“IT轉型”驅動智慧醫院信息化建設，在智慧醫院建設的過程中，運維管理也扮演著重要角色。一旦醫院中的業務系統出現故障，甚至崩潰，醫院運轉很可能陷入癱瘓狀態，輕則造成醫患矛盾，重則耽擱治療時機，因此，保障醫院IT系統免于故障侵襲，保障醫院各項運營系統高效、平穩、安全運行，成為運維人員艱巨的使命。

        隨著醫療衛生體制改革不斷深化，衛生行業信息化應用不斷普及，大數據、AI、醫療物聯網等技術的應用，快速推動“智慧醫院”建設。以HIS（醫院信息系統）、EMRS（電子病歷系統）、PACS（影像歸檔和通信系統）、RIS（放射科信息管理系統）等為代表的IT系統逐步成為醫院的核心資產，最終成為醫療服務的重要支撐。

        因此，其穩定與安全，直接關系到醫院醫療工作的正常運行，一旦網絡癱瘓，將會給醫院和病人帶來巨大的災難和難以彌補的損失。

第1章 智慧醫院信息化建設背景

        政策是推動我國醫療信息化、智慧醫療發展眾多因素中的重中之重。自2009年我國政府啟動深化醫療體制改革措施后，政府陸續出臺規范標準類、鼓勵支持類等多種政策，指導醫療信息化高效有序推進；各省和地級市政府積極響應，頒布切實可執行的具體措施緊緊跟上。

        在醫院評級、智慧醫院建設與醫院運營管理等內外部因素驅動下，醫療信息化市場呈繁榮增長態勢，院內精細化運營，臨床業務系統與新興技術的結合，區域醫療系統互聯互通，及數據實時共享是核心需求點，且建設重點從單一的信息化系統，逐步向場景化、平臺化、生態化轉變。與之而來的是5G、大數據、移動物聯網、云計算等在醫療信息化建設中廣泛應用，為智慧醫院的建設和發展創造了更多的可能。

第2章 智慧醫院信息化運維痛點

        伴隨智慧醫院建設加速，醫院在信息基礎設施建設方面不斷投入，智慧應用及各類設備、終端的數量出現爆發式增長，IT運行環境日趨復雜。醫院的信息系統如HIS、LIS、CIS、RIS、PACS，NIS、EMR，DRGS等等信息系統越來越多，各類系統越發復雜，系統間的關聯性逐漸加深，機房管理、系統監控，以及信息部門對內的運行維護工作面臨越來越困難的局面。如何保障信息系統高可用、穩定與安全，已經成為醫院領導和信息科負責人以及每一位信息科的工程師必須要考慮和解決的首要問題。

        長久以來，智慧醫院信息化運維中存在著科室復雜、應用場景多、終端運維工作量大、軟件系統兼容需求強等諸多痛點，對于技術設備的穩定性、連續性要求極高，具體表現在以下幾方面：

1. 智慧醫院信息化建設中，已經完成大部分核心業務系統的建設，且配套一定規模的網絡、服務器、動環等系統，但由于各廠商獨立監控、數據割裂，形成煙筒式的運維孤島。
2. 目前主要采取人工巡檢的方式進行運維，發現問題被動、滯后，無法保障業務的穩定連續運行，通過人工摸排，時間長、問題處理效率低下，運維管理工作成效不顯著。
3. 部分醫院有動環、基礎設施監控等管理系統，但由于醫院業務系統復雜，易產生告警冗余，難以在告警風暴中判斷故障根因。
4. 缺乏對服務器CPU、內存等計算資源，磁盤空間、磁盤I/O等存儲資源的監控管理，對系統應用節點和數據的各項性能參數配置等數據把控不足，難以實現科學規劃擴容。
5. 業務支撐系統日趨復雜，傳統系統架構向混合云環境、微服務、容器架構轉型，進一步增加IT系統的復雜度，運維難度激增。
6. 設備廠商監控工具僅對設備狀態進行檢測，難以對核心業務系統（如：HIS、PACS等）進行全鏈路可用性監控分析。
7. 缺乏必要的設備遠程控制手段，簡單的操作，如重啟設備、重啟進程均需在現場進行，運維效率低下。
8. 傳統數據中心和云數據中心同時存在，多張網絡物理隔離，難以形成高效閉環，統一運維。
9. 由于等保2.0提高了醫院的信息化安全要求標準，部分醫院需要根據相應安全評審要求，利用運維監控平臺進行支撐。

