H3C中小型數字化醫(yī)院多業(yè)務解決方案

H3C中小醫(yī)院解決方案概述隨著信息技術的快速發(fā)展，越來越多的中國醫(yī)院正加速實施基于基礎信息化網絡平臺、HIS業(yè)務平臺的整體建設，以提高醫(yī)院的服務水平和核心競爭力，從最初的“以財務為中心”的醫(yī)院信息系統(tǒng)向“以病人為中心”的醫(yī)院信息系統(tǒng)轉變，醫(yī)院信息化建設已經取得了顯著成效。信息化不僅提升了醫(yī)生的工作效率，使醫(yī)生有更多的時間為患者服務，也提高了患者滿意度，而且無形之中還樹立起醫(yī)院的科技形象品牌，醫(yī)院信息化正越來越成為強化醫(yī)院活力與競爭力的關鍵行為，醫(yī)療業(yè)務應用與基礎網絡平臺的逐步融合正成為中國醫(yī)院，尤其是大中型醫(yī)院業(yè)務發(fā)展前進的新的驅動力。隨著醫(yī)院信息化的不斷深入，醫(yī)院OA系統(tǒng)、MIS系統(tǒng)、HIS系統(tǒng)、PACS等系統(tǒng)相互融合，中國醫(yī)院的信息化建設也已經從簡單的數據業(yè)務應用逐步發(fā)展到數據、語音、視訊等多業(yè)務統(tǒng)一承載，而傳統(tǒng)醫(yī)院網絡已經無法滿足新業(yè)務的需求，主要問題包括：現(xiàn)有網絡資源很難通過靈活有效的策略調整實現(xiàn)業(yè)務與網絡的充分融合，例如早期醫(yī)院網絡已經很難支撐門診系統(tǒng)對可靠性、PACS系統(tǒng)對高性能的要求，醫(yī)院用戶對新業(yè)務部署的體驗感不佳，新業(yè)務的部署面臨巨大管理壓力；網絡平臺缺乏智能性，無業(yè)務識別能力，不能對關鍵業(yè)務應用提供端到端的高質量數據傳輸的有效保證，醫(yī)院通常采用的設備升級、鏈路帶寬升級等簡單方式使得網絡建設、運營、管理成本大幅度上升，而網絡資源的利用率卻在大幅度下降；醫(yī)院網絡中的安全設備組件多且龐雜，但各組件孤軍作戰(zhàn)，傳輸安全、網絡安全、數據安全、業(yè)務安全層面相互分離，難以有效兼顧，醫(yī)院的安全漏洞處處存在。隨著電子病例應用越來越廣泛，一旦電子病例出現(xiàn)泄密或者被惡意篡改，都會給醫(yī)院帶來嚴重的醫(yī)患糾紛甚至法律糾紛，網絡安全已經成為醫(yī)院新一代網絡建設的關注重點；網絡的管理控制功能薄弱，單純設備級的網絡管理已經不能滿足醫(yī)院用戶對業(yè)務可靠性要求，業(yè)務的可靠性除了要求網絡穩(wěn)定，還依賴于服務器可靠和數據存儲可靠等多種技術組合。數字化醫(yī)院多業(yè)務解決方案針對上述醫(yī)院數字化的需求，如何創(chuàng)建一個靈活、高效、集成的業(yè)務融合網絡架構，已引起醫(yī)療信息化專家的關注。作為醫(yī)療信息化的領導者和創(chuàng)新者，H3C在對醫(yī)療行業(yè)信息化充分理解的基礎上，針對醫(yī)院的網絡建設需求及現(xiàn)狀提出數字化醫(yī)院多業(yè)務信息平臺的建設模式。數字化醫(yī)院多業(yè)務平臺主要針對傳統(tǒng)IP網絡的可控性低、網絡資源自動適應性差、網絡缺乏立體安全性而提出的，其目標是以醫(yī)院業(yè)務應用為主體，以不斷發(fā)展完善的智能網絡技術、安全技術和靈活的資源調度為基礎，以靈活實用的管理控制為手段，為醫(yī)院用戶提供端到端品質保證的融合數據、語音、視頻等多業(yè)務的網絡實體。一個典型的大中型醫(yī)院數字化平臺組網框架示意圖如下：數字化醫(yī)院多業(yè)務解決方案針對門診、住院、醫(yī)學影像檢查系統(tǒng)等業(yè)務的不同要求，結合了WLAN技術、IRF智能擴展技術、EAD端點準入、IPS、IP存儲等多種技術，以為醫(yī)院客戶構建一個安全可靠、多業(yè)務承載、易擴展、易管理的網絡基礎平臺為最終目標。