導(dǎo)語：下一代醫(yī)院骨干網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計探討一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

骨干網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)日趨綜合化、復(fù)雜化，網(wǎng)絡(luò)信息安全邊界日趨模糊。當(dāng)前，信息化已經(jīng)是順應(yīng)時代發(fā)展和推動技術(shù)更新的必要階段，諸多新興技術(shù)如云平臺、物聯(lián)網(wǎng)、大數(shù)據(jù)和移動互聯(lián)的技術(shù)發(fā)展也為各大企業(yè)提供了活力。醫(yī)院信息化系統(tǒng)也飛速發(fā)展，它的安全性和平穩(wěn)性直接關(guān)系到醫(yī)院工作的正常秩序和運行，一旦網(wǎng)絡(luò)發(fā)生故障，數(shù)據(jù)丟失或者中惡意病毒，會給醫(yī)院帶來風(fēng)險。

1傳統(tǒng)背景下醫(yī)院骨干網(wǎng)絡(luò)結(jié)構(gòu)分析

1.1醫(yī)院傳統(tǒng)骨干網(wǎng)絡(luò)結(jié)構(gòu)分析

當(dāng)前，隨著醫(yī)院信息系統(tǒng)數(shù)量和承載量不斷攀升，骨干網(wǎng)絡(luò)架構(gòu)的規(guī)模雖也呈擴大趨勢，但是以往的骨干網(wǎng)絡(luò)核心設(shè)備性能已經(jīng)負(fù)載飽和，轉(zhuǎn)發(fā)數(shù)據(jù)的能力也無法滿足和適應(yīng)當(dāng)今的業(yè)務(wù)需求，再加上醫(yī)院骨干網(wǎng)絡(luò)結(jié)構(gòu)的可靠性問題，以及網(wǎng)絡(luò)冗雜性問題等，醫(yī)院骨干網(wǎng)絡(luò)結(jié)構(gòu)需要進(jìn)一步強化提升。

1.2信息安全等級保護(hù)制度分析

當(dāng)前，醫(yī)院網(wǎng)絡(luò)信息安全建設(shè)根據(jù)等級保護(hù)2.0要求，需要部署下一代網(wǎng)絡(luò)安全設(shè)備，如全網(wǎng)行為管理、態(tài)勢感知平臺、下一代防火墻、IPS入侵防御檢測以及病毒規(guī)則庫等設(shè)備，醫(yī)院信息安全系統(tǒng)等級至少應(yīng)達(dá)到二級或以上防護(hù)要求。因此設(shè)計安全穩(wěn)定的骨干網(wǎng)絡(luò)結(jié)構(gòu)刻不容緩。

1.3醫(yī)院實際業(yè)務(wù)分析

醫(yī)院規(guī)模的擴大，會帶來更多的承載量，醫(yī)院的網(wǎng)絡(luò)是一個信息化系統(tǒng)和辦公系統(tǒng)相結(jié)合的網(wǎng)絡(luò)形式，作為一個信息化的醫(yī)院，除了要運行辦公的信息系統(tǒng)，還要結(jié)合醫(yī)院復(fù)雜的HIS、LIS、PACS等信息系統(tǒng)，要求網(wǎng)絡(luò)必須能夠傳輸龐大數(shù)據(jù)業(yè)務(wù)，所以在這樣復(fù)雜的網(wǎng)絡(luò)上，要運用多種高帶寬性能的設(shè)備和防護(hù)設(shè)備來保證信息系統(tǒng)安全穩(wěn)定地運行。因此，需要更加高性能的網(wǎng)絡(luò)核心設(shè)備支持。

2醫(yī)院骨干網(wǎng)絡(luò)設(shè)計

本設(shè)計對醫(yī)院現(xiàn)有的業(yè)務(wù)進(jìn)行梳理，設(shè)計對各個功能區(qū)進(jìn)行劃分，本著安全、穩(wěn)定、高性能的原則，在滿足信息等級保護(hù)制度的條件下，實現(xiàn)最流暢的、最安全的網(wǎng)絡(luò)體驗，讓網(wǎng)絡(luò)管理員獲得最有效的、最簡易的管理方式。根據(jù)以上幾點設(shè)計了多功能區(qū)域的醫(yī)院骨干網(wǎng)絡(luò)結(jié)構(gòu)，如圖1所示。圖1多功能區(qū)域的醫(yī)院骨干網(wǎng)絡(luò)結(jié)構(gòu)

