安全網(wǎng)關(guān)技術(shù)在醫(yī)院內(nèi)網(wǎng)安全中的研究與應(yīng)用

宮彥婷 常建國 王 彪 張 麗

1 醫(yī)院信息化建設(shè)

隨著IT信息科技的進(jìn)步及網(wǎng)絡(luò)使用的普及，現(xiàn)代醫(yī)療環(huán)境也隨之快速的變化，信息系統(tǒng)在各行各業(yè)得到很好運(yùn)用的同時(shí)，在醫(yī)療機(jī)構(gòu)也得到了長足的發(fā)展。醫(yī)院信息系統(tǒng)(hospital information system, HIS)已經(jīng)成為保障醫(yī)院正常運(yùn)營的關(guān)鍵因素，其安全性將直接影響到醫(yī)院的醫(yī)療活動(dòng)能否正常運(yùn)作。因此，做好HIS的安全保障，顯得越來越重要[1]。

1.1 醫(yī)院局域網(wǎng)性質(zhì)的特殊性

醫(yī)院局域網(wǎng)上每時(shí)每刻都在傳輸、處理和存儲(chǔ)著大量的信息數(shù)據(jù)，并且每天24 h不間斷地運(yùn)行?？煽啃院蜏?zhǔn)確性直接影響著醫(yī)院的正常工作，任何安全管理上的漏洞和缺陷都會(huì)造成不同程度的損失[2]。目前，出于HIS的安全和保密要求，特別是部隊(duì)醫(yī)院的HIS幾乎全部運(yùn)行于醫(yī)院內(nèi)部局域網(wǎng)絡(luò)之中，沒有與國際互聯(lián)網(wǎng)和其他公共信息網(wǎng)絡(luò)相連接[3]。但是，隨著地方衛(wèi)生部門要求的社保系統(tǒng)、區(qū)域醫(yī)療服務(wù)、軍隊(duì)衛(wèi)生部門倡導(dǎo)的網(wǎng)絡(luò)醫(yī)療信息服務(wù)、衛(wèi)生部發(fā)布的關(guān)于在公立醫(yī)院施行預(yù)約診療服務(wù)的意見[4]、要求三級醫(yī)院開展網(wǎng)絡(luò)預(yù)約掛號(hào)等，這些行為都已經(jīng)成為醫(yī)療服務(wù)的基本要求，都必須要有安全、可靠、順暢的網(wǎng)絡(luò)支撐做為基礎(chǔ)。

1.2 HIS網(wǎng)現(xiàn)狀

目前，我院的內(nèi)部HIS網(wǎng)是借助于北京市醫(yī)保租用網(wǎng)通的專線光纖接入到社保信息中心，內(nèi)網(wǎng)中醫(yī)保涉及的門診掛號(hào)、收費(fèi)、住院登記、住院收費(fèi)及相關(guān)診療目錄、藥品目錄維護(hù)系統(tǒng)均有標(biāo)準(zhǔn)的數(shù)據(jù)交換接口，通過前置機(jī)模式將數(shù)據(jù)發(fā)送到社保網(wǎng)，進(jìn)行數(shù)據(jù)交互。這種方式存在著無可預(yù)知、不可控的網(wǎng)絡(luò)安全問題。

2 安全隔離與信息交換系統(tǒng)的技術(shù)

2.1 安全隔離網(wǎng)閘的技術(shù)特點(diǎn)

安全隔離與信息交換系統(tǒng)是運(yùn)用了最先進(jìn)的物理隔離網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì)的安全網(wǎng)閘，保證內(nèi)部網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)物理隔斷，阻斷了具有潛在攻擊可能的一切連接，使黑客及木馬病毒無法入侵、無法攻擊、無法破壞，實(shí)現(xiàn)了真正的安全[5]。提供比防火墻、入侵檢測等技術(shù)更好的安全性能，既保證了物理的隔離，又實(shí)現(xiàn)了在線式實(shí)時(shí)訪問不可信網(wǎng)絡(luò)所必需的數(shù)據(jù)交換，通過強(qiáng)大的協(xié)議檢查、內(nèi)容審查、用戶審計(jì)等手段來確保內(nèi)外網(wǎng)資源、信息和數(shù)據(jù)的安全交換。