第3章 智和信通智慧醫院信息化運維方案

        “IT轉型”驅動智慧醫院信息化建設，在智慧醫院建設的過程中，運維管理也扮演著重要角色。一旦醫院中的業務系統出現故障，甚至崩潰，醫院運轉很可能陷入癱瘓狀態，輕則造成醫患矛盾，重則耽擱治療時機，因此，保障醫院IT系統免于故障侵襲，保障醫院各項運營系統高效、平穩、安全運行，成為運維人員艱巨的使命。

智和信通智慧醫院信息化運維方案

        隨著智慧醫院運維對象、范圍、深度和實現目標的改變，醫院IT運維正在向一體化、自動化、智能化等方向轉變，北京智和信通智慧醫院信息化運維方案應運而生，通過對各類網絡場景下的跨域資源整合，對醫院分布在各個區域的IT設施、業務系統、機房動環（運行狀態、健康狀況、能耗情況）等統一監測保障IT基礎設施和業務應用的安全、穩定、可靠運行，并利用運維數據資源對業務運營與決策提供有力支持。

3.1.網絡隔離架構可視化

        醫院網絡架構中涉及的軟硬件環境技術復雜，廠商眾多。北京智和信通通過網絡架構拓撲可視化能力，將網絡數據從離線表格轉移至平臺內，從靜態的網絡架構數據轉化為動態智能拓撲，通過樹形、平面結構聯動展示設備間鏈接關系，通過按片區、按地域、按層級等多種布局方式劃分網絡，實現全網設備、資源、鏈接關系、IP等實時更新、快速定位。

醫院內外網隔離拓撲示意圖

        醫院的網絡建設多為內網、外網、設備網、無線網、數據中心網等并行的結構，本方案通過拓撲視圖的能力，內外網混合的情況下，方案通過內網滲透，打破內外網隔離限制，在拓撲中集中展示雙網結構，展現設備實時狀態，使用不同顏色、粗細、圖標表示被管理對象的狀態信息，助力運維人員實時了解網絡架構及全網運行狀態，快速感知資源、鏈路、流量等異常信息。

3.2.數據中心IDC機房可視化

        以2.5D管理視圖對數據中心機房運行情況和機柜及各類設備進行統一、全方位、多層次的綜合管理，實時分析資源當前性能和運行狀態，直觀反映資源的動態變化對支撐業務的影響，清晰直觀地掌握機房運營中的有效信息。實現透明化與可視化的信息傳遞，提升機房資產數據的可用性、實用性和使用效率。

2.5D機房監控示意圖

3.3.更廣泛設備、資源類型監控

        針對智慧醫院網絡內防火墻、VPN、上網行為管理等安全設備和網絡設備、主機存儲、數據庫、中間件、虛擬化、云、應用系統、機房動力環境系統、專業醫療設備等聯網設施全方位監控和管理。屏蔽廠商、型號差異，全面掌握智慧醫院網絡整體運行情況和運行效能，能高效、快速、精準進行故障定位診斷。

        方案實現網絡設備信息高頻采集，并結合智能算法，實現對整體網絡架構、設備運行狀態、業務可用狀態的實時信息采集和感知。

視頻設備集中監控

        輕松對接多品牌、型號攝像頭，融合網絡高清、智能分析、多級管控為一體。通過網絡拓撲一鍵自動發現生成能力，直接生成視頻系統可視化拓撲，通過定時輪詢和事件上報進行可用性和健康度檢查。實現對視頻畫面自動偵測、自動提取，主動監控發現和分析出攝像機設備常見的故障，如設備不連通、畫面偏色、信號缺失、清晰度異常、亮度異常等問題和原因，并及時在拓撲圖中顯示出當前視頻監控的可用情況。

