醫(yī)院實用網(wǎng)絡管理及應急預案

[摘 要] 網(wǎng)絡平臺是醫(yī)院信息化發(fā)展的基石，若缺乏安全可靠、穩(wěn)定快速的網(wǎng)絡環(huán)境，醫(yī)院主要信息系統(tǒng)如HIS、PAC、LIS等的發(fā)展則無從談起?；卺t(yī)院網(wǎng)絡及信息系統(tǒng)特點分析，通過網(wǎng)絡規(guī)劃、網(wǎng)絡管理、安全應急預案三方面探討醫(yī)院網(wǎng)絡管理工作中積累的經驗教訓，為以后醫(yī)院管理提供參考與借鑒。

[關鍵詞] 醫(yī)院網(wǎng)絡平臺；網(wǎng)絡規(guī)劃；網(wǎng)絡管理；安全應急

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2016. 21. 083

[中圖分類號] TP393.0 [文獻標識碼] A [文章編號] 1673 - 0194（2016）21- 0159- 03

1 網(wǎng)絡管理概述

隨著醫(yī)院HIS、電子病歷、LIS、PACS等業(yè)務系統(tǒng)不斷發(fā)展，醫(yī)院日常工作已經完全離不開信息化的支持，作為信息化奠基石的醫(yī)院網(wǎng)絡管理及網(wǎng)絡安全也越顯重要。從概念上講網(wǎng)絡管理的目標就是通過管理優(yōu)化，實現(xiàn)網(wǎng)絡的可用時間的最大化， 并提高網(wǎng)絡設備的利用率、網(wǎng)絡性能、服務質量和安全性，降低網(wǎng)絡運行成本， 形成網(wǎng)絡的長期規(guī)劃。

2 目前醫(yī)院網(wǎng)絡管理的需求突出點

近年來，三甲綜合醫(yī)院信息化規(guī)模已經完全步入大數(shù)據(jù)時代，小型局域網(wǎng)擴張成大型園區(qū)網(wǎng)絡，網(wǎng)絡終端成倍增長，數(shù)量基本已達到2 000以上。伴隨而來的網(wǎng)絡壓力也彰顯，更能考驗醫(yī)院網(wǎng)絡管理水平。網(wǎng)絡管理上突顯的主要需求點主要體現(xiàn)如下幾方面：

（1）工作站數(shù)量激增，直接增加了網(wǎng)管員的工作量。經統(tǒng)計，造成終端以及網(wǎng)絡出現(xiàn)問題的主要為人為因素，如，誤操作導致網(wǎng)絡配置錯誤、移動介質使用和隨意共享傳播文件導致病毒感染、惡意掃描以及大量網(wǎng)絡傳輸導致網(wǎng)絡帶寬被占用等；

（2）多廠家網(wǎng)絡設備、多網(wǎng)絡互連，增加網(wǎng)絡架構的復雜性和故障風險。網(wǎng)絡建設是需要經過長時間升級完善，網(wǎng)絡設備的多樣化、多品牌化問題突出；業(yè)務的多元化給網(wǎng)絡也帶來跨網(wǎng)段、跨區(qū)域的特色。

（3）醫(yī)院信息系統(tǒng)平臺的大數(shù)據(jù)應用以及數(shù)據(jù)備份帶來帶寬不足的凸顯。

（4）網(wǎng)絡規(guī)模增長，直接帶來故障率的增高以及排查難度的提高。

3 醫(yī)院網(wǎng)絡管理的實用經驗及方法

3.1 故障的快速定位

故障快速定位是快速解決網(wǎng)絡故障的前提，而故障前后的數(shù)據(jù)對比是故障快速定位的關鍵。因此我們需要熟悉自己的網(wǎng)絡運行狀況，每天做好網(wǎng)絡運行狀況登記，其中應包括：核心網(wǎng)絡設備的性能使用率、運行日志、生成樹狀況、備份狀況、運行配置、主干流量登記、重要端口流量、電源狀況、環(huán)境溫濕度等等。尤其是重要端口流量監(jiān)控，需特別區(qū)分常態(tài)網(wǎng)絡流量以及突發(fā)業(yè)務計劃引起的大數(shù)據(jù)網(wǎng)絡流量。常態(tài)做好全網(wǎng)流量監(jiān)控（無專用設備可安裝抓包軟件進行分析）。醫(yī)院網(wǎng)絡故障一般分為三類：①設備硬件故障，特點為定位容易，故障修復時間比較明確；②配置導致的故障，特點較為少見，容易排查；③網(wǎng)絡攻擊或者廣播風暴類故障，特點為隱蔽性，往往容易導致交換機無法遠程管理，且業(yè)務影響范圍較廣。根據(jù)不同的故障種類，我們應事先制定對應的處理預案。認真做好網(wǎng)絡運行狀況登記，可助我們快速識別當前網(wǎng)絡故障的種類，以便采用相應的處理預案。

