医院网络规划案例分享 - 看真实场景下的网络安全设计

医院网络的特殊性

医院不是普通的办公场所，它的网络承载着HIS系统、电子病历、影像传输（PACS）、远程会诊、智能输液监控甚至手术室设备联网。早上七点半，门诊还没开门，护士站已经开始刷新床位状态，医生在办公室调取昨晚住院患者的CT片子，药房系统自动同步处方信息——这些操作背后，是网络在默默支撑。

一旦网络卡顿或中断，挂号停摆、检查无法上传、急诊抢救数据延迟，影响的不只是效率，而是患者安全。某三甲医院曾因核心交换机单点故障导致全院瘫痪两小时，事后复盘发现，问题出在没有做冗余设计。

华东地区一家综合性医院，原有网络采用单核心架构，所有业务流量都经过一台老旧的核心交换机。随着移动查房、床旁结算、物联网设备接入增多，网络时常出现延迟，尤其在上午九点到十一点的就诊高峰。

新规划将网络划分为多个区域：
– 临床业务区（医生工作站、PACS）
– 患者服务区（自助机、Wi-Fi）
– 后勤管理区（安防监控、楼宇自控）
– 行政办公区
每个区域通过VLAN隔离，使用独立的接入层交换机，并汇聚到双核心交换机，实现热备切换。

临床业务段：192.168.10.0/24
患者Wi-Fi段：192.168.20.0/24
监控系统段：192.168.30.0/24
服务器区段：10.10.1.0/24
管理网段：172.16.0.0/16（仅运维终端可访问）

这样的划分避免了某个区域广播风暴影响全局，也便于策略控制。比如患者Wi-Fi不能访问HIS数据库服务器，即使有设备中毒也不会横向蔓延。

医院引入了下一代防火墙，部署在出口和内网关键节点。针对PACS系统这类基于老旧协议（如DICOM）且难以升级的系统，设置了应用层防护策略，只允许指定IP的医学影像工作站发起连接。

同时启用了网络准入控制（NAC），新设备接入必须认证。曾经有实习生私自将个人路由器接入科室网口，试图开热点，系统立即识别并阻断，同时通知信息科值班人员。

无线网络方面，门诊大厅的公共Wi-Fi与内部业务Wi-Fi物理分离，使用不同AP设备。内部Wi-Fi启用WPA3-Enterprise认证，医生通过工号+动态口令登录，确保身份可追溯。

网络改造后上线了统一监控平台，实时显示各楼层交换机端口状态、带宽占用率、AP在线数。某天下午，儿科区域突然大量移动终端掉线，系统告警显示该楼层接入交换机CPU占用达98%。运维人员远程登录查看日志，发现是某台监护仪持续发送异常组播包，隔离设备后恢复正常。

这种快速定位能力，靠的不是“神仙运维”，而是前期合理的拓扑设计和日志归集。现在信息科值班表上，网络相关紧急事件处理时间平均缩短了65%。

不要等到出事才改网络。这家医院在系统尚未大规模崩溃前主动升级，花一个月完成割接，比事后抢修代价小得多。规划时预留了20%的端口和带宽余量，两年过去，新增几十台设备仍能平滑接入。

真正的网络安全，不全是高大上的攻防演练，更多体现在日常的分区隔离、权限控制和稳定运行中。医院网络就像水电一样，平时感觉不到存在，一旦停了，整个机构就停摆了。