導(dǎo)語：下一代醫(yī)院骨干網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)探討一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

骨干網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)日趨綜合化、復(fù)雜化，網(wǎng)絡(luò)信息安全邊界日趨模糊。當(dāng)前，信息化已經(jīng)是順應(yīng)時(shí)代發(fā)展和推動(dòng)技術(shù)更新的必要階段，諸多新興技術(shù)如云平臺(tái)、物聯(lián)網(wǎng)、大數(shù)據(jù)和移動(dòng)互聯(lián)的技術(shù)發(fā)展也為各大企業(yè)提供了活力。醫(yī)院信息化系統(tǒng)也飛速發(fā)展，它的安全性和平穩(wěn)性直接關(guān)系到醫(yī)院工作的正常秩序和運(yùn)行，一旦網(wǎng)絡(luò)發(fā)生故障，數(shù)據(jù)丟失或者中惡意病毒，會(huì)給醫(yī)院帶來風(fēng)險(xiǎn)。

1傳統(tǒng)背景下醫(yī)院骨干網(wǎng)絡(luò)結(jié)構(gòu)分析

1.1醫(yī)院傳統(tǒng)骨干網(wǎng)絡(luò)結(jié)構(gòu)分析

當(dāng)前，隨著醫(yī)院信息系統(tǒng)數(shù)量和承載量不斷攀升，骨干網(wǎng)絡(luò)架構(gòu)的規(guī)模雖也呈擴(kuò)大趨勢(shì)，但是以往的骨干網(wǎng)絡(luò)核心設(shè)備性能已經(jīng)負(fù)載飽和，轉(zhuǎn)發(fā)數(shù)據(jù)的能力也無法滿足和適應(yīng)當(dāng)今的業(yè)務(wù)需求，再加上醫(yī)院骨干網(wǎng)絡(luò)結(jié)構(gòu)的可靠性問題，以及網(wǎng)絡(luò)冗雜性問題等，醫(yī)院骨干網(wǎng)絡(luò)結(jié)構(gòu)需要進(jìn)一步強(qiáng)化提升。

1.2信息安全等級(jí)保護(hù)制度分析

當(dāng)前，醫(yī)院網(wǎng)絡(luò)信息安全建設(shè)根據(jù)等級(jí)保護(hù)2.0要求，需要部署下一代網(wǎng)絡(luò)安全設(shè)備，如全網(wǎng)行為管理、態(tài)勢(shì)感知平臺(tái)、下一代防火墻、IPS入侵防御檢測(cè)以及病毒規(guī)則庫等設(shè)備，醫(yī)院信息安全系統(tǒng)等級(jí)至少應(yīng)達(dá)到二級(jí)或以上防護(hù)要求。因此設(shè)計(jì)安全穩(wěn)定的骨干網(wǎng)絡(luò)結(jié)構(gòu)刻不容緩。

1.3醫(yī)院實(shí)際業(yè)務(wù)分析

醫(yī)院規(guī)模的擴(kuò)大，會(huì)帶來更多的承載量，醫(yī)院的網(wǎng)絡(luò)是一個(gè)信息化系統(tǒng)和辦公系統(tǒng)相結(jié)合的網(wǎng)絡(luò)形式，作為一個(gè)信息化的醫(yī)院，除了要運(yùn)行辦公的信息系統(tǒng)，還要結(jié)合醫(yī)院復(fù)雜的HIS、LIS、PACS等信息系統(tǒng)，要求網(wǎng)絡(luò)必須能夠傳輸龐大數(shù)據(jù)業(yè)務(wù)，所以在這樣復(fù)雜的網(wǎng)絡(luò)上，要運(yùn)用多種高帶寬性能的設(shè)備和防護(hù)設(shè)備來保證信息系統(tǒng)安全穩(wěn)定地運(yùn)行。因此，需要更加高性能的網(wǎng)絡(luò)核心設(shè)備支持。

2醫(yī)院骨干網(wǎng)絡(luò)設(shè)計(jì)

