張文強 王翠花

（威海市中心醫(yī)院，山東 威海 264400）

隨著醫(yī)院信息化進程的不斷加快，醫(yī)院對信息系統(tǒng)的需求越來越大，這就需要醫(yī)院的網(wǎng)絡系統(tǒng)有更高可用性服務的輸出。醫(yī)療行業(yè)的核心是以患者的需求為主，患者的時間就是生命，當發(fā)生信息網(wǎng)絡系統(tǒng)故障時，需要以最快的速度解決。當前多數(shù)三甲醫(yī)院配置的網(wǎng)絡交換冗余和數(shù)據(jù)集的容災備份機制較少，且現(xiàn)有的網(wǎng)絡無法滿足雙活配置需要，數(shù)據(jù)信息中心機房單一。當發(fā)生故障時，信息系統(tǒng)就會陷入崩潰。雖然概率較低，但是對醫(yī)院的網(wǎng)絡運作卻是致命的。因此，該文根據(jù)醫(yī)院的位置和環(huán)境建立了相應的災備機房系統(tǒng)，使用雙機房虛擬化網(wǎng)絡的方式建立實時的網(wǎng)絡互備系統(tǒng)，以期為醫(yī)院的突發(fā)性故障提供可靠的解決方式。

1 醫(yī)院現(xiàn)有網(wǎng)絡中存在的弊端

隨著醫(yī)院涉及的業(yè)務越來越廣泛，醫(yī)院的網(wǎng)絡系統(tǒng)存在的各種弊端也逐漸顯露出來，如各個信息點之間的資料無法得到及時共享、信息無法有效傳輸?shù)?。?shù)據(jù)傳輸量的不斷增加帶來的是用戶需求的不斷增加，而現(xiàn)有網(wǎng)絡系統(tǒng)的運行速度已無法滿足當前醫(yī)院業(yè)務的需求，且對醫(yī)院的網(wǎng)絡系統(tǒng)運行也是一種負擔，造成了有反應遲鈍、傳輸速度慢以及工作效率低等問題，嚴重的還會出現(xiàn)網(wǎng)絡癱瘓。設(shè)備的老舊帶來的是故障的頻發(fā)，運行可靠性降低，網(wǎng)絡癱瘓的發(fā)生概率也不斷增加，醫(yī)院現(xiàn)有的網(wǎng)絡技術(shù)無法與市場發(fā)展相匹配，網(wǎng)絡的安全性無法得到有效保障。因此，更完善、安全的網(wǎng)絡設(shè)備是保證醫(yī)院系統(tǒng)整體運行的關(guān)鍵。

2 醫(yī)院雙中心機房虛擬化網(wǎng)絡設(shè)計方法

2.1 總體設(shè)計

在醫(yī)院的網(wǎng)絡環(huán)境中，數(shù)據(jù)中心機房的網(wǎng)絡設(shè)計要按照標準化的流程進行規(guī)劃，以保證醫(yī)院網(wǎng)絡機房工程建設(shè)的質(zhì)量。在數(shù)據(jù)中心機房的總體設(shè)計中，虛擬化網(wǎng)絡系統(tǒng)的設(shè)計尤為重要，其次是監(jiān)控系統(tǒng)和供配電系統(tǒng)，三大系統(tǒng)的有效結(jié)合是確保供電系統(tǒng)正常運行的關(guān)鍵。進行機房監(jiān)控系統(tǒng)設(shè)計時要做到雙保險，以保證醫(yī)院的數(shù)據(jù)中心系統(tǒng)網(wǎng)絡的正常運行[1]。虛擬系統(tǒng)主要連接中心系統(tǒng)與各個節(jié)點，其網(wǎng)絡設(shè)計如圖1 所示。

圖1 醫(yī)院數(shù)據(jù)中心網(wǎng)絡總體規(guī)劃

根據(jù)圖1 可知，作為供電設(shè)計的關(guān)鍵設(shè)施，UPS 配電柜采用的是放射式的配電方式，主要負責對計算機設(shè)備和應急設(shè)備等部件進行供電[2]，當發(fā)生突發(fā)狀況時可以及時進行補救。監(jiān)控系統(tǒng)采用分散式的監(jiān)控方式對整個系統(tǒng)進行集中管理。虛擬網(wǎng)絡系統(tǒng)在運行中可以連接網(wǎng)絡中的其他分支并且可以對數(shù)據(jù)進行壓縮處理，使數(shù)據(jù)的運行速度、傳輸速度等得到有效提高。集中管理的設(shè)計方式可以通過虛擬系統(tǒng)對醫(yī)院的網(wǎng)絡進行延伸，并利用VPN 系統(tǒng)連接到其他服務器中以實現(xiàn)數(shù)據(jù)的傳輸和共享。

