1 医院信息化网络的发展随着医药卫生体制改革的深入及医院服务模式的改变，医院信息系统（HIS）已成为现代化医院的基础，是医疗体制改革顺利实施的基本保障。

随着医院信息化建设进程的加速，医院信息系统正逐步实现从以经济财务为主线的管理信息系统（HMIS），向以病人为中心的临床信息系统（CIS）拓展，实现与医保系统的双向交互，利用远程医疗技术，为病人提供多种形式的医疗服务。

《全国卫生信息化发展规划纲要（2003-2010）》提出：到2008年底，省级医院及中心城市医院应全部实现医院信息网络化管理，县级医院及社区医疗机构应有60%实现医院信息网络化管理。

1.1 医院信息化建设存在的问题随着HMIS应用范围在不断扩大，以病人为中心的临床信息系统如医生工作站系统、电子病历系统、LIS、PACS等的开发应用正在逐步加深，基于网络环境下的其它应用如办公自动化系统、数字图书馆等也相继展开。

原有的信息系统平台，无论是网络带宽、网络设备性能，还是服务器性能以及存储体系等，都严重影响了医生工作站、护士工作站、电子病历系统、LIS、PACS等业务开展。

很多医院原有网络系统设计上存在多个单点故障，而任何一个单点故障都会造成整个网络系统瘫痪，使医院出现大面积的业务停滞，医院的声誉和收入将受到巨大损失。

因此，建设高安全、高可靠、高性能的数字化医院网络，势在必行。

1.2 “安全、管理和应用”是医院信息化建设的三个支点医院信息化网络是医院信息化应用系统的承载平台，在辅助医院提高工作效率和服务病人的同时无疑这些新的应用对网络的性能、可靠性、安全性、运维能力等提出了更高的要求；随着网络应用的深入和医院业务对网络依赖性的增加，首先网络安全成为影响网络深入应用的一个重大障碍。

医院信息化网络的安全特性，就好比一个人的免疫系统一样，有了强健的免疫系统，才能抵御来自外部或内部的病毒的入侵。

另一方面网络的连通性使得越来越多的计算机和服务器被整合到了一起，不同的厂商、产品形成异构的网络环境，而信息流量成几何级数增长，网络系统的迅速膨胀使得传统手工管理的模式受到严峻的挑战，因此网络综合平台管理也成为网络走向深层次应用的障碍之一。

医院信息化网络的管理特性，就好比一个人的中枢神经系统一样，有了强健的体魄，没有有效的中枢神经系统的管理，这个人就是植物人。

对于网络而言，硬件建设再先进，没有相应的管理系统，也是极其脆弱的系统，禁不起任何风吹雨打。

建设网络，是为了应用，网络是根，应用就是大树，有了安全可靠、性能卓越的网络，才能为医院应用系统正常运行打下良好的基础。

2 ZTE数字化医院网络解决方案2.1 坚持“应用为本”的建设思路作为全球领先的综合性通信制造业上市公司和近年全球增长最快的通信解决方案提供商，ZTE在医院信息化领域将目光聚焦于除信息应用系统之外其他所有的子系统：局域网、用户管理系统、网络管理系统以及安全控制系统。

与一般方案提供商不同的是，ZTE的着眼点不仅仅是如何让网络更加“好用”，而是进一步站在网络用户的角度上，考虑如何更好的“用好”网络，使得医院投资的网络能够取得更好的效果，发挥更大的作用。

由于网络是为应用而建，因此，ZTE直接为应用设计网络设备，直接为应用设计网络。

虽然ZTE不提供信息应用系统，但是，ZTE追求的是用户、网络供应商和应用系统供应商的三赢。

这，就是ZTE的数字化医院网络设计理念。

2.2 强健的体魄――ZTE电信级网络解决方案做为电信级网络设备解决方案提供商，ZTE采用电信级的设备，电信级的网络高技术，为医院信息化网络定制了电信级的医院网络解决方案。

