第四軍醫(yī)大學西京醫(yī)院 數(shù)字化中心，陜西 西安 710032

醫(yī)院網(wǎng)絡(luò)安全故障處理及措施

姚力，馮娟，蔣昆

第四軍醫(yī)大學西京醫(yī)院 數(shù)字化中心，陜西 西安 710032

目的當醫(yī)院網(wǎng)絡(luò)發(fā)生故障時能及時定位，制定合理有效的應(yīng)急預案。方法在各層網(wǎng)絡(luò)設(shè)備配置合理的協(xié)議及安全策略，及時響應(yīng)硬件及外部環(huán)境發(fā)生問題時的處理方法。結(jié)果該方法保證了醫(yī)院網(wǎng)絡(luò)環(huán)境高效率的運轉(zhuǎn)工作。結(jié)論制定合理的策略、正確的方法，能有效地預防和解決醫(yī)院內(nèi)網(wǎng)絡(luò)環(huán)境所存在的各種安全隱患，防患于未然。

網(wǎng)絡(luò)故障；網(wǎng)絡(luò)安全；VLAN；網(wǎng)絡(luò)策略

軍衛(wèi)網(wǎng)作為我院醫(yī)療業(yè)務(wù)運行的基礎(chǔ)平臺，經(jīng)過數(shù)字化中心的多年維護和完善，已成為一個集高效、穩(wěn)定、安全于一身的高端醫(yī)療業(yè)務(wù)平臺。本文根據(jù)對該網(wǎng)絡(luò)的維護經(jīng)驗，從網(wǎng)絡(luò)故障處理及安全措施部署兩個方面來闡述對軍衛(wèi)網(wǎng)的維護和保障工作。

1 網(wǎng)絡(luò)故障處理

對于網(wǎng)絡(luò)故障的處理方法，主要分為以下幾部分[1-2]：① 網(wǎng)絡(luò)故障位置的判斷；② 網(wǎng)絡(luò)層故障處理；③ 其他故障處理。通過這樣的劃分，可迅速找到相應(yīng)解決方案，及時合理調(diào)配有相應(yīng)經(jīng)驗的工程師排除故障。

1.1 判斷網(wǎng)絡(luò)故障位置并做初始檢查

當網(wǎng)絡(luò)發(fā)生故障時，如何在最短的時間內(nèi)判斷網(wǎng)絡(luò)故障的具體位置，是解決網(wǎng)絡(luò)故障的關(guān)鍵。首先，應(yīng)當通過基本的DOS語句對網(wǎng)絡(luò)進行測試，如利用PING命令和TRACERT命令對網(wǎng)絡(luò)的各個重要節(jié)點進行連通性測試，然后，自上而下，不斷縮小測試范圍，最終找到鏈路中斷的節(jié)點位置。之后就需要到實際的物理鏈路環(huán)境，查看網(wǎng)絡(luò)的實際情況，如：查看鏈路終端位置的網(wǎng)絡(luò)設(shè)備運轉(zhuǎn)是否正常，線纜接口是否松動老化等。最后，對整個網(wǎng)絡(luò)故障作出一個基本的判斷，是網(wǎng)絡(luò)設(shè)備故障、電源故障或是線路故障，再根據(jù)具體的故障原因進行具體判斷、排查和修復。

1.2 接入網(wǎng)絡(luò)設(shè)備故障處理

對于接入層網(wǎng)絡(luò)設(shè)備的故障，通常采用的方法是通過直連交換機CONSOLE端口進行連接，之后再對服務(wù)器進行配置完成整個故障處理。具體操作步驟如下：首先，用CONSOLE線將測試用筆記本電腦和交換機背后的CONSOLE進行直連，再打開Windows自帶的超級終端，建立“超級終端連接交換機”，當交換機連接成功后，鍵入“回車”鍵，屏幕會出現(xiàn)“switch”，即已經(jīng)正確接入該交換機。最后，再查看PC所在的VLAN（打開PC網(wǎng)卡找到IP地址，查看IP地址的第3段，例如PC的IP地址為“192.168.10.44”，即PC所在VLAN為10，如果PC的IP地址為“192.168.20.44”，即PC所在VLAN為20）[3]。

例如：配置所有端口加入到VLAN32鍵入如下命令：

Switch＞en

Switch#conf t

Switch(config)#int range f0/1 -23

Switch(config-if-range)#sw

Switch(config-if-range)#sw mode acc

Switch(config-if-range)#sw acc vlan 32

Switch(config-if-range)#end

Switch#wr

再將設(shè)備跳線連接，雙絞線連接交換機的24口，光纖跳線連接交換機的1號光口，從而完成設(shè)備連接。

1.3 匯聚層網(wǎng)絡(luò)設(shè)備故障處理

對于匯聚層網(wǎng)絡(luò)設(shè)備的故障處理主要是考驗日常工作是否符合要求。在日常工作中，工程師需要按時對軍衛(wèi)網(wǎng)醫(yī)療樓的各個匯聚交換機進行配置備份，一旦網(wǎng)絡(luò)發(fā)生故障，且檢測出問題出在匯聚層網(wǎng)絡(luò)設(shè)備時，就需要將備份好的配置原樣配置到備份交換機上，因為各個樓的匯聚交換機配置基本上不會經(jīng)常變化，所以在設(shè)備出現(xiàn)問題時可以直接將備用交換機啟用，這樣就能以最快速度解決匯聚層網(wǎng)絡(luò)設(shè)備出現(xiàn)的問題。

