上網行為管理在醫院的策略部署及運用效果

摘 要： 對于集教學、科研于一體的大型綜合性醫院網絡，不當的上網行為嚴重占據了網絡資源，同時也影響著上班的效率，規范各類人員的上網行為迫在眉睫。為此，部署了上網行為管理設備并制定了相關策略，按性質和輕重緩急給所有上網用戶分組，根據工作需求對不同用戶組實施不同的上網策略及帶寬的劃分。這些方法保障了帶寬的有效利用，規范了相關人員的不當上網行為；為醫院信息化建設決策提供幫助，為網絡的安全穩定運行提供有利的技術支撐。

關鍵詞： 上網行為管理； 部署策略； 醫院信息化； 安全

中圖分類號：TP393 文獻標志碼：A 文章編號：1006-8228（2013）04-29-02

Strategy and application effects of online behaviors management in hospitals

Chen Lei， Zhou Min， Chen Canda

（The first affiliatend hospital， College of medicine， Zhejiang University， Information Center， Hangzhou， Zhejiang 310003， China）

Abstract： As for a network in a large integrated hospital， inappropriate online behaviors seriously occupy network resources and affect the work efficiency， so it is urgent to regulate online behavior of various types of personnel. In this paper， an internet behavior management equipment is deployed and the respective strategies are developed. All network users are classified according to their importance and priorities and different Internet strategy are carried out. The bandwidth is distributed according to the needs of different user groups. All these methods have guaranteed the efficient use of bandwidth and normalized inappropriate online behaviors， providing assistance for hospital information construction decisions and favorable technical support for the safe and stable operation of the network.

Key words： Internet behavior management； deployment strategy； hospital information； security

0 引言

浙江大學醫學院附屬第一醫院是一家三等甲級醫院，是一家教學科研型醫院，醫院擁有傳染病診治國家重點實驗室，及外科實驗室、腎臟病實驗室、血研所等多個浙江省重點學科實驗室。我院與89家大大小小的醫院合作建立了網絡醫療服務平臺，隨著這幾年醫院的快速發展，特別是增加了城站院區、大學路院區、良渚院區等多家分院區，又與北侖醫院、紹興二院等醫院建立網絡醫療合作關系，加上日常的職工上網、病人上網等等，全院上網電腦數量激增，從2002年初的不到50臺，發展到現在的2000多臺。

職工一般的上網應用是瀏覽網頁，收發電子郵件、查詢文獻等等，但也同時存在職工上班炒股、瀏覽非法網站、BT海量下載、在線游戲等影響工作且占據網絡資源的行為[1]，這不但嚴重耗費網絡資源，同時也影響工作的效率，更影響到遠程會診的質量，好資源并沒有用在刀刃上。盡管運營商的帶寬由最初的10M提升到后來的50M，乃至如今的100M，還是由于資源的未合理安排運用，導致遠程會診的視頻質量出現馬賽克及卡的現象。甚至還發生被公安部門追查發表欠妥的言論，而無法追查到個人的現象，損害了醫院的公眾形象。采用上網行為管理設備，能有效地堵住如此混亂的上網行為管理的漏洞。

1 上網行為管理產品

1.1 上網行為管理產品具備的功能[2]

目前業界上網行為管理產品種目繁多，都自稱具有上網行為管理各方面強大的功能。根據本院實際情況，及將來功能性能方面的擴展考慮，我們所需要的上網行為管理產品必須具備以下功能。

⑴ 具有對應用和網站的封堵過濾功能。上網行為管理產品須包含海量的應用協議特征庫和URL庫，以便對各種常用的網絡應用軟件和網址進行封堵和管控，例如聊天工具、P2P軟件、網絡游戲、炒股軟件、不良網站等。

⑵ 具有對流量的控制功能。上網行為管理產品須對網絡的下載、在線視頻等行為進行控制，例如BT、電驢、迅雷、土豆視頻等，避免用戶下載占用大量帶寬，影響他人正常工作。

⑶ 具有對發布內容的審計功能。為避免內部人員將單位的機密信息泄露以及敏感言論的出現，上網行為管理產品必須能針對對外發布的信息進行審計，例如郵件、FTP、QQ、MSN應用等，并將互聯網的所有訪問行為保存下來，便于進行用戶分析和記錄查詢。

1.2 方便網管員管理的功能[3]

⑴ 部署方式必須支持串接，具備BYPASS功能。市場上的上網行為管理產品支持的部署方式主要有串接與旁路兩種，如果單單從安全過濾的效果來講，只有流量穿越安全設備才可能保證真正的安全，旁路方式可能會受核心交換機鏡像端口狀態的影響，存在延遲安全的隱患。所有的旁路監聽產品，對UDP發送的數據都難以攔截，并且攔截往往有一定延時，攔截敏感數據的效果不佳，并且容易遺漏監控數據。BYPASS功能主要用于設備故障時能保證網絡暢行。

