論醫(yī)院內(nèi)外網(wǎng)間數(shù)據(jù)交換安全解決方案

陜西省西安市精神衛(wèi)生中心 馬 毅

一、醫(yī)療衛(wèi)生單位信息化建設(shè)現(xiàn)狀

我國醫(yī)療衛(wèi)生事業(yè)經(jīng)過近20年的加速發(fā)展，信息化逐步受到了國家衛(wèi)計委和各級醫(yī)院的重視。國家衛(wèi)計委在“十二五”規(guī)劃中提出建設(shè)“36212工程”：我國將重點建設(shè)國家級、省級和地市級三級衛(wèi)生信息平臺；加強信息化在公共衛(wèi)生、醫(yī)療服務(wù)、計劃生育、新農(nóng)合、基本藥物制度、綜合管理六項業(yè)務(wù)中的深入應(yīng)用；建設(shè)電子健康檔案、電子病歷和全國人口數(shù)據(jù)資源庫三個基礎(chǔ)數(shù)據(jù)庫；建設(shè)一個醫(yī)療衛(wèi)生信息專用網(wǎng)絡(luò)；逐步建設(shè)信息安全體系和信息標準體系?！?6212工程”的建設(shè)將推進醫(yī)療衛(wèi)生事業(yè)改革。隨著醫(yī)療信息化建設(shè)的逐步深入，各級醫(yī)院已經(jīng)建起了不同程度的醫(yī)院信息系統(tǒng)(Hospital Information System，簡稱HIS系統(tǒng))。為提升醫(yī)療服務(wù)質(zhì)量，優(yōu)化就醫(yī)流程，一些管理部門需要通過互聯(lián)網(wǎng)連接醫(yī)院HIS系統(tǒng)以獲取準確的醫(yī)療數(shù)據(jù)，如醫(yī)院質(zhì)量監(jiān)測系統(tǒng)(Hospital Quality Monitoring System，簡稱HQMS系統(tǒng))需要自動對接病案首頁數(shù)據(jù)以確保醫(yī)院評審評價數(shù)據(jù)的真實性；醫(yī)保網(wǎng)絡(luò)需要將病人資料和費用信息傳至醫(yī)保中心進行結(jié)算等?；ヂ?lián)網(wǎng)接入醫(yī)院內(nèi)網(wǎng)打破了醫(yī)院網(wǎng)絡(luò)物理隔離的現(xiàn)狀，增加了醫(yī)院HIS系統(tǒng)的安全風險。HIS系統(tǒng)數(shù)據(jù)包含醫(yī)院診療、財務(wù)、決策等多方面的內(nèi)容，是醫(yī)院最重要的資源，一旦數(shù)據(jù)丟失或出錯將給醫(yī)院帶來無法預估的損失。因此，如何實現(xiàn)內(nèi)外網(wǎng)按需進行數(shù)據(jù)信息交換并保證HIS系統(tǒng)安全，是醫(yī)院信息工作者必須要解決的難題。隨著網(wǎng)閘技術(shù)的快速發(fā)展和逐漸成熟，這樣的難題得以解決。

二、網(wǎng)閘技術(shù)概況

網(wǎng)閘，也叫安全隔離與信息交換系統(tǒng)，其工作原理采用了人工在兩個隔離網(wǎng)絡(luò)之間的信息交換方式，中斷兩個網(wǎng)絡(luò)間的所有通信協(xié)議連接，使之不能直接進行網(wǎng)絡(luò)協(xié)議通信。網(wǎng)閘的應(yīng)用不僅使得信息網(wǎng)絡(luò)的抗攻擊能力大大增強，而且有效地防范信息外泄事件的發(fā)生。

網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨立主機系統(tǒng)的信息安全設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個獨立主機系統(tǒng)之間不存在通信的物理連接、邏輯連接、信息傳輸命令和信息傳輸協(xié)議，也不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺渡”，且對固態(tài)存儲介質(zhì)只有“讀”和“寫”兩個命令。所以物理隔離網(wǎng)聞從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實現(xiàn)了真正的安全。

三、網(wǎng)閘架構(gòu)及工作原理

安全隔離網(wǎng)閘由三部分組成：外網(wǎng)處理單元、內(nèi)網(wǎng)處理單元、安全數(shù)據(jù)交換單元。外網(wǎng)處理單元與外網(wǎng)相連，內(nèi)網(wǎng)處理單元與內(nèi)網(wǎng)相連，安全數(shù)據(jù)交換單元是內(nèi)網(wǎng)處理單元與外網(wǎng)處理單元之間唯一且安全的數(shù)據(jù)通道，它不同時與內(nèi)外網(wǎng)處理單元連接。安全數(shù)據(jù)交換單元可理解為一個存儲介質(zhì)和一個調(diào)度控制電路。

圖1 網(wǎng)閘結(jié)構(gòu)