2.1核心區(qū)域網(wǎng)絡(luò)設(shè)計

核心骨干網(wǎng)絡(luò)使用三層網(wǎng)絡(luò)結(jié)構(gòu)，即為核心層-匯聚層-接入層形式的網(wǎng)絡(luò)架構(gòu)。核心設(shè)備為雙冗余數(shù)據(jù)中心級核心交換機，樓層交換機和服務(wù)器區(qū)網(wǎng)關(guān)交換機為園區(qū)級的匯聚交換機，供設(shè)備接入的交換機為普通的萬兆交換機。如圖1所示，兩臺核心交換機作虛擬化配置，同時連接一臺DHCP服務(wù)器（可用匯聚交換機實現(xiàn)DHCP功能），核心交換機虛擬化組連接數(shù)臺匯聚交換機，匯聚交換機再連接接入層交換機。交換機之間的路由協(xié)議，均采用自動收斂的Ospf路由協(xié)議。

2.2互聯(lián)網(wǎng)區(qū)網(wǎng)絡(luò)設(shè)計

核心區(qū)域上聯(lián)為互聯(lián)網(wǎng)區(qū)，通過一個下一代防火墻進(jìn)行互聯(lián)，該防火墻進(jìn)行互聯(lián)網(wǎng)出口配置，包括nat映射、地址池、策略管理等。DMZ區(qū)接在防火墻下聯(lián)。DMZ區(qū)稱為隔離區(qū)。該區(qū)的功能簡單理解為醫(yī)院需要向外發(fā)布，或被外界訪問的服務(wù)，需要互聯(lián)網(wǎng)出口下一代防火墻對其業(yè)務(wù)進(jìn)行映射配置。如醫(yī)院的支付系統(tǒng)、云桌面系統(tǒng)等等。DMZ區(qū)服務(wù)器采用園區(qū)級三層交換機，上聯(lián)接某廠商互聯(lián)網(wǎng)出口下一代防火墻，下聯(lián)接各臺需要對外發(fā)布的服務(wù)器。

2.3設(shè)備接入?yún)^(qū)網(wǎng)絡(luò)設(shè)計

核心區(qū)下聯(lián)就是各樓層、各門診、各病區(qū)等客戶端接入設(shè)備，配置數(shù)臺園區(qū)級匯聚交換機，下聯(lián)接接入交換機，它們之間通過二層協(xié)議透明傳輸，配置VLAN，生成樹協(xié)議（防環(huán)機制），以及DHCP中繼協(xié)議，客戶端的默認(rèn)網(wǎng)關(guān)均配置在此匯聚交換機下。如此結(jié)構(gòu)，較好地保護(hù)了核心交換機的網(wǎng)絡(luò)性能，以及減少了其故障率。

2.4服務(wù)器接入?yún)^(qū)網(wǎng)絡(luò)設(shè)計

此區(qū)域也在核心區(qū)域下聯(lián)，通過一個下一代防火墻進(jìn)行互聯(lián)，有效地保護(hù)了客戶端與服務(wù)器之間的安全訪問。用一臺匯聚交換機做服務(wù)器網(wǎng)關(guān)，服務(wù)器網(wǎng)關(guān)不在核心交換機上。下聯(lián)多臺萬兆的服務(wù)器接入交換機，服務(wù)器、存儲陣列以及超融合服務(wù)器集群均接在此交換機上，以此來承載HIS、LIS、PACS、EMR等各類業(yè)務(wù)系統(tǒng)。

2.5專線接入?yún)^(qū)網(wǎng)絡(luò)設(shè)計

核心區(qū)下聯(lián)的專線接入?yún)^(qū)，是醫(yī)院各項業(yè)務(wù)相互訪問的區(qū)域。如農(nóng)保、醫(yī)保、銀行、銀聯(lián)、市級預(yù)約、省級預(yù)約等線路，涉及眾多單位互聯(lián)的線路，信息安全威脅較大，惡意病毒感染率較高。因此，在線路接入到醫(yī)院機房時，架設(shè)一臺某廠商下一代防火墻進(jìn)行威脅檢測，對流量進(jìn)行甄別。之后通過前置機和匯聚交換機作前置機的網(wǎng)關(guān)，用一臺普通的某廠商防火墻和核心區(qū)互聯(lián)。防火墻所有的ACL策略采用默認(rèn)禁止、授權(quán)開放的模式，而且級別實現(xiàn)到金融級的端口級別，非常好地保護(hù)了專線和內(nèi)網(wǎng)互訪的信息安全。

3下一代網(wǎng)絡(luò)安全設(shè)備設(shè)計

3.1交換機設(shè)備設(shè)計

核心區(qū)域采用某廠商高性能數(shù)據(jù)中心級別和園區(qū)級級別的交換機，核心交換機為CloudEngine16804型號，交換機容量最高為1161Tbps，包轉(zhuǎn)發(fā)率最大為115200Mpps。匯聚交換機為CloudEngineS12700E-4，交換機容量最高為256Tbps，包轉(zhuǎn)發(fā)率最大為48000Mpps。接入交換機采用S6720-SI系列多速率萬兆交換機，交換容量為2.56Tbps/23.04Tbps，包轉(zhuǎn)發(fā)率為480Mpps。骨干網(wǎng)絡(luò)搭建為，2臺核心交換機做虛擬化配置，其中1臺匯聚交換機做DHCP服務(wù)器，其余做各樓層的匯聚交換機和服務(wù)器網(wǎng)關(guān)，設(shè)備接入使用萬兆交換機。交換機的各種性能如圖2所示。

