉(zhuǎn)型，全面建立具有信息化與智能化的智慧醫(yī)院，對(duì)醫(yī)院網(wǎng)絡(luò)架構(gòu)進(jìn)行全面的優(yōu)化。本文結(jié)合醫(yī)院發(fā)展實(shí)際，從物理層、邏輯層、安全可靠性方面，設(shè)計(jì)了完善的網(wǎng)絡(luò)方案。具體實(shí)施過(guò)程還需要注意VLAN 規(guī)劃、IP 規(guī)劃、路由規(guī)劃、WLAN、內(nèi)部互訪、準(zhǔn)入控制、行為管理等方面的具體設(shè)計(jì)。通過(guò)建立有線無(wú)線網(wǎng)絡(luò)的統(tǒng)一管理，保證了網(wǎng)絡(luò)策略的一致性，真正實(shí)現(xiàn)了有線無(wú)線網(wǎng)絡(luò)的融合。為醫(yī)護(hù)人員工作提供便捷高效的網(wǎng)絡(luò)工作環(huán)境，同時(shí)節(jié)約患者就醫(yī)取片、繳費(fèi)時(shí)間，使患者獲得較舒適的就醫(yī)服務(wù)體驗(yàn)，最終實(shí)現(xiàn)醫(yī)院整體服務(wù)的提升和醫(yī)療資源的高效利用。