医院网络的设计2

目前信息化技术的迅速普及和广泛应用，各行各业人员利用网络媒体获得所需的资料和对外界的联系，需要与外界保持最高效的通讯与部门内的资源共享，信息化能够有效承担重复劳动并能加强协作，从而提高工作效率。为适应中小型医院网络建设的实际需要，提高与省政府、各个地市网络数据传输和共享、全面提升中小型医院工作质量，建设中小型医院计算机网络信息系统是非常必要且十分迫切的。本文论述了中小型医院的网络设计与管理，网络设计分为内网外网两部分。我们先开始网络的需求分析，接着进行网络设计，并进行综合布线设计，其中既有交换设备的选型也有服务器及操作系统的选型以及数据库的介绍，又有网络安全的管理措施，最后阐述了机房的装修包括UPS的设计与防雷接地的设计。网络的组建固然重要，但是要做到合理正确的应用网络，把网络资源优化到最好，网络管理是非常重要的组成部分，文中对中小型医院网络进行了详细的阐述。

关键词：中小型医院；网络建设；组建方案；网络安全

进入二十一世纪，全世界正在掀起全球信息化的浪潮，世界各国都把推进信息化进程，发展信息产业作为推动本国经济发展的新动力。信息化已是世界各国发展经济的共同选择，信息化程度已成为衡量一个国家和地区现代化水平的重要标志。随着信息时代的到来，计算机在各行各业得到了越来越广泛的应用。医院也同样面临着信息时代的巨大挑战，建设现代化的医院，信息管理的计算机化、网络化和数据高度共享化将是必不可少的条件。整个医院网络信息系统起到了辅助管理的职能，为领导决策提供科学的依据，可以随时了解门诊收入和在院应收款等数据指标，而这些在过去手工方式下几乎不可能实现。通过使用医院信息管理系统，规范了业务处理流程，堵塞了管理中的漏洞。全院信息通过计算机网络连接成一个整体，实现数据高度共享，降低管理成本，提高了管理数据的准确性和实时性。目前大多数医院，尤其是中小医院尚处在信息化发展的初级阶段，因此作为医疗体系信息化的立足之本，网络基础设施建设尤为重要。

本文要研讨的就是实现中小型医院网络的组建方案分析与设计。通过加深对网络信息系统和网络规划的认识，深入理解网络建设在医院中的重要应用，并结合国内外医院网络建设的新发展与以往前人的成功例子，从而提出一个医院网络建设的新策略，使得中小型医院的网络建设更安全经济，灵活扩展，轻松管理，有利于医院的长期发展。

一中小型医院信息化建设现状分析

1.中小型医院信息化建设中的问题

目前我国医院正在进行信息化建设的探索, 与大型三甲医院相比中小型医院的信息化建设相对滞后与缓慢, 其主要有以下3 个方面：

( 1 ) 医院领导( 一把手) 认识不足, 对信息化管理没有前瞻性, 上下思想不能统一；

管理的透明化造成对一些中层干部和他们的小群体的“局部利益”的侵犯, 或者因原有工作方式的改变带来的不适应, 势必使他们在思想上产生抵触情绪。这种错误思想、不良情绪将严重阻碍信息化建设的进行。

( 2 ) 医院的财力有限, 资金投入不足；

大医院有资金，信息化就会越建越好，而小医院没有资金，在信息化建设的过程中，就会越来越落后。中小型医院的院长往往由于受到赢利的压力,更愿意投资购买一些可以立即就有产生效益的医疗设备, 如CT 机、麻醉机等, 而不愿意在不能直接产生经济效益的信息系统上投入巨资。

( 3 ) 专业技术人才的缺乏。

对信息技术人员队伍建设要有开拓性认识, 在我国医院信息化过程中, 现在的信息化专业技术人才无论从数量上还是质量上, 都不能满足医院的需求。尤其是既懂IT、又懂医学以及医院管理的复合型人才更是凤毛麟角。中小型医院想要留住人才, 难上加难。

2.中小型医院信息化建设中的未来

中小型医院的IT建设，要比大医院难度小。但要下决心做，则需要医院有足够的动力。很多大医院虽然IT投入比较大，但是以前都是分步骤上系统，信息孤岛比较严重。现在要全部将所有系统整合到一起，或推翻以前的系统重新做，困难都很大。相比之下，中小型医院更加灵活，领导的执行力也更强，信息化更加容易被贯彻下去。

对于大多数人来说，生了小毛小病，他们情愿到社区医疗中心或乡镇卫生院去诊治；而生了大毛病，又都一窝蜂地涌到三甲医院。而对于中小型医院来说，在双重夹击下，还要解决医院的经营问题，这就需要医院采取一定的手段来突围。从IT应用入手，结合医院业务的需求，加大信息化上的投入，让信息系统真正发挥作用，所有业务会在上面用得很好。通过IT手段加强成本控制和精细化管理，但是这样做还是不够，也很难在激烈的竞争中持续发展，对于中小型医院，还要想方设法打造自己的特色和核心竞争力。根据病人的需求，建立在IT 应用的基础上，引进新技术、新专业，并且加大对二级科室的建设力度。信息化影响着医院的发展，尽管不能直接带来效益，但所有的业务都是依赖于信息系统的。

二中小型医院网络组建的总体目标

1. 中小型医院网络系统特点及需求分析

1.1 中小医院网络系统特点

医院信息管理系统(HIS) 多采用客户机/服务器结构；程序模块化设计，通常包括门诊部分、住院部分、手术医技部分、药房药库部分、后勤仓库部分、综合查询部分，以及系统管理员和字典维护；信息以数字、文字为主，图片、声音、视频图像较少；节点相对较少，分布相对集中；域结构简单，多为单域结构；与Internet 网连接的电脑不多，仅限于个别行政部门。

1.2 网络系统及业务需求分析

现在市场上的各种网络产品性能不断提升,而价格不断下降,一般主流产品即可满足中小型医院的信息系统需求，但是中小型医院网络规模虽然不如大型医院庞大，但信息点数量也达到了500个，网络覆盖范围包括医生诊室、办公室、挂号部门、药品发放部门、财务部门以及病房等，并且随着网络应用的丰富和医疗业务的扩展，网络规模将不断扩大，考虑到中小型医院经济实力和组网成本，因此，中小型医院网络系统的建设应以实用性为主，在此基础上兼顾先进性，优越的扩展能力可管理性和升级空间，保护医院投资，减少重复建设。中小型医院的网络系统建设应满足以下5个方面的需求：

（1）建立高速骨干网络，保证各楼宇、各网段之间线速无阻塞的数据交换；

（2）良好的兼容性，保障各网络软件（医院管理系统软件）系统的正常运行；

（3）可进行医院日常业务的处理，如：门诊及住院管理、药品管理、电子病案管理等，还需要实现医院的管理层信息管理。

（4）能够灵活的扩充网络容量及网络服务，可以实现多种方式的接入，以适应未来扩大网络规模，以及接入模式变化的需求；

（5）能够完成一些基本的网管和实时监控功能。

根据实际要求，所要建立的网络系统将是一个连接门诊大楼和住院大楼的高速信息公路，该网络不仅具有高速、安全、标准、可管理的特征，而且要求有一定的技术超前性、适合发展特色？？？？？表述不清楚、有较高的性价比，为医院多业务顺畅运行的提供良好运行平台，与医院的日常工作内容融为一体。

