醫院網絡管理及應急預案

前言：尋找寫作靈感？中文期刊網用心挑選的醫院網絡管理及應急預案，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

［摘要］

網絡平臺是醫院信息化發展的基石，若缺乏安全可靠、穩定快速的網絡環境，醫院主要信息系統如HIS、PAC、LIS等的發展則無從談起?；卺t院網絡及信息系統特點分析，通過網絡規劃、網絡管理、安全應急預案三方面探討醫院網絡管理工作中積累的經驗教訓，為以后醫院管理提供參考與借鑒。

［關鍵詞］

醫院網絡平臺；網絡規劃；網絡管理；安全應急

1網絡管理概述

隨著醫院HIS、電子病歷、LIS、PACS等業務系統不斷發展，醫院日常工作已經完全離不開信息化的支持，作為信息化奠基石的醫院網絡管理及網絡安全也越顯重要。從概念上講網絡管理的目標就是通過管理優化，實現網絡的可用時間的最大化，并提高網絡設備的利用率、網絡性能、服務質量和安全性，降低網絡運行成本，形成網絡的長期規劃。

2目前醫院網絡管理的需求突出點

近年來，三甲綜合醫院信息化規模已經完全步入大數據時代，小型局域網擴張成大型園區網絡，網絡終端成倍增長，數量基本已達到2000以上。伴隨而來的網絡壓力也彰顯，更能考驗醫院網絡管理水平。網絡管理上突顯的主要需求點主要體現如下幾方面：（1）工作站數量激增，直接增加了網管員的工作量。經統計，造成終端以及網絡出現問題的主要為人為因素，如，誤操作導致網絡配置錯誤、移動介質使用和隨意共享傳播文件導致病毒感染、惡意掃描以及大量網絡傳輸導致網絡帶寬被占用等；（2）多廠家網絡設備、多網絡互連，增加網絡架構的復雜性和故障風險。網絡建設是需要經過長時間升級完善，網絡設備的多樣化、多品牌化問題突出；業務的多元化給網絡也帶來跨網段、跨區域的特色。（3）醫院信息系統平臺的大數據應用以及數據備份帶來帶寬不足的凸顯。（4）網絡規模增長，直接帶來故障率的增高以及排查難度的提高。

3醫院網絡管理的實用經驗及方法

3．1故障的快速定位

故障快速定位是快速解決網絡故障的前提，而故障前后的數據對比是故障快速定位的關鍵。因此我們需要熟悉自己的網絡運行狀況，每天做好網絡運行狀況登記，其中應包括：核心網絡設備的性能使用率、運行日志、生成樹狀況、備份狀況、運行配置、主干流量登記、重要端口流量、電源狀況、環境溫濕度等等。尤其是重要端口流量監控，需特別區分常態網絡流量以及突發業務計劃引起的大數據網絡流量。常態做好全網流量監控（無專用設備可安裝抓包軟件進行分析）。醫院網絡故障一般分為三類：①設備硬件故障，特點為定位容易，故障修復時間比較明確；②配置導致的故障，特點較為少見，容易排查；③網絡攻擊或者廣播風暴類故障，特點為隱蔽性，往往容易導致交換機無法遠程管理，且業務影響范圍較廣。根據不同的故障種類，我們應事先制定對應的處理預案。認真做好網絡運行狀況登記，可助我們快速識別當前網絡故障的種類，以便采用相應的處理預案。

3．2優化網絡主干

提升主干帶寬，一般有三個方法：①升級硬件：如百兆升級到千兆，千兆升級到萬兆，或者做鏈路捆綁，該方法直接涉及網絡成本；②采用虛擬局域網VLAN技術抑制廣播風暴，提高帶寬效率；③針對大數據流量的主干優化。（1）目前主流局域網技術均采用以太網技術，隨著主機數量的增多、網絡設備增加，原有單一共享網絡的規模不斷擴大，ARP、DHCP、生成樹等等基于廣播或者組播方式的網絡協議帶來大量的廣播流量，直接消耗主干的帶寬以及核心交換機的處理資源，甚至降低該共享網絡中所有終端主機的處理速度。因此，如何抑制廣播風暴以及其他不明流量風暴是提升現有主干傳輸能力的首要方式。VLAN技術是專門為了解決以太網廣播以及安全性而提出的，是一種將局域網從邏輯上劃分（注意，不是從物理上劃分）成一個個不同的邏輯子網VLAN的實現技術。每個VLAN具有獨立的廣播域，可覆蓋局域網內多個網絡設備，允許不同地理位置的終端用戶加入同一個邏輯子網。VLAN技術實現是在以太網幀的基礎上添加VLAN頭，在二層轉發的過程中根據VLANID決定該幀能達到的邏輯子網，而不會轉發到其它VLAN中，實現每個VLAN的廣播和單播流量得到嚴格隔離，從而實現有助于控制流量、簡化網絡管理和提高網絡安全性。當然，不同VLAN彼此之間無法直接訪問，則需支持路由或者三層轉發功能（路由器、三層交換機）設備來完成。目前主流的核心交換機均帶有三層交換引擎。常用的VLAN劃分手段主要有根據物理端口劃分、根據MAC地址劃分和根據網絡層協議劃分。根據網絡端口劃分，簡單穩定，只需在端口配置上指定該端口的VLAN所屬就可以。根據MAC地址劃分，則相對靈活，端口會根據MAC地址自動劃分到該MAC地址所對應的VLAN中，當然前提是前期需對所有網絡用戶的MAC地址登記和對所有網絡設備配置。根據網絡層協議劃分，相對復雜和耗費交換機性能，效率不高，較為少見。根據醫院網絡實際應用，應用終端的位置以及業務類型均相對固定，網絡流量主要是來自應用終端與服務器之間互訪流量，即垂直流量占多，而平行流量僅大量存在于服務器與網絡存儲之間。因此，我們選擇了根據網絡端口劃分VLAN。根據網絡端口劃分VLAN一般有兩種劃分手段，一是根據該端口的業務應用類型，如PAC應用、LIS應用、HIS應用等等；二是根據該端口的地理位置，即按樓層劃分。兩種劃分手段各有優勢，前者在同一VLAN內的互訪流量數據傳輸可不必經過三層轉發，效率較高，并可方便使用到一些基于廣播、組播實現的網絡功能，如網絡查找或網絡共享等，因此適合如視頻轉播系統應用、門禁系統、監控系統以及服務器群等。后者則可以嚴格控制該VLAN的廣播、組播流量通過網絡核心設備和主干鏈路，大大降低網絡轉發壓力，從而達到優化網絡主干轉發能力，因此適合普通樓層接入。（2）針對大數據流量，比如PAC服務器數據之間傳輸、服務器群與NAS等網絡存儲之間盡量采用專用光纖鏈路，盡量避免流經核心網絡設備以及樓層主干。

