摘 要： 對(duì)于集教學(xué)、科研于一體的大型綜合性醫(yī)院網(wǎng)絡(luò)，不當(dāng)?shù)纳暇W(wǎng)行為嚴(yán)重占據(jù)了網(wǎng)絡(luò)資源，同時(shí)也影響著上班的效率，規(guī)范各類人員的上網(wǎng)行為迫在眉睫。為此，部署了上網(wǎng)行為管理設(shè)備并制定了相關(guān)策略，按性質(zhì)和輕重緩急給所有上網(wǎng)用戶分組，根據(jù)工作需求對(duì)不同用戶組實(shí)施不同的上網(wǎng)策略及帶寬的劃分。這些方法保障了帶寬的有效利用，規(guī)范了相關(guān)人員的不當(dāng)上網(wǎng)行為；為醫(yī)院信息化建設(shè)決策提供幫助，為網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行提供有利的技術(shù)支撐。

關(guān)鍵詞： 上網(wǎng)行為管理； 部署策略； 醫(yī)院信息化； 安全

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2013）04-29-02

Strategy and application effects of online behaviors management in hospitals

Chen Lei， Zhou Min， Chen Canda

（The first affiliatend hospital， College of medicine， Zhejiang University， Information Center， Hangzhou， Zhejiang 310003， China）

Abstract： As for a network in a large integrated hospital， inappropriate online behaviors seriously occupy network resources and affect the work efficiency， so it is urgent to regulate online behavior of various types of personnel. In this paper， an internet behavior management equipment is deployed and the respective strategies are developed. All network users are classified according to their importance and priorities and different Internet strategy are carried out. The bandwidth is distributed according to the needs of different user groups. All these methods have guaranteed the efficient use of bandwidth and normalized inappropriate online behaviors， providing assistance for hospital information construction decisions and favorable technical support for the safe and stable operation of the network.

Key words： Internet behavior management； deployment strategy； hospital information； security

0 引言

浙江大學(xué)醫(yī)學(xué)院附屬第一醫(yī)院是一家三等甲級(jí)醫(yī)院，是一家教學(xué)科研型醫(yī)院，醫(yī)院擁有傳染病診治國(guó)家重點(diǎn)實(shí)驗(yàn)室，及外科實(shí)驗(yàn)室、腎臟病實(shí)驗(yàn)室、血研所等多個(gè)浙江省重點(diǎn)學(xué)科實(shí)驗(yàn)室。我院與89家大大小小的醫(yī)院合作建立了網(wǎng)絡(luò)醫(yī)療服務(wù)平臺(tái)，隨著這幾年醫(yī)院的快速發(fā)展，特別是增加了城站院區(qū)、大學(xué)路院區(qū)、良渚院區(qū)等多家分院區(qū)，又與北侖醫(yī)院、紹興二院等醫(yī)院建立網(wǎng)絡(luò)醫(yī)療合作關(guān)系，加上日常的職工上網(wǎng)、病人上網(wǎng)等等，全院上網(wǎng)電腦數(shù)量激增，從2002年初的不到50臺(tái)，發(fā)展到現(xiàn)在的2000多臺(tái)。

職工一般的上網(wǎng)應(yīng)用是瀏覽網(wǎng)頁，收發(fā)電子郵件、查詢文獻(xiàn)等等，但也同時(shí)存在職工上班炒股、瀏覽非法網(wǎng)站、BT海量下載、在線游戲等影響工作且占據(jù)網(wǎng)絡(luò)資源的行為[1]，這不但嚴(yán)重耗費(fèi)網(wǎng)絡(luò)資源，同時(shí)也影響工作的效率，更影響到遠(yuǎn)程會(huì)診的質(zhì)量，好資源并沒有用在刀刃上。盡管運(yùn)營(yíng)商的帶寬由最初的10M提升到后來的50M，乃至如今的100M，還是由于資源的未合理安排運(yùn)用，導(dǎo)致遠(yuǎn)程會(huì)診的視頻質(zhì)量出現(xiàn)馬賽克及卡的現(xiàn)象。甚至還發(fā)生被公安部門追查發(fā)表欠妥的言論，而無法追查到個(gè)人的現(xiàn)象，損害了醫(yī)院的公眾形象。采用上網(wǎng)行為管理設(shè)備，能有效地堵住如此混亂的上網(wǎng)行為管理的漏洞。

1 上網(wǎng)行為管理產(chǎn)品

1.1 上網(wǎng)行為管理產(chǎn)品具備的功能[2]

目前業(yè)界上網(wǎng)行為管理產(chǎn)品種目繁多，都自稱具有上網(wǎng)行為管理各方面強(qiáng)大的功能。根據(jù)本院實(shí)際情況，及將來功能性能方面的擴(kuò)展考慮，我們所需要的上網(wǎng)行為管理產(chǎn)品必須具備以下功能。