2. 中小型医院网络系统组建范围

本方案提供的中小型医院的网络系统解决方案的项目实施范围包括：中小型医院的内部网络系统的组成构架，建立基础的信息系统平台，提供整体的安全防护和管理策略。

3. 中小型医院网络系统组建的主要技术路线

1)此处格式要统一，也用（1）采用成熟/先进的网络技术。

2)统一技术规范、标准和方案，统一设备选型。

3)通过高速交换技术、虚拟网（VLAN）技术组网。

4)以标准化为基础实现系统的开发型、可扩展性。

5)以TCP/IP为主要协议，采用统一的电子邮件系统提供邮件服务。

6)注意通信保密和数据安全，建立完善的网络安全管理系统。

7）重要路由要有备份，保证网络每天24小时可靠运行。

8）采用可靠、先进、高效、功能丰富的网络管理设备和完善、合理的规章制度。

三中小型医院网络组建系统总体设计方案

1 网络系统结构设计

目前，在典型的医院网络中90% 的数据流是客户/服务器业务，它们之间的绝大多数业务又必须跨越核心网传输。这样就造成在核心网的一边是快速以太网客户，另一边是文件服务器，而两者之间的界面必须提供足够大的吞吐量来满足加在网络上的性能要求的现象。所以对于一个成功的网络集成设计来说，核心网和边缘之间的界面的设计是极为关键的，对于中小型医院这样中小规模的网络，虽然规模不像大医院网络系统那样，会产生巨大的网络业务流，但是其产生的网络业务流也不容忽视。如果网络的数据业务流不能在核心网和边缘之间快速可靠地传输，就会产生时延，降低效率，结果造成高速以太网所提供的诸多优点均未实现。

考虑到中小型医院今后的业务核心在门急诊大楼，为此，中小型医院的网络系统的设计思想是把中心机房设在门急诊大楼，以中心机房为网络中心，以星型方式连接门急诊大楼，住院大楼的汇聚交换机，并以这些汇聚节点为中心，连接到接入交换机到工作站。

方案特点是：

核心层，在中心机房采用两台千兆路由交换机双千兆链路传输，实现数据中心链路和设备的冗余备份，确保网络畅通。所以就算其中一条链路出现问题，另一条链路会继续进行传输，或者其中一个核心交换机出现问题，另一个交换机会作为备份继续运作保证核心链路的传输不间断。

汇聚层，在门急诊大楼和住院大楼分别放置一台千兆路由交换机，每台汇聚交换机通过双光纤分别连接到两台核心交换机。例如在10层住院大楼的第五层设置楼层配线间，将汇聚交换机放在其中，用双光纤以千兆链路分别连接核心交换机，还有用五类双绞线以百兆连接接入交换机。而门急诊大楼的中间层就设置了计算机网络中心，同样地，在中间层设置楼层配线间放置汇聚交换机，所以核心交换机与汇聚交换机同属大楼，但是考虑到传输速度和安全性，还是以双光纤千兆链路相连。

接入层，利用接入交换机，采用堆叠设计，在楼宇的每一层设为一个堆叠组，通过五类双绞线连接到汇聚层的交换机。用五类双绞线将接入交换机以100M带宽连接到桌面，其性能稳定、成本较低。例如在住院大楼有200个信息点，大概用用8少量吧？至少用10个（考虑到以后的扩展，用12个也行）个24口的接入交换机通过堆叠的方式连接到汇聚交换机上，而划分为不同的VLAN的机器则集中连接到不同的交换机，单独连接到汇聚交换机的不同端口上。而门急诊大楼因为会划分为较多的VLAN，所以大多接入交换机会单独连接到汇聚交换机上，除了某些部门因为机器较多，所以采用堆叠的形式连接到汇聚交换机上。（这里没有说明白啦！）

交换机核心交换机防火墙路由器

Si

服务器

工作站 以下是中小型医院网络系统结构拓扑图：

www 服务器

DNS 服务器

MAIL 服务器

2 综合布线系统设计

中小型医院的布线系统主要用于为中小型医院信息系统提供最低层的物理连接线路，布线在门急诊大楼，住院大楼共500个信息点之间实现。

2.1 布线系统的设计思想

先进性：实施后的布线系统应满足当前和将来网络通讯技术发展的要求。

灵活性：布线系统应能够满足灵活应用的要求，除固定于建筑物内的缆线外，其余所有的接

插件都应是积木式的标准件，以方便管理和使用。

扩充性：布线系统应是可扩充的，以便将来发展时，容易将设备扩展进去。

Si Si INTERNET

可靠性：在数据高速传输时，有很好的抗干扰能力，能适应复杂的电磁干扰。

经济性：在满足应用要求的基础上，尽可能降低造价。

为满足上述要求，布线系统采用了结构化综合布线系统。之所以选用结构化综布线系统是因为结构化综合布线系统是现在布线系统的大势所趋，广被使用。而且结构化布线系统是根据各节点的地理分布情况、网络配置情况和通信要求，安装适当的布线介质和连接设备，使整个网络的连接、维护和管理变得简单易行。

2.2结构化布线系统的设计方案

2.2.1布线系统总体结构

2.2.2工作区子系统

工作区布线子系统由终端设备连接到信息插座的连线组成，包括装配软线、连接器和连接所需的扩展软线，并在终端设备和I/O之间搭桥。信息输出口采用符合ISDN标准的RJ45 8芯插口，根据用户的使用环境选用埋入型、桌上型、地毯型或通用型插座，根据网络系统末端设备的接口选用相应的适配器，此处只需用到五类双绞线就可以了。

工作区子系统信息插座安装位置确定：办公间信息插座安装于墙上，常设1个单孔或双孔插座。信息插座安装于墙上：此方法是在四周的墙面每隔一定距离均匀地安装RJ45埋入式插座。此方法无论在造价、移动分隔板的方便性、整洁度、安装和维护造价上都是很好的。

2.2.3 水平子系统

水平布线子系统是将干线子系统线路延伸到用户工作区。该系统是从各个子配线间出发连向各个工作区的信息插座。水平线缆采用超5类双绞线。

水平线缆路由设计：

走廊的墙壁上方应安装有PVC线槽或桥架，进入房间时，从线槽或桥架引出线缆并在墙壁上开洞，把线缆穿管下到各个信息点。

2.2.4垂直子系统

垂直子系统是整个建筑物综合布线系统的一部分。它提供建筑物的干线电缆的路由。它通常是在两个单元之间，特别是在位于中央点的公共系统设备处，提供多个线路设施。该子系统由所有的布线电缆组成，或者由导线和光缆以及将此光缆连到其它地方的相关支撑硬件组合而成。在本系统中，信息点的数量较多，为简化管理可采用星型布线方式。传输介质采用PDS的5类双绞线。本布线系统有非常好的灵活性，而且对未来多媒体等高速数据应用均有很好的支持。

