一、概述

　　多物理鏈路融合的本質(zhì)在于數(shù)據(jù)互聯(lián)、互通、物理鏈路使用效率等，而物理鏈路恰為各類信息系統(tǒng)及智能應用的基礎承載網(wǎng)絡，所以物理鏈路設計、建設的方式，決定著網(wǎng)絡使用效率，因此醫(yī)院在弱電工程期間，要超前規(guī)劃未來各類應用及數(shù)據(jù)交換需求，在把醫(yī)院內(nèi)部業(yè)務數(shù)字網(wǎng)、外部Internet網(wǎng)絡、語音電話網(wǎng)、視頻監(jiān)控網(wǎng)、電視娛樂網(wǎng)等網(wǎng)絡子系統(tǒng)所需要的物理承載鏈路，在充分分析各個子網(wǎng)的使用時點、帶寬要求、技術難點等要件基礎上，進行設計整合，構建統(tǒng)一、安全的物理鏈路，從而提高網(wǎng)絡使用效率及節(jié)約投資成本，并為未來各類型智能化應用奠定基礎。

　　二、傳統(tǒng)醫(yī)院信息化建設現(xiàn)狀

　　囿于早期技術能力、投資規(guī)模以及醫(yī)院管理人員對信息技術認知的局限性等限制條件，在構建院內(nèi)各類子網(wǎng)時，嚴格區(qū)分網(wǎng)絡的使用類型，如數(shù)據(jù)內(nèi)網(wǎng)、數(shù)據(jù)外網(wǎng)，兩張網(wǎng)絡分開建設，獨立運行;電話語音網(wǎng)采用傳統(tǒng)大對數(shù)電纜作為骨干，通過三類或五類雙絞線纜連接到桌面，提供話音信號的傳輸;電視娛樂網(wǎng)通過同軸電纜組網(wǎng)，利用信號放大器傳輸電視信號;而視頻監(jiān)控亦通過同軸電纜組網(wǎng)，利用光端機來連接前端各個攝像機。

　　這些子網(wǎng)均獨立構建，隨著各項技術的成熟及發(fā)展，傳統(tǒng)醫(yī)院信息化構建方式一些弊端也逐漸顯現(xiàn)：

　　·造成由于基礎物理鏈路建設方式導致信息共享困難;

　　·信息數(shù)字資源存儲分散，無法實現(xiàn)集約化效用;

　　各類應用子系統(tǒng)繁多、獨立，增加了未來集成管理與維護難度;

　　特別是，醫(yī)院信息部門中既懂信息技術又懂醫(yī)學與醫(yī)院管理的復合型人才十分缺乏，因此在更新院內(nèi)網(wǎng)絡系統(tǒng)或是重建醫(yī)院網(wǎng)絡系統(tǒng)時，往往不會考慮使用新的技術來融合醫(yī)院各類子網(wǎng)。即使在集成商或設備廠商專業(yè)人員提出網(wǎng)絡融合建設建議時，相關管理者由于顧慮到網(wǎng)絡融合后帶來的未知風險，以及在技術可行性與網(wǎng)絡安全等方面存在疑慮，而拒絕采用網(wǎng)絡融合方案。

　　三、多物理鏈路融合優(yōu)勢

　　醫(yī)院采用多物理鏈路融合方案，實現(xiàn)以一種單一網(wǎng)絡形式，提供語音、數(shù)據(jù)和視頻監(jiān)控、電視娛樂等多種數(shù)據(jù)傳輸服務。在降低整體網(wǎng)絡建設投入成本的前提下，便捷了網(wǎng)絡管理及提供極佳服務體驗，還將提高醫(yī)院各系統(tǒng)的協(xié)作能力與全院網(wǎng)絡使用率。網(wǎng)絡拓撲系統(tǒng)圖如下：

