李靜LI Jing；余軍YU Jun；馮祖洪FENG Zu-hong

（①銀川市中醫(yī)醫(yī)院，銀川 750001；②北方民族大學，銀川 750021）

（①Yinchuan Traditional Chinese Medicine Hospital，Yinchuan 750001，China；②Beifang University of Nationalities，Yinchuan 750021，China）

0 引言

隨著信息化進程的不斷深化，計算機網(wǎng)絡在影響著社會的各行各業(yè)的同時，也在不斷沖擊著傳統(tǒng)醫(yī)療模式。近年來，為了適應新的形勢，各個醫(yī)療機構(gòu)都在積極進行信息化建設。本文以銀川市中醫(yī)醫(yī)院為背景，探討了當今醫(yī)療機構(gòu)計算機網(wǎng)絡存在的普遍問題，并進行具體分析和研究，給出了一套合理的計算機網(wǎng)絡IP 地址規(guī)劃及VLAN劃分方案，有效地解決了網(wǎng)絡規(guī)劃不合理、網(wǎng)速慢等問題，為醫(yī)院的信息化建設提供了一個良好的基礎環(huán)境。

1 銀川市中醫(yī)醫(yī)院計算機網(wǎng)絡現(xiàn)狀及存在的問題

1.1 IP 地址問題

目前該院內(nèi)網(wǎng)計算機的IP 地址采用自動獲取方式，但是由于管理疏忽，某些計算機的IP 地址被用戶或者網(wǎng)絡管理員設置為固定IP。這樣先開機的計算機就可能自動獲取到未開機的計算機（該計算機的IP 地址之前被手動設置為固定IP）的IP 地址，當后者開機后會出現(xiàn)IP 地址獲取不到或者IP 地址沖突等問題，導致無法連接網(wǎng)絡。例如，計算機A 的IP 地址為固定IP：192.168.1.56，計算機B 的IP 地址為自動獲取方式取得，當計算機B 的開機時間早于計算機A 時，就有可能自動獲取得到的IP 地址為192.168.1.56，當計算機A 開機時，計算機就會提示IP 沖突，無法連接網(wǎng)絡。雖然解決方法很簡單，只需要將計算機A 的IP 設置為自動獲取便可得到一個新的IP，但是也需要網(wǎng)絡管理員到現(xiàn)場操作，給網(wǎng)絡管理工作帶來了極大的不便。

隨著網(wǎng)絡規(guī)模的不斷擴大，網(wǎng)絡覆蓋范圍的不斷延伸，網(wǎng)絡設備數(shù)量和種類也在不斷地增加。對于網(wǎng)絡管理人員，需要及時發(fā)現(xiàn)網(wǎng)絡中存在的各種故障和隱患，以便能夠快速故障處理，有效的排除網(wǎng)絡故障，降低網(wǎng)絡使用風險，確保各種業(yè)務的正常開展。在排除網(wǎng)絡故障的過程中，經(jīng)常需要網(wǎng)絡管理人員對某一個IP 地址的計算機進行地理位置的及時定位。例如，在殺毒軟件查找到網(wǎng)絡中攻擊源計算機的IP 地址時，網(wǎng)絡管理員無法根據(jù)IP 地址查找到該計算機的具體地理位置。

以上兩個問題歸根結(jié)底是由于IP 地址規(guī)劃不合理造成的。因此，如何對全院計算機的IP 地址進行科學合理的規(guī)劃成為網(wǎng)絡規(guī)劃的一個重要問題。

1.2 ARP 攻擊

ARP 攻擊，即地址解析協(xié)議攻擊。首先，地址解析協(xié)議的作用是通過目標設備的IP 地址，查詢目標設備的MAC 地址，以保證通信的正常進行。ARP 具體來說就是將網(wǎng)絡層的IP 地址解析成數(shù)據(jù)鏈路層的MAC 地址。

ARP 攻擊則是通過偽造IP 地址和MAC 地址來實現(xiàn)ARP 欺騙的，它能夠在網(wǎng)絡中產(chǎn)生大量的ARP 通信量，使網(wǎng)絡阻塞。攻擊者只要持續(xù)不斷地發(fā)出偽造的ARP 響應包，就能更改目標主機ARP 緩存表中的IP-MAC 條目，從而造成用戶上網(wǎng)速度慢，或者網(wǎng)絡中斷。

