陜西省西安市精神衛(wèi)生中心 馬 毅
我國醫(yī)療衛(wèi)生事業(yè)經(jīng)過近20年的加速發(fā)展,信息化逐步受到了國家衛(wèi)計委和各級醫(yī)院的重視。國家衛(wèi)計委在“十二五”規(guī)劃中提出建設(shè)“36212工程”:我國將重點建設(shè)國家級、省級和地市級三級衛(wèi)生信息平臺;加強信息化在公共衛(wèi)生、醫(yī)療服務(wù)、計劃生育、新農(nóng)合、基本藥物制度、綜合管理六項業(yè)務(wù)中的深入應(yīng)用;建設(shè)電子健康檔案、電子病歷和全國人口數(shù)據(jù)資源庫三個基礎(chǔ)數(shù)據(jù)庫;建設(shè)一個醫(yī)療衛(wèi)生信息專用網(wǎng)絡(luò);逐步建設(shè)信息安全體系和信息標準體系?!?6212工程”的建設(shè)將推進醫(yī)療衛(wèi)生事業(yè)改革。隨著醫(yī)療信息化建設(shè)的逐步深入,各級醫(yī)院已經(jīng)建起了不同程度的醫(yī)院信息系統(tǒng)(Hospital Information System,簡稱HIS系統(tǒng))。為提升醫(yī)療服務(wù)質(zhì)量,優(yōu)化就醫(yī)流程,一些管理部門需要通過互聯(lián)網(wǎng)連接醫(yī)院HIS系統(tǒng)以獲取準確的醫(yī)療數(shù)據(jù),如醫(yī)院質(zhì)量監(jiān)測系統(tǒng)(Hospital Quality Monitoring System,簡稱HQMS系統(tǒng))需要自動對接病案首頁數(shù)據(jù)以確保醫(yī)院評審評價數(shù)據(jù)的真實性;醫(yī)保網(wǎng)絡(luò)需要將病人資料和費用信息傳至醫(yī)保中心進行結(jié)算等?;ヂ?lián)網(wǎng)接入醫(yī)院內(nèi)網(wǎng)打破了醫(yī)院網(wǎng)絡(luò)物理隔離的現(xiàn)狀,增加了醫(yī)院HIS系統(tǒng)的安全風險。HIS系統(tǒng)數(shù)據(jù)包含醫(yī)院診療、財務(wù)、決策等多方面的內(nèi)容,是醫(yī)院最重要的資源,一旦數(shù)據(jù)丟失或出錯將給醫(yī)院帶來無法預估的損失。因此,如何實現(xiàn)內(nèi)外網(wǎng)按需進行數(shù)據(jù)信息交換并保證HIS系統(tǒng)安全,是醫(yī)院信息工作者必須要解決的難題。隨著網(wǎng)閘技術(shù)的快速發(fā)展和逐漸成熟,這樣的難題得以解決。
網(wǎng)閘,也叫安全隔離與信息交換系統(tǒng),其工作原理采用了人工在兩個隔離網(wǎng)絡(luò)之間的信息交換方式,中斷兩個網(wǎng)絡(luò)間的所有通信協(xié)議連接,使之不能直接進行網(wǎng)絡(luò)協(xié)議通信。網(wǎng)閘的應(yīng)用不僅使得信息網(wǎng)絡(luò)的抗攻擊能力大大增強,而且有效地防范信息外泄事件的發(fā)生。
網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨立主機系統(tǒng)的信息安全設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個獨立主機系統(tǒng)之間不存在通信的物理連接、邏輯連接、信息傳輸命令和信息傳輸協(xié)議,也不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā),只有數(shù)據(jù)文件的無協(xié)議“擺渡”,且對固態(tài)存儲介質(zhì)只有“讀”和“寫”兩個命令。所以物理隔離網(wǎng)聞從物理上隔離、阻斷了具有潛在攻擊可能的一切連接,使“黑客”無法入侵、無法攻擊、無法破壞,實現(xiàn)了真正的安全。
安全隔離網(wǎng)閘由三部分組成:外網(wǎng)處理單元、內(nèi)網(wǎng)處理單元、安全數(shù)據(jù)交換單元。外網(wǎng)處理單元與外網(wǎng)相連,內(nèi)網(wǎng)處理單元與內(nèi)網(wǎng)相連,安全數(shù)據(jù)交換單元是內(nèi)網(wǎng)處理單元與外網(wǎng)處理單元之間唯一且安全的數(shù)據(jù)通道,它不同時與內(nèi)外網(wǎng)處理單元連接。安全數(shù)據(jù)交換單元可理解為一個存儲介質(zhì)和一個調(diào)度控制電路。
圖1 網(wǎng)閘結(jié)構(gòu)
圖2 網(wǎng)閘工作原理
