■ 潘傳迪

用虛擬化技術構(gòu)建醫(yī)院園區(qū)網(wǎng)絡

■ 潘傳迪①

虛擬化 醫(yī)院 園區(qū)網(wǎng)

當醫(yī)院園區(qū)網(wǎng)絡承載的應用系統(tǒng)越來越多時，將面臨著業(yè)務的差異化安全要求和業(yè)務融合的發(fā)展趨勢之間的矛盾，如何解決這一矛盾，并在建設成本和建設效果之間取得平衡，是醫(yī)院園區(qū)網(wǎng)絡建設必須考慮的問題。溫州醫(yī)學院附屬第一醫(yī)院在新院園區(qū)網(wǎng)絡建設中，應用網(wǎng)絡虛擬化技術實現(xiàn)了園區(qū)網(wǎng)絡的多業(yè)務安全承載。

①溫州醫(yī)學院附屬第一醫(yī)院信息科，325000 浙江省溫州市府學巷2號

Author’s address：Department of Information, Affiliated 1st hospital of Wenzhou Medical College, No.2, Fuxue Xiang, Wenzhou, 35000,Zhejiang Province, PRC

1 引言

采用互聯(lián)網(wǎng)技術優(yōu)化就醫(yī)流程，提高醫(yī)院服務能力，已經(jīng)成為緩解門診人數(shù)不斷增加和醫(yī)院基礎設施相對不足之間矛盾的重要技術手段[1]。網(wǎng)上預約掛號、網(wǎng)上化驗單查詢、短信系統(tǒng)等很多基于互聯(lián)網(wǎng)的醫(yī)療應用系統(tǒng)，需要訪問醫(yī)院的核心業(yè)務系統(tǒng)數(shù)據(jù)，這預示著醫(yī)院的應用系統(tǒng)未來的兩個改變方向：（1）醫(yī)院信息系統(tǒng)將從原來的封閉系統(tǒng)向開放系統(tǒng)轉(zhuǎn)變；（2）醫(yī)療應用系統(tǒng)將從原來的獨立系統(tǒng)向融合交互系統(tǒng)轉(zhuǎn)變。醫(yī)院應用系統(tǒng)從封閉、獨立的系統(tǒng)向開放、融合的系統(tǒng)轉(zhuǎn)變，必然要求基礎網(wǎng)絡設施也要進行相應的改變，從而對業(yè)務提供有效的支撐。

2 網(wǎng)絡方案需求分析

很多醫(yī)院的網(wǎng)絡系統(tǒng)出于安全性考慮，將業(yè)務系統(tǒng)網(wǎng)絡和互聯(lián)網(wǎng)進行物理隔離[2-3]，不僅建設成本和維護成本高，而且在業(yè)務系統(tǒng)向開放、融合系統(tǒng)轉(zhuǎn)變時適應性調(diào)整難度較大，因此需要一種靈活的技術方案，即能夠滿足業(yè)務的開放、融合需求，又能夠充分滿足醫(yī)院業(yè)務系統(tǒng)的安全和終端的靈活接入，進而便于醫(yī)院信息系統(tǒng)向互聯(lián)網(wǎng)拓展。

最有效的解決方案就是將多種業(yè)務放在同一個網(wǎng)絡中承載，根據(jù)登錄用戶的身份和權(quán)限，決定其可訪問的相應系統(tǒng)。該方案需要解決網(wǎng)絡可靠性和安全性問題。所有業(yè)務系統(tǒng)在同一物理網(wǎng)絡承載，需要網(wǎng)絡有極高的可靠性，還要采用有效的邏輯隔離和互訪技術，確保不同系統(tǒng)之間數(shù)據(jù)的獨立性、安全性和授權(quán)后的可訪問性。這些需求對網(wǎng)絡的方案設計、設備選型和協(xié)議部署均提出了極大的挑戰(zhàn)。

3 網(wǎng)絡虛擬化技術的應用

網(wǎng)絡虛擬化技術已經(jīng)越來越成熟和完善，基于虛擬化技術的網(wǎng)絡可靠性和安全性更高[4]。網(wǎng)絡虛擬化包括對網(wǎng)絡的橫向整合、縱向隔離和防火墻等網(wǎng)絡設備的虛擬化部署，將網(wǎng)絡基礎設施和網(wǎng)絡服務虛擬成為可動態(tài)調(diào)配的資源。橫向整合的虛擬化技術，是在園區(qū)網(wǎng)內(nèi)部署IRF2技術，達到簡化網(wǎng)絡架構(gòu)和靈活擴展的目的，并提供50ms快速收斂的高可靠性?？v向隔離是指支持網(wǎng)絡虛擬化分區(qū)，實現(xiàn)用戶組業(yè)務的邏輯隔離，技術選擇可以包括GRE、VRF逐跳、MPLS L3/L2 VPN等。我院網(wǎng)絡選擇了MPLS L3 VPN技術作為縱向隔離的虛擬化技術，網(wǎng)絡服務的虛擬化指的是FW、IPS等網(wǎng)絡服務模塊可以采用虛擬化的方式部署。