視頻監控效果示意圖

端到端全鏈路監控

        從整體維度到局部維度全面展示智慧醫院網絡內設備鏈路各項指標，整體可觀測、可告警、可分析、可統計。

鏈路綜合信息示意圖

設備模型庫監管無限制

        方案采取用戶自定義設備類型及其設備資源的方式，賦予用戶自定義適配設備的能力，最大可能地支持對不同設備類型的支持。通過自定義設備類型及其設備資源，提高智和網管平臺的管理范圍，真正實現了對設備及其資源的全面化管理，達到管控萬物的目標。

3.4.全覆蓋IT資源自動巡檢

        信息中心的日常運維工作中需要各類報表記錄設備情況，向領導匯報工作內容，采取傳統的人工巡檢，尤其是應用巡檢，缺乏統一的規范、標準，導致巡檢的范圍和深度都存在一定的局限性，并且是基于人工的手工統計，工作效率比較低，同時耗費較大的人力資源。

        本方案依托平臺將以前依賴手工進行的日常巡檢轉換為自動化、定時執行的巡檢策略。制定統一的巡檢指標、巡檢方式、巡檢頻度等，保證巡檢標準化、巡檢范圍、巡檢深度；通過設計巡檢作業、數據采集方式、自動化作業調度等實現日常巡檢的自動化，代替手工工作，提高效率的同時，解放管理人員。

3.5.實時故障預警，及時洞察異常信息

        方案通過統一的故障管理平臺，將各個模塊中的監控信息統一采集、分析，對分散在醫院各個樓宇、樓層、科室的設備進行集中管理，支持對醫院自助掛號機、自助付款機等各種自助設備進行故障監控和性能數據采集；對醫院所有無線AC和AP進行性能故障監控和診斷，確保醫院各種分散的智能終端統一管理、正常運轉。

        實現整個智慧醫院網絡中各種事件信息、設備故障、網絡異常、流量異常等告警，以智能化手段進行標準化的分析、壓縮、并歸關聯等，通過多種方式實時傳達告警信息，保證落實到指定人員進行處理，為智慧醫院網絡提供主動式的故障解決方案。

        全面采集智慧醫院網絡內所有聯網設備，如存儲、服務器、路由器、交換機、防火墻、虛擬化、云、機房動環、醫療設施等設備、資源、應用、服務等狀態信息，通過對告警機制以及閾值的設置，第一時間獲取準確的告警信息，快速定位告警設備，提升告警處理效率，降低因設備故障帶來的損失。

3.6.業務可用性管理

        醫院是一個有機整體，各業務、部門之間，“人”“事”“物”之間存在密切聯系，其業務流程囊括了預約掛號系統、電子病歷系統、檢驗化驗系統、影像平臺系統、財務信息系統等一系列相關系統，需要同時對接患者、醫生、醫院各科室等多個端口，作為醫院運行的神經中樞。對各系統的穩定性要求極高，一旦某套系統出現故障，會整體業務流程造成影響。本方案支持對接醫院等多部門業務系統，將醫院不同業務，不同部門等數據統一整合管理，為管理決策研判提供客觀的數據支持和依據。

智慧醫院業務看板示意圖

        通過構建業務系統與部門、IT資源及關鍵指標的關聯關系，整合前端、應用、后臺任務、外部服務、數據庫及基礎設施，直觀呈現面向服務的業務系統體系架構；全面的業務數據可視化能力，既可集中呈現業務數據的用戶體驗狀態，也可以基于應用、設備實時監控、呈現業務各節點的實時運行狀態，包括用戶體驗、節點可用性、節點負載等狀態信息。

業務拓撲示意圖

3.7.IP資產監管

        智慧醫院網絡安全一直是其運維工作的重中之重，一旦出現非法接入極易出現嚴重威脅，因此對接入網絡中的IP、終端更需嚴加管理，本方案支持端到端規劃、部署、管理和監控IP 地址。