2.2.5 管理子系统

管理子系统由各层的配线间组成，配线间内设各种交叉连接的端接配线架，一部分用来端接垂直主干线，另一部分用来端接水平主干线。在管理子系统中，可以使用交连和互连手段对电缆进行连接，交连称为交叉连接，是用跨线或插接线将单元一端的电缆连到单元另一端的电缆上，这种连接方式比较方便，不需要专门的做线工具；互连不使用跨线和插接线，直接或使用带插头的导线、插座等将两条电缆连接起来。

2.2.6 建筑群子系统

建筑群干线子系统是由两个及两个以上建筑物组成。这些建筑物彼此之间要进行信息交流。综合布线的建筑群干线子系统是由连接各建筑物间的光纤组成。例如本方案的门急诊大楼与住院大楼。

2.3 综合布线简述：

工作区通过五类双绞线连接到信息插座，信息插座通过超五类双绞线连接到楼层配线间，楼层配线间设在中间楼层，楼层配线间摆放多个接入交换机，分别连接各层线路，交换机以堆叠形式相连，每一层的线路用超五类双绞线连接到第一层的楼层配线间，超五类双绞线放在走廊的墙壁上的PVC线槽或桥架。因为楼层配线间设在中间楼层，而且中小型医院门急诊大楼一般高7层，住院大楼高10层，以每层4米来算，最高就是40米，所以不超过双绞线100米的距离。各栋楼的汇聚层交换机和接入层交换机均放在各栋楼的配线间中，各栋楼的汇聚层交换机通过光纤与中心机房的核心交换机相连。

3 网络技术与网络设备选型

3.1网络技术选型

在中小型医院的网络系统建设中，通过反复论证和比较，决定骨干网采用千兆以太网。原因如下：

目前，可以选用的网络技术有交换式以太网、快速以太网、ATM和千兆以太网。但是，基于性能价格比及发展的眼光，我们认为千兆以太网是比较合适的方案，主要有以下原因。

首先，传统的以太网络技术，即使是近几年发展起来的链路层交换技术（即交换式以太网技术）和提高收发时钟频率（即快速以太网技术），也不能从根本上解决以太网络不提供服务质量保证，带宽利用率较低，负载平衡能力的限制以及网络的附加服务能力薄弱的缺点问题。

其次，虽然ATM网络具有实现网络传输有连接服务，实现服务质量保证(QoS)；交换吞吐量大；带宽利用率高；具有灵活的组网拓扑结构和负载平衡能力，伸缩性、可靠性极高；

局域网与广域网技术统一的特点，在整个业界的充分重视下，ATM近八年的发展已使其走向一个成熟稳定发展的轨道，逐步占据网络市场的主流。ATM是一个在现有技术水平上已获得成熟的发展、同时兼具有新技术所特有的勃勃生命力的技术。不过，ATM有一个不足之处，就是采用ATM技术来构建网络主干，需要较高的成本。其经济可行性较差，对中小型医院这样规模较小的网络就更不可用。

再次，千兆以太网已成为一种成熟的组网技术，世界上很多网络厂家都已推出很好的千兆以太网解决方案，以及性能和功能都很强的千兆以太网系列产品。千兆以太网目前的造价已经低于ATM网，其有效带宽比622Mbps ATM网还高。而且，千兆以太网已成为目前Intranet 主干网组网的主要技术，现在先进的千兆以太网技术已使之可以组建100km范围内的城域网。因此，从1999年开始，千兆以太网是国内网络建设用得最多的技术。

千兆位以太网支持交换机之间、交换机与终端之间的全双工连接，支持共享网络的半双工连接方式，使用中继器和CSMA/CD冲突检测机制。千兆位以太网（GEA）为以太网的应用提出以下几种方案：

a)（格式要统一）（1）更新快速以太主干网：更换核心交换机，全面提高原有网络性

能。

b)用于交换机到服务器链路：服务器使用千兆位以太网卡，直接与千兆位以太网交换机

相接，提供每秒百万个包的处理能力。

c)千兆位以太网到桌面台式机。高性能工作站安装千兆位以太网卡，直接与千兆位以太

网相连。

d）用于交换机之间的链路。千兆位以太网交换机用光纤相接，提供一条高性能主干线路。

为了提高网络的效率和安全性，在网络规划时，还采用了虚拟局域网（VLAN）技术。VLAN就是将一组物理上彼此分开的用户和服务器逻辑地分成工作群组，这样的逻辑划分与物理位置无关。简单地说，就是把一组用户分配在一个相对独立的子网上，使得一部分信息流量只有该子网的用户才能够收到。（这里要稍微详细的说明采用VLAN到好处）

3.2网络设备选型

提供网络设备的厂家有很多，国外的有Cisco、NortelNetworks、3Com、Lucent、Alcatel、Cabletron、Intel。国内的有华为、联想、中兴、D-link、Accton。

鉴于系统的先进性和兼容性，中小型医院的网络系统我们将采用美国Cisco公司的产品。我们选择Cisco产品的主要原因出于以下考虑：

Cisco公司是世界领先的Intranet和全球Internet网际互联解决方案供应商，是公认的网间互联技术和产品的领先厂商，其提供的解决方案是世界各地成千上万公司、大学、企业和政府部门建立网间网的基础，用户遍及电信、医院、金融、服务业、零售业、政府部门及教育机构等。

Cisco公司是世界十大电信公司之一，成为全球增长最快的电信产品供应商，其最成功之处在于Cisco公司在对其它公司进行兼并之后能够很好的消化其技术。Cisco公司的IOS(Internetwork Operating System, 网间网操作系统软件)技术提供了网络扩展性，模块化结构和移植性，以及多媒体、安全性、网络管理、拨号和Internet应用等许多内嵌功能。Cisco

总是能将其IOS特性很好的融合到其新的产品中去，Cisco IOS技术的独特性使得其产品有着其它公司产品无法媲美的优势。

3.2.1 中心交换机的选型

在中小型医院中心机房放置一台Cisco Catalyst 6500作为网络中心的千兆核心交换机，Catalyst 6500系列通过大幅度提高用户生产效率，增强运营控制，并提供史无前例的投资（论文用于要严肃！！！）保护，为企业园区和服务供应商网络设置了全新的IP通信和应用支持标准。作为思科最出色的智能多层模块化交换机，Catalyst 6500系列提供了从布线室到核心、数据中心，乃至WAN边缘的安全、融合、端到端服务。

Cisco Catalyst 6500系列适用于希望降低总体拥有成本的企业和服务供应商，在一系列机箱配置和LAN/WAN/MAN接口上提供了可扩展性能和端口密度。Cisco Catalyst 6500系列拥有3、6、9和13插槽机箱，以及无与伦比的集成服务模块范围，包括多千兆位网络安全、内容交换、电话和网络分析模块。

