第四軍醫(yī)大學(xué)西京醫(yī)院 數(shù)字化中心，陜西 西安 710032

醫(yī)院網(wǎng)絡(luò)安全故障處理及措施

姚力，馮娟，蔣昆

第四軍醫(yī)大學(xué)西京醫(yī)院 數(shù)字化中心，陜西 西安 710032

目的當(dāng)醫(yī)院網(wǎng)絡(luò)發(fā)生故障時(shí)能及時(shí)定位，制定合理有效的應(yīng)急預(yù)案。方法在各層網(wǎng)絡(luò)設(shè)備配置合理的協(xié)議及安全策略，及時(shí)響應(yīng)硬件及外部環(huán)境發(fā)生問題時(shí)的處理方法。結(jié)果該方法保證了醫(yī)院網(wǎng)絡(luò)環(huán)境高效率的運(yùn)轉(zhuǎn)工作。結(jié)論制定合理的策略、正確的方法，能有效地預(yù)防和解決醫(yī)院內(nèi)網(wǎng)絡(luò)環(huán)境所存在的各種安全隱患，防患于未然。

網(wǎng)絡(luò)故障；網(wǎng)絡(luò)安全；VLAN；網(wǎng)絡(luò)策略

軍衛(wèi)網(wǎng)作為我院醫(yī)療業(yè)務(wù)運(yùn)行的基礎(chǔ)平臺(tái)，經(jīng)過數(shù)字化中心的多年維護(hù)和完善，已成為一個(gè)集高效、穩(wěn)定、安全于一身的高端醫(yī)療業(yè)務(wù)平臺(tái)。本文根據(jù)對(duì)該網(wǎng)絡(luò)的維護(hù)經(jīng)驗(yàn)，從網(wǎng)絡(luò)故障處理及安全措施部署兩個(gè)方面來闡述對(duì)軍衛(wèi)網(wǎng)的維護(hù)和保障工作。

1 網(wǎng)絡(luò)故障處理

對(duì)于網(wǎng)絡(luò)故障的處理方法，主要分為以下幾部分[1-2]：① 網(wǎng)絡(luò)故障位置的判斷；② 網(wǎng)絡(luò)層故障處理；③ 其他故障處理。通過這樣的劃分，可迅速找到相應(yīng)解決方案，及時(shí)合理調(diào)配有相應(yīng)經(jīng)驗(yàn)的工程師排除故障。

1.1 判斷網(wǎng)絡(luò)故障位置并做初始檢查

當(dāng)網(wǎng)絡(luò)發(fā)生故障時(shí)，如何在最短的時(shí)間內(nèi)判斷網(wǎng)絡(luò)故障的具體位置，是解決網(wǎng)絡(luò)故障的關(guān)鍵。首先，應(yīng)當(dāng)通過基本的DOS語句對(duì)網(wǎng)絡(luò)進(jìn)行測(cè)試，如利用PING命令和TRACERT命令對(duì)網(wǎng)絡(luò)的各個(gè)重要節(jié)點(diǎn)進(jìn)行連通性測(cè)試，然后，自上而下，不斷縮小測(cè)試范圍，最終找到鏈路中斷的節(jié)點(diǎn)位置。之后就需要到實(shí)際的物理鏈路環(huán)境，查看網(wǎng)絡(luò)的實(shí)際情況，如：查看鏈路終端位置的網(wǎng)絡(luò)設(shè)備運(yùn)轉(zhuǎn)是否正常，線纜接口是否松動(dòng)老化等。最后，對(duì)整個(gè)網(wǎng)絡(luò)故障作出一個(gè)基本的判斷，是網(wǎng)絡(luò)設(shè)備故障、電源故障或是線路故障，再根據(jù)具體的故障原因進(jìn)行具體判斷、排查和修復(fù)。