3.2 優(yōu)化網(wǎng)絡主干

提升主干帶寬，一般有三個方法：①升級硬件：如百兆升級到千兆，千兆升級到萬兆，或者做鏈路捆綁，該方法直接涉及網(wǎng)絡成本；②采用虛擬局域網(wǎng)VLAN技術抑制廣播風暴，提高帶寬效率；③針對大數(shù)據(jù)流量的主干優(yōu)化。

（1）目前主流局域網(wǎng)技術均采用以太網(wǎng)技術，隨著主機數(shù)量的增多、網(wǎng)絡設備增加，原有單一共享網(wǎng)絡的規(guī)模不斷擴大，ARP、DHCP、生成樹等等基于廣播或者組播方式的網(wǎng)絡協(xié)議帶來大量的廣播流量，直接消耗主干的帶寬以及核心交換機的處理資源，甚至降低該共享網(wǎng)絡中所有終端主機的處理速度。因此，如何抑制廣播風暴以及其他不明流量風暴是提升現(xiàn)有主干傳輸能力的首要方式。

VLAN技術是專門為了解決以太網(wǎng)廣播以及安全性而提出的，是一種將局域網(wǎng)從邏輯上劃分（注意，不是從物理上劃分）成一個個不同的邏輯子網(wǎng)VLAN的實現(xiàn)技術。每個VLAN具有獨立的廣播域，可覆蓋局域網(wǎng)內多個網(wǎng)絡設備，允許不同地理位置的終端用戶加入同一個邏輯子網(wǎng)。VLAN技術實現(xiàn)是在以太網(wǎng)幀的基礎上添加VLAN頭，在二層轉發(fā)的過程中根據(jù)VLAN ID決定該幀能達到的邏輯子網(wǎng)，而不會轉發(fā)到其它VLAN中，實現(xiàn)每個VLAN的廣播和單播流量得到嚴格隔離，從而實現(xiàn)有助于控制流量、簡化網(wǎng)絡管理和提高網(wǎng)絡安全性。當然，不同VLAN彼此之間無法直接訪問，則需支持路由或者三層轉發(fā)功能（路由器、三層交換機）設備來完成。目前主流的核心交換機均帶有三層交換引擎。

常用的VLAN劃分手段主要有根據(jù)物理端口劃分、根據(jù)MAC地址劃分和根據(jù)網(wǎng)絡層協(xié)議劃分。根據(jù)網(wǎng)絡端口劃分，簡單穩(wěn)定，只需在端口配置上指定該端口的VLAN所屬就可以。根據(jù)MAC地址劃分，則相對靈活，端口會根據(jù)MAC地址自動劃分到該MAC地址所對應的VLAN中，當然前提是前期需對所有網(wǎng)絡用戶的MAC地址登記和對所有網(wǎng)絡設備配置。根據(jù)網(wǎng)絡層協(xié)議劃分，相對復雜和耗費交換機性能，效率不高，較為少見。

根據(jù)醫(yī)院網(wǎng)絡實際應用，應用終端的位置以及業(yè)務類型均相對固定，網(wǎng)絡流量主要是來自應用終端與服務器之間互訪流量，即垂直流量占多，而平行流量僅大量存在于服務器與網(wǎng)絡存儲之間。因此，我們選擇了根據(jù)網(wǎng)絡端口劃分VLAN。根據(jù)網(wǎng)絡端口劃分VLAN一般有兩種劃分手段，一是根據(jù)該端口的業(yè)務應用類型，如PAC應用、LIS應用、HIS應用等等；二是根據(jù)該端口的地理位置，即按樓層劃分。兩種劃分手段各有優(yōu)勢，前者在同一VLAN內的互訪流量數(shù)據(jù)傳輸可不必經過三層轉發(fā)，效率較高，并可方便使用到一些基于廣播、組播實現(xiàn)的網(wǎng)絡功能，如網(wǎng)絡查找或網(wǎng)絡共享等，因此適合如視頻轉播系統(tǒng)應用、門禁系統(tǒng)、監(jiān)控系統(tǒng)以及服務器群等。后者則可以嚴格控制該VLAN的廣播、組播流量通過網(wǎng)絡核心設備和主干鏈路，大大降低網(wǎng)絡轉發(fā)壓力，從而達到優(yōu)化網(wǎng)絡主干轉發(fā)能力，因此適合普通樓層接入。

（2）針對大數(shù)據(jù)流量，比如PAC服務器數(shù)據(jù)之間傳輸、服務器群與NAS等網(wǎng)絡存儲之間盡量采用專用光纖鏈路，盡量避免流經核心網(wǎng)絡設備以及樓層主干。

3.3 終端控制管理

終端管理主要手段有接入控制、應用訪問管理以及病毒防殺等。當然，目前許多終端安全管理軟件已經實現(xiàn)以上三個功能，以下將討論在現(xiàn)在網(wǎng)絡設備上不增加成本實現(xiàn)終端控制管理。