由于在所有Cisco Catalyst 6500系列机箱中采用了拥有通用模块组和操作系统软件的前瞻性架构，Cisco Catalyst 6500系列提供了高水平的运营一致性，可以优化IT基础设施，增强投资回报。从48至576个10/100/1000端口或1152个10/100端口的以太网布线室，到支持192条1-Gbps或32个10-Gbps中继线的每秒数亿转发速率的网络核心，Cisco Catalyst 6500系列利用冗余路由和转发引擎间的状态化故障转换功能，提供了理想的平台功能，大幅度延长了网络正常运营时间。

3.2.2支干交换机选型（前面好像说的是汇聚交换机？）

在中小型医院的两个二级骨干节点，我们分别放置1台Catalyst 3550-12T交换机，通过光纤双千兆链路分别上连到两台核心交换机Catalyst 6500，任意一条链路故障不影响网络运行并通过原故障线路的传输信息的端口转到另一条线路传输，就算连接同一交换机的两条线路都出现故障，还有另外两条线路进行传输。

Catalyst 3550-12T 12端口多层千兆位以太网交换机允许网络管理员把Cisco IOS智能网络服务和基于Web管理的简单性进行结合，来提高对局域网（LAN）的管理能力。这种1000BaseT解决方案使中端市场的用户可以在使用5类铜线布线的网络主干或机架堆叠配线室中，配置Cisco IOS智能网络服务，从而极大地提高网络的可利用性、可伸缩性和安全性。Catalyst 3550-12T把一个强大的特性集和传统LAN交换的简单性进行结合，使之包括多层服务例如IP路由、高级服务质量（QoS）、IP安全以及简单易用的基于Web的Cisco集群管理套件等。Catalyst 3550-12T交换机为1.5个机柜单元的高度，具有10个10/100/1000BaseT 端口和2个基于千兆位接口转换器（GBIC）的1000BaseX端口。

Catalyst 3550-12T交换机具有24Gbps的交换结构和最大12Gbps的传输速度，可在所有的端

口以17Mpps的转发速度提供动态IP路由。分布式的Cisco快速转发结构能够满足不同规模和性能的升级需求。这种结构支持极高速度的查询，并且能保证将来稳定性、伸缩性的需求。除了17Mpps的转发速度之外，Catalyst 3550-12T还支持一般网络所需要的组播。硬件的组播路由协议（PIM）和Internet组管理协议（IGMP）侦听使Catalyst 3550-12T能够在密集的组播环境中进行理想的交换。

3.2.3 接入交换机选型

在接入层，分别在每层一台CISCO Catalyst 2924，与汇聚交换机相连，通过10/100Mbps 连接到医院部门和办公用PC机。CISCO Catalyst 2924具有24个10/100M端口，可实现堆叠。

3.2.4 路由器选型

当内部网络需要通过ADSL线路访问到外部网络时，需要通过路由器（Router）来完成数据传输路径选择（路由），本方案采用Cisco 2612 Router通过ADSL或拨号上网与INTERNET 相连，并负责整个网络的智能化管理和虚拟网间通讯等功能。

通过支持一个可选的16端口10/100 EtherSwitch网络模块，分支机构可以在一个设备中集成路由和交换功能，从而获得较高的灵活性和较低的端口密度。这种解决方案可以通过一个第二层设备，在各个台式机、服务器和其他网络资源之间提供高速的连接，并且可以在路由器的第三层建立WAN连接。一个可选的外置电源可以为IP电话和Cisco Aironet 802.11基站供电。

可以提供先进的隧道功能，包括L2F和L2TP，基于标准的、由硬件支持的IPSec加密，思科IOS防火墙功能集，以及多种WAN和拨号接口，适用于VPN接入点和家庭网关。

新的WIC-ADSL和WIC-1SHDSL可以为分支机构和地方办事处提供企业级宽带服务，以及可扩展的性能、灵活性和安全。Cisco 2600系列可以通过一个安全的、高性能的模块化平台为多种需要高速企业级DSL连接的企业提供完美的解决方案。

可以提供一组全面的协议和服务，包括虚拟专用网、防火墙保护、加密、WAN优化和经过改进的多媒体支持功能。

3.2.5 防火墙选型

因为需要与Internet连接，如果没有合适的防火墙解决方案，那么内部网络系统就会受到网络黑客们的攻击。恶意闯入者进行简单的恶意行为，例如：信息偷窃，甚至故意破坏。许

多系统侵入者都非常隐蔽，他们给系统安全造成潜在的最大损害，而当其所造成的危害被发现时往往已为时过晚。目前有效的网络安全策略是在单位内网与外网连接处建立一道防火墙，Cisco公司的企业级硬件防火墙产品PIX Firewall，作为医院内部网与Internet之间的安全防护平台，同时其还可以提供一个缓冲区作为网站、DNS服务器使用，这样就避免了企业内部网上的各类网络系统设备直接暴露在Internet上，使网络整体的安全性得到了大幅度提高。

3.2.6 服务器和工作站选型

目前的网络应用中，要使用各种各样的服务器，对于中小型医院的规模和医院实际需要来说，主要用到的服务器有：Internet应用方面的服务器有：WWW服务器、E-mail服务器、FTP服务器、DNS服务器；在管理信息系统和办公自动化方面有：HIS服务器、PACS服务器、OA服务器、数据库服务器、文件服务器。目前，较为著名的专业服务器生产厂商有IBM、HP、SGI、DEC和SUN公司等，但HP在业界具有不错的口碑，所以本方案采用HP品牌的PC服务器，而工作站计算机，目前国内主要工作站品牌中，方正、HP、联想电脑以其极高的性能价格比与良好的售后服务赢得了大众的信赖，在本方案设计中，推荐HP电脑作为本网络的工作站。

四中小型医院网络组建系统的内网与外网的设计

随着计算机在医院应用的深入，医院对计算机网络系统有了新的认识：一方面，要求系统可靠性高、带宽高、响应快、安全性好，能够满足日常业务的需要；另一方面，由于医院间竞争的日益激烈，医院需要宣传自己，同时，医生和护士也需要不断的同外界交流，来提高自身的技术水平。

医院的信息流将医院中不同层次的结构以及与医院有联系的单位，从纵横两个方面组成一个为实现共同目标的有机整体，从而形成一个纵横交错的医院信息网络，可分为内部网和外部网两种。

医院内部网：

医院内部信息有纵向和横向两种流动。纵向流动指自上向下的指令信息和自下向上的反馈信息的双向信息流动。医院内部职工部门之间的交流与协作，形成了信息的横向交流与传递。医院内部纵向信息流和横向信息流交叉流动，组成了医院内部信息网络。