⑴ 具有對(duì)應(yīng)用和網(wǎng)站的封堵過濾功能。上網(wǎng)行為管理產(chǎn)品須包含海量的應(yīng)用協(xié)議特征庫和URL庫，以便對(duì)各種常用的網(wǎng)絡(luò)應(yīng)用軟件和網(wǎng)址進(jìn)行封堵和管控，例如聊天工具、P2P軟件、網(wǎng)絡(luò)游戲、炒股軟件、不良網(wǎng)站等。

⑵ 具有對(duì)流量的控制功能。上網(wǎng)行為管理產(chǎn)品須對(duì)網(wǎng)絡(luò)的下載、在線視頻等行為進(jìn)行控制，例如BT、電驢、迅雷、土豆視頻等，避免用戶下載占用大量帶寬，影響他人正常工作。

⑶ 具有對(duì)發(fā)布內(nèi)容的審計(jì)功能。為避免內(nèi)部人員將單位的機(jī)密信息泄露以及敏感言論的出現(xiàn)，上網(wǎng)行為管理產(chǎn)品必須能針對(duì)對(duì)外發(fā)布的信息進(jìn)行審計(jì)，例如郵件、FTP、QQ、MSN應(yīng)用等，并將互聯(lián)網(wǎng)的所有訪問行為保存下來，便于進(jìn)行用戶分析和記錄查詢。

1.2 方便網(wǎng)管員管理的功能[3]

⑴ 部署方式必須支持串接，具備BYPASS功能。市場(chǎng)上的上網(wǎng)行為管理產(chǎn)品支持的部署方式主要有串接與旁路兩種，如果單單從安全過濾的效果來講，只有流量穿越安全設(shè)備才可能保證真正的安全，旁路方式可能會(huì)受核心交換機(jī)鏡像端口狀態(tài)的影響，存在延遲安全的隱患。所有的旁路監(jiān)聽產(chǎn)品，對(duì)UDP發(fā)送的數(shù)據(jù)都難以攔截，并且攔截往往有一定延時(shí)，攔截敏感數(shù)據(jù)的效果不佳，并且容易遺漏監(jiān)控?cái)?shù)據(jù)。BYPASS功能主要用于設(shè)備故障時(shí)能保證網(wǎng)絡(luò)暢行。

⑵ 對(duì)內(nèi)部終端的靈活多樣性的認(rèn)證方式。用戶認(rèn)證種類甚多，可支持IP/MAC認(rèn)證、Web認(rèn)證、POP聯(lián)動(dòng)認(rèn)證、RADIUS聯(lián)動(dòng)認(rèn)證，滿足不同用戶不同場(chǎng)景的需求。

⑶ 對(duì)內(nèi)部終端和用戶分組和分層次管理，提供不同的訪問權(quán)限策略管理。按照用戶組或用戶，進(jìn)行流量控制，保證帶寬的合理使用，針對(duì)不同的用戶，在不同的時(shí)段采用不同的策略。

⑷ 完善的日志與報(bào)表查詢統(tǒng)計(jì)和審計(jì)功能。以靈活的方式，提供基于用戶的最詳細(xì)的互聯(lián)網(wǎng)訪問記錄，為網(wǎng)絡(luò)管理人員和領(lǐng)導(dǎo)提供直觀的統(tǒng)計(jì)、了解員工上網(wǎng)情況，并能導(dǎo)出結(jié)果，定時(shí)上報(bào)等功能。

2 上網(wǎng)行為管理設(shè)備的策略部署

在經(jīng)過多輪模擬網(wǎng)絡(luò)環(huán)境測(cè)試和局部實(shí)地網(wǎng)絡(luò)測(cè)試后，我院最終采用了各項(xiàng)功能和性能均符合我院情況及未來業(yè)務(wù)擴(kuò)展需要的深信服設(shè)備AC-5600。上網(wǎng)行為設(shè)備部署在我院網(wǎng)絡(luò)中的拓?fù)浣Y(jié)構(gòu)圖如圖1所示。

上網(wǎng)行為管理設(shè)備采用網(wǎng)橋模式接入防火墻與三層交換機(jī)之間，通過對(duì)內(nèi)網(wǎng)采用統(tǒng)一的IP認(rèn)證方式接入，內(nèi)網(wǎng)所有用戶都將通過上網(wǎng)行為管理控制和統(tǒng)計(jì)內(nèi)部網(wǎng)絡(luò)情況，對(duì)內(nèi)網(wǎng)進(jìn)行統(tǒng)一的控制和管理。