1.2 接入網(wǎng)絡(luò)設(shè)備故障處理

對(duì)于接入層網(wǎng)絡(luò)設(shè)備的故障，通常采用的方法是通過直連交換機(jī)CONSOLE端口進(jìn)行連接，之后再對(duì)服務(wù)器進(jìn)行配置完成整個(gè)故障處理。具體操作步驟如下：首先，用CONSOLE線將測(cè)試用筆記本電腦和交換機(jī)背后的CONSOLE進(jìn)行直連，再打開Windows自帶的超級(jí)終端，建立“超級(jí)終端連接交換機(jī)”，當(dāng)交換機(jī)連接成功后，鍵入“回車”鍵，屏幕會(huì)出現(xiàn)“switch”，即已經(jīng)正確接入該交換機(jī)。最后，再查看PC所在的VLAN（打開PC網(wǎng)卡找到IP地址，查看IP地址的第3段，例如PC的IP地址為“192.168.10.44”，即PC所在VLAN為10，如果PC的IP地址為“192.168.20.44”，即PC所在VLAN為20）[3]。

例如：配置所有端口加入到VLAN32鍵入如下命令：

Switch＞en

Switch#conf t

Switch(config)#int range f0/1 -23

Switch(config-if-range)#sw

Switch(config-if-range)#sw mode acc

Switch(config-if-range)#sw acc vlan 32

Switch(config-if-range)#end

Switch#wr

再將設(shè)備跳線連接，雙絞線連接交換機(jī)的24口，光纖跳線連接交換機(jī)的1號(hào)光口，從而完成設(shè)備連接。

1.3 匯聚層網(wǎng)絡(luò)設(shè)備故障處理

對(duì)于匯聚層網(wǎng)絡(luò)設(shè)備的故障處理主要是考驗(yàn)日常工作是否符合要求。在日常工作中，工程師需要按時(shí)對(duì)軍衛(wèi)網(wǎng)醫(yī)療樓的各個(gè)匯聚交換機(jī)進(jìn)行配置備份，一旦網(wǎng)絡(luò)發(fā)生故障，且檢測(cè)出問題出在匯聚層網(wǎng)絡(luò)設(shè)備時(shí)，就需要將備份好的配置原樣配置到備份交換機(jī)上，因?yàn)楦鱾€(gè)樓的匯聚交換機(jī)配置基本上不會(huì)經(jīng)常變化，所以在設(shè)備出現(xiàn)問題時(shí)可以直接將備用交換機(jī)啟用，這樣就能以最快速度解決匯聚層網(wǎng)絡(luò)設(shè)備出現(xiàn)的問題。

1.4 核心層網(wǎng)絡(luò)設(shè)備故障處理

對(duì)于核心層的網(wǎng)絡(luò)設(shè)備故障，解決方案主要由物理層保障和數(shù)據(jù)層保障兩個(gè)方面組成。

從物理層來看，主樓2臺(tái)CISCO 6509及網(wǎng)絡(luò)中心2臺(tái)CISCO 6509各使用2條物理鏈路互聯(lián)，形成多達(dá)4條物理鏈路的冗余。這保證了即使其中3條鏈路同時(shí)故障的情況下，軍衛(wèi)網(wǎng)依然能夠穩(wěn)定地提供服務(wù)。

從數(shù)據(jù)層來看，主樓2臺(tái)CISCO 6509及網(wǎng)絡(luò)中心2臺(tái)CISCO 6509使用了HSRP（網(wǎng)關(guān)虛擬技術(shù)），使用該技術(shù)后，主樓及網(wǎng)絡(luò)中心的4臺(tái)核心交換機(jī)都作為所有業(yè)務(wù)網(wǎng)段的網(wǎng)關(guān)，根據(jù)各自被設(shè)置的優(yōu)先級(jí)高低，形成設(shè)備數(shù)據(jù)網(wǎng)關(guān)的熱備。當(dāng)最高優(yōu)先級(jí)的主核心設(shè)備故障時(shí)，次高優(yōu)先級(jí)的備用核心設(shè)備自動(dòng)啟用成為主核心設(shè)備，依次類推。這保證了即使主核心設(shè)備故障時(shí)，軍衛(wèi)網(wǎng)依然能夠穩(wěn)定的提供服務(wù)。

