新聞動態(tài)
新聞詳情
醫(yī)院多物理鏈路融合構(gòu)建醫(yī)院網(wǎng)絡(luò)系統(tǒng)實踐研究
作者:
發(fā)布時間:
2022-05-30
一、概述
多物理鏈路融合的本質(zhì)在于數(shù)據(jù)互聯(lián)、互通、物理鏈路使用效率等,而物理鏈路恰為各類信息系統(tǒng)及智能應(yīng)用的基礎(chǔ)承載網(wǎng)絡(luò),所以物理鏈路設(shè)計、建設(shè)的方式,決定著網(wǎng)絡(luò)使用效率,因此醫(yī)院在弱電工程期間,要超前規(guī)劃未來各類應(yīng)用及數(shù)據(jù)交換需求,在把醫(yī)院內(nèi)部業(yè)務(wù)數(shù)字網(wǎng)、外部Internet網(wǎng)絡(luò)、語音電話網(wǎng)、視頻監(jiān)控網(wǎng)、電視娛樂網(wǎng)等網(wǎng)絡(luò)子系統(tǒng)所需要的物理承載鏈路,在充分分析各個子網(wǎng)的使用時點、帶寬要求、技術(shù)難點等要件基礎(chǔ)上,進(jìn)行設(shè)計整合,構(gòu)建統(tǒng)一、安全的物理鏈路,從而提高網(wǎng)絡(luò)使用效率及節(jié)約投資成本,并為未來各類型智能化應(yīng)用奠定基礎(chǔ)。
二、傳統(tǒng)醫(yī)院信息化建設(shè)現(xiàn)狀
囿于早期技術(shù)能力、投資規(guī)模以及醫(yī)院管理人員對信息技術(shù)認(rèn)知的局限性等限制條件,在構(gòu)建院內(nèi)各類子網(wǎng)時,嚴(yán)格區(qū)分網(wǎng)絡(luò)的使用類型,如數(shù)據(jù)內(nèi)網(wǎng)、數(shù)據(jù)外網(wǎng),兩張網(wǎng)絡(luò)分開建設(shè),獨立運行;電話語音網(wǎng)采用傳統(tǒng)大對數(shù)電纜作為骨干,通過三類或五類雙絞線纜連接到桌面,提供話音信號的傳輸;電視娛樂網(wǎng)通過同軸電纜組網(wǎng),利用信號放大器傳輸電視信號;而視頻監(jiān)控亦通過同軸電纜組網(wǎng),利用光端機來連接前端各個攝像機。
這些子網(wǎng)均獨立構(gòu)建,隨著各項技術(shù)的成熟及發(fā)展,傳統(tǒng)醫(yī)院信息化構(gòu)建方式一些弊端也逐漸顯現(xiàn):
·造成由于基礎(chǔ)物理鏈路建設(shè)方式導(dǎo)致信息共享困難;
·信息數(shù)字資源存儲分散,無法實現(xiàn)集約化效用;
各類應(yīng)用子系統(tǒng)繁多、獨立,增加了未來集成管理與維護難度;
特別是,醫(yī)院信息部門中既懂信息技術(shù)又懂醫(yī)學(xué)與醫(yī)院管理的復(fù)合型人才十分缺乏,因此在更新院內(nèi)網(wǎng)絡(luò)系統(tǒng)或是重建醫(yī)院網(wǎng)絡(luò)系統(tǒng)時,往往不會考慮使用新的技術(shù)來融合醫(yī)院各類子網(wǎng)。即使在集成商或設(shè)備廠商專業(yè)人員提出網(wǎng)絡(luò)融合建設(shè)建議時,相關(guān)管理者由于顧慮到網(wǎng)絡(luò)融合后帶來的未知風(fēng)險,以及在技術(shù)可行性與網(wǎng)絡(luò)安全等方面存在疑慮,而拒絕采用網(wǎng)絡(luò)融合方案。
三、多物理鏈路融合優(yōu)勢
醫(yī)院采用多物理鏈路融合方案,實現(xiàn)以一種單一網(wǎng)絡(luò)形式,提供語音、數(shù)據(jù)和視頻監(jiān)控、電視娛樂等多種數(shù)據(jù)傳輸服務(wù)。在降低整體網(wǎng)絡(luò)建設(shè)投入成本的前提下,便捷了網(wǎng)絡(luò)管理及提供極佳服務(wù)體驗,還將提高醫(yī)院各系統(tǒng)的協(xié)作能力與全院網(wǎng)絡(luò)使用率。網(wǎng)絡(luò)拓?fù)湎到y(tǒng)圖如下:
