張晉華等

摘要：現(xiàn)代醫(yī)療信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全直接關(guān)系到醫(yī)療業(yè)務(wù)的正常開展。該文通過分析醫(yī)院門診網(wǎng)絡(luò)可能存在的安全隱患，對應(yīng)提出在安全技術(shù)手段上的方法，形成一個體系的安全架構(gòu)，為醫(yī)院的網(wǎng)絡(luò)安全防護提供一種可行的解決方案。

關(guān)鍵詞：VLAN劃分與綁定；QOS限制；環(huán)路檢測

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）04-0043-05

Abstract： The development of modern medical information technology， network security is directly related to the normal conduct of medical services. This paper analyzes the hospital outpatient network security risk may exist， corresponding to the proposed method on security techniques， the formation of the security architecture of a system to provide a viable solution for network security hospital.

Key words： VLAN division and bind； QOS Restrictions； LOOP detection

醫(yī)院網(wǎng)絡(luò)信息化發(fā)展異常迅速：從紙筆登記到“一卡通”；從人工喊號到電子語音報價；從一本本病例到無紙化電子病歷系統(tǒng)……每一個環(huán)節(jié)都體現(xiàn)出網(wǎng)絡(luò)的便捷，而一個穩(wěn)定、安全、高效的網(wǎng)絡(luò)是提供便捷醫(yī)療服務(wù)的前提保證。

網(wǎng)絡(luò)構(gòu)成四要素：⑴通信線路和設(shè)備；⑵獨立功能的計算機；⑶網(wǎng)絡(luò)軟件；⑷數(shù)據(jù)通信和資源共享。這里首當其沖的是通信線路和設(shè)備。

談及通信設(shè)備不得不說到交換機——OSI七層模型中的第二層設(shè)備，也是現(xiàn)網(wǎng)絡(luò)拓撲結(jié)構(gòu)中所占比重最大的網(wǎng)絡(luò)設(shè)備，起著承上啟下的至關(guān)作用。網(wǎng)絡(luò)安全的前提便是交換機的安全，為此，交換機的端口安全成了穩(wěn)定醫(yī)院信息化業(yè)務(wù)的最重要技術(shù)保證。

1 門診網(wǎng)絡(luò)安全因素分析與交換機端口技術(shù)應(yīng)用

1.1 門診網(wǎng)絡(luò)安全因素分析

醫(yī)院門診信息化網(wǎng)絡(luò)中影響安全的因素更加復(fù)雜、多變：新增加的網(wǎng)絡(luò)設(shè)備、計算機；新布置的網(wǎng)線、軟件程序；醫(yī)生乃至就診患者、家屬的個人電腦私自接入內(nèi)網(wǎng)……種種可變、不確定的外部因素增加了醫(yī)院固有網(wǎng)絡(luò)的管理難度，“以不變應(yīng)萬變”的端口流量檢測與安全技術(shù)應(yīng)運而生。

1.2 交換機端口安全技術(shù)應(yīng)用

交換機組網(wǎng)技術(shù)中，VLAN（虛擬局域網(wǎng)）技術(shù)被廣泛應(yīng)用，它將局域網(wǎng)的設(shè)備劃分成不同網(wǎng)段，使設(shè)備形成邏輯上的隔離，利于網(wǎng)絡(luò)監(jiān)管，提高了網(wǎng)絡(luò)運行的安全性。

交換機流量監(jiān)控值得重視，監(jiān)控其端口流量變化來發(fā)現(xiàn)和判斷環(huán)路的產(chǎn)生，我們將引入QOS技術(shù)和環(huán)路檢測辦法。

1.2.1 VLAN劃分與IP、MAC和端口的多元組綁定

①VLAN劃分與綁定

1.2.2 QOS與交換機環(huán)路檢測

① QOS

網(wǎng)絡(luò)資源總是有限的，在網(wǎng)絡(luò)總帶寬固定的情況下，如果某類業(yè)務(wù)占用的帶寬越多，那么其他業(yè)務(wù)能使用的帶寬就越少。例如，門診某科室計算機通過內(nèi)網(wǎng)大量的下載軟件，這將導(dǎo)致門診掛號與收費網(wǎng)絡(luò)資源的急劇減少，降低辦理流程的速度，極大影響正常門診業(yè)務(wù)的開展。

引入QOS技術(shù)，對網(wǎng)絡(luò)資源進行合理的規(guī)劃和分配，從而使網(wǎng)絡(luò)資源得到高效利用，保障門診業(yè)務(wù)正常運行勢在必行。

什么是QOS？QOS（Quality of Service）即服務(wù)質(zhì)量。對于網(wǎng)絡(luò)業(yè)務(wù)，服務(wù)質(zhì)量包括傳輸?shù)膸?、傳送的時延、數(shù)據(jù)的丟包率等。在網(wǎng)絡(luò)中可以通過保證傳輸?shù)膸挕⒔档蛡魉偷臅r延、降低數(shù)據(jù)的丟包率以及時延抖動等措施來提高服務(wù)質(zhì)量。采用流量限制、擁塞避免等措施進行先期QOS調(diào)度，使進入接入網(wǎng)的流量相對平穩(wěn)，避免在接入網(wǎng)中出現(xiàn)擁塞，保障網(wǎng)絡(luò)暢通。