通過網(wǎng)絡虛擬化技術部署，將一張冗余架構(gòu)的網(wǎng)絡橫向整合成一個樹狀無環(huán)的網(wǎng)絡，簡化了MSTP和VRRP等協(xié)議的部署，降低了部署和維護難度。同時，跨設備的鏈路聚合保證單設備、單鏈路的故障都能夠進行50ms的網(wǎng)絡故障收斂，上層應用通過TCP協(xié)議等重傳機制，基本上能對這么微小的網(wǎng)絡故障收斂時間進行完全容錯?？v向隔離的虛擬化技術將同一張物理網(wǎng)絡劃分為多個邏輯子網(wǎng)，如內(nèi)網(wǎng)、互聯(lián)網(wǎng)、監(jiān)控網(wǎng)、語音網(wǎng)、無線網(wǎng)絡等，既保證了各個邏輯子網(wǎng)之間不可互訪，提供了高度的安全性，又保證了在嚴格身份認證和授權(quán)下的業(yè)務互訪，例如互聯(lián)網(wǎng)業(yè)務進行網(wǎng)上化驗單查詢時可以訪問內(nèi)網(wǎng)數(shù)據(jù)庫。虛擬防火墻等網(wǎng)絡服務模塊的虛擬化部署提供了靈活的業(yè)務處理能力，例如互聯(lián)網(wǎng)對于DMZ區(qū)域的訪問需要一個虛擬防火墻和IPS來進行控制，而DMZ區(qū)服務器對于內(nèi)網(wǎng)數(shù)據(jù)庫的訪問需要另一個虛擬防火墻和IPS來進行控制等。

4 方案的特點

4.1 設備選擇

除了選擇成熟穩(wěn)定的產(chǎn)品等基本要求外，網(wǎng)絡核心交換機是應用系統(tǒng)可靠和高效率運行的基礎，因此選擇控制引擎和交換網(wǎng)板硬件相互獨立的體系架構(gòu)產(chǎn)品，實現(xiàn)控制平面和轉(zhuǎn)發(fā)平面的物理分離，保證主備倒換等情況下的流量不中斷，并采用全冗余的配件，保證這個影響范圍最廣的網(wǎng)絡設備能夠提供最高的可靠性。

4.2 終端認證

由于醫(yī)務人員辦公地點經(jīng)常變動，并且存在公用終端的情況，所以基于用戶的身份進行網(wǎng)絡訪問權(quán)限的下發(fā)就非常必要。通過終端準入解決方案，不僅能夠?qū)崟r的防護終端的安全，還能夠基于醫(yī)生的身份進行網(wǎng)絡權(quán)限的動態(tài)下發(fā)，保證了網(wǎng)絡的安全和健壯。終端存在IP電話、打印機等多種辦公設備，通過MAC地址認證解決了辦公設備的網(wǎng)絡接入問題，有效地保證了網(wǎng)絡的安全可控。

4.3 無線網(wǎng)絡

無線網(wǎng)絡是無線查房等業(yè)務的重要載體，傳統(tǒng)無線網(wǎng)絡大多采用單獨建設的方案，其主要缺點包括：（1）無線AP需單獨布線供電；（2）網(wǎng)絡管理憑空增加了很多節(jié)點；（3）無線和有線采用不同的用戶名和密碼；（4）相同的安全策略在無線、有線網(wǎng)絡上要配置兩次。我們通過綜合考慮，發(fā)現(xiàn)無線網(wǎng)絡只是有線網(wǎng)絡的延伸，通過POE供電和瘦AP方案解決了布線和網(wǎng)絡管理方面的問題，同時，終端準入解決方案在有線和無線的網(wǎng)絡環(huán)境下采用同一套認證方法，使得用戶認證信息和安全策略全網(wǎng)一致，在拓撲上直觀顯示所有的節(jié)點信息，極大地簡化了網(wǎng)絡結(jié)構(gòu)。

園區(qū)網(wǎng)絡的設計看似簡單，全冗余、雙歸屬的網(wǎng)絡架構(gòu)每個人都比較了解，但是具體到醫(yī)院的實際情況，綜合考慮可靠、安全、易用、成本、信息點等諸多方面，需要深入的設計和討論。通過虛擬化的網(wǎng)絡架構(gòu)，使得整個園區(qū)網(wǎng)絡承載了無線、語音、監(jiān)控、內(nèi)外網(wǎng)等多種業(yè)務，并對于后期醫(yī)院的業(yè)務發(fā)展提供了良好的擴展性，極大地節(jié)約了總體投入成本。

[1] 陳敏,李道蘋.醫(yī)療服務流程的瓶頸問題及優(yōu)化方法[J].中華醫(yī)院管理雜志,2008,24(7):469-472.

[2] 楊宏橋,吳飛,劉玉樹,等.網(wǎng)絡隔離與安全交換技術在HIS中的應用研究[J].醫(yī)療衛(wèi)生裝備,2008,29(2):45-47.

[3] 黃影,吳飛.基于安全數(shù)據(jù)交換的HIS綜合查詢系統(tǒng)設計[J].醫(yī)療衛(wèi)生裝備,2008,29(6):39-40,44.

[4] 劉 ,梁悅,孫立淼.虛擬技術在醫(yī)院信息化中的研究與應用[J].中國病案,2010(1):54-55.

Building hospital local area network by virtual technology

PAN Chuandi

Chinese Hospitals.-2012,16(2)：69-70

virtual, hospital, local area network

With the rapid increase of application software system in hospital local area network, the contradiction between the safe demands of discrepancy business and integrated business will be appeared. how to deal with this contradiction and get the balance of building cost and effectiveness is a prerequisite problem when constructs hospital local area network. Virtual technology has been successfully solved safety demands of hospital business in Affiliated 1st hospital of Wenzhou Medical College.

潘傳迪：溫州醫(yī)學院附屬第一醫(yī)院信息科主任。

E-mail：pcd@hosp1.ac.cn

2011-12-02](責任編輯 張曉輝)