從外網(wǎng)上網(wǎng)異常的查因談醫(yī)院的網(wǎng)絡(luò)安全管理

盧方建

（陽(yáng)江市婦幼保健院，廣東 陽(yáng)江 529500）

一、我院基本情況

我院作為三級(jí)市級(jí)婦幼保健院，在信息系統(tǒng)的發(fā)展上緊跟時(shí)代的步伐，醫(yī)療主要的系統(tǒng)包括HIS、LIS、PACS、EMR、信息集成平臺(tái)以及自助機(jī)、微信預(yù)約掛號(hào)等都配備，網(wǎng)絡(luò)上采用內(nèi)外網(wǎng)物理隔離方式，保障網(wǎng)絡(luò)安全，但是部分系統(tǒng)前置機(jī)如微信預(yù)約掛號(hào)，則采用專線方式保障網(wǎng)絡(luò)安全。辦公外網(wǎng)主要針對(duì)OA系統(tǒng)以及各種院感、藥物上報(bào)系統(tǒng)使用，由于非主要業(yè)務(wù)使用，所以在網(wǎng)絡(luò)設(shè)備上投入人力和物力不多。

二、外網(wǎng)上網(wǎng)異常查因全程

（一）問(wèn)題的發(fā)現(xiàn)

周一早上八點(diǎn)上班開(kāi)始，外網(wǎng)上網(wǎng)速度變慢，從打開(kāi)網(wǎng)頁(yè)變慢到十五分鐘后的無(wú)法打開(kāi)，同時(shí)單位公眾號(hào)微信預(yù)約掛號(hào)界面也無(wú)法正常打開(kāi)，門(mén)診患者診間支付功能也無(wú)法使用。這種情況在之前毫無(wú)征兆。首要步驟先進(jìn)機(jī)房檢查外網(wǎng)光調(diào)制解調(diào)器，簡(jiǎn)稱光貓。微信專用光貓和外網(wǎng)辦公光貓的信號(hào)燈都正常。然后檢查天融信外網(wǎng)防火墻和外網(wǎng)核心交換機(jī)，信號(hào)燈都無(wú)異常。

網(wǎng)絡(luò)卡死很可能某個(gè)設(shè)備出現(xiàn)了故障，于是我們重啟了防火墻，但問(wèn)題并沒(méi)得到解決，決定再把辦公外網(wǎng)和微信專線的光貓，以及外網(wǎng)核心交換機(jī)都重啟了一遍，外網(wǎng)瞬間恢復(fù)正常。十五分鐘左右上網(wǎng)又逐漸變慢，通過(guò)一臺(tái)外網(wǎng)終端電腦用管理員身份進(jìn)入命令行操作界面，通過(guò)ping www.baidu.com -t 和 ping外網(wǎng)網(wǎng)關(guān)地址的方式來(lái)監(jiān)測(cè)網(wǎng)絡(luò)狀態(tài)，發(fā)現(xiàn)掉包都很嚴(yán)重，相應(yīng)時(shí)間上千毫秒，甚至出現(xiàn)“請(qǐng)求超時(shí)”，正常狀態(tài)的相應(yīng)時(shí)間一般5ms左右。

此時(shí)微信預(yù)約掛號(hào)和診間支付功能也開(kāi)始失效，POS機(jī)也無(wú)法使用。人工收費(fèi)窗口排長(zhǎng)隊(duì)，一些沒(méi)帶現(xiàn)金的患者無(wú)法支付治療費(fèi)用，對(duì)業(yè)務(wù)影響很大。

（二）第一個(gè)猜想：網(wǎng)絡(luò)環(huán)路

網(wǎng)絡(luò)的二層環(huán)路通常在發(fā)生辦公區(qū)域移動(dòng)或者網(wǎng)絡(luò)節(jié)點(diǎn)比較密集的環(huán)境中，因?yàn)榫W(wǎng)絡(luò)跳線的兩端的水晶頭為一致的，并沒(méi)有區(qū)分是接Hub/switch或者PC的，導(dǎo)致接入的隨意性比較大，從而給使用者造成可以隨意將網(wǎng)絡(luò)跳線同時(shí)接入到端口中，一旦發(fā)生這種問(wèn)題就形成了環(huán)路，網(wǎng)絡(luò)環(huán)路的危害非常大，重則導(dǎo)致整個(gè)單位的所有網(wǎng)絡(luò)中斷，輕則至少一片區(qū)域的網(wǎng)絡(luò)中心，給單位生產(chǎn)和運(yùn)作帶來(lái)巨大的損失。

網(wǎng)絡(luò)中斷的原因：環(huán)路造成網(wǎng)絡(luò)廣播風(fēng)暴，耗盡交換資源，造成交換機(jī)癱瘓。網(wǎng)絡(luò)中的廣播報(bào)，進(jìn)入環(huán)路后便不斷地循環(huán)轉(zhuǎn)發(fā)、廣播，無(wú)法結(jié)束。大量的數(shù)據(jù)包能讓交換機(jī)的CPU達(dá)到85-100%，造成交換機(jī)的癱瘓。

