张文强 王翠花

（威海市中心医院，山东 威海 264400）

随着医院信息化进程的不断加快，医院对信息系统的需求越来越大，这就需要医院的网络系统有更高可用性服务的输出。医疗行业的核心是以患者的需求为主，患者的时间就是生命，当发生信息网络系统故障时，需要以最快的速度解决。当前多数三甲医院配置的网络交换冗余和数据集的容灾备份机制较少，且现有的网络无法满足双活配置需要，数据信息中心机房单一。当发生故障时，信息系统就会陷入崩溃。虽然概率较低，但是对医院的网络运作却是致命的。因此，该文根据医院的位置和环境建立了相应的灾备机房系统，使用双机房虚拟化网络的方式建立实时的网络互备系统，以期为医院的突发性故障提供可靠的解决方式。

1 医院现有网络中存在的弊端

随着医院涉及的业务越来越广泛，医院的网络系统存在的各种弊端也逐渐显露出来，如各个信息点之间的资料无法得到及时共享、信息无法有效传输等。数据传输量的不断增加带来的是用户需求的不断增加，而现有网络系统的运行速度已无法满足当前医院业务的需求，且对医院的网络系统运行也是一种负担，造成了有反应迟钝、传输速度慢以及工作效率低等问题，严重的还会出现网络瘫痪。设备的老旧带来的是故障的频发，运行可靠性降低，网络瘫痪的发生概率也不断增加，医院现有的网络技术无法与市场发展相匹配，网络的安全性无法得到有效保障。因此，更完善、安全的网络设备是保证医院系统整体运行的关键。

2 医院双中心机房虚拟化网络设计方法

2.1 总体设计

在医院的网络环境中，数据中心机房的网络设计要按照标准化的流程进行规划，以保证医院网络机房工程建设的质量。在数据中心机房的总体设计中，虚拟化网络系统的设计尤为重要，其次是监控系统和供配电系统，三大系统的有效结合是确保供电系统正常运行的关键。进行机房监控系统设计时要做到双保险，以保证医院的数据中心系统网络的正常运行[1]。虚拟系统主要连接中心系统与各个节点，其网络设计如图1 所示。

图1 医院数据中心网络总体规划

根据图1 可知，作为供电设计的关键设施，UPS 配电柜采用的是放射式的配电方式，主要负责对计算机设备和应急设备等部件进行供电[2]，当发生突发状况时可以及时进行补救。监控系统采用分散式的监控方式对整个系统进行集中管理。虚拟网络系统在运行中可以连接网络中的其他分支并且可以对数据进行压缩处理，使数据的运行速度、传输速度等得到有效提高。集中管理的设计方式可以通过虚拟系统对医院的网络进行延伸，并利用VPN 系统连接到其他服务器中以实现数据的传输和共享。

2.2 设计特点

该文设计不仅可以完全保障业务需要，还能保证技术的先进性，将先进技术与现有技术相结合，并充分应用到系统中，以顺应信息化应用的发展趋势。系统的稳定性是网络稳定运行的关键，因此方案设计需要选择高可靠性的设施，并将冗余、容错能力充分考虑其中，合理设计系统架构，让系统具有自愈功能。同时，系统的高性能也是保证整个网络稳定运行的关键点，高性能不仅可以保证网络的高带宽，还可以保证设备均有高处理能力，使应用系统的数据、语音以及图像等得到高质量的处理，并根据未来业务发展的需要，适当地对系统功能进行升级与拓展，最大化地减少对系统架构的调整。先进的管理平台可以保证设备与端口的统一管理，可管理性还可以为系统提供自动报警功能。

2.3 专用网络设计

第一，作为医院中心机房供配电系统的关键设施，UPS供配电不仅可以解决数据中心机房设备运行的故障，还可以为其他运行设施及时供电。在网络运行的整体环境中，数据中心机房配电系统的设计需要通过专业插座进行工作，中心机房主机和重要电子设备需要使用专用插座，其他辅助设备需要使用标准插座。第二，UPS 供配电的配电箱包括数据中心机房中重要的网络主机设备和应急照明设备。第三，该文对2 种配电设备采用了分开设计回路的方式，让每个回路都由单独的电源开关进行控制。第四，医院的数据中心机房配置2 个UPS 供电插座，通过UPS 配电箱为每个机柜提供回路。

