要：

本人在某医院信息中心工作，我院建设于2011年，随着医疗信息化建设的不断深入，我院的信息化建设已经有了很大进步，在发展过程中我们发现，随着医院数据量、业务量的增加，我院网络带宽已经不能满足现有需求，IP资源已经枯竭，核心设备存在单故障点，内网病毒不能得到有效控制。院领导决定投入200万，进行网络升级改造，于2017年7月开始实施，工期为5个月。本人作为信息中心负责人，主持本次改造工作，我在资金有限的前提下，对医院网络进行了全面细致的规划，主要规划内容有：IP地址重新规划、网络结构调整、重新布线、设备选型及核心交换虚拟化、部署背靠背模式防火墙、内网杀毒软件部署等。项目实施完毕后，取得了良好的效果，得到领导的肯定。由于资源投入有限，本次网络改造并未部署入侵检测系统，将会在后期的改造中加以完善。

正文：

随着我国医疗改革新体制等一系列政策的实施，我国医疗卫生系统信息化建设也呈现出快速发展的趋势。本人在某医院信息中心工作，我院建设于2011年，随着医疗信息化建设的不断深入，最近几年我院的信息化建设已经有了很大进步，逐步建设实施了HIS系统，PACS系统，LIS系统，电子病历系统等，在发展过程中我们发现，随着信息化建设的深入，我院网络规划方面存在的问题，逐渐显示出来，如：大楼建造时设计的全网百兆链路，已经不能满足现在医学影像传输；IP地址规划不合理，导致目前IP地址资源即将耗尽；医院核心交换机存在单故障点，一旦出现问题严重影响医院正常运转；工作人员上网行为得不到有效管理，在工作时间经常浏览、下载与工作无关的内容；工作人员私自插U盘，内网各种病毒得不到有效防治；针对以上问题，院领导决定投入资金200万，进行网络升级改造，于2017年7月开始实施，工期为5个月。本人作为信息中心负责人,主持本次项目，我在资金有限的前提下，充分利用现有条件和成熟技术，对医院网络进行了全面合理的升级改造，本文将介绍我在提升网络带宽、增强网络安全性、可靠性方面采取的一些技术和方法，主要内容有：IP地址重新规划、网络结构调整、重新布线、设备选型、设备的重用、核心交换机虚拟化、部署背靠背模式防火墙、内网防毒部署等。

1、IP地址的重新规划：我院由一座办公楼、一座体检楼、一座功能科室楼、一座新建综合大楼组成，机房位于新建综合大楼二层，建网初期由于对信息化发展的预见性不足，为每座楼划分的一个192.168.X.0/24的C类网，目前办公楼、体检楼、功能科室楼的计算机数量较少，IP地址尚且够用。由于所有门诊部和住院部科室全在新建综合大楼，随着计算机的不断增加，IP地址目前已经基本耗尽。所以对新建大楼IP地址重新规划：因各个服务器都采用固定IP地址，故沿用原来地址不做改动；门诊部重新划分一个192.168.X.0/24的C类网；住院部根据内科、外科、妇科分类，每科重新划分一个192.168.X.0/24的C类地址；各楼层均有自助缴费设备，自助缴费设备需要与银行专线连接，划分一个192.168.X.0/24的C类网，便于管理；大厅报销窗口设备与市医保专网连接，报销窗口设备单独划分一个192.168.X.0/24的C类网，便于管理。DMZ区域各类前置服务器划分一个192.168.X.0/24的C类网。此次划分共将我院网络划分成了15个C类网络，每个网络对应一个VLAN。重新划分之后，发现检查设备配有的IP地址需要厂家专业人员修改，故所有检查设备及所连计算机暂时不做改动，在接入层交换机预留端口，等厂家专业人员修改IP之后再调整网线连接。