安全隔離與信息交換系統(tǒng)的硬件結(jié)構(gòu)和工作原理具備可靠的網(wǎng)絡(luò)斷開功能，在保證物理斷開的基礎(chǔ)上支持文件的交換服務(wù)。能夠滿足軍隊(duì)醫(yī)院HIS網(wǎng)與社保網(wǎng)和其它外網(wǎng)的物理斷開。

(1)設(shè)計(jì)專用隔離電子開關(guān)系統(tǒng),實(shí)現(xiàn)用戶關(guān)鍵網(wǎng)絡(luò)及服務(wù)系統(tǒng)與外界的物理隔斷，實(shí)現(xiàn)鏈路層與網(wǎng)絡(luò)層的徹底斷開(如圖1所示)。在沒有數(shù)據(jù)交換時(shí)，所有開關(guān)均斷開，保證內(nèi)、外物理斷開，有數(shù)據(jù)交換時(shí)，先接通一側(cè)的開關(guān)，等數(shù)據(jù)完全進(jìn)入系統(tǒng)內(nèi)部隔離卡中后，再斷開這側(cè)開關(guān)，接通另一側(cè)的開關(guān)，始終保持內(nèi)外網(wǎng)之間處于斷開狀態(tài)[6-7]。

(2)在核心的電子開關(guān)隔離芯片上,采用功能強(qiáng)大的硬件基片，使得電子開關(guān)具有高速的數(shù)據(jù)傳輸能力和并發(fā)處理能力。

(3)阻斷兩個(gè)網(wǎng)絡(luò)的通信連接，即剝離TCP/IP的協(xié)議，將原始數(shù)據(jù)通過點(diǎn)對點(diǎn)的方式，使用非TCP/ IP連接協(xié)議透過隔離與信息交換設(shè)備進(jìn)行交換和傳遞。

(4)廣泛支持各類通用應(yīng)用協(xié)議，包括支持視頻會(huì)議、流媒體以及VPN等特殊應(yīng)用代理以及用戶定制協(xié)議，無需再進(jìn)行二次開發(fā)或單獨(dú)購買模塊。

(5)采用負(fù)載均衡技術(shù)以及服務(wù)質(zhì)量控制技術(shù),消除單點(diǎn)故障和實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)的高可靠性及可用性保證。

2.2 安全網(wǎng)關(guān)的技術(shù)特點(diǎn)

安全網(wǎng)關(guān)是基于安全網(wǎng)絡(luò)訪問(secure network access, SNA)設(shè)計(jì)的安全協(xié)議傳輸解決方案，具有高性能、安全性、擴(kuò)展性、兼容性和穩(wěn)定性的特點(diǎn)。隔離產(chǎn)品會(huì)部署在多種多樣的復(fù)雜網(wǎng)絡(luò)環(huán)境中，往往是數(shù)據(jù)交換的關(guān)鍵點(diǎn)，能夠透明接入網(wǎng)絡(luò)，并且透明支持多種應(yīng)用[8-9]。

(1)具有先進(jìn)的PACA應(yīng)用進(jìn)程綁定驗(yàn)證功能。該技術(shù)將驗(yàn)證在內(nèi)核態(tài)驗(yàn)證訪問隔離網(wǎng)閘的通訊應(yīng)用進(jìn)程的合法性，從而有效阻止惡意程序透過客戶端向內(nèi)部網(wǎng)的入侵和傳播。

(2)透明的應(yīng)用支持。支持私有域名、IP地址訪問，具備良好的易用性。安全網(wǎng)關(guān)具備強(qiáng)大的協(xié)議轉(zhuǎn)換功能，可將通用協(xié)議轉(zhuǎn)換成網(wǎng)閘消息模塊通訊協(xié)議。

