网络通信 频道

规范建设 网络更自如

“我不能因为我的无能而去限制或禁止医院的同事们自由地使用网络,当然一定的规范或规则还是要遵守的。”——北京协和医院网络中心主任宋忠良感言。

心得一:从未停歇的网络建设

据宋主任介绍,医院从1996年门诊楼的布线工程实施后,部门内部的网络就 逐渐相互联接起来,之后联网部门越来越多,网络也随之越来越大。到1997年底,网络结构还很简单,基本上属于由中心交换机辐射向四周的小Hub构成的分支,顶多在远点的地方用一个中等交换机作接续,所以当时的主要特点就是接入点不多且很分散。当护士工作站开始上马后,联网计算机的数量才有了一个较大的飞跃。医院也随即进行了第一次批量设备购买,当时实现的是100M主干和10M到桌面的网络。

2001年,医院网络最大的改变就是VLAN(虚拟子网)的划分和网络的一次简单升级。宋主任回忆说,从2001年开始对网络进行了简单的升级后,网络容量扩增了许多,主干网升级到了1000M,桌面升级到了100M。同时为了减少网络内的广播,很大的工作量还体现在运用VLAN技术将网络划分成众多子网,并用ACL将业务用户(也就是通常所说的内网)和Internet用户(也就是通常所说的外网)进行了隔离。这使得所有业务用计算机都可以同在一个子网中,即所谓的内网,而其他计算机则又按楼宇划分为多个子网。

对于三年多的网络建设与维护,宋主任总结道,“这期间主要还是集中在增加接入设备以扩展网络的接入能力,但并没有实施其他任何功能上的扩展和改进。”据悉,该网络结构一直沿用到最近一次,即2005年10月份开始的网络改造动工前。

记者从采访中了解到,过去几年中,协和医院网络曾发生过多次大大小小的故障,特别是近一两年内病毒和意外事故的频发,对网络正常运行造成了或大或小的影响,但是最严重的时候则导致医院全网的瘫痪,这无疑暴露出当前网络中存在的诸多缺陷。因此,通过大量的数据统计和分析,医院决定从2005年10月份开始对全网进行较大规模的改造,其中主要针对汇聚层和核心层的网络硬件设备和部分软件产品,据了解,这一次的网络改造可谓是系统级的网络基础建设的彻底改造。

心得二:架构不对,网络如履薄冰

众所周知,2002年左右正是网络发展过程中问题最为突出的时候,其中尤以病毒最具代表性。对于协和医院来说,近两三年间如BT下载、在线观看电影、随意外接电脑、应用QQ等IM软件聊天……无论是应用的种类还是应用量,都在考验着医院的网络安全保障、有效的带宽以及网络整体运行的支撑能力,表现为服务器存储量不足、网络交互量过大以及网络安全问题等。据了解,期间最严重的时候全院网络曾瘫痪2个多小时。对此,医院专门组织人员做了大量的数据统计和分析。结果证明,只有12%的问题是出现在电源上,而另外80%以上的故障则都是因为病毒引起的。

对于这样的结果,宋主任坦言,网络就是拿来用的,应用越丰富才使网络本身拥有更多的提升空间。作为网络管理和运维人员,不能期望通过对员工上网行为的控制,如禁止或不允许等行为,保证医院网络的健康运行。他认为这样的做法违背了网络存在的本质,并且违背了人们应用网络的初衷,因此虽然整个医院的网络已经部署了先进的设备并在行业内已表现出相对先进的性能,但是宋主任还是非常谦虚地表示,只要是由于应用导致的网络故障都只能归咎到网络基础架构和运维者的管理不当,但这并非放弃管理,而是追求更简捷、更有效的管理,对此,他这样表述:“这种做法不是不让使用者出拳,而是要求他们不出怪拳、要出就出正经八百的拳。”

