瑞金医院信息化网络平台建设

瑞金医院  沈懿明

 

　　在信息全球化的今天，人们的生活越来越多地依赖计算机和网络，到医院就医也不例外。就医院而言，每一条与患者相关的信息，都直接关系到患者的健康，甚至生命。而作为一个能够承载生命信息的医院网络平台，医疗信息系统已经成为现代化医院的基本系统，网络作为医院运营的生命线之一，一旦中断，医院就会“休克”。因此，要成功地建设数字化医院，必须建设一个先进、可靠、稳定的网络平台。

 

信息化面临的挑战
     

　　瑞金医院占地面积达12万平方米，开放床位近1800张，在编职工3300余人，截止2006年年底，瑞金医院的年门急诊量已高达190.19万人次，手术病历近2.47万人次，日门诊量6000余人。作为一家三级甲等综合医院，瑞金医院一贯重视医院的信息化建设，而信息化建设也促进了医院的发展。计算机网络系统也不断随着医院应用系统的发展而改造，瑞金医院早期采用思科公司的网络设备，建成了一个ATM结构的网络来支持医院信息系统；在HIS系统和PACS系统先后建成后，瑞金医院的网络也随之升级为千兆以太网结构。特别是2006年7月17日，医院新门诊大楼正式投入使用。新门诊大楼共24个楼层（其中地下2层，地上22层），总建筑面积7万平方米，至此，全院有近180台思科高性能千兆以太网交换机和50多台服务器投入运行；全院的终端将超过2500台。而这些设备坐落在一个12万平方米内的园区，分布于大小30多栋建筑物内。瑞金医院的信息系统依靠它们每天24小时不间断地运行，患者的治疗方案、费用结算乃至领导层的决策都依赖于医院网络平台。
* 在这样一个大型的园区，面临大量的设备和众多的应用系统，如何保证网络的稳定性和可靠性？
* 针对医院的场所特殊性，如何保证网络的安全性，防止病毒入侵和非授权访问？
* 如何化繁为简，合理有效地完善医院网络建设？如何平衡投资和高可靠要求，将钱用在信息化建设的刀刃上？
* 如何保证网络的有效管理？
* 如何持续最大发掘IT系统的潜力，保持系统的扩展和应用创新？
        在医院建设新门诊大楼之际，我们对网络基础平台的优化改造已开始设计，医院需要建立一个能支撑医院业务长期发展的、安全可靠的基础网络架构，它必须尽最大可能的规避网络故障风险；同时，新的网络应在投资保护、便于管理和维护上具备良好的平衡。

    

     

　　在瑞金医院应用系统越来越全面、越来越先进的同时，全院网络系统的安全性和可靠性也愈发重要。这个网络需要动态地适应业务发展的需要，可以随时添加新的成熟应用系统，可以灵活地随业务扩展而扩展；同时，网络需要能够对病毒和恶意攻击做出反应，可以在受到攻击时（即使是来自内部的）仍保持可用，可以有效地发现问题源头并隔断危险部分；网络还需要可视化、可有效管理，不能方便、统一进行管理的网络就无法满足业务不断扩展而带来的机遇和挑战。

 

　　