(3)具備SSL/IPSEC混合加密能力。安全網(wǎng)關(guān)系列是基于當(dāng)前SSL協(xié)議網(wǎng)關(guān)技術(shù),融合多方安全需求和獨(dú)創(chuàng)控制技術(shù)。主要功能特性包含：既支持私網(wǎng)用戶訪問企業(yè)內(nèi)部的各種服務(wù)，又支持公眾用戶透明地安全訪問。

圖1 安全監(jiān)測與控制處理圖

(4)具備無縫集成能力。安全網(wǎng)關(guān)能與防火墻、防病毒網(wǎng)關(guān)、隔離網(wǎng)閘系統(tǒng)集成，構(gòu)成完整的安全防御體系。

(5)基于組策略的用戶管理特性。采用基于用戶、組、角色的訪問控制策略，實(shí)現(xiàn)了集中管理。

3 安全隔離與信息交換系統(tǒng)的實(shí)踐

安全隔離與信息交換系統(tǒng)需要醫(yī)院有完備的網(wǎng)絡(luò)環(huán)境，且存在于兩個(gè)封閉、沒有物理連接的網(wǎng)絡(luò)之間，它包括隔離網(wǎng)閘、安全網(wǎng)關(guān)的相關(guān)硬件配套設(shè)施安裝和客戶端的安全防御套件，網(wǎng)關(guān)與網(wǎng)閘的聯(lián)合，共同實(shí)現(xiàn)了醫(yī)院內(nèi)網(wǎng)與地方醫(yī)保網(wǎng)間的物理隔離斷開與數(shù)據(jù)的擺渡交換(如圖2所示)。

3.1 系統(tǒng)硬件環(huán)境的實(shí)施

整個(gè)內(nèi)網(wǎng)安全系統(tǒng)主要由一臺(tái)安全隔離網(wǎng)閘和一臺(tái)安全網(wǎng)關(guān)構(gòu)建，放置于有醫(yī)保接口相對集中的門診樓機(jī)房中，設(shè)備間設(shè)計(jì)嚴(yán)格按照機(jī)房建設(shè)標(biāo)準(zhǔn)，如：場地、樓層負(fù)重、溫度、濕度、電力、照明、消防等符合國家機(jī)房設(shè)計(jì)標(biāo)準(zhǔn)規(guī)范要求[10]。

由于之前地方醫(yī)保網(wǎng)通過城域網(wǎng)專線經(jīng)路由器連到醫(yī)保服務(wù)器，再到核心交換機(jī)，延伸到醫(yī)院各個(gè)終端工作站?，F(xiàn)在，需將安全網(wǎng)關(guān)外端接口(按本院早期分配給醫(yī)保前置機(jī)的規(guī)范IP延續(xù))與醫(yī)保前置機(jī)連接，內(nèi)端接口與隔離網(wǎng)閘的外端接口連接，隔離網(wǎng)閘(192.168.*.*)的內(nèi)端接口連接在內(nèi)網(wǎng)核心交換機(jī)上。

選擇兩臺(tái)安裝有WindowsXP以上操作系統(tǒng)的客戶機(jī)，使其與內(nèi)網(wǎng)處于同一個(gè)網(wǎng)段，一臺(tái)安裝安全隔離信息系統(tǒng)管理客戶端軟件，配置初始化參數(shù)表；另一臺(tái)用IE瀏覽器進(jìn)行協(xié)議網(wǎng)關(guān)的初始化配置。

3.2 系統(tǒng)軟件系統(tǒng)的實(shí)施

3.2.1 安全網(wǎng)閘的配置

①隔離設(shè)備配置，主要設(shè)置內(nèi)、外端的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)地址；②協(xié)議屬性配置，安全網(wǎng)閘只允許通過SSL協(xié)議通訊，其他任何協(xié)議均拒絕；③隔離設(shè)備內(nèi)部映射配置，是將外網(wǎng)站點(diǎn)地址映射到內(nèi)網(wǎng)IP地址，一個(gè)地址是方便在內(nèi)網(wǎng)進(jìn)行安全網(wǎng)關(guān)的管理，另一個(gè)地址是醫(yī)?？蛻舳艘B接的安全網(wǎng)關(guān)映射地址；④隔離設(shè)備外部映射配置，是可信端的逆向行為，可以不做配置。