医院内部网内部结构：院长信息管理；各职能部门信息管理；门诊，药房信息管理；住院信息管理；财务信息管理；病案信息管理。

医院外部网：

医院作为社会大系统中的一个子系统，必然要与外界产生各种联系，上至卫生部，下至各级医院之间以及与各种机关单位之间都要有联系，从而构成了医院外部纵向与横向的信息

网络。纵向信息网络，主要是传递卫生部有关方针，政策，法令与计划以及医院向上级卫生部门反馈各种信息。横向信息网络主要是各级医院之间以及相关卫生部门之间的信息交流工作。

1.医院内部网的设计

1.1划分VLAN子网

根据医院不同职能部门处于不同的地理位置，医院网络系统可以使用虚拟局域网（VLAN），通过VLAN的合理设置，用户可以方便地在网络中移动，而不需要线路的改变。这样，可以从逻辑上对每个用户进行分组管理，由计算机自动根据配置形成相应的虚拟网络工作组，并设定相应的安全和访问权限，充分发挥交换式网络的优势，体现交换式网络高速、灵活、易管理等特性。采用VLAN还可以控制网上的广播风暴，增加网络的安全性，对网络进行集中化的管理控制，从而大大减低了网络管理和维护工作的负担，降低了网络维护的费用。中小型医院划分VLAN采用的主要是基于端口的VLAN 划分方式，按物理位置方便实用原则。本中小型医院的网络方案将整个网络划分成8个VLAN，包括服务器VLAN1、交换机VLAN2、住院VLAN3、门急诊VLAN4、影像科VLAN5、检验科VLAN6，和办公室划分财务VLAN7，还有将住院，门急诊，影像科，检验科中需要上网的机器与办公室除了财务之外，划分同一个VLAN8。划分出财务VLAN是因为医院财务涉及到医院的财务秘密资料，还涉及到医院信息系统中的财务系统，将会是划分到内网之中，不能对外。还有一点，财务VLAN中包含院长办公室的机器，因为院长办公室也安装了医院信息系统中的院长查询系统。而除了财务之外，其他办公室的机器不涉及到医院信息系统，其机器不会安装医院信息系统，还有办公室主要是对外办公，将会连接互联网，对外通信。所以极易受到外界攻击，所以将办公室划分为一个VLAN，还将住院，门急诊，影像科，检验科中需要上网的机器与办公室VLAN划分同一VLAN。还有的是办公室是既连接内网，也连接外网的，所以情况特殊，要加以注意网络安全，所以要利用防火墙技术。其中，服务器VLAN必须绝对保证安全，严格控制其他机器联入权限和方式。住院、门诊、影像科、财务中使用的机器统一安装了病毒防火墙并具有自动升级功能，而且除了统一安装的应用程序外，不允许用户安装任何其他应用程序。但由于允许这些机器使用文字处理程序和上内网，所以不能保证绝对干净，但是一般不会造成大规模病毒流行和瘫痪。能上网的办公室机器由于很难统一管理，只能采取隔离的办法。网络管理员可以直接通过网管软件直接管理各接入交换机,对网络设备进行监测、配置和故障诊断,并可自动拓扑发现、远程配置、性能参数监测、故障诊断等,为医院在网络管理方面有效的节约了人力和物力。内网的门诊，住院，影像科，检验科，财务工作站安装医院信息系统是不能连接网络的，因为涉及到医院的秘密信息和病人信息。所以必须在路由器上禁止门诊，住院，影像科，检验科VLAN中的路由。还有服务器VLAN也要禁止。而内网的机器要上内网的话，只需要在本地连接将DNS参数设置为内部DNS可在本地连接上配置好自己所属私有网段的IP地址和子网掩码，网关和内网服务器地址，就能浏览到医院网站信息和资源。对于既能上内网，又能上外网的机器，不但需要在本地连接上配置好自己所属私有网段的IP地址和子网掩码，网关和内网服务器地址，而且需要启用转发器，将内网DNS服务器IP转发到外网DNS服务器IP，这样当内网机器发送外网地址到内网DNS服务器时，内网DNS服务器就会转发到外网DNS服务器，从而实现既能上内网，也能上外网。（这一段最好分开来写，以示区别）

医院内网使用的是私有地址，是不能应用在为了让这些私有IP地址能够在公共INTERNET使用，让使用这样IP地址的办公室机器能够访问INTERNET上的资源，我们必须对这样私有IP地址作NAT（network address translation）即网络地址转换。NAT可

在路由器上实现。

划分的八个VLAN分别属于八个不同的网段，但是随着医院的不断发展，将会有更多的信息点，假设医院内部网使用C类网络私有地址，网络号为192.168，对应子网掩码是255.255.255.0。那就可以划分256个VLAN子网，就算医院以后不断的扩展，也就满足了。每个网段可容纳254台主机。以一个信息点只有500个的中小型医院网络来说，有很大的扩充空间。内部网的机器可以通过WEB服务器，FTP服务器浏览到医院网站和利用医院资源，还可以根据权限使用HIS系统。

现在，我只需取其中的服务器VLAN1、交换机VLAN2、住院VLAN3、门急诊VLAN4、影像科VLAN5、检验科VLAN6，财务VLAN7，可以上网的机器划分为一个VLAN8，共八个VLAN子网就可以了，子网掩码是255.255.255.0，各网段分别是如下图，其中可以上网的机器划分范围为192.168.7.1～192.168.7.254。

现在的路由器具有VLAN功能，所以划分VLAN可在路由器上进行，而且还可以在路由器上禁止不上INTERNET的VLAN的路由，十分方面。

2. 外网

（格式不对）网络接入方式

1. （格式不对）普通拨号方式

普通的电话网络，传输的是模拟信号，而电脑处理的是数字信号。如果把数字信号转变成模拟信号的过程叫做调制，相反的过程就是解调。调制解调器就担当这个作用。它分为内置式与外置式两种。内置MODEM是插在电脑主板上的一个卡；很多品牌电脑都预装了内置MODEM，如果是后来添加，很多人会选择外置式MODEM。预装的内置MODEM通常已经安装好了驱动程序，只须将电话线接头（俗称水晶头，因为它白色透明）接入主机箱后面的MODEM提供的接口就是。外置MODEM是将电话线接头插入MODEM，随设备自带了一条MODEM与电脑的连接线，该连接线一端接MODEM，一端接电脑主机上的串行接口。

2. （格式不对）ISDN

ISDN综合业务数字网是数字传输和数字交换综合而成的数字电话网，英文缩写为ISDN。它能实现用户端的数字信号进网，并且能提供端到端的数字连接，从而可以用同一个网络承载各种话音和非话音业务。ISDN基本速率接口包括两个能独立工作的64Kb的B信道和一个16Kb的D信道，选择ISDN 2B+D端口一个B信道上网，速度可达64Kb/s，比一般电话拨号方式快2.2倍(若Modem的传输速率为28.8Kb/s)。若两个B信道通过软件结合在一起

使用时，通信速率则可达到128Kb/s。它的普及从某种意义上讲是对传统通信观念的重大革新。装机与通信费用与普通电话相近，近一两年才在国内主要城市开通业务，同样可到电信局的营业网点申请，当然也就成为目前拨号上网的首先方式。