　　圖1：海南省腫瘤醫(yī)院網(wǎng)絡示意圖

　　以海南省腫瘤醫(yī)院多網(wǎng)融合建設方案為例，介紹醫(yī)院通過構建一張數(shù)據(jù)網(wǎng)絡來實現(xiàn)數(shù)據(jù)內(nèi)外網(wǎng)絡、IP語音、安防系統(tǒng)、電視娛樂、手術示教、高清視頻會議、子母鐘、信息發(fā)布等眾多子系統(tǒng)互通融合務實，并通過VLAN(虛擬局域網(wǎng))技術實現(xiàn)各子系統(tǒng)的安全獨立運行， 充分發(fā)揮多網(wǎng)融合的技術優(yōu)勢。

　　1、提高全網(wǎng)使用效率

　　按照傳統(tǒng)弱電工程建設的方式，不但造成大量的工程投資浪費，也會造成網(wǎng)絡設備、設施及帶寬的浪費，因此，海南省腫瘤醫(yī)院統(tǒng)一物理鏈路設計骨干帶寬為40G，并對網(wǎng)絡帶寬使用及交換機進行實時監(jiān)控，預設閥值報警，以保證全網(wǎng)高效而穩(wěn)定的運行，同時建立全網(wǎng)安全方案，防治網(wǎng)絡某端口被利用而造成整個網(wǎng)絡的擾動，在流量控制方面實現(xiàn)對每臺交換機的實時監(jiān)控，并做到端口級別。

　　表1：各系統(tǒng)分時段占用帶寬統(tǒng)計表

　　注：各子網(wǎng)運行占用帶寬具時段特性，據(jù)統(tǒng)計電視娛樂所占帶寬高峰期為晚上7:00到晚上10:00，醫(yī)療業(yè)務網(wǎng)高峰期為上午7:00到下午3:00，安防系統(tǒng)占用帶寬穩(wěn)定，按各系統(tǒng)同時達到數(shù)據(jù)峰值(一般不可能)約占總帶寬的50%，具體統(tǒng)計見上表所附數(shù)據(jù)為各類子系統(tǒng)滿負荷運轉所占帶寬，考慮各系統(tǒng)運行特性，總帶寬占用一般為25%左右。如各子系統(tǒng)獨立建設，網(wǎng)絡使用效率將更低。

　　2、節(jié)約投資額度

　　醫(yī)院弱電子系統(tǒng)眾多，共用基礎網(wǎng)絡設備及綜合布線的環(huán)境后，將極大的提高醫(yī)院網(wǎng)絡的投資效益性。以我院為例不管安防系統(tǒng)、IP語音系統(tǒng)還是IPTV系統(tǒng)，采用多物理鏈路融合技術后，比傳統(tǒng)方案節(jié)省大量預算，即節(jié)約了建設初期的線纜、橋架、施工成本，同時在管線工程施工中避免與水、電、空調(diào)等專業(yè)擠占有限的空間，也節(jié)省了交換資源以及供電資源，因為交換機全部選擇PoE供電，在后期運營管理過程中節(jié)約大量的人力資源以及能源消耗。

　　3、提高各子系統(tǒng)互通，減少信息孤島

　　各子系統(tǒng)分開建設，易在物理層面上產(chǎn)生信息孤島現(xiàn)象。如醫(yī)院內(nèi)網(wǎng)調(diào)閱患者相關信息，需要與外界交流時，不得不更換電腦或重啟進入外網(wǎng)界面，導致網(wǎng)絡僵化，較差用戶體驗;采用內(nèi)外網(wǎng)合一，通過防火墻、殺毒軟件以及一些管理策略，除了提高用戶體驗外，并沒有增加更大的風險，所以，基于統(tǒng)一物理鏈路的各子網(wǎng)系統(tǒng)的互聯(lián)互通實現(xiàn)起來更加便捷。

