随着信息技术的快速发展,越来越多的中国医院正加速实施基于基础信息化网络平台、HIS业务平台的整体建设,以提高医院的服务水平和核心竞争力,从最初的“以财务为中心”的医院信息系统向“以病人为中心”的医院信息系统转变,医院信息化建设已经取得了显著成效。信息化不仅提升了医生的工作效率,使医生有更多的时间为患者服务,也提高了患者满意度,而且无形之中还树立起医院的科技形象品牌,医院信息化正越来越成为强化医院活力与竞争力的关键行为,医疗业务应用与基础网络平台的逐步融合正成为中国医院,尤其是大中型医院业务发展前进的新的驱动力。
随着医院信息化的不断深入,医院OA系统、MIS系统、HIS系统、PACS等系统相互融合,中国医院的信息化建设也已经从简单的数据业务应用逐步发展到数据、语音、视讯等多业务统一承载,而传统医院网络已经无法满足新业务的需求,主要问题包括:
1. 现有网络资源很难通过灵活有效的策略调整实现业务与网络的充分融合,例如早期医院网络已经很难支撑门诊系统对可靠性、PACS系统对高性能的要求,医院用户对新业务部署的体验感不佳,新业务的部署面临巨大管理压力;
2. 网络平台缺乏智能性,无业务识别能力,不能对关键业务应用提供端到端的高质量数据传输的有效保证,医院通常采用的设备升级、链路带宽升级等简单方式使得网络建设、运营、管理成本大幅度上升,而网络资源的利用率却在大幅度下降;
3. 医院网络中的安全设备组件多且庞杂,但各组件孤军作战,传输安全、网络安全、数据安全、业务安全层面相互分离,难以有效兼顾,医院的安全漏洞处处存在。随着电子病例应用越来越广泛,一旦电子病例出现泄密或者被恶意篡改,都会给医院带来严重的医患纠纷甚至法律纠纷,网络安全已经成为医院新一代网络建设的关注重点;
4. 网络的管理控制功能薄弱,单纯设备级的网络管理已经不能满足医院用户对业务可靠性要求,业务的可靠性除了要求网络稳定,还依赖于服务器可靠和数据存储可靠等多种技术组合。
数字化医院多业务解决方案
针对上述医院数字化的需求,如何创建一个灵活、高效、集成的业务融合网络架构,已引起医疗信息化专家的关注。作为医疗信息化的领导者和创新者,H3C在对医疗行业信息化充分理解的基础上,针对医院的网络建设需求及现状提出数字化医院多业务信息平台的建设模式。
数字化医院多业务平台主要针对传统IP网络的可控性低、网络资源自动适应性差、网络缺乏立体安全性而提出的,其目标是以医院业务应用为主体,以不断发展完善的智能网络技术、安全技术和灵活的资源调度为基础,以灵活实用的管理控制为手段,为医院用户提供端到端品质保证的融合数据、语音、视频等多业务的网络实体。
数字化医院多业务解决方案针对门诊、住院、医学影像检查系统等业务的不同要求,结合了WLAN技术、IRF智能扩展技术、EAD端点准入、IPS、IP存储等多种技术,以为医院客户构建一个安全可靠、多业务承载、易扩展、易管理的网络基础平台为最终目标。
坚不可摧、轻松承载―IRF技术构建高可靠实时门诊网络平台
门诊是医院业务最繁忙、最关键的部门之一,众多的患者包括急重症病人都在门诊等待医生的及时诊断,患者从进入医院挂号到诊断、检查、取药离开医院涉及医院多个业务系统的相互配合。门诊众多系统中任何一个环节出现问题,都会直接导致医院大规模的瘫痪,不仅给医院造成直接经济损失,更有可能耽误对患者的最佳诊疗时机,对病人生命造成威胁。门诊业务系统的可靠性要求高、并发性、实时性和突发性强等特点对门诊的网络也提出了电信级的高可靠要求。
除了选择高可靠核心设备,大型医院还普遍在网络中心采用了双机冗余的方式以进一步提升整个网络可靠性,这样任意单核心设备故障或者链路故障都不会影响网络的正常运行。正是考虑到门诊系统对网络的高可靠要求,H3C也强烈建议医院用户在门诊网络中同样采用双归属的高可靠拓扑结构,但双核心并不意味着医院要投入双倍的资金去构建门诊网络,H3C的IRF智能弹性框架技术能在提升网络性能、可靠性的同时,还能降低网络建设成本和维护成本,并为将来的平滑扩展奠定良好基础。
利用IRF智能堆叠技术,可实现多达8台H3C交换机设备的统一管理,与传统堆叠技术不同,IRF可实现堆叠设备之间的三层路由信息共享,支持跨设备的链路聚和技术,在门诊网络中,各楼层的接入交换机通过堆叠变成逻辑上的一台设备,可将传统的跨设备双千兆链路的主备工作模式转变为跨设备双千兆链路捆绑模式,这不仅提高了网络的接入带宽,而且提升了网络可靠性。
多业务接入提升工作效率、立体网络安全保数据平安―住院系统解决方案