⑵ 對內部終端的靈活多樣性的認證方式。用戶認證種類甚多，可支持IP/MAC認證、Web認證、POP聯動認證、RADIUS聯動認證，滿足不同用戶不同場景的需求。

⑶ 對內部終端和用戶分組和分層次管理，提供不同的訪問權限策略管理。按照用戶組或用戶，進行流量控制，保證帶寬的合理使用，針對不同的用戶，在不同的時段采用不同的策略。

⑷ 完善的日志與報表查詢統計和審計功能。以靈活的方式，提供基于用戶的最詳細的互聯網訪問記錄，為網絡管理人員和領導提供直觀的統計、了解員工上網情況，并能導出結果，定時上報等功能。

2 上網行為管理設備的策略部署

在經過多輪模擬網絡環境測試和局部實地網絡測試后，我院最終采用了各項功能和性能均符合我院情況及未來業務擴展需要的深信服設備AC-5600。上網行為設備部署在我院網絡中的拓撲結構圖如圖1所示。

上網行為管理設備采用網橋模式接入防火墻與三層交換機之間，通過對內網采用統一的IP認證方式接入，內網所有用戶都將通過上網行為管理控制和統計內部網絡情況，對內網進行統一的控制和管理。

在實施中按性質及輕重緩急給所有用戶分組，分為遠程會診組、領導組、科研組、普通用戶組及病人上網組。對所有組進行網站訪問的過濾控制，過濾其中的病毒，惡意代碼及含有欺騙信息的釣魚網站；對所有組進行關鍵字過濾、木馬控制、代理管理、上傳及下載帶寬限流，限制單個用戶最大連接數，防止單個用戶因感染病毒而大量發鏈接；對反應網速慢的用戶組布置了P2P、流媒體、下載工具的限流等策略；對服務器、遠程會診組啟用了保障帶寬策略，保證服務器全天不受控制，能夠自動更新其服務，遠程會診能順利進行而不卡殼；開啟了防火墻、防DOS攻擊、防IPS入侵等安全功能；啟用了數據中心服務器日志分析平臺，可對內網用戶的上網行為進行全面的分析統計。通過管理設備，每天自動生成一份上網行為統計報表發給管理員郵箱，以便管理員實時了解全院的網絡狀況及流量狀況。對在上班時間違規占用大量網絡流量的IP進行監管，對規定時間超過規定流量的，將處以該用戶暫時不能上網等相應的懲罰。

把總體帶寬劃分為多個通道，每個通道對應不同的部門，為各部門分配合適的流量管理策略，以實現不同部門之間差異化上網需求。同時，為了提高遠程會診的視頻服務質量，設備的部署策略中考慮了對遠程會診流量進行保障。在總出口帶寬中劃分出遠程會診組等專屬部門，一旦與其他網絡應用并行處理時，則用以優先保障遠程會診的帶寬。

為了提高員工的上網工作效率和網絡的安全等級，一方面通過智能P2P識別技術管控特異的加密P2P流量、未知P2P流量，并結合內置URL庫，智能URL庫，應用識別規則庫等，全方位對內網員工的炒股、游戲、視頻、聊天、下載等上網行為進行規范和管理[4]；另一方面。通過封堵非法和高危網站，過濾惡意插件、惡意腳本等手段打造安全的上網環境[5]。

3 結束語

上網行為管理設備的部署，解決了網絡帶寬合理分配的問題，保障了帶寬最充分的有效利用，屏蔽了內網用戶不安全的網絡訪問，規避了因用戶發表不恰當的言論而導致的組織政治風險；利用上網行為審計系統強大的日志分析統計平臺，可以使系統管理員快速掌握網絡的資源使用情況，了解內網用戶的網絡行為動態，發現用戶的不良上網行為等，為我院信息化建設決策提供幫助，同時規范內網管理，整合網絡資源，防止內部資源的泄露，為網絡安全穩定運行提供數據支持。我們雖然預設規劃了五年以后的網絡規模，但該設備存在用戶數限制、背板流量的問題，隨著醫院網絡規模的迅猛發展，這些問題會暴露出來，如不及時進行整套設備硬件的升級，該設備也會成為影響網速的一處瓶頸。

參考文獻：

[1] 徐榮.上網行為管理在醫院應用淺析[J].應用技術，2009：315-316

[2] 任忠敏，林達峻，干峰.醫院如何選擇上網行為管理設備[J].現代醫院，2009.9：139-140

[3] 深信服用戶手冊[Z].深信服科技有限公司，2012.

[4] 羅東.運用上網行為管理，構建綠色校園網[J].考試周刊，2010.31：152

[5] 邵英浩，史乃彪.基于上網行為的審計策略分祈[J].決策，2010.6：118-119