1、.醫院網絡解決方案1.概述數字化醫院是在數字醫療設備、計算機網絡平臺和醫院業務軟件的基礎上，對病人的治療數據進行采集、存儲、傳輸和處理，以達到在全院范圍內的全數字化流程，就是數字化醫院。數字化醫院在發展的過程中分成三個階段，第一階段，主要是一些關于人、財、物的管理，如財務管理、各種收費、藥品藥庫管理和OA 等，第二階段，也是這些醫院最直接、最迫切的面對臨床的信息化，包括諸如PACS、 LIS、手術室、麻醉等，第三階段，主要是充分運用醫院信息化，開展遠程醫療、社區醫療等區域醫療。1.1. 醫院網絡的總體需求1、為 HIS 應用系統提供一個強有力的網絡支撐平臺；2、網絡設計不僅要體現當前網絡多業務

2、服務的發展趨勢，同時具有最靈活的適應、擴展能力；3、一體化網絡平臺：整合數據、語音和圖像等多業務的端到端、以 IP 為基礎的統一的一體化網絡平臺，支持多協議、多業務、安全策略、流量管理、服務質量管理、資源管理；4、數據存儲安全:醫院信息系統的數據存儲需要具有存儲量大、擴充性強的特點。1.2. 網絡建設原則1、實用性：整個網絡系統具有較高的實用性；2、時效性：網絡應保證各類業務數據流的及時傳輸，網絡時效性要強，網絡延時要小，確保業務的實時高效；3、可靠性：整個網絡系統應具有很高的安全可靠性，必須滿足7×24× 365 小時連續運行的要求。在故障發生時，網絡設備可以快速自動地切

3、換到備份設備上；4、安全性：能有效防止網絡的非法訪問，保護關鍵數據不被非法竊取、篡改或泄漏，使數據具有極高的安全性；5、完整性：網絡系統應實現端到端的、能整合數據、語音和圖像的多業務應用，滿足全網范圍統一的實施安全策略、 QoS 策略、流量管理策略和系統管理策略的完整的一體化網絡；6、效益性：網絡的投資應隨著網絡的伸縮能夠持續發揮作用，保護現有網絡的投資，充分發揮網絡投資的最大效益；7、可伸縮性：網絡要具有面向未來的良好的伸縮性能，既能滿足當前的需求，又能支持未來業務網點、業務量、業務種類的擴展和與其它機構或部門的連接等對網絡的擴充性要求。1.3. 網絡系統的整體架構醫院信息系統的網絡采用三級

4、架構，分為核心層、匯聚層和接入層。核心層處于醫院網絡的中心，負責全網的路由交換，并與各服務器、存儲等核心醫院應用相連；匯聚層分布在各個大樓內，負責大樓與核心層的連接；接入層位于各大樓內的樓層，負責直接接入桌面系統， 與匯聚層連接。1.4. 醫院業務應用分析醫院業務劃分醫院的業務系統有很多，而且不同的專科醫院業務系統也有很大區別，但以下一些業務系統是醫院都具有的：門診系統1 / 6.住院系統體檢系統PACS系統醫院管理經濟系統區域醫療系統應用系統分類醫院信息系統主要分成以下三類：醫院管理系統門、急診掛號子系統門、急診病人管理及計價收費子系統住院病人管理子系統藥庫、藥房管理子系統病案管理子系統醫療

5、統計子系統人事、工資管理子系統財務管理與醫院經濟核算子系統醫院后勤物資供應子系統固定資產、醫療設備管理子系統院長辦公綜合查詢與輔助決策支持系統臨床醫療信息系統住院病人醫囑處理子系統護理信息系統門診醫生工作站系統臨床實驗室檢查報告子系統醫學影像診斷報告處理系統放射科信息管理系統手術室管理子系統2 / 6.功能檢查科室信息管理子系統病理卡片管理及病理科信息系統血庫管理子系統營養與膳食計劃管理子系統臨床用藥咨詢與控制子系統區域醫療信息系統遠程會診社區醫療醫院業務系統的需求1）門診系統門診業務作為醫院直接面對患者的窗口具有非常重要的地位和自己的特點（包括焦急的病人無法忍受長時間的等待、門診業務主要集中

