1、概述

傳統醫院網絡多采用內網、外網、智能化專網等多套網絡物聯隔離的建設模式，無線網絡作為有線網絡的延伸，只承載移動醫療等內網應用。隨著遠程醫療、醫療物聯網和移動互聯網等新業務需求的出現，傳統物理隔離網絡架構已經成為智慧醫院建設的障礙：

1）遠程醫療業務需求：為了便于遠程醫療開展，醫生需要通過固定視頻會議系統、移動終端等多種方式靈活接入網絡中，需要在醫院的智能化專網、外網以及內網之間實現數據互聯互通；

2）醫療物聯網需求：人員資產管理、嬰兒防盜等醫療物聯網應用的開展，需要醫院內網、無線網絡和智能化專網中的門禁、監控等系統互聯互通，完成業務聯動；

3）移動互聯網需求：掌上醫院的開通，需要將醫院無線網絡、內網、外網互聯互通，實現移動支付、室內導診、掛號、查詢報告等移動互聯網業務的開展。

如何實現醫院內數據的互聯互通，建設一套安全、穩定、高效的網絡，是智慧醫院信息化建設需要解決的首要問題。

2、醫院網絡融合方式探討

常見的醫院網絡融合方式有以下兩種。

2.1 物理隔離，局部互通

這種建設模式中，內網、外網、智能化專網等多套網絡建設從園區到數據中心采用物理隔離的方式，在多套網之間通過防火墻、網閘或者前置機等方式完成數據互聯互通。這種模式雖然滿足了數據的安全互通需求，但不足之處也很明顯：建設成本較高，每套網絡都需要配置相應的等保安全設備，設備利用率低；不利于備份或者雙活數據中心擴展，需要對應多套分別配置獨立的網絡安全設備，運維管理工作復雜；

2.2 物理融合，邏輯隔離

這種建設模式中，利用VLAN技術把醫院現有網絡劃分為幾個相對獨立而又可互相訪問的子網，有效避免了網絡規模不斷擴大時廣播風暴的產生，提高了網絡的安全性和網絡帶寬的利用率，實現了醫院信息系統多網間的融合。但管理配置更加復雜，多套網絡中接入終端和設備類型對網絡交換機不同，容易造成設備選型和權限管控的混亂，對運維人員能力要求極高。

3、醫院“五網合一”融合網絡架構設計

“五網合一”的融合網絡架構如圖1所示，該架構中分為園區網和數據中心兩部分。

圖1 “五網合一”的融合網絡架構示意圖

3.1 園區網絡架構

園區網絡采用物理隔離的建設方式，分為內外、外網、智能化專網以及無線物聯網4套相對的物理設備。

1）內網、外網、智能化專網鏈路帶寬為萬兆主干千兆到桌面，采用核心-匯聚-接入三層架構；

2）核心交換機2臺，通過多虛一虛擬化技術滿足可靠性要求；

3）核心和匯聚之間通過雙鏈路連接，保障鏈路的冗余性；

4）無線網絡單獨組網，既提供全院WIFI覆蓋，同時作為有線網絡備份，園區網絡相對隔離的架構將內網、外網和無線網之間的安全風險最大程度降低；

5）物聯網AP除了提供基本的WIFI功能外，支持內置藍牙，通過POE OUT或者USB通用接口滿足基于藍牙、RFID、ZigBee等射頻的物聯網業務擴展，避免醫院重復施工布線，節約投資。

3.2 數據中心網絡架構

數據中心網絡按照業務內容不同，劃分為內網數據中心、外網數據中心、智能化專網數據中心、DMZ區。

1）為滿足互聯互通需求，數據中心核心交換機將多套網絡物理連接，通過VLAN邏輯隔離；

2）數據中心核心交換機支持多虛一虛擬化技術避免單點故障，支持EVN、VxLAN等虛擬大二層技術，提供雙活或者災備數據中心擴展性能；

3）配置Agile Controller通過圖表式的管理界面，將用戶按照不同的群組統一配置策略權限，保障多套網絡之間業務隔離；

4）iPCA保守恒算法能夠對網絡故障進行毫秒基本快速定位，極大程度降低網絡運維難度；

3.3 安全技術建設

為保障醫院信息系統和業務的安全穩定運行，防止業務數據丟失、信息泄密、惡意滲透攻擊，需要參照等級保護建設標準對本文設計的網絡進行安全建設。

1）安全域：按照醫院數據中心應用系統信息和應用分類的安全需求，數據中心網絡業務內容不同，劃分為內網數據中心、外網數據中心、智能化專網數據中心、DMZ區、對外互聯區、安全管理區以及綜合管理區7個不同的安全域。

2）安全域邊界防護：在安全域以及互聯網出口邊界上，針對醫院信息系統的網絡數據流入/流出提供過濾和保護，通過配置防火墻設備阻止安全域外部連接的非授權進入內部，以及通過網絡手段阻斷特定的內外連接。通過配置網絡入侵防御設備對蠕蟲木馬攻擊、拒絕服務攻擊、入侵行為進行識別，并且進行實時攔截。

3）安全管理區：通過數據中心交換機旁掛入侵防御、準入控制、堡壘機、接入認證、漏洞掃描、日志審計等安全設備，保障系統和數據安全。

4）對外互聯區：通過DDos、VPN、防病毒網關、上網行為管理等安全設備實現局域網和互聯網之間的安全防護。

5）災備數據中心：配合災備數據中心的建設，對存儲數據和醫院核心業務系統進行熱備，當主機房故障時，啟動被機房繼續提供服務。

4、“五網合一”融合架構優點

4.1 互聯互通，避免信息孤島

多套網絡之間通過等級保護建設保障信息安全，同時提高用戶體驗，各子網系統的互聯互通實現起來更加便捷。便于醫療物聯網、遠程醫療等智慧醫院業務開展，奠定了良好的數據傳輸管道。

4.2 避免重復建設，節約用戶投資

本方案中無線物聯網預留了標準的物聯網擴展接口，后期物聯網建設避免了重復的施工布線，以及POE交換機等投資費用。

4.3 架構先進，滿足未來擴展需求

網絡架構設計中考慮到醫院未來災備數據中心的建設需求，支持虛擬大二層技術；無線網絡支持人員資產管理、生命體征監測等物聯網業務平滑升級能力。

5、結論

實踐中發現，通過“五網合一”融合網絡架構，配合安全等保建設標準，消除了醫院內的數據孤島，實現數據的互聯互通，能夠靈活開展智慧醫院中遠程醫療、掌上醫院、物聯網等新業務的建設需求。但網絡架構的變革，需要提升醫院管理層與信息部門的綜合素質，配合更加完善的管理秩序，以應對智慧醫院信息化建設中的更多挑戰。

【參考文獻】

[1]陳擁軍,肖新文,陳泓伶,等.醫院網絡安全體系構建與實現[J].中國數字醫學,2016,11( 7) :105-107.

[2]夏海龍、程鑄然.醫療物聯網建設存在的問題與發展思路探討[J].2014, 2014中華醫院信息網絡大會論文集.

[3] 王羽 徐淵洪 楊紅 程之紅 . 物聯網技術在患者健康管理中的應用框架 [J]. 中國醫院, 2010,(8) .