点击显示 收起
【摘要】 西藏自治区第一人民医院地处雪域高原的拉萨市内,是集医疗、教学、保健、科研为一体的一家大型综合性地方医院,承担了整个西藏自治区近1/6的医疗卫生工作,多年来为西藏的经济发展、社会稳定做出了巨大的贡献。医院信息化建设的成功和失败对于西藏自治区人民医院的发展乃至整个西藏的卫生事业发展都将产生重要的影响。
【关键词】 VLAN;三层交换机;二层交换机;ISA2004 801.X;801.Q DNS;域控制器; AAA管理
回顾西藏自治区人民医院的信息化建设,是一段自己探索,自主规划、设计、建设、开发的一个过程。从20世纪90年代初期开始,当时信息科较好的机器是一台386机器,主要应用在病案处理上,其他行政部门也有几台机器,应用在工资、人事管理上,基本上就是简单的单机应用,运行的系统也由信息科开发。后来的几年里,医院也陆续购买了一些计算机,但都是各自独立运行的系统,信息无法共享,应用水平低下。1996年我院开始酝酿进行医院信息化全面建设工作,1997年医院率先在西藏地方医院中成功建设了第一个全面运用系统自主开发、网络独自施工的计算机网络,限于当时经费、技术等各方面原因,当时的网络是10Base5、网络操作系统为Novell 4.2的低速以太网,网络系统运用是在Foxpro For Dos环境下开发的医院管理系统,系统运行到2004年底,为医院的现代化管理工作发挥了重要作用,为今后自主建设以高速、以太网为依托的更加先进的医院信息网络奠定和积累了人员素质和物质基础。
以前建成的医院网络在各方面比较落后,网络通信协议为IPX/SPX,与现在IP/TCP协议广泛应用普及的趋势极不协调,存在医院网络和外界无法实现信息交流、沟通,先进编程语言编在原来环境下运行的无法应用的残酷现实。同时随着医院的进一步发展,也提出了更多、更高的要求,要实现这些应用要求的技术在原来平台上根本无法实现,严重制约了医院的发展。鉴于这些原因,医院计划重新建设先进的网络运行平台,从2004年底到现在医院基本上完成了计算机网络的第二次全面建设工作。
经信息部门的调研和医院领导的协商制定了医院未来信息网络的要求和性能。计算机网络系统是个庞大复杂的系统,涉及面较广,本文主要基于医院信息网络运行依托的快速网络平台,从网络规划、设计和管理角度出发对医院网络做初步的描述和讲解,对自主建设和架构医院快速千兆以太网络做简单总结和探讨,希望能给将要独立改造或建设医院计算机网络的同行一定的参考作用。
网络要求:能传输包括声音、图像等在内的多种丰富信息,网络传输带宽满足以后将要建设的医学影像PACS等系统的要求,能满足未来5~10年信息建设的需求。医院信息管理系统和对内部提供的Internet访问服务严格隔离,对Internet访问用户进行严格的监管,保障较高网络安全系数,建设包括E-mail、办公自动化等在内的医院内部运用系统,对外发布医院信息,必要时能保障外出人员正常办公需求。网络同时具有管理和维护方便容易、建设费用低廉的特点。
1 网络设计
见图1,院内各栋建筑距离300米内,多模光纤能满足传输距离要求(略)
2 交换设备选型
由于要实现医院运行内部信息系统的子网、访问外部资源的子网及对内部和外部同时提供WEB、Exchange、FTP等访问服务的子网要相互隔离,制定完善的各子网访问规则和策略,保障整个网络具有较高的安全系数,需要选用具有3层交换能力的中心交换机和具有2层交换能力接入层交换机。