6、在上午等），門診業務具有可靠性高、并發性、實時性和突發性強等特點。因此門診業務對網絡提出了高可靠性、高帶寬和QoS 的要求。2）住院系統住院業務是醫院的另一個主要組成部分， 是醫院經濟收入的主要來源， 同時還直接關系到重病患者的生命安全， 具有以下幾個特點： 住院業務的網絡上流動著重癥病人生命數據和各種新業務數據；住院業務保存有患者病案數據和住院費用數據； 醫生移動查房；病人呼叫系統；網上視頻監控系統； 針對住院業務的以上特點，住院業務對網絡提出了高可靠性、安全存儲、 QoS 和無線局域網、VoIP 和視頻會議系統的需求。3）體檢系統現在很多醫院紛紛建立專門的體檢大樓，以滿足社會上不斷擴大的體

7、檢需求。從業務角度上講體檢系統非常簡單， 它對網絡的需求主要體現在安全性上， 如何保護體檢服務器上體檢人員數據安全和體檢大樓網絡安全是醫院體檢系統解決方案所關注的。4） PACS系統醫院的 PACS系統主要是完成對患者的各種影像數據進行采集、存儲、傳輸和處理，并在全院范圍內進行共享，由于是各種圖形圖像數據，因此具有存儲量大的特點，為了更好的服務于醫院業務， PACS 業務對支撐系統提出以下要求：存儲量大、擴展性強、數據快速存儲、數據容災、高帶寬5）管理經濟系統醫院管理經濟系統主要是人、財、物的管理，包括人事、財務管理、藥品藥庫管理等，因3 / 6.此它最大的需求是數據在服務器端和網絡上的安全，

8、保證這些數據不會泄露。6）區域醫療系統一方面為了發揮中心醫院的輻射和覆蓋作用，另一方面充分利用各家醫院的特色科室的力量，區域醫療把這些資源進行共享和整合，這需要穩定的廣域網連接。2. 總體網絡設計2.1. 系統建設的總體目標目前， HIS 系統在很多醫院已經或者剛開始部署，很多傳統業務都逐漸遷移到網絡上，對網絡的性能、安全和穩定提出了很高的要求，主要體現在以下幾個方面：1）可靠迅速的響應以提供更好的醫療服務一般大醫院每天的門診量很大，最多可達到5000 人/ 天，一般大型醫院平均門診達到10002000 人/ 天， HIS 系統每天對后臺數據庫的調用非常頻繁，會產生很大的數據流量，如果這種訪問

9、流量出了問題而導致無法正常進行收費和醫療診斷，會產生嚴重的社會后果，因此醫院對網絡的訪問性能有很高的要求。2）安全的業務數據保證醫院正常對外服務在醫院的業務系統中保存著大量患者的健康信息和過程費用信息，這些數據無論對患者還是醫院都非常關鍵，需要嚴格保密，因此如何保護這些數據，對醫院有著重大的意義。3）高效的管理推動系統的穩定，提高維護的效果HIS 經過幾年的建設，已經初具規模。 如何管好整個醫院的業務系統，包括用戶、 服務器、數據庫、存儲設備和網絡等，提高醫院管理效率，保證醫院網絡的正常運轉已經成為醫院急需解決的大問題。4）醫院數據的安全存儲醫院需要存儲包括病人信息、 病案信息、 費用信息和影

10、像等數據， 對數據存儲的安全性和擴展性要求非常高。5）區域醫療的建設為了在區域范圍內實現遠程會診、網上學術研討等業務，迫切需要醫院之間的資源共享2.2. 網絡設計原則基于醫院目前網絡現狀和未來業務發展的要求， 在醫院網絡設計構建中， 應始終堅持以下建網原則：1）高可靠性 -網絡系統的穩定可靠是應用系統正常運行的關鍵保證， 在網絡設計中選用高可靠性網絡產品，合理設計網絡架構，制訂可靠的網絡備份策略，保證網絡具有故障自愈的能力，最大限度地支持醫院各業務系統的正常運行。2）技術先進性和實用性-保證滿足醫院應用系統業務的同時，又要體現出網絡系統的先進性。在網絡設計中要把先進的技術與現有的成熟技術和標準

11、結合起來，充分考慮到醫院網絡目前的現狀以及未來技術和業務發展趨勢。3）高性能醫院網絡性能是醫院整個網絡良好運行的基礎，設計中必須保障網絡及設備的高吞吐能力，保證各種信息（數據、語音、圖象）的高質量傳輸，才能使網絡不成為一眼業務開展的瓶頸。4 / 6.4）標準開放性 -支持國際上通用標準的網絡協議（如IP）、國際標準的大型的動態路由協議等開放協議，有利于以保證與其它網絡(如公共數據網、金融網絡、外聯機構其它網絡)之間的平滑連接互通，以及將來網絡的擴展。5）靈活性及可擴展性 -根據未來業務的增長和變化，網絡可以平滑地擴充和升級，減少最大程度的減少對網絡架構和現有設備的調整。6）可管理性 -對網絡實