1.5 電源故障處理

對(duì)于電源故障的處理：首先，在不間斷電源斷電前20 min，由中心向各個(gè)科室發(fā)送斷電通知，之后關(guān)閉服務(wù)器及網(wǎng)絡(luò)設(shè)備，然后，迅速向供電室進(jìn)行匯報(bào)，等待恢復(fù)供電。在相關(guān)科室接到通知后，科室人員應(yīng)立即保存數(shù)據(jù)并退出相應(yīng)軍衛(wèi)系統(tǒng)應(yīng)用子系統(tǒng)。待恢復(fù)供電，并且電壓穩(wěn)定后，再依次打開不間斷電源、網(wǎng)絡(luò)設(shè)備、服務(wù)器和軍衛(wèi)子系統(tǒng)客戶機(jī)。

1.6 線路故障處理

由于目前醫(yī)院各大樓之間沒有物理分開的備用光纖（備用光纖與工作光纖在同一個(gè)主干內(nèi)）。如果光纖主干出現(xiàn)人為破壞或施工損壞則應(yīng)立即作為重大責(zé)任事故向上級(jí)領(lǐng)導(dǎo)進(jìn)行報(bào)告，同時(shí)通知光纖維修公司對(duì)光纖進(jìn)行熔接，并用其他方法盡快恢復(fù)網(wǎng)絡(luò)通暢，。

例如：出現(xiàn)整棟門診樓的上聯(lián)線路故障（即連接住院一部主樓的光纜被損壞），立刻啟動(dòng)之前確定的故障應(yīng)急預(yù)案，由故障處理小組成員第一時(shí)間使用備用雙絞線從“住院一部主樓一樓觸摸屏查詢機(jī)所使用的網(wǎng)絡(luò)信息口”連接到“門診樓一樓機(jī)房的網(wǎng)絡(luò)設(shè)備”，連接方式為室內(nèi)連接（在室內(nèi)沿墻角走備用線纜），保證門診樓數(shù)據(jù)的正常傳輸。同時(shí)，由小組成員帶領(lǐng)布線人員檢查線路的具體故障位置并對(duì)光纜進(jìn)行重新鋪設(shè)及熔接。

如出現(xiàn)門診樓某一層的上聯(lián)線路故障（即該層連接門診樓主機(jī)房網(wǎng)絡(luò)設(shè)備的光纜被損壞），也要立刻啟動(dòng)之前確定的故障應(yīng)急預(yù)案，由小組成員第一時(shí)間使用備用雙絞線從“該樓層網(wǎng)絡(luò)機(jī)房”連接到“門診樓主機(jī)房”，首選連接方式為室內(nèi)連接，如果距離超過100 m，那么采取室外就近連接方式（通過窗戶進(jìn)行跨樓層連線，沿著室外墻壁走線），保證該層數(shù)據(jù)的正常傳輸。同時(shí)，由小組成員帶領(lǐng)布線人員檢查線路的具體故障位置并對(duì)光纜進(jìn)行重新鋪設(shè)及熔接。

如出現(xiàn)某個(gè)科室（或某臺(tái)機(jī)器）上聯(lián)線路故障，則立即用備用雙絞線從該科室（或該設(shè)備）重新鋪設(shè)連接到規(guī)劃的上聯(lián)網(wǎng)絡(luò)設(shè)備即可。

2 有線及無線網(wǎng)絡(luò)安全措施

2.1 有線網(wǎng)絡(luò)

在網(wǎng)絡(luò)數(shù)據(jù)層面按各科室劃分VLAN，保證不會(huì)發(fā)生大面積的廣播風(fēng)暴，即便出現(xiàn)ARP病毒感染時(shí)，不會(huì)影響到其他科室的正常工作。同時(shí)，配置spanning-tree，保證網(wǎng)絡(luò)中不會(huì)出現(xiàn)環(huán)路。

對(duì)于網(wǎng)絡(luò)安全措施分為以下幾個(gè)部分[5]：① 每個(gè)交換機(jī)都配置密碼且不可見，只有網(wǎng)絡(luò)管理人員能夠登錄交換機(jī)進(jìn)行數(shù)據(jù)查看和修改；② 在telnet（遠(yuǎn)程管理）及重要業(yè)務(wù)區(qū)域加入了ACL（訪問控制列表），通過ACL嚴(yán)格控制了去往重點(diǎn)區(qū)域的數(shù)據(jù)，保證了重點(diǎn)業(yè)務(wù)的安全；③ 在接入交換機(jī)上配置了MAC地址綁定，這項(xiàng)措施限制了PC私接，保證只有網(wǎng)絡(luò)中心允許的PC才能接入軍衛(wèi)網(wǎng)中。