中心交换机为一台具有L3能力的华为Quidway 5516,接入层交换机为8台具有L2能力的华为Quidway 3026 C。Quidway 5516提供4个模块插槽,可选模块为4端口的1000Base-SX、1000Base-LX、10/100/1000Base-T、1000Base-X SFP、1000M堆叠模块。Quidway 3026 C 提供2个模块插槽,插槽模块为1端口的1000Base各种接口的接入和堆叠模块(具体情况可查询相关资料)。考虑到医院各栋建筑间距离,Quidway 5516 安装2块支持多模光纤的1000Base-SX模块,共支持8回路光纤,为连接各应用服务器,同时也安装了1块1000Base-T模块,支持4条1000M 6类双绞线链路,可接入4台服务器。由于外科大楼和中心机房在同一建筑内,距离100米内,为节约成本,外科大楼Quidway 3026C安装1000Bas-T模块,直接和中心机房连接,门诊和干部保健大楼中2台Quidway 3026C通过堆叠模块堆叠,各建筑内Quidway 3026C都安装一块支持多模光纤的1000Base-SX模块。Quidway 5516和Quidway 3026C全面支持802.Q协议,较好实现交换机选型要求。
3 防火墙选择
考虑医院经费较为紧张,采用Microsoft ISA2004替代,ISA2004在提供传统防火墙功能基础上,同时具有对内对外访问缓存、多网络支持、运用层过滤、支持基于IPsec、PPTP、L2TP的全方位VPN功能,功能强大、完善,基本能达到医院网络安全要求,医院整个网络采用Microsoft Windows2003 Enterprise Edtion和Windows XP Professional产品,和ISA2004配合整个网络的集成度高,方便管理和维护。
4 综合布线
网络采用IBDN综合布线系统,中心机房中心交换机通过5路IBDN 62.5μm室外免溶接光纤与分布建筑接入层交换机连接,全部采用IBDN综合布线。骨干线路达到1000M, Quidway 5516和Quidway 3026C均支持链路聚合,将来如果业务需要,骨干线路可拓展到2000M, 100M交换到桌面,整个网络起步较高,达到预期的要求。
为保障网络布线的可靠性和规范性,布线工程采用外包方式,布线工程结束后精心进行全面的测试,根据西藏的具体情况,主要进行大数据包传输时丢包率和近端串绕和衰减测试。信息人员要亲自参与具体布线规划,在施工过程中严格监督,避免工程存在隐患乃致施工工程失败,对信息人员同时也是对综合布线的较好学习机会。工程结束后要求施工公司提供全面、详细的网络综合布线图纸,包括具体的布线位置、距离、相关网络设备和线路标签等,为今后快速维护网络、解决故障奠定较好的基础。医院是网络运行实时性要求非常高的行业,很多医院不重视这些看似不起眼的细节,如配线架标签不做,造成故障定位耗时耗力,对社会影响和医院经济造成严重影响。
5 网络安装和调试
5.1 域控制器和DNS部分
医院网络是个大型网络,采用域模式管理,建立两个域,xzhospital.com对内部信息管理系统使用,tibethospital.com对与Internet互联使用。两个域分别属于两个不同的网段,通过交换机来划分3个VLAN, VLAN2为内网,VLAN3为特殊部门使用,与外界可以联系,VLAN4为网络管理使用,3个VLAN不设路由,物理上不能通讯,各VLAN IP网段规划见图2。
Windows 2003独立服务器提升为域控制器,服务器的安全非常重要,服务器(开放必要的服务,随时下载补丁程序。我院经费较为紧张,在重要的服务器上域控制器、数据库服务器、对外服务器组)上安装单机版防火墙和病毒监控,防火墙设为高级级别,对所有正常访问服务器的数据包制定规则进行过滤,控制对服务器的访问,该方案要求对IP/TCP有深入的学习和理解。相信没有人这样对重要服务器进行安全保护,很麻烦,重要的是能节约经费,重要的一定要随时下载升级包及时升级。服务器性能适中。DNS集成在域控制器中,重要的服务器系统调试好后,记得GHOST系统,以备非常时候恢复系统。tibethospital.com中DNS做转发,简便相关客户端配置。
5.2 交换机配置