        可手動、自動獲取子網信息，并根據網絡結構對子網信息進行管理。定時獲取全網的MAC-IP信息，并自動保存，可根據MAC或IP對在線設備進行查詢，以端口圖的形式顯示當前網段內端口的使用情況。總覽IP網絡全局，掌握“IP容量”薄弱點。

 

方案支持通過追蹤IP地址的歷史關聯MAC、接入設備/端口變更記錄等與規劃綁定MAC、規劃接入設備/端口進行對比分析，當與規劃不一致時生成一條異常記錄，從而審核IP/MAC是否正確使用。

        l通過黑白名單功能用來檢測用戶所關心的設備是否在網絡中出現及出現時間。支持配置黑名單或白名單，智能劃撥規劃表中的IP、MAC設置為白名單策略，對非法接入設備進行告警處置。

        對全網MAC和IP進行配對綁定，并周期性對MAC-IP進行檢測。自動將規劃表中的IP-MAC設置為綁定關系，自動掃描在線終端，當IP-MAC的綁定關系發生沖突時產生告警，保證入網終端安全可信。

3.8.全網帶寬、流量監控與回溯分析

        方案基于海量流量數據的存儲挖掘，實現對網絡流量的偵測分析。通過網絡流量分析技術，采集、分析、存儲所有網絡流量，回溯分析數據包特征、異常網絡行為，以多維數據分析和深度挖掘為手段，實現數據包層面的流量追蹤，發現潛伏于網絡中的未知攻擊。

        提供設備、接口、IP、服務、應用、會話等層級的帶寬監控，實時監控帶寬使用趨勢與帶寬占用分布，并通過圖表展示，快速識別網絡帶寬濫用，分析高帶寬使用情況，識別帶寬消耗較大的應用程序、服務、協議或 IP 地址，避免網絡容量過載，并提升最終用戶網絡體驗。

       

將采集到的網絡流量數據進行整合分析，通過強大的可視化能力對有效信息進行呈現，從流量利用方面為網絡和業務穩定提供支撐。

 

3.9.跨廠商設備集中配置管理

        政府部門的信息化建設的擴大，不光是基礎設施包括軟件應用層方面的需求也急劇擴大，網絡承載的業務經常發生變更，面對業務的變更運維工程師往往要對大量設備進行操作，而不同批次購置的設備，品牌、型號不盡相同，運維人員需要在多個管理平臺來回切換，此時如果依靠工程師逐一登錄設備進行命令下發、策略配置，將產生大量重復性的工作，不但導致運維效率低下，也不可避免地產生人為配置錯誤。

        用戶可通過網頁對智和網管平臺進行訪問，通過對納入監控的設備進行單獨、批量的配置操作，設備策略遠程配置管理，可以自動批量進行設備配置修改，并可對設備配置進行備份、對比、恢復，宕機后設備配置可快速復原，保障設備及時恢復運行，全面提升配置效率、質量和安全性。

       

通過批量作業并行處理能力，實現多設備并發批處理操作。通過自動化流程，將簡單的設備控制操作在大批量設備進行執行，并對執行過程進行監督，對執行結果進行檢查。在安全合規的前提下，將運維人員從整體的變更流程及變更內容的準備中解脫出來，實現網絡變更、設備配置自動化。

        針對不同類型的設備，支持進行各種控制、配置操作。

• 對服務器/主機/虛擬化，支持一鍵開關機、進程管理、應用管理、容量管理等
• 對交換機/路由器，支持ACL、QoS、流量策略、端口策略等
• 對安全設備，支持防護管理、認證管理、NAT管理、VPN管理、內容控制等
• 對數據庫/中間件，支持空間管理、池管理、會話管理、連接控制等
• 對傳輸設備，支持終端管理、鏈路管理、信號控制、功率配置等
• 對其他設備，支持結合用戶實際場景，通過拖拽流程的方式實現自定義管控策略

