胡佳明

关键词：智慧医院；网络安全；设计

1医院现状

随着浙江大学医学院附属第一医院（以下简称“浙大一院”）庆春院区全新“未来医院”信息系统的平稳上线，浙大一院庆春院区、总部一期、之江院区、城站院区四个医疗院区核心信息系统全部搬迁上“云”，实现了集团医院多院区信息一体化。海量信息数据互联互通，大大提升了医院的运营效率和医疗质量。浙大一院也由此成为全国首家基于云原生架构的核心医院信息系统上云的集团化、现代化医院。

此前，因为不同年代开发的不同系统解决的是不同问题，信息无法实现互联互通，医生查看病历需要打开一套系统，下诊断、开医嘱又要切换到另一套系统，操作烦琐，费时费力，且多年积累的临床数据沉淀在不同系统中，数据标准也不统一。基于此．浙大一院紧抓信息化改革机遇，瞄准痛点堵点，结合自身信息化建设积累的经验，耗时多年打造全新的“未来医院”信息系统，这套系统堪称医院的“最强大脑”，将多个院区的核心数据汇聚到两朵“专有云”上，从而确保医院运营安全。两朵“专有云”[1]相当于大脑，同时运行各种应用系统和数据。各院区的海量动态数据实时上传到云上，通过强大的云计算能力，实现信息一体化、数据共享、业务协同。患者的档案和电子病历信息可以由多个院区共享，医疗资源也可以在各院区间灵活调度，从而提高使用效率。同时，以“云”为基底，患者可享受全流程的智慧医疗服务。这套系统上线后，浙大一院就诊患者的预约检查等待时间和术前等待床位的时间都大幅缩短，床位资源实现按需调度，最大限度地惠及患者。为了医院长期稳定的发展，还需要所有医疗工作者以及网络工作者继续为之共同奋斗。

本文以浙大一院之江院区网络建设为例，规划和设计一个完善的智慧医院网络，从而满足医院智能化和信息化的总体要求。

2医院网络的需求

浙大一院之江院区分为门诊楼、病房楼、行政楼、科研楼等，门诊大楼由四层组成，三栋病房楼分别由七、九、十一层组成，科研楼七层，行政楼十层。作为新建院区，不能采用庆春院区的老一套网络体系。在千兆接人、万兆上联至核心的三层网络架构中，核心层[2-4]主要用于网络的高速交换主干：汇聚层着重于提供基于策略的连接，位于接入层和核心层之间；而接人层则负责将包括计算机、AP等在内的工作站接入网络。这样的设计能将一个复杂且大而全的网络分成三个层次进行有序管理，打破院区大楼接人数据中心的访问瓶颈，从而加快访问速度上限。特别是在千兆网络条件下，放射科，超声科等医技科室传图、看图速度明显加快，大大提高了医务工作者工作效率。智慧医院网络系统主要分为医院内网、外网、无线局域网、设备专网、科研专网五大网络。内网主要承载业务为：未来医院系统（HIS，LIS，PACS等）临床医疗数据的交换，企业内网（OA）。外网主要实现日常钉钉办公，互联网查询资料及共享信息，MDT多学科会诊，远程视频会议等应用。无线局域网主要承载业务为：PDA、无线推车接人内网，员工以及患者无线Wi-Fi。设备专网主要实现医疗设备在不直接进入医院内网的条件下访问部分服务器并进行数据交互、视频监控等应用。科研专网主要实现科研设备入网，科研大数据存储等应用。

这就要求之江院区的网络规划要结合医院的建筑结构，规划和设计一套完善的内外网及智能化专网的网络体系[5]。该体系能够灵活配置、易于维护管理、易于扩充，为医院各种应用系统提供接人方式。各楼层间、各楼宇间的网络光纤配线既要满足医院当前的使用需要，又要给医院未来的发展做足准备。

3设计思想和设计原则

3.1性价比

在设计网络结构时，先考虑目前已有的硬件设备，再充分利旧以及从其他院区库存中进行合理调配，从而节约其中一部分设备成本。与此同时，由于网络技术发展日新月异，网络机器设备升级换代的周期缩短，为了医院的长远发展，要尽可能挑选技术完善、性价比较高的机器设备。

3.2先进性

设计网络结构的目的主要是应用。在技术上应当选用先进的网络技术和网络商品，挑选技术完善、市场份额多、实用性强的机器设备，以满足100Mb/s，1000Mb/s，10Gb/s以太网接口和异步传输通信要求。另外，网络具备优良的总体特性，可为系统软件拓展留下一定的空间。

3.3开放性和可扩充性

为迎合医院业务流程的持续发展趋势，确保在增加网络连接点、增加带宽、设备级联堆叠时，可以兼容不同生产厂家、不同种类的网络商品及系统软件，网络系统应用开放式的规范和技术，不仅能适用于目前的机器设备，还能适用于将来的数字影像等设备[6]。

3.4可靠性和稳定性

网络的可靠性和稳定性十分关键，决定着医院网络是否可以正常运行。在网络设计时，无论是网络连接点、通信网络，还是网络拓扑结构的设计，都应当先考虑可靠性方面。比如，双核心交换机能够使主核心交換机在出现问题时迅速切换到另一台交换机，从而避免网络瘫痪。在网络需求量增加时，利用双核心交换机完善的冗余和备份特点使这些增加的需求得到满足，从而保证了网络的稳定性。

