【摘要】運(yùn)用VLAN技術(shù)將信息網(wǎng)中不同的信息子系統(tǒng)用戶、不同工作性質(zhì)的用戶進(jìn)行分組，既劃分為不同的VLAN（虛擬局域網(wǎng)）。從網(wǎng)絡(luò)安全、用戶工作性質(zhì)和必須訪問信息的內(nèi)容等情況考慮，合理制定各VLAN用戶的訪問策略和對(duì)各VLAN用戶工作站的管理策略。充分發(fā)揮交換機(jī)、防火墻的功能，在不增加投資、確保網(wǎng)絡(luò)安全的情況下，改善信息網(wǎng)絡(luò)環(huán)境，提高工作效率。

　　【關(guān)鍵詞】網(wǎng)絡(luò)設(shè)計(jì)  VLAN技術(shù)  網(wǎng)絡(luò)結(jié)構(gòu)模型  網(wǎng)絡(luò)互連

　　隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，虛擬局域網(wǎng)（VLAN）技術(shù)在各行業(yè)網(wǎng)絡(luò)中的應(yīng)用越來越普遍，以千兆3層交換為核心的網(wǎng)絡(luò)模型更是為VLAN技術(shù)的應(yīng)用創(chuàng)造了條件。

　　1  問題的提出

　　在傳統(tǒng)的局域網(wǎng)網(wǎng)絡(luò)模型結(jié)構(gòu)設(shè)計(jì)中，所有用戶設(shè)在同一局域網(wǎng)內(nèi)，將會(huì)引起網(wǎng)絡(luò)性能的下降，浪費(fèi)帶寬資源，而且容易形成廣播風(fēng)暴和隱藏網(wǎng)絡(luò)安全方面的問題，甚至不得已將原來的網(wǎng)絡(luò)推倒重建。

　　為了防止計(jì)算機(jī)病毒和網(wǎng)絡(luò)黑客入侵影響醫(yī)院信息系統(tǒng)的穩(wěn)定運(yùn)行，理論上要求醫(yī)院信息網(wǎng)與其他外網(wǎng)物理隔離； 另一方面， 院決策機(jī)關(guān)和醫(yī)務(wù)人員對(duì)Internet網(wǎng)上信息資源的需求很大，工作人員的計(jì)算機(jī)希望連入 Internet網(wǎng)，這就形成了一對(duì)矛盾。解決的方法，可以采用雙工作站或一個(gè)工作站雙網(wǎng)卡、雙硬盤、雙系統(tǒng)的方式。但是，這種方式不但要增加醫(yī)院網(wǎng)絡(luò)建設(shè)的投資，而且只能解決醫(yī)院信息網(wǎng)與院外網(wǎng)的物理隔離問題，既不能充分利用院外網(wǎng)的網(wǎng)絡(luò)資源來改變醫(yī)院信息網(wǎng)仍然是信息孤島的現(xiàn)狀，也不能解決醫(yī)院信息網(wǎng)的其他安全問題和網(wǎng)絡(luò)的運(yùn)行效率問題。而通過VLAN技術(shù)和防火墻的合理設(shè)置，問題就可迎刃而解了。

　　2  VLAN技術(shù)的應(yīng)用

　　2.1 VLAN的劃分  

　　醫(yī)院信息目前大致可以這樣劃分：HIS的信息、RIS信息、LIS的信息、PACS的信息、圖書雜志數(shù)據(jù)庫(kù)信息、監(jiān)控系統(tǒng)音視頻信息等。在醫(yī)院信息網(wǎng)內(nèi)部各業(yè)務(wù)子系統(tǒng)間，原則上按信息系統(tǒng)劃分VLAN；對(duì)決策機(jī)關(guān)用戶，根據(jù)用戶的工作性質(zhì)、各服務(wù)器被訪問的情況綜合考慮后進(jìn)行分組劃分VLAN.

