摘要:
本人在某醫院信息中心工作,我院建設於2011年,隨著醫療信息化建設的不斷深入,我院的信息化建設已經有了很大進步,在發展過程中我們發現,隨著醫院數據量、業務量的增加,我院網絡帶寬已經不能滿足現有需求,IP資源已經枯竭,核心設備存在單故障點,內網病毒不能得到有效控制。院領導決定投入200萬,進行網絡升級改造,於2017年7月開始實施,工期為5個月。本人作為信息中心負責人,主持本次改造工作,我在資金有限的前提下,對醫院網絡進行了全面細緻的規劃,主要規劃內容有:IP地址重新規劃、網絡結構調整、重新佈線、設備選型及核心交換虛擬化、部署背靠背模式防火牆、內網殺毒軟件部署等。項目實施完畢後,取得了良好的效果,得到領導的肯定。由於資源投入有限,本次網絡改造並未部署入侵檢測系統,將會在後期的改造中加以完善。
隨著我國醫療改革新體制等一系列政策的實施,我國醫療衛生系統信息化建設也呈現出快速發展的趨勢。本人在某醫院信息中心工作,我院建設於2011年,隨著醫療信息化建設的不斷深入,最近幾年我院的信息化建設已經有了很大進步,逐步建設實施了HIS系統,PACS系統,LIS系統,電子病歷系統等,在發展過程中我們發現,隨著信息化建設的深入,我院網絡規劃方面存在的問題,逐漸顯示出來,如:大樓建造時設計的全網百兆鏈路,已經不能滿足現在醫學影像傳輸;IP地址規劃不合理,導致目前IP地址資源即將耗盡;醫院核心交換機存在單故障點,一旦出現問題嚴重影響醫院正常運轉;工作人員上網行為得不到有效管理,在工作時間經常瀏覽、下載與工作無關的內容;工作人員私自插U盤,內網各種病毒得不到有效防治;針對以上問題,院領導決定投入資金200萬,進行網絡升級改造,於2017年7月開始實施,工期為5個月。本人作為信息中心負責人,主持本次項目,我在資金有限的前提下,充分利用現有條件和成熟技術,對醫院網絡進行了全面合理的升級改造,本文將介紹我在提升網絡帶寬、增強網絡安全性、可靠性方面採取的一些技術和方法,主要內容有:IP地址重新規劃、網絡結構調整、重新佈線、設備選型、設備的重用、核心交換機虛擬化、部署背靠背模式防火牆、內網防毒部署等。
1、IP地址的重新規劃:我院由一座辦公樓、一座體檢樓、一座功能科室樓、一座新建綜合大樓組成,機房位於新建綜合大樓二層,建網初期由於對信息化發展的預見性不足,為每座樓劃分的一個192.168.X.0/24的C類網,目前辦公樓、體檢樓、功能科室樓的計算機數量較少,IP地址尚且夠用。由於所有門診部和住院部科室全在新建綜合大樓,隨著計算機的不斷增加,IP地址目前已經基本耗盡。所以對新建大樓IP地址重新規劃:因各個服務器都採用固定IP地址,故沿用原來地址不做改動;門診部重新劃分一個192.168.X.0/24的C類網;住院部根據內科、外科、婦科分類,每科重新劃分一個192.168.X.0/24的C類地址;各樓層均有自助繳費設備,自助繳費設備需要與銀行專線連接,劃分一個192.168.X.0/24的C類網,便於管理;大廳報銷窗口設備與市醫保專網連接,報銷窗口設備單獨劃分一個192.168.X.0/24的C類網,便於管理。DMZ區域各類前置服務器劃分一個192.168.X.0/24的C類網。此次劃分共將我院網絡劃分成了15個C類網絡,每個網絡對應一個VLAN。重新劃分之後,發現檢查設備配有的IP地址需要廠家專業人員修改,故所有檢查設備及所連計算機暫時不做改動,在接入層交換機預留端口,等廠家專業人員修改IP之後再調整網線連接。
