一種安全的醫(yī)院數(shù)據(jù)上報解決方案

秦 芳，詹永豐，李亞東

一種安全的醫(yī)院數(shù)據(jù)上報解決方案

秦 芳，詹永豐，李亞東

目的：為確保醫(yī)療數(shù)據(jù)在上報過程中的安全性，提供一種安全的醫(yī)院數(shù)據(jù)上報解決方案。方法：采用基于安全隔離網(wǎng)閘的數(shù)據(jù)交換技術保證上報數(shù)據(jù)的安全性，同時保障醫(yī)院的內(nèi)部網(wǎng)絡安全、可靠地運行。結果：基于網(wǎng)閘的數(shù)據(jù)上報的實現(xiàn)不僅可確保內(nèi)網(wǎng)信息系統(tǒng)的安全，而且高效地實現(xiàn)了內(nèi)外網(wǎng)的數(shù)據(jù)交換，為數(shù)據(jù)上報提供了一條安全便捷之路。結論：采用安全隔離網(wǎng)閘技術實現(xiàn)數(shù)據(jù)上報，可確保院內(nèi)網(wǎng)的信息安全，為醫(yī)院的信息化建設提供有力的保障。

數(shù)據(jù)交換；安全隔離網(wǎng)閘技術；網(wǎng)絡安全；文件同步

0 引言

我院是一所軍隊醫(yī)院，出于信息安全性考慮，醫(yī)院信息系統(tǒng)（hospital information system，HIS）的數(shù)據(jù)存儲和交換僅僅在醫(yī)院內(nèi)部進行。但隨著醫(yī)院信息化的不斷發(fā)展，HIS已逐步滲透到醫(yī)療管理等方方面面，網(wǎng)絡數(shù)據(jù)交換與日俱增，原有低效、費時的手工數(shù)據(jù)上報方式已不能滿足當前的需要。因此，數(shù)據(jù)上報方式也由原來的手工上報轉變?yōu)樽詣由刹⑸蠄螅瑹o需人工干預。但這種直報方式是沒有任何安全措施的公共信道，數(shù)據(jù)在傳輸過程中可能會泄露、被截獲[1]；另外，惡意的第三方或木馬病毒可能對內(nèi)網(wǎng)進行攻擊和破壞。因此，如何建立一種科學有效的安全數(shù)據(jù)交換策略，既能保障醫(yī)院內(nèi)部數(shù)據(jù)在上報過程中的安全性，又能保證醫(yī)院內(nèi)部網(wǎng)絡安全、可靠、

高效地運行，成為人們關注的焦點。鑒于此，我們對安全隔離網(wǎng)閘技術的原理和特點進行了分析。結果表明，采用安全隔離網(wǎng)閘技術可以較好地實現(xiàn)醫(yī)院網(wǎng)絡和上報數(shù)據(jù)對安全性的要求。

1 上報數(shù)據(jù)的安全性分析

現(xiàn)有的醫(yī)院醫(yī)療數(shù)據(jù)上報采用“無人值守”自傳輸模式，這種工作模式不僅減少了數(shù)據(jù)上報人員的工作量，而且減少了錯報、漏報的可能性，提高了數(shù)據(jù)的準確性。然而，就數(shù)據(jù)的機密性而言，數(shù)據(jù)在上報傳輸過程中僅被所期望的用戶接收和理解，但由于存在諸如病毒攻擊[2]、惡意攻擊、數(shù)據(jù)在上報過程中被阻斷等安全隱患，上報數(shù)據(jù)的安全性受到威脅。

2 安全的數(shù)據(jù)交換技術

由于目前的網(wǎng)絡防護通常是在發(fā)生網(wǎng)絡攻擊后，因此，當有新的網(wǎng)絡攻擊與入侵時，網(wǎng)絡防護有可能“失效”，安全的數(shù)據(jù)交換技術由此誕生。安全數(shù)據(jù)交換的基本原理是切斷內(nèi)、外網(wǎng)之間的連接，并結合其他機制實現(xiàn)不同網(wǎng)間的數(shù)據(jù)交換[3]。因此，安全數(shù)據(jù)交換是較為安全的網(wǎng)絡數(shù)據(jù)交換技術[4]。