2.2 設(shè)計特點

該文設(shè)計不僅可以完全保障業(yè)務需要，還能保證技術(shù)的先進性，將先進技術(shù)與現(xiàn)有技術(shù)相結(jié)合，并充分應用到系統(tǒng)中，以順應信息化應用的發(fā)展趨勢。系統(tǒng)的穩(wěn)定性是網(wǎng)絡穩(wěn)定運行的關(guān)鍵，因此方案設(shè)計需要選擇高可靠性的設(shè)施，并將冗余、容錯能力充分考慮其中，合理設(shè)計系統(tǒng)架構(gòu)，讓系統(tǒng)具有自愈功能。同時，系統(tǒng)的高性能也是保證整個網(wǎng)絡穩(wěn)定運行的關(guān)鍵點，高性能不僅可以保證網(wǎng)絡的高帶寬，還可以保證設(shè)備均有高處理能力，使應用系統(tǒng)的數(shù)據(jù)、語音以及圖像等得到高質(zhì)量的處理，并根據(jù)未來業(yè)務發(fā)展的需要，適當?shù)貙ο到y(tǒng)功能進行升級與拓展，最大化地減少對系統(tǒng)架構(gòu)的調(diào)整。先進的管理平臺可以保證設(shè)備與端口的統(tǒng)一管理，可管理性還可以為系統(tǒng)提供自動報警功能。

2.3 專用網(wǎng)絡設(shè)計

第一，作為醫(yī)院中心機房供配電系統(tǒng)的關(guān)鍵設(shè)施，UPS供配電不僅可以解決數(shù)據(jù)中心機房設(shè)備運行的故障，還可以為其他運行設(shè)施及時供電。在網(wǎng)絡運行的整體環(huán)境中，數(shù)據(jù)中心機房配電系統(tǒng)的設(shè)計需要通過專業(yè)插座進行工作，中心機房主機和重要電子設(shè)備需要使用專用插座，其他輔助設(shè)備需要使用標準插座。第二，UPS 供配電的配電箱包括數(shù)據(jù)中心機房中重要的網(wǎng)絡主機設(shè)備和應急照明設(shè)備。第三，該文對2 種配電設(shè)備采用了分開設(shè)計回路的方式，讓每個回路都由單獨的電源開關(guān)進行控制。第四，醫(yī)院的數(shù)據(jù)中心機房配置2 個UPS 供電插座，通過UPS 配電箱為每個機柜提供回路。

作為機房整體運行的重心，醫(yī)院的中心機房網(wǎng)絡監(jiān)控系統(tǒng)的雙保險設(shè)計起到了關(guān)鍵作用。數(shù)據(jù)中心機房具有數(shù)字硬盤錄像功能，可對醫(yī)院的整體運行環(huán)境進行實時監(jiān)控以及時掌握醫(yī)院的網(wǎng)絡環(huán)境運行數(shù)據(jù)。B/S 框架下的監(jiān)控系統(tǒng)、集中管理模式的整體設(shè)計使數(shù)據(jù)中心機房可以對不同軟件系統(tǒng)進行實時控制。醫(yī)院中各個分支系統(tǒng)都需要與數(shù)據(jù)中心機房進行單獨連接，因此更專業(yè)的網(wǎng)絡系統(tǒng)非常重要。網(wǎng)絡系統(tǒng)設(shè)計的關(guān)鍵就是數(shù)據(jù)中心機房，所有的分支設(shè)計都需要通過VPN 系統(tǒng)隧道進行設(shè)計[3]，網(wǎng)狀式的設(shè)計結(jié)構(gòu)可以讓數(shù)據(jù)中心機房訪問系統(tǒng)下的所有分支結(jié)構(gòu)。因此需要建立廣域網(wǎng)設(shè)備，使其及時連接到各個分支，并對分支結(jié)構(gòu)進行優(yōu)化，進而實現(xiàn)更準確的組網(wǎng)。在同一個時間段內(nèi)，通過優(yōu)化各個應用系統(tǒng)，可以有效提高數(shù)據(jù)中心機房的數(shù)據(jù)處理速度，以實現(xiàn)對數(shù)據(jù)中心機房中數(shù)據(jù)的統(tǒng)一管理，這對工作效率的提高十分有效。通過VPN 系統(tǒng)對數(shù)據(jù)進行壓縮，可以降低傳送量、提高傳輸速度、減少帶寬壓力并保證同步效果。