堅不可摧、輕松承載―IRF技術構建高可靠實時門診網絡平臺門診是醫(yī)院業(yè)務最繁忙、最關鍵的部門之一，眾多的患者包括急重癥病人都在門診等待醫(yī)生的及時診斷，患者從進入醫(yī)院掛號到診斷、檢查、取藥離開醫(yī)院涉及醫(yī)院多個業(yè)務系統(tǒng)的相互配合。門診眾多系統(tǒng)中任何一個環(huán)節(jié)出現(xiàn)問題，都會直接導致醫(yī)院大規(guī)模的癱瘓，不僅給醫(yī)院造成直接經濟損失，更有可能耽誤對患者的最佳診療時機，對病人生命造成威脅。門診業(yè)務系統(tǒng)的可靠性要求高、并發(fā)性、實時性和突發(fā)性強等特點對門診的網絡也提出了電信級的高可靠要求。除了選擇高可靠核心設備，大型醫(yī)院還普遍在網絡中心采用了雙機冗余的方式以進一步提升整個網絡可靠性，這樣任意單核心設備故障或者鏈路故障都不會影響網絡的正常運行。正是考慮到門診系統(tǒng)對網絡的高可靠要求，H3C也強烈建議醫(yī)院用戶在門診網絡中同樣采用雙歸屬的高可靠拓撲結構，但雙核心并不意味著醫(yī)院要投入雙倍的資金去構建門診網絡，H3C的IRF智能彈性框架技術能在提升網絡性能、可靠性的同時，還能降低網絡建設成本和維護成本，并為將來的平滑擴展奠定良好基礎。利用IRF智能堆疊技術，可實現(xiàn)多達8臺H3C交換機設備的統(tǒng)一管理，與傳統(tǒng)堆疊技術不同，IRF可實現(xiàn)堆疊設備之間的三層路由信息共享，支持跨設備的鏈路聚和技術，在門診網絡中，各樓層的接入交換機通過堆疊變成邏輯上的一臺設備，可將傳統(tǒng)的跨設備雙千兆鏈路的主備工作模式轉變?yōu)榭缭O備雙千兆鏈路捆綁模式，這不僅提高了網絡的接入帶寬，而且提升了網絡可靠性。多業(yè)務接入提升工作效率、立體網絡安全保數據平安―住院系統(tǒng)解決方案住院大樓中涉及的CIS臨床信息系統(tǒng)是目前醫(yī)院流程最復雜、信息量最大的地方，一個中等規(guī)模的三甲醫(yī)院PACS系統(tǒng)平均年新增數據量在3T以上，如何保障這些大量數據的安全存儲、有效利用？如何保護HIS系統(tǒng)患者電子病歷信息不被泄密？如何在流程復雜的住院系統(tǒng)中提升工作效率，降低患者等待時間，成為住院系統(tǒng)信息化建設中醫(yī)院最為關心的內容。H3C住院系統(tǒng)解決方案覆蓋WLAN移動查房、PACS系統(tǒng)的IP存儲/千兆桌面接入、ICU病房/傳染病房的IP視頻監(jiān)控、客戶關懷/移動辦公IP電話、以及網絡安全多業(yè)務流程解決方案。無線接入、無限關懷－H3CWLAN移動查房解決方案按照醫(yī)院規(guī)定，醫(yī)生醫(yī)囑要在指定時間內及時下發(fā)，在傳統(tǒng)工作模式下，醫(yī)生需要隨身攜帶一大堆病歷本了解不同患者病情，并且以手寫方式記錄醫(yī)囑信息，等查房完全結束后，再錄入到電腦中交給護士去執(zhí)行，醫(yī)生要花大量時間在文字工作上，而另一個直接后果是患者只有等待查房結束才能得到及時治療。為解決這個問題，在住院大樓中引入WLAN無線系統(tǒng)，越來越成為一種潮流，通過部署WLAN，醫(yī)生只需手持平板電腦或者PDA即可在病床前實時調閱病人各種信息，而下達的醫(yī)囑信息也能通過無線方式及時傳遞給護士去執(zhí)行，護士在執(zhí)行醫(yī)囑的過程中，如果發(fā)生異常情況，還可通過無線的方式及時通知醫(yī)生，醫(yī)生可對醫(yī)囑進行調整，WLAN的使用將最大程度的降低患者等待時間，提升患者滿意度，提升醫(yī)生查房工作效率。與常用的會議室WLAN的靜態(tài)接入不同，由于醫(yī)生在多個病房間移動時需要保障數據傳遞不中斷，這涉及到跨AP漫游的問題，H3C的無線接入交換機在解決漫游接入方面具有天然的優(yōu)勢。傳統(tǒng)無線網絡中，AP負責802.1x認證終結、動態(tài)密鑰的產生、漫游切換等全部工作，只有高端的多業(yè)務AP，即“FATAP”才能擔負起責任。