本設(shè)計(jì)對(duì)醫(yī)院現(xiàn)有的業(yè)務(wù)進(jìn)行梳理，設(shè)計(jì)對(duì)各個(gè)功能區(qū)進(jìn)行劃分，本著安全、穩(wěn)定、高性能的原則，在滿足信息等級(jí)保護(hù)制度的條件下，實(shí)現(xiàn)最流暢的、最安全的網(wǎng)絡(luò)體驗(yàn)，讓網(wǎng)絡(luò)管理員獲得最有效的、最簡(jiǎn)易的管理方式。根據(jù)以上幾點(diǎn)設(shè)計(jì)了多功能區(qū)域的醫(yī)院骨干網(wǎng)絡(luò)結(jié)構(gòu)，如圖1所示。圖1多功能區(qū)域的醫(yī)院骨干網(wǎng)絡(luò)結(jié)構(gòu)

2.1核心區(qū)域網(wǎng)絡(luò)設(shè)計(jì)

核心骨干網(wǎng)絡(luò)使用三層網(wǎng)絡(luò)結(jié)構(gòu)，即為核心層-匯聚層-接入層形式的網(wǎng)絡(luò)架構(gòu)。核心設(shè)備為雙冗余數(shù)據(jù)中心級(jí)核心交換機(jī)，樓層交換機(jī)和服務(wù)器區(qū)網(wǎng)關(guān)交換機(jī)為園區(qū)級(jí)的匯聚交換機(jī)，供設(shè)備接入的交換機(jī)為普通的萬兆交換機(jī)。如圖1所示，兩臺(tái)核心交換機(jī)作虛擬化配置，同時(shí)連接一臺(tái)DHCP服務(wù)器（可用匯聚交換機(jī)實(shí)現(xiàn)DHCP功能），核心交換機(jī)虛擬化組連接數(shù)臺(tái)匯聚交換機(jī)，匯聚交換機(jī)再連接接入層交換機(jī)。交換機(jī)之間的路由協(xié)議，均采用自動(dòng)收斂的Ospf路由協(xié)議。

2.2互聯(lián)網(wǎng)區(qū)網(wǎng)絡(luò)設(shè)計(jì)

核心區(qū)域上聯(lián)為互聯(lián)網(wǎng)區(qū)，通過一個(gè)下一代防火墻進(jìn)行互聯(lián)，該防火墻進(jìn)行互聯(lián)網(wǎng)出口配置，包括nat映射、地址池、策略管理等。DMZ區(qū)接在防火墻下聯(lián)。DMZ區(qū)稱為隔離區(qū)。該區(qū)的功能簡(jiǎn)單理解為醫(yī)院需要向外發(fā)布，或被外界訪問的服務(wù)，需要互聯(lián)網(wǎng)出口下一代防火墻對(duì)其業(yè)務(wù)進(jìn)行映射配置。如醫(yī)院的支付系統(tǒng)、云桌面系統(tǒng)等等。DMZ區(qū)服務(wù)器采用園區(qū)級(jí)三層交換機(jī)，上聯(lián)接某廠商互聯(lián)網(wǎng)出口下一代防火墻，下聯(lián)接各臺(tái)需要對(duì)外發(fā)布的服務(wù)器。

2.3設(shè)備接入?yún)^(qū)網(wǎng)絡(luò)設(shè)計(jì)

核心區(qū)下聯(lián)就是各樓層、各門診、各病區(qū)等客戶端接入設(shè)備，配置數(shù)臺(tái)園區(qū)級(jí)匯聚交換機(jī)，下聯(lián)接接入交換機(jī)，它們之間通過二層協(xié)議透明傳輸，配置VLAN，生成樹協(xié)議（防環(huán)機(jī)制），以及DHCP中繼協(xié)議，客戶端的默認(rèn)網(wǎng)關(guān)均配置在此匯聚交換機(jī)下。如此結(jié)構(gòu)，較好地保護(hù)了核心交換機(jī)的網(wǎng)絡(luò)性能，以及減少了其故障率。

