醫(yī)院數(shù)據(jù)中心建設(shè)中網(wǎng)絡(luò)規(guī)劃研究與應(yīng)用

摘要：隨著醫(yī)院數(shù)據(jù)中心建設(shè)愈發(fā)成為醫(yī)院信息化建設(shè)的重要組成部分，網(wǎng)絡(luò)建設(shè)作為數(shù)據(jù)中心建設(shè)的基礎(chǔ)。本文以山東省立第三醫(yī)院數(shù)據(jù)中心建設(shè)為例，介紹數(shù)據(jù)中心的網(wǎng)絡(luò)規(guī)劃和實施。文中網(wǎng)絡(luò)建設(shè)劃分為醫(yī)院內(nèi)網(wǎng)、醫(yī)院外網(wǎng)兩個區(qū)域。院內(nèi)網(wǎng)區(qū)域?qū)崿F(xiàn)醫(yī)院HIS、LIS、PACS等主要業(yè)務(wù)安全穩(wěn)定地運行，同時部署安全防護區(qū)域用于保護網(wǎng)絡(luò)安全和數(shù)據(jù)安全。醫(yī)院外網(wǎng)區(qū)域主要實現(xiàn)提供以面向患者服務(wù)的信息系統(tǒng)，同時部署安全產(chǎn)品進行互聯(lián)網(wǎng)訪問保護。通過網(wǎng)閘實現(xiàn)醫(yī)院內(nèi)網(wǎng)和外網(wǎng)區(qū)域的數(shù)據(jù)交換，本院數(shù)據(jù)中心網(wǎng)絡(luò)規(guī)劃與實施確保了網(wǎng)絡(luò)通信與安全穩(wěn)定運行，為數(shù)據(jù)中心提供了良好的網(wǎng)絡(luò)基礎(chǔ)。

關(guān)鍵詞：數(shù)據(jù)中心;信息系統(tǒng);網(wǎng)絡(luò)規(guī)劃;網(wǎng)絡(luò)通信

【Abstract】Withthedevelopmentofhospitaldatacenter，itsdesignhasbecomeanimportantpartofhospitalinformationconstruction.TakingthedatacenterconstructionofShandongProvincialThirdHospitalasanexample，thepaperresearchesthenetworkplanningandimplementationofthedatacenter.Thenetworkconstructionisdividedintohospitalintranetandhospitalextranet.Themainbusiness，suchasHIS，LISandPACScanrunsafelyandstablyinthehospitalintranetarea.Atthesametime，thesecurityzoneisdeployedtoprotectnetworksecurityanddatasecurity.Theexternalnetworkareaofthehospitalmainlyprovidespatientorientedinformationsystem.Afterthat，securityproductsaredeployedforInternetaccessprotection.Dataexchangebetweenintranetandextranetinhospitalisrealizedthroughgateway.Thedatacenternetworkplanningandimplementationinthehospitalensurethenetworkcommunicationandsafeandstableoperation.Itprovidesagoodnetworkfoundationforthedatacenter.

【Keywords】datacenter;informationsystem;networkplanning;networkcommunication

作者簡介：吳冠朋（1989-），男，碩士，山東省立第三醫(yī)院信息網(wǎng)絡(luò)部工程師，主要研究方向：人工智能與圖像處理技術(shù)。

0引言

隨著信息化發(fā)展，國家加大基礎(chǔ)建設(shè)投入，數(shù)據(jù)中心[1-3]建設(shè)成為政企、醫(yī)院、學(xué)校等建設(shè)的重要組成部分。而數(shù)據(jù)中心建設(shè)包含硬件設(shè)備和軟件設(shè)備。其中，硬件設(shè)備包含網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備、安全設(shè)備等。而網(wǎng)絡(luò)架構(gòu)[4-5]作為數(shù)據(jù)中心的通信基礎(chǔ)，也是建設(shè)數(shù)據(jù)中心必不可少的關(guān)鍵建設(shè)。本文以山東省立第三醫(yī)院數(shù)據(jù)中心建設(shè)為例，介紹數(shù)據(jù)中心的網(wǎng)絡(luò)規(guī)劃和實施。本次研究的網(wǎng)絡(luò)規(guī)劃與實施很好地確保了網(wǎng)絡(luò)通信與安全穩(wěn)定運行。對此擬展開研究詳述如下。

1數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案

醫(yī)院數(shù)據(jù)中心的建設(shè)是醫(yī)院信息化[6]建設(shè)的重要評判標(biāo)準(zhǔn)，數(shù)據(jù)中心建設(shè)需要合理規(guī)劃數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)、安全防范[7]體系建設(shè)、