引入無線交換機后，這些工作由交換機來完成，使得AP的功能需求更低，可以選擇更低檔次的AP設備，即“FITAP”，并且原來需要人工參與設計的頻率規(guī)劃、無線功率調整等工作也可由無線交換機來自動完成，網絡規(guī)模越大，無線交換機的優(yōu)勢就越明顯。同時，無線管理WSM組件可以和AP、無線交換機進行良好的配合，確保只有合法的用戶才能接入到無線網絡中來，消除醫(yī)院對無線接入安全的擔心。智能化、立體化醫(yī)院信息系統(tǒng)安全解決方案醫(yī)院信息化程度越高，醫(yī)院對信息安全的依賴也越明顯，一旦出現(xiàn)安全問題，往往會給醫(yī)院的運營造成致命打擊，而傳統(tǒng)醫(yī)院采用的多個安全產品堆徹的方案，由于缺乏統(tǒng)一安全策略、安全設備無法實現(xiàn)信息共享，不能相互配合，安全漏洞無法彌補。H3C針對醫(yī)院不同區(qū)域的安全防護需求，提供了局域網端點準入防御解決方案、網絡邊界檢測抵御解決方案、數據中心檢測抵御解決方案、醫(yī)院分支機構安全接入解決方案，這些解決方案相互融合，多個安全產品之間通過統(tǒng)一的安全策略中心實現(xiàn)信息共享和聯(lián)動，從而為醫(yī)院提供全局的安全防護能力。2.1防止病從口入―H3CEAD局域網端點準入防御解決方案隨著醫(yī)院筆記本電腦應用越來越廣泛，以及醫(yī)院內、外網合一導致越來越多的固定計算機具備了Internet上網權限，如何防范非法計算機接入到醫(yī)院網絡中，如何防范合法計算機在安全狀態(tài)不滿足要求的情況接入到醫(yī)院網絡中，防止“病從口入”，保障終端計算機的安全是實現(xiàn)醫(yī)院信息安全的首要前提。H3C端點準入防御（EAD，EndpointAdmissionControl）解決方案從網絡終端準入控制入手，整合網絡接入控制與終端安全產品，通過安全客戶端、安全策略服務器、網絡設備以及第三方軟件的聯(lián)動，對接入網絡的用戶終端強制實施安全策略，嚴格控制終端用戶的網絡使用行為，可以有效的滿足醫(yī)院信息安全控制的需求，保證醫(yī)院信息系統(tǒng)的安全運行。醫(yī)院用戶在接入網絡之前，必須要通過身份認證，要求用戶輸入用戶名、密碼信息，身份認證通過后，EAD客戶端還會檢查用戶計算機的安全狀態(tài)，包括計算機操作系統(tǒng)補丁安裝是否合格、病毒庫定義是否合格、是否啟動防病毒軟件、是否安裝了非法軟件、是否只啟用符合其身份的應用軟件……只有通過安全認證，計算機才能正常接入到網絡中開始工作，安全狀態(tài)檢查只要有一條不能滿足要求，該計算機將被安全隔離到隔離區(qū)，并在隔離區(qū)內自動安裝系統(tǒng)補丁、防病毒軟件、卸載非法軟件等。除了提供用戶安全認證，EAD解決方案還可實現(xiàn)基于用戶的權限管理，不同用戶能訪問的應用服務器各不相同，并可根據內網、外網劃分為兩大類用戶，實現(xiàn)內網用戶禁止訪問Internet，而外網用戶可以訪問Internet，但不能訪問HIS系統(tǒng)，部分用戶，如院長、信息中心人員則同時具有內網、外網訪問權限。2.2網絡“B超”―H3CIPS醫(yī)院網絡邊界檢測抵御解決方案由于業(yè)務的需要，醫(yī)院網絡有多個外部網絡連接，例如Internet連接、衛(wèi)生專網連接、社保系統(tǒng)連接等，醫(yī)院網絡與這些外部網絡之間存在復雜的數據交互的需求，需要對這些不同網絡之間的通信進行嚴格的檢測、控制和隔離，保證網絡數據流動的安全。防火墻已經成為網絡安全方案的關鍵設備，防火墻將網絡劃分成不同安全等級的網段，在網段邊界放置防火墻，進行網段隔離和訪問控制，很多醫(yī)院考慮網絡安全時都采購了防火墻產品，但隨著信息技術發(fā)展到今天，單一的防火墻方案已經不能滿足用戶對安全的要求，主要原因包括：越來越多的安全威脅來自用戶網絡內部，便攜機的普及使得移動辦公得到大量的普及，計算機終端不斷的在企業(yè)內網和外網兩個環(huán)境間進行漫游，很容易造成網絡威脅從外網進入內網，從而在內網進行傳播。