需求與挑戰

      傳統醫(yī←<₽£)院網絡多(duō)采用(yòng)內(nèφ×i)網、外(wài)網、智能(néng)化(huà)專網等多(duō)套÷¶​網絡物(wù)理(lǐ)隔離(lí)的(de)建設模式，無線網絡作(¥®₹©zuò)為(wèi)有(yǒu)線網絡的(♥★de)延伸，隻承載移動醫(yī)療等內(nèi)網應用$ (yòng)。随著(zhe)遠(yuǎn)程醫(yī)療、醫(yī)Ωλ£療物(wù)聯網和(hé)移動互聯網等新業(y≤✘è)務需求的(de)出現(xiàn)，傳統物(wù)理(lǐ)隔離(lí)網&α絡架構已經成為(wèi)智慧醫(yī)院建設的(de)障礙：

• 遠(yuǎn)程醫(yī)療業(yè)務需求：為(wèi)了(δφle)便于遠(yuǎn)程醫(yī)療開(kāi)展，醫(y≠₹λ•ī)生(shēng)需要(yào)通(tōng‌∏↑®)過固定視(shì)頻(pín)會(huφ"ì)議(yì)系統、移動終端等多(duō)種♣σ方式靈活接入網絡中，需要(yào)在醫(y¶ ī)院的(de)智能(néng)化(huà)專網、外(wài)網以及內("₹₹nèi)網之間(jiān)實現(xiàn)數(shσ¶≥ù)據互聯互通(tōng)；
• 醫(yī)療物(wù)聯網需求：人(rén)員(yuán)資産€←↔←管理(lǐ)、嬰兒(ér)防盜等醫(yī)療物(wù)聯網應用(y≤✘ε✘òng)的(de)開(kāi)展，需要(yào)醫(yī)院內(nèi)網↓↕、無線網絡和(hé)智能(néng)化(huà)專網中的(d♠δe)門(mén)禁、監控等系統互聯互通(tōng)，完成業(​∑£yè)務聯動；
• 移動互聯網需求：掌上(shàng)醫(yī)院的(de)開(kāi)通&♥(tōng)，需要(yào)将醫(yī)院無線網絡、內(nèi)網、外(≤∑ ‍wài)網互聯互通(tōng)，實現(xiàn)移動支付、室內(nèi‍ ±)導診、挂号、查詢報(bào)告等移動互聯網業€>≤(yè)務的(de)開(kāi)展。

      如(r←®→ ú)何實現(xiàn)醫(yī)院內(nèi)數(shù)據的(de)"≤互聯互通(tōng)，建設一(yī)套安全、穩定、高(gāo)效的(d∑πe)網絡，是(shì)智慧醫(yī)院信息化(huà)≥"σ₹建設需要(yào)解決的(de)首要(yào)問(£★<★wèn)題。

醫(yī)院網絡融合方式探討(tǎo)

      常見(jià☆≤Ω★n)的(de)醫(yī)院網絡融合方式有(yǒu)以下(xià₽Ω )兩種。

物(wù)理(lǐ)隔離(lí)，局部互通(tōng)

      這(zhè)種建ε&設模式中，內(nèi)網、外(wài)網、智能(n₽'€®éng)化(huà)專網等多(duō)套網絡建設從™★(cóng)園區(qū)到(dào)數(shù)據↕'α中心采用(yòng)物(wù)理(lǐ)隔離(lí)的(deβ¶∏)方式，在多(duō)套網之間(jiān)通(tō↓ εng)過防火(huǒ)牆、網閘或者前置機(jī)等方式完Ω©↓σ成數(shù)據互聯互通(tōng)。這(zhè)種模式雖然滿足了(✘λ le)數(shù)據的(de)安全互通(tōng)需>λ求，但(dàn)不(bù)足之處也(yě)很(hěn)明(míngγ&)顯：建設成本較高(gāo)，每套網絡都(dōu)βλ需要(yào)配置相(xiàng)應的(de)等保安全設備​ε，設備利用(yòng)率低(dī)；不(δ✘bù)利于備份或者雙活數(shù)據中心擴$★展，需要(yào)對(duì)應多(duō)套分(fēn™÷')别配置獨立的(de)網絡安全設備，運維管理(lǐ)工(gōnπ‌≤ g)作(zuò)複雜(zá)。

物(wù)理(lǐ)融合，邏輯隔離(lí)