3.5安全性能

由于网络中通常储存了很多关键数据信息，因此，一定要确保网络系统的安全性。在设计网络时，应选用具备优良网络安全性能的网络机器设备和网络计算机操作系统，具备较小错误差和抗干扰性的通信网络，以及一定的数据加密对策。另外，也要对网络管理人员开展具体指导和学习培训，使其可以完善对网络安全性账户及网络通信的管理，从而确保数据和网络服务器的安全性。

3.6可维护性

整个网络系统应具备优良的可维护性，不但要确保整个网络系统设计的有效性，还应当配备有关检测仪器和网络管理设备，在网络出现故障时可以立即查清原因并精准定位故障部位，立即处理。

4整网设计

4.1内网

内网采用模块化分区域设计，主要分为核心区、数据中心区、外联出口区、楼宇汇聚接人区四个区域，整网网络架构采用核心、汇聚、接人三层网络结构。

核心区域：核心交换机主要负责全网络由转发功能，采用2台华为CE12808高性能CLOS架构交换机作双机虚拟化部署[7]，实现设备冗余、避免单点故障的同时，提高设备的处理性能。

外联出口区域：外联出口主要负责与省医保、市医保、卫生局、总院等单位进行数据交互，本次配置一台华为USG6650防火墙作为边界安全防护设备，通过配置相应的安全域、访问控制策略、入侵检测、防病毒等功能实现对边界的L2～L7层的深度安全防护，以保证医院内部局域网的安全。

数据中心区域：承载着医院内网HIS，LIS、电子病历、OA等重要的业务系统，对网络时效性要求较高，同时需要考虑网络设备的高可靠性，故规划服务器直连核。

汇聚接人区域：1号楼、3号楼、5号楼、6号楼、PACS、灾备汇聚采用两台华为S7710高性能框式交换机作虚拟化部署，实现设备冗余的同时提升设备性能，同时双链路万兆上连核心，保证主干链路带宽的同时实现链路冗余。其中，2～4号楼接人全部上连至3号楼汇聚，6～7号楼接人全部上连至6号楼汇聚。各楼宇业务网段的网关均设置在汇聚层。

接入层交换机采用华为S7520-28P-LI，S7520-52P-LI交换机，每台交换机千兆双链路上连至汇聚，保证链路冗余的同时提升上连链路带宽。图1为内网网络拓扑图。

4.2外网

外网采用核心、汇聚、接人三层模块化结构进行组网，主要用于医院医护人员上互联网，同时承担一部分医院对外业务的发布。

互联网出口：本次配置一台华为USG6650防火墙作为边界安全防护设备，通过配置相应的安全域、访问控制策略、入侵检测、防病毒等功能实现对边界的L2～L7层的深度安全防护，从而保证医院内部局域网的安全。

核心区域：核心交换机主要负责全网络由转发功能，采用华为S7710高性能框式交换机作虚拟化部署、作双机虚拟化部署，实现设备冗余、避免单点故障的同时，提高设备的处理性能。

汇聚接人区域：1号楼、3号楼外网汇聚各采用一台华为S7710高性能框式交换机，5号楼、6号楼汇聚各采用一台华为S5720-36C-EI-28S盒式交换机，汇聚交换机均双链路[8-9]上行至核心，在保证主干链路带宽的同时，实现链路冗余，各楼宇业务网关均设置在楼宇汇聚交换机上。

接人层交换机采用华为S7520-28P-LI，S7520-52P-LI交换机，每台交换机千兆单链路上连至汇聚层。图2为外网网络拓扑图。

4.3设备网

设备网主要用于视频监控、道闸等业务，采用核心、汇聚、接人三层模块化结构进行组网[10]。

核心区域：采用华为S7710高性能框式交换机作双机虚拟化部署，实现设备冗余、避免单点故障的同时，提高设备的处理性能；采用大二层组网方式，相关业务网关网关设置在核心交换机上。

汇聚接人区域：1号楼、3号楼、5号楼、6号楼汇聚采用华为S5720-36C-EI-28S盒式交换机，其中1号楼、3号楼各两台，5号楼、6号楼各一台，汇聚交换机均万兆双链路上行至核心，保證主干链路带宽的同时，实现链路冗余。

接入层交换机采用华为S7520-28P-LI交换机，每台交换机千兆单链路上连至汇聚层。图3为设备网拓扑图。

5结束语

当物联网、5G、人工智能在各行各业中掀起转型浪潮时，集聚了众多前沿科技和高精尖人才的医疗健康行业也迈人了从“信息化”向“智慧化”过渡的关键阶段。在新兴专业技术的推动下，科技正以前所未有的方式改变着医疗领域。我们必须用长远发展的眼光去看待智慧医院网络的建设，采用高效的手段和先进的技术打造一个快速、高效、安全的计算机网络系统，从而给新系统的搭建和新技术的应用提供基础与保障，为医务工作者提供便利，并提升患者的就医就医体验。