3. ADSL

ADSL技术是运行在原有普通电话线上的一种新的高速宽带技术，它利用现有的一对电话铜线，为用户提供上、下行非对称的传输速率(带宽)。非对称主要体现在上行速率(最高640Kbps)和下行速率(最高8Mdps)的非对称性上。上行(从用户到网络)为低速的传输，可达640Kbps；下行(从网络到用户)为高速传输，可达8Mbps。它最初主要是针对视频点播业务开发的，随着技术的发展，逐步成为了一种较方便的宽带接入技术，为电信部门所重视。通过网络电视的机顶盒，可以实现许多以前在低速率下无法实现的网络应用。

4. VDSL

VDSL(Very-high-bit-rate Digital Subscriber loop)是高速数字用户环路，简单地说，VDSL 就是ADSL的快速版本。使用VDSL，短距离内的最大下传速率可达55Mbps，上传速率可达19.2Mbps，甚至更高。

5. OAN：

OAN (光纤接入网)是采用光纤传输技术的接入网,即本地交换局和用户之间全部或部分采用光纤传输的通信系统。光纤具有宽带、远距离传输能力强、保密性好、抗干扰能力强等优点,是未来接入网的主要实现技术。FTTH方式指光纤直通用户家中，一般仅需要一至二条用户线，短期内经济性欠佳，但却是长远的发展方向和最终的接入网解决方案。

6. FTTX+LAN接入方式

这是一种利用光纤加五类网络线方式实现宽带接入方案，实现千兆光纤到小区(大楼)中心交换机，中心交换机和楼道交换机以百兆光纤或五类网络线相连，楼道内采用综合布线，用户上网速率可达10Mbps，网络可扩展性强，投资规模小。另有光纤到办公室、光纤到户、光纤到桌面等多种接入方式满足不同用户的需求。FTTX+LAN方式采用星型网络拓扑，用户共享带宽。

7. DDN

DDN不仅适用于气象、公安、铁路、医院等行业，也涉及到证券业、银行、金卡工程等实时性较强的数据交换。目前是许多单位用于实现WAN连接的手段，尤其对于要求持续稳定可靠安全的信息流传输的应用环境更是如此。

本方案考虑到中小型医院网络建设的经济性，而DDN虽然是许多单位用于实现WAN连接的手段，但是采用DDN专线成本大，组网要求高。所以本方案选用ADSL上网接入技术，向ISP申请6个IP地址，可假设地址范围为：202.206.240.1～202.206.240.6。在6个IP地址中，还需要除去一个地址作为网络地址，一个作为广播地址，一个作为内部私有地址转换的IP地址，一个作为路由器地址，一个作为WEB服务器地址，用作医院网站。剩下一个备用，以防日后医院扩展所需。但是，考虑到当ADSL线路会出现问题时，应采用采取备用接入网络，所以采取PSTN电话拨号形式作为备份，这样可以保证在任何情况下通讯不会中断。

现在绝大部分医院已建立自己的HIS系统，但是由于地域上的距离和网络发展的不平衡，医院与医保中心，卫生局，疾病控制中心，各医疗卫生分支部门等网络之间缺少互联互通。网络间的资源不能共享，造成网络的割裂。目前有些医院租用DDN专线来连接医保中心，

卫生局，疾病控制中心，各医疗卫生分支部门，但是这样的通信必然导致高昂的通信费用和维护费用。而采用拨号线路又存在速度慢，安全性差的弱点。所以本方案采用近年来，最常用的传输技术——VPN。VPN以其可以利用公网资源，建立安全可靠，经济高效的传输链路而被广泛使用。在VPN技术的支持下，位于不同地点的医疗部分只需联入当地的INTERNET，就可以组成一个可靠高效的虚拟专用网络。VPN为医疗卫生行业提供一个高性能，高质量，高可靠性的信息访问的解决方案。

VPN是指在公网上所建立的企业网络，并且此企业网络拥有与专用网络相同的安全、管理及功能等特点，它替代了传统的拨号访问，利用INTERNET公网资源作为企业专网的替代和补充，节省昂贵的长途费用。VPN乃是原有专线式企业专用广域网络的替代方案，VPN并非改变原有广域网络的一些特性，如多重协议的支持、高可靠性及高扩充性，而是在更为符合成本效益的基础上来达到这些特性。VPN通过安全的数据通道将远程用户、分支机构、业务伙伴等跟公司的企业网连接起来，构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的主机都处于一个网络之中。公共网络仿佛是只由本网络在独占使用，而事实上并非如此，VPN根据使用者的身份和权限，直接将使用者接入他应该接触的信息中，所以VPN对每个用户也是“专用”的。总之，VPN就是要实现低成本的安全稳定互联互通。

VPN 使用三个方面的技术保证了通信的安全性：隧道协议、身份验证和数据加密。客户机向VPN 服务器发出请求，VPN 服务器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到VPN 服务器，VPN 服务器根据用户数据库检查该响应，如果账户有效，VPN服务器将检查该用户是否具有远程访问权限，如果该用户拥有远程访问的权限，VPN 服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。

目前，用于内部自建VPN 的主要有两种技术——IPSec VPN 和SSL VPN，IPSec VPN 和SSL VPN主要解决的是基于互联网的远程接入和互联，虽然在技术上来说，它们也可以部署在其它的网络上(如专线)，但那样就失去了其应用的灵活性，它们更适用于对价格特别敏感的用户。但针对安全性的考虑，本方案选择的是应用最广泛的是IPSec VPN，IPSec VPN 比较适合中小企业，其拥有较多的分支机构，并通过VPN 隧道进行站点之间的连接，交换大容量的数据，并且在IT 建设、管理和维护方面拥有一定经验的技术力量。企业的数据比较敏感，要求安全级别较高，企业员工不能随便通过任意一台电脑就访问企业内部信息，移动办公员工的笔记本或电脑要配置防火墙和杀毒软件。

根据医院业务需求，需要实施整体性的网络及安全系统规划，一是解决远程互连，如与医保中心，卫生局，疾病控制中心，各医疗卫生分支部门的实时数据处理与共享；二是解决远程访问，主要为在外出差、移动办公和在家中办公的人员访问医院内部网络；三是建立网络安全系统，提供整体防病毒、防黑客、数据加密、身份验证等一系列功能，确保数据的保密和传输安全。设计如下：

1. （格式不对）在客户端VPN 上配置总部虚拟IP 池（该地址段为总部局域网内未被使用的IP 地址，可与总部局域网同网段或不同网段），使得通过VPN 接入到总部的移动用户能够从这个IP 池中获得与总部局域网相同网段的局域网IP 地址。