3.2下一代防火墻設(shè)計

外網(wǎng)防火墻、專線邊界防火墻、服務(wù)器區(qū)防火墻均采用某廠商AF系列的下一代防火墻。使用防火墻均配置為透明傳輸模式。該系列產(chǎn)品是專注于安全攻防對抗的下一代防火墻，在下一代防火墻產(chǎn)品的基礎(chǔ)上集成豐富的實戰(zhàn)化安全創(chuàng)新技術(shù)，增強網(wǎng)絡(luò)邊界的安全檢測與防控能力，保護(hù)組織網(wǎng)絡(luò)免受日益復(fù)雜的威脅入侵，保障組織的業(yè)務(wù)安全性和可用性。配備了實時更新的入侵檢測和防病毒模塊，同時建立金融級別的ACL策略。防火墻所有的ACL策略采用默認(rèn)禁止、授權(quán)開放的模式，而且級別實現(xiàn)到金融級的端口級別，非常好地保護(hù)了服務(wù)器互訪的信息安全，為服務(wù)器網(wǎng)絡(luò)提供了更深一層的保障，保障網(wǎng)絡(luò)更加平穩(wěn)運行。防火墻的多種功能介紹如圖3所示。

3.3全網(wǎng)行為管理設(shè)備設(shè)計

在各網(wǎng)絡(luò)區(qū)域之間，均使用某廠商全網(wǎng)行為管理設(shè)備進(jìn)行透明傳輸，對用戶進(jìn)行甄別和認(rèn)證，對進(jìn)出流量和行為進(jìn)行有效地控制。行為管理的多種功能介紹如圖4所示。

3.4態(tài)勢感知平臺設(shè)計

某廠商態(tài)勢感知平臺（簡稱SIP）旁路在核心區(qū)，通過鏡像口連接，將核心交換機的數(shù)據(jù)全部完整地鏡像到SIP中，以安全可視、智能檢測、協(xié)同聯(lián)動為核心，打造一套高效、精準(zhǔn)、可持續(xù)優(yōu)化的大數(shù)據(jù)安全分析平臺，讓安全可感知、易運營，變得更有價值。態(tài)勢感知的多種功能介紹如圖5所示。圖5態(tài)勢感知平臺的多種功能

4結(jié)束語

在醫(yī)療服務(wù)行業(yè)中，尤其是醫(yī)院的信息化建設(shè)過程中，骨干網(wǎng)絡(luò)建設(shè)雖是一個很基礎(chǔ)很底層的部分，但它的重要性不容忽視。安全高速的骨干網(wǎng)絡(luò)，是醫(yī)院的信息化建設(shè)的基礎(chǔ)，在數(shù)據(jù)傳輸和共享的過程中，網(wǎng)絡(luò)和數(shù)據(jù)必須安全平穩(wěn)，這樣，醫(yī)院信息系統(tǒng)才能有效正常運行。骨干網(wǎng)絡(luò)的結(jié)構(gòu)愈發(fā)完善可與醫(yī)院信息系統(tǒng)更好融合，可以進(jìn)一步扎實推進(jìn)醫(yī)院信息化建設(shè)。本文通過下一代網(wǎng)絡(luò)安全設(shè)備設(shè)計醫(yī)院骨干網(wǎng)絡(luò)體系，設(shè)計具有高帶寬的設(shè)備性能，實現(xiàn)金融級別的訪問策略，將醫(yī)院給業(yè)務(wù)功能分區(qū)管理，相互之間互不干擾，實現(xiàn)網(wǎng)絡(luò)一體化管理。希望為行業(yè)內(nèi)的朋友提供借鑒和思路。

參考文獻(xiàn)：

[1]楊青華.分布式防火墻的淺析與探究[J].電腦知識與技術(shù)，2021，17（21）：56-57.

[2]劉斌.數(shù)據(jù)加密技術(shù)在計算機網(wǎng)絡(luò)通信安全中的應(yīng)用初探[J].中國新通信，2018，20（7）：28.

[3]王堅.網(wǎng)絡(luò)安全技術(shù)在計算機維護(hù)中的運用[J].電腦知識與技術(shù)，2021，17（19）：36-37+49.

作者：虞宏達(dá) 單位：溫州醫(yī)科大學(xué)附屬眼視光醫(yī)院