服務(wù)器集群搭建等。本文通過合理選用設(shè)備廠商提供的通信設(shè)備、安全交互設(shè)備、服務(wù)器等。數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案如圖1所示。圖1中，數(shù)據(jù)中心區(qū)域主要是以服務(wù)器區(qū)域為主，包含院區(qū)的醫(yī)院信息系統(tǒng)（HospitalInformationSystem，HIS）、實驗室信息管理系統(tǒng)（LaboratoryInformationManagementSystem，LIS）、醫(yī)學(xué)影像存檔與通訊系統(tǒng)（Picturearchivingandcommunicationsystems，PACS）、電子病歷系統(tǒng)（ElectronicMedicalRecord，EMR）等，是醫(yī)院業(yè)務(wù)展開的核心。其次，是運維管理區(qū)域，包含運維管理系統(tǒng)、認(rèn)證系統(tǒng)等。安全防護區(qū)域包含：準(zhǔn)入系統(tǒng)、殺毒系統(tǒng)、日志審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、堡壘機系統(tǒng)、VPN接入系統(tǒng)等。院區(qū)網(wǎng)主要分為醫(yī)院內(nèi)網(wǎng)和醫(yī)院外網(wǎng)，都是通過標(biāo)準(zhǔn)三層網(wǎng)絡(luò)架構(gòu)，包含核心設(shè)備、匯聚設(shè)備、接入設(shè)備等。院區(qū)內(nèi)外網(wǎng)絡(luò)通過具有網(wǎng)絡(luò)隔離的網(wǎng)閘設(shè)備進行內(nèi)外網(wǎng)間的數(shù)據(jù)交互。對外網(wǎng)區(qū)域包括互聯(lián)網(wǎng)出口防火墻、上網(wǎng)行為管理系統(tǒng)等進行網(wǎng)絡(luò)保護與行為管理。

2數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)規(guī)劃與實施

網(wǎng)絡(luò)架構(gòu)的規(guī)劃與實施是數(shù)據(jù)中心建設(shè)的基礎(chǔ)，為達(dá)到網(wǎng)絡(luò)架構(gòu)規(guī)劃與實施，對此可做闡釋分述如下。

2.1數(shù)據(jù)中心建設(shè)需求

以網(wǎng)絡(luò)應(yīng)用需求、網(wǎng)絡(luò)性能需求、信息點統(tǒng)計作為網(wǎng)絡(luò)規(guī)劃需求分析。網(wǎng)絡(luò)應(yīng)用應(yīng)滿足目前院區(qū)現(xiàn)有HIS系統(tǒng)、LIS系統(tǒng)、PACS系統(tǒng)等業(yè)務(wù)，系統(tǒng)總體需要使用HTTP、FTP、HTTPS等端口應(yīng)用需求，核心層網(wǎng)絡(luò)需要具備：整機交換容量≥150Tbps，包轉(zhuǎn)發(fā)率≥36000Mpps，業(yè)務(wù)插槽數(shù)量≥6，全寬主控引擎槽位≥2，獨立交換網(wǎng)板槽位≥1個等。匯聚層設(shè)備需要滿足：交換容量≥23Tbps，包轉(zhuǎn)發(fā)率≥1080Mpps，萬兆光接口≥48，40G光接口≥2等。接入層設(shè)備需要滿足的性能：千兆電口≥48個，萬兆光接口≥2個，萬兆電口≥2個;整機交換容量≥330Gbps，轉(zhuǎn)發(fā)性能≥160Mpps等。并且所有網(wǎng)絡(luò)設(shè)備可以做到物理設(shè)備虛擬化、支持冗余鏈路。信息點統(tǒng)計主要是以電腦、打印機等接入終端數(shù)量，信息點達(dá)到2000多，根據(jù)樓宇及樓層劃分不同的虛擬局域網(wǎng)（VirtualLocalAreaNetwork，VLAN）。實現(xiàn)網(wǎng)絡(luò)的訪問隔離。

2.2綜合布線[8-9]總體設(shè)計

根據(jù)院區(qū)現(xiàn)有HIS系統(tǒng)、LIS系統(tǒng)、PACS系統(tǒng)等業(yè)務(wù)，結(jié)合網(wǎng)絡(luò)總體設(shè)計考慮到樓宇間、中心機房的綜合布線[8]、樓宇間互聯(lián)設(shè)備及傳輸介質(zhì)的選擇、主干鏈路帶寬、接入帶寬、無線網(wǎng)絡(luò)方案等多種需求。樓宇間、中心機房的綜合布線以支持萬兆傳輸?shù)?類雙絞線及支持萬兆光纖作為主要布線方式。樓宇間互聯(lián)設(shè)備通過長距離的萬兆光纖進行互聯(lián)，為了保證鏈路傳輸?shù)姆€(wěn)定性及安全性，樓宇互聯(lián)設(shè)備采用雙冗余鏈路。主干鏈路帶寬通過4臺核心設(shè)備兩兩形成虛擬化，主干鏈路之間通過4條10G鏈路聚合成一條40G邏輯鏈路，增加鏈路帶寬、提高網(wǎng)絡(luò)安全性等。接入帶寬主要是以滿足臨床對PACS系統(tǒng)的需求，接入電腦支持千兆鏈路接入。為滿足移動護理、手持終端PDA的需求，無線網(wǎng)絡(luò)同樣采用標(biāo)準(zhǔn)化三層網(wǎng)絡(luò)架構(gòu)，且通過安全加密認(rèn)證方式達(dá)到內(nèi)網(wǎng)訪問的安全性。例如診室的設(shè)計圖紙，見圖2。圖2中，TN表示內(nèi)網(wǎng)接入點。

