導語：下一代醫(yī)院骨干網(wǎng)絡結構設計探討一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

骨干網(wǎng)絡基礎設施建設日趨綜合化、復雜化，網(wǎng)絡信息安全邊界日趨模糊。當前，信息化已經(jīng)是順應時代發(fā)展和推動技術更新的必要階段，諸多新興技術如云平臺、物聯(lián)網(wǎng)、大數(shù)據(jù)和移動互聯(lián)的技術發(fā)展也為各大企業(yè)提供了活力。醫(yī)院信息化系統(tǒng)也飛速發(fā)展，它的安全性和平穩(wěn)性直接關系到醫(yī)院工作的正常秩序和運行，一旦網(wǎng)絡發(fā)生故障，數(shù)據(jù)丟失或者中惡意病毒，會給醫(yī)院帶來風險。

1傳統(tǒng)背景下醫(yī)院骨干網(wǎng)絡結構分析

1.1醫(yī)院傳統(tǒng)骨干網(wǎng)絡結構分析

當前，隨著醫(yī)院信息系統(tǒng)數(shù)量和承載量不斷攀升，骨干網(wǎng)絡架構的規(guī)模雖也呈擴大趨勢，但是以往的骨干網(wǎng)絡核心設備性能已經(jīng)負載飽和，轉(zhuǎn)發(fā)數(shù)據(jù)的能力也無法滿足和適應當今的業(yè)務需求，再加上醫(yī)院骨干網(wǎng)絡結構的可靠性問題，以及網(wǎng)絡冗雜性問題等，醫(yī)院骨干網(wǎng)絡結構需要進一步強化提升。

1.2信息安全等級保護制度分析

當前，醫(yī)院網(wǎng)絡信息安全建設根據(jù)等級保護2.0要求，需要部署下一代網(wǎng)絡安全設備，如全網(wǎng)行為管理、態(tài)勢感知平臺、下一代防火墻、IPS入侵防御檢測以及病毒規(guī)則庫等設備，醫(yī)院信息安全系統(tǒng)等級至少應達到二級或以上防護要求。因此設計安全穩(wěn)定的骨干網(wǎng)絡結構刻不容緩。

1.3醫(yī)院實際業(yè)務分析

醫(yī)院規(guī)模的擴大，會帶來更多的承載量，醫(yī)院的網(wǎng)絡是一個信息化系統(tǒng)和辦公系統(tǒng)相結合的網(wǎng)絡形式，作為一個信息化的醫(yī)院，除了要運行辦公的信息系統(tǒng)，還要結合醫(yī)院復雜的HIS、LIS、PACS等信息系統(tǒng)，要求網(wǎng)絡必須能夠傳輸龐大數(shù)據(jù)業(yè)務，所以在這樣復雜的網(wǎng)絡上，要運用多種高帶寬性能的設備和防護設備來保證信息系統(tǒng)安全穩(wěn)定地運行。因此，需要更加高性能的網(wǎng)絡核心設備支持。

2醫(yī)院骨干網(wǎng)絡設計

本設計對醫(yī)院現(xiàn)有的業(yè)務進行梳理，設計對各個功能區(qū)進行劃分，本著安全、穩(wěn)定、高性能的原則，在滿足信息等級保護制度的條件下，實現(xiàn)最流暢的、最安全的網(wǎng)絡體驗，讓網(wǎng)絡管理員獲得最有效的、最簡易的管理方式。根據(jù)以上幾點設計了多功能區(qū)域的醫(yī)院骨干網(wǎng)絡結構，如圖1所示。圖1多功能區(qū)域的醫(yī)院骨干網(wǎng)絡結構

2.1核心區(qū)域網(wǎng)絡設計

核心骨干網(wǎng)絡使用三層網(wǎng)絡結構，即為核心層-匯聚層-接入層形式的網(wǎng)絡架構。核心設備為雙冗余數(shù)據(jù)中心級核心交換機，樓層交換機和服務器區(qū)網(wǎng)關交換機為園區(qū)級的匯聚交換機，供設備接入的交換機為普通的萬兆交換機。如圖1所示，兩臺核心交換機作虛擬化配置，同時連接一臺DHCP服務器（可用匯聚交換機實現(xiàn)DHCP功能），核心交換機虛擬化組連接數(shù)臺匯聚交換機，匯聚交換機再連接接入層交換機。交換機之間的路由協(xié)議，均采用自動收斂的Ospf路由協(xié)議。