3．3終端控制管理

終端管理主要手段有接入控制、應用訪問管理以及病毒防殺等。當然，目前許多終端安全管理軟件已經實現以上三個功能，以下將討論在現在網絡設備上不增加成本實現終端控制管理。（1）網絡接入控制。常用方式有端口MAC地址綁定、端口MAC地址＋IP地址綁定，還有基于802．1x協議的訪問控制。a．端口MAC地址綁定。根據交換機性能，可以采取靜態綁定MAC地址，動態綁定MAC地址。采用靜態綁定MAC地址，網絡管理員需要事先收集終端的MAC地址，并在交換機上找到對應的端口手動敲入命令，對交換機性能要求不高，但是會給網絡管理員帶來很大的工作量。動態綁定MAC地址，只需要在交換機端口上開啟動態綁定MAC地址的功能，交換機就會自動學習并綁定端口所連接的MAC地址，不過要先確保接入交換機的終端都是合法的。b．端口MAC地址＋IP地址綁定。同樣可以采取靜態綁定與動態綁定兩種方式。采用靜態端口MAC地址＋IP地址綁定，網絡管理員需要事先收集終端的MAC地址與IP地址，并在交換機上找到對應的端口手動敲入命令。此方法比只是綁定MAC地址安全性更高，但是會給網絡管理員帶來很大的工作量。采用動態端口MAC地址＋IP地址綁定，需要結合DHCPSNOOPING或者DHCPRelay表項進行自動綁定，可以防止用戶篡改IP地址，再配合動態綁定MAC地址，讓交換機學習并綁定MAC地址，實現MAC地址與IP地址的雙重綁定。c．基于802．1x協議的訪問控制。指定每個合法用戶一個用戶名和密碼，用戶需要接入網絡前，使用用戶名和密碼進行認證，認證通過以后才能訪問網絡，可以防止非法用戶訪問內部網絡。接入交換機需要支持802．1x協議，還要部署RADIUS服務器進行認證。采用此方法，可以避免非法用戶通過修改MAC地址與IP地址來進入網絡，安全性更高。（2）應用訪問管理。鑒于醫院網絡業務大多數為垂直型分布，即終端直接訪問服務器群。因此可在三層網絡設備上做三層網絡轉發識別和過濾，減輕主干轉發壓力以及服務器網絡壓力。比如一般對內存儲設備的保護、只開放數據庫端口、開發應用服務器端口以及遠程管理端口等。（3）病毒防殺。醫院內部的終端無法連接互聯網，無法及時獲取殺毒軟件病毒庫和系統補丁的更新，容易感染計算機病毒，造成安全隱患?？梢酝ㄟ^組建殺毒軟件與系統補丁升級系統對終端進行病毒庫與系統補丁的更新。這個病毒防殺系統采用C／S架構，包括服務器和終端兩部分。服務器與終端都在醫院內部網絡。如果服務器可以直接連接互聯網，服務器可以采用方式，下載終端需要升級的文件數據，為終端提供及時的升級。如果服務器無法接入互聯網，可以在一臺能上網的機器上下載好升級的文件數據，再放在服務器上，用方式讓終端升級。

3．4網絡隔離

上下級單位之間、醫院園區之間、特殊業務等等業務交互導致醫院網絡不再是以往單一的、物理獨立的局域網，而是一張多出口、多業務甚至多協議的復雜網絡。如何較好地劃分、控制每個邏輯子網也成了當前醫院網絡安全工作的重中之中，也是安全等級保護自查的一個重要項目。對外來接入網絡，應定位為不安全網絡，應采取邏輯隔離、嚴格控制接入權限以及做訪問審計等手段。（1）邏輯隔離：禁止二層直接接入，采用三層互聯技術，控制廣播域，并做好防毒防攻擊。（2）嚴格控制接入權：使用網絡安全設備對前置機或者專線嚴格控制準入權，只允許訪問指定服務器或者網段。（3）做安全審計：增加安全審計設備對入口流量進行訪問審計記錄，做到每個應用訪問可查可追蹤。

4結語

我們在醫院網絡管理中應立足實際業務要求，熟悉各核心設備性能和運行狀態，從而制定有效、實用、經濟的建設管理方案，以達到我們的管理目的。

作者：陳宗耿 林琳 程力軍 單位：中山大學附屬第一醫院