相应地,在这种观点的前提下,他们正在把网络应用层出现的问题下放到网络层及更底层去解决,而这种解决方案的潜台词就是在充分保证使用者对网络的绝对使用权的前提下,网络运维人员需要从底层网络的彻底改造保障整个医院网络的正常运行。于是,通过对当时网络结构和设备配置的仔细分析后,医院网络中心的工作人员意识到早先的网络架构存在很大的问题,具体为:首先是原先的星型网络结构难以实现交换和路由时链路的冗余,这使得每一个汇聚或核心交换机/路由器一旦出现故障时,整个网络就无法继续流通;其次是,由于没有实施基于角色的访问控制,使得由VLAN划分出的每个子网内的终端机器可以顺利通过路由访问到其他子网内的机器,而这也同样给病毒创造了肆意传播的机会;此外还包括原有网络缺乏可扩展性、抗打击能力不足、IP地址数量有限,以及缺乏桌面级控制和管理等。有鉴于此,协和医院从2005年10月开始,划拨了800万左右的经费狠下决心实施全院网络的整体改造,其中重点就是网络架构的重新规划和部署。

如今,协和医院对网络的改造已经接近尾声,纵观整个的改造过程,对网络架构的交换或路由的改造、以及加入基于角色的访问控制是最显著的成果,实现了具备关键链路冗余的三层交换网络,同时更有效地解决了网络的可扩展性和病毒等安全问题。据了解,全网改造工程将于2006年2月全部结束。

心得三:集成商没得靠,得靠自己

宋主任经常组织或参加同行们的沙龙或讨论会,据他介绍,通过长期参与这些行业内同仁的自发交流,除了对自身医院网络面临的问题得到或多或少的建议,还能借鉴同行们在细微实践中的经验和教训。宋主任表示,当初在建设网络时,医院的人员作为用户还没有对自身的网络需求做充分的调研和规划,而那时,很多应项目而来的专业厂商却并没能提供足够的咨询服务,而且厂商所给的解决方案往往难以面向特定的某个用户网络,常常是千篇一律地产品和千篇一律的方案,以至于方案实施后也很难一下落实到医院网络的具体应用上,这样的做法使得用户和厂商之间没有达到有效的沟通,最后造成的问题就是实施后的方案并没有完全从用户的网络需求现状考虑,因此很难匹配用户网络的真正应用需求。

谈到这些,宋主任表示很遗憾,但同时很期望,能有相应的集成商为用户提供详尽的咨询服务。具体而言,就是说在项目投标时,尽可能细致地帮助用户分析实际情况,从而给出一个适合该用户的解决方案。当然,对于这种服务的实现,宋主任也表示,在当前的网络发展状况下,对于服务的界定也的确是业内共同面临的一个大问题,因此,目前对这种服务的需求虽然还未能实现,但他相信这样的服务及服务商的出现是必然的,一切只是时间的问题。

背景链接

2006年6月13日,北京市卫生局签发了“关于开展制定北京市医院网络及安全建设规范有关工作的通知”的文件。

上述文件指出:“各区县卫生局以及各有关医疗机构特别是部分一、二级医院的网络建设水平标准不统一、安全管理制度尚不健全,对全市公共卫生信息系统整体建设和相关信息资源共享将产生不利影响。” 由此,文件中还明确指出由北京市公共卫生信息中心作为总体牵头部门、由北京同仁医院信息中心作为组织协调小组、由北京协和医院网络中心作为技术指导小组,分别履行各自职责、协同配合,通过考察相关医院的网络设施,并组织专家和有经验的技术人员共同商榷,用半年的时间,制定出《北京市医院网络及安全建设规范》、《北京市医院信息系统管理工作规范》;用一年的时间,对北京市各区县卫生局、各医院的主管领导、信息中心负责人进行全面培训和推广。

此外,6月13日签发的文件中还大力提倡具备相关能力的各IT公司能积极参与。据悉,目前已经有众多知名的国内外IT厂商主动参与进来,详尽事宜已在洽谈中。

 

转载地址:http://www.net130.com/CMS/Pub/network/network_manage/2006_08_23_89125.htm

0
相关文章