一、概述： 
      數字化醫院是在數字醫療設備、計算機網絡平臺和醫院業務軟件的基礎上，對病人的治療數據進行采集、存儲、傳輸和處理，以達到在全院范圍內的全數字化流程，就是數字化醫院。
      數字化醫院在發展的過程中分成三個階段，第一階段，主要是一些關于人、財、物的管理，如財務管理、各種收費、藥品藥庫管理和OA等，第二階段，也是這些醫院最直接、最迫切的面對臨床的信息化，包括諸如PACS、LIS、手術室、麻醉等，第三階段，主要是充分運用醫院信息化，開展遠程醫療、社區醫療等區域醫療。
      1.1、醫院網絡的總體需求
            1.1.1、為HIS應用系統提供一個強有力的網絡支撐平臺；
            1.1.2、網絡設計不僅要體現當前網絡多業務服務的發展趨勢，同時具有最靈活的適應、擴展能力；
            1.1.3、一體化網絡平臺：整合數據、語音和圖像等多業務的端到端、以IP 為基礎的統一的一體化網絡平臺，支持多協議、多業務、安全策略、流量管理、服務質量管理、資源管理；
            1.1.4、數據存儲安全:醫院信息系統的數據存儲需要具有存儲量大、擴充性強的特點。
      1.2、網絡建設原則
            1.2.1、實用性：整個網絡系統具有較高的實用性；
            1.2.2、時效性：網絡應保證各類業務數據流的及時傳輸，網絡時效性要強，網絡延時要小，確保業務的實時高效；
            1.2.3、可靠性：整個網絡系統應具有很高的安全可靠性，必須滿足7×24×365 小時連續運行的要求。在故障發生時，網絡設備可以快速自動地切換到備份設備上；
            1.2.4、安全性：能有效防止網絡的非法訪問，保護關鍵數據不被非法竊取、篡改或泄漏，使數據具有極高的安全性；
            1.2.5、完整性：網絡系統應實現端到端的、能整合數據、語音和圖像的多業務應用，滿足全網范圍統一的實施安全策略、QoS 策略、流量管理策略和系統管理策略的完整的一體化網絡；
            1.2.6、效益性：網絡的投資應隨著網絡的伸縮能夠持續發揮作用，保護現有網絡的投資，充分發揮網絡投資的最大效益；
            1.2.7、可伸縮性：網絡要具有面向未來的良好的伸縮性能，既能滿足當前的需求，又能支持未來業務網點、業務量、業務種類的擴展和與其它機構或部門的連接等對網絡的擴充性要求。
      1.3、網絡系統的整體架構
      醫院信息系統的網絡采用三級架構，分為核心層、匯聚層和接入層。核心層處于醫院網絡的中心，負責全網的路由交換，并與各服務器、存儲等核心醫院應用相連；匯聚層分布在各個大樓內，負責大樓與核心層的連接；接入層位于各大樓內的樓層，負責直接接入桌面系統，與匯聚層連接。
      1.4、醫院業務應用分析
            1.4.1. 醫院業務劃分：醫院的業務系統有很多，而且不同的?？漆t院業務系統也有很大區別，但以下一些業務系統是醫院都具有的：門診系統、住院系統、體檢系統、PACS系統、醫院管理經濟系統、區域醫療系統
            1.4.2. 應用系統分類：醫院信息系統主要分成以下三類：
            a、醫院管理系統：門、急診掛號子系統、門、急診病人管理及計價收費子系統、住院病人管理子系統
藥庫、藥房管理子系統、病案管理子系統
             b、醫療統計子系統：人事、工資管理子系統、財務管理與醫院經濟核算子系統 、醫院后勤物資供應子系統 、固定資產、醫療設備管理子系統 、院長辦公綜合查詢與輔助決策支持系統
            c、臨床醫療信息系統：住院病人醫囑處理子系統 、護理信息系統 、門診醫生工作站系統 、臨床實驗室檢查報告子系統 、醫學影像診斷報告處理系統 、放射科信息管理系統 、手術室管理子系統 、功能檢查科室信息管理子系統、病理卡片管理及病理科信息系統、血庫管理子系統 、營養與膳食計劃管理子系統 、臨床用藥咨詢與控制子系統 、區域醫療信息系統 、遠程會診 、社區醫療
            1.4.3. 醫院業務系統的需求
            a、門診系統
            門診業務作為醫院直接面對患者的窗口具有非常重要的地位和自己的特點（包括焦急的病人無法忍受長時間的等待、門診業務主要集中在上午等），門診業務具有可靠性高、并發性、實時性和突發性強等特點。因此門診業務對網絡提出了高可靠性、高帶寬和QoS的要求。