2、网络结构调整、重新布线、设备选型：我院网络结构原为二层扁平化设计，只有接入层和核心层设备，没有汇聚层，随着计算机数量的增加，广播风暴变得非常庞大，且所有VLAN间数据交换都要经过核心交换机，使核心交换压力越来越大。此次改造决定通过对网络结构进行调整，网络重新布线，网络设备更换等方法，将原来的二层网络结构改为三层网络结构以适应今后的发展。布线方面，我院新建大楼共分为12层，12层至10层线路，汇聚到11层配线间，9层至8层线路，汇聚到8层配线间，7层至6层线路，汇聚到6层配线间，5层至4层线路，汇聚到4层配线间，3层至1层线路，汇聚到2层配线间。终端到配线间线路采用6类屏蔽双绞线，实现千兆到桌面的标准，11层、8层、6层、4层的配线间到中心机房汇聚层交换机采用24芯光纤连接，每层分得6芯，2层配线间离中心机房距离近，采用6类屏蔽双绞线连接，接入层到汇聚层为千兆链路。汇聚层交换机与核心交换机之间采用万兆光纤连接。设备选型及配置方面，为实现千兆到桌面，淘汰原有百兆端口的接入层交换机，采购台华为S5700系列全千兆端口三层交换机作为接入层交换机，每个配线间的接入层交换机做堆叠处理，简化管理，并增加交换机的交换能力。采购华为S6700系列全万兆端口三层交换机作为汇聚层交换机，汇聚层交换机之间用4条链路做链路聚合，增加带宽并实现链路冗余。采用2台华为S7900系列全万兆端口三层交换机作为核心交换机。

3、核心交换机虚拟化：我院网络为单核心结构，存在单点故障，一旦发生交换机故障，将会导致全网瘫痪，直接影响我院的数据安全性、业务连续性。此次改造，我院新采购2台华为S7900系列全万兆端口三层交换机，做核心交换，通过CSS技术将两台核心交换虚拟成一台逻辑交换机，实现核心交换机的负载均衡，统一管理，避免单点故障。同时把所有汇聚层交换机与虚拟化之后的核心交换机之间两条上联链路进行跨设备的链路聚合，使网络不仅有设备上和链路上的冗余，还能负载均衡，充分利用网络资源，防止带宽浪费。CSS技术可能因为线缆、堆叠卡故障导致分裂，分裂后的状态会变成两台配置完全相同、且相互独立的核心交换设备，这样会引起整个网络的全面瘫痪，为了避免此类故障发生，在核心交换之间配置双主检测，实现CSS分裂的处理和恢复。为进一步加强安全防护，将所有接入层、汇聚层交换机未连接设备的端口全部禁用。经过此次改造，解决了核心交换设备的冗余及负载均衡问题，提高了网络的可靠性，简化了核心交换的管理，避免了汇聚层到核心层之间的链路环路和带宽浪费。

4、设备的重用：网络改造是对现有资源重新配置并增加功能的过程，合理地保护现有投资是在网络改造时必须考虑的问题。由于大楼建设时，设计为百兆到桌面，墙体内的布线均为百兆的5类双绞线，现在医院的医学影像类文件，多为1G、2G的文件，百兆带宽的链路传输非常慢，已经不能满足现在的需求，所以线路无法再重用，只能重新布线为6类屏蔽双绞线。替换下来的交换机多为百兆交换机，也不能适应现在的千兆到桌面设计，不过此次改造只涉及到综合大楼的线路改造，其他大楼还是百兆链路，办公楼主要做一些文件处理、在线填报报表之类的工作，不涉及影像图片的查看，百兆链路还能满足当前需求，所以选用一些故障率低的百兆交换机，作为办公楼的备用设备，一些经常出故障的设备直接淘汰，不在维修。原有的一台核心交换机为千兆端口的三层交换机，放到功能科室楼，作为汇聚层交换机使用，因为几个未改造的大楼，从数据流量来看，功能科室楼的数据流量比较大，将功能科室楼与综合大楼之间的链路升级成千兆链路，最为合适。

5、部署背靠背模式防火墙：我院原有一台网御硬件防火墙，随着互联网业务不断发展，逐步开放了医院网站平台、网上预约等业务，为加强安全防护，采购一台深信服硬件防火墙，将防火墙改造为背靠背模式，使用两台不同厂家的防火墙，可以有效避免因设备自身安全性引起的网络安全问题。并且将我院网络进行了区域划分，FTP服务器、数据库服务器、DHCP服务器、内网计算机所在的区域划分为信任区域。web服务器、邮件服务器、预约挂号服务器等所在的区域划分为DMZ区域。互联网划分为非信任区域。新购的深信服防火墙为外部防火墙，部署在非信任区域与DMZ区域之间，做访问控制限制除办公楼以外的其他计算机在任何时间都不能访问外网，办公楼的计算机只能在上班时间访问卫生系统要求在线上报的网站。为了保证非信任区域的用户可以访问WEB等服务器，在外部防火墙上配置NAT，将WEB等服务器的私网地址和公网地址进行一对一静态地址转换。将信任区域用户的私网地址和公网地址进行多对多的端口地址转换NAPT，有效的节省了公网IP资源，同时可以使信任区域用户和DMZ区域的服务器对非信任区域隐藏真实地址，进而有效避免非信任区域的直接攻击，保障了业务的正常使用。网御防火墙为内部防火墙，部署在信任区域与DMZ区域之间，做访问控制，限制由DMZ区域、非信任区域发起的对信任区域所有非必要的访问。2台防火墙同时启用监控审计功能，对于可疑情况及时报警，并提供网络受到探测和攻击的详细信息，以便我们可以清楚的知道网络安全存在的问题，并及时进行改进。