      這(zhè)♣↑↑♣種建設模式中，利用(yòng) VLAN 技(jì)術(shù★£✘₹)把醫(yī)院現(xiàn)有(yǒu)₽§✘®網絡劃分(fēn)為(wèi)幾個(gè)相§¥​¶(xiàng)對(duì)獨立而又(yòu)可(kβ×☆≠ě)互相(xiàng)訪問(wèn)的(de)子(zǐ)網，有(yǒu)效避免"©了(le)網絡規模不(bù)斷擴大(dà)時(shí)廣播風(fλ ēng)暴的(de)産生(shēng)，提高(gāo)了δ (le)網絡的(de)安全性和(hé)網絡帶寬的(de)利用 '(yòng)率，實現(xiàn)了(le£↓₩₩)醫(yī)院信息系統多(duō)網間(j≥<iān)的(de)融合。但(dàn)管理(lǐ)配置更加複雜(zá₹α ®)，多(duō)套網絡中接入終端和(hé)設備類型對(duì)網絡交換₹✔€機(jī)不(bù)同，容易造成設備選型和(hé)權限管控的(de)混亂，對(§¥duì)運維人(rén)員(yuán)能(néng)力要(yào)☆•☆σ求極高(gāo)。

智慧醫(yī)院網絡融合架構設計(jì)

      融合✘©​'網絡架構如(rú)圖 1 所示，該架構中分(fēn)為(wèiε∑→←)園區(qū)網和(hé)數(shù)據中心兩部分(fēn)。

園區(qū)網絡架構

      園區(qū)網絡采用(yò↓±©↔ng)物(wù)理(lǐ)隔離(lí)的(de)建設方>δ $式，分(fēn)為(wèi)內(nèi)外(wài)、外(wài)網§©← 、智能(néng)化(huà)專網以及無線物(wù)聯網 ε¥&共4套相(xiàng)對(duì)的(de)物(wù)理(lλ★∑ǐ)設備。

• 內(nèi)網、外(wài)網、智能(néng)化(huà¥λ♠)專網鏈路(lù)帶寬為(wèi)萬兆主幹千兆到(dào)桌面，采用(yòng≈β∞)核心 - 彙聚 - 接入三層架構；
• 核心交換機(jī) 2 台，通(tōng)過橫向虛拟化(™✔♠€huà)技(jì)術(shù)滿足可(kě)靠性要(yào)求；
• 核心和(hé)彙聚之間(jiān)通(tōng)過雙鏈路(lù)連接，保♥₽¶©障鏈路(lù)的(de)冗餘性；
• 無線網絡單獨組網，既提供全院 WIFI 覆蓋，同時(shí)作(zuò)為(w↑☆δèi)有(yǒu)線網絡備份，園區(qū)網絡相(xiàng)對(duì) ↓‌隔離(lí)的(de)架構将內(nèi)網、外(wài)網和(hé♣λ•∑)無線網之間(jiān)的(de)安全風(f★£εēng)險最大(dà)程度降低(dī)；
•  物(wù)聯網 AP 除了(le)提∑&供基本的(de) WIFI 功能(néng)外(wài)，支持內(nèi)置✘₽藍(lán)牙，通(tōng)過 PoE ™♣ OUT 或者 USB 通(tōng)用(yòng)∏♥↔"接口滿足基于藍(lán)牙、RFID、ZigBeφ e 等射頻(pín)的(de)物(wù)聯網業(yè)務擴展，避免醫(yī)院"↑®重複施工(gōng)布線，節約投資。

數(shù)據中心網絡架構

      數(s✘'₩≈hù)據中心網絡按照(zhào)業(yè)務內(nè♠₹‌ i)容不(bù)同，劃分(fēn)為(wèi)內(βφnèi)網數(shù)據中心、外(wài)網數(shù)據中心、智能(n↕≥≈ éng)化(huà)專網數(shù)據中心、DMZ區↔₩★(qū)。

• 為(wèi)滿足互聯互通(tōng)需求，數(shù)據中心核心×λ∞©交換機(jī)将多(duō)套網絡物(wù) ✘♠理(lǐ)連接，通(tōng)過 VLAN 邏輯隔離( γlí)；
• 數(shù)據中心核心交換機(jī)支持多(duō)虛一(yī)虛拟化(hu∏♣​≥à)技(jì)術(shù)避免單點故障，支持 E₽¥×<VN、VxLAN 等虛拟大(dà)二層技(jì)術(sh₽&∏ù)，提供雙活或者災備數(shù)據中心擴展性能(néng)；
• 配置 SDN控制(zhì)器(qì)通(tō☆≤ng)過圖表式的(de)管理(lǐ)界面，将用(yòng)戶按照(™ zhào)不(bù)同的(de)群組統一(yī)配置策略權限，★$‌‍保障多(duō)套網絡之間(jiān)業(yè)務隔離(l←↕σí)；