2. 针对总部允许开放资源情况设定总部VPN 内网服务设置，以便为各接入用户分配相应权限；配置总部VPN，为接入的门诊部和移动办公人员分配合法的用户名、密码等账号信息，可根据需要为每个账号分配不同的VPN 权限，并为移动终端启用虚拟IP，在启动ID 鉴权的情况下，需要把所有需接入医院内网的远程用户生成证书后传给总部管理员并分别绑定到对应的用户账号上；对于移动用户，管理员可选择是否为该移动用户启用DKEY。若启用，需将对应DKEY 插入总部模块所在计算机的USB口上，总部模块将会把此移动用户接入VPN 所需的配置信息导入DKEY，并将DKEY作为用户接入时的身份认证依据。

3. 在医院内部网出口上放置VPN 设备，配置好总部分配的账号，将VPN 设备生成的

硬件证书文件传送给总部管理员，以便实现对此账号的硬件鉴权，接入总部局域网后即可实现对医院各种应用服务器的访问。在所有需要联入总部的移动计算机上安装VPN 的移动模式，配置好已分配的账号（若此移动用户使用的是DKEY，则只需将总部管理员分配的DKEY 插入计算机USB口，输入DKEY 使用密码后，VPN 移动模式即可自动运行并接入总部），接入后即可实现对总部各种应用服务器的实时访问。

VPN解决了医院与医保中心，卫生局，疾病控制中心，各医疗卫生分支部门等之间实时互联问题，提供了远程访问的安全、经济途径，使移动用户能够随时通过Internet 方便地接入医院内部网络开展业务，共享网络资源。这种方式以最小的互联投资成本，最大限度的发挥医院应用系统的效率，使医院更加统一规范，共享并同步应用数据信息，保证信息的实时更新，提高工作效率。VPN 提供了安全、可靠的Internet 访问通道，为医院进一步发展提供了可靠的技术保障。

五中小型医院网络系统管理

1. 数据备份

随着医院信息化水平的不断提高，HIS已从初期的以财务为主发展到现在以病人为中心，从单纯的文本数据扩展到有声音和图像等多媒体数据，存储的数据量逐年迅速增加。特别是x光片、ct和mr等大容量的数字图像，造成了医学信息量的急剧膨胀。产生的业务数据量也是非常大的。通常一个医院每天可产生10GB以上的数据，如果再加上数据备份，存储量往往会超过30GB。此外，医疗影像设备每天还会产生大量的图形和影像等信息。在所有需要存储的数据中，既有对安全性、实时性和并发用户数要求很高的HIMS数据，也有对安全性和实时性要求相对较低的数字图书等信息。因此，相较于其他行业，医疗行业的存储量不仅大，而且对存储的要求也更加苛刻。

传统的灾难备份解决方案多采用“2+1”（即两台服务器间配一台磁盘阵列）的“双机热备份”模式，这个为了在两台服务器之间共享数据而存在的独立磁盘阵列，往往就成为了核心系统一个突出的故障点：一旦磁盘阵列发生故障，整个系统就会停机。作为7×24营业的医院来说，这种意外的停机对业务的影响可想而知。

所以，必须设计出一套更为有效的存储区域网络结构（SAN）才能有效地解决医院的灾难备份问题。现在，决定实施一种新方案，这个方案通俗地称为“N+2”群集模式。从功能上来讲，这套方案突破了系统全冗余、无任何单点故障点，以及数据和应用的园区范围的容灾，使系统的运行真正没有了后顾之忧。

所谓“N+2” 群集模式，意思就是“N个运算节点+两个存储节点”。王主任介绍，“N+2”群集模式是在原来的“2+1”群集模式的基础上，增加了一台磁盘阵列，院方将每一台服务器定义为一个“运算节点”，而将每一台磁盘阵列定义为一个“存储节点”。这样，两台磁盘阵列中的数据完全保持实时同步，不用担心任何的数据一致性问题。

具体实现是：将多台服务器通过双光纤连接到两台交换机上，再通过双光纤连接到两台磁盘阵列和一台磁带库上。以下为存储区域网络结构（SAN）实现图：

服务器磁盘阵列

磁带库交换机

IT系统的效益是最难估算的。所以通过实施新的容灾备份系统，让生产机环境与容灾环境的备份同步，保障医院信息系统可靠的业务运行。医院的业务越来越依赖信息系统，这将给医院带来直接和间接的影响，直接的好处就是社会效益得到了保证，病人的问题和需求可以快速的解决和满足；间接的好处就是可以提升医院整体的经济效益，这些都是医院实施信息系统的初衷和目的。容灾备份系统整个存储架构的设计避免了单点故障，建立更安全、可靠的备份灾难系统。容灾备份系统在设计上做到实现集中的数据存储，数据连续同步备份、数据的安全性和系统快速恢复功能，确保容灾系统能够随时随地地高效的被使用，从而满足医院对业务保持连续性的要求。

对于磁盘阵列的选用，对很多多家设备商的产品做了比较，如：IBM、EMC、HP、华为3com 等，最后，我们认为EMC的产品在存储方面具有领先的优势，采用了两台StorageWorks EVA6000企业虚拟阵列来部署实施容灾系统。StorageWorks EVA6000可以非常简单地接入到SAN的环境中，存储容量高达33.6TB，其中，四个前端和两个后端 4 Gb/s 端口，外加低延迟、高带宽 I/O 互连技术，可以处理繁重的工作负载。

对于磁带库的选用，本方案决定选择1台HP SureStore DAT24i磁带机对服务器数据进行定时数据备份，HP SureStore DAT24i的备份性能卓越，可靠性强，是一种功能强大的数据存储解决方案。它是内置式磁带机，可以与服务器和PC工作站相连，同时兼容业界领先的操作系统和备份软件。该磁带机的TapeAlert软件可以对磁带机和介质进行连续监视，并可对任何潜在的备份问题予以警告，确保用户高枕无忧。

HP单键式灾难恢复技术的属该磁带机独特的性能，可兼容HP NetServer E系列、LC系列和HP Kayak产品。这意味着HP SureStore DAT24i的用户将得益于市场上最富成效的灾难恢复解决方案。只需备有磁带机和最新的备份磁带，用户即可从硬盘故障、数据损坏和病毒感染中进行文件的恢复。轻轻触动按钮，操作系统、配置、应用程序和数据即可轻松恢复到磁带备份时的状态。

2. 安全管理

随着医院信息化战略的推进，国内医院的信息化平台将进入高速发展的阶段。与此同时，网络安全问题也被越来越多的医院所重视，垃圾邮件、企业机密泄露、网络资源滥用、病毒泛滥以及网络攻击成为医院最为头疼的网络安全问题。如何让医院摆脱网络安全的威胁，是中小型医院在信息化建设过程中首要解决的问题。