　　4、提高系統(tǒng)可擴展性

　　基于TCI/IP的統(tǒng)一物理鏈路架構，可以承載各子系統(tǒng)的各類應用，也可在此基礎上根據(jù)醫(yī)院信息化建設發(fā)展規(guī)劃，分階段采購、配置各類智能化應用，以傳統(tǒng)電話系統(tǒng)為例，由于該系統(tǒng)功能單一落后，無法滿足未來視頻通訊與移動通訊等互聯(lián)需求，因此造成系統(tǒng)投入產(chǎn)出比極低，多網(wǎng)融合后，即可在該物理鏈路上增加各類智能應用，也可以為未來預留足夠擴展空間，還能節(jié)省大量的建設資金。

　　5、方便管理維護

　　按照傳統(tǒng)弱電智能化的建設方法，醫(yī)院建成后將擁有眾多的業(yè)務網(wǎng)，不僅前期建設施工量大，也給后期的管理維護帶來了諸多不便。如各業(yè)務網(wǎng)分開建設，所需維護的設備量只增不減，且需要的備品、配件種類與數(shù)量都會有所增加，而當多網(wǎng)融合后，由于網(wǎng)絡整體架構健壯、穩(wěn)定，故障率將大大降低，即使出現(xiàn)故障時，通過網(wǎng)絡運維管理系統(tǒng)，可以快速定位、排查故障，同時建立管理體系，保證規(guī)范操作、規(guī)范使用系統(tǒng)，提高網(wǎng)絡整體穩(wěn)定性。

　　四、保障多物理鏈路融合安全的幾類技術

　　1、劃分安全域

　　網(wǎng)絡架構布局決定網(wǎng)絡運行狀態(tài)，而不是網(wǎng)絡承載數(shù)據(jù)類型。因此，各類子系統(tǒng)，可通過設置相同或相似的安全保護需求和保護策略，劃定特定的安全域。而在不同的安全域之間可按需設置防火墻以進行安全保護。而在設計網(wǎng)絡核心層、匯聚層時，可考慮采用全線性速率交換產(chǎn)品，通過估算各子系統(tǒng)轉發(fā)流量的大小與特征，得出網(wǎng)絡所需的性能指標。一般而言，高峰期網(wǎng)絡使用率以不超過網(wǎng)絡設計容量的70%為界，而高峰期使用量達到網(wǎng)絡設計容量的50%時，可實現(xiàn)最佳投資保護。

　　除了在網(wǎng)絡前期規(guī)劃設計時要充分考慮各子網(wǎng)系統(tǒng)對網(wǎng)絡的使用需求及未來智能化擴展外，網(wǎng)絡運行安全管理成為關鍵要素;事實上，不管采用傳統(tǒng)技術，還是基于全IP網(wǎng)絡構架，安全隱患都會存在。所以網(wǎng)絡規(guī)劃設計時需充分考慮安全因素，做好防護管理工作。以目前比較典型的三層局域網(wǎng)架構為例，除了通過防火墻和IDS等措施來保護邊界安全外，還應針對接入層、匯聚層、核心層、網(wǎng)絡邊界等各層實施對應的安全解決方案，如在接入層通過交換機訪問控制列表、生成樹協(xié)議特性(Root Guard、Etherchannel Guard、Loop Guard等)、動態(tài)主機配置協(xié)議(DHCP Snooping)等安全措施來保證網(wǎng)絡的安全。同理，在各層中均可針對各自協(xié)議的特征來制定對應的安全防護方案。

　　對于大型三甲醫(yī)院而言，網(wǎng)絡融合后規(guī)模將更大、數(shù)據(jù)流量的轉發(fā)也將變得更加復雜，這些確實增加了部分網(wǎng)絡安全隱患。但通過可靠的網(wǎng)絡安全設備，以及有效的操作管理方式與靈活的安全架構，網(wǎng)絡安全問題是可以得到保障的。其中操作管理方式可制定相關網(wǎng)絡使用規(guī)則，并對醫(yī)院員工進行網(wǎng)絡安全基礎知識培訓等活動來實施。而網(wǎng)絡系統(tǒng)安全架構，則是靈活多變的，即可分層部署網(wǎng)絡安全策略，亦可集中部署。但就目前的趨勢而言，分層部署越來越受到行業(yè)用戶的認可。下面簡單介紹一些多網(wǎng)融合后可能會使用到的網(wǎng)絡安全技術或設備。