2.4服務(wù)器接入?yún)^(qū)網(wǎng)絡(luò)設(shè)計(jì)

此區(qū)域也在核心區(qū)域下聯(lián)，通過一個(gè)下一代防火墻進(jìn)行互聯(lián)，有效地保護(hù)了客戶端與服務(wù)器之間的安全訪問。用一臺(tái)匯聚交換機(jī)做服務(wù)器網(wǎng)關(guān)，服務(wù)器網(wǎng)關(guān)不在核心交換機(jī)上。下聯(lián)多臺(tái)萬兆的服務(wù)器接入交換機(jī)，服務(wù)器、存儲(chǔ)陣列以及超融合服務(wù)器集群均接在此交換機(jī)上，以此來承載HIS、LIS、PACS、EMR等各類業(yè)務(wù)系統(tǒng)。

2.5專線接入?yún)^(qū)網(wǎng)絡(luò)設(shè)計(jì)

核心區(qū)下聯(lián)的專線接入?yún)^(qū)，是醫(yī)院各項(xiàng)業(yè)務(wù)相互訪問的區(qū)域。如農(nóng)保、醫(yī)保、銀行、銀聯(lián)、市級(jí)預(yù)約、省級(jí)預(yù)約等線路，涉及眾多單位互聯(lián)的線路，信息安全威脅較大，惡意病毒感染率較高。因此，在線路接入到醫(yī)院機(jī)房時(shí)，架設(shè)一臺(tái)某廠商下一代防火墻進(jìn)行威脅檢測(cè)，對(duì)流量進(jìn)行甄別。之后通過前置機(jī)和匯聚交換機(jī)作前置機(jī)的網(wǎng)關(guān)，用一臺(tái)普通的某廠商防火墻和核心區(qū)互聯(lián)。防火墻所有的ACL策略采用默認(rèn)禁止、授權(quán)開放的模式，而且級(jí)別實(shí)現(xiàn)到金融級(jí)的端口級(jí)別，非常好地保護(hù)了專線和內(nèi)網(wǎng)互訪的信息安全。

3下一代網(wǎng)絡(luò)安全設(shè)備設(shè)計(jì)

3.1交換機(jī)設(shè)備設(shè)計(jì)

核心區(qū)域采用某廠商高性能數(shù)據(jù)中心級(jí)別和園區(qū)級(jí)級(jí)別的交換機(jī)，核心交換機(jī)為CloudEngine16804型號(hào)，交換機(jī)容量最高為1161Tbps，包轉(zhuǎn)發(fā)率最大為115200Mpps。匯聚交換機(jī)為CloudEngineS12700E-4，交換機(jī)容量最高為256Tbps，包轉(zhuǎn)發(fā)率最大為48000Mpps。接入交換機(jī)采用S6720-SI系列多速率萬兆交換機(jī)，交換容量為2.56Tbps/23.04Tbps，包轉(zhuǎn)發(fā)率為480Mpps。骨干網(wǎng)絡(luò)搭建為，2臺(tái)核心交換機(jī)做虛擬化配置，其中1臺(tái)匯聚交換機(jī)做DHCP服務(wù)器，其余做各樓層的匯聚交換機(jī)和服務(wù)器網(wǎng)關(guān)，設(shè)備接入使用萬兆交換機(jī)。交換機(jī)的各種性能如圖2所示。

3.2下一代防火墻設(shè)計(jì)

外網(wǎng)防火墻、專線邊界防火墻、服務(wù)器區(qū)防火墻均采用某廠商AF系列的下一代防火墻。使用防火墻均配置為透明傳輸模式。該系列產(chǎn)品是專注于安全攻防對(duì)抗的下一代防火墻，在下一代防火墻產(chǎn)品的基礎(chǔ)上集成豐富的實(shí)戰(zhàn)化安全創(chuàng)新技術(shù)，增強(qiáng)網(wǎng)絡(luò)邊界的安全檢測(cè)與防控能力，保護(hù)組織網(wǎng)絡(luò)免受日益復(fù)雜的威脅入侵，保障組織的業(yè)務(wù)安全性和可用性。配備了實(shí)時(shí)更新的入侵檢測(cè)和防病毒模塊，同時(shí)建立金融級(jí)別的ACL策略。防火墻所有的ACL策略采用默認(rèn)禁止、授權(quán)開放的模式，而且級(jí)別實(shí)現(xiàn)到金融級(jí)的端口級(jí)別，非常好地保護(hù)了服務(wù)器互訪的信息安全，為服務(wù)器網(wǎng)絡(luò)提供了更深一層的保障，保障網(wǎng)絡(luò)更加平穩(wěn)運(yùn)行。防火墻的多種功能介紹如圖3所示。