安全技(jì)術(shù)建設

      ↔£ 為(wèi)保障醫(yī)院信息系統和(hé)業(yè)務的(d'✔e)安全穩定運行(xíng)，防止業(yè)務數(shù)λ≠®↔據丢失、信息洩密、惡意滲透攻擊，需要(yào)參照(zhào)等級保護$₽σ建設标準對(duì)本文(wén)設計(‌✔®>jì)的(de)網絡進行(xíng)安全建設。σδβ

• 安全域：按照(zhào)醫(yī)院數(shù₽<±)據中心應用(yòng)系統信息和(hé)應用(y÷≤òng)分(fēn)類的(de)安全需求，數(shù)據中心網絡業(yè)務內β÷(nèi)容不(bù)同，劃分(fēn)為(wèi)內(nèi)網數(shù)σ•σ據中心、外(wài)網數(shù)據中心、智能(néng)化(huà)專網£₩數(shù)據中心、DMZ 區(qū)、對(§€duì)外(wài)互聯區(qū)、安全管理(lǐ)區(qū)以及綜合¶≠管理(lǐ)區(qū) 7 個(gè)不(bù)同的(de)安全®δ域。
• 安全域邊界防護：在安全域以及互聯網出口邊界上(© shàng)，針對(duì)醫(yī)院信息系統的(de)φ★網絡數(shù)據流入 / 流出提供過濾和(hé)保護，通(tōng)過 φ★∏配置防火(huǒ)牆設備阻止安全域外(wài)部α♠∏£連接的(de)非授權進入內(nèi)部，以及通(tōng)過網絡手段阻®✔©斷特定的(de)內(nèi)外(wài)連接。通(tōng‌>₩✘)過配置網絡入侵防禦設備對(duì)蠕蟲木(mù)馬攻擊、拒絕服 £γ©務攻擊、入侵行(xíng)為(wèi)進行(xíng)識别，并☆≤≈且進行(xíng)實時(shí)攔截。
• 安全管理(lǐ)區(qū)：通(tōng)過數(shù≈✔↕☆)據中心交換機(jī)旁挂入侵防禦、準入控制(zhì)、堡‌≥₹♣壘機(jī)、接入認證、漏洞掃描、日(rì)志(zhì)審計(jì ¶&£)等安全設備，保障系統和(hé)數(shù)據安全。
• 對(duì)外(wài)互聯區(qū)：通(tōng)過 DDos、VPN<→™、防病毒網關、上(shàng)網行(xíng)為(wèi)管理(l≈★ǐ)等安全設備實現(xiàn)局域網和(hé↓φ‍)互聯網之間(jiān)的(de)安全防護

醫(yī)院網絡融合架構優點

互聯互通(tōng)，避免信息孤島

      多(duō)套網絡之間 £∞(jiān)通(tōng)過等級保護建設保障信息安全，同時'$​(shí)提高(gāo)用(yòng)戶體(tǐ)驗，各子(zǐ)網✔₽£∑系統的(de)互聯互通(tōng)實現(xiàn)起來(lái)更加便捷，便于Ω£$醫(yī)療物(wù)聯網、遠(yuǎn)程醫(yī)÷±療等智慧醫(yī)院業(yè)務開(kāi)展，奠定了(le)γ✘∞↔良好(hǎo)的(de)數(shù)據傳輸管道(dào)。‍∞

避免重複建設，節約用(yòng)戶投資

      本‌♣方案中無線物(wù)聯網預留了(le)标準的(de)物(π₽≈wù)聯網擴展接口，後期物(wù)聯網建設避免了(le)重複的(deα )施工(gōng)布線，以及 PoE 交換↓¥₹→機(jī)等投資費(fèi)用(yòng)。

架構先進，滿足未來(lái)擴展需求

      本方案在網絡架構設計(jì)♦αφ•中考慮到(dào)醫(yī)院未來(lái)災備數(shù)據中心的( ∑∏de)建設需求，支持虛拟大(dà)二層技(jì)術(shù)；無線網絡支持₽σ¥✘人(rén)員(yuán)資産管理(lǐ)、生(shēng)命體(tǐ)征監∞ε♣γ測等物(wù)聯網業(yè)務平滑升級能(néng)力。