醫(yī)院與社區(qū)信息協(xié)同共享模式網絡安全解決方案

李享，李婧，張紅，張金輝

中國中醫(yī)科學院廣安門醫(yī)院計算機中心，北京 100053

醫(yī)院與社區(qū)信息協(xié)同共享模式網絡安全解決方案

李享，李婧，張紅，張金輝

中國中醫(yī)科學院廣安門醫(yī)院計算機中心，北京 100053

為降低醫(yī)院與社區(qū)信息協(xié)同共享服務模式中存在的安全風險，本文從網絡層面提出安全解決方案。利用隔離網絡安全互聯(lián)、鏈路加密及安全數(shù)據(jù)隔離三方面的關鍵技術，構建醫(yī)院與社區(qū)網絡互聯(lián)拓撲架構，以保障醫(yī)院與社區(qū)信息協(xié)同共享模式網絡安全。

醫(yī)院信息系統(tǒng)；區(qū)域醫(yī)療；信息協(xié)同共享；網絡安全；數(shù)據(jù)安全

0 前言

2013年1月，原衛(wèi)生部部長陳竺在全國衛(wèi)生工作會議上指出“要積極探索和大力推廣上下聯(lián)動的醫(yī)療聯(lián)合體制機制”后，區(qū)域醫(yī)療聯(lián)合機制不斷深化，根據(jù)《中共中央國務院關于深化醫(yī)藥衛(wèi)生體制改革的意見》的要求，利用網絡技術，形成在物理位置較分散地區(qū)開展遠程區(qū)域醫(yī)療聯(lián)合[1]、?？乒⑨t(yī)院進行集團化探索[2]，以及大型醫(yī)院與周邊社區(qū)的合作等醫(yī)療服務模式。由于區(qū)域醫(yī)療工作對信息化手段的高度依賴，以及目前網絡和信息安全形勢嚴峻，在保證區(qū)域醫(yī)療業(yè)務需求的同時，還需要充分考慮信息系統(tǒng)及其數(shù)據(jù)的安全，保障醫(yī)院重要數(shù)據(jù)的一致性、可靠性及安全性。

1 安全風險分析

廣安門醫(yī)院南區(qū)共涵蓋7個社區(qū)服務站，通過信息化手段實現(xiàn)醫(yī)院與社區(qū)間辦卡、掛號、收費、門診治療與發(fā)藥系統(tǒng)間的信息協(xié)同共享，達到優(yōu)化資源配置、增強基層服務水平、控制醫(yī)療費用與醫(yī)療成本、提高衛(wèi)生服務質量[3]。在滿足業(yè)務需求基礎上，應進一步考慮項目建設中存在的安全風險。

（1）醫(yī)院內外網環(huán)境完全獨立。各社區(qū)原先只搭建本地局域網，幾個局域網都與外網環(huán)境物理隔離。社區(qū)與醫(yī)院進行互連時，兩局域網間建立連接鏈路，在各節(jié)點及其鏈路上存在數(shù)據(jù)泄露的風險。

（2）遠程接入用戶權限。遠程接入用戶可獲得的資源與權限和醫(yī)院內網系統(tǒng)的安全性息息相關。當權限過大導致社區(qū)用戶獲得超出業(yè)務范圍的內網資源后，將增加非必要共享數(shù)據(jù)外泄和系統(tǒng)入侵的風險。

（3）醫(yī)院安全等級高于社區(qū)。數(shù)據(jù)應從高密級向低密級流動，醫(yī)院向社區(qū)開放醫(yī)院信息系統(tǒng)（HIS）數(shù)據(jù)庫和醫(yī)保數(shù)據(jù)庫的讀寫權限，存在外網攻擊滲透內網后直接破壞HIS數(shù)據(jù)庫或盜取內部信息的風險，對醫(yī)院的數(shù)據(jù)安全造成巨大威脅。