        支持不同廠商，如Cisco、HP、Nortel、Juniper、3Com、D-link、Foundry、Dell、Proxim、NetScreen、華為、H3C、銳捷、中興等多家廠商的網絡設備。

3.10.全場景自動化運維

        醫院在加速診療的同時，須實現信息化系統與終端的“快速響應”“快速部署”“快速上線”“快速運維”，本方案基于日常運維場景提供自動化的部署手段，同時可通過面向復雜運維場景、跨平臺、跨系統的自動化作業的調度和編排，大幅提升運維交付效率，降低運維成本。

        方案將智慧醫院網絡運維中涉及的服務、命令、操作、執行組件化、策略化，將需要進行的運維服務、操作等以組件、策略的形式托管至平臺中進行維護和管理，通過簡單靈活地編排能力，使用者可以選擇業務場景所需地測，通過可視化拖拽的編排方式進行組合，即可完成應用場景端到端的圖形化編排，最后以多種方式觸發執行即可完成期望的運維變更任務，從而實現高效、穩定、安全的智能運維。

 

      將人工運維與故障自愈結合，無需針對告警進行手動處置，只需預編排告警處理流程，平臺根據場景自動觸發，實現故障自愈。

   

    通過實時發現告警，進行預診斷分析，判斷告警類型和級別，如果是一般告警，平臺進行自動恢復，如果是嚴重復雜告警則通過告警通知、運維工單等形式通知運維管理人員，進行人工處理

        自動化運維編排，可實現完全根據用戶場景，定制化設計運維劇本，真正將運維任務托管至平臺，全面解放人力。

• 開發環境自動化，如軟件代碼自動化更新、自動化編譯、自動化打包、自動化發布預警生產環境。
• 應用發布自動化，如服務自動化升級、軟件自動化部署等。
• 故障自愈能力，如網口異常自動關閉、磁盤爆滿自動清理、非法設備入侵阻斷、CPU空間不足自動重啟等。
• 定時服務重啟，如在工作日每天晚上定時關閉應用，每天早上自動重啟應用等。
• 智能批量設備管控，如批量設備策略執行，當設備的配置狀態不一時，能夠基于當前設備自身的狀態自動決策適合于本設備的管控操作等。
• 定期設備健康狀況自檢，如定期設備健康狀態自檢、服務運行狀態自檢等。
• 基于HTTP接口自動化，如基于HTTP接口的工單自動化、審批自動化、業務自動化等。
• 高可用服務自動切換，如主備數據庫運行狀況自檢異常自動切換，服務運行狀態檢查主備切換等。
• 虛擬化、云服務資源自動化擴容，如在虛擬化環境資源不足時自動化根據實際情況進行擴容。
• 日常運維自動化，如自動化定期執行批處理cmd\sh腳本、自動化定期數據清洗、自動化定期環境檢查并導出報表等。

3.11.可視化數據分析

        利用圖形、圖表、圖表等易于理解的形式，提取和分析大量復雜的智慧醫院網絡中各類運維數據，呈現分析結果，從而幫助運維人員在短時間內更好地理解和獲得更多的信息，幫助運維部門能夠實時了解業務和其所依賴IT資源的運行狀況，以及提供系統運維和優化的指示和依據。

3.12.資產生命周期管理

        方案通過全棧合一的智和網管平臺，將資產與運維結合，動態感知納入監控的資產運行狀態，并對資產運行情況進行分析，通過狀態數據采集分析，預估資產將面臨的風險，驅動資產維護保養。

 

       方案通過資產管理模塊將資產實物與運維數據庫一一對應，將為政務資產提供更加便捷高效資產生命周期管理，資產跟蹤、維護和統計分析。從資產入庫、領用、變更、維修、調撥、到報廢處置，資產每一步操作均實現完整記錄，支持追溯，通過平臺實現資產整個生命周期的全流程閉環管理，使得IT資產每一次生命周期變更，都有流程可依、都有跡可循，從而實現全面的IT資產監管。