1.4 核心層網(wǎng)絡(luò)設(shè)備故障處理

對于核心層的網(wǎng)絡(luò)設(shè)備故障，解決方案主要由物理層保障和數(shù)據(jù)層保障兩個方面組成。

從物理層來看，主樓2臺CISCO 6509及網(wǎng)絡(luò)中心2臺CISCO 6509各使用2條物理鏈路互聯(lián)，形成多達4條物理鏈路的冗余。這保證了即使其中3條鏈路同時故障的情況下，軍衛(wèi)網(wǎng)依然能夠穩(wěn)定地提供服務(wù)。

從數(shù)據(jù)層來看，主樓2臺CISCO 6509及網(wǎng)絡(luò)中心2臺CISCO 6509使用了HSRP（網(wǎng)關(guān)虛擬技術(shù)），使用該技術(shù)后，主樓及網(wǎng)絡(luò)中心的4臺核心交換機都作為所有業(yè)務(wù)網(wǎng)段的網(wǎng)關(guān)，根據(jù)各自被設(shè)置的優(yōu)先級高低，形成設(shè)備數(shù)據(jù)網(wǎng)關(guān)的熱備。當最高優(yōu)先級的主核心設(shè)備故障時，次高優(yōu)先級的備用核心設(shè)備自動啟用成為主核心設(shè)備，依次類推。這保證了即使主核心設(shè)備故障時，軍衛(wèi)網(wǎng)依然能夠穩(wěn)定的提供服務(wù)。

1.5 電源故障處理

對于電源故障的處理：首先，在不間斷電源斷電前20 min，由中心向各個科室發(fā)送斷電通知，之后關(guān)閉服務(wù)器及網(wǎng)絡(luò)設(shè)備，然后，迅速向供電室進行匯報，等待恢復供電。在相關(guān)科室接到通知后，科室人員應(yīng)立即保存數(shù)據(jù)并退出相應(yīng)軍衛(wèi)系統(tǒng)應(yīng)用子系統(tǒng)。待恢復供電，并且電壓穩(wěn)定后，再依次打開不間斷電源、網(wǎng)絡(luò)設(shè)備、服務(wù)器和軍衛(wèi)子系統(tǒng)客戶機。

1.6 線路故障處理

由于目前醫(yī)院各大樓之間沒有物理分開的備用光纖（備用光纖與工作光纖在同一個主干內(nèi)）。如果光纖主干出現(xiàn)人為破壞或施工損壞則應(yīng)立即作為重大責任事故向上級領(lǐng)導進行報告，同時通知光纖維修公司對光纖進行熔接，并用其他方法盡快恢復網(wǎng)絡(luò)通暢，。

例如：出現(xiàn)整棟門診樓的上聯(lián)線路故障（即連接住院一部主樓的光纜被損壞），立刻啟動之前確定的故障應(yīng)急預案，由故障處理小組成員第一時間使用備用雙絞線從“住院一部主樓一樓觸摸屏查詢機所使用的網(wǎng)絡(luò)信息口”連接到“門診樓一樓機房的網(wǎng)絡(luò)設(shè)備”，連接方式為室內(nèi)連接（在室內(nèi)沿墻角走備用線纜），保證門診樓數(shù)據(jù)的正常傳輸。同時，由小組成員帶領(lǐng)布線人員檢查線路的具體故障位置并對光纜進行重新鋪設(shè)及熔接。

如出現(xiàn)門診樓某一層的上聯(lián)線路故障（即該層連接門診樓主機房網(wǎng)絡(luò)設(shè)備的光纜被損壞），也要立刻啟動之前確定的故障應(yīng)急預案，由小組成員第一時間使用備用雙絞線從“該樓層網(wǎng)絡(luò)機房”連接到“門診樓主機房”，首選連接方式為室內(nèi)連接，如果距離超過100 m，那么采取室外就近連接方式（通過窗戶進行跨樓層連線，沿著室外墻壁走線），保證該層數(shù)據(jù)的正常傳輸。同時，由小組成員帶領(lǐng)布線人員檢查線路的具體故障位置并對光纜進行重新鋪設(shè)及熔接。

如出現(xiàn)某個科室（或某臺機器）上聯(lián)線路故障，則立即用備用雙絞線從該科室（或該設(shè)備）重新鋪設(shè)連接到規(guī)劃的上聯(lián)網(wǎng)絡(luò)設(shè)備即可。