            b、住院系統
            住院業務是醫院的另一個主要組成部分，是醫院經濟收入的主要來源，同時還直接關系到重病患者的生命            安全，具有以下幾個特點：
            住院業務的網絡上流動著重癥病人生命數據和各種新業務數據；
            住院業務保存有患者病案數據和住院費用數據；
            醫生移動查房；
            病人呼叫系統；
            網上視頻監控系統；
            針對住院業務的以上特點，住院業務對網絡提出了高可靠性、安全存儲、QoS和無線局域網、VoIP和視頻會議系統的需求。
            c、體檢系統
現在很多醫院紛紛建立專門的體檢大樓，以滿足社會上不斷擴大的體檢需求。從業務角度上講體檢系統非常簡單，它對網絡的需求主要體現在安全性上，如何保護體檢服務器上體檢人員數據安全和體檢大樓網絡安全是醫院體檢系統解決方案所關注的。
            d、PACS系統
醫院的PACS系統主要是完成對患者的各種影像數據進行采集、存儲、傳輸和處理，并在全院范圍內進行共享，由于是各種圖形圖像數據，因此具有存儲量大的特點，為了更好的服務于醫院業務，PACS業務對支撐系統提出以下要求：存儲量大、擴展性強、數據快速存儲、數據容災、高帶寬
            e、管理經濟系統
醫院管理經濟系統主要是人、財、物的管理，包括人事、財務管理、藥品藥庫管理等，因此它最大的需求是數據在服務器端和網絡上的安全，保證這些數據不會泄露。
            f、區域醫療系統
一方面為了發揮中心醫院的輻射和覆蓋作用，另一方面充分利用各家醫院的特色科室的力量，區域醫療把這些資源進行共享和整合，這需要穩定的廣域網連接。
二、 總體網絡設計：
      2.1. 系統建設的總體目標
目前，HIS系統在很多醫院已經或者剛開始部署，很多傳統業務都逐漸遷移到網絡上，對網絡的性能、安全和穩定提出了很高的要求，主要體現在以下幾個方面：
      1）可靠迅速的響應以提供更好的醫療服務
一般大醫院每天的門診量很大，最多可達到5000人/天，一般大型醫院平均門診達到1000－2000人/天，HIS系統每天對后臺數據庫的調用非常頻繁，會產生很大的數據流量，如果這種訪問流量出了問題而導致無法正常進行收費和醫療診斷，會產生嚴重的社會后果，因此醫院對網絡的訪問性能有很高的要求。
      2）安全的業務數據保證醫院正常對外服務
在醫院的業務系統中保存著大量患者的健康信息和過程費用信息，這些數據無論對患者還是醫院都非常關鍵，需要嚴格保密，因此如何保護這些數據，對醫院有著重大的意義。
      3）高效的管理推動系統的穩定，提高維護的效果
HIS經過幾年的建設，已經初具規模。如何管好整個醫院的業務系統，包括用戶、服務器、數據庫、存儲設備和網絡等，提高醫院管理效率，保證醫院網絡的正常運轉已經成為醫院急需解決的大問題。
      4）醫院數據的安全存儲
醫院需要存儲包括病人信息、病案信息、費用信息和影像等數據，對數據存儲的安全性和擴展性要求非常高。
      5）區域醫療的建設
為了在區域范圍內實現遠程會診、網上學術研討等業務，迫切需要醫院之間的資源共享。
      2.2. 網絡設計原則
基于醫院目前網絡現狀和未來業務發展的要求，在醫院網絡設計構建中，應始終堅持以下建網原則：
      1）高可靠性--網絡系統的穩定可靠是應用系統正常運行的關鍵保證，在網絡設計中選用高可靠性網絡產品，合理設計網絡架構，制訂可靠的網絡備份策略，保證網絡具有故障自愈的能力，最大限度地支持醫院各業務系統的正常運行。
      2）技術先進性和實用性--保證滿足醫院應用系統業務的同時，又要體現出網絡系統的先進性。在網絡設計中要把先進的技術與現有的成熟技術和標準結合起來，充分考慮到醫院網絡目前的現狀以及未來技術和業務發展趨勢。
      3）高性能—醫院網絡性能是醫院整個網絡良好運行的基礎，設計中必須保障網絡及設備的高吞吐能力，保證各種信息（數據、語音、圖象）的高質量傳輸，才能使網絡不成為一眼業務開展的瓶頸。
      4）標準開放性--支持國際上通用標準的網絡協議（如IP）、國際標準的大型的動態路由協議等開放協議，有利于以保證與其它網絡(如公共數據網、金融網絡、外聯機構其它網絡)之間的平滑連接互通，以及將來網絡的擴展。
      5）靈活性及可擴展性--根據未來業務的增長和變化，網絡可以平滑地擴充和升級，減少最大程度的減少對網絡架構和現有設備的調整。