3.3全網(wǎng)行為管理設(shè)備設(shè)計(jì)

在各網(wǎng)絡(luò)區(qū)域之間，均使用某廠商全網(wǎng)行為管理設(shè)備進(jìn)行透明傳輸，對(duì)用戶進(jìn)行甄別和認(rèn)證，對(duì)進(jìn)出流量和行為進(jìn)行有效地控制。行為管理的多種功能介紹如圖4所示。

3.4態(tài)勢(shì)感知平臺(tái)設(shè)計(jì)

某廠商態(tài)勢(shì)感知平臺(tái)（簡(jiǎn)稱SIP）旁路在核心區(qū)，通過鏡像口連接，將核心交換機(jī)的數(shù)據(jù)全部完整地鏡像到SIP中，以安全可視、智能檢測(cè)、協(xié)同聯(lián)動(dòng)為核心，打造一套高效、精準(zhǔn)、可持續(xù)優(yōu)化的大數(shù)據(jù)安全分析平臺(tái)，讓安全可感知、易運(yùn)營(yíng)，變得更有價(jià)值。態(tài)勢(shì)感知的多種功能介紹如圖5所示。圖5態(tài)勢(shì)感知平臺(tái)的多種功能

4結(jié)束語

在醫(yī)療服務(wù)行業(yè)中，尤其是醫(yī)院的信息化建設(shè)過程中，骨干網(wǎng)絡(luò)建設(shè)雖是一個(gè)很基礎(chǔ)很底層的部分，但它的重要性不容忽視。安全高速的骨干網(wǎng)絡(luò)，是醫(yī)院的信息化建設(shè)的基礎(chǔ)，在數(shù)據(jù)傳輸和共享的過程中，網(wǎng)絡(luò)和數(shù)據(jù)必須安全平穩(wěn)，這樣，醫(yī)院信息系統(tǒng)才能有效正常運(yùn)行。骨干網(wǎng)絡(luò)的結(jié)構(gòu)愈發(fā)完善可與醫(yī)院信息系統(tǒng)更好融合，可以進(jìn)一步扎實(shí)推進(jìn)醫(yī)院信息化建設(shè)。本文通過下一代網(wǎng)絡(luò)安全設(shè)備設(shè)計(jì)醫(yī)院骨干網(wǎng)絡(luò)體系，設(shè)計(jì)具有高帶寬的設(shè)備性能，實(shí)現(xiàn)金融級(jí)別的訪問策略，將醫(yī)院給業(yè)務(wù)功能分區(qū)管理，相互之間互不干擾，實(shí)現(xiàn)網(wǎng)絡(luò)一體化管理。希望為行業(yè)內(nèi)的朋友提供借鑒和思路。

參考文獻(xiàn)：

[1]楊青華.分布式防火墻的淺析與探究[J].電腦知識(shí)與技術(shù)，2021，17（21）：56-57.

[2]劉斌.數(shù)據(jù)加密技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)通信安全中的應(yīng)用初探[J].中國(guó)新通信，2018，20（7）：28.

[3]王堅(jiān).網(wǎng)絡(luò)安全技術(shù)在計(jì)算機(jī)維護(hù)中的運(yùn)用[J].電腦知識(shí)與技術(shù)，2021，17（19）：36-37+49.

作者：虞宏達(dá) 單位：溫州醫(yī)科大學(xué)附屬眼視光醫(yī)院