　　对于瑞金医院这样一个支持了多种应用的大型系统，在网络架构设计中引入了层次化的网络设计理念，将医院基础网络系统层次性地划分为多个逻辑服务单元。其目标在于：把一个复杂的网络元素划分成一个个互联的网络层次，从而使网络节点和流量变得更容易管理。层次化的设计方法同时也使网络的扩展更容易处理，因为新的子网模块和新的网络技术能被更容易集成进整个系统中，而不破坏已存在的骨干网。
       根据医院各部门的业务特点和院区布局情况，整个网络被划分为多个逻辑模块，分别以科技楼、新门诊大楼、外科楼、传肺楼、高干楼为中心。其中科技楼和新门诊大楼构成整个园区网络的双核心，统一部署医院的关键应用和服务，两者互为备份，确保关键应用永续。科技楼作为主数据中心，集中部署瑞金医院的核心服务器，是整个医院的信息化核心；新门诊楼则建成为全院的第二个心脏，部署HIS等基础医疗系统的备份。各汇聚点均同时通过千兆光纤连接到科技楼的主机房和新门诊楼的备用机房，一旦主机房发生灾难性故障，医院的“第二心脏”也会确保全院基本信息系统的正常运行。
        另外，提供对外连接的网络部分，如Internet应用系统、与卫生局互联网络等划分在一个单独的区域——外联区域，并通过交换机上的ACL和专用防火墙的部署来加强安全控制。
        层次设计方法可为网络带来以下三个优点：
        （1） 层次性网络的可扩展性。
        可扩展性是在包交换网络连接中使用层次性设计的主要优点。层次性网络具有更多的可扩展性是因为它可以让用户用模块化方式扩展网络，而不会遇到非层次性网络或平面性网络很快所遇上的问题。
        在扩展中，医院可以根据各模块的业务侧重点设计相应模块，如实时性、安全性等需要来灵活地选择设备，比如对医院关键业务区域加强对冗余设备、可靠性方面的建设；对邮件、WEB、OA等应用区域加强安全管理，权衡冗余的需要以优化投资效果。
        （2）层次性网络的可管理性。
        使网络简单化——通过把网络元素划分为小单元、层次化，降低了整个网络的复杂性。这种网络单元的划分使故障诊断变得清晰和简单了，同时还可以提供防止广播风暴、路由循环等其他潜在问题的内在保护机制。
        使设计更灵活——层次化设计使得核心网和骨干网到接入网之间的包交换形式更具灵活性。很多网络都得益于使用混合方式来构造整个网络架构。
        使网络设备管理更容易——由于层次化网络结构使网络分层，相对缩小的网络区域使路由器/交换机的邻居或对等通信端量减少，因此对路由器/交换机的配置变得简单化。
        （3）优化广播和组播的流量控制。
        在包交换网络中，减少路由器之间广播信息量的最直接方法就是通过层次化模块设计可以较好地控制网络中的广播。如果在一个区域或一个层次中有太多的路由器，那么就会因为广播的原因而造成网络瓶颈。层次化的网络结构使你可以对区域网向骨干网的广播作出限制。
        分层模块结构同时将故障隔离在各个区域之中，对于突然爆发的病毒、蠕虫等网络攻击，通过在关键节点的流量控制可提供有效的防治检测手段。
     

 

路由和生成树规划
       

　　瑞金医院原来的网络处于一个生成树中，整个园区处于一个二层网，仅在核心交换机上启用三层交换，所有VLAN信息需要穿越整个园区。
       在网络规模较小和应用较为简单的阶段，生成树域容易实施，VLAN 可以实现端到端的跨越，而且用户群组可以直接与VLAN 关联，以实现隔离。但是，实践证明，这种解决方案在达到一定范围之后就将很难扩展。
       端到端VLAN 不能有效扩展的主要原因是它们需要依靠生成树协议避免出现拓扑环路。生成树协议所基于的原则是：跟踪整个网络的拓扑从而建立单个树。如果发生故障或者拓扑发生变化，生成树协议就需要将这种变化反映到整个网络之中。因此，这会产生与网络规模成比例的收敛延时。如果超出一定的网络规模，所产生的延时可能会让人无法接受。
       端到端VLAN 不能扩展的另外一个原因是单个广播域（VLAN）的创建会不可避免地形成一个统一的故障域。换句话说，VLAN 中发生的单个故障会影响整个VLAN，其中也包括网络的维护造成的中断。当VLAN 为端到端跨越时，就无法控制故障的影响范围，因而会波及整个网络。
       另一方面，生成树协议的诊断和管理需要全面的文档和深入的网络知识。当STP 只限于网络的一小部分（例如一个配线间）时，这是一个可以实现的目标。但是，如果将生成树域扩展到一个大型网络，它就会变得非常难以维护和诊断。
       随着医院网络规模的扩大和应用数量的增加，上述情况将成为一个突出的问题，局部的故障将对全网稳定存在巨大的危险。结合医院网络层次化的划分，我们打破原有二层大网的模式，在核心层和骨干层之间采用了三层的动态路由协议OSPF，而仅在接入交换机到汇聚之间采用生成树协议。通过路由和交换的有机结合，广播域被限制在合理的范围内，广播风暴被限定在局部范围，部分节点的网络故障也不会轻易蔓延到全网，网络的稳定性得到了极大改善；各区域内的流量可以在本地交换，而无需传输到核心转发，优化了医院内的数据流量；此外，管理员只需在一个小规模的范围维护生成树，网络的维护、调整和更新也都可以在小范围内单独进行，大大地提高了网络管理效率。
  