住院大楼中涉及的CIS临床信息系统是目前医院流程最复杂、信息量最大的地方,一个中等规模的三甲医院PACS系统平均年新增数据量在3T以上,如何保障这些大量数据的安全存储、有效利用?如何保护HIS系统患者电子病历信息不被泄密?如何在流程复杂的住院系统中提升工作效率,降低患者等待时间,成为住院系统信息化建设中医院最为关心的内容。H3C住院系统解决方案覆盖WLAN移动查房、PACS系统的IP存储/千兆桌面接入、ICU病房/传染病房的IP视频监控、客户关怀/移动办公IP电话、以及网络安全多业务流程解决方案。
1. 无线接入、无限关怀-H3C WLAN移动查房解决方案
按照医院规定,医生医嘱要在指定时间内及时下发,在传统工作模式下,医生需要随身携带一大堆病历本了解不同患者病情,并且以手写方式记录医嘱信息,等查房完全结束后,再录入到电脑中交给护士去执行,医生要花大量时间在文字工作上,而另一个直接后果是患者只有等待查房结束才能得到及时治疗。
为解决这个问题,在住院大楼中引入WLAN无线系统,越来越成为一种潮流,通过部署WLAN,医生只需手持平板电脑或者PDA即可在病床前实时调阅病人各种信息,而下达的医嘱信息也能通过无线方式及时传递给护士去执行,护士在执行医嘱的过程中,如果发生异常情况,还可通过无线的方式及时通知医生,医生可对医嘱进行调整,WLAN的使用将最大程度的降低患者等待时间,提升患者满意度,提升医生查房工作效率。
与常用的会议室WLAN的静态接入不同,由于医生在多个病房间移动时需要保障数据传递不中断,这涉及到跨AP漫游的问题,H3C的无线接入交换机在解决漫游接入方面具有天然的优势。传统无线网络中,AP负责802.1x认证终结、动态密钥的产生、漫游切换等全部工作,只有高端的多业务AP,即“FAT AP”才能担负起责任。引入无线交换机后,这些工作由交换机来完成,使得AP的功能需求更低,可以选择更低档次的AP设备,即“FIT AP”,并且原来需要人工参与设计的频率规划、无线功率调整等工作也可由无线交换机来自动完成,网络规模越大,无线交换机的优势就越明显。
同时,无线管理WSM组件可以和AP、无线交换机进行良好的配合,确保只有合法的用户才能接入到无线网络中来,消除医院对无线接入安全的担心。
2. 智能化、立体化医院信息系统安全解决方案
医院信息化程度越高,医院对信息安全的依赖也越明显,一旦出现安全问题,往往会给医院的运营造成致命打击,而传统医院采用的多个安全产品堆彻的方案,由于缺乏统一安全策略、安全设备无法实现信息共享,不能相互配合,安全漏洞无法弥补。
H3C针对医院不同区域的安全防护需求,提供了局域网端点准入防御解决方案、网络边界检测抵御解决方案、数据中心检测抵御解决方案、医院分支机构安全接入解决方案,这些解决方案相互融合,多个安全产品之间通过统一的安全策略中心实现信息共享和联动,从而为医院提供全局的安全防护能力。
2.1防止病从口入―H3C EAD局域网端点准入防御解决方案
随着医院笔记本电脑应用越来越广泛,以及医院内、外网合一导致越来越多的固定计算机具备了Internet上网权限,如何防范非法计算机接入到医院网络中,如何防范合法计算机在安全状态不满足要求的情况接入到医院网络中,防止“病从口入”,保障终端计算机的安全是实现医院信息安全的首要前提。
H3C端点准入防御(EAD,Endpoint Admission Control)解决方案从网络终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施安全策略,严格控制终端用户的网络使用行为,可以有效的满足医院信息安全控制的需求,保证医院信息系统的安全运行。
医院用户在接入网络之前,必须要通过身份认证,要求用户输入用户名、密码信息,身份认证通过后,EAD客户端还会检查用户计算机的安全状态,包括计算机操作系统补丁安装是否合格、病毒库定义是否合格、是否启动防病毒软件、是否安装了非法软件、是否只启用符合其身份的应用软件……只有通过安全认证,计算机才能正常接入到网络中开始工作,安全状态检查只要有一条不能满足要求,该计算机将被安全隔离到隔离区,并在隔离区内自动安装系统补丁、防病毒软件、卸载非法软件等。
除了提供用户安全认证,EAD解决方案还可实现基于用户的权限管理,不同用户能访问的应用服务器各不相同,并可根据内网、外网划分为两大类用户,实现内网用户禁止访问Internet,而外网用户可以访问Internet,但不能访问HIS系统,部分用户,如院长、信息中心人员则同时具有内网、外网访问权限。
2.2 网络“B超”―H3C IPS医院网络边界检测抵御解决方案
由于业务的需要,医院网络有多个外部网络连接,例如Internet连接、卫生专网连接、社保系统连接等,医院网络与这些外部网络之间存在复杂的数据交互的需求,需要对这些不同网络之间的通信进行严格的检测、控制和隔离,保证网络数据流动的安全。