2.3網(wǎng)絡(luò)三層結(jié)構(gòu)設(shè)計。

數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)采用標(biāo)準(zhǔn)三層架構(gòu)，詳見圖3。由圖3可知，該架構(gòu)包含核心層、匯聚層、接入層架構(gòu)。根據(jù)接入信息點的數(shù)量計算出接入層設(shè)備、匯聚層設(shè)備、核心層設(shè)備的數(shù)據(jù)交換率、轉(zhuǎn)發(fā)率、路由條數(shù)目、ARP數(shù)量、路由方式、負(fù)載分擔(dān)、虛擬化等功能。

核心層設(shè)備采用2臺H3C的7506E作為核心交換機，并且通過其獨有的智能彈性框架技術(shù)（IntelligentResilientFramework，IRF）將設(shè)備上多臺物理接口連接在一起后通過IRF技術(shù)將多臺物理設(shè)備虛擬成一臺邏輯設(shè)備。在設(shè)備上完成虛擬化后的配置如圖4所示。

在核心交換機上完成業(yè)務(wù)接入虛擬局域網(wǎng)[10]（VirtualLocalAreaNetwork，VLAN）設(shè)計、物理接口鏈路聚合、訪問控制策略、流量鏡像、訪問路由、登錄方式等。

匯聚層設(shè)備主要完成接入層設(shè)備的匯聚、流量轉(zhuǎn)發(fā)、網(wǎng)絡(luò)隔離、協(xié)議過濾等功能。匯聚層設(shè)備采用2臺H3C的S6520作為匯聚交換機，同樣通過IRF技術(shù)實現(xiàn)物理設(shè)備虛擬化，并且在上行鏈路連接至匯聚交換機時采用冗余口字型鏈路，提高網(wǎng)絡(luò)穩(wěn)定性，降低因單鏈路、單點故障而導(dǎo)致的網(wǎng)絡(luò)中斷，匯聚交換機上物理接口上的配置如圖5所示。

接入層交換機主要完成終端設(shè)備的接入，通過在不同樓層劃分不同的VLAN，實現(xiàn)網(wǎng)絡(luò)訪問隔離。并且接入層交換機通過鏈路聚合分別上聯(lián)不通的2臺匯聚交換機，實現(xiàn)物理鏈路的冗余。接入交換機上的聚合鏈路及接入VLAN如圖6所示。

以部分樓層IP及網(wǎng)絡(luò)劃分為例，具體規(guī)劃見表1。

3安全防范體系建設(shè)

安全防范體系[11-12]建設(shè)分為內(nèi)外網(wǎng)數(shù)據(jù)交互、互聯(lián)網(wǎng)訪問交互、院內(nèi)安全管理區(qū)域。對此可給出探討論述如下。

內(nèi)外網(wǎng)數(shù)據(jù)的交互主要以網(wǎng)閘設(shè)備進行數(shù)據(jù)交換，網(wǎng)閘主要分為安全區(qū)域和非安全區(qū)，通常內(nèi)網(wǎng)設(shè)備所在的區(qū)域為安全區(qū)，互聯(lián)網(wǎng)設(shè)備所在的區(qū)域是非安全區(qū)。信息交互的原理是分時使用2個區(qū)域中的數(shù)據(jù)通道進行數(shù)據(jù)交換，類似船只擺渡原理。網(wǎng)閘能夠在數(shù)據(jù)交換過程中進行惡意病毒攻擊防范、惡意信息過濾，提高信息的安全性。

互聯(lián)網(wǎng)訪問交互主要是以防火墻設(shè)備為主，出口防火墻上配置雙機冗余實現(xiàn)熱備，這樣一臺設(shè)備故障其他設(shè)備接替工作，同時增強網(wǎng)絡(luò)穩(wěn)定性，保證業(yè)務(wù)的連續(xù)性。出口防火墻外網(wǎng)區(qū)域連接不同運營商線路，實現(xiàn)負(fù)載均衡的同時提高出口穩(wěn)定性?；ヂ?lián)網(wǎng)訪問交互區(qū)域還部署IPS設(shè)備、WAF設(shè)備、上網(wǎng)行為設(shè)備、終端準(zhǔn)入與管理設(shè)備等安全產(chǎn)品。

