卢方建

（阳江市妇幼保健院，广东 阳江 529500）

一、我院基本情况

我院作为三级市级妇幼保健院，在信息系统的发展上紧跟时代的步伐，医疗主要的系统包括HIS、LIS、PACS、EMR、信息集成平台以及自助机、微信预约挂号等都配备，网络上采用内外网物理隔离方式，保障网络安全，但是部分系统前置机如微信预约挂号，则采用专线方式保障网络安全。办公外网主要针对OA系统以及各种院感、药物上报系统使用，由于非主要业务使用，所以在网络设备上投入人力和物力不多。

二、外网上网异常查因全程

（一）问题的发现

周一早上八点上班开始，外网上网速度变慢，从打开网页变慢到十五分钟后的无法打开，同时单位公众号微信预约挂号界面也无法正常打开，门诊患者诊间支付功能也无法使用。这种情况在之前毫无征兆。首要步骤先进机房检查外网光调制解调器，简称光猫。微信专用光猫和外网办公光猫的信号灯都正常。然后检查天融信外网防火墙和外网核心交换机，信号灯都无异常。

网络卡死很可能某个设备出现了故障，于是我们重启了防火墙，但问题并没得到解决，决定再把办公外网和微信专线的光猫，以及外网核心交换机都重启了一遍，外网瞬间恢复正常。十五分钟左右上网又逐渐变慢，通过一台外网终端电脑用管理员身份进入命令行操作界面，通过ping www.baidu.com -t 和 ping外网网关地址的方式来监测网络状态，发现掉包都很严重，相应时间上千毫秒，甚至出现“请求超时”，正常状态的相应时间一般5ms左右。

此时微信预约挂号和诊间支付功能也开始失效，POS机也无法使用。人工收费窗口排长队，一些没带现金的患者无法支付治疗费用，对业务影响很大。

（二）第一个猜想：网络环路

网络的二层环路通常在发生办公区域移动或者网络节点比较密集的环境中，因为网络跳线的两端的水晶头为一致的，并没有区分是接Hub/switch或者PC的，导致接入的随意性比较大，从而给使用者造成可以随意将网络跳线同时接入到端口中，一旦发生这种问题就形成了环路，网络环路的危害非常大，重则导致整个单位的所有网络中断，轻则至少一片区域的网络中心，给单位生产和运作带来巨大的损失。

网络中断的原因：环路造成网络广播风暴，耗尽交换资源，造成交换机瘫痪。网络中的广播报，进入环路后便不断地循环转发、广播，无法结束。大量的数据包能让交换机的CPU达到85-100%，造成交换机的瘫痪。

我们通过在周一前最近一段时间新安装的外网电脑和更改过的网线配置，来处理找环路源头，再到现场检查，并没环路，也检查了各层的交换机，没插错的跳线。在五点半下班时间过后，外网网络自动恢复了正常。

（三）第二个猜想：ARP攻击

ARP攻击是利用ARP协议设计时缺乏安全验证漏洞来实现的，通过伪造ARP数据包来窃取合法用户的通信数据，造成影响网络传输速率和盗取用户隐私信息等严重危害。ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

假如某个电脑能持续发出ARP攻击，当早上八点上班，此电脑开启，攻击开始，网络逐渐被堵塞，进入瘫痪状态，下午五点半下班，电脑关闭，攻击停止，网络恢复正常。

为了验证猜想，我们在二层网络的每一个网段都找几台电脑安装360安全卫士----功能大全----网络优化----流量防火墙，开启局域网防护，开启后能自动绑定网管、ARP主动防御和IP冲突拦截，并且会有日志记录拦截数，通过这个办法来捕捉ARP的攻击，但是一个上午并无收获，而且电脑的CPU占有率都不高。

为了缩小排查范围，通过核心交换机的各层光纤线单独拔出方式来定位层楼，结果发现只有2楼和4楼的同时拔开才恢复正常，这两层的外网终端电脑占总外网电脑的80%。

（四）第三个猜想：网络宽带带宽不够

通过紧急增加200M临时办公外网带宽，但是问题依旧，而且监测到使用的宽带占有率并不高。

（五）第四个猜想：外网防火墙/外网核心交换机故障

网络运营商的网络工程师通过用一台小型交换机直接接办公外网光猫，测试网速正常，并无丢包。所以排除网线故障，怀疑防火墙或者交换机故障。但是通过微信专线的光猫单独代替办公外网线路接入防火墙和核心交换机，网络正常。

（六）谜底：办公外网光猫故障

怀疑办公专线的光猫出现问题，让运营商工程师更换了新的光猫，网络不再出现掉包，恢复正常。旧的光猫已经使用了接近三年，运营商工程师介绍，那款光猫的稳定性差，很多家庭用户都在两年左右就出现问题，需要更换，因为品质不好，里面元件出现老化，对网络流量低时功能正常，流量一旦增加到一定负荷时，就会出现掉包。上班时候，全院一百多台外网电脑陆续开启使用，负荷一起来就掉包，下班了，偶尔几台外网电脑使用，负荷低，功能正常。

三、事件的反思

（一）设备的管理不到位

到使用寿命的设备还在透支使用，没做好设备使用期限的定期更新。

（二）对外网终端的管理不到位

没有一套专用设备来管理这些终端，无法第一时间排除环路和ARP攻击的可能性。

（三）对医院使用人员的培训不到位

外网网线的乱插可能会导致网络环路，这种基础知识，如果加入到新员工培训中，也加入科室人员新系统上线培训中，就不用担心人为造成的网络环路。