另外由于VPN技術的普及，使得企業(yè)內網無限擴展，更加大了威脅進入內網的機會。由于防火墻以抵御外部攻擊為主要目標，對于內部網絡產生的安全問題，防范不足；對于應用層攻擊、復合攻擊，防火墻力不從心。目前由各種蠕蟲、病毒、應用層攻擊技術和EMAIL、移動代碼結合形成了復合攻擊手段，以直接攻擊企業(yè)核心服務器和應用為主，會給企業(yè)帶來了重大損失；同時隨著企業(yè)內部電驢、BT等P2P應用和MSN、QQ等即時通信軟件的普及，企業(yè)寶貴帶寬資源被無關業(yè)務流量浪費，形成巨大的性能威脅。這些威脅大部分都能夠穿透防火墻，防火墻基于TCP/IP3層和4層的訪問控制對于基于應用的攻擊威脅無法識別。對緊急發(fā)生的安全問題無法及時響應。越來越多的病毒和蠕蟲基于網絡來傳播，有了網絡這個介質，可以威脅傳播速度很快，以SQLSlammer為例，10分鐘內，SQLSlammer感染了全球90％的有漏洞的計算機。如果網絡對于這些威脅不能識別，不能在其傳播擴散的通路上進行阻截，純粹依靠人工手動的打補丁、升級防病毒軟件、在防火墻上設置ACL，根本無法抑制這些蠕蟲病毒的大規(guī)模泛濫。針對防火墻的以上不足，需要有新的安全設備與之配合，這就是IPS――入侵防御系統(tǒng)，IPS可以完成防火墻所不能提供的深度內容分析和攻擊檢測和防范的能力。H3C的IPS產品自2002年發(fā)布以來，已迅速成為提供基于網絡的入侵防御系統(tǒng)的領先廠商。入侵防御系統(tǒng)能夠阻止蠕蟲、病毒、木馬、拒絕服務攻擊、間諜軟件、VOIP攻擊以及點到點應用濫用。通過深達第七層的流量偵測，入侵防御系統(tǒng)能夠在發(fā)生損失之前阻斷惡意流量。利用IPS提供的數字疫苗服務，入侵防御系統(tǒng)能得到及時的特征、漏洞過濾器、協(xié)議異常過濾器和統(tǒng)計異常過濾器更新從而主動地防御最新的攻擊。從關注網絡可靠轉向關注業(yè)務可靠――H3C醫(yī)院信息管理解決方案早期網絡設備廠商在為醫(yī)院用戶提供管理解決方案時，主要集中在網管軟件能對全系列網絡設備和設備互聯(lián)鏈路的管理上，檢查設備是否有故障，鏈路是否出現(xiàn)擁塞等。誠然，網絡出現(xiàn)問題，醫(yī)院的HIS系統(tǒng)肯定會出現(xiàn)問題，但保障HIS系統(tǒng)可靠運行的因素并不只涉及網絡，還包括很多因素，例如服務器是否出現(xiàn)問題、存儲系統(tǒng)是否出現(xiàn)問題等，只有對威脅HIS系統(tǒng)可靠運行的所有因素綜合考慮，才能真正滿足醫(yī)院用戶對HIS業(yè)務的高可靠性要求。H3C的智能管理中心平臺在提供傳統(tǒng)網管軟件的設備管理、拓撲管理、性能管理、故障管理等功能基礎之上，還針對國內用戶需求做了很多實用性功能開發(fā)。例如醫(yī)院在持續(xù)信息化投入過程中，經常出現(xiàn)多廠家設備混合組網的情況，而單一廠商的網管軟件無法對其他廠商設備進行管理，這給醫(yī)院的網絡故障定位帶來很大困難，H3CIMC可輕松實現(xiàn)H3C、3Com以及其他廠商設備的統(tǒng)一管理。醫(yī)院網絡環(huán)境中，除了要保證路由器、交換機這些關鍵網絡設備能夠正常運行，保證服務器的"健康"與否同樣關鍵，只有承載核心業(yè)務系統(tǒng)的服務器能夠正常運行，各種業(yè)務才能順利開展。IMC除了能夠實現(xiàn)對網絡設備的管理外，還能監(jiān)視服務器的CPU、內存、硬盤等資源的利用情況，保證服務器的正常運行，同時還支持對服務器上運行的各種關鍵業(yè)務進行監(jiān)控，保證HIS、LIS、PACS各種業(yè)務的可用性，確保醫(yī)院業(yè)務的正常開展。IMC還能與H3C的用戶認證平臺、用戶日志系統(tǒng)、IPS入侵防御系統(tǒng)等多種產品相互配合，提供更多實用功能，