從外網上網異常的查因談醫院的網絡安全管理

盧方建

（陽江市婦幼保健院，廣東 陽江 529500）

一、我院基本情況

我院作為三級市級婦幼保健院，在信息系統的發展上緊跟時代的步伐，醫療主要的系統包括HIS、LIS、PACS、EMR、信息集成平臺以及自助機、微信預約掛號等都配備，網絡上采用內外網物理隔離方式，保障網絡安全，但是部分系統前置機如微信預約掛號，則采用專線方式保障網絡安全。辦公外網主要針對OA系統以及各種院感、藥物上報系統使用，由于非主要業務使用，所以在網絡設備上投入人力和物力不多。

二、外網上網異常查因全程

（一）問題的發現

周一早上八點上班開始，外網上網速度變慢，從打開網頁變慢到十五分鐘后的無法打開，同時單位公眾號微信預約掛號界面也無法正常打開，門診患者診間支付功能也無法使用。這種情況在之前毫無征兆。首要步驟先進機房檢查外網光調制解調器，簡稱光貓。微信專用光貓和外網辦公光貓的信號燈都正常。然后檢查天融信外網防火墻和外網核心交換機，信號燈都無異常。

網絡卡死很可能某個設備出現了故障，于是我們重啟了防火墻，但問題并沒得到解決，決定再把辦公外網和微信專線的光貓，以及外網核心交換機都重啟了一遍，外網瞬間恢復正常。十五分鐘左右上網又逐漸變慢，通過一臺外網終端電腦用管理員身份進入命令行操作界面，通過ping www.baidu.com -t 和 ping外網網關地址的方式來監測網絡狀態，發現掉包都很嚴重，相應時間上千毫秒，甚至出現“請求超時”，正常狀態的相應時間一般5ms左右。

此時微信預約掛號和診間支付功能也開始失效，POS機也無法使用。人工收費窗口排長隊，一些沒帶現金的患者無法支付治療費用，對業務影響很大。

（二）第一個猜想：網絡環路

網絡的二層環路通常在發生辦公區域移動或者網絡節點比較密集的環境中，因為網絡跳線的兩端的水晶頭為一致的，并沒有區分是接Hub/switch或者PC的，導致接入的隨意性比較大，從而給使用者造成可以隨意將網絡跳線同時接入到端口中，一旦發生這種問題就形成了環路，網絡環路的危害非常大，重則導致整個單位的所有網絡中斷，輕則至少一片區域的網絡中心，給單位生產和運作帶來巨大的損失。

網絡中斷的原因：環路造成網絡廣播風暴，耗盡交換資源，造成交換機癱瘓。網絡中的廣播報，進入環路后便不斷地循環轉發、廣播，無法結束。大量的數據包能讓交換機的CPU達到85-100%，造成交換機的癱瘓。

我們通過在周一前最近一段時間新安裝的外網電腦和更改過的網線配置，來處理找環路源頭，再到現場檢查，并沒環路，也檢查了各層的交換機，沒插錯的跳線。在五點半下班時間過后，外網網絡自動恢復了正常。

（三）第二個猜想：ARP攻擊

ARP攻擊是利用ARP協議設計時缺乏安全驗證漏洞來實現的，通過偽造ARP數據包來竊取合法用戶的通信數據，造成影響網絡傳輸速率和盜取用戶隱私信息等嚴重危害。ARP攻擊主要是存在于局域網網絡中，局域網中若有一臺計算機感染ARP木馬，則感染該ARP木馬的系統將會試圖通過“ARP欺騙”手段截獲所在網絡內其它計算機的通信信息，并因此造成網內其它計算機的通信故障。

假如某個電腦能持續發出ARP攻擊，當早上八點上班，此電腦開啟，攻擊開始，網絡逐漸被堵塞，進入癱瘓狀態，下午五點半下班，電腦關閉，攻擊停止，網絡恢復正常。

為了驗證猜想，我們在二層網絡的每一個網段都找幾臺電腦安裝360安全衛士----功能大全----網絡優化----流量防火墻，開啟局域網防護，開啟后能自動綁定網管、ARP主動防御和IP沖突攔截，并且會有日志記錄攔截數，通過這個辦法來捕捉ARP的攻擊，但是一個上午并無收獲，而且電腦的CPU占有率都不高。

為了縮小排查范圍，通過核心交換機的各層光纖線單獨拔出方式來定位層樓，結果發現只有2樓和4樓的同時拔開才恢復正常，這兩層的外網終端電腦占總外網電腦的80%。

（四）第三個猜想：網絡寬帶帶寬不夠

通過緊急增加200M臨時辦公外網帶寬，但是問題依舊，而且監測到使用的寬帶占有率并不高。

（五）第四個猜想：外網防火墻/外網核心交換機故障

網絡運營商的網絡工程師通過用一臺小型交換機直接接辦公外網光貓，測試網速正常，并無丟包。所以排除網線故障，懷疑防火墻或者交換機故障。但是通過微信專線的光貓單獨代替辦公外網線路接入防火墻和核心交換機，網絡正常。

（六）謎底：辦公外網光貓故障

懷疑辦公專線的光貓出現問題，讓運營商工程師更換了新的光貓，網絡不再出現掉包，恢復正常。舊的光貓已經使用了接近三年，運營商工程師介紹，那款光貓的穩定性差，很多家庭用戶都在兩年左右就出現問題，需要更換，因為品質不好，里面元件出現老化，對網絡流量低時功能正常，流量一旦增加到一定負荷時，就會出現掉包。上班時候，全院一百多臺外網電腦陸續開啟使用，負荷一起來就掉包，下班了，偶爾幾臺外網電腦使用，負荷低，功能正常。

三、事件的反思

（一）設備的管理不到位

到使用壽命的設備還在透支使用，沒做好設備使用期限的定期更新。

（二）對外網終端的管理不到位

沒有一套專用設備來管理這些終端，無法第一時間排除環路和ARP攻擊的可能性。

（三）對醫院使用人員的培訓不到位

外網網線的亂插可能會導致網絡環路，這種基礎知識，如果加入到新員工培訓中，也加入科室人員新系統上線培訓中，就不用擔心人為造成的網絡環路。