院內(nèi)安全管理區(qū)域主要是將安全設(shè)備通過旁路方式接入院內(nèi)網(wǎng)絡(luò)，安全設(shè)備包含VPN、堡壘機、日志審計、數(shù)據(jù)庫審計、終端準(zhǔn)入、入侵檢測等。通過VPN、堡壘機、終端準(zhǔn)入、入侵檢測等安全設(shè)備的訪問控制手段保護終端設(shè)備訪問服務(wù)器;日志審計、數(shù)據(jù)庫審計設(shè)備提供訪問記錄與操作記錄，實現(xiàn)安全事件發(fā)生后的追蹤。

4結(jié)束語

本文中網(wǎng)絡(luò)建設(shè)劃分為醫(yī)院內(nèi)網(wǎng)、醫(yī)院外網(wǎng)兩個區(qū)域。內(nèi)網(wǎng)區(qū)域建設(shè)可實現(xiàn)醫(yī)院HIS、LIS、PACS等主要業(yè)務(wù)的安全穩(wěn)定運行，同時部署安全防護區(qū)域用于保護網(wǎng)絡(luò)安全和數(shù)據(jù)安全。醫(yī)院外網(wǎng)區(qū)域主要提供面向患者服務(wù)的信息系統(tǒng)，通過網(wǎng)閘進行醫(yī)院內(nèi)網(wǎng)和外網(wǎng)區(qū)域的數(shù)據(jù)交換，實現(xiàn)面向患者服務(wù)的信息系統(tǒng)，同時部署安全產(chǎn)品進行互聯(lián)網(wǎng)訪問保護。目前，本院的網(wǎng)絡(luò)規(guī)劃與實施很好地確保了網(wǎng)絡(luò)通信與安全穩(wěn)定運行。今后將繼續(xù)針對數(shù)據(jù)中心加強訪問控制策略，進一步完善網(wǎng)絡(luò)體系架構(gòu)，提高數(shù)據(jù)安全性。

參考文獻

[1]CAIJun，ZHANGZhuo，JIZhengnan.Constructionofdatacentreincampusnetwork[C]//2012SecondInternationalConferenceonBusinessComputing&GlobalInformatization.Shanghai，China：IEEEComputerSociety，2012：622-624.

[2]魏祥麟，陳鳴，范建華，等.數(shù)據(jù)中心網(wǎng)絡(luò)的體系結(jié)構(gòu)[J].軟件學(xué)報，2013（2）：295-316.

[3]許鑫，蘇新寧，吳乃岡.高校共享數(shù)據(jù)中心平臺的設(shè)計與實現(xiàn)[J].現(xiàn)代圖書情報技術(shù)，2005（6）：48-53.

[4]張東湖，何雨生，羅京全，等.醫(yī)院三層網(wǎng)絡(luò)架構(gòu)分析與設(shè)計[J].中國醫(yī)療設(shè)備，2008，23（7）：30-32，40.

[5]朱建江，朱正江，彭龍.企業(yè)園區(qū)三層網(wǎng)絡(luò)架構(gòu)的設(shè)計與實現(xiàn)[J].計算機與現(xiàn)代化，2009（9）：70-73，76.

[6]王佳，王偉，程實.醫(yī)院信息化建設(shè)實踐中問題的探討[J].醫(yī)學(xué)信息學(xué)雜志，2013（3）：20-23.

[7]林慶華.企業(yè)網(wǎng)絡(luò)系統(tǒng)安全架構(gòu)分析設(shè)計與實施[D].濟南：山東大學(xué)，2007.

[8]任增龍.對醫(yī)院綜合布線系統(tǒng)建設(shè)的幾點意見[J].中國醫(yī)療設(shè)備，2010，25（4）：62-64.

[9]羅敏，王小林，羅松，等.醫(yī)學(xué)影像存儲與傳輸系統(tǒng)的綜合布線和網(wǎng)絡(luò)系統(tǒng)的設(shè)計[J].中華放射學(xué)雜志，2002，36（6）：493-497.

[10]劉佳蘭.VLAN在醫(yī)院網(wǎng)絡(luò)信息安全管理上的運用[J].信息系統(tǒng)工程，2018（4）：50.

[11]尚文剛，吳華.醫(yī)院信息系統(tǒng)安全防范體系的設(shè)計與實現(xiàn)[J].計算機工程與設(shè)計，2006，27（9）：1675-1677.

[12]周立志，朱尚明.高校網(wǎng)絡(luò)信息安全體系建設(shè)實踐和思考[J].深圳大學(xué)學(xué)報（理工版），2020，37（S1）：79-83.