　　2、虛擬化技術

　　對于內(nèi)外網(wǎng)融合而言，最擔心的可能就是當某臺PC瀏覽外網(wǎng)感染病毒后，危及到內(nèi)網(wǎng)安全，因此可通過虛擬機技術，在某些即須連接互聯(lián)網(wǎng)、又須瀏覽內(nèi)網(wǎng)的PC上虛擬出一套操作系統(tǒng)，限定使用者只能使用虛擬機來連接外網(wǎng)。即使在訪問外網(wǎng)時中毒，也不會影響到內(nèi)部網(wǎng)絡。

　　3、訪問控制技術

　　醫(yī)院信息點位眾多，加之在病區(qū)還部署了無線設備，因此對網(wǎng)絡的訪問控制將變得格外重要，可通過ACL(訪問控制列表)、NAC(網(wǎng)絡準入控制)、身份認證等多種訪問控制技術來保障網(wǎng)絡的安全。

　　4、防火墻、IPS(入侵防護系統(tǒng))

　　這兩種設備一般部署在網(wǎng)絡邊緣(即外網(wǎng)與內(nèi)網(wǎng)的連接處)或是在內(nèi)網(wǎng)與數(shù)據(jù)中心連接處。其中，防火墻可通過控制網(wǎng)絡訪問的方式實現(xiàn)安全策略;而IPS能夠?qū)崟r地精確檢測、分析、并緩解惡意流量，應對形形色色的網(wǎng)絡入侵和攻擊。同時，據(jù)Gartner研究“配置和管理多個供應商提供的防火墻，比配置和管理一個供應商大”，因此應避免使用多個供應商提供的防火墻，并根據(jù)安全技術發(fā)展，時時提升網(wǎng)絡安全策略。

　　上述安全技術如分配至網(wǎng)絡中，可能處于網(wǎng)絡的不同層次，下圖將目前部分主流網(wǎng)絡安全技術按網(wǎng)絡位置進行了整理，以供參考：

　　圖2：保障多物理鏈路融合安全的幾類技術

　　五、多物理鏈路融合帶來的挑戰(zhàn)

　　1、管理上的挑戰(zhàn)

　　多物理鏈路融合的建設，勢必會給醫(yī)院原有的管理體制帶來變革，這需要醫(yī)院管理層與信息部門共同完成新系統(tǒng)下的職、責、權分配，建立新的系統(tǒng)管理秩序。當然，這一變革對院內(nèi)信息技術人員綜合素質(zhì)也提出了更高要求，所以信息技術崗位需建立院內(nèi)院外培訓機制及持證上崗制度，以解決未來網(wǎng)絡運行當中各種故障及運維問題。

　　2、維護與故障排除的挑戰(zhàn)

　　多物理鏈路融合降低運維整體成本，但故障排查的復雜度可能不減而增，通過集中網(wǎng)管智能管理平臺，實現(xiàn)快速定位、排查故障，通過管理策略設定、QoS等措施提高整體穩(wěn)定性，但是不管怎么樣，在保證系統(tǒng)運行的穩(wěn)定性、安全性等方面需要在具體工作中持續(xù)體現(xiàn)。

　　3、網(wǎng)絡監(jiān)管

　　對整體網(wǎng)絡進行有效監(jiān)管，流量控制做到端口級別，同時考慮逆向要求，比如安防網(wǎng)的某個網(wǎng)口被人利用，能立刻察覺，并自動實施策略管制，從而避免對整體網(wǎng)絡造成擾動。

　　六、結論

　　合理的多物理鏈路融合設計、建設將極大的提高醫(yī)院數(shù)字化水平，通過整體規(guī)劃、全面集成、分步實施等步驟，保證了多網(wǎng)融合建設的可行性與可控性，這為建立完整而高效的數(shù)字化醫(yī)院體系打下了堅實的基礎。