作为医院信息化所有应用的基础承载，网络必须能够有效的传送与转发各种应用数据，而这些应用数据可能对网络需求差异很大，因此综合应用承载网要能够象海纳百川般满足所有应用对网络的需求。

2.2.1 QoS对于各种应用来说，网络是否满足要求关键就是要看网络能否满足应用所需要的服务质量QoS。

ZTE的网络解决方案主要从以下三个方面满足各种应用所需的QoS。

l基于网络节点设备的QoS保障机制；ZTE的全线交换机、路由器都有完备的QoS保障机制，二层设备采用802.1p，三层设备采用DiffServ机制，各层次设备均有丰富的队列调度和拥塞控制机制，充分保障各种业务不同的QoS要求。

l基于网络链路拓扑的MPLS；随着对MPLS技术的理解和应用的不断深入，人们发现MPLS技术不仅仅能够提供VPN业务，而且还是实现TE（Traffic Engineering，流量工程）的最佳手段。

MPLS可以：Ø映射业务流到已存在的物理拓扑Ø完成不同区域QOS的传递Ø更好的利用可用带宽，在非最短路径上转发数据Ø快速的故障恢复：快速重路由（ms级）作为中国MPLS国家标准的制定者，ZTE开通了国内第一个MPLS商用网络，开通了国内最大的MPLS网络，ZTE在MPLS技术积累使得ZT在网络的TE上提供了领先的解决方案。

l基于深度业务感知的DPI技术。

ZTE的DPI（深度报文检测）技术能够配合服务器，感知流量中的VOIP、数据、多媒体等，动态调整带宽以及Qos，为用户提供最优化的网络资源。

配合网管系统和策略服务器，能够充分考虑和利用企业网带宽资源，实现网络智能QoS。

2.2.2 策略路由和智能NAT对于医院信息化网络出口路由器，往往会遇到多出口路由以及NAT。

ZTE的路由器设备，可以根据目的地址、源和目的端口号等策略路由灵活选择路由出口。

并且支持全面的NAT 功能,支持静态NA T、动态NA T、PA T。

同时，还能配合IPv4/v6双栈协议进行基于IPv6的策略路由和智能NAT。

这样，可以有效提高业务转发的效率，增加业务转发路径选择的合理性。

2.2.3 IPv6 readyIPv6已经在IP网络发展的必然趋势，各科研院校、运营商都已经对IPv6网络进行了相当的程度的实验与建设，医院信息化网络向IPv6网络的迁移也将是随着全国卫生网络建设深入后的必然趋势。

作为国内首家通过“IPv6 Ready”认证的厂商，ZTE目前已经通过“IPv6 Ready”Phase-II的认证，全线路由器和中高端交换机均支持IPv4/v6双栈功能，支持各种过渡技术，能够提供真正的IPv6 Ready的医疗卫生网。

2.3 健全的免疫――ZTE网络安全解决方案目前对医疗行业提供的网络安全技术解决方案中，以防火墙（FW）+防病毒（AV）为主流选择。

A V、FW 在第一期的安全建设中，是必须的。

但随着应用的深入和网络安全环境的日益恶化，这些安全技术手段逐步暴漏出某些“先天不足”的问题。

但近年来随着大规模DOS 攻击、黑客攻击、蠕虫病毒、垃圾邮件等的大量泛滥我们的城门一次次“失守”，为什么我们寄予厚望的的安全产品仿佛一夜间变得如此脆弱了呢？这里固然有安全环境的变化的原因，重要的是我们对于安全产品的部署和认识存在着误区，首先认为防火墙是“万能”的；第二是防火墙产品本身技术上的不足：Ø被动式的防御措施Ø不能防范不经过防火墙的攻击（包括来自网络内部的攻击和网络旁路的存在）Ø不能防范新的威胁和攻击Ø不能防范基于内容的攻击Ø和其它网络基础系统的连动2.3.1 DPI深度报文检测技术ZTE交换机支持内置DPI基于流检测方式，例如可以针对P2P流量选择处理方式：丢弃、流限速或者不对流量处理等。