2.4 中心機房網(wǎng)絡設(shè)計

為了保證醫(yī)院網(wǎng)絡中各個分支系統(tǒng)提取的有效時間一致，該文采用簇點算法進行設(shè)計。選擇一條設(shè)計主線作為主要的傳輸通道，一條備用線路進行問題處理，為后臺的數(shù)據(jù)處理提供全方位的設(shè)計空間。同時，為了保證提取數(shù)據(jù)的速度，需要對主線路進行升級，因此為了讓剩余的能量可以被備用線路獲取[4]，需要對其進行改進，如公式（1）所示。

式中：Er i為主線路的剩余能量；Erave為數(shù)據(jù)中心機房網(wǎng)絡的剩余能量；p為所占比值。

醫(yī)院數(shù)據(jù)中心機房網(wǎng)絡分支結(jié)構(gòu)中的設(shè)計數(shù)量會影響網(wǎng)絡的速度，為了保證能耗不被降低，需要對分支結(jié)構(gòu)進行重新設(shè)定和選擇，確定分支數(shù)量，可得公式（2）。

式中：d（si，sink）為節(jié)點i到中心機房的距離；dmin、dmax為節(jié)點到中心機房的最小距離和最大距離；c 為數(shù)據(jù)競爭；R0c為備選線路的最大值[5]。

2.5 驗證結(jié)果與分析

為了驗證上述基于數(shù)據(jù)傳輸速度優(yōu)化方法的網(wǎng)絡設(shè)計的有效性，對不同醫(yī)院的網(wǎng)絡環(huán)境進行仿真試驗，將網(wǎng)絡負載作為TCP 負載，最大字節(jié)為2550。為了滿足醫(yī)院網(wǎng)絡環(huán)境對數(shù)據(jù)的壓縮需求，需要對傳輸速度進行優(yōu)化，并根據(jù)表1 的數(shù)據(jù)[6]推測醫(yī)療數(shù)據(jù)包的吞吐量。

表1 不同數(shù)據(jù)中心機房網(wǎng)絡設(shè)計方法大小

根據(jù)表1 可知，由VPN 的虛擬系統(tǒng)獲取的醫(yī)療數(shù)據(jù)傳輸通道不僅可以支持網(wǎng)狀結(jié)構(gòu)，還可以訪問系統(tǒng)中的任一分支結(jié)構(gòu)，優(yōu)化系統(tǒng)數(shù)據(jù)，并通過不斷優(yōu)化的方式提高數(shù)據(jù)中心機房讀取信息的速度，以保證醫(yī)院網(wǎng)絡環(huán)境數(shù)據(jù)的吞吐量不受影響。

3 醫(yī)院雙中心機房虛擬化網(wǎng)絡方案規(guī)劃

根據(jù)醫(yī)院網(wǎng)絡的實際情況，基于雙中心機房，采用網(wǎng)絡虛擬化技術(shù)構(gòu)建網(wǎng)絡系統(tǒng)，對核心層、匯聚層、接入層等網(wǎng)絡架構(gòu)進行全面的改造后構(gòu)建屬于醫(yī)院的全新的核心網(wǎng)絡系統(tǒng)。

