【摘要】 运用VLAN技术将信息网中不同的信息子系统用户、不同工作性质的用户进行分组,既划分为不同的VLAN(虚拟局域网)。从网络安全、用户工作性质和必须访问信息的内容等情况考虑,合理制定各VLAN用户的访问策略和对各VLAN用户工作站的管理策略。充分发挥交换机、防火墙的功能,在不增加投资、确保网络安全的情况下,改善信息网络环境,提高工作效率。
【关键词】 网络设计 VLAN技术 网络结构模型 网络互连
随着计算机网络技术的不断发展,虚拟局域网(VLAN)技术在各行业网络中的应用越来越普遍,以千兆3层交换为核心的网络模型更是为VLAN技术的应用创造了条件。
1 问题的提出
在传统的局域网网络模型结构设计中,所有用户设在同一局域网内,将会引起网络性能的下降,浪费带宽资源,而且容易形成广播风暴和隐藏网络安全方面的问题,甚至不得已将原来的网络推倒重建。
为了防止计算机病毒和网络黑客入侵影响医院信息系统的稳定运行,理论上要求医院信息网与其他外网物理隔离; 另一方面, 院决策机关和医务人员对Internet网上信息资源的需求很大,工作人员的计算机希望连入 Internet网,这就形成了一对矛盾。解决的方法,可以采用双工作站或一个工作站双网卡、双硬盘、双系统的方式。但是,这种方式不但要增加医院网络建设的投资,而且只能解决医院信息网与院外网的物理隔离问题,既不能充分利用院外网的网络资源来改变医院信息网仍然是信息孤岛的现状,也不能解决医院信息网的其他安全问题和网络的运行效率问题。而通过VLAN技术和防火墙的合理设置,问题就可迎刃而解了。
2 VLAN技术的应用
2.1 VLAN的划分 医院信息目前大致可以这样划分:HIS的信息、RIS信息、LIS的信息、PACS的信息、图书杂志数据库信息、监控系统音视频信息等。在医院信息网内部各业务子系统间,原则上按信息系统划分VLAN;对决策机关用户,根据用户的工作性质、各服务器被访问的情况综合考虑后进行分组划分VLAN。
2.2 VLAN用户访问策略的制定 根据各VLAN用户必须访问的信息内容和工作性质,决定其访问网络信息的权限,利用三层交换机访问控制列表及其路由功能,制定各VLAN用户之间的互访和跨VLAN访问信息的策略。如HIS、LIS、RIS、PACS这些业务子系统用户可以互访,所有用户可以访问图书杂志数据库信息、办公信息等。政工、行政管理部门的人员所在VLAN用户、院外网上的其他用户(既有光驱、软驱的工作站)不能直接访问HIS、LIS、RIS、PACS这些业务子系统的信息。禁止有光驱、软驱的工作站与无光驱、无软驱并禁用移动存储介质和无线上网卡的工作站互相访问。 2.3 VLAN用户工作站管理策略的制定 对医院信息网络来说,HIS、LI S、RIS、PACS这些业务子系统的信息是最重要的,因此,对这些VLAN用户宜采用无光驱、无软驱、禁用移动存储介质和无线上网卡的工作站。在图书室建立电子阅览室,供业务人员上Internet网查阅资料。对同时允许机关管理、科室业务人员、外网用户访问的存放共享信息的服务器群VLAN用户应该重点加装软、硬件防火墙和查杀计算机病毒程序。政工、行政管理部门的人员所在VLAN用户、允许访问外网的其他用户一般采用有盘工作站,这些工作站必须路经防火墙后才能访问医院网络上的公共信息。
3 防火墙的应用
在医院信息网络到院外网的出口处加装硬件防火墙,主要功能为实现数据包的转发、包过滤、访问控制和防止入侵与攻击。政工、行政管理部门的人员所在VLAN用户有盘工作站也从防火墙外接入,确保HIS、LIS、RIS、PACS这些业务子系统的安全。在同时允许医院、外网用户访问的存放共享信息的服务器群VLAN上安装网络杀毒软件、计算机病毒防火墙和网络管理软件,强化网络管理。
4 结论
通过VLAN的划分,对医院内部局域网来说,在原有HIS的网络设备基础上进行升级,扩展医院办公信息系统、PACS、LIS、RIS以及监控系统时,可以将上述系统集在同一局域网内,由于网络的环境得到了改善,可以满足各系统对网络带宽的要求,PACS的影像传输速度和LIS、HIS的信息调用及发送速度可以明显加快,而HIS本身的速度并不会受到影响,医院本身的网络布线并不需要发生大的改变,硬件设施也不需要过多增加;对Internet网上和地方医保网来说,只需在院内局域网出口处加装硬件防火墙确保网络安全外,不需要任何其他投资,就可以实现医院信息网与Internet网上和地方医保网的连接,使医院在节约成本的同时提高了医院信息网的工作效率,能够适应医院管理不断提出新要求的特点,为建立全国性医疗卫生信息网做好准备。