2、網絡結構調整、重新佈線、設備選型:我院網絡結構原為二層扁平化設計,只有接入層和核心層設備,沒有匯聚層,隨著計算機數量的增加,廣播風暴變得非常龐大,且所有VLAN間數據交換都要經過核心交換機,使核心交換壓力越來越大。此次改造決定通過對網絡結構進行調整,網絡重新佈線,網絡設備更換等方法,將原來的二層網絡結構改為三層網絡結構以適應今後的發展。佈線方面,我院新建大樓共分為12層,12層至10層線路,匯聚到11層配線間,9層至8層線路,匯聚到8層配線間,7層至6層線路,匯聚到6層配線間,5層至4層線路,匯聚到4層配線間,3層至1層線路,匯聚到2層配線間。終端到配線間線路採用6類屏蔽雙絞線,實現千兆到桌面的標準,11層、8層、6層、4層的配線間到中心機房匯聚層交換機採用24芯光纖連接,每層分得6芯,2層配線間離中心機房距離近,採用6類屏蔽雙絞線連接,接入層到匯聚層為千兆鏈路。匯聚層交換機與核心交換機之間採用萬兆光纖連接。設備選型及配置方面,為實現千兆到桌面,淘汰原有百兆端口的接入層交換機,採購臺華為S5700系列全千兆端口三層交換機作為接入層交換機,每個配線間的接入層交換機做堆疊處理,簡化管理,並增加交換機的交換能力。採購華為S6700系列全萬兆端口三層交換機作為匯聚層交換機,匯聚層交換機之間用4條鏈路做鏈路聚合,增加帶寬並實現鏈路冗餘。採用2臺華為S7900系列全萬兆端口三層交換機作為核心交換機。
3、核心交換機虛擬化:我院網絡為單核心結構,存在單點故障,一旦發生交換機故障,將會導致全網癱瘓,直接影響我院的數據安全性、業務連續性。此次改造,我院新採購2臺華為S7900系列全萬兆端口三層交換機,做核心交換,通過CSS技術將兩臺核心交換虛擬成一臺邏輯交換機,實現核心交換機的負載均衡,統一管理,避免單點故障。同時把所有匯聚層交換機與虛擬化之後的核心交換機之間兩條上聯鏈路進行跨設備的鏈路聚合,使網絡不僅有設備上和鏈路上的冗餘,還能負載均衡,充分利用網絡資源,防止帶寬浪費。CSS技術可能因為線纜、堆疊卡故障導致分裂,分裂後的狀態會變成兩臺配置完全相同、且相互獨立的核心交換設備,這樣會引起整個網絡的全面癱瘓,為了避免此類故障發生,在核心交換之間配置雙主檢測,實現CSS分裂的處理和恢復。為進一步加強安全防護,將所有接入層、匯聚層交換機未連接設備的端口全部禁用。經過此次改造,解決了核心交換設備的冗餘及負載均衡問題,提高了網絡的可靠性,簡化了核心交換的管理,避免了匯聚層到核心層之間的鏈路環路和帶寬浪費。
4、設備的重用:網絡改造是對現有資源重新配置並增加功能的過程,合理地保護現有投資是在網絡改造時必須考慮的問題。由於大樓建設時,設計為百兆到桌面,牆體內的佈線均為百兆的5類雙絞線,現在醫院的醫學影像類文件,多為1G、2G的文件,百兆帶寬的鏈路傳輸非常慢,已經不能滿足現在的需求,所以線路無法再重用,只能重新佈線為6類屏蔽雙絞線。替換下來的交換機多為百兆交換機,也不能適應現在的千兆到桌面設計,不過此次改造只涉及到綜合大樓的線路改造,其他大樓還是百兆鏈路,辦公樓主要做一些文件處理、在線填報報表之類的工作,不涉及影像圖片的查看,百兆鏈路還能滿足當前需求,所以選用一些故障率低的百兆交換機,作為辦公樓的備用設備,一些經常出故障的設備直接淘汰,不在維修。原有的一臺核心交換機為千兆端口的三層交換機,放到功能科室樓,作為匯聚層交換機使用,因為幾個未改造的大樓,從數據流量來看,功能科室樓的數據流量比較大,將功能科室樓與綜合大樓之間的鏈路升級成千兆鏈路,最為合適。