3.2.2 安全網(wǎng)關(guān)的參數(shù)配置

(1)協(xié)議網(wǎng)關(guān)網(wǎng)卡配置：配置IP、掩碼和網(wǎng)關(guān)。

(2)用戶管理：為醫(yī)?？蛻舳私Ｓ觅~戶，可以多臺(tái)共用賬戶，也可一對一的專戶專用，支持每臺(tái)PC的IP與主機(jī)MAC地址綁定，從VLAN劃分、部門功能和硬件維修的角度考慮，采用了位置集中且使用相同程序的客戶端建立同一個(gè)用戶；用戶的隧道會(huì)話持續(xù)時(shí)間代表了用戶在接入虛擬隧道后，無數(shù)據(jù)傳輸狀態(tài)下的最大時(shí)限，可設(shè)為72000，客戶空閑的最大時(shí)間代表了無鍵盤和鼠標(biāo)操作狀態(tài)下的最大時(shí)限，可設(shè)為24000，警告時(shí)間設(shè)為3000，為上述時(shí)間達(dá)到警告時(shí)限，系統(tǒng)自動(dòng)提示。

圖2 醫(yī)院內(nèi)網(wǎng)與醫(yī)保網(wǎng)間拓樸圖

(3)服務(wù)管理：為提供資源的兩臺(tái)醫(yī)保服務(wù)器創(chuàng)建服務(wù)，包括主機(jī)名和端口列表。主機(jī)名用于虛擬安全通道范疇內(nèi)的私有域名解析，即用戶可以以主機(jī)名的形式訪問服務(wù)，端口列表列出了該服務(wù)可以被訪問的端口，如80，139，445等端口。

(4)Web安全管理：配置對外IP地址、地址掩碼、對外HTTP端口、對外HTTPS端口、真實(shí)服務(wù)IP地址、真實(shí)服務(wù)端口、控制URL等安全信息。

3.2.3 安全網(wǎng)關(guān)客戶端軟件DoublesService虛擬隧道的安裝

在所有需要與醫(yī)保前置服務(wù)器進(jìn)行數(shù)據(jù)交換的客戶端中安裝DoublesService，按照初始化配置的虛擬隧道網(wǎng)關(guān)主機(jī)名：端口、用戶名、密碼進(jìn)行登陸?？蛻魴C(jī)PC要求內(nèi)存2 GHz，硬盤160 G以上的配置。每次開機(jī)重啟后，虛擬服務(wù)自動(dòng)登錄、自動(dòng)重連，經(jīng)過認(rèn)證后連接到系統(tǒng)設(shè)定的服務(wù)資源，此時(shí)才可以與外網(wǎng)進(jìn)行安全通訊。

4 實(shí)施過程中需注意的問題

4.1 防病毒軟件的選擇

我院早期一直運(yùn)行的是網(wǎng)絡(luò)版瑞星防病毒軟件，由于瑞星在網(wǎng)絡(luò)防病毒體系管理和查殺率等方面還有欠缺，后經(jīng)過測試啟用了ESET NOD32防病毒軟件，但ESET NOD32與客戶端的虛擬隧道存在系統(tǒng)沖突，體現(xiàn)在無法訪問同一網(wǎng)段的共享資源或者無故黑屏。

4.2 客戶端登錄用戶名的建立

每個(gè)客戶端設(shè)定各自的用戶名還是共用用戶名，設(shè)定客戶端各自的用戶名，可以綁定IP地址和MAC地址，做到專人、專機(jī)和專用途，有利于網(wǎng)絡(luò)管理。但是門診業(yè)務(wù)單位的微機(jī)，外接設(shè)備多，如讀寫卡器(多臺(tái))、掃描槍、針式打印機(jī)、熱敏打印機(jī)等，安裝軟件子系統(tǒng)繁多，一旦出現(xiàn)故障，需快速更換備用機(jī)，軟件限制多，制約了窗口單位的效率問題，因此我院采取了共用登錄名的方法。