安全數(shù)據(jù)交換不僅可保證內(nèi)外網(wǎng)的安全隔離，同時能保證交換數(shù)據(jù)的完整性、實時性[5]。目前，數(shù)據(jù)交換有修橋策略、防火墻、多重安全網(wǎng)關、渡船策略、網(wǎng)閘、交換網(wǎng)絡、人工策略。結合我院的實際情況，數(shù)據(jù)上報僅僅是將數(shù)據(jù)定期批量傳輸?shù)缴霞墕挝?，因此，考慮采用基于網(wǎng)閘的數(shù)據(jù)交換策略。網(wǎng)閘對攻擊的防護較好，并在傳輸前完成對數(shù)據(jù)的審查，能有效保證醫(yī)院內(nèi)部網(wǎng)絡和上報數(shù)據(jù)的安全性。

3 基于網(wǎng)閘的網(wǎng)絡安全設計

3.1 網(wǎng)閘的工作原理

網(wǎng)閘是一種常用的物理隔離手段，內(nèi)外網(wǎng)的數(shù)據(jù)同步通過數(shù)據(jù)交換來實現(xiàn)[6]。網(wǎng)閘采用高速固態(tài)開關在內(nèi)外網(wǎng)絡之間切換，開關的物理特性決定了任意一個時刻，系統(tǒng)在物理鏈路上只能處于內(nèi)網(wǎng)或者外網(wǎng)的一側：當連入外網(wǎng)時，與內(nèi)網(wǎng)斷開，從外網(wǎng)獲取需要交換的數(shù)據(jù)；斷開外網(wǎng)連接，連接內(nèi)網(wǎng)，交換數(shù)據(jù)到內(nèi)網(wǎng)。往復不斷，從而完成內(nèi)外網(wǎng)絡信息的交換。連接建立后，采用自定義信息交換報文和協(xié)議進

行信息傳遞和交換，防止黑客利用標準網(wǎng)絡協(xié)議的各種漏洞進行攻擊；同時，防止利用各種非法的查詢來獲取信息或者破壞信息。

3.2 基于安全隔離網(wǎng)閘的數(shù)據(jù)上報系統(tǒng)架構

我院作為部隊醫(yī)院，信息化安全要符合部隊的標準要求。因此，內(nèi)外網(wǎng)間無數(shù)據(jù)交換，數(shù)據(jù)上報也是通過人工方式完成。但隨著我院規(guī)模的不斷擴大和信息化建設的不斷發(fā)展，醫(yī)院的數(shù)據(jù)量呈幾何級數(shù)增長，采用人工拷貝方式進行數(shù)據(jù)上報，無論是效率，還是可靠性都是不現(xiàn)實的[7]。為保證上報數(shù)據(jù)的實時性和準確性，同時最大限度地保障信息交換的安全性，數(shù)據(jù)上報方式由手工上報轉變?yōu)樽詣由蠄?，并采用安全?shù)據(jù)交換技術實現(xiàn)內(nèi)外網(wǎng)之間的通信。

我院采用安全隔離網(wǎng)閘技術實現(xiàn)醫(yī)院內(nèi)網(wǎng)數(shù)據(jù)和外網(wǎng)數(shù)據(jù)之間的數(shù)據(jù)交換，主要由3個部分組成，分別為醫(yī)院內(nèi)網(wǎng)文件服務器、外網(wǎng)文件服務器和網(wǎng)閘，如圖1所示。不論是內(nèi)網(wǎng)文件服務器，還是外網(wǎng)文件服務器均安裝雙網(wǎng)卡，一塊用于連接院內(nèi)網(wǎng)或是外網(wǎng)，另一塊用于連接網(wǎng)閘的可信端或非可信端。內(nèi)外網(wǎng)的物理隔離通過配置網(wǎng)閘的可信端實現(xiàn)。