（1）網(wǎng)絡接入控制。常用方式有端口MAC地址綁定、端口MAC地址+IP地址綁定，還有基于802.1x協(xié)議的訪問控制。

a.端口MAC地址綁定。根據(jù)交換機性能，可以采取靜態(tài)綁定MAC地址，動態(tài)綁定MAC地址。采用靜態(tài)綁定MAC地址，網(wǎng)絡管理員需要事先收集終端的MAC地址，并在交換機上找到對應的端口手動敲入命令，對交換機性能要求不高，但是會給網(wǎng)絡管理員帶來很大的工作量。動態(tài)綁定MAC地址，只需要在交換機端口上開啟動態(tài)綁定MAC地址的功能，交換機就會自動學習并綁定端口所連接的MAC地址，不過要先確保接入交換機的終端都是合法的。

b.端口MAC地址+IP地址綁定。同樣可以采取靜態(tài)綁定與動態(tài)綁定兩種方式。采用靜態(tài)端口MAC地址+IP地址綁定，網(wǎng)絡管理員需要事先收集終端的MAC地址與IP地址，并在交換機上找到對應的端口手動敲入命令。此方法比只是綁定MAC地址安全性更高，但是會給網(wǎng)絡管理員帶來很大的工作量。采用動態(tài)端口MAC地址+IP地址綁定，需要結合DHCP SNOOPING或者DHCP Relay表項進行自動綁定，可以防止用戶篡改IP地址，再配合動態(tài)綁定MAC地址，讓交換機學習并綁定MAC地址，實現(xiàn)MAC地址與IP地址的雙重綁定。

c.基于802.1x協(xié)議的訪問控制。指定每個合法用戶一個用戶名和密碼，用戶需要接入網(wǎng)絡前，使用用戶名和密碼進行認證，認證通過以后才能訪問網(wǎng)絡，可以防止非法用戶訪問內部網(wǎng)絡。接入交換機需要支持802.1x協(xié)議，還要部署RADIUS服務器進行認證。采用此方法，可以避免非法用戶通過修改MAC地址與IP地址來進入網(wǎng)絡，安全性更高。

（2）應用訪問管理。鑒于醫(yī)院網(wǎng)絡業(yè)務大多數(shù)為垂直型分布，即終端直接訪問服務器群。因此可在三層網(wǎng)絡設備上做三層網(wǎng)絡轉發(fā)識別和過濾，減輕主干轉發(fā)壓力以及服務器網(wǎng)絡壓力。比如一般對內存儲設備的保護、只開放數(shù)據(jù)庫端口、開發(fā)應用服務器端口以及遠程管理端口等。

（3）病毒防殺。醫(yī)院內部的終端無法連接互聯(lián)網(wǎng)，無法及時獲取殺毒軟件病毒庫和系統(tǒng)補丁的更新，容易感染計算機病毒，造成安全隱患?？梢酝ㄟ^組建殺毒軟件與系統(tǒng)補丁升級系統(tǒng)對終端進行病毒庫與系統(tǒng)補丁的更新。這個病毒防殺系統(tǒng)采用C/S架構，包括服務器和終端兩部分。服務器與終端都在醫(yī)院內部網(wǎng)絡。如果服務器可以直接連接互聯(lián)網(wǎng)，服務器可以采用代理方式，下載終端需要升級的文件數(shù)據(jù)，為終端提供及時的升級。如果服務器無法接入互聯(lián)網(wǎng)，可以在一臺能上網(wǎng)的機器上下載好升級的文件數(shù)據(jù)，再放在服務器上，用代理方式讓終端升級。

3.4 網(wǎng)絡隔離

上下級單位之間、醫(yī)院園區(qū)之間、特殊業(yè)務等等業(yè)務交互導致醫(yī)院網(wǎng)絡不再是以往單一的、物理獨立的局域網(wǎng)，而是一張多出口、多業(yè)務甚至多協(xié)議的復雜網(wǎng)絡。如何較好地劃分、控制每個邏輯子網(wǎng)也成了當前醫(yī)院網(wǎng)絡安全工作的重中之中，也是安全等級保護自查的一個重要項目。

對外來接入網(wǎng)絡，應定位為不安全網(wǎng)絡，應采取邏輯隔離、嚴格控制接入權限以及做訪問審計等手段。

（1）邏輯隔離：禁止二層直接接入，采用三層互聯(lián)技術，控制廣播域，并做好防毒防攻擊。

（2）嚴格控制接入權：使用網(wǎng)絡安全設備對前置機或者專線嚴格控制準入權，只允許訪問指定服務器或者網(wǎng)段。

（3）做安全審計：增加安全審計設備對入口流量進行訪問審計記錄，做到每個應用訪問可查可追蹤。

4 結 語

我們在醫(yī)院網(wǎng)絡管理中應立足實際業(yè)務要求，熟悉各核心設備性能和運行狀態(tài)，從而制定有效、實用、經濟的建設管理方案，以達到我們的管理目的。