2.2 無線網(wǎng)絡(luò)

為了保證無線網(wǎng)絡(luò)的安全，我院對(duì)其做了如下配置：首先，設(shè)置了802.1X認(rèn)證模式，入網(wǎng)設(shè)備必須安裝有網(wǎng)絡(luò)中心下發(fā)的證書才能通過無線網(wǎng)絡(luò)接入軍衛(wèi)網(wǎng)；其次，設(shè)置了MAC地址過濾，只有網(wǎng)絡(luò)中心允許的設(shè)備才能接入軍衛(wèi)網(wǎng)；另外還設(shè)置了動(dòng)態(tài)VLAN及DHCP，該措施既保證了無線醫(yī)護(hù)的順利開展，使得某個(gè)科室的醫(yī)護(hù)人員只要處于醫(yī)院范圍內(nèi)，均可訪問所需資源（永遠(yuǎn)屬于本科室VLAN），又保證了IP地址不會(huì)沖突；最后還為每個(gè)WLAN都設(shè)置了WPA2密碼，并結(jié)合以上策略，只有輸入合法的密碼、擁有合法的證書、網(wǎng)絡(luò)中心允許的設(shè)備才能接入軍衛(wèi)網(wǎng)中[6]。

3 總結(jié)

以上的網(wǎng)絡(luò)安全措施，不但極大加強(qiáng)了本院的信息化安全，而且使得從接入層設(shè)備到核心層設(shè)備，從有線網(wǎng)絡(luò)到無線網(wǎng)絡(luò)都有很好的故障應(yīng)急方法，在很大的程度上保證了本院網(wǎng)絡(luò)環(huán)境在正常、穩(wěn)定、安全的情況下不間斷的運(yùn)轉(zhuǎn)。通過建立這樣的網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急處理機(jī)制，不但提高了處置網(wǎng)絡(luò)安全故障的解決能力，也形成科學(xué)、有效、反應(yīng)迅速的應(yīng)急工作機(jī)制，確保醫(yī)院信息網(wǎng)絡(luò)的實(shí)體安全、運(yùn)行安全，最大程度地減輕事故的危害，保障醫(yī)院的安全，維護(hù)醫(yī)院的正常醫(yī)療秩序。

[1] 隋寶石．淺談醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)及常見故障排除的技巧[J]．醫(yī)學(xué)信息,2013,(2):2-3．

[2] 郭江紅,白青偉,劉全弟．“軍衛(wèi)網(wǎng)”的建設(shè)與應(yīng)用[J]．醫(yī)學(xué)信息(上旬刊),2011,(6):1481-1482．

[3] 黃序鑫,聶瑞華,羅輝瓊,等．基于SOA的數(shù)據(jù)同步技術(shù)研究與實(shí)現(xiàn)[J]．計(jì)算機(jī)工程與設(shè)計(jì),2009,30(14):3338-3340,3435．

[4] 任斌．對(duì)高校數(shù)字化校園建設(shè)關(guān)鍵技術(shù)的研究[J]．辦公自動(dòng)化,2011,(20):49-51．

[5] 李斌,朱華．?dāng)?shù)字證書在電子病歷中的應(yīng)用[J]．現(xiàn)代計(jì)算機(jī)(專業(yè)版),2007,(7):74-76,84．

[6] 姚力,馮娟,蔣昆．大型醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)改造及優(yōu)化[J]．中國(guó)醫(yī)療設(shè)備,2013,(1):38-40．

Troubleshooting and Measures of Network Security in Hospital

YAO Li, FENG Juan, JIANG Kun
Digital Center, Xijing Hospital Affiliated to the Fourth Military Medical University, Xi'an Shaanxi 710032, China

TP393.08

B

10.3969/j.issn.1674-1633.2013.05.060

1674-1633(2013)05-0151-02

2012-08-06

2013-03-02

蔣昆，工程師，數(shù)字化中心主任，從事醫(yī)療信息化與醫(yī)學(xué)影像信息化研究。

通訊作者郵箱：kunjiang@fmmu．edu．cn