智慧醫院網絡融合解決方案

需求與挑戰

      傳統醫院網絡多采用內網、外網、智能化專網等多套網絡物聯隔離的建設模式,無線網絡作為有線網絡的延伸,只承載移動醫療等內網應用。隨著遠程醫療、醫療物聯網和移動互聯網等新業務需求的出現,傳統物理隔離網絡架構已經成為智慧醫院建設的障礙:

  • 遠程醫療業務需求:為了便于遠程醫療開展,醫生需要通過固定視頻會議系統、移動終端等多種方式靈活接入網絡中,需要在醫院的智能化專網、外網以及內網之間實現數據互聯互通;
  • 醫療物聯網需求:人員資產管理、嬰兒防盜等醫療物聯網應用的開展,需要醫院內網、無線網絡和智能化專網中的門禁、監控等系統互聯互通,完成業務聯動;
  • 移動互聯網需求:掌上醫院的開通,需要將醫院無線網絡、內網、外網互聯互通,實現移動支付、室內導診、掛號、查詢報告等移動互聯網業務的開展。

      如何實現醫院內數據的互聯互通,建設一套安全、穩定、高效的網絡,是智慧醫院信息化建設需要解決的首要問題。

醫院網絡融合方式探討

      常見的醫院網絡融合方式有以下兩種。

物理隔離,局部互通

      這種建設模式中,內網、外網、智能化專網等多套網絡建設從園區到數據中心采用物理隔離的方式,在多套網之間通過防火墻、網閘或者前置機等方式完成數據互聯互通。這種模式雖然滿足了數據的安全互通需求,但不足之處也很明顯:建設成本較高,每套網絡都需要配置相應的等保安全設備,設備利用率低;不利于備份或者雙活數據中心擴展,需要對應多套分別配置獨立的網絡安全設備,運維管理工作復雜。

物理融合,邏輯隔離

      這種建設模式中,利用 VLAN 技術把醫院現有網絡劃分為幾個相對獨立而又可互相訪問的子網,有效避免了網絡規模不斷擴大時廣播風暴的產生,提高了網絡的安全性和網絡帶寬的利用率,實現了醫院信息系統多網間的融合。但管理配置更加復雜,多套網絡中接入終端和設備類型對網絡交換機不同,容易造成設備選型和權限管控的混亂,對運維人員能力要求極高。

智慧醫院網絡融合架構設計

      融合網絡架構如圖 1 所示,該架構中分為園區網和數據中心兩部分。

園區網絡架構

      園區網絡采用物理隔離的建設方式,分為內外、外網、智能化專網以及無線物聯網共4套相對的物理設備。

  • 內網、外網、智能化專網鏈路帶寬為萬兆主干千兆到桌面,采用核心 - 匯聚 - 接入三層架構;
  • 核心交換機 2 臺,通過橫向虛擬化技術滿足可靠性要求;
  • 核心和匯聚之間通過雙鏈路連接,保障鏈路的冗余性;
  • 無線網絡單獨組網,既提供全院 WIFI 覆蓋,同時作為有線網絡備份,園區網絡相對隔離的架構將內網、外網和無線網之間的安全風險最大程度降低;
  •  物聯網 AP 除了提供基本的 WIFI 功能外,支持內置藍牙,通過 PoE OUT 或者 USB 通用接口滿足基于藍牙、RFID、ZigBee 等射頻的物聯網業務擴展,避免醫院重復施工布線,節約投資。

數據中心網絡架構

      數據中心網絡按照業務內容不同,劃分為內網數據中心、外網數據中心、智能化專網數據中心、DMZ區。

  • 為滿足互聯互通需求,數據中心核心交換機將多套網絡物理連接,通過 VLAN 邏輯隔離;
  • 數據中心核心交換機支持多虛一虛擬化技術避免單點故障,支持 EVN、VxLAN 等虛擬大二層技術,提供雙活或者災備數據中心擴展性能;
  • 配置 SDN控制器通過圖表式的管理界面,將用戶按照不同的群組統一配置策略權限,保障多套網絡之間業務隔離;

安全技術建設

      為保障醫院信息系統和業務的安全穩定運行,防止業務數據丟失、信息泄密、惡意滲透攻擊,需要參照等級保護建設標準對本文設計的網絡進行安全建設。

  • 安全域:按照醫院數據中心應用系統信息和應用分類的安全需求,數據中心網絡業務內容不同,劃分為內網數據中心、外網數據中心、智能化專網數據中心、DMZ 區、對外互聯區、安全管理區以及綜合管理區 7 個不同的安全域。
  • 安全域邊界防護:在安全域以及互聯網出口邊界上,針對醫院信息系統的網絡數據流入 / 流出提供過濾和保護,通過配置防火墻設備阻止安全域外部連接的非授權進入內部,以及通過網絡手段阻斷特定的內外連接。通過配置網絡入侵防御設備對蠕蟲木馬攻擊、拒絕服務攻擊、入侵行為進行識別,并且進行實時攔截。
  • 安全管理區:通過數據中心交換機旁掛入侵防御、準入控制、堡壘機、接入認證、漏洞掃描、日志審計等安全設備,保障系統和數據安全。
  • 對外互聯區:通過 DDos、VPN、防病毒網關、上網行為管理等安全設備實現局域網和互聯網之間的安全防護

醫院網絡融合架構優點

互聯互通,避免信息孤島

      多套網絡之間通過等級保護建設保障信息安全,同時提高用戶體驗,各子網系統的互聯互通實現起來更加便捷,便于醫療物聯網、遠程醫療等智慧醫院業務開展,奠定了良好的數據傳輸管道。

避免重復建設,節約用戶投資

      本方案中無線物聯網預留了標準的物聯網擴展接口,后期物聯網建設避免了重復的施工布線,以及 PoE 交換機等投資費用。

架構先進,滿足未來擴展需求

      本方案在網絡架構設計中考慮到醫院未來災備數據中心的建設需求,支持虛擬大二層技術;無線網絡支持人員資產管理、生命體征監測等物聯網業務平滑升級能力。

中国6一12呦女精品