4.3 院內(nèi)網(wǎng)絡(luò)速度對虛擬隧道的影響

虛擬隧道是在網(wǎng)絡(luò)連接通暢、遠(yuǎn)程用戶認(rèn)證通過后，才能正確的訪問內(nèi)部資源。如果網(wǎng)絡(luò)不通暢，虛擬隧道會(huì)處于非活動(dòng)狀態(tài)，以至于不能連接到指定目的主機(jī)，可以通過提高物理網(wǎng)絡(luò)帶寬改善客戶端應(yīng)用的響應(yīng)速度。

4.4 對明確通訊端口的要求

在安裝了安全隔離設(shè)備網(wǎng)閘和網(wǎng)關(guān)后，有些需要連接醫(yī)保服務(wù)器的外掛軟件，在程序的初始化文件中，服務(wù)器的地址配置需要明確使用開放的端口號(hào)，否則會(huì)提示錯(cuò)誤，如：SQL Server不存在或拒絕訪問。

4.5 不便之處

在遠(yuǎn)程桌面控制方面，內(nèi)網(wǎng)內(nèi)部未安裝安全客戶端的微機(jī)不能對連接外網(wǎng)的微機(jī)進(jìn)行遠(yuǎn)程桌面的控制。

5 結(jié)語

采用隔離網(wǎng)閘、安全網(wǎng)關(guān)和客戶端軟件三者結(jié)合的架構(gòu)進(jìn)行醫(yī)院內(nèi)網(wǎng)安全的研究與布署，既做好醫(yī)院與醫(yī)保網(wǎng)信息的暢通交換，又有效地保護(hù)了醫(yī)院內(nèi)部信息的不泄露，對于醫(yī)院的網(wǎng)絡(luò)安全建設(shè)具有很好的參考價(jià)值。該項(xiàng)研究與應(yīng)用在我院經(jīng)過試運(yùn)行后已在本系統(tǒng)內(nèi)十多家醫(yī)院進(jìn)行推廣，收到了HIS管理和應(yīng)用的良好效果。

[1]楊俊志.醫(yī)院信息系統(tǒng)安全體系建設(shè)實(shí)踐[J].醫(yī)學(xué)信息,2011(7):2868-2869.

[2]沙琨,李載程,王曄,等.軍隊(duì)醫(yī)院信息網(wǎng)絡(luò)安全現(xiàn)狀分析[J].解放軍醫(yī)院管理雜志,2011,3(18):243-244.

[3]楊宏橋,吳飛,劉玉樹,等.網(wǎng)絡(luò)隔離與安全交換技術(shù)在H I S中的應(yīng)用研究[J].醫(yī)療衛(wèi)生裝備,2008,29,(2):45-47.

[4]梁艷芳.醫(yī)院預(yù)約診療服務(wù)中心建設(shè)探討[J].中國醫(yī)院,2010,6(14):60-62.

[5]胡建理,李小華,周斌,等.一種基于安全隔離網(wǎng)閘技術(shù)的醫(yī)院內(nèi)部網(wǎng)安全解決方案[J].醫(yī)療衛(wèi)生裝備,2010,31(7):44-45.

[6]何鵬舉,王萬誠,李高盈,等.網(wǎng)絡(luò)隔離器的設(shè)計(jì)與實(shí)現(xiàn)[J].控制工程，2002,9(6):52-53.

[7]黃影,吳飛.基于HIS的安全數(shù)據(jù)交換系統(tǒng)的研究與實(shí)現(xiàn)[J].中國醫(yī)療設(shè)備,2011,26(9):45-46.

[8]萬平國.網(wǎng)絡(luò)隔離與網(wǎng)閘[M].北京:機(jī)械工業(yè)出版社,2004:56-61.

[9]阮燦華,陳鑫.基于物理隔離的網(wǎng)絡(luò)安全研究[J].福建電腦,2009(2):36-37.

[10]宮彥婷,劉文,醫(yī)院網(wǎng)絡(luò)綜合布線系統(tǒng)與技術(shù)應(yīng)用[J].中國醫(yī)療設(shè)備,2009,24(5):35-37.