作为机房整体运行的重心，医院的中心机房网络监控系统的双保险设计起到了关键作用。数据中心机房具有数字硬盘录像功能，可对医院的整体运行环境进行实时监控以及时掌握医院的网络环境运行数据。B/S 框架下的监控系统、集中管理模式的整体设计使数据中心机房可以对不同软件系统进行实时控制。医院中各个分支系统都需要与数据中心机房进行单独连接，因此更专业的网络系统非常重要。网络系统设计的关键就是数据中心机房，所有的分支设计都需要通过VPN 系统隧道进行设计[3]，网状式的设计结构可以让数据中心机房访问系统下的所有分支结构。因此需要建立广域网设备，使其及时连接到各个分支，并对分支结构进行优化，进而实现更准确的组网。在同一个时间段内，通过优化各个应用系统，可以有效提高数据中心机房的数据处理速度，以实现对数据中心机房中数据的统一管理，这对工作效率的提高十分有效。通过VPN 系统对数据进行压缩，可以降低传送量、提高传输速度、减少带宽压力并保证同步效果。

2.4 中心机房网络设计

为了保证医院网络中各个分支系统提取的有效时间一致，该文采用簇点算法进行设计。选择一条设计主线作为主要的传输通道，一条备用线路进行问题处理，为后台的数据处理提供全方位的设计空间。同时，为了保证提取数据的速度，需要对主线路进行升级，因此为了让剩余的能量可以被备用线路获取[4]，需要对其进行改进，如公式（1）所示。

式中：Er i为主线路的剩余能量；Erave为数据中心机房网络的剩余能量；p为所占比值。

医院数据中心机房网络分支结构中的设计数量会影响网络的速度，为了保证能耗不被降低，需要对分支结构进行重新设定和选择，确定分支数量，可得公式（2）。

式中：d（si，sink）为节点i到中心机房的距离；dmin、dmax为节点到中心机房的最小距离和最大距离；c 为数据竞争；R0c为备选线路的最大值[5]。

2.5 验证结果与分析

为了验证上述基于数据传输速度优化方法的网络设计的有效性，对不同医院的网络环境进行仿真试验，将网络负载作为TCP 负载，最大字节为2550。为了满足医院网络环境对数据的压缩需求，需要对传输速度进行优化，并根据表1 的数据[6]推测医疗数据包的吞吐量。

表1 不同数据中心机房网络设计方法大小

根据表1 可知，由VPN 的虚拟系统获取的医疗数据传输通道不仅可以支持网状结构，还可以访问系统中的任一分支结构，优化系统数据，并通过不断优化的方式提高数据中心机房读取信息的速度，以保证医院网络环境数据的吞吐量不受影响。

3 医院双中心机房虚拟化网络方案规划

根据医院网络的实际情况，基于双中心机房，采用网络虚拟化技术构建网络系统，对核心层、汇聚层、接入层等网络架构进行全面的改造后构建属于医院的全新的核心网络系统。

3.1 核心层

核心层部署如图2 所示。在现有的机房和门诊楼机房中，1 台数据交换主核心交换机、2 台链路互联核心交换机、2 台物理核心交换机、1 台虚拟核心设备、2 台服务器汇聚交换机、2 台现有机房交换机共同组成了整个医院的网络虚拟环境[7]。通过2 台现有机房的交换机可以实现线缆互联，并在虚拟化技术的支持下形成了一台逻辑交换机，使双机房之间的逻辑交换机进行结合形成光纤链路，在虚拟化技术的支持下形成跨中心数据的逻辑交换机，从而实现高可靠性的服务器功能。当核心层被虚拟化后，交换性能得到了提高，设备之间的切换时间得以降低，这种切换方式让业务之间能自由切换。通过链路聚合协议使核心交换机与其他交换机实现链路冗余，以此来提高网络的传输速度。核心层虚拟化可以让虚拟交换机进行VLAN 规划，2 个VLAN可以完成数据中心服务器的连接。通过VLAN 网关，在双机房的核心交换机上布置一台负载均衡器，启动后负载均衡器会均衡交换机之间的功能，以此来满足客户端对调度的需要。同时，为了更好地进行安全服务，需要设置防火墙板卡，形成一个逻辑防火墙，以此来简化管理，提高整体服务性能，完成并实现对应用系统的差异化防护管理。

图2 核心层部署

3.2 汇聚层

汇聚层部署如图3 所示。住院部与门诊楼均部署一台汇聚交换机，该交换机的功能是连接核心交换机，通过上行的方式实现万兆光纤链路的连接，下行则通过千兆光纤链路接入交换机。为了提高上行链路的可靠性，该交换机的上行万兆端口需要与核心交换机进行对接，在充分考虑门诊楼业务的同时更好地保证设备的使用。通过光纤交换机使2 台交换机合并为一台逻辑交换机，上行通过万兆光纤链路进行互联，下行通过千兆光纤链路接入交换机。为了提高链路的可靠性与性能，2 台交换机的上、下行均需要采用链路聚合技术与核心交换机实现高速对接[8]。