圖1:海南省腫瘤醫(yī)院網(wǎng)絡(luò)示意圖
以海南省腫瘤醫(yī)院多網(wǎng)融合建設(shè)方案為例,介紹醫(yī)院通過構(gòu)建一張數(shù)據(jù)網(wǎng)絡(luò)來實現(xiàn)數(shù)據(jù)內(nèi)外網(wǎng)絡(luò)、IP語音、安防系統(tǒng)、電視娛樂、手術(shù)示教、高清視頻會議、子母鐘、信息發(fā)布等眾多子系統(tǒng)互通融合務(wù)實,并通過VLAN(虛擬局域網(wǎng))技術(shù)實現(xiàn)各子系統(tǒng)的安全獨立運行, 充分發(fā)揮多網(wǎng)融合的技術(shù)優(yōu)勢。
1、提高全網(wǎng)使用效率
按照傳統(tǒng)弱電工程建設(shè)的方式,不但造成大量的工程投資浪費,也會造成網(wǎng)絡(luò)設(shè)備、設(shè)施及帶寬的浪費,因此,海南省腫瘤醫(yī)院統(tǒng)一物理鏈路設(shè)計骨干帶寬為40G,并對網(wǎng)絡(luò)帶寬使用及交換機進(jìn)行實時監(jiān)控,預(yù)設(shè)閥值報警,以保證全網(wǎng)高效而穩(wěn)定的運行,同時建立全網(wǎng)安全方案,防治網(wǎng)絡(luò)某端口被利用而造成整個網(wǎng)絡(luò)的擾動,在流量控制方面實現(xiàn)對每臺交換機的實時監(jiān)控,并做到端口級別。
表1:各系統(tǒng)分時段占用帶寬統(tǒng)計表
注:各子網(wǎng)運行占用帶寬具時段特性,據(jù)統(tǒng)計電視娛樂所占帶寬高峰期為晚上7:00到晚上10:00,醫(yī)療業(yè)務(wù)網(wǎng)高峰期為上午7:00到下午3:00,安防系統(tǒng)占用帶寬穩(wěn)定,按各系統(tǒng)同時達(dá)到數(shù)據(jù)峰值(一般不可能)約占總帶寬的50%,具體統(tǒng)計見上表所附數(shù)據(jù)為各類子系統(tǒng)滿負(fù)荷運轉(zhuǎn)所占帶寬,考慮各系統(tǒng)運行特性,總帶寬占用一般為25%左右。如各子系統(tǒng)獨立建設(shè),網(wǎng)絡(luò)使用效率將更低。
2、節(jié)約投資額度
醫(yī)院弱電子系統(tǒng)眾多,共用基礎(chǔ)網(wǎng)絡(luò)設(shè)備及綜合布線的環(huán)境后,將極大的提高醫(yī)院網(wǎng)絡(luò)的投資效益性。以我院為例不管安防系統(tǒng)、IP語音系統(tǒng)還是IPTV系統(tǒng),采用多物理鏈路融合技術(shù)后,比傳統(tǒng)方案節(jié)省大量預(yù)算,即節(jié)約了建設(shè)初期的線纜、橋架、施工成本,同時在管線工程施工中避免與水、電、空調(diào)等專業(yè)擠占有限的空間,也節(jié)省了交換資源以及供電資源,因為交換機全部選擇PoE供電,在后期運營管理過程中節(jié)約大量的人力資源以及能源消耗。
3、提高各子系統(tǒng)互通,減少信息孤島
各子系統(tǒng)分開建設(shè),易在物理層面上產(chǎn)生信息孤島現(xiàn)象。如醫(yī)院內(nèi)網(wǎng)調(diào)閱患者相關(guān)信息,需要與外界交流時,不得不更換電腦或重啟進(jìn)入外網(wǎng)界面,導(dǎo)致網(wǎng)絡(luò)僵化,較差用戶體驗;采用內(nèi)外網(wǎng)合一,通過防火墻、殺毒軟件以及一些管理策略,除了提高用戶體驗外,并沒有增加更大的風(fēng)險,所以,基于統(tǒng)一物理鏈路的各子網(wǎng)系統(tǒng)的互聯(lián)互通實現(xiàn)起來更加便捷。
4、提高系統(tǒng)可擴展性
基于TCI/IP的統(tǒng)一物理鏈路架構(gòu),可以承載各子系統(tǒng)的各類應(yīng)用,也可在此基礎(chǔ)上根據(jù)醫(yī)院信息化建設(shè)發(fā)展規(guī)劃,分階段采購、配置各類智能化應(yīng)用,以傳統(tǒng)電話系統(tǒng)為例,由于該系統(tǒng)功能單一落后,無法滿足未來視頻通訊與移動通訊等互聯(lián)需求,因此造成系統(tǒng)投入產(chǎn)出比極低,多網(wǎng)融合后,即可在該物理鏈路上增加各類智能應(yīng)用,也可以為未來預(yù)留足夠擴展空間,還能節(jié)省大量的建設(shè)資金。
