上网行为管理在医院的策略部署及运用效果

时间:2020-08-15 12:21:29 管理毕业论文 我要投稿

上网行为管理在医院的策略部署及运用效果

  引言

上网行为管理在医院的策略部署及运用效果

  浙江大学医学院附属第一医院是一家三等甲级医院,是一家教学科研型医院,医院拥有传染病诊治国家重点实验室,及外科实验室、肾脏病实验室、血研所等多个浙江省重点学科实验室。我院与89家大大小小的医院合作建立了网络医疗服务平台,随着这几年医院的快速发展,特别是增加了城站院区、大学路院区、良渚院区等多家分院区,又与北仑医院、绍兴二院等医院建立网络医疗合作关系,加上日常的职工上网、病人上网等等,全院上网电脑数量激增,从2002年初的不到50台,发展到现在的2000多台。

  职工一般的上网应用是浏览网页,收发电子邮件、查询文献等等,但也同时存在职工上班炒股、浏览非法网站、BT海量下载、在线游戏等影响工作且占据网络资源的行为[1],这不但严重耗费网络资源,同时也影响工作的效率,更影响到远程会诊的质量,好资源并没有用在刀刃上。尽管运营商的带宽由最初的 10M提升到后来的50M,乃至如今的100M,还是由于资源的未合理安排运用,导致远程会诊的视频质量出现马赛克及卡的现象。甚至还发生被公安部门追查发表欠妥的言论,而无法追查到个人的现象,损害了医院的公众形象。采用上网行为管理设备,能有效地堵住如此混乱的上网行为管理的漏洞。

  1 上网行为管理产品

  1.1 上网行为管理产品具备的功能[2]

  目前业界上网行为管理产品种目繁多,都自称具有上网行为管理各方面强大的功能。根据本院实际情况,及将来功能性能方面的.扩展考虑,我们所需要的上网行为管理产品必须具备以下功能。

  ⑴ 具有对应用和网站的封堵过滤功能。上网行为管理产品须包含海量的应用协议特征库和URL库,以便对各种常用的网络应用软件和网址进行封堵和管控,例如聊天工具、P2P软件、网络游戏、炒股软件、不良网站等。

  ⑵ 具有对流量的控制功能。上网行为管理产品须对网络的下载、在线视频等行为进行控制,例如BT、电驴、迅雷、土豆视频等,避免用户下载占用大量带宽,影响他人正常工作。

  ⑶ 具有对发布内容的审计功能。为避免内部人员将单位的机密信息泄露以及敏感言论的出现,上网行为管理产品必须能针对对外发布的信息进行审计,例如邮件、FTP、QQ、MSN应用等,并将互联网的所有访问行为保存下来,便于进行用户分析和记录查询。

  1.2 方便网管员管理的功能[3]

  ⑴ 部署方式必须支持串接,具备BYPASS功能。市场上的上网行为管理产品支持的部署方式主要有串接与旁路两种,如果单单从安全过滤的效果来讲,只有流量穿越安全设备才可能保证真正的安全,旁路方式可能会受核心交换机镜像端口状态的影响,存在延迟安全的隐患。所有的旁路监听产品,对UDP发送的数据都难以拦截,并且拦截往往有一定延时,拦截敏感数据的效果不佳,并且容易遗漏监控数据。BYPASS功能主要用于设备故障时能保证网络畅行。

  ⑵ 对内部终端的灵活多样性的认证方式。用户认证种类甚多,可支持IP/MAC认证、Web认证、POP联动认证、RADIUS联动认证,满足不同用户不同场景的需求。

  ⑶ 对内部终端和用户分组和分层次管理,提供不同的访问权限策略管理。按照用户组或用户,进行流量控制,保证带宽的合理使用,针对不同的用户,在不同的时段采用不同的策略。

  ⑷ 完善的日志与报表查询统计和审计功能。以灵活的方式,提供基于用户的最详细的互联网访问记录,为网络管理人员和领导提供直观的统计、了解员工上网情况,并能导出结果,定时上报等功能。

  2 上网行为管理设备的策略部署

  在经过多轮模拟网络环境测试和局部实地网络测试后,我院最终采用了各项功能和性能均符合我院情况及未来业务扩展需要的深信服设备AC-5600。上网行为设备部署在我院网络中的拓扑结构图如图1所示。

  上网行为管理设备采用网桥模式接入防火墙与三层交换机之间,通过对内网采用统一的IP认证方式接入,内网所有用户都将通过上网行为管理控制和统计内部网络情况,对内网进行统一的控制和管理。

  在实施中按性质及轻重缓急给所有用户分组,分为远程会诊组、领导组、科研组、普通用户组及病人上网组。对所有组进行网站访问的过滤控制,过滤其中的病毒,恶意代码及含有欺骗信息的钓鱼网站;对所有组进行关键字过滤、木马控制、代理管理、上传及下载带宽限流,限制单个用户最大连接数,防止单个用户因感染病毒而大量发链接;对反应网速慢的用户组布置了P2P、流媒体、下载工具的限流等策略;对服务器、远程会诊组启用了保障带宽策略,保证服务器全天不受控制,能够自动更新其服务,远程会诊能顺利进行而不卡壳;开启了防火墙、防DOS攻击、防IPS入侵等安全功能;启用了数据中心服务器日志分析平台,可对内网用户的上网行为进行全面的分析统计。通过管理设备,每天自动生成一份上网行为统计报表发给管理员邮箱,以便管理员实时了解全院的网络状况及流量状况。对在上班时间违规占用大量网络流量的IP进行监管,对规定时间超过规定流量的,将处以该用户暂时不能上网等相应的惩罚。

  把总体带宽划分为多个通道,每个通道对应不同的部门,为各部门分配合适的流量管理策略,以实现不同部门之间差异化上网需求。同时,为了提高远程会诊的视频服务质量,设备的部署策略中考虑了对远程会诊流量进行保障。在总出口带宽中划分出远程会诊组等专属部门,一旦与其他网络应用并行处理时,则用以优先保障远程会诊的带宽。

  为了提高员工的上网工作效率和网络的安全等级,一方面通过智能P2P识别技术管控特异的加密P2P流量、未知P2P流量,并结合内置URL库,智能URL库,应用识别规则库等,全方位对内网员工的炒股、游戏、视频、聊天、下载等上网行为进行规范和管理[4];另一方面。通过封堵非法和高危网站,过滤恶意插件、恶意脚本等手段打造安全的上网环境[5]。

  3 结束语

  上网行为管理设备的部署,解决了网络带宽合理分配的问题,保障了带宽最充分的有效利用,屏蔽了内网用户不安全的网络访问,规避了因用户发表不恰当的言论而导致的组织政治风险;利用上网行为审计系统强大的日志分析统计平台,可以使系统管理员快速掌握网络的资源使用情况,了解内网用户的网络行为动态,发现用户的不良上网行为等,为我院信息化建设决策提供帮助,同时规范内网管理,整合网络资源,防止内部资源的泄露,为网络安全稳定运行提供数据支持。我们虽然预设规划了五年以后的网络规模,但该设备存在用户数限制、背板流量的问题,随着医院网络规模的迅猛发展,这些问题会暴露出来,如不及时进行整套设备硬件的升级,该设备也会成为影响网速的一处瓶颈。