图3 汇聚层部署

3.3 接入层

为了保证各个楼宇之间网关交换机的信息共享，同时提高交换机的安全性能，该文将多台高安全性的接入交换机作为主要设备，使各个楼宇之间的医疗终端可以得到及时信息共享。门诊楼的接入交换机采用双链路捆绑上行的方式进行信息接入，其他楼宇则采用单链路上行方式。该接入方式的优势是能实时将门诊接入层进行有效规划与部署，并将单点故障分散在各个住院部。虽然无法完全保证网络系统交换机的冗余性，但能大大改善网络结构的复杂性，在一定程度上达到了节约成本的目的。

4 医院数据中心机房网络安全系统设计

4.1 规划拓扑

获取信息时，越复杂的网络环境越容易受到外界环境的干扰，个人信息泄露的概率也就越大，因此网络的安全系统在整个网络系统的设计中非常重要。具体的网络安全系统规划拓扑结构如图4 所示[9]。

图4 网络安全系统规划拓扑结构图

在整个网络安全系统规划拓扑结构中，防火墙采用板卡式，通过数据线与核心交换机进行互联，并利用虚拟网络虚拟出多个防火墙以作备用。在设备上通过划分安全区域的方式提高安全级别，使不同区域提高安全性能，并根据用户的业务需要灵活改变安全设定范围，以适应网络系统的复杂性，提高网络的安全管理水平。板卡式设计的部署核心主要在数据中心的交换机上，该板卡方式可以通过深入剖析与检测解决网络中存在的病毒，并对其进行防御抵抗，以病毒过滤的方式抵制各种外界入侵，保障网络的运行安全。

安全漏洞扫描系统的优势是可以更好地对医院中现有网络设备进行安全检查，并针对安全漏洞提出解决方案。将安全审计设备部署在数据中心旁，通过监听设施对服务器的运行进行监控，记录存在的问题，并与数据库中的信息进行整合，保证数据库可以随时访问设备信息，这也是保障服务器安全运行的一种方式。将Web 应用防火墙设置在应用服务器中，以便对数据进行保护。在安全防护过程中，该设计方式可以随时对攻击对象进行分析和过滤。防护完成后会开启对界面的保护与检测，如果页面被篡改，其会立即给管理员发送通知，并对外界保持篡改前的界面[10]。

4.2 板卡部署

防火墙的板卡部署通过三层接口连接到数据中心，统一集合在汇聚交换机中，并与多个漏洞的汇聚交换机进行结合，实现对医院内部用户访问的控制。并通过IPS 以在线的方式部署在网络的关键路径中，对流经该路径的网络数据进行深度分析，精准识别来自各类网络的攻击。

4.3 漏洞部署

漏洞扫描部署采用远程评估的方式和独立的运行操作模式，可以解决网络系统中存在的冗余问题。由于数据的冗余会造成数据较密集，因此需要解决网络拓扑问题。将远程安全评估系统与网络进行连接，正确匹配后才可使用。设备的工作范围涵盖了医院的所有网络数据，用户可以通过任意IP 登录系统，并进行地址授权，以此来完成扫描评估任务。

4.4 安全审计部署

为了保证医院的安全审计系统不受外界入侵，该文通过虚拟网络为安全审计系统设计了多种安全策略，不同对象对应的审计系统有所差异，因此不同对象需要由不同的安全策略进行保护，因此安全审计需要更智能化。

4.5 防护系统部署

Web 应用防护系统在设计中主要分为横向防护和纵向防护2 个防护方式。横向防护的部署以优化资源为主，其核心是为了解决网络中存在的各种安全问题，应用Web应用防护系统可以更好地满足业务需求；纵向防护的部署是建立在信息流向中的，可以使系统提高防护技术，让系统拥有更多的防护方案。

5 结语

在进行系统设计过程中，要保证系统的技术先进性、高可靠性、高性能性、可扩展性、可管理性、安全性以及经济性，系统的稳定运行是整个应用系统运行的关键，不仅可以有效维护网络的高带宽和设备的高处理能力，同时还维护了应用系统对各类信息的高质量传输能力与处理能力。且随着网络和计算机技术的快速发展，社会医疗的深入改革使医院的信息系统得到了不断完善，医院的网络系统工作性能成了医院管理的关键。因此，建立更好的医院网络系统，可使医院在管理、科研等领域均得到更好的发展。