6、内网防毒部署。我院原来采用的内网安全措施为，启用联想商用机自带的还原功能，即每次重启对指定盘符进行恢复。经常会因为恢复功能，使存放不当的各类软件日志或一些工作人员数据资料丢失。对于U盘等存储设备采用物理封堵、注册列表禁用方式，效果也不太理想。本次改造采用方式为对我院所有计算机和服务器安装防毒软件，并在DMZ区域部署一台防毒软件服务器，提供信任区域的计算机和DMZ区的服务器在线升级病毒库。防毒软件服务器通过外网在软件厂家网站下载更新包，实现病毒库自动更新，并通过对外网防火墙做访问策略，严格限制防毒软件服务器只能访问病毒库更新地址，拒绝所有非病毒库地址对防毒软件服务器的访问。在防毒软件控制平台将所有医院系统软件进程加入白名单，防止误杀。对安装客户端的计算机进行分组管理，对于普通用户组计算机禁止所有外接存储类设备、无线网卡、光驱、软驱、蓝牙等，且网络访问权限为只能读取不能写入。对于服务器组禁止所有外接存储类设备。全网定时杀毒及更新病毒库，时间定为患者相对较少，计算机又全部开机的时间段，每周六周日下午4点。经过部署防毒软件之后，内网的病毒得到了有效控制，工作人员乱插U盘的现象也彻底杜绝。

总结：

在本次项目中我通过采取上述技术和方法，在资金有限的情况下，使医院网络的安全性、可靠性得到了很大的提升。通过对交换机、防火墙等设备的重用，有效的保护了已有投资，得到了院领导的肯定。不过随着网络技术的发展，会不断涌现新的网络攻击手段与安全威胁，网络安全也将会面临新的挑战。本次改造中由于资金有限，也存在一些问题没有得到完善，如：内网并没有部署入侵检测系统，对于来自网络内部的攻击和安全隐患无法及时发现，下一步在资金允许的情况下将部署IDS与IPS来进一步加强内部网络的安全，并随着信息化建设的发展不断完善。

要：

本人在某医院信息中心工作，我院建设于2012年，随着医疗信息化建设的不断深入，我院的信息化建设已经有了很大进步，在发展过程中我们发现，目前的有线网络已经不能满足智慧医疗的发展趋势，智慧医疗中的移动查房、远程查房、远程会诊等系统，都需要基于无线网络的支持，院领导决定投入200万，于2017年7月进行我院无线网络的全面建设，工期6个月，本人作为信息中心负责人，主持本次项目。我通过对医院环境、需求进行分析，从无线AP的分布及模式选择、无线接入的认证方式、无线网络的设备冗余、接入用户的访问控制等几个方面，进行无线网络的建设。项目完成后，经过一个月的试运行，网络运行基本稳定，得到了院领导的肯定。不过由于资金有限，在入侵检测方面还存在一些不足之处，会在下次无线改造的项目中会加以完善。

正文：

随着我国医疗改革新体制等一系列政策的实施，我国医疗卫生系统信息化建设也呈现出快速发展的趋势。无线网络在我国各个行业的广泛应用，使得医疗行业的医疗终端也开始无线转型，在智慧医疗建设中，基于医院无线建设是必不可少的。本人在某医院信息中心工作，我院建设于2012年，随着医疗信息化建设的不断深入，最近几年我院的信息化建设已经有了很大进步，逐步建设实施了HIS系统，PACS系统，LIS系统，电子病历系统，在发展过程中我们发现原有的有线网络已经不能满足智慧医疗的发展趋势，智慧医疗中的移动护士站、移动医生站、移动查房、远程会诊等系统、都需要基于无线网络的支持，我院领导决定于2017年7月进行我院无线网络的全面建设，工期6个月，本人作为信息中心负责人，负责本次项目的建设工作。考虑到我院原有内网的网络安全性和可靠性，本次无线网络建设并非在原有的有线基础上进行拓展建设，而且将无线网络从无到有整体建设，然后再通过防火墙和我院内网连接，将我院网络打造成2套独立运行又可以相互访问的网络。我通过对医院环境、患者及医护人员需求进行分析，从无线AP的分布及模式选择、无线接入的认证方式、无线网络的设备冗余、接入用户的访问控制、流量控制等几个方面进行了无线网络的建设工作。