由于全院計算機內(nèi)網(wǎng)均處于同一個網(wǎng)段內(nèi)，較大的廣播域造成了ARP 攻擊發(fā)生的可能性大大增加。而醫(yī)療行業(yè)又是關系到病人生命安危的重要行業(yè)，尤其對于門診這樣提供給病人及時性服務的重要區(qū)域，一旦發(fā)生ARP 攻擊，將造成大量的病人滯留門診，不僅造成醫(yī)院嚴重的經(jīng)濟損失，也會給醫(yī)院的社會效應造成極大的負面影響。因此，怎樣減少ARP 攻擊發(fā)生的可能性，并且在發(fā)生ARP攻擊時能夠盡可能快速地查找到攻擊源，成為不容忽視的問題。

2 醫(yī)院計算機網(wǎng)絡的設計原則

可用性：醫(yī)院計算機網(wǎng)絡應以醫(yī)院的實際情況為根本和前提，充分考慮到醫(yī)院的具體情況，在保證醫(yī)院的門診、住院流程順利執(zhí)行的基礎上，最大程度地方便網(wǎng)絡管理人員進行維護、管理，以減少醫(yī)務人員運用網(wǎng)絡的難度，從而降低人為操作引起的網(wǎng)絡故障。

安全性：醫(yī)院計算機網(wǎng)絡中包含大量醫(yī)療信息和財務信息的重要數(shù)據(jù)，不論是損壞還是丟失，都會給醫(yī)院造成極大的損失，因此網(wǎng)絡的安全問題顯得尤為重要。內(nèi)外網(wǎng)嚴格分離是網(wǎng)絡安全的基本設計，此外，主要的安全技術還有VLAN 劃分、IDS、IPS 等技術。

可靠性：由于醫(yī)院單位性質(zhì)的特殊性，要求計算機網(wǎng)絡支持7*24 小時不間斷的工作。網(wǎng)絡一旦出現(xiàn)故障，就會影響醫(yī)療過程的順利進行，嚴重的甚至導致醫(yī)療活動的停滯。所以，在網(wǎng)絡設計中，要將高可靠性放在十分重要的位置，以確保醫(yī)療活動的正常進行。

可擴展性：隨著信息技術的不斷發(fā)展，及醫(yī)院醫(yī)療活動對信息技術的依賴程度不斷加深，醫(yī)院網(wǎng)絡的應用呈爆發(fā)式增長，只有具備擴展性和開放性的設備，才能擁有較長的生命力。

3 計算機網(wǎng)絡建設的基本技術

3.1 VLAN 技術

VLAN（Virtual Local Area Network）技術，即虛擬局域網(wǎng)技術，是一種邏輯廣播域，允許一組不限物理位置的用戶群共享一個獨立的廣播域，即可使不同的用戶群屬于不同的廣播域。這樣，通過劃分用戶群，控制廣播范圍等方式，VLAN 技術可以從根本上解決網(wǎng)絡效率與安全性問題。

3.2 三層交換技術

三層交換（也叫多層交換技術，或IP 交換技術）是相對于傳統(tǒng)交換概念而提出的。眾所周知，傳統(tǒng)的交換技術是在OSI 網(wǎng)絡標準模型中的第二層——數(shù)據(jù)鏈路層進行操作的，而三層交換技術是在網(wǎng)絡模型中的第三層實現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)。

三層交換技術的出現(xiàn)，解決了局域網(wǎng)中的網(wǎng)段劃分之后，網(wǎng)段中子網(wǎng)必須依賴路由器進行管理的局面，解決了傳統(tǒng)路由器低速、復雜所造成的網(wǎng)絡瓶頸問題。

3.3 NAT 技術

NAT（Network Address Translation，網(wǎng)絡地址轉(zhuǎn)換）是將IP 數(shù)據(jù)包頭中的IP 地址轉(zhuǎn)換為另一個IP 地址的過程。在實際應用中，NAT 技術主要用于實現(xiàn)私有網(wǎng)絡訪問公共網(wǎng)絡的功能。這種通過使用少量的公有IP 地址代表較多的私有IP 地址的方式，將有助于減緩可用的IP 地址空間的枯竭。