在實(shí)施中按性質(zhì)及輕重緩急給所有用戶分組，分為遠(yuǎn)程會(huì)診組、領(lǐng)導(dǎo)組、科研組、普通用戶組及病人上網(wǎng)組。對(duì)所有組進(jìn)行網(wǎng)站訪問的過濾控制，過濾其中的病毒，惡意代碼及含有欺騙信息的釣魚網(wǎng)站；對(duì)所有組進(jìn)行關(guān)鍵字過濾、木馬控制、代理管理、上傳及下載帶寬限流，限制單個(gè)用戶最大連接數(shù)，防止單個(gè)用戶因感染病毒而大量發(fā)鏈接；對(duì)反應(yīng)網(wǎng)速慢的用戶組布置了P2P、流媒體、下載工具的限流等策略；對(duì)服務(wù)器、遠(yuǎn)程會(huì)診組啟用了保障帶寬策略，保證服務(wù)器全天不受控制，能夠自動(dòng)更新其服務(wù)，遠(yuǎn)程會(huì)診能順利進(jìn)行而不卡殼；開啟了防火墻、防DOS攻擊、防IPS入侵等安全功能；啟用了數(shù)據(jù)中心服務(wù)器日志分析平臺(tái)，可對(duì)內(nèi)網(wǎng)用戶的上網(wǎng)行為進(jìn)行全面的分析統(tǒng)計(jì)。通過管理設(shè)備，每天自動(dòng)生成一份上網(wǎng)行為統(tǒng)計(jì)報(bào)表發(fā)給管理員郵箱，以便管理員實(shí)時(shí)了解全院的網(wǎng)絡(luò)狀況及流量狀況。對(duì)在上班時(shí)間違規(guī)占用大量網(wǎng)絡(luò)流量的IP進(jìn)行監(jiān)管，對(duì)規(guī)定時(shí)間超過規(guī)定流量的，將處以該用戶暫時(shí)不能上網(wǎng)等相應(yīng)的懲罰。

把總體帶寬劃分為多個(gè)通道，每個(gè)通道對(duì)應(yīng)不同的部門，為各部門分配合適的流量管理策略，以實(shí)現(xiàn)不同部門之間差異化上網(wǎng)需求。同時(shí)，為了提高遠(yuǎn)程會(huì)診的視頻服務(wù)質(zhì)量，設(shè)備的部署策略中考慮了對(duì)遠(yuǎn)程會(huì)診流量進(jìn)行保障。在總出口帶寬中劃分出遠(yuǎn)程會(huì)診組等專屬部門，一旦與其他網(wǎng)絡(luò)應(yīng)用并行處理時(shí)，則用以優(yōu)先保障遠(yuǎn)程會(huì)診的帶寬。

為了提高員工的上網(wǎng)工作效率和網(wǎng)絡(luò)的安全等級(jí)，一方面通過智能P2P識(shí)別技術(shù)管控特異的加密P2P流量、未知P2P流量，并結(jié)合內(nèi)置URL庫，智能URL庫，應(yīng)用識(shí)別規(guī)則庫等，全方位對(duì)內(nèi)網(wǎng)員工的炒股、游戲、視頻、聊天、下載等上網(wǎng)行為進(jìn)行規(guī)范和管理[4]；另一方面。通過封堵非法和高危網(wǎng)站，過濾惡意插件、惡意腳本等手段打造安全的上網(wǎng)環(huán)境[5]。

3 結(jié)束語

上網(wǎng)行為管理設(shè)備的部署，解決了網(wǎng)絡(luò)帶寬合理分配的問題，保障了帶寬最充分的有效利用，屏蔽了內(nèi)網(wǎng)用戶不安全的網(wǎng)絡(luò)訪問，規(guī)避了因用戶發(fā)表不恰當(dāng)?shù)难哉摱鴮?dǎo)致的組織政治風(fēng)險(xiǎn)；利用上網(wǎng)行為審計(jì)系統(tǒng)強(qiáng)大的日志分析統(tǒng)計(jì)平臺(tái)，可以使系統(tǒng)管理員快速掌握網(wǎng)絡(luò)的資源使用情況，了解內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)行為動(dòng)態(tài)，發(fā)現(xiàn)用戶的不良上網(wǎng)行為等，為我院信息化建設(shè)決策提供幫助，同時(shí)規(guī)范內(nèi)網(wǎng)管理，整合網(wǎng)絡(luò)資源，防止內(nèi)部資源的泄露，為網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行提供數(shù)據(jù)支持。我們雖然預(yù)設(shè)規(guī)劃了五年以后的網(wǎng)絡(luò)規(guī)模，但該設(shè)備存在用戶數(shù)限制、背板流量的問題，隨著醫(yī)院網(wǎng)絡(luò)規(guī)模的迅猛發(fā)展，這些問題會(huì)暴露出來，如不及時(shí)進(jìn)行整套設(shè)備硬件的升級(jí)，該設(shè)備也會(huì)成為影響網(wǎng)速的一處瓶頸。

參考文獻(xiàn)：

[1] 徐榮.上網(wǎng)行為管理在醫(yī)院應(yīng)用淺析[J].應(yīng)用技術(shù)，2009：315-316

[2] 任忠敏，林達(dá)峻，干峰.醫(yī)院如何選擇上網(wǎng)行為管理設(shè)備[J].現(xiàn)代醫(yī)院，2009.9：139-140

[3] 深信服用戶手冊(cè)[Z].深信服科技有限公司，2012.

[4] 羅東.運(yùn)用上網(wǎng)行為管理，構(gòu)建綠色校園網(wǎng)[J].考試周刊，2010.31：152

[5] 邵英浩，史乃彪.基于上網(wǎng)行為的審計(jì)策略分祈[J].決策，2010.6：118-119