配置目标:内网和外网隔离,内网(192.168.0.0/24)完成医院日常工作,外网(192.168.1.0/24)通过ISA防火墙(192.168.1.1/24)访问Internet,通过网管工作站(10.0.0.1/24)统一管理和配置各交换机(10.0.0.10/24-10.0.0.18/24)。分别创建3个VLAN,VLAN 2为内网,VLAN 3为外网,VLAN 4为网络管理使用。
5.3 网络安全管理
与ISP直接连接的服务器上安装ISA2004,充当防火墙、访问代理和VPN网关角色,操作系统最好采用Windows 2003 Enterprise Edtion,补丁程序很重要。为对内部Vlan3中用户访问Internet进行全面管理,该网段内域控制器充当Radius服务器,Radius、ISA2004和网络交换机要做相应配置,基于802.1x进行AAA管理(Authentication, Authorization, Accounting)即认证、授权、计费管理。本方案为典型的C/S(Client/Server)体系结构,包括三个实体:Supplicant System(接入系统)、Authenticator System(认证系统)以及Authentication Server System(认证服务器系统)。局域网接入控制设备需要提供802.1x的认证系统(Authenticator System)部分,如Quidway 3026和Quiday 5516;用户侧的设备如计算机等需要安装802.1x的客户端(Supplicant)软件,如Windows XP自带的802.1x客户端;02.1x的认证服务器系统(Authentication Server System)则为安装Radius服务的AAA中心,如本方案VLAN3中域控制器就充当了该角色。允许和Internet联系的客户端在相关交换机端口上配置802.1x认证。
为防止IP盗用和擅自修改导致提供重要服务的服务器瘫痪,在接入层交换机各端口做IP地址绑定,在接入层交换机对各客户端端口隔离,在一定程度上减少机器间病毒传播几率。
5.4 对外发布信息
申请医院域名,域名和ISP提供的IP作绑定,在ISA2004服务器上作转发,分别映射到对外服务器组相应IP和端口,实现对外发布WEB、FTP、SMTP和POP3服务。
在VLAN2和VLAN3配置路由情况下,配置ISA2004为VPN网关,外出人员能安全的访问所有资源,为获得较高安全系数,可在医院网络内部假设供医院使用的CA服务器,利用微软提供的PKI架构,配合数字证书能为内部和外界用户提供更加安全内部特定资源的访问服务。
6 讨论
本文从大的方向对医院计算机网络结合医院的实际情况进行讨论,一些细节没有兼顾到,加之本人水平有限,难免出现错误及有引起大家误解的地方。
方案优点:实施方案较好地达到医院预期的目的,特别是在安全方面有所加强,VLAN2和VLAN3通信隔绝,外界从理论上讲没机会对运行医院信息系统的VLAN2内机器进行攻击,能保证医院管理系统的正常运行,网络实际运行情况也不错。VLAN3内用户受到全面的监控,和AAA管理、ISA2004的对外信息访问策略配合,能达到相关部门的互联网使用安全规定。医院也建立了自己的站点,和外界沟通,达到宣传医院的目的。网络建设共花费30多万元,极大节省了医院经费。
方案缺点:管理两个域,任务量大,服务器多,由于医院资金投入少,在没有专业防火墙、网络版病毒软件和IDS等使用情况下,为保障VLAN2和VLAN3隔离,减少病毒感染和外界攻击VLAN2内机器机会,ISA2004暂时没让VLAN2内机器访问医院内部WEB、FTP、SMTP服务器和Internet资源。在经费充足,保证相关设备到位情况下,相信能解决这个问题。理想情况应该在同一个域环境内对全医院机器进行统一管理,在中心交换机上制定完善的访问控制策略,能克服上述缺点,效果更加理想。
作者单位: 850000 西藏拉萨,西藏自治区人民医院网络中心
(编辑:晓 青)