3.4 VPN 技術

VPN（Virtual Private Network）技術，即虛擬專用網(wǎng)絡。該技術的功能是在公用網(wǎng)絡上建立專用網(wǎng)絡，進行加密通訊，在企業(yè)網(wǎng)絡中有廣泛應用。

4 對該院的計算機網(wǎng)絡進行IP 地址規(guī)劃及VLAN的劃分

該院的網(wǎng)絡系統(tǒng)可以分為門診部、住院部、功能科室部、行政辦公部及后勤部，其中，門診部及住院部位于九層的綜合大樓（其中一至三層屬于門診部，四至九層屬于住院部），功能科室與行政辦公部位于后院三層小樓，后勤部位于后院的零散房間。根據(jù)該院的具體情況，為了使VLAN 編號及IP 地址能夠和部門樓層對應起來，讓管理人員一目了然，可以根據(jù)VLAN 編號及IP 地址確定用戶的具體位置，本文提出如下VLAN 及IP 地址規(guī)劃方案：

4.1 IP 地址的規(guī)劃

根據(jù)分析，本文將采用B 類私有地址對該院的IP 地址進行規(guī)劃。

IP 地址中的第三段數(shù)字統(tǒng)一采用兩位數(shù)，其中十位數(shù)字表示部門，個位數(shù)字表示樓層，具體規(guī)則如下：

1 表示門診部門，2 表示住院部門，3 表示功能科室部門，4 表示行政辦公部門，5 表示后勤部門。1-9 分別表示一至九層，其中后院零散房間的樓層號定為1。例如，172.16.12.3 表示門診部2 樓的某個地址，172.16.31.3 表示功能科室部門一樓的某個地址，172.16.51.3 表示后勤部門的某個地址。

住院部門各個樓層均由病房區(qū)和工作區(qū)組成。

對于住院部房間物理位置的規(guī)整性，本文將住院部IP 地址的第四段數(shù)字進行統(tǒng)一規(guī)劃，具體規(guī)則如下：第四段數(shù)字統(tǒng)一采用三位數(shù)字表示，如果該數(shù)字是一位數(shù)，則將其十位和百位數(shù)字用0 代替，如果該數(shù)字是兩位數(shù)，則將其百位數(shù)字用0 替代，其中百位表示房間類別：0 表示工作區(qū)，1、2 表示病房區(qū)。例如，172.16.28.56 表示住院部8樓工作區(qū)的某個IP 地址，172.16.26.156 表示住院部6 樓病房區(qū)的某個IP 地址。

4.2 VLAN 的規(guī)劃

完成IP 地址的規(guī)劃后，VLAN 的劃分可以根據(jù)IP 地址的規(guī)劃情況來確定。本文將每個樓宇的每個樓層劃分為一個網(wǎng)段，因此可以將每個樓層劃分為一個VLAN。VLAN的編號采用2 位數(shù)。十位數(shù)字1 表示九層的綜合大樓，2表示三層的小樓，3 表示后院零散房間。個位數(shù)字表示樓層。后院零散房間的樓層規(guī)定為1。例如，VLAN17 表示該VLAN 是綜合大樓7 樓的VLAN。

5 結(jié)論

通過以上方案可以看出，VLAN 及IP 地址的劃分較為精確，管理人員僅僅依靠VLAN 編號或IP 地址，就能夠確定出用戶的具體位置，這為網(wǎng)絡的維護帶來了很大的方便。同時，由于VLAN 減小了廣播域的范圍，使得ARP 攻擊只能影響到本樓層的用戶，大大減少了ARP 攻擊的危害范圍，同時也縮小了管理人員查找攻擊源的排查范圍，提高了解決問題的效率。

[1]姚坤.高校校園網(wǎng)建設方案的設計與研究[D].北方民族大學，2013.

[2]孟瑞祺，等.基于現(xiàn)代醫(yī)院信息化的網(wǎng)絡改造設計與實施[J].科技信息，2011（29）：92.

[3]楊霜英，等.大型醫(yī)院信息系統(tǒng)網(wǎng)絡改造研究[J].醫(yī)院數(shù)字化，2010，25（1）：29，35-36.

[4]鄒玉蓉.我院網(wǎng)絡系統(tǒng)的改造與實現(xiàn)[J].醫(yī)院數(shù)字化，2010，25（9）：30-31.