圖1 基于安全隔離網(wǎng)閘的數(shù)據(jù)上報系統(tǒng)架構

4 數(shù)據(jù)上報系統(tǒng)設計

4.1 系統(tǒng)接口設計

網(wǎng)閘是內(nèi)外網(wǎng)之間進行數(shù)據(jù)交換的唯一的安全的數(shù)據(jù)通道。內(nèi)網(wǎng)用來連接網(wǎng)閘的可信端，外網(wǎng)連接網(wǎng)閘的非可信端，分別在可信端和非可信端開發(fā)數(shù)據(jù)寫入服務和數(shù)據(jù)讀出服務。其中，數(shù)據(jù)寫入服務主要用于定期從內(nèi)網(wǎng)服務器讀取上報數(shù)據(jù)，并采用加密算法將數(shù)據(jù)加密后存入到數(shù)據(jù)緩沖池，同時完成對數(shù)據(jù)的審查。數(shù)據(jù)讀出服務主要用于從數(shù)據(jù)緩沖池獲取數(shù)據(jù)，并將數(shù)據(jù)寫入外網(wǎng)文件服務器。

4.2 系統(tǒng)實現(xiàn)

上述2個服務采用Java編程技術實現(xiàn)。DWS采用數(shù)據(jù)庫連接池技術獲取數(shù)據(jù)，一方面，可對資源合理地分配與釋放，提高連接的復用度；另一方面，可降低建立新連接的開銷。同時采用 Hibernate的cache機制，以提高系統(tǒng)的數(shù)據(jù)讀取性能。

4.3文件同步服務

院內(nèi)網(wǎng)和外網(wǎng)的數(shù)據(jù)交換是通過網(wǎng)閘兩端的文件同步服務實現(xiàn)的。文件同步服務是使內(nèi)網(wǎng)采集數(shù)據(jù)與外網(wǎng)數(shù)據(jù)保持一致的一種手段，其中的源目錄與目標目錄無論從結構上，還是文件上都保持相同[8]。

文件同步方式分為單向同步和雙向同步。以單向同步為例，若源目錄的文件或結構發(fā)生變化（如更新或新建文件與子目錄），目標目錄將自動保持同步。

文件同步系統(tǒng)可以對系統(tǒng)進程、同步文件類型或名稱等進行設置管理，以保護內(nèi)網(wǎng)進行安全的同步。內(nèi)網(wǎng)文件服務器啟動文件同步服務，并建立一個或多個傳輸任務，通過設置任務的工作狀態(tài)及任務周期，實現(xiàn)上報數(shù)據(jù)及時、準確地從內(nèi)網(wǎng)文件服務器傳輸?shù)酵饩W(wǎng)文件服務器。

4.4文件傳輸

實現(xiàn)數(shù)據(jù)的上報不僅僅需要文件同步服務將數(shù)據(jù)從內(nèi)網(wǎng)傳輸?shù)酵饩W(wǎng)文件服務器，同時還需要將數(shù)據(jù)從外網(wǎng)文件服務器傳輸?shù)酵饩W(wǎng)，文件傳輸工具將實現(xiàn)這一功能。文件傳輸工具實時掃描監(jiān)測上傳目錄，如發(fā)現(xiàn)有新增文件，則自動傳輸?shù)较鄳纳蟼髂夸?，上傳完畢后可由用戶選擇是否刪除文件或文件目錄。除自動傳輸外，用戶也可手工上傳某文件或文件目錄，并設定上傳的文件類型。

5 應用效果

我院采用安全隔離網(wǎng)閘技術后，文件同步服務實時監(jiān)測內(nèi)外網(wǎng)數(shù)據(jù)，一旦發(fā)現(xiàn)內(nèi)網(wǎng)數(shù)據(jù)有更新，便對外網(wǎng)數(shù)據(jù)同時進行更新，使得內(nèi)外網(wǎng)數(shù)據(jù)實時保持一致，實現(xiàn)院內(nèi)醫(yī)療數(shù)據(jù)傳輸?shù)母咝浴⒓皶r性、準確性。另外，由于網(wǎng)閘在工作時不對外提供任何端口，不僅保證了內(nèi)外網(wǎng)的安全隔離，有效地防止對醫(yī)院內(nèi)部網(wǎng)的木馬病毒攻擊、ARP欺騙等[9]，而且使數(shù)據(jù)不被篡改、泄露和丟失成為可能。由于網(wǎng)絡攻擊使內(nèi)網(wǎng)不穩(wěn)定，出現(xiàn)時斷時續(xù)的現(xiàn)象時，內(nèi)網(wǎng)的核心業(yè)務仍能保持連續(xù)安全運轉[10]。基于網(wǎng)閘的數(shù)據(jù)上報的實現(xiàn)不僅可確保內(nèi)網(wǎng)信息系統(tǒng)的安全，而且高效地實現(xiàn)了內(nèi)外網(wǎng)的數(shù)據(jù)交換，為數(shù)據(jù)上報提供了一條安全便捷之路。