2.2互聯(lián)網(wǎng)區(qū)網(wǎng)絡設計

核心區(qū)域上聯(lián)為互聯(lián)網(wǎng)區(qū)，通過一個下一代防火墻進行互聯(lián)，該防火墻進行互聯(lián)網(wǎng)出口配置，包括nat映射、地址池、策略管理等。DMZ區(qū)接在防火墻下聯(lián)。DMZ區(qū)稱為隔離區(qū)。該區(qū)的功能簡單理解為醫(yī)院需要向外發(fā)布，或被外界訪問的服務，需要互聯(lián)網(wǎng)出口下一代防火墻對其業(yè)務進行映射配置。如醫(yī)院的支付系統(tǒng)、云桌面系統(tǒng)等等。DMZ區(qū)服務器采用園區(qū)級三層交換機，上聯(lián)接某廠商互聯(lián)網(wǎng)出口下一代防火墻，下聯(lián)接各臺需要對外發(fā)布的服務器。

2.3設備接入?yún)^(qū)網(wǎng)絡設計

核心區(qū)下聯(lián)就是各樓層、各門診、各病區(qū)等客戶端接入設備，配置數(shù)臺園區(qū)級匯聚交換機，下聯(lián)接接入交換機，它們之間通過二層協(xié)議透明傳輸，配置VLAN，生成樹協(xié)議（防環(huán)機制），以及DHCP中繼協(xié)議，客戶端的默認網(wǎng)關均配置在此匯聚交換機下。如此結構，較好地保護了核心交換機的網(wǎng)絡性能，以及減少了其故障率。

2.4服務器接入?yún)^(qū)網(wǎng)絡設計

此區(qū)域也在核心區(qū)域下聯(lián)，通過一個下一代防火墻進行互聯(lián)，有效地保護了客戶端與服務器之間的安全訪問。用一臺匯聚交換機做服務器網(wǎng)關，服務器網(wǎng)關不在核心交換機上。下聯(lián)多臺萬兆的服務器接入交換機，服務器、存儲陣列以及超融合服務器集群均接在此交換機上，以此來承載HIS、LIS、PACS、EMR等各類業(yè)務系統(tǒng)。

2.5專線接入?yún)^(qū)網(wǎng)絡設計

核心區(qū)下聯(lián)的專線接入?yún)^(qū)，是醫(yī)院各項業(yè)務相互訪問的區(qū)域。如農(nóng)保、醫(yī)保、銀行、銀聯(lián)、市級預約、省級預約等線路，涉及眾多單位互聯(lián)的線路，信息安全威脅較大，惡意病毒感染率較高。因此，在線路接入到醫(yī)院機房時，架設一臺某廠商下一代防火墻進行威脅檢測，對流量進行甄別。之后通過前置機和匯聚交換機作前置機的網(wǎng)關，用一臺普通的某廠商防火墻和核心區(qū)互聯(lián)。防火墻所有的ACL策略采用默認禁止、授權開放的模式，而且級別實現(xiàn)到金融級的端口級別，非常好地保護了專線和內(nèi)網(wǎng)互訪的信息安全。

3下一代網(wǎng)絡安全設備設計

3.1交換機設備設計

核心區(qū)域采用某廠商高性能數(shù)據(jù)中心級別和園區(qū)級級別的交換機，核心交換機為CloudEngine16804型號，交換機容量最高為1161Tbps，包轉(zhuǎn)發(fā)率最大為115200Mpps。匯聚交換機為CloudEngineS12700E-4，交換機容量最高為256Tbps，包轉(zhuǎn)發(fā)率最大為48000Mpps。接入交換機采用S6720-SI系列多速率萬兆交換機，交換容量為2.56Tbps/23.04Tbps，包轉(zhuǎn)發(fā)率為480Mpps。骨干網(wǎng)絡搭建為，2臺核心交換機做虛擬化配置，其中1臺匯聚交換機做DHCP服務器，其余做各樓層的匯聚交換機和服務器網(wǎng)關，設備接入使用萬兆交換機。交換機的各種性能如圖2所示。