　　2.2 VLAN用戶訪問策略的制定 

　　根據(jù)各VLAN用戶必須訪問的信息內(nèi)容和工作性質(zhì)，決定其訪問網(wǎng)絡(luò)信息的權(quán)限，利用三層交換機(jī)訪問控制列表及其路由功能，制定各VLAN用戶之間的互訪和跨VLAN訪問信息的策略。如HIS、LIS、RIS、PACS這些業(yè)務(wù)子系統(tǒng)用戶可以互訪，所有用戶可以訪問圖書雜志數(shù)據(jù)庫(kù)信息、辦公信息等。政工、行政管理部門的人員所在VLAN用戶、院外網(wǎng)上的其他用戶（既有光驅(qū)、軟驅(qū)的工作站）不能直接訪問HIS、LIS、RIS、PACS這些業(yè)務(wù)子系統(tǒng)的信息。禁止有光驅(qū)、軟驅(qū)的工作站與無(wú)光驅(qū)、無(wú)軟驅(qū)并禁用移動(dòng)存儲(chǔ)介質(zhì)和無(wú)線上網(wǎng)卡的工作站互相訪問。 2.3 VLAN用戶工作站管理策略的制定  對(duì)醫(yī)院信息網(wǎng)絡(luò)來說，HIS、LI S、RIS、PACS這些業(yè)務(wù)子系統(tǒng)的信息是最重要的，因此，對(duì)這些VLAN用戶宜采用無(wú)光驅(qū)、無(wú)軟驅(qū)、禁用移動(dòng)存儲(chǔ)介質(zhì)和無(wú)線上網(wǎng)卡的工作站。在圖書室建立電子閱覽室，供業(yè)務(wù)人員上Internet網(wǎng)查閱資料。對(duì)同時(shí)允許機(jī)關(guān)管理、科室業(yè)務(wù)人員、外網(wǎng)用戶訪問的存放共享信息的服務(wù)器群VLAN用戶應(yīng)該重點(diǎn)加裝軟、硬件防火墻和查殺計(jì)算機(jī)病毒程序。政工、行政管理部門的人員所在VLAN用戶、允許訪問外網(wǎng)的其他用戶一般采用有盤工作站，這些工作站必須路經(jīng)防火墻后才能訪問醫(yī)院網(wǎng)絡(luò)上的公共信息。

　　3  防火墻的應(yīng)用

　　在醫(yī)院信息網(wǎng)絡(luò)到院外網(wǎng)的出口處加裝硬件防火墻，主要功能為實(shí)現(xiàn)數(shù)據(jù)包的轉(zhuǎn)發(fā)、包過濾、訪問控制和防止入侵與攻擊。政工、行政管理部門的人員所在VLAN用戶有盤工作站也從防火墻外接入，確保HIS、LIS、RIS、PACS這些業(yè)務(wù)子系統(tǒng)的安全。在同時(shí)允許醫(yī)院、外網(wǎng)用戶訪問的存放共享信息的服務(wù)器群VLAN上安裝網(wǎng)絡(luò)殺毒軟件、計(jì)算機(jī)病毒防火墻和網(wǎng)絡(luò)管理軟件，強(qiáng)化網(wǎng)絡(luò)管理。

　　4  結(jié)論

　　通過VLAN的劃分，對(duì)醫(yī)院內(nèi)部局域網(wǎng)來說，在原有HIS的網(wǎng)絡(luò)設(shè)備基礎(chǔ)上進(jìn)行升級(jí)，擴(kuò)展醫(yī)院辦公信息系統(tǒng)、PACS、LIS、RIS以及監(jiān)控系統(tǒng)時(shí)，可以將上述系統(tǒng)集在同一局域網(wǎng)內(nèi)，由于網(wǎng)絡(luò)的環(huán)境得到了改善，可以滿足各系統(tǒng)對(duì)網(wǎng)絡(luò)帶寬的要求，PACS的影像傳輸速度和LIS、HIS的信息調(diào)用及發(fā)送速度可以明顯加快，而HIS本身的速度并不會(huì)受到影響，醫(yī)院本身的網(wǎng)絡(luò)布線并不需要發(fā)生大的改變，硬件設(shè)施也不需要過多增加；對(duì)Internet網(wǎng)上和地方醫(yī)保網(wǎng)來說，只需在院內(nèi)局域網(wǎng)出口處加裝硬件防火墻確保網(wǎng)絡(luò)安全外，不需要任何其他投資，就可以實(shí)現(xiàn)醫(yī)院信息網(wǎng)與Internet網(wǎng)上和地方醫(yī)保網(wǎng)的連接，使醫(yī)院在節(jié)約成本的同時(shí)提高了醫(yī)院信息網(wǎng)的工作效率，能夠適應(yīng)醫(yī)院管理不斷提出新要求的特點(diǎn)，為建立全國(guó)性醫(yī)療衛(wèi)生信息網(wǎng)做好準(zhǔn)備。