5、方便管理維護
按照傳統(tǒng)弱電智能化的建設(shè)方法,醫(yī)院建成后將擁有眾多的業(yè)務(wù)網(wǎng),不僅前期建設(shè)施工量大,也給后期的管理維護帶來了諸多不便。如各業(yè)務(wù)網(wǎng)分開建設(shè),所需維護的設(shè)備量只增不減,且需要的備品、配件種類與數(shù)量都會有所增加,而當(dāng)多網(wǎng)融合后,由于網(wǎng)絡(luò)整體架構(gòu)健壯、穩(wěn)定,故障率將大大降低,即使出現(xiàn)故障時,通過網(wǎng)絡(luò)運維管理系統(tǒng),可以快速定位、排查故障,同時建立管理體系,保證規(guī)范操作、規(guī)范使用系統(tǒng),提高網(wǎng)絡(luò)整體穩(wěn)定性。
四、保障多物理鏈路融合安全的幾類技術(shù)
1、劃分安全域
網(wǎng)絡(luò)架構(gòu)布局決定網(wǎng)絡(luò)運行狀態(tài),而不是網(wǎng)絡(luò)承載數(shù)據(jù)類型。因此,各類子系統(tǒng),可通過設(shè)置相同或相似的安全保護需求和保護策略,劃定特定的安全域。而在不同的安全域之間可按需設(shè)置防火墻以進(jìn)行安全保護。而在設(shè)計網(wǎng)絡(luò)核心層、匯聚層時,可考慮采用全線性速率交換產(chǎn)品,通過估算各子系統(tǒng)轉(zhuǎn)發(fā)流量的大小與特征,得出網(wǎng)絡(luò)所需的性能指標(biāo)。一般而言,高峰期網(wǎng)絡(luò)使用率以不超過網(wǎng)絡(luò)設(shè)計容量的70%為界,而高峰期使用量達(dá)到網(wǎng)絡(luò)設(shè)計容量的50%時,可實現(xiàn)最佳投資保護。
除了在網(wǎng)絡(luò)前期規(guī)劃設(shè)計時要充分考慮各子網(wǎng)系統(tǒng)對網(wǎng)絡(luò)的使用需求及未來智能化擴展外,網(wǎng)絡(luò)運行安全管理成為關(guān)鍵要素;事實上,不管采用傳統(tǒng)技術(shù),還是基于全I(xiàn)P網(wǎng)絡(luò)構(gòu)架,安全隱患都會存在。所以網(wǎng)絡(luò)規(guī)劃設(shè)計時需充分考慮安全因素,做好防護管理工作。以目前比較典型的三層局域網(wǎng)架構(gòu)為例,除了通過防火墻和IDS等措施來保護邊界安全外,還應(yīng)針對接入層、匯聚層、核心層、網(wǎng)絡(luò)邊界等各層實施對應(yīng)的安全解決方案,如在接入層通過交換機訪問控制列表、生成樹協(xié)議特性(Root Guard、Etherchannel Guard、Loop Guard等)、動態(tài)主機配置協(xié)議(DHCP Snooping)等安全措施來保證網(wǎng)絡(luò)的安全。同理,在各層中均可針對各自協(xié)議的特征來制定對應(yīng)的安全防護方案。
對于大型三甲醫(yī)院而言,網(wǎng)絡(luò)融合后規(guī)模將更大、數(shù)據(jù)流量的轉(zhuǎn)發(fā)也將變得更加復(fù)雜,這些確實增加了部分網(wǎng)絡(luò)安全隱患。但通過可靠的網(wǎng)絡(luò)安全設(shè)備,以及有效的操作管理方式與靈活的安全架構(gòu),網(wǎng)絡(luò)安全問題是可以得到保障的。其中操作管理方式可制定相關(guān)網(wǎng)絡(luò)使用規(guī)則,并對醫(yī)院員工進(jìn)行網(wǎng)絡(luò)安全基礎(chǔ)知識培訓(xùn)等活動來實施。而網(wǎng)絡(luò)系統(tǒng)安全架構(gòu),則是靈活多變的,即可分層部署網(wǎng)絡(luò)安全策略,亦可集中部署。但就目前的趨勢而言,分層部署越來越受到行業(yè)用戶的認(rèn)可。下面簡單介紹一些多網(wǎng)融合后可能會使用到的網(wǎng)絡(luò)安全技術(shù)或設(shè)備。