3.2下一代防火墻設計

外網(wǎng)防火墻、專線邊界防火墻、服務器區(qū)防火墻均采用某廠商AF系列的下一代防火墻。使用防火墻均配置為透明傳輸模式。該系列產(chǎn)品是專注于安全攻防對抗的下一代防火墻，在下一代防火墻產(chǎn)品的基礎上集成豐富的實戰(zhàn)化安全創(chuàng)新技術，增強網(wǎng)絡邊界的安全檢測與防控能力，保護組織網(wǎng)絡免受日益復雜的威脅入侵，保障組織的業(yè)務安全性和可用性。配備了實時更新的入侵檢測和防病毒模塊，同時建立金融級別的ACL策略。防火墻所有的ACL策略采用默認禁止、授權開放的模式，而且級別實現(xiàn)到金融級的端口級別，非常好地保護了服務器互訪的信息安全，為服務器網(wǎng)絡提供了更深一層的保障，保障網(wǎng)絡更加平穩(wěn)運行。防火墻的多種功能介紹如圖3所示。

3.3全網(wǎng)行為管理設備設計

在各網(wǎng)絡區(qū)域之間，均使用某廠商全網(wǎng)行為管理設備進行透明傳輸，對用戶進行甄別和認證，對進出流量和行為進行有效地控制。行為管理的多種功能介紹如圖4所示。

3.4態(tài)勢感知平臺設計

某廠商態(tài)勢感知平臺（簡稱SIP）旁路在核心區(qū)，通過鏡像口連接，將核心交換機的數(shù)據(jù)全部完整地鏡像到SIP中，以安全可視、智能檢測、協(xié)同聯(lián)動為核心，打造一套高效、精準、可持續(xù)優(yōu)化的大數(shù)據(jù)安全分析平臺，讓安全可感知、易運營，變得更有價值。態(tài)勢感知的多種功能介紹如圖5所示。圖5態(tài)勢感知平臺的多種功能

4結束語

在醫(yī)療服務行業(yè)中，尤其是醫(yī)院的信息化建設過程中，骨干網(wǎng)絡建設雖是一個很基礎很底層的部分，但它的重要性不容忽視。安全高速的骨干網(wǎng)絡，是醫(yī)院的信息化建設的基礎，在數(shù)據(jù)傳輸和共享的過程中，網(wǎng)絡和數(shù)據(jù)必須安全平穩(wěn)，這樣，醫(yī)院信息系統(tǒng)才能有效正常運行。骨干網(wǎng)絡的結構愈發(fā)完善可與醫(yī)院信息系統(tǒng)更好融合，可以進一步扎實推進醫(yī)院信息化建設。本文通過下一代網(wǎng)絡安全設備設計醫(yī)院骨干網(wǎng)絡體系，設計具有高帶寬的設備性能，實現(xiàn)金融級別的訪問策略，將醫(yī)院給業(yè)務功能分區(qū)管理，相互之間互不干擾，實現(xiàn)網(wǎng)絡一體化管理。希望為行業(yè)內(nèi)的朋友提供借鑒和思路。

參考文獻：

[1]楊青華.分布式防火墻的淺析與探究[J].電腦知識與技術，2021，17（21）：56-57.

[2]劉斌.數(shù)據(jù)加密技術在計算機網(wǎng)絡通信安全中的應用初探[J].中國新通信，2018，20（7）：28.

[3]王堅.網(wǎng)絡安全技術在計算機維護中的運用[J].電腦知識與技術，2021，17（19）：36-37+49.

作者：虞宏達 單位：溫州醫(yī)科大學附屬眼視光醫(yī)院