12、行集中監測、分權管理，并統一分配帶寬資源。選用先進的網絡管理平臺，具有對設備、端口等的管理、流量統計分析功能以及可提供故障自動報警。7）安全性 -制訂統一的骨干網安全策略，整體考慮網絡平臺的安全性。8）保護現有投資-在保證網絡整體性能的前提下，充分利用現有的網絡設備或做必要的升級，用作骨干網外聯的接入設備。3.醫院設計方案在方案設計中，要充分考慮網絡的高性能，高安全、高可靠設計。中心局域網設計時應注意以下幾方面：1、高可靠性：核心交換機與匯聚交換機采用雙鏈路連接，實現鏈路冗余；核心交換機之間可采用千兆以太網技術互連，為數據報文提供無阻塞交換通道。2、技術的先進性：局域網設備價格便宜，技術發展快

13、,在建設中可適當超前。3、業務盡量隔離：不同業務控制主要通過運行不同的業務系統在不同核心交換機，這樣不會影響醫院的骨干網絡的穩定性和安全性。醫院網絡同時承載業務和HIS 數據，所有交易業務都要經核心交換機處理，建議核心交換機以兩臺華為 3Com 公司 H3C S9508萬兆核心交換機為業務系統核心交換機， 滿足大容量、高性能、高可靠、高安全及網絡擴展的要求。2 臺核心骨干交換機之間使用2 條千兆高速鏈路互聯，之間運行VRRP熱備份路由協議，兩臺 S9508 可以虛擬一臺路由設備，為接入的用戶提供缺省網關的冗余，即這兩臺設備可以互為備份工作。一臺主用，另一臺備份，當主用設備發生故障或上行鏈路故障

14、時，備用設備可以馬上接替主用設備工作，達到設備冗余的目的。并且可以對不同VLAN 設置不同的 S9508 進行主備用工作，達到負載均衡的目的。保障核心節點的高可靠性。數據大集中后整個系統將承載多個業務系統，不同的業務對網絡的帶寬、時延等要求也不同，這就要求核心交換設備業務與性能并重。 S9508 采用功能強大的 ASIC芯片實現 MPLS、 QOS 的分布式線速處理，從而在為用戶提供有保障的業務特性的同時保障數據報文的線速轉發。匯聚交換機采用 S7503，接入交換機采用 S3600，它們可以通過 IRF 技術構成一個邏輯設備，構成鏈路聚合，增加帶寬的同時，也提高了網絡的可靠性。3.1. 網絡邊

15、界防御在網絡出口的邊界處部署SecPath 防火墻和TippingPoint IPS，通過它們的聯動提高網絡邊界的安全。 SecPath 防火墻是L3-L4 的安全防御設備，TippingPoint IPS 是 L7 層上進行防御的“防火墻”， IPS是“深度檢測防火墻”，是“內置了IDS功能”的防火墻。防火墻只能解決 20的安全威脅問題， 而 IPS可以解決 80的安全問題通過在企業 Internet 出口部署 TippingPoint IPS，可以有效的抵御來自外網的 DDOS拒絕服務攻擊、病毒攻擊和黑客入侵，保護公司路由器、交換機、防火墻和DNS 服務器等基礎設施。但是上述部署方案，必須

16、有三個關鍵技術做支撐，才能是真正的有效。 這三項技術分別是：精確的攻擊檢測技術，高性能硬件加速技術和透明的部署技術。首先，在精確檢測技術上，TippingPoint系列產品集成了華為3Com 特有的FIRST 引擎（ Full Inspection with Rigorous State Test ，包含精確狀態的全面檢測）。該引擎可以恢復數據的完整信息，分析報文的五元組、會話狀態、時間特性和應用負荷等，并根據綜合分析5 / 6.結果進行判斷，從而有效地降低漏報率和誤報率。對于最耗時的內容搜索部分，可以配置高性能的 CIE內容搜索加速卡，在不降低檢測準確率的基礎上大大提高了性能，另外華為3Com 專業的安全隊伍負責維護攻擊簽名的更新，這些簽名可以通過華為3Com 安全管理中心實施部署到各個IPS設備上去，給IPS設備打上數字疫苗，使用戶享受實時安全。在