針對醫(yī)院與社區(qū)信息協(xié)同共享模式中存在以上的網絡、信息系統(tǒng)和數(shù)據(jù)風險點，可通過搭建合理的網絡架構、增設安全設備并配置安全策略的方法，從網絡層面提出安全解決方案，滿足醫(yī)院信息安全要求。

2 關鍵技術

在解決方案的過程中，涉及醫(yī)院與社區(qū)物理隔離網絡的互聯(lián)互通、服務資源訪問方式及數(shù)據(jù)安全隔離3個關鍵技術點。

2.1 隔離網絡互聯(lián)

醫(yī)院與社區(qū)的業(yè)務網絡均與互聯(lián)網進行物理隔離，而數(shù)據(jù)共享的前提就是網絡互聯(lián)互通。目前，遠程接入內部局域網的方式有撥號接入、專線租用、網關端口映射、虛擬專用網（VPN）接入等[4]。其中撥號接入方式成本高且?guī)挼?；專線租用速率高但成本昂貴，適用于穩(wěn)定傳輸重要大數(shù)據(jù)；網關端口映射是在防火墻上將某個內部服務器地址映射在互聯(lián)網上，訪問方便高效但存在安全隱患；VPN在利用互聯(lián)網物理連接的基礎上建立一條加密的私有隧道，將數(shù)據(jù)封裝后實現(xiàn)安全傳輸，具有高帶寬、低成本及安全性特點，是現(xiàn)在被廣泛采用的方法。

由于醫(yī)院與7個社區(qū)的物理位置分散，且對信息系統(tǒng)的穩(wěn)定性和實時性要求不高，終端數(shù)量少、傳輸數(shù)據(jù)量小、使用不頻繁，因此可將社區(qū)中連接醫(yī)院業(yè)務的終端通過寬帶接入互聯(lián)網，統(tǒng)統(tǒng)搭建加密隧道實現(xiàn)安全互聯(lián)。

2.2 鏈路加密與資源獲取

社區(qū)終端連入互聯(lián)網后，通過VPN通道為特定用戶提供醫(yī)院網絡與系統(tǒng)的訪問權限。IPSec VPN和SSL VPN是兩種應用最廣的VPN技術[5]。其中，IPSec VPN應用較早，通過網絡層上的IPSec協(xié)議（IP Security Protocol）給出了應用于IP層上網絡數(shù)據(jù)安全的一整套體系結構，在安裝有IPSec VPN客戶端并經過配置的終端上，可以實現(xiàn)站點到站點間高安全性連接[6]。SSL VPN則是通過傳輸層上的SSL 協(xié)議（Secure Sockets Layer Protocol）保障在互聯(lián)網上基于Web的通信安全，無需安裝客戶端即可進行訪問，因此具有組網靈活性強、管理維護成本低、用戶操作簡便等優(yōu)點[7]。

醫(yī)院與社區(qū)進行信息共享的數(shù)據(jù)傳輸較少，采用具有高性價比的安全訪問方式更符合需求。在醫(yī)院局域網邊界部署VPN服務器并設置聯(lián)入用戶的資源訪問權限，社區(qū)通過SSL VPN安全便捷連入醫(yī)院網絡后，根據(jù)相應權限訪問特定的服務器資源和業(yè)務應用。

2.3 安全數(shù)據(jù)隔離

安全隔離信息交換技術是在實現(xiàn)隔離網絡之間數(shù)據(jù)傳輸?shù)耐瑫r進行校驗，過濾惡意代碼或破壞性信息，只允許與系統(tǒng)相關的數(shù)據(jù)進入內部網絡中，在醫(yī)療行業(yè)數(shù)據(jù)安全交換領域中應用廣泛[8-9]。該技術經歷從硬件卡隔離、數(shù)據(jù)轉播隔離、拷盤發(fā)展到隔離網閘技術。通常采用由兩個主機系統(tǒng)和一個隔離交換模塊組成的硬件系統(tǒng)，通過專用通信硬件和安全協(xié)議對內外網之間通信的數(shù)據(jù)內容進行過濾，防止未經允許的內網數(shù)據(jù)發(fā)生泄露。