5、部署背靠背模式防火牆:我院原有一臺網禦硬件防火牆,隨著互聯網業務不斷髮展,逐步開放了醫院網站平臺、網上預約等業務,為加強安全防護,採購一臺深信服硬件防火牆,將防火牆改造為背靠背模式,使用兩臺不同廠家的防火牆,可以有效避免因設備自身安全性引起的網絡安全問題。並且將我院網絡進行了區域劃分,FTP服務器、數據庫服務器、DHCP服務器、內網計算機所在的區域劃分為信任區域。web服務器、郵件服務器、預約掛號服務器等所在的區域劃分為DMZ區域。互聯網劃分為非信任區域。新購的深信服防火牆為外部防火牆,部署在非信任區域與DMZ區域之間,做訪問控制限制除辦公樓以外的其他計算機在任何時間都不能訪問外網,辦公樓的計算機只能在上班時間訪問衛生系統要求在線上報的網站。為了保證非信任區域的用戶可以訪問WEB等服務器,在外部防火牆上配置NAT,將WEB等服務器的私網地址和公網地址進行一對一靜態地址轉換。將信任區域用戶的私網地址和公網地址進行多對多的端口地址轉換NAPT,有效的節省了公網IP資源,同時可以使信任區域用戶和DMZ區域的服務器對非信任區域隱藏真實地址,進而有效避免非信任區域的直接攻擊,保障了業務的正常使用。網禦防火牆為內部防火牆,部署在信任區域與DMZ區域之間,做訪問控制,限制由DMZ區域、非信任區域發起的對信任區域所有非必要的訪問。2臺防火牆同時啟用監控審計功能,對於可疑情況及時報警,並提供網絡受到探測和攻擊的詳細信息,以便我們可以清楚的知道網絡安全存在的問題,並及時進行改進。
6、內網防毒部署。我院原來採用的內網安全措施為,啟用聯想商用機自帶的還原功能,即每次重啟對指定盤符進行恢復。經常會因為恢復功能,使存放不當的各類軟件日誌或一些工作人員數據資料丟失。對於U盤等存儲設備採用物理封堵、註冊列表禁用方式,效果也不太理想。本次改造採用方式為對我院所有計算機和服務器安裝防毒軟件,並在DMZ區域部署一臺防毒軟件服務器,提供信任區域的計算機和DMZ區的服務器在線升級病毒庫。防毒軟件服務器通過外網在軟件廠家網站下載更新包,實現病毒庫自動更新,並通過對外網防火牆做訪問策略,嚴格限制防毒軟件服務器只能訪問病毒庫更新地址,拒絕所有非病毒庫地址對防毒軟件服務器的訪問。在防毒軟件控制平臺將所有醫院系統軟件進程加入白名單,防止誤殺。對安裝客戶端的計算機進行分組管理,對於普通用戶組計算機禁止所有外接存儲類設備、無線網卡、光驅、軟驅、藍牙等,且網絡訪問權限為只能讀取不能寫入。對於服務器組禁止所有外接存儲類設備。全網定時殺毒及更新病毒庫,時間定為患者相對較少,計算機又全部開機的時間段,每週六週日下午4點。經過部署防毒軟件之後,內網的病毒得到了有效控制,工作人員亂插U盤的現象也徹底杜絕。
總結:
在本次項目中我通過採取上述技術和方法,在資金有限的情況下,使醫院網絡的安全性、可靠性得到了很大的提升。通過對交換機、防火牆等設備的重用,有效的保護了已有投資,得到了院領導的肯定。不過隨著網絡技術的發展,會不斷湧現新的網絡攻擊手段與安全威脅,網絡安全也將會面臨新的挑戰。本次改造中由於資金有限,也存在一些問題沒有得到完善,如:內網並沒有部署入侵檢測系統,對於來自網絡內部的攻擊和安全隱患無法及時發現,下一步在資金允許的情況下將部署IDS與IPS來進一步加強內部網絡的安全,並隨著信息化建設的發展不斷完善。
閱讀更多 網工那些事 的文章