3.1 核心層

核心層部署如圖2 所示。在現(xiàn)有的機房和門診樓機房中，1 臺數(shù)據(jù)交換主核心交換機、2 臺鏈路互聯(lián)核心交換機、2 臺物理核心交換機、1 臺虛擬核心設(shè)備、2 臺服務器匯聚交換機、2 臺現(xiàn)有機房交換機共同組成了整個醫(yī)院的網(wǎng)絡虛擬環(huán)境[7]。通過2 臺現(xiàn)有機房的交換機可以實現(xiàn)線纜互聯(lián)，并在虛擬化技術(shù)的支持下形成了一臺邏輯交換機，使雙機房之間的邏輯交換機進行結(jié)合形成光纖鏈路，在虛擬化技術(shù)的支持下形成跨中心數(shù)據(jù)的邏輯交換機，從而實現(xiàn)高可靠性的服務器功能。當核心層被虛擬化后，交換性能得到了提高，設(shè)備之間的切換時間得以降低，這種切換方式讓業(yè)務之間能自由切換。通過鏈路聚合協(xié)議使核心交換機與其他交換機實現(xiàn)鏈路冗余，以此來提高網(wǎng)絡的傳輸速度。核心層虛擬化可以讓虛擬交換機進行VLAN 規(guī)劃，2 個VLAN可以完成數(shù)據(jù)中心服務器的連接。通過VLAN 網(wǎng)關(guān)，在雙機房的核心交換機上布置一臺負載均衡器，啟動后負載均衡器會均衡交換機之間的功能，以此來滿足客戶端對調(diào)度的需要。同時，為了更好地進行安全服務，需要設(shè)置防火墻板卡，形成一個邏輯防火墻，以此來簡化管理，提高整體服務性能，完成并實現(xiàn)對應用系統(tǒng)的差異化防護管理。

圖2 核心層部署

3.2 匯聚層

匯聚層部署如圖3 所示。住院部與門診樓均部署一臺匯聚交換機，該交換機的功能是連接核心交換機，通過上行的方式實現(xiàn)萬兆光纖鏈路的連接，下行則通過千兆光纖鏈路接入交換機。為了提高上行鏈路的可靠性，該交換機的上行萬兆端口需要與核心交換機進行對接，在充分考慮門診樓業(yè)務的同時更好地保證設(shè)備的使用。通過光纖交換機使2 臺交換機合并為一臺邏輯交換機，上行通過萬兆光纖鏈路進行互聯(lián)，下行通過千兆光纖鏈路接入交換機。為了提高鏈路的可靠性與性能，2 臺交換機的上、下行均需要采用鏈路聚合技術(shù)與核心交換機實現(xiàn)高速對接[8]。

圖3 匯聚層部署

3.3 接入層

為了保證各個樓宇之間網(wǎng)關(guān)交換機的信息共享，同時提高交換機的安全性能，該文將多臺高安全性的接入交換機作為主要設(shè)備，使各個樓宇之間的醫(yī)療終端可以得到及時信息共享。門診樓的接入交換機采用雙鏈路捆綁上行的方式進行信息接入，其他樓宇則采用單鏈路上行方式。該接入方式的優(yōu)勢是能實時將門診接入層進行有效規(guī)劃與部署，并將單點故障分散在各個住院部。雖然無法完全保證網(wǎng)絡系統(tǒng)交換機的冗余性，但能大大改善網(wǎng)絡結(jié)構(gòu)的復雜性，在一定程度上達到了節(jié)約成本的目的。

4 醫(yī)院數(shù)據(jù)中心機房網(wǎng)絡安全系統(tǒng)設(shè)計

4.1 規(guī)劃拓撲

獲取信息時，越復雜的網(wǎng)絡環(huán)境越容易受到外界環(huán)境的干擾，個人信息泄露的概率也就越大，因此網(wǎng)絡的安全系統(tǒng)在整個網(wǎng)絡系統(tǒng)的設(shè)計中非常重要。具體的網(wǎng)絡安全系統(tǒng)規(guī)劃拓撲結(jié)構(gòu)如圖4 所示[9]。

圖4 網(wǎng)絡安全系統(tǒng)規(guī)劃拓撲結(jié)構(gòu)圖

在整個網(wǎng)絡安全系統(tǒng)規(guī)劃拓撲結(jié)構(gòu)中，防火墻采用板卡式，通過數(shù)據(jù)線與核心交換機進行互聯(lián)，并利用虛擬網(wǎng)絡虛擬出多個防火墻以作備用。在設(shè)備上通過劃分安全區(qū)域的方式提高安全級別，使不同區(qū)域提高安全性能，并根據(jù)用戶的業(yè)務需要靈活改變安全設(shè)定范圍，以適應網(wǎng)絡系統(tǒng)的復雜性，提高網(wǎng)絡的安全管理水平。板卡式設(shè)計的部署核心主要在數(shù)據(jù)中心的交換機上，該板卡方式可以通過深入剖析與檢測解決網(wǎng)絡中存在的病毒，并對其進行防御抵抗，以病毒過濾的方式抵制各種外界入侵，保障網(wǎng)絡的運行安全。