防火墙已经成为网络安全方案的关键设备,防火墙将网络划分成不同安全等级的网段,在网段边界放置防火墙,进行网段隔离和访问控制,很多医院考虑网络安全时都采购了防火墙产品,但随着信息技术发展到今天,单一的防火墙方案已经不能满足用户对安全的要求,主要原因包括:
越来越多的安全威胁来自用户网络内部,便携机的普及使得移动办公得到大量的普及,计算机终端不断的在企业内网和外网两个环境间进行漫游,很容易造成网络威胁从外网进入内网,从而在内网进行传播。另外由于VPN技术的普及,使得企业内网无限扩展,更加大了威胁进入内网的机会。由于防火墙以抵御外部攻击为主要目标,对于内部网络产生的安全问题,防范不足;
对于应用层攻击、复合攻击,防火墙力不从心。目前由各种蠕虫、病毒、应用层攻击技术和EMAIL、移动代码结合形成了复合攻击手段,以直接攻击企业核心服务器和应用为主,会给企业带来了重大损失; 同时随着企业内部电驴、BT等P2P应用和MSN、QQ等即时通信软件的普及,企业宝贵带宽资源被无关业务流量浪费,形成巨大的性能威胁。这些威胁大部分都能够穿透防火墙,防火墙基于TCP/IP 3层和4层的访问控制对于基于应用的攻击威胁无法识别。
对紧急发生的安全问题无法及时响应。越来越多的病毒和蠕虫基于网络来传播,有了网络这个介质,可以威胁传播速度很快,以SQL Slammer为例,10分钟内,SQL Slammer感染了全球90%的有漏洞的计算机。如果网络对于这些威胁不能识别,不能在其传播扩散的通路上进行阻截,纯粹依靠人工手动的打补丁、升级防病毒软件、在防火墙上设置ACL,根本无法抑制这些蠕虫病毒的大规模泛滥。
针对防火墙的以上不足,需要有新的安全设备与之配合,这就是IPS――入侵防御系统,IPS可以完成防火墙所不能提供的深度内容分析和攻击检测和防范的能力。
H3C的IPS产品自2002年发布以来,已迅速成为提供基于网络的入侵防御系统的领先厂商。入侵防御系统能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP攻击以及点到点应用滥用。通过深达第七层的流量侦测,入侵防御系统能够在发生损失之前阻断恶意流量。利用IPS提供的数字疫苗服务,入侵防御系统能得到及时的特征、漏洞过滤器、协议异常过滤器和统计异常过滤器更新从而主动地防御最新的攻击。
3. 从关注网络可靠转向关注业务可靠――H3C医院信息管理解决方案
早期网络设备厂商在为医院用户提供管理解决方案时,主要集中在网管软件能对全系列网络设备和设备互联链路的管理上,检查设备是否有故障,链路是否出现拥塞等。诚然,网络出现问题,医院的HIS系统肯定会出现问题,但保障HIS系统可靠运行的因素并不只涉及网络,还包括很多因素,例如服务器是否出现问题、存储系统是否出现问题等,只有对威胁HIS系统可靠运行的所有因素综合考虑,才能真正满足医院用户对HIS业务的高可靠性要求。
H3C的智能管理中心平台在提供传统网管软件的设备管理、拓扑管理、性能管理、故障管理等功能基础之上,还针对国内用户需求做了很多实用性功能开发。例如医院在持续信息化投入过程中,经常出现多厂家设备混合组网的情况,而单一厂商的网管软件无法对其他厂商设备进行管理,这给医院的网络故障定位带来很大困难,H3C IMC可轻松实现H3C、3Com以及其他厂商设备的统一管理。
医院网络环境中,除了要保证路由器、交换机这些关键网络设备能够正常运行,保证服务器的"健康"与否同样关键,只有承载核心业务系统的服务器能够正常运行,各种业务才能顺利开展。IMC除了能够实现对网络设备的管理外,还能监视服务器的CPU、内存、硬盘等资源的利用情况,保证服务器的正常运行,同时还支持对服务器上运行的各种关键业务进行监控,保证HIS、LIS、PACS各种业务的可用性,确保医院业务的正常开展。
IMC还能与H3C的用户认证平台、用户日志系统、IPS入侵防御系统等多种产品相互配合,提供更多实用功能,例如可为HIS关键业务预留网络带宽资源,记录医院用户的登录网络端口、登录时间、网络访问记录等,为后续的网络故障排除记录详细的原始资料。
数字化医院未来展望
医院数字化虽然面临业务流程复杂、缺乏统一标准等诸多问题,任重而道远,但医院数字化发展到今天,已经为提升医院核心竞争力,提升患者满意度做出了重大贡献,面对医院数字化、集成化、智能化、区域化的发展趋势,H3C立志于为医院用户提供一种多业务融合、智能可控、安全可靠、资源动态可控的高品质IP医院网络,使网络能更好的与医院业务相结合,并能伴随医院业务的不断发展,提供平滑演进的能力。