醫(yī)院可在網閘外側部署一臺與HIS數(shù)據(jù)庫具有相同數(shù)據(jù)結構的鏡像數(shù)據(jù)庫，社區(qū)的HIS數(shù)據(jù)直接與鏡像數(shù)據(jù)庫交互。在網閘中設置規(guī)則，除了特定允許進行交換的數(shù)據(jù)外，完全隔離其他的各種網絡通訊，在保證傳輸數(shù)據(jù)的完整性和可用性的基礎上，進行可靠的數(shù)據(jù)交換。

2.4 解決方案

最終形成的安全解決方案是在醫(yī)院外網區(qū)域的核心交換機上部署VPN設備與鏡像數(shù)據(jù)庫，網閘的外網接口EXT0連接外網交換機，內網接口INT0連接內網核心交換機，經由網閘實現(xiàn)內外網HIS數(shù)據(jù)同步及與內網醫(yī)保服務器的安全數(shù)據(jù)共享；社區(qū)連接互聯(lián)網后訪問VPN服務器獲得醫(yī)院局域網合法地址，可與鏡像數(shù)據(jù)庫或其他合法內網資源交互。醫(yī)院與社交網絡互聯(lián)拓撲結構，見圖1。

圖1 醫(yī)院與社區(qū)網絡互聯(lián)拓撲圖

3 安全策略設置

部署好安全設備后，從社區(qū)、VPN、網閘三個層面設置安全規(guī)則，完成全面安全防護。

3.1 社區(qū)終端設置

社區(qū)終端處于醫(yī)院內網以外的不可控區(qū)域，很難進行統(tǒng)一的網絡安全管理，易出現(xiàn)病毒、惡意代碼、惡意入侵等安全隱患。應定期進行系統(tǒng)補丁升級、病毒和木馬查殺等操作，并從管理角度對使用人員的互聯(lián)網訪問和操作進行規(guī)范，禁止無關人員使用電腦。

3.2 VPN規(guī)則設置

社區(qū)采用SSL VPN連入網絡后，設置安全策略，保證只有特定的用戶可以獲得鏡像數(shù)據(jù)庫或其他內網服務資源的訪問權限。

3.2.1 客戶端地址池

在VPN服務器端設置一個私有地址池，當用戶登錄后從該地址池中獲取一個空閑IP，只有該地址段可訪問鏡像數(shù)據(jù)庫并通過網閘過濾規(guī)則。

3.2.2 用戶角色及權限

在VPN服務器端設置醫(yī)生和收費兩種角色，其中醫(yī)生角色適用于門診醫(yī)生站用戶，只能與鏡像數(shù)據(jù)庫交互；收費角色用于門診掛號收費用戶，可與鏡像數(shù)據(jù)庫交互、并向內網醫(yī)保服務器上傳醫(yī)?；颊呤召M信息。通過設置不同的用戶和角色，最小化社區(qū)用戶對業(yè)務系統(tǒng)和應用的訪問權限。

3.2.3 服務資源

VPN服務器端添加鏡像數(shù)據(jù)庫和網閘外網端口EXT0作為服務資源，除業(yè)務所需的服務端口外，拒絕其他所有端口對服務器的訪問。最終形成的VPN服務策略列表，見表1。

表1 VPN服務策略列表

3.3 網閘規(guī)則設置

網閘默認將醫(yī)院內外網區(qū)域進行完全隔離，當兩端出現(xiàn)數(shù)據(jù)交互或數(shù)據(jù)同步請求時，需要匹配訪問對象和訪問規(guī)則，滿足規(guī)則才被允許通過。

3.3.1 訪問對象

網閘中設置內外網訪問對象，包括外網中的鏡像服務器和VPN合法客戶端；內網中的HIS數(shù)據(jù)庫和醫(yī)保服務器。

3.3.2 應用服務

經由網閘的應用分為兩類，一種是內網HIS數(shù)據(jù)庫和外網鏡像數(shù)據(jù)庫間雙向數(shù)據(jù)同步，需要開啟聯(lián)通服務（PING），數(shù)據(jù)庫應用服務（ORACLE）以及網閘數(shù)據(jù)同步私有服務（DBSYNC）；另一種是VPN客戶端與醫(yī)保服務器進行的數(shù)據(jù)讀寫應用，需要開啟HTTP服務。具體規(guī)則，見表2。