采用DPI技术可以防范越来越多的基于内容的攻击。

2.3.2 CPU保护技术和双CPU技术ZTE交换机支持CPU保护技术以及双CPU技术，CPU保护技术和双CPU技术保证网络设备在异常网络环境（恶意攻击或病毒泛滥）中可管理可控制。

双CPU处理：ZTE 设备分别配置RPU 和MPU当处理大流量报文和复杂业务占用大量RPU处理资源时，依然能够保证设备可管理可控制。

从而可以实现：ü优先保证关键控制报文的处理。

根据控制报文的关键程度划分处理优先级，在资源竞争的情况下，优先保证关键业务；ü提升了设备的抗攻击能力。

即使在设备在异常的网络环境中（恶意攻击）运行，也可以保证CPU利用率在一定范围之下，一般在30％以下；ü可以通过命令调整CPU保护参数，针对特殊网络环境进行优化。

2.3.3 精确ACL控制防止病毒泛滥ZTE交换机和路由器支持强大的ACL功能，合理采用ACL技术能有效控制网络病毒传播范围。

对于网络病毒特殊的TCP/UDP端口号，通过ACL禁止转发，有效限制病毒传播的范围；对于用户所发出的DNS解析报文，交换机可识别出WWW域名，可以禁止用户对某些Web 站点的访问；对于特定的用户VLAN，可以限制特定用户的网络访问范围2.3.4 双漏桶过滤技术A系列接入交换机支持双漏桶过滤技术，能有效区分病毒流和正常用户业务流，从而采用不同的过滤策略，保障用户正常业务流量的顺利通行。

2.4 敏感的神经――用户管理系统有了一个高性能的网络平台，还要有强有力的网络管理与控制系统，来控制网络中非法操作与垃圾信息泛滥的情况。

2.4.1 实名认证策略――只接入可信任的用户ZTE实名认证策略是以ZXiSAM用户认证管理系统为基础，配合承载网中的网络认证设备实现的，包括用户接入认证、用户定位、用户信息复合绑定、防代理私接、DHCP 策略服务、用户终端管理等功能模块组成。

其中用户接入认证、用户定位、用户信息复合绑定、防代理私接、DHCP 策略服务这些功能模块都是为了保证合法用户的安全接入，防止非法用户进入网络。

2.4.2 用户终端管理――用户行为管理和控制用户终端管理功能则包括了用户终端软硬件资产管理、终端系统补丁管理、终端用户行为控制以及文件策略管理。

通过用户终端管理功能，可以有效保证资产清晰、补丁完整、行为可控、文件安全。

安全中心可以对所有客户端进行控制及管理——包括应用程序强行下发。

如果被检测到没有安装防病毒软件，提示安装，否则不予上网；或者选择强制安装某种防病毒软件；补丁下载中心则可以对用户实行补丁级别管理，可以按照如下策略管理用户端补丁的安装与管理：Ø小范围补丁下发Ø补丁测试和恢复Ø批量下发Ø按照部门、IP、OSØ补丁综合查询Ø强制下发2.4.3 系统联动防御ZXiSAM用户管理系统支持和IDS、IPS的联动，能及时发现非法数据，IDS报警，同时对用户进行处理，先发出提示，然后关闭交换机端口。

2.4.4 灵活计费策略随着医院规模的不断扩大，让一些有条件的病人或外来人员上网，需要实现计费功能，中兴通讯有20年运营商的计费经验，提供专业、灵活、准确的计费系统。

Ø支持包月、时长或有限时长包月、流量或有限流量包月、预付时长、预付流量、实时扣费、卡业务、封顶、增值服务等计费方式，网络管理员同时可以自定义计费策略，如设置优惠时段、对不同的用户、不同的增值服务类型可采用不同的计费策略和资费标准等。