圖2 網(wǎng)閘工作原理

內(nèi)網(wǎng)處理單元和外網(wǎng)處理單元是內(nèi)網(wǎng)和外網(wǎng)的邊界點，同時也是網(wǎng)絡(luò)協(xié)議的終結(jié)。當外網(wǎng)需要給內(nèi)網(wǎng)傳輸數(shù)據(jù)時，發(fā)起對隔離網(wǎng)閘的非TCP/IP協(xié)議的數(shù)據(jù)連接，網(wǎng)閘將所有通過網(wǎng)閘的應(yīng)用層信息都從TCP/IP協(xié)議包中剝離，還原為裸數(shù)據(jù)并寫入存儲介質(zhì)中。根據(jù)應(yīng)用情況，可以對數(shù)據(jù)進行安全性和完整性檢查。數(shù)據(jù)完全寫入存儲介質(zhì)，網(wǎng)閘立即切斷與外網(wǎng)的連接，轉(zhuǎn)而發(fā)起對內(nèi)網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接，將數(shù)據(jù)推向內(nèi)網(wǎng)。內(nèi)網(wǎng)收到數(shù)據(jù)后進行TCP/IP和應(yīng)用協(xié)議的封裝，并交給應(yīng)用系統(tǒng)。數(shù)據(jù)處理完畢后，中斷與內(nèi)網(wǎng)的連接，網(wǎng)閘恢復完全隔離狀態(tài)。內(nèi)網(wǎng)向外網(wǎng)傳輸數(shù)據(jù)流程類似。

由于在內(nèi)網(wǎng)和外網(wǎng)之間只傳遞純數(shù)據(jù)，不傳遞網(wǎng)絡(luò)信息和控制信息等存在安全隱患的信息，網(wǎng)閘就過濾掉了所有基于網(wǎng)絡(luò)協(xié)議漏洞的攻擊，保證了內(nèi)外網(wǎng)之間信息交換的安全和可靠，而數(shù)據(jù)的協(xié)議剝離---還原為裸數(shù)據(jù)---過濾---重組這一系列的過程都不依賴于任何通用協(xié)議，只能被網(wǎng)閘的內(nèi)部處理機制識別及處理，因此可避免遭受利用各種已知或未知網(wǎng)絡(luò)層漏洞的威脅。

四、醫(yī)院網(wǎng)閘部署

醫(yī)院現(xiàn)有的網(wǎng)絡(luò)架構(gòu)為內(nèi)外網(wǎng)2套相互獨立的網(wǎng)絡(luò)。內(nèi)網(wǎng)是醫(yī)院的業(yè)務(wù)網(wǎng)，用于運行醫(yī)院的核心應(yīng)用醫(yī)院信息系統(tǒng)(HIS)、實驗室信息系統(tǒng)(LIS)、財務(wù)應(yīng)用等，并通過VPN與各個醫(yī)保連接；外網(wǎng)也通過防火墻接入電信網(wǎng)，主要用于各科室的業(yè)務(wù)辦理和文獻資料查詢等。

醫(yī)院內(nèi)網(wǎng)涉及患者檔案和病歷數(shù)據(jù)，必須確保數(shù)據(jù)的安全性和保密性。一般情況下禁止其他任何網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)，只有在必要的時候允許外部網(wǎng)絡(luò)某些訪問要求，例如：醫(yī)保等網(wǎng)絡(luò)需要提取住院病人在院的個人資料及費用信息。雖然內(nèi)部網(wǎng)絡(luò)有殺毒軟件和防火墻等措施提供安全保護，但是仍然應(yīng)當防范外網(wǎng)對內(nèi)網(wǎng)可能造成的影響。內(nèi)外網(wǎng)物理隔離的宗旨就是把內(nèi)網(wǎng)的安全風險降到最低。

圖3 醫(yī)院網(wǎng)閘應(yīng)用拓撲圖

在沒有配置網(wǎng)閘的情況下，兩個網(wǎng)絡(luò)的應(yīng)用不能相互訪問，在配置網(wǎng)閘之后，雙方的應(yīng)用依然不能進行通信，只有在內(nèi)外網(wǎng)前置機上針對相對應(yīng)的應(yīng)用建立其特定的通道，內(nèi)外網(wǎng)的有針對性的應(yīng)用才能得以通信。

五、網(wǎng)閘技術(shù)應(yīng)用的重要意義

基于網(wǎng)閘的內(nèi)外網(wǎng)間數(shù)據(jù)交換方案既能保證內(nèi)外網(wǎng)的安全隔離，又能實現(xiàn)實時、高速、安全的數(shù)據(jù)交換。網(wǎng)閘的應(yīng)用使內(nèi)網(wǎng)核心業(yè)務(wù)系統(tǒng)始終保持連續(xù)安全運轉(zhuǎn)，很好地滿足了醫(yī)院業(yè)務(wù)對網(wǎng)絡(luò)安全的要求，不但擴展了醫(yī)院信息化的建設(shè)，也為醫(yī)院內(nèi)部基本的業(yè)務(wù)正常運行提供了有力的保障。網(wǎng)閘技術(shù)和產(chǎn)品在醫(yī)療領(lǐng)域的引入，是一場醫(yī)療信息化的革命。

基于網(wǎng)閘的內(nèi)外網(wǎng)間數(shù)據(jù)交換方案促進了醫(yī)療信息化的發(fā)展，也為區(qū)域醫(yī)療平臺的建設(shè)提供了解決方法。