3.3.3 數(shù)據(jù)同步

鏡像服務器上的數(shù)據(jù)庫與內網HIS數(shù)據(jù)庫具有相同的數(shù)據(jù)結構，但只存儲辦理 就診卡、掛號收費、門診醫(yī)生站和處方發(fā)藥程序相關的數(shù)據(jù)。根據(jù)業(yè)務在網閘中分別設定內外網間的雙向同步表，或單向同步表，將網閘兩端數(shù)據(jù)進行秒級間隔的同步。

表2 網閘過濾規(guī)則列表

4 結語

至此，完成了對社區(qū)客戶端、VPN和網閘設備的安全規(guī)則配置。此方案充分利用安全設備和管理規(guī)則，以加強醫(yī)院與社區(qū)間信息協(xié)同共享服務模式中的安全性。

區(qū)域化醫(yī)療協(xié)作、遠程醫(yī)療和醫(yī)聯(lián)體成為我國醫(yī)療行業(yè)的發(fā)展趨勢，在醫(yī)院與社區(qū)間進行信息協(xié)同與數(shù)據(jù)共享時可利用安全技術和安全設備充分降低其面臨的風險和隱患，并可為后續(xù)各院際間、醫(yī)院與上級單位更多更大量的信息共享提供穩(wěn)固的安全保障。

[1] 孫喜琢,宮芳芳,顧曉東,等.基于遠程區(qū)域醫(yī)療聯(lián)合體的實踐與探索[J].現(xiàn)代醫(yī)院管理,2013,(3):8-10.

[2] 張巖.遼寧省腫瘤醫(yī)院醫(yī)療聯(lián)盟基本框架與發(fā)展思考[J].中國腫瘤,2013,(8):627-630.

[3] 曾耀瑩.構建區(qū)域健康服務聯(lián)合體[J].中國醫(yī)院院長,2013,(10): 61-61.

[4] 吳剛.多種平臺的VPN 應用比較[J].計算機系統(tǒng)應用,2011, 20(8):245-249.

[5] 丁峰.論IPSec VPN和SSL VPN的優(yōu)劣及適應性[J].電腦知識與技術,2012,8(21):5088-5091.

[6] 張學杰,李大興.SSL技術在構建VPN中的應用[J].計算機應用,2006,26(8):1828-1829．

[7] Romana D A L,Musashi Y,Matsuba R,et al.Detection of bot worm-infected PC terminals[J].Information,2007,10(5):673-686.

[8] 何劍虎,周慶利.互聯(lián)網環(huán)境下的醫(yī)療數(shù)據(jù)安全交換技術研究[J].中國醫(yī)療設備,2013,28(4):44-47.

[9] 林達峻,任忠敏,干峰,等.隔離網閘在醫(yī)療行業(yè)中的應用[J].醫(yī)學信息,2010,23(9):3284-3286.

A Network Security Solution of Collaborative Information Sharing Mode between Hospitals and Communities

LI Xiang, LI Jing, ZHANG Hong, ZHANG Jin-hui
Computer Center, Guang’anmeng Hospital, China Academy of Chinese Medical Sciences, Beijing 100053, China

In order to reduce risks in the collaborative information sharing mode between hospitals and communities, this paper proposes an solution from the aspect of network. Three key techniques, namely, network interconnection isolation, data link encryption and data isolation, are applied in constructing the interconnection network’s typology structure, in order to ensure the network safety of collaborative information sharing mode between hospitals and communities.

hospital information system; regional medical treatment; collaborative information sharing; network security; data security

TP393.08

A

10.3969/j.issn.1674-1633.2014.10.011

1674-1633(2014)10-0038-03

2014-04-22

作者郵箱：945112@163.com