2、虛擬化技術(shù)
對于內(nèi)外網(wǎng)融合而言,最擔(dān)心的可能就是當(dāng)某臺PC瀏覽外網(wǎng)感染病毒后,危及到內(nèi)網(wǎng)安全,因此可通過虛擬機技術(shù),在某些即須連接互聯(lián)網(wǎng)、又須瀏覽內(nèi)網(wǎng)的PC上虛擬出一套操作系統(tǒng),限定使用者只能使用虛擬機來連接外網(wǎng)。即使在訪問外網(wǎng)時中毒,也不會影響到內(nèi)部網(wǎng)絡(luò)。
3、訪問控制技術(shù)
醫(yī)院信息點位眾多,加之在病區(qū)還部署了無線設(shè)備,因此對網(wǎng)絡(luò)的訪問控制將變得格外重要,可通過ACL(訪問控制列表)、NAC(網(wǎng)絡(luò)準(zhǔn)入控制)、身份認(rèn)證等多種訪問控制技術(shù)來保障網(wǎng)絡(luò)的安全。
4、防火墻、IPS(入侵防護系統(tǒng))
這兩種設(shè)備一般部署在網(wǎng)絡(luò)邊緣(即外網(wǎng)與內(nèi)網(wǎng)的連接處)或是在內(nèi)網(wǎng)與數(shù)據(jù)中心連接處。其中,防火墻可通過控制網(wǎng)絡(luò)訪問的方式實現(xiàn)安全策略;而IPS能夠?qū)崟r地精確檢測、分析、并緩解惡意流量,應(yīng)對形形色色的網(wǎng)絡(luò)入侵和攻擊。同時,據(jù)Gartner研究“配置和管理多個供應(yīng)商提供的防火墻,比配置和管理一個供應(yīng)商大”,因此應(yīng)避免使用多個供應(yīng)商提供的防火墻,并根據(jù)安全技術(shù)發(fā)展,時時提升網(wǎng)絡(luò)安全策略。
上述安全技術(shù)如分配至網(wǎng)絡(luò)中,可能處于網(wǎng)絡(luò)的不同層次,下圖將目前部分主流網(wǎng)絡(luò)安全技術(shù)按網(wǎng)絡(luò)位置進(jìn)行了整理,以供參考:
圖2:保障多物理鏈路融合安全的幾類技術(shù)
五、多物理鏈路融合帶來的挑戰(zhàn)
1、管理上的挑戰(zhàn)
多物理鏈路融合的建設(shè),勢必會給醫(yī)院原有的管理體制帶來變革,這需要醫(yī)院管理層與信息部門共同完成新系統(tǒng)下的職、責(zé)、權(quán)分配,建立新的系統(tǒng)管理秩序。當(dāng)然,這一變革對院內(nèi)信息技術(shù)人員綜合素質(zhì)也提出了更高要求,所以信息技術(shù)崗位需建立院內(nèi)院外培訓(xùn)機制及持證上崗制度,以解決未來網(wǎng)絡(luò)運行當(dāng)中各種故障及運維問題。
2、維護與故障排除的挑戰(zhàn)
多物理鏈路融合降低運維整體成本,但故障排查的復(fù)雜度可能不減而增,通過集中網(wǎng)管智能管理平臺,實現(xiàn)快速定位、排查故障,通過管理策略設(shè)定、QoS等措施提高整體穩(wěn)定性,但是不管怎么樣,在保證系統(tǒng)運行的穩(wěn)定性、安全性等方面需要在具體工作中持續(xù)體現(xiàn)。
3、網(wǎng)絡(luò)監(jiān)管
對整體網(wǎng)絡(luò)進(jìn)行有效監(jiān)管,流量控制做到端口級別,同時考慮逆向要求,比如安防網(wǎng)的某個網(wǎng)口被人利用,能立刻察覺,并自動實施策略管制,從而避免對整體網(wǎng)絡(luò)造成擾動。
六、結(jié)論
合理的多物理鏈路融合設(shè)計、建設(shè)將極大的提高醫(yī)院數(shù)字化水平,通過整體規(guī)劃、全面集成、分步實施等步驟,保證了多網(wǎng)融合建設(shè)的可行性與可控性,這為建立完整而高效的數(shù)字化醫(yī)院體系打下了堅實的基礎(chǔ)。
下一頁
下一頁