本方案结合医院信息网络系统的实际, 从硬件系统的物理安全、软件系统的安全和网络用户的安全管理等方面阐述了信息系统安全的必要性和医院信息系统安全维护的措施。

2. 1 硬件系统的物理安全措施

（硬件的备份怎么没有写？你用的2个汇聚交换机就体现了这个的，还有汇聚交换机与核心交换机到物理连接也体现了个！！！）硬件系统是整个网络系统正常运行的物理基础, 它的安全是指网络系统中各计算机通信设备及相关设施的物理保护，使其免于人为或自然的破坏。硬件安全隐患主要有机房的供电、网络及设备等三方面故障。采取的措施是安装了防雷系统，所有插座的地线严格接地, 工程得到了防雷装置检测中心认证。更换了主机房的不间断电源(UPS),保证断电后8h的供电量;为电压不稳的高发区的工作站点配备了稳压源。每一个服务器机柜后面单独一组UPS、电池组和供电柜。由于全院的供电系统采用集中供电。而且地面上有很多的插座, 一旦有一路插座短路, 就有可能一直冲到配电的总闸，为此做了三级的开关保护。目前医院将通过互联网实现医院间的互联，使医院网络逐渐向开放式转变，增加了感染病毒的可能性。医院采取的防护措施是：医院网络布线采用内外方式，就是把医院的信息系统做成内网，让非医院的信息系统做成外网。安装了杀毒软件，对网络进行适时监控，并有专人每天对网络有无病毒的情况观察登记。为了防止外来病毒的入侵，医院应购置防火墙对所有进出数据进行过滤。医院的内网客户端一律不安装光驱、软驱, 并且将部分没有USB 接口打印机的主机的USB 口封掉, 更不准擅自安装光驱、软驱及使用U 盘和移动硬盘。并且对客户端用户的密码强调专人专用。

2. 2 软件系统的安全措施

2.2.1 网络操作系统的管理

为了确保网络操作系统正常工作，网络管理员首先应该能够熟练地利用系统提供的各种管理工具软件，实时监督系统的运转状况，及时发现故障征兆并处理。在网络运行的过程中，网络管理员应随时掌握网络系统配置情况，即配置参数的变更情况，对配置参数进行备份。网络管理员还应做到随着系统环境的变化，业务发展的需要和用户需求，动态调整系统的配置参数优化系统的性能。同时，还应该为关键的网络操作系统服务器建立热备份系统，做好防灾准备。

2.2.2 网络应用系统管理

对于普通用户，计算机网络的价值主要是通过网络应用系统的服务实现的，日常系统维护的重要职责就是确保这些服务运行的不间断性和工作性能的良好性。任何系统都不可能永远不出现故障, 关键是要把故障造成的损失和影响控制在最小的范围内。因此, 应对应用系统进行定期备份，必要时还要建立和配置系统的热备份。

2.2.3 HIS系统的安全

HIS系统的特点是涉及部门多，系统复杂。医院信息系统的外包依赖程度比其他行业系统明显偏高，使得医院的核心业务程序或数据大量暴露在外部不可控的专业人员面前，一旦这些外部人员有恶意动机(如移植木马、设置逻辑炸弹等)将对医院造成巨大的安全损失。因此，医院在建设HIS 系统时一定要选择技术力量雄厚、信誉良好的公司的产品，以保证数据安全和享有良好的后期服务。

2.2.4 病毒防治

当今，计算机病毒呈现出种类繁多，变异速度快，传播网络化，隐蔽性强，危害多样化，危害后果日趋严重等特点。一些恶性病毒除了攻击计算机网络系统中的核心设备和资源、降低网络运行速率、造成网络拥堵甚至瘫痪外,甚至盗窃被攻击系统中的用户帐号、密码、机密资料、用户档案等信息。为保证HIS系统安全，采取软件和硬件相结合的病毒防治方案，经

常升级安全补丁和病毒库。

2. 3 服务器及工作站管理

2.3.1 服务器管理

网络服务器是整个网络的核心，对其进行管理的方法：建立服务器档案，有关服务器的随机资料、操作系统、数据库、应用程序安装盘、补丁盘要严格入档。在档案中要详细记录服务器的硬件类型、启用时间、网络配置( 机器名、域名、IP 地址等) 、数据库的定义( 库名、设备名及大小) 、备份设备、添加的服务、定义的任务及其他相关参数；建立服务器日志，要每日做服务器设备安全检查记录；服务器启停记录；错误日志检查记录；数据库的使用、扩展、修改、备份情况记录；服务器性能监视记录等。

2.3.2 工作站管理

对工作站的管理方法：建立工作站档案，记录工作站台号、网络配置、操作系统、应用软件的安装情况；对于每一台工作站应建立工作日志，记录每日操作人员姓名，所使用的模块( 如记帐、出院结算等)；机器的使用情况，是否出现异常，是否做单机/网络切换；网管人员须及时记录维护情况( 包括硬件维修、软件补丁等)；制定工作站机房管理制度、机房管理员职责。

2. 4 网络用户的安全管理

由于医院网络用户涉及操作人员、医护人员、管理人员等诸多使用者，覆盖面大，给系统带来了不少的安全隐患。因此，对于网络用户的安全管理也成为网络安全管理中必不可少的一部分。对每一个用户都进行岗前培训, 在熟练操作规程的同时，加强网络安全教育，增强安全意识。为了限定一般用户权限，可以利用操作系统为其定义唯一的帐号，在不影响用户操作程序和调用数据的情况下，限定用户访问权限，不管用户通过什么程序，即使是数据库工具，也不能访问到未经授权的数据；而用于远程传输注册的用户，可以限定登录时数、定期修改登录密码、做登录及注销审核，以防止用户非法侵入网络, 保证网络安全运行。

为了加强医院网络管理，所以应用活动目录管理技术。医院网络主要实现了两方面的功能：(1) 医院职能管理，通过运行各种查询与统计系统和网站系统实现对医院的职能管理。(2) 医疗业务管理，通过运行医生工作站、护士工作站、挂号计费等系统实现对医院医疗业务的管理。应用活动目录可以实现对医院网络的统一、灵活、安全管理, 大大减轻日常网络管理和维护的压力。

中小型医院的内部网络根据地理位置分为门诊楼、住院楼两个网络, 它们之间通过光纤汇聚在主控机房的中心交换机, 连接成医院局域网络。由于医院网络内仅有信息点500个, 因此，1 个活动目录域已完全能满足需求, 设置医院网络域名为https://www.wendangku.net/doc/651062143.html,。医院网络的活动目录结构形式要尽量体现医院的组织形式和功能需求, 同时又要方便网络管理。域包括医院机关、临床科室、门诊科室、辅诊科室、服务器组等组织单元, 各组织单元包括相应科室部门的用户账号、计算机和共享资源等信息。域控制器设在主控机房内, 并将其配置为DNS 服务器, 以提高用户登录系统时的响应速度。活动目录主要应用：

(1) 限制域用户权限。要合理规划分配好域内用户的操作权限, 在分配用户权限时, 遵循最低权限原则。对于域内的普通用户, 都可将其添加到Domain Users 用户组中。Domain Users 用户组对系统的操作权限很低, 它不能添加、删除硬件设备, 不能安装、卸载应用程序, 不能设置共享, 不能启动或停止系统服务, 不能修改系统目录和注册表, 甚至不能修改系统时间, 只能运行一些已安装的应用程序和进行基本的文件操作。这样, 可以大大降低用户由于误操