內(nèi)網(wǎng)處理單元和外網(wǎng)處理單元是內(nèi)網(wǎng)和外網(wǎng)的邊界點,同時也是網(wǎng)絡(luò)協(xié)議的終結(jié)。當外網(wǎng)需要給內(nèi)網(wǎng)傳輸數(shù)據(jù)時,發(fā)起對隔離網(wǎng)閘的非TCP/IP協(xié)議的數(shù)據(jù)連接,網(wǎng)閘將所有通過網(wǎng)閘的應(yīng)用層信息都從TCP/IP協(xié)議包中剝離,還原為裸數(shù)據(jù)并寫入存儲介質(zhì)中。根據(jù)應(yīng)用情況,可以對數(shù)據(jù)進行安全性和完整性檢查。數(shù)據(jù)完全寫入存儲介質(zhì),網(wǎng)閘立即切斷與外網(wǎng)的連接,轉(zhuǎn)而發(fā)起對內(nèi)網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接,將數(shù)據(jù)推向內(nèi)網(wǎng)。內(nèi)網(wǎng)收到數(shù)據(jù)后進行TCP/IP和應(yīng)用協(xié)議的封裝,并交給應(yīng)用系統(tǒng)。數(shù)據(jù)處理完畢后,中斷與內(nèi)網(wǎng)的連接,網(wǎng)閘恢復完全隔離狀態(tài)。內(nèi)網(wǎng)向外網(wǎng)傳輸數(shù)據(jù)流程類似。
由于在內(nèi)網(wǎng)和外網(wǎng)之間只傳遞純數(shù)據(jù),不傳遞網(wǎng)絡(luò)信息和控制信息等存在安全隱患的信息,網(wǎng)閘就過濾掉了所有基于網(wǎng)絡(luò)協(xié)議漏洞的攻擊,保證了內(nèi)外網(wǎng)之間信息交換的安全和可靠,而數(shù)據(jù)的協(xié)議剝離---還原為裸數(shù)據(jù)---過濾---重組這一系列的過程都不依賴于任何通用協(xié)議,只能被網(wǎng)閘的內(nèi)部處理機制識別及處理,因此可避免遭受利用各種已知或未知網(wǎng)絡(luò)層漏洞的威脅。
醫(yī)院現(xiàn)有的網(wǎng)絡(luò)架構(gòu)為內(nèi)外網(wǎng)2套相互獨立的網(wǎng)絡(luò)。內(nèi)網(wǎng)是醫(yī)院的業(yè)務(wù)網(wǎng),用于運行醫(yī)院的核心應(yīng)用醫(yī)院信息系統(tǒng)(HIS)、實驗室信息系統(tǒng)(LIS)、財務(wù)應(yīng)用等,并通過VPN與各個醫(yī)保連接;外網(wǎng)也通過防火墻接入電信網(wǎng),主要用于各科室的業(yè)務(wù)辦理和文獻資料查詢等。
醫(yī)院內(nèi)網(wǎng)涉及患者檔案和病歷數(shù)據(jù),必須確保數(shù)據(jù)的安全性和保密性。一般情況下禁止其他任何網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò),只有在必要的時候允許外部網(wǎng)絡(luò)某些訪問要求,例如:醫(yī)保等網(wǎng)絡(luò)需要提取住院病人在院的個人資料及費用信息。雖然內(nèi)部網(wǎng)絡(luò)有殺毒軟件和防火墻等措施提供安全保護,但是仍然應(yīng)當防范外網(wǎng)對內(nèi)網(wǎng)可能造成的影響。內(nèi)外網(wǎng)物理隔離的宗旨就是把內(nèi)網(wǎng)的安全風險降到最低。
圖3 醫(yī)院網(wǎng)閘應(yīng)用拓撲圖
在沒有配置網(wǎng)閘的情況下,兩個網(wǎng)絡(luò)的應(yīng)用不能相互訪問,在配置網(wǎng)閘之后,雙方的應(yīng)用依然不能進行通信,只有在內(nèi)外網(wǎng)前置機上針對相對應(yīng)的應(yīng)用建立其特定的通道,內(nèi)外網(wǎng)的有針對性的應(yīng)用才能得以通信。
基于網(wǎng)閘的內(nèi)外網(wǎng)間數(shù)據(jù)交換方案既能保證內(nèi)外網(wǎng)的安全隔離,又能實現(xiàn)實時、高速、安全的數(shù)據(jù)交換。網(wǎng)閘的應(yīng)用使內(nèi)網(wǎng)核心業(yè)務(wù)系統(tǒng)始終保持連續(xù)安全運轉(zhuǎn),很好地滿足了醫(yī)院業(yè)務(wù)對網(wǎng)絡(luò)安全的要求,不但擴展了醫(yī)院信息化的建設(shè),也為醫(yī)院內(nèi)部基本的業(yè)務(wù)正常運行提供了有力的保障。網(wǎng)閘技術(shù)和產(chǎn)品在醫(yī)療領(lǐng)域的引入,是一場醫(yī)療信息化的革命。
基于網(wǎng)閘的內(nèi)外網(wǎng)間數(shù)據(jù)交換方案促進了醫(yī)療信息化的發(fā)展,也為區(qū)域醫(yī)療平臺的建設(shè)提供了解決方法。