     

　　将网络划分为逻辑模块后，网络的关键节点非常明晰，只要对这些关键节点实施冗余即可有效地加强整个瑞金医院网络的可靠性。改造后的网络核心层和汇聚层均采用了冗余双机配置，核心层和汇聚层之间采用多条光纤连接，各关键位置的接入交换机通过双链路连接到其汇聚层交换机上。
        同时，我们根据逻辑模块的重要性进行相应权衡，选择最合适医院的设备。在核心节点，必须完全保证网络服务的全功能运行，在任一单点故障时仍需保证所有的网络服务,包括相同等级的传输性能、网络安全服务等，在网络核心采用相同级别的设备作为冗余。汇聚层主要负责本区域的数据交换和网络安全策略，提供局部的服务，部分功能楼对医院业务实时性要求可以有一定的容忍度。在这些节点，考虑到原有设备的充分利用，我们采用较为经济的设备，如思科3550系列作为4500系列交换机的冗余，万一主设备发生故障，备份设备代替完成主要功能（在非重要部分牺牲部分性能换取经济性）。
        有效的冗余机制并非简单的设备堆叠，缺乏合理的算法和软件特性，故障恢复的时间也往往需要以分钟来计算。思科的IOS软件和硬件系统的紧密配合保证了医院的网络具备高度的自愈能力，在网络发生故障时在最短时间内自动寻找最佳恢复方法。HSRP协议使互为热备份的思科交换机可以根据设备的健康情况，上行路径是否有效等多种条件自动做出判断，在毫秒级的时间内完成故障设备的切换。
        通过使用Cisco的PVST+技术，可以针对每个应用VLAN调整Spanning Tree的架构，不同的应用流量可以分别通过多条路径进行传输，从而充分利用冗余线路的带宽和备份交换机的性能，实现全网的负载均衡。

       奇数VLAN(如分配给HIS应用)主用根桥和HSRP在交换机S1上，偶数VLAN（如分配给OA应用)主用根桥和HSRP在交换机S2上。 两类应用将采用不同路径和设备，从而充分利用投资，一旦单点故障发生时，也仅是部分业务需要恢复，进一步保证了医院应用系统的稳定运行。
 

网络安全
     

　　医院的应用环境有相当的特殊性，人员流动性大，类别也相当复杂，医院网络时常处于一个半公开的环境，对于网络的安全格外需要重视。
       瑞金医院一向对信息安全格外重视，通过思科自防御网络，医院进一步加强了医院的安全控制。思科网络设备直接内嵌了多方面的安全特性，将网络安全从外挂式带到了集成安全的新应用境界。Cisco 7600和6500系列集成的控制平面的安全技术（如RP－RateLimit和CoPP）有效隔离病毒和蠕虫对网络设备攻击；高性能的线速ACL和端口安全特性在交换端口阻挡非法用户对网络的访问和合法用户访问权限控制；思科的STP特性则被用于防止非授权交换设备的接入。当某些非法行为发生被阻挡后，如企图接入非授权交换机，网络端口可以智能地将端口设定在故障屏蔽的状态，以帮助管理员及时发现并定位危险隐患。

 

扩展和展望
     

　　系统改造后，经过测试和试运行，瑞金医院的双核网络平台表现出良好的性能和稳定性。
       创新是医院发展和效益提高的源泉，而新技术的储备和应用往往是业务创新的第一步，此次网络平台的架构优化设计考虑了将来网络扩展的需求。医院内部署的光纤完全符合10G标准，核心设备7600和6500集成了720G的交换矩阵，是业界领先的10G路由交换平台。一旦医院应用系统提出要求，比如PACS应用深化、医院视频监控、医疗视频广播系统等，医院的网络系统通过扩展模块即可顺利地升级到10G。
        通过增加相应的软硬件，医院网络核心设备还可以提供多种集成硬件安全服务模块，包括防火墙模块、入侵检测模块、网络流量分析模块等，其高性能和灵活的应用模式可提供更高级别的集成安全选择。此外，通过诸多的交换机集成安全特性，如DHCP服务检查、动态的地址欺骗监控、动态的用户VLAN分配，网络准入机制NAC等，将进一步将网络的安全防护和医院的信息安全策略联动起来，统一智能地保证医院的信息化安全。