3.13.快速建設運維工單體系

        通過方案實現運維工單“無紙化”，支持于設備和故障管理頁面快速創建工單，把控故障處理進度，通過工單平臺簡化故障處理流程，形成自動化故障處理機制，并在每個處理流程的節點上責任到人，實現在快速響應故障的同時，實現兼顧運維流程管控。

        通過建立工單服務基準，預設工單在不同優先級、不同狀態時，受理人應該響應的時間及未響應時的處理方式，生成工單自動化處理規則，并以多種方式進行通知，避免超時響應提升全流程服務管理質量。

第4章 自主研發安全可控 全面適配國產信創環境

        信創產業包含了從IT底層的基礎軟硬件到上層應用軟件的全產業鏈的安全可控，涵蓋了應用軟件、信息安全、IT基礎設施、基礎軟件四個領域。其中，基礎軟件是信息系統最核心的部件，是保障信息系統安全的重要陣地和最后一道防線，其創新應用與自主可控關系到國家安全和利益，也是產業自主發展的基礎。

        本方案支持部署運行在中標麒麟、銀河麒麟、紅旗Linux等國產操作系統，支持在達夢、金倉、神州等國產數據庫進行數據存儲，通過東方通等國產中間件提供對外服務[8]，支持龍芯、申威等國產CPU架構，并實現對國產化CPU、服務器、數據庫、中間件等IT軟硬件設備的綜合監控與運維管理。

第5章 方案應用價值

        2019年網絡安全等級保護2.0標準正式發布；衛生部下發《衛生行業信息安全等級保護工作的指導意見》的通知，明確了三甲醫院的核心業務系統應按照信息安全等級保護第三級進行建設和保護。通過部署本方案，不僅滿足醫院在等保2.0政策下的需求，也為醫院來帶卓多效益。

一體化管理

• 多院區、跨地域網絡集中管理，全網性能、流量實時監控
• 覆蓋聯網設備，無品牌型號限制
• 真正網絡架構可視化

實時監控，即時告警

• 實時監控整體網絡運行狀況
• 一鍵定位故障，快速根因排查
• 實現無人值守的故障自愈

數據可視、合理管理業務

• 海量運維數據，聚合分析，打破數據孤島
• 打破物理、地域限制，端到端監控業務
• 高級巡檢、合規配置，一站式安全運維

資產盤點，運營分析

• 設備運行周期運維情況分析，設備運行狀況實時可知
• 現網設備統一盤點，資產信息一目了然

第6章 標桿案例

        智和信通智慧醫院網絡運維方案成果，其可靠性在智慧醫院網絡大規模、高復雜地網環境下得到了驗證，并得到用戶的充分認可。

6.1.某醫院雙網隔離監控運維項目

        某醫院在網絡建設的過程中，為加強信息化建設，充分發揮電子病歷信息化作用，依據最新的信息化標準與規范，采取建設內網和外網兩個網絡，內外網互相不能訪問的建設方案，這對后期運維提出了更高要求。

項目需求

• 內外網采用同一套網絡運維系統進行統一管理；
• 能夠基于圖形化界面清晰呈現出設備網絡的鏈路關系；
• 支持多種告警方案，支持通過釘釘進行告警；
• 可以自動對設備進行巡檢；
• 支持對終端設備進行入網監測，查看聯網設備IP。

項目實施

        北京智和信通雙網隔離方案采取核心網絡部署綜合網管，其余網絡部署代理采集的方式實現。通過采集器可實現網絡內設備自動發現，并識別設備的廠商和型號。

• 平臺基于圖形化的方式展現拓撲，在自動搜索完設備之后軟件自動呈現拓撲。
• 在原有聲光、右鍵、短信、微信告警通知的基礎上，增加釘釘告警的能力，滿足用戶需求。
• 提供自定義巡檢策略的能力，通過配置故障巡檢、策略巡檢、統計報表等，實現全自動化智能運維。
• 采取黑白名單策略，用戶通過配置黑名單或白名單，對接入終端進行監測，配合安管功能，對非法接入設備進行處理。