2 有線及無線網(wǎng)絡(luò)安全措施

2.1 有線網(wǎng)絡(luò)

在網(wǎng)絡(luò)數(shù)據(jù)層面按各科室劃分VLAN，保證不會發(fā)生大面積的廣播風暴，即便出現(xiàn)ARP病毒感染時，不會影響到其他科室的正常工作。同時，配置spanning-tree，保證網(wǎng)絡(luò)中不會出現(xiàn)環(huán)路。

對于網(wǎng)絡(luò)安全措施分為以下幾個部分[5]：① 每個交換機都配置密碼且不可見，只有網(wǎng)絡(luò)管理人員能夠登錄交換機進行數(shù)據(jù)查看和修改；② 在telnet（遠程管理）及重要業(yè)務(wù)區(qū)域加入了ACL（訪問控制列表），通過ACL嚴格控制了去往重點區(qū)域的數(shù)據(jù)，保證了重點業(yè)務(wù)的安全；③ 在接入交換機上配置了MAC地址綁定，這項措施限制了PC私接，保證只有網(wǎng)絡(luò)中心允許的PC才能接入軍衛(wèi)網(wǎng)中。

2.2 無線網(wǎng)絡(luò)

為了保證無線網(wǎng)絡(luò)的安全，我院對其做了如下配置：首先，設(shè)置了802.1X認證模式，入網(wǎng)設(shè)備必須安裝有網(wǎng)絡(luò)中心下發(fā)的證書才能通過無線網(wǎng)絡(luò)接入軍衛(wèi)網(wǎng)；其次，設(shè)置了MAC地址過濾，只有網(wǎng)絡(luò)中心允許的設(shè)備才能接入軍衛(wèi)網(wǎng)；另外還設(shè)置了動態(tài)VLAN及DHCP，該措施既保證了無線醫(yī)護的順利開展，使得某個科室的醫(yī)護人員只要處于醫(yī)院范圍內(nèi)，均可訪問所需資源（永遠屬于本科室VLAN），又保證了IP地址不會沖突；最后還為每個WLAN都設(shè)置了WPA2密碼，并結(jié)合以上策略，只有輸入合法的密碼、擁有合法的證書、網(wǎng)絡(luò)中心允許的設(shè)備才能接入軍衛(wèi)網(wǎng)中[6]。

3 總結(jié)

以上的網(wǎng)絡(luò)安全措施，不但極大加強了本院的信息化安全，而且使得從接入層設(shè)備到核心層設(shè)備，從有線網(wǎng)絡(luò)到無線網(wǎng)絡(luò)都有很好的故障應(yīng)急方法，在很大的程度上保證了本院網(wǎng)絡(luò)環(huán)境在正常、穩(wěn)定、安全的情況下不間斷的運轉(zhuǎn)。通過建立這樣的網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急處理機制，不但提高了處置網(wǎng)絡(luò)安全故障的解決能力，也形成科學、有效、反應(yīng)迅速的應(yīng)急工作機制，確保醫(yī)院信息網(wǎng)絡(luò)的實體安全、運行安全，最大程度地減輕事故的危害，保障醫(yī)院的安全，維護醫(yī)院的正常醫(yī)療秩序。

[1] 隋寶石．淺談醫(yī)院計算機網(wǎng)絡(luò)維護及常見故障排除的技巧[J]．醫(yī)學信息,2013,(2):2-3．

[2] 郭江紅,白青偉,劉全弟．“軍衛(wèi)網(wǎng)”的建設(shè)與應(yīng)用[J]．醫(yī)學信息(上旬刊),2011,(6):1481-1482．

[3] 黃序鑫,聶瑞華,羅輝瓊,等．基于SOA的數(shù)據(jù)同步技術(shù)研究與實現(xiàn)[J]．計算機工程與設(shè)計,2009,30(14):3338-3340,3435．

[4] 任斌．對高校數(shù)字化校園建設(shè)關(guān)鍵技術(shù)的研究[J]．辦公自動化,2011,(20):49-51．

[5] 李斌,朱華．數(shù)字證書在電子病歷中的應(yīng)用[J]．現(xiàn)代計算機(專業(yè)版),2007,(7):74-76,84．

[6] 姚力,馮娟,蔣昆．大型醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)改造及優(yōu)化[J]．中國醫(yī)療設(shè)備,2013,(1):38-40．

Troubleshooting and Measures of Network Security in Hospital

YAO Li, FENG Juan, JIANG Kun
Digital Center, Xijing Hospital Affiliated to the Fourth Military Medical University, Xi'an Shaanxi 710032, China

TP393.08

B

10.3969/j.issn.1674-1633.2013.05.060

1674-1633(2013)05-0151-02

2012-08-06

2013-03-02

蔣昆，工程師，數(shù)字化中心主任，從事醫(yī)療信息化與醫(yī)學影像信息化研究。

通訊作者郵箱：kunjiang@fmmu．edu．cn