- 2016-10-18 10:13
- 作者:尚玉明 孔德光 许峻偈
- 来源:中国数字医疗网
一、概述
多物理链路融合的本质在于数据互联、互通、物理链路使用效率等,而物理链路恰为各类信息系统及智能应用的基础承载网络,所以物理链路设计、建设的方式,决定着网络使用效率,因此医院在弱电工程期间,要超前规划未来各类应用及数据交换需求,在把医院内部业务数字网、外部Internet网络、语音电话网、视频监控网、电视娱乐网等网络子系统所需要的物理承载链路,在充分分析各个子网的使用时点、带宽要求、技术难点等要件基础上,进行设计整合,构建统一、安全的物理链路,从而提高网络使用效率及节约投资成本,并为未来各类型智能化应用奠定基础。
二、传统医院信息化建设现状
囿于早期技术能力、投资规模以及医院管理人员对信息技术认知的局限性等限制条件,在构建院内各类子网时,严格区分网络的使用类型,如数据内网、数据外网,两张网络分开建设,独立运行;电话语音网采用传统大对数电缆作为骨干,通过三类或五类双绞线缆连接到桌面,提供话音信号的传输;电视娱乐网通过同轴电缆组网,利用信号放大器传输电视信号;而视频监控亦通过同轴电缆组网,利用光端机来连接前端各个摄像机。
这些子网均独立构建,随着各项技术的成熟及发展,传统医院信息化构建方式一些弊端也逐渐显现:
·造成由于基础物理链路建设方式导致信息共享困难;
·信息数字资源存储分散,无法实现集约化效用;
各类应用子系统繁多、独立,增加了未来集成管理与维护难度;
特别是,医院信息部门中既懂信息技术又懂医学与医院管理的复合型人才十分缺乏,因此在更新院内网络系统或是重建医院网络系统时,往往不会考虑使用新的技术来融合医院各类子网。即使在集成商或设备厂商专业人员提出网络融合建设建议时,相关管理者由于顾虑到网络融合后带来的未知风险,以及在技术可行性与网络安全等方面存在疑虑,而拒绝采用网络融合方案。
三、多物理链路融合优势
医院采用多物理链路融合方案,实现以一种单一网络形式,提供语音、数据和视频监控、电视娱乐等多种数据传输服务。在降低整体网络建设投入成本的前提下,便捷了网络管理及提供极佳服务体验,还将提高医院各系统的协作能力与全院网络使用率。网络拓扑系统图如下:
图1:海南省肿瘤医院网络示意图
以海南省肿瘤医院多网融合建设方案为例,介绍医院通过构建一张数据网络来实现数据内外网络、IP语音、安防系统、电视娱乐、手术示教、高清视频会议、子母钟、信息发布等众多子系统互通融合务实,并通过VLAN(虚拟局域网)技术实现各子系统的安全独立运行, 充分发挥多网融合的技术优势。
1、提高全网使用效率
按照传统弱电工程建设的方式,不但造成大量的工程投资浪费,也会造成网络设备、设施及带宽的浪费,因此,海南省肿瘤医院统一物理链路设计骨干带宽为40G,并对网络带宽使用及交换机进行实时监控,预设阀值报警,以保证全网高效而稳定的运行,同时建立全网安全方案,防治网络某端口被利用而造成整个网络的扰动,在流量控制方面实现对每台交换机的实时监控,并做到端口级别。
表1:各系统分时段占用带宽统计表
注:各子网运行占用带宽具时段特性,据统计电视娱乐所占带宽高峰期为晚上7:00到晚上10:00,医疗业务网高峰期为上午7:00到下午3:00,安防系统占用带宽稳定,按各系统同时达到数据峰值(一般不可能)约占总带宽的50%,具体统计见上表所附数据为各类子系统满负荷运转所占带宽,考虑各系统运行特性,总带宽占用一般为25%左右。如各子系统独立建设,网络使用效率将更低。
2、节约投资额度
医院弱电子系统众多,共用基础网络设备及综合布线的环境后,将极大的提高医院网络的投资效益性。以我院为例不管安防系统、IP语音系统还是IPTV系统,采用多物理链路融合技术后,比传统方案节省大量预算,即节约了建设初期的线缆、桥架、施工成本,同时在管线工程施工中避免与水、电、空调等专业挤占有限的空间,也节省了交换资源以及供电资源,因为交换机全部选择PoE供电,在后期运营管理过程中节约大量的人力资源以及能源消耗。
3、提高各子系统互通,减少信息孤岛
各子系统分开建设,易在物理层面上产生信息孤岛现象。如医院内网调阅患者相关信息,需要与外界交流时,不得不更换电脑或重启进入外网界面,导致网络僵化,较差用户体验;采用内外网合一,通过防火墙、杀毒软件以及一些管理策略,除了提高用户体验外,并没有增加更大的风险,所以,基于统一物理链路的各子网系统的互联互通实现起来更加便捷。
4、提高系统可扩展性
基于TCI/IP的统一物理链路架构,可以承载各子系统的各类应用,也可在此基础上根据医院信息化建设发展规划,分阶段采购、配置各类智能化应用,以传统电话系统为例,由于该系统功能单一落后,无法满足未来视频通讯与移动通讯等互联需求,因此造成系统投入产出比极低,多网融合后,即可在该物理链路上增加各类智能应用,也可以为未来预留足够扩展空间,还能节省大量的建设资金。
5、方便管理维护
按照传统弱电智能化的建设方法,医院建成后将拥有众多的业务网,不仅前期建设施工量大,也给后期的管理维护带来了诸多不便。如各业务网分开建设,所需维护的设备量只增不减,且需要的备品、配件种类与数量都会有所增加,而当多网融合后,由于网络整体架构健壮、稳定,故障率将大大降低,即使出现故障时,通过网络运维管理系统,可以快速定位、排查故障,同时建立管理体系,保证规范操作、规范使用系统,提高网络整体稳定性。