安全漏洞掃描系統(tǒng)的優(yōu)勢是可以更好地對醫(yī)院中現(xiàn)有網(wǎng)絡設(shè)備進行安全檢查，并針對安全漏洞提出解決方案。將安全審計設(shè)備部署在數(shù)據(jù)中心旁，通過監(jiān)聽設(shè)施對服務器的運行進行監(jiān)控，記錄存在的問題，并與數(shù)據(jù)庫中的信息進行整合，保證數(shù)據(jù)庫可以隨時訪問設(shè)備信息，這也是保障服務器安全運行的一種方式。將Web 應用防火墻設(shè)置在應用服務器中，以便對數(shù)據(jù)進行保護。在安全防護過程中，該設(shè)計方式可以隨時對攻擊對象進行分析和過濾。防護完成后會開啟對界面的保護與檢測，如果頁面被篡改，其會立即給管理員發(fā)送通知，并對外界保持篡改前的界面[10]。

4.2 板卡部署

防火墻的板卡部署通過三層接口連接到數(shù)據(jù)中心，統(tǒng)一集合在匯聚交換機中，并與多個漏洞的匯聚交換機進行結(jié)合，實現(xiàn)對醫(yī)院內(nèi)部用戶訪問的控制。并通過IPS 以在線的方式部署在網(wǎng)絡的關(guān)鍵路徑中，對流經(jīng)該路徑的網(wǎng)絡數(shù)據(jù)進行深度分析，精準識別來自各類網(wǎng)絡的攻擊。

4.3 漏洞部署

漏洞掃描部署采用遠程評估的方式和獨立的運行操作模式，可以解決網(wǎng)絡系統(tǒng)中存在的冗余問題。由于數(shù)據(jù)的冗余會造成數(shù)據(jù)較密集，因此需要解決網(wǎng)絡拓撲問題。將遠程安全評估系統(tǒng)與網(wǎng)絡進行連接，正確匹配后才可使用。設(shè)備的工作范圍涵蓋了醫(yī)院的所有網(wǎng)絡數(shù)據(jù)，用戶可以通過任意IP 登錄系統(tǒng)，并進行地址授權(quán)，以此來完成掃描評估任務。

4.4 安全審計部署

為了保證醫(yī)院的安全審計系統(tǒng)不受外界入侵，該文通過虛擬網(wǎng)絡為安全審計系統(tǒng)設(shè)計了多種安全策略，不同對象對應的審計系統(tǒng)有所差異，因此不同對象需要由不同的安全策略進行保護，因此安全審計需要更智能化。

4.5 防護系統(tǒng)部署

Web 應用防護系統(tǒng)在設(shè)計中主要分為橫向防護和縱向防護2 個防護方式。橫向防護的部署以優(yōu)化資源為主，其核心是為了解決網(wǎng)絡中存在的各種安全問題，應用Web應用防護系統(tǒng)可以更好地滿足業(yè)務需求；縱向防護的部署是建立在信息流向中的，可以使系統(tǒng)提高防護技術(shù)，讓系統(tǒng)擁有更多的防護方案。

5 結(jié)語

在進行系統(tǒng)設(shè)計過程中，要保證系統(tǒng)的技術(shù)先進性、高可靠性、高性能性、可擴展性、可管理性、安全性以及經(jīng)濟性，系統(tǒng)的穩(wěn)定運行是整個應用系統(tǒng)運行的關(guān)鍵，不僅可以有效維護網(wǎng)絡的高帶寬和設(shè)備的高處理能力，同時還維護了應用系統(tǒng)對各類信息的高質(zhì)量傳輸能力與處理能力。且隨著網(wǎng)絡和計算機技術(shù)的快速發(fā)展，社會醫(yī)療的深入改革使醫(yī)院的信息系統(tǒng)得到了不斷完善，醫(yī)院的網(wǎng)絡系統(tǒng)工作性能成了醫(yī)院管理的關(guān)鍵。因此，建立更好的醫(yī)院網(wǎng)絡系統(tǒng)，可使醫(yī)院在管理、科研等領(lǐng)域均得到更好的發(fā)展。