QOS技術(shù)在網(wǎng)絡(luò)體系中作用在哪里？

QOS技術(shù)包括流分類、流量監(jiān)管、流量整形、端口限速、擁塞管理、擁塞避免等。

流分類：采用一定的規(guī)則識別符合某類特征的報文，它是對網(wǎng)絡(luò)業(yè)務(wù)進行區(qū)分服務(wù)的前提和基礎(chǔ)。

流量監(jiān)管：對進入或流出設(shè)備的特定流量進行監(jiān)管。當流量超出設(shè)定值時，可以采取限制或懲罰措施，以保護網(wǎng)絡(luò)資源不受損害。可以作用在端口入方向和出方向。

流量整形：一種主動調(diào)整流的輸出速率的流量控制措施，用來使流量適配下游設(shè)備可供給的網(wǎng)絡(luò)資源，避免不必要的報文丟棄和延遲，通常作用在端口出方向。

擁塞管理：就是當擁塞發(fā)生時如何制定一個資源的調(diào)度策略，以決定報文轉(zhuǎn)發(fā)的處理次序，通常作用在端口出方向。

擁塞避免：監(jiān)督網(wǎng)絡(luò)資源的使用情況，當發(fā)現(xiàn)擁塞有加劇的趨勢時采取主動丟棄報文的策略，通過調(diào)整隊列長度來解除網(wǎng)絡(luò)的過載，通常作用在端口出方向。

QOS配置方式分為QOS策略配置方式和非QOS策略配置方式兩種。QOS策略配置方式是指通過配置QOS策略來實現(xiàn)。

本文將采用基于端口的QOS策略進行流量監(jiān)管配置，限制對HTTP報文的接收速率不超過512kbps，超出限制速率的報文將被丟棄。配置除門診掛號、收費、發(fā)藥系統(tǒng)的端口外進行速率限制，確保掛號、收費、發(fā)藥所需要的正常網(wǎng)絡(luò)流量不會被搶奪占用。

擁塞避免（Congestion Avoidance）是一種流量控制機制，它通過監(jiān)視網(wǎng)絡(luò)資源（如隊列或內(nèi)存緩沖區(qū)）的使用情況，在擁塞產(chǎn)生或有加劇的趨勢時主動丟棄報文，通過調(diào)整網(wǎng)絡(luò)的流量來解除網(wǎng)絡(luò)過載。

與端到端的流量控制相比，這里的流量控制具有更廣泛的意義，它影響到設(shè)備中更多的業(yè)務(wù)流的負載。設(shè)備在丟棄報文時，需要與源端的流量控制動作（比如TCP流量控制）相配合，調(diào)整網(wǎng)絡(luò)的流量到一個合理的負載狀態(tài)。丟包策略和源端流控機制有效的組合，可以使網(wǎng)絡(luò)的吞吐量和利用效率最大化，并且使報文丟棄和延遲最小化。

為避免TCP全局同步現(xiàn)象：當隊列同時丟棄多個TCP連接的報文時，將造成多個TCP連接同時進入擁塞避免和慢啟動狀態(tài)以降低并調(diào)整流量，而后又會在某個時間同時出現(xiàn)流量高峰。如此反復(fù)，使網(wǎng)絡(luò)流量忽大忽小，網(wǎng)絡(luò)不停震蕩，可使用RED（Random Early Detection，隨機早期檢測）或WRED（Weighted Random Early Detection，加權(quán)隨機早期檢測）。

RED和WRED通過隨機丟棄報文避免了TCP的全局同步現(xiàn)象，使得當某個TCP連接的報文被丟棄、開始減速發(fā)送的時候，其他的TCP連接仍然有較高的發(fā)送速度。這樣，無論什么時候，總有TCP連接在進行較快的發(fā)送，提高了線路帶寬的利用率。

本文將采用基于WRED的配置：

問題現(xiàn)象：端口入方向和出方向流量持續(xù)增大，環(huán)回鏈路在下游。

問題原因：下游鏈路環(huán)回或者自環(huán)。

處理方法：① 首先逐跳向下游尋找環(huán)路的鏈路；② 然后在端口下loopback internal；③ 設(shè)備由于鏈路引入環(huán)路有兩種：一種是單端口收發(fā)環(huán)，第二種是設(shè)備上兩個端口環(huán)路。

2 總結(jié)

筆者結(jié)合實際情況進行了端口安全技術(shù)的組合配置，進行了多元組綁定，規(guī)范了網(wǎng)絡(luò)結(jié)構(gòu)，增強、提高了安全性。引入QOS管理技術(shù)，該技術(shù)分類詳細、手段多樣，一個好的QOS能確保網(wǎng)絡(luò)資源本身的合理性與科學(xué)性。配合環(huán)路檢測技術(shù)，將能更好的服務(wù)網(wǎng)絡(luò)、保障業(yè)務(wù)。

更多端口安全技術(shù)，將會在實際工作中進行更深入的研究與實踐。

參考文獻：

[1] 張俊星. 基于區(qū)分Web QOS的負載均衡集群模型[J]. 計算機系統(tǒng)應(yīng)用，2014，23（2）：189-191.