四、保障多物理链路融合安全的几类技术
1、划分安全域
网络架构布局决定网络运行状态,而不是网络承载数据类型。因此,各类子系统,可通过设置相同或相似的安全保护需求和保护策略,划定特定的安全域。而在不同的安全域之间可按需设置防火墙以进行安全保护。而在设计网络核心层、汇聚层时,可考虑采用全线性速率交换产品,通过估算各子系统转发流量的大小与特征,得出网络所需的性能指标。一般而言,高峰期网络使用率以不超过网络设计容量的70%为界,而高峰期使用量达到网络设计容量的50%时,可实现最佳投资保护。
除了在网络前期规划设计时要充分考虑各子网系统对网络的使用需求及未来智能化扩展外,网络运行安全管理成为关键要素;事实上,不管采用传统技术,还是基于全IP网络构架,安全隐患都会存在。所以网络规划设计时需充分考虑安全因素,做好防护管理工作。以目前比较典型的三层局域网架构为例,除了通过防火墙和IDS等措施来保护边界安全外,还应针对接入层、汇聚层、核心层、网络边界等各层实施对应的安全解决方案,如在接入层通过交换机访问控制列表、生成树协议特性(Root Guard、Etherchannel Guard、Loop Guard等)、动态主机配置协议(DHCP Snooping)等安全措施来保证网络的安全。同理,在各层中均可针对各自协议的特征来制定对应的安全防护方案。
对于大型三甲医院而言,网络融合后规模将更大、数据流量的转发也将变得更加复杂,这些确实增加了部分网络安全隐患。但通过可靠的网络安全设备,以及有效的操作管理方式与灵活的安全架构,网络安全问题是可以得到保障的。其中操作管理方式可制定相关网络使用规则,并对医院员工进行网络安全基础知识培训等活动来实施。而网络系统安全架构,则是灵活多变的,即可分层部署网络安全策略,亦可集中部署。但就目前的趋势而言,分层部署越来越受到行业用户的认可。下面简单介绍一些多网融合后可能会使用到的网络安全技术或设备。
2、虚拟化技术
对于内外网融合而言,最担心的可能就是当某台PC浏览外网感染病毒后,危及到内网安全,因此可通过虚拟机技术,在某些即须连接互联网、又须浏览内网的PC上虚拟出一套操作系统,限定使用者只能使用虚拟机来连接外网。即使在访问外网时中毒,也不会影响到内部网络。
3、访问控制技术
医院信息点位众多,加之在病区还部署了无线设备,因此对网络的访问控制将变得格外重要,可通过ACL(访问控制列表)、NAC(网络准入控制)、身份认证等多种访问控制技术来保障网络的安全。
4、防火墙、IPS(入侵防护系统)
这两种设备一般部署在网络边缘(即外网与内网的连接处)或是在内网与数据中心连接处。其中,防火墙可通过控制网络访问的方式实现安全策略;而IPS能够实时地精确检测、分析、并缓解恶意流量,应对形形色色的网络入侵和攻击。同时,据Gartner研究“配置和管理多个供应商提供的防火墙,比配置和管理一个供应商大”,因此应避免使用多个供应商提供的防火墙,并根据安全技术发展,时时提升网络安全策略。
上述安全技术如分配至网络中,可能处于网络的不同层次,下图将目前部分主流网络安全技术按网络位置进行了整理,以供参考:
图2:保障多物理链路融合安全的几类技术
五、多物理链路融合带来的挑战
1、管理上的挑战
多物理链路融合的建设,势必会给医院原有的管理体制带来变革,这需要医院管理层与信息部门共同完成新系统下的职、责、权分配,建立新的系统管理秩序。当然,这一变革对院内信息技术人员综合素质也提出了更高要求,所以信息技术岗位需建立院内院外培训机制及持证上岗制度,以解决未来网络运行当中各种故障及运维问题。
2、维护与故障排除的挑战
多物理链路融合降低运维整体成本,但故障排查的复杂度可能不减而增,通过集中网管智能管理平台,实现快速定位、排查故障,通过管理策略设定、QoS等措施提高整体稳定性,但是不管怎么样,在保证系统运行的稳定性、安全性等方面需要在具体工作中持续体现。
3、网络监管
对整体网络进行有效监管,流量控制做到端口级别,同时考虑逆向要求,比如安防网的某个网口被人利用,能立刻察觉,并自动实施策略管制,从而避免对整体网络造成扰动。
六、结论
合理的多物理链路融合设计、建设将极大的提高医院数字化水平,通过整体规划、全面集成、分步实施等步骤,保证了多网融合建设的可行性与可控性,这为建立完整而高效的数字化医院体系打下了坚实的基础。
参考文献
[1] 颜雨春,周典,朱启星. 数字化医院建设与管理. 安徽: 安徽科学技术出版社,2010
[2] Priscilla Oppenheimer. Top-Down Network Design(Third Edition). 北京:人民邮电出版社,2011
[3] (南非)Hu Hanrahan. 网络融合--业务、应用、传输和运营支撑. 北京:机械工业出版社,2010
[4] (美)Yusuf Bhaiji. Network Security Technologies and Solutions. 北京:人民邮电出版社,2010
[5] (美)Kevin Wallace. 实施Cisco统一通信VoIP和QoS(CVOICE)学习指南. 北京:人民邮电出版社,2012