一、 医院信息化网络的发展
随着医药卫生体制改革的深入及医院服务模式的改变,医院信息系统(HIS)已成为现代化医院的基础,是医疗体制改革顺利实施的基本保障。随着医院信息化建设进程的加速,医院信息系统正逐步实现从以经济财务为主线的管理信息系统(HMIS),向以病人为中心的临床信息系统(CIS)拓展,实现与医保系统的双向交互,利用远程医疗技术,为病人提供多种形式的医疗服务。
《全国卫生信息化发展规划纲要(2003-2010)》提出:到2008年底,省级医院及中心城市医院应全部实现医院信息网络化管理,县级医院及社区医疗机构应有60%实现医院信息网络化管理。
1.医院信息化建设存在的问题
随着HMIS应用范围在不断扩大,以病人为中心的临床信息系统如医生工作站系统、电子病历系统、LIS、PACS等的开发应用正在逐步加深,基于网络环境下的其它应用如办公自动化系统、数字图书馆等也相继展开。原有的信息系统平台,无论是网络带宽、网络设备性能,还是服务器性能以及存储体系等,都严重影响了医生工作站、护士工作站、电子病历系统、LIS、PACS等业务开展。很多医院原有网络系统设计上存在多个单点故障,而任何一个单点故障都会造成整个网络系统瘫痪,使医院出现大面积的业务停滞,医院的声誉和收入将受到巨大损失。因此,建设高安全、高可靠、高性能的数字化医院网络,势在必行。
2.“安全、管理和应用”是医院信息化建设的三个支点
医院信息化网络是医院信息化应用系统的承载平台,在辅助医院提高工作效率和服务病人的同时无疑这些新的应用对网络的性能、可靠性、安全性、运维能力等提出了更高的要求;随着网络应用的深入和医院业务对网络依赖性的增加,首先网络安全成为影响网络深入应用的一个重大障碍。医院信息化网络的安全特性,就好比一个人的免疫系统一样,有了强健的免疫系统,才能抵御来自外部或内部的病毒的入侵。
另一方面网络的连通性使得越来越多的计算机和服务器被整合到了一起,不同的厂商、产品形成异构的网络环境,而信息流量成几何级数增长,网络系统的迅速膨胀使得传统手工管理的模式受到严峻的挑战,因此网络综合平台管理也成为网络走向深层次应用的障碍之一。医院信息化网络的管理特性,就好比一个人的中枢神经系统一样,有了强健的体魄,没有有效的中枢神经系统的管理,这个人就是植物人。对于网络而言,硬件建设再先进,没有相应的管理系统,也是极其脆弱的系统,禁不起任何风吹雨打。
建设网络,是为了应用,网络是根,应用就是大树,有了安全可靠、性能卓越的网络,才能为医院应用系统正常运行打下良好的基础。
二、捷普公司数字化医院网络解决方案
1.坚持“应用为本”的建设思路
作为领先的网络安全产品企业和计算机信息系统集成服务提供商,西安交大捷普公司在医院信息化领域将目光聚焦于除信息应用系统之外其他所有的子系统:局域网、用户管理系统、网络管理系统以及安全控制系统。
与一般系统集成服务提供商不同的是,西安交大捷普公司的着眼点不仅仅是如何让网络更加“好用”,而是进一步站在网络安全的角度上,考虑如何更好,更安全的“用好”网络,使得医院投资的网络能够取得更好的效果,发挥更大的作用。
由于网络是为应用而建,因此,捷普公司直接为应用设计网络。虽然捷普公司不提供信息应用系统,但是,捷普公司追求的是终端、网络和应用系统供应商的三赢。这就是捷普公司的数字化医院网络设计理念。
2.强健的体魄——电信级网络解决方案
作为医院信息化所有应用的基础承载,网络必须能够有效的传送与转发各种应用数据,而这些应用数据可能对网络需求差异很大,因此综合应用承载网要能够像海纳百川般满足所有应用对网络的需求。
QoS
对于各种应用来说,网络是否满足要求关键就是要看网络能否满足应用所需要的服务质量QoS。捷普公司的网络解决方案主要从以下三个方面满足各种应用所需的QoS。
1、 基于网络节点的QoS保障机制
捷普下一代智能防火墙具有完备的QoS保障机制,采用DiffServ机制,拥有丰富的队列调度和拥塞控制机制,充分保障锁定节点不同的QoS要求。
2、 基于深度业务感知的DPI技术