1、无线AP的分布及模式选择。从AP模式选择上考虑，部署FAT AP需要逐个配置，管理难度大，维护困难，而且医院门诊部人口较为密集，流动性较大，FAT AP无法实现负载均衡及无缝漫游，会导致用户的体验很差。部署FIT AP+AC的模式，FIT AP可以做到零配置，只需在AC做配置下发，AC可以对FIT AP进行自动分配信道，在受到干扰时切换到最优信道。当个别FIT AP故障之后邻居AP可以提高自身功率弥补覆盖漏洞。防止某个FIT AP接入用户过多，可以实现用户在不同 FIT AP 下的负载均衡。在同一AC控制下的FIT AP之间漫游时可以做到无缝漫游。对比之后决定选择瘦AP+AC模式部署我院的无线网络。从AP点的分布上考虑，我院大楼共有12层，1-3层为门诊部，考虑到室内承重墙对信号的阻隔，门诊部患者较为集中，走廊、医生办公室附近每20米放置一个FIT AP，同时每个拐角处放置一个FIT AP，电梯口放置一个FIT AP，对于患者排队等待区域，根据每日平均患者门诊人次，在等候区域四周均匀放置，每30人次放置一个FIT AP，且FIT AP之间覆盖区域重叠。4-11层为住院部，住院部人员较少，病房、走廊、医生和护士办公室附近每20米放置一个FIT AP，每个拐角放置一个FIT AP，电梯口放置一个FIT AP。12层为手术室，手术室为无菌封闭空间，只在医生办公室和楼层的电梯口放置一个FIT AP。在医院停车场部署的FIT AP，采用防水、防雷的室外型产品，在架设天线时确保天线主波束方向正对覆盖目标区域，保证其良好的覆盖效果。通过以上部署，实现我院从停车场到大楼的全范围无线覆盖。

2、无线接入的认证方式。从我院无线网络接入的用户角色区分，可分为两类，一类是就诊的患者及家属，主要通过无线网络访问外网。一类是我院智慧医疗的各种移动设备终端，主要通过无线网络访问我院DMZ区域各服务器、前置机。考虑到移动设备终端的操作系统局限性，所有用户都采用portal认证不现实，所以采用MAC和portal两种认证方式。在AC上创建2个无线网络，使2个无线网络接入的用户获取不同的IP地址，划分成不同的VLAN，一个供患者及家属使用，默认启用SSID广播，使用portal认证方式，portal认证可以不需要用户安装客户端软件，通过WEB页面进行认证，同时将WEB页面设为公益广告、国家医疗政策推广、医院医疗水平介绍，可以加大各方面的宣传力度，同时可以对接入用户做安全策略，限制接入用户可访问的资源。一个供我院智慧医疗移动设备终端使用，默认禁用SSID广播，受限于移动终端的操作系统局限性，不能使用portal认证，使用MAC认证方式，由于设备数量不多，具有实现方便，规划简单等优点。

3、无线网络核心设备冗余。考虑到无线网络由于交换机或链路故障造成的网络瘫痪，采用双核心网络结构，采购2台华为S7900系列全万兆端口三层交换机，做核心交换，通过CSS技术将两台核心交换虚拟成一台逻辑交换机，实现核心交换机的负载均衡，统一管理，避免单点故障。同时把所有汇聚层交换机与虚拟化之后的核心交换机之间两条上联链路进行跨设备的链路聚合，使网络不仅有设备上和链路上的冗余，还能负载均衡，充分利用网络资源，防止带宽浪费。CSS技术可能因为线缆、堆叠卡故障导致分裂，分裂后的状态会变成两台配置完全相同、且相互独立的核心交换设备，这样会引起整个网络的全面瘫痪，为了避免此类故障发生，在核心交换之间配置双主检测，实现CSS分裂的处理和恢复。为进一步加强安全防护，将所有接入层、汇聚层交换机未连接设备的端口全部禁用。考虑到由于AC故障或链路中断可能导致的无线网络故障问题，我们采购2台华为AC6000系列无线接入控制器，双AC采用热备方式，分别旁挂在2个核心交换机上，当主AC出现故障后备用AC立即接替主AC的工作，保障网络正常运行，有效避免出现网络的单点故障。