我們通過(guò)在周一前最近一段時(shí)間新安裝的外網(wǎng)電腦和更改過(guò)的網(wǎng)線配置，來(lái)處理找環(huán)路源頭，再到現(xiàn)場(chǎng)檢查，并沒(méi)環(huán)路，也檢查了各層的交換機(jī)，沒(méi)插錯(cuò)的跳線。在五點(diǎn)半下班時(shí)間過(guò)后，外網(wǎng)網(wǎng)絡(luò)自動(dòng)恢復(fù)了正常。

（三）第二個(gè)猜想：ARP攻擊

ARP攻擊是利用ARP協(xié)議設(shè)計(jì)時(shí)缺乏安全驗(yàn)證漏洞來(lái)實(shí)現(xiàn)的，通過(guò)偽造ARP數(shù)據(jù)包來(lái)竊取合法用戶的通信數(shù)據(jù)，造成影響網(wǎng)絡(luò)傳輸速率和盜取用戶隱私信息等嚴(yán)重危害。ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一臺(tái)計(jì)算機(jī)感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會(huì)試圖通過(guò)“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。

假如某個(gè)電腦能持續(xù)發(fā)出ARP攻擊，當(dāng)早上八點(diǎn)上班，此電腦開(kāi)啟，攻擊開(kāi)始，網(wǎng)絡(luò)逐漸被堵塞，進(jìn)入癱瘓狀態(tài)，下午五點(diǎn)半下班，電腦關(guān)閉，攻擊停止，網(wǎng)絡(luò)恢復(fù)正常。

為了驗(yàn)證猜想，我們?cè)诙泳W(wǎng)絡(luò)的每一個(gè)網(wǎng)段都找?guī)着_(tái)電腦安裝360安全衛(wèi)士----功能大全----網(wǎng)絡(luò)優(yōu)化----流量防火墻，開(kāi)啟局域網(wǎng)防護(hù)，開(kāi)啟后能自動(dòng)綁定網(wǎng)管、ARP主動(dòng)防御和IP沖突攔截，并且會(huì)有日志記錄攔截?cái)?shù)，通過(guò)這個(gè)辦法來(lái)捕捉ARP的攻擊，但是一個(gè)上午并無(wú)收獲，而且電腦的CPU占有率都不高。

為了縮小排查范圍，通過(guò)核心交換機(jī)的各層光纖線單獨(dú)拔出方式來(lái)定位層樓，結(jié)果發(fā)現(xiàn)只有2樓和4樓的同時(shí)拔開(kāi)才恢復(fù)正常，這兩層的外網(wǎng)終端電腦占總外網(wǎng)電腦的80%。

（四）第三個(gè)猜想：網(wǎng)絡(luò)寬帶帶寬不夠

通過(guò)緊急增加200M臨時(shí)辦公外網(wǎng)帶寬，但是問(wèn)題依舊，而且監(jiān)測(cè)到使用的寬帶占有率并不高。

（五）第四個(gè)猜想：外網(wǎng)防火墻/外網(wǎng)核心交換機(jī)故障

網(wǎng)絡(luò)運(yùn)營(yíng)商的網(wǎng)絡(luò)工程師通過(guò)用一臺(tái)小型交換機(jī)直接接辦公外網(wǎng)光貓，測(cè)試網(wǎng)速正常，并無(wú)丟包。所以排除網(wǎng)線故障，懷疑防火墻或者交換機(jī)故障。但是通過(guò)微信專線的光貓單獨(dú)代替辦公外網(wǎng)線路接入防火墻和核心交換機(jī)，網(wǎng)絡(luò)正常。

（六）謎底：辦公外網(wǎng)光貓故障

懷疑辦公專線的光貓出現(xiàn)問(wèn)題，讓運(yùn)營(yíng)商工程師更換了新的光貓，網(wǎng)絡(luò)不再出現(xiàn)掉包，恢復(fù)正常。舊的光貓已經(jīng)使用了接近三年，運(yùn)營(yíng)商工程師介紹，那款光貓的穩(wěn)定性差，很多家庭用戶都在兩年左右就出現(xiàn)問(wèn)題，需要更換，因?yàn)槠焚|(zhì)不好，里面元件出現(xiàn)老化，對(duì)網(wǎng)絡(luò)流量低時(shí)功能正常，流量一旦增加到一定負(fù)荷時(shí)，就會(huì)出現(xiàn)掉包。上班時(shí)候，全院一百多臺(tái)外網(wǎng)電腦陸續(xù)開(kāi)啟使用，負(fù)荷一起來(lái)就掉包，下班了，偶爾幾臺(tái)外網(wǎng)電腦使用，負(fù)荷低，功能正常。

三、事件的反思

（一）設(shè)備的管理不到位

到使用壽命的設(shè)備還在透支使用，沒(méi)做好設(shè)備使用期限的定期更新。

（二）對(duì)外網(wǎng)終端的管理不到位

沒(méi)有一套專用設(shè)備來(lái)管理這些終端，無(wú)法第一時(shí)間排除環(huán)路和ARP攻擊的可能性。

（三）對(duì)醫(yī)院使用人員的培訓(xùn)不到位

外網(wǎng)網(wǎng)線的亂插可能會(huì)導(dǎo)致網(wǎng)絡(luò)環(huán)路，這種基礎(chǔ)知識(shí)，如果加入到新員工培訓(xùn)中，也加入科室人員新系統(tǒng)上線培訓(xùn)中，就不用擔(dān)心人為造成的網(wǎng)絡(luò)環(huán)路。