张晋华等

摘要：现代医疗信息技术的发展，网络安全直接关系到医疗业务的正常开展。该文通过分析医院门诊网络可能存在的安全隐患，对应提出在安全技术手段上的方法，形成一个体系的安全架构，为医院的网络安全防护提供一种可行的解决方案。

关键词：VLAN划分与绑定；QOS限制；环路检测

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）04-0043-05

Abstract： The development of modern medical information technology， network security is directly related to the normal conduct of medical services. This paper analyzes the hospital outpatient network security risk may exist， corresponding to the proposed method on security techniques， the formation of the security architecture of a system to provide a viable solution for network security hospital.

Key words： VLAN division and bind； QOS Restrictions； LOOP detection

医院网络信息化发展异常迅速：从纸笔登记到“一卡通”；从人工喊号到电子语音报价；从一本本病例到无纸化电子病历系统……每一个环节都体现出网络的便捷，而一个稳定、安全、高效的网络是提供便捷医疗服务的前提保证。

网络构成四要素：⑴通信线路和设备；⑵独立功能的计算机；⑶网络软件；⑷数据通信和资源共享。这里首当其冲的是通信线路和设备。

谈及通信设备不得不说到交换机——OSI七层模型中的第二层设备，也是现网络拓扑结构中所占比重最大的网络设备，起着承上启下的至关作用。网络安全的前提便是交换机的安全，为此，交换机的端口安全成了稳定医院信息化业务的最重要技术保证。

1 门诊网络安全因素分析与交换机端口技术应用

1.1 门诊网络安全因素分析

医院门诊信息化网络中影响安全的因素更加复杂、多变：新增加的网络设备、计算机；新布置的网线、软件程序；医生乃至就诊患者、家属的个人电脑私自接入内网……种种可变、不确定的外部因素增加了医院固有网络的管理难度，“以不变应万变”的端口流量检测与安全技术应运而生。

1.2 交换机端口安全技术应用

交换机组网技术中，VLAN（虚拟局域网）技术被广泛应用，它将局域网的设备划分成不同网段，使设备形成逻辑上的隔离，利于网络监管，提高了网络运行的安全性。

交换机流量监控值得重视，监控其端口流量变化来发现和判断环路的产生，我们将引入QOS技术和环路检测办法。

1.2.1 VLAN划分与IP、MAC和端口的多元组绑定

①VLAN划分与绑定

1.2.2 QOS与交换机环路检测

① QOS

网络资源总是有限的，在网络总带宽固定的情况下，如果某类业务占用的带宽越多，那么其他业务能使用的带宽就越少。例如，门诊某科室计算机通过内网大量的下载软件，这将导致门诊挂号与收费网络资源的急剧减少，降低办理流程的速度，极大影响正常门诊业务的开展。

引入QOS技术，对网络资源进行合理的规划和分配，从而使网络资源得到高效利用，保障门诊业务正常运行势在必行。

什么是QOS？QOS（Quality of Service）即服务质量。对于网络业务，服务质量包括传输的带宽、传送的时延、数据的丢包率等。在网络中可以通过保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动等措施来提高服务质量。采用流量限制、拥塞避免等措施进行先期QOS调度，使进入接入网的流量相对平稳，避免在接入网中出现拥塞，保障网络畅通。

QOS技术在网络体系中作用在哪里？

QOS技术包括流分类、流量监管、流量整形、端口限速、拥塞管理、拥塞避免等。

流分类：采用一定的规则识别符合某类特征的报文，它是对网络业务进行区分服务的前提和基础。

流量监管：对进入或流出设备的特定流量进行监管。当流量超出设定值时，可以采取限制或惩罚措施，以保护网络资源不受损害。可以作用在端口入方向和出方向。

流量整形：一种主动调整流的输出速率的流量控制措施，用来使流量适配下游设备可供给的网络资源，避免不必要的报文丢弃和延迟，通常作用在端口出方向。

拥塞管理：就是当拥塞发生时如何制定一个资源的调度策略，以决定报文转发的处理次序，通常作用在端口出方向。

拥塞避免：监督网络资源的使用情况，当发现拥塞有加剧的趋势时采取主动丢弃报文的策略，通过调整队列长度来解除网络的过载，通常作用在端口出方向。

QOS配置方式分为QOS策略配置方式和非QOS策略配置方式两种。QOS策略配置方式是指通过配置QOS策略来实现。

本文将采用基于端口的QOS策略进行流量监管配置，限制对HTTP报文的接收速率不超过512kbps，超出限制速率的报文将被丢弃。配置除门诊挂号、收费、发药系统的端口外进行速率限制，确保挂号、收费、发药所需要的正常网络流量不会被抢夺占用。

拥塞避免（Congestion Avoidance）是一种流量控制机制，它通过监视网络资源（如队列或内存缓冲区）的使用情况，在拥塞产生或有加剧的趋势时主动丢弃报文，通过调整网络的流量来解除网络过载。

与端到端的流量控制相比，这里的流量控制具有更广泛的意义，它影响到设备中更多的业务流的负载。设备在丢弃报文时，需要与源端的流量控制动作（比如TCP流量控制）相配合，调整网络的流量到一个合理的负载状态。丢包策略和源端流控机制有效的组合，可以使网络的吞吐量和利用效率最大化，并且使报文丢弃和延迟最小化。

为避免TCP全局同步现象：当队列同时丢弃多个TCP连接的报文时，将造成多个TCP连接同时进入拥塞避免和慢启动状态以降低并调整流量，而后又会在某个时间同时出现流量高峰。如此反复，使网络流量忽大忽小，网络不停震荡，可使用RED（Random Early Detection，随机早期检测）或WRED（Weighted Random Early Detection，加权随机早期检测）。

RED和WRED通过随机丢弃报文避免了TCP的全局同步现象，使得当某个TCP连接的报文被丢弃、开始减速发送的时候，其他的TCP连接仍然有较高的发送速度。这样，无论什么时候，总有TCP连接在进行较快的发送，提高了线路带宽的利用率。

本文将采用基于WRED的配置：

问题现象：端口入方向和出方向流量持续增大，环回链路在下游。

问题原因：下游链路环回或者自环。

处理方法：① 首先逐跳向下游寻找环路的链路；② 然后在端口下loopback internal；③ 设备由于链路引入环路有两种：一种是单端口收发环，第二种是设备上两个端口环路。

2 总结

笔者结合实际情况进行了端口安全技术的组合配置，进行了多元组绑定，规范了网络结构，增强、提高了安全性。引入QOS管理技术，该技术分类详细、手段多样，一个好的QOS能确保网络资源本身的合理性与科学性。配合环路检测技术，将能更好的服务网络、保障业务。

更多端口安全技术，将会在实际工作中进行更深入的研究与实践。

参考文献：

[1] 张俊星. 基于区分Web QOS的负载均衡集群模型[J]. 计算机系统应用，2014，23（2）：189-191.