4、接入用户的访问控制、流量控制。考虑到我院内网的安全性、可靠性，在新建无线网络和有线内部网络之间部署一套硬件防火墙，设置安全策略只允许我院智慧医疗移动设备终端所在网段可以访问DMZ区域的智慧医疗前置机，拒绝其他无线用户的访问。开启监控审计功能，对于可疑情况及时报警，并提供网络受到探测和攻击的详细信息，以便我们可以清楚的知道网络安全存在的问题，并及时进行改进。在出口路由器上做网络流量控制，对我院移动终端设备的网段进行带宽保障，保证接入用户高峰时段，我院智慧医疗业务的正常开展不受影响，对患者接入网段进行限速，限制P2P下载、网络视频等应用占用过多带宽。

总结：

在本次项目中我通过采取上述技术和方法，在资金有限的情况下，完成了我院无线网络的建设。同时在医院内部网络不受到安全威胁的情况下，使无线网络的安全性、可靠性得到了保障。经过一个月的试运行，网络运行基本稳定、用户体验良好，得到了院领导的肯定。不过随着网络技术的发展，会不断涌现新的网络攻击手段与安全威胁，网络安全也将会面临新的挑战，本次无线网络建设没有部署入侵检测系统，下一步在资金允许的情况下将部署IDS与IPS来进一步加强网络的安全，并随着信息化建设的发展不断完善。

　　在储存信息方面，硬盘与DNA相去甚远。我们的基因编码只需一克就能包含数十亿Gb信息，一毫克就能收录美国国会图书馆中的所有藏书内容，而且还能剩下足够多的空间。当然，所有这一切只是理论上的推断。现在，研究人员成功将一本书储存在不到1微微克（10?12克）DNA中。这本HTML格式的书包含53,000个单词和11幅JPEG图像，以及一段JavaScript程序，大小为5.3MB，研究人员将其翻译成DNA序列，每比特一碱基，碱基流然后以96碱基分组，每组链接到一个19碱基地址，地址指示了数据储存在位置。所有这些序列用合成机器转成DNA，打印在DNA芯片上。

　　DNA是已知密度最高也最稳定的信息存储介质。理论上而言，DNA的每个核苷酸可以编码两个比特，每克单链DNA的存储容量可达455艾字节（1艾字节=10的18次方字节，1字节=8比特），大约相当于1000亿张DVD光盘的容量，存储密度几乎是闪存等现有数字媒体的五六百倍。而且，存储在DNA中的数据时隔几千后年仍能够被读出。

　　此前曾有研究人员尝试过将数据写进活细胞的基因组内，但这种方法存在很多问题：首先，一旦细胞死亡，存储的内容将会丢失；其次，细胞会分裂复制，在这一过程中可能会产生新的变异，从而更改存储数据。此外，利用DNA长序列读取和写入数据存在一定难度，而且成本很高，这使得利用DNA进行大规模数据存储不太现实。

　　为了解决这些问题，哈佛医学院合成生物学家乔治·丘吉尔带领的研究团队不使用细胞，而是用喷墨打印机将化学合成的DNA短片段嵌入到一个微小的玻璃芯片表面。他们将一本由丘吉尔参与编写的遗传学课本转换成“0”和“1”的比特形式，并用DNA的4个碱基中的A或C来编码 “0”，G或T来编码“1”，从而将课本内容写入了DNA中。这个DNA芯片采用了类似于计算机硬盘分区的方式，将课本内容分散为数据块来存储。

　　读取这些数据则需要一个DNA测序仪和一台计算机。由于每个DNA片段中都包含着一个数字“条形码”，记录了其在原始文件中的位置，因此所有的片段可被重新组装，并转换成数字格式。电脑还能帮助纠错：每个数据块都被复制了数千次，通过与其他副本相比较，任何一个小错误都可以被识别并修复。

　　研究人员将课本内容存入DNA，然后又重新转化为数字形式读出，结果显示，这个存储系统的底层读取错误率为每百万比特只有两个错误，可与DVD比肩，远远优于磁性硬盘驱动器。不过，由于数据编码是与DNA合成同步完成的，因此这种方式不支持可擦写数据存储，但适用于长期归档存储。

　　研究人员表示，因受操作成本、速度（此次花了大约几天时间）和测序仪大小的制约，将DNA作为一种通用的数据存储介质目前还不切实际，但这一领域正在快速发展，未来5年到10年内有望开发出比传统数字存储设备更快、更小、更便宜的DNA存储技术。