捷普入侵防御系统的DPI(深度报文检测)技术能够配合服务器,感知流量中的VOIP、数据、多媒体等,动态调整带宽以及QoS,为用户提供最优化的网络资源。配合网管系统和策略服务器,能够充分考虑和利用企业网带宽资源,实现网络智能QoS。
3、基于特征的动态应用流量限制机制
捷普公司通过多年对网络应用的研究,捷普下一代智能防火墙和上网行为管理产品均可针对P2P,网络流媒体,网络游戏等网络应用流量进行动态识别,进行有效的流量限制来实现正常数据业务的QOS。
策略路由和智能NAT
对于医院信息化网络出口路由器,往往会遇到多出口路由以及NAT。捷普下一代智能防火墙产品,可以根据目的地址、源和目的端口号等策略路由灵活选择路由出口。并且支持全面的NAT功能。同时,还提供了基于RIP,OSPF等动态路由学习机制,满足复杂网络环境下,路由信息的动态学习。
这样,可以有效提高业务转发的效率,增加业务转发路径选择的合理性。
3.健全的免疫——网络安全解决方案
目前对医疗行业提供的网络安全技术解决方案中,以防火墙(FW)+入侵检测系统(IPS)+上网行为管理(AC) 为主流选择。可实现从网络层到应用层的全面防护。
DPI深度报文检测技术
捷普入侵防御系统支持内置DPI基于流检测方式,例如可以针对P2P流量选择处理方式:丢弃、流限速或者不对流量处理等。采用DPI技术可以防范越来越多的基于内容的攻击。
CPU复用技术和多线程动态负载技术
捷普入侵防御系统支持CPU复用技术以及多线程动态负载技术,CPU复用技术和多线程负载技术保证网络设备在异常网络环境(恶意攻击或病毒泛滥)中可管理可控制。
CPU复用处理:捷普公司设备采用先进的多核处理芯片技术,当处理大流量报文和复杂业务占用大量核心处理资源时,依然能够保证设备可管理可控制。从而可以实现:
·优先保证关键控制报文的处理。根据控制报文的关键程度划分处理优先级,在资源竞争的情况下,优先保证关键业务;
·提升了设备的抗攻击能力。即使设备在异常的网络环境中(恶意攻击)运行,也可以保证CPU利用率在一定范围之下,一般在30%以下;
·可以通过命令调整CPU保护参数,针对特殊网络环境进行优化。
精确病毒检测
捷普入侵防御系统采用ACL和病毒检测相结合的技术,能有效控制网络病毒传播范围。 对于网络病毒特殊的TCP/UDP端口号,通过ACL禁止转发,有效限制病毒传播的范围;对于用户所发出的DNS解析报文,交换机可识别出WWW域名,可以禁止用户对某些Web站点的访问;对于特定的用户VLAN,可以限制特定用户的网络访问范围。
双漏桶过滤技术
捷普入侵防御系统支持双漏桶过滤技术,能有效区分病毒流和正常用户业务流,从而采用不同的过滤策略,保障用户正常业务流量的顺利通行。
4.敏感的神经——远程安全接入的应用保护
捷普下一代智能防火墙提供多种VPN接入技术,可通过SSLVPN建立远程VPN链接后,对医院OA系统在实际应用方面真正实现了“集中化”管理,采用最少的互联投资成本,实现了在不影响现有系统、网络架构基础上的安全、方便、快捷地构建远程移动办公系统的目标。
经过实践证明,出差在外的员工完全可以基于互联网远程SSL VPN登录医院的内网系统,使信息在OA系统中实时反映出来, 医院管理层人员就能够及时获知出差人员工作进展情况。 医院各下属分支机构与总部像在同个地方办公一样,实时共享医院内网数据信息,真正实现了无纸化异地全时段办公。一方面提高了信息系统应急处理能力,使医院管理更加统一规范;另一方面也保证了OA信息流的实时更新,大大提高了工作效率及科室协、调进度的能力,促进了数字化医院建设,实现了“在正确的时间、正确的地点,为正确的对象提供正确的医疗服务。
三、结束语
捷普公司数字化医院网络安全整体解决方案具有“强健的体魄、健全的免疫、敏感的神经以及智能的中枢”,提供了一个可管理、可信任的医院信息化网络蓝图,方案以“安全、管理和应用”为支点,支持多业务融合,实现数据(DATA)、语音(VOIP)、视频(VOD)的承载。可以对Email、FTP、网页浏览、视频会议、视频广播、视频点播、VoIP等各种不同的应用类型的数据流分配各自所需的网络带宽,保证各种实时多媒体应用的服务质量(QoS)。较好地解决了网络性能、 稳定性、数据安全可靠性等瓶颈问题。