      6）可管理性--對網絡實行集中監測、分權管理，并統一分配帶寬資源。選用先進的網絡管理平臺，具有對設備、端口等的管理、流量統計分析功能以及可提供故障自動報警。
      7）安全性--制訂統一的骨干網安全策略，整體考慮網絡平臺的安全性。
      8）保護現有投資--在保證網絡整體性能的前提下，充分利用現有的網絡設備或做必要的升級，用作骨干網外聯的接入設備。
三、醫院設計方案：
      在方案設計中，要充分考慮網絡的高性能，高安全、高可靠設計。
中心局域網設計時應注意以下幾方面：
      1、高可靠性：核心交換機與匯聚交換機采用雙鏈路連接，實現鏈路冗余；核心交換機之間可采用千兆以太網技術互連，為數據報文提供無阻塞交換通道。
      2、技術的先進性：局域網設備價格便宜，技術發展快,在建設中可適當超前。
      3、業務盡量隔離：不同業務控制主要通過運行不同的業務系統在不同核心交換機，這樣不會影響醫院的骨干網絡的穩定性和安全性。
      醫院網絡同時承載業務和HIS數據，所有交易業務都要經核心交換機處理，建議核心交換機以兩臺華為3Com公司H3C S9508萬兆核心交換機為業務系統核心交換機，滿足大容量、高性能、高可靠、高安全及網絡擴展的要求。
2臺核心骨干交換機之間使用2條千兆高速鏈路互聯，之間運行VRRP熱備份路由協議，兩臺S9508可以虛擬一臺路由設備，為接入的用戶提供缺省網關的冗余，即這兩臺設備可以互為備份工作。一臺主用，另一臺備份，當主用設備發生故障或上行鏈路故障時，備用設備可以馬上接替主用設備工作，達到設備冗余的目的。并且可以對不同VLAN設置不同的S9508進行主備用工作，達到負載均衡的目的。保障核心節點的高可靠性。數據大集中后整個系統將承載多個業務系統，不同的業務對網絡的帶寬、時延等要求也不同，這就要求核心交換設備業務與性能并重。S9508采用功能強大的ASIC芯片實現MPLS、QOS的分布式線速處理，從而在為用戶提供有保障的業務特性的同時保障數據報文的線速轉發。
      匯聚交換機采用S7503，接入交換機采用S3600，它們可以通過IRF技術構成一個邏輯設備，構成鏈路聚合，增加帶寬的同時，也提高了網絡的可靠性。
      3.1. 網絡邊界防御
在網絡出口的邊界處部署SecPath防火墻和TippingPoint IPS，通過它們的聯動提高網絡邊界的安全。SecPath防火墻是L3-L4的安全防御設備，TippingPoint IPS是L7層上進行防御的“防火墻”，IPS是“深度檢測防火墻”，是“內置了IDS功能”的防火墻。防火墻只能解決20％的安全威脅問題，而IPS可以解決80％的安全問題
      通過在企業Internet出口部署TippingPoint IPS，可以有效的抵御來自外網的DDOS拒絕服務攻擊、病毒攻擊和黑客入侵，保護公司路由器、交換機、防火墻和DNS 服務器等基礎設施。
      但是上述部署方案，必須有三個關鍵技術做支撐，才能是真正的有效。這三項技術分別是：精確的攻擊檢測技術，高性能硬件加速技術和透明的部署技術。
      首先，在精確檢測技術上，TippingPoint系列產品集成了華為3Com特有的FIRST引擎（Full Inspection with Rigorous State Test，包含精確狀態的全面檢測）。該引擎可以恢復數據的完整信息，分析報文的五元組、會話狀態、時間特性和應用負荷等，并根據綜合分析結果進行判斷，從而有效地降低漏報率和誤報率。對于最耗時的內容搜索部分，可以配置高性能的CIE內容搜索加速卡，在不降低檢測準確率的基礎上大大提高了性能，另外華為3Com專業的安全隊伍負責維護攻擊簽名的更新，這些簽名可以通過華為3Com安全管理中心實施部署到各個IPS設備上去，給IPS設備打上數字疫苗，使用戶享受實時安全。
      高性能硬件加速技術上，TippingPoint IPS采用ASIC和NP結合的技術完成報文的過濾和轉發。專門設計的ASIC芯片可以以硬件流水線的方式并行處理流重組、流分類和流整形；而NP則用來完成更深層次的報文解析和特征匹配。
      3.2. 邊界防御
      在數據中心與核心網絡的邊界處部署SecPath防火墻和TippingPoint IPS，通過在核心服務器區域前面部署TippingPoint IPS，可以有效的抵御來自內網用戶針對服務器的應用層攻擊，保證核心業務的正常運行和數據安全。