6 結語

采用安全隔離網(wǎng)閘技術實現(xiàn)數(shù)據(jù)上報在我院運行3 a多以來，很好地滿足了醫(yī)院業(yè)務對網(wǎng)絡安全的要求，確保了院內(nèi)網(wǎng)的信息安全，為醫(yī)院的信息化建設提供了有力保障。

[1]胡建理，李小華，朱會英，等.一種安全的醫(yī)院疫情網(wǎng)絡直報解決方案[J].中華醫(yī)院感染學雜志，2010，20（20）：3 174-3 176.

[2]張洋，張常青.關于醫(yī)院信息系統(tǒng)數(shù)據(jù)安全問題及對應措施[J].信息安全與技術，2012，3（5）：32-35.

[3]王羽，沈華強.醫(yī)學工程科維修知識庫系統(tǒng)的建立[J].醫(yī)療衛(wèi)生裝備，2010，31（2）：58-60.

[4]楊宏橋，吳飛，劉玉樹，等.網(wǎng)絡隔離與安全交換技術在HIS中的應用研究[J].醫(yī)療衛(wèi)生裝備，2008，29（2）：45-47.

[5]楊宏橋，吳飛，劉玉樹.安全數(shù)據(jù)交換技術在HIS中的應用[J].計算機工程，2008，34（22）：195-197.

[6]丁汩，于琳.內(nèi)外網(wǎng)數(shù)據(jù)交換技術在校區(qū)數(shù)據(jù)同步中的應用[J].福建電腦，2011，27（4）：136-137.

（????）（????）

[7]王麗明.安全數(shù)據(jù)交換技術在醫(yī)院局域網(wǎng)數(shù)字圖書館中的應用[J].中國數(shù)字醫(yī)學，2012，7（2）：65-67.

[8]李雪，咸迪.跨平臺文件共享系統(tǒng)設計與實現(xiàn)[J].計算機技術與發(fā)展，2012，22（6）：191-194.

[9]胡建理，李小華，周斌.一種基于安全隔離網(wǎng)閘技術的醫(yī)院內(nèi)部網(wǎng)安全解決方案[J].醫(yī)療衛(wèi)生裝備，2010，31（7）：44-45，58.

[10]苗元青，辛海燕，徐浩.網(wǎng)閘在醫(yī)院網(wǎng)絡安全管理中的應用[J].中國數(shù)字醫(yī)學，2009（9）：67-68.

（收稿：2013-01-15 修回：2013-07-25）

（欄目責任編校：李惠萍 孫麗麗）

Application of Security Gap Technology in Transmission of Hospital Data

QIN Fang,ZHAN Yong-feng,LI Ya-dong
(Information Department,General Hospital of Shenyang Military Area Command,Shenyang 110016,China)

Objective To ensure the safety ofmedicaldata network during the reporting process.Methods The security gap data exchange technologywasused toensure the safetyof thedataand hospital internalnetwork.Results The security ofhospital LAN wasenhanced,and the dataexchangebetween internaland externalnetworkswas realized effectively.Conclusion Data transmis- sion based on gap technology contributes to the information security of internalnetwork and informatization in hospital.[Chinese Medical Equipment Journal，2014，35（3）：64-65，150]

data exchange;security gap technology;network security;file synchronization

R318；TP392

A

1003-8868（2014）03-0064-03

10.7687/J.ISSN1003-8868.2014.03.064

秦 芳（1981—），女，主管技師，主要從事軟件工程、網(wǎng)絡與信息安全方面的研究工作，E-mail：succrain@163.com。

110016沈陽，沈陽軍區(qū)總醫(yī)院信息科（秦 芳，詹永豐，李亞東)