醫(yī)院財務(wù)管理系統(tǒng)安全網(wǎng)絡(luò)規(guī)劃研究

殷蕾

摘要：醫(yī)院財務(wù)系統(tǒng)安全是醫(yī)院信息系統(tǒng)安全的重要組成部分，需要網(wǎng)絡(luò)及信息中心機房等基礎(chǔ)設(shè)施為其正常業(yè)務(wù)開展提供支撐。本文根據(jù)醫(yī)院對財務(wù)系統(tǒng)專用網(wǎng)絡(luò)的總體要求，提出了從網(wǎng)絡(luò)，計算，存儲等方面，全面做好網(wǎng)絡(luò)安全規(guī)劃設(shè)計，保障醫(yī)院財務(wù)信息系統(tǒng)的安全、穩(wěn)定、高速運行。

關(guān)鍵詞：醫(yī)院財務(wù);網(wǎng)絡(luò)安全;網(wǎng)絡(luò)規(guī)劃

醫(yī)院財務(wù)管理系統(tǒng)是醫(yī)院運營的關(guān)鍵，財務(wù)敏感數(shù)據(jù)泄露，數(shù)據(jù)被篡改、丟失，宕機造成業(yè)務(wù)中斷等，都會影響醫(yī)院財務(wù)工作并帶來重大損失。因此，在網(wǎng)絡(luò)規(guī)劃設(shè)計時就要做好基礎(chǔ)方案，從底層規(guī)劃設(shè)計上保障醫(yī)院財務(wù)管理系統(tǒng)的安全。為了實現(xiàn)該目標，在網(wǎng)絡(luò)規(guī)劃設(shè)計過程中從1、網(wǎng)絡(luò)拓撲層次設(shè)計;2、服務(wù)器及存儲虛擬化;3、IP地址合理規(guī)劃;4、網(wǎng)絡(luò)安全設(shè)計等方面，采取了相應(yīng)的技術(shù)措施和手段，提高了財務(wù)內(nèi)網(wǎng)的安全性及穩(wěn)定性。

1、網(wǎng)絡(luò)拓撲層次結(jié)構(gòu)設(shè)計

利用網(wǎng)絡(luò)設(shè)備虛擬化技術(shù)實現(xiàn)大二層網(wǎng)絡(luò)，即接入層和核心層兩層扁平化架構(gòu)，實現(xiàn)設(shè)備的協(xié)同工作、統(tǒng)一管理，滿足服務(wù)器動態(tài)遷移的需求。

核心層部署兩臺華為S12708，通過網(wǎng)絡(luò)虛擬化技術(shù)，兩臺虛擬為一臺邏輯交換機，對外配置管理都是一臺交換機無單點故障，為財務(wù)內(nèi)網(wǎng)提供快速的數(shù)據(jù)交換和高可用性，數(shù)據(jù)無阻塞高速轉(zhuǎn)發(fā)。

接入層設(shè)備使用華為S5720-52X，通過兩條萬兆光纖鏈路聚合上行，分別和核心層兩臺核心交換互連，實現(xiàn)鏈路冗余負載分擔。財務(wù)辦公室信息點通過六類雙絞線千兆接入交換機，并預(yù)留足夠的空余端口，滿足接入信息點擴展需求。

2、服務(wù)器及存儲虛擬化

利用服務(wù)器虛擬化技術(shù)和存儲虛擬化技術(shù)對信息中心機房進行升級改造，降低中心能源消耗的同時提高了網(wǎng)絡(luò)和服務(wù)器的安全性、可靠性、擴展性。采用虛擬化技術(shù)將服務(wù)器物理資源抽象為邏輯資源，讓CPU，內(nèi)存，磁盤，I/O等硬件變成可以動態(tài)管理的“資源池”，提高資源利用率，簡化系統(tǒng)管理。將多臺物理服務(wù)器使用虛擬化軟件虛擬為一臺，為多臺虛擬機服務(wù)器提供計算資源，在一臺物理服務(wù)器無法工作時，其承載的虛擬機可以自動遷移到其他物理服務(wù)器上繼續(xù)運行，保障了財務(wù)系統(tǒng)業(yè)務(wù)連續(xù)性。同時支持快速部署服務(wù)器，降低運維成本。

虛擬機文件放置在光纖共享存儲上，多臺虛擬機通過光纖通道接入SAN存儲系統(tǒng)共享存儲資源，進一步保障財務(wù)數(shù)據(jù)安全，后期也可以按需擴大容量。利用虛擬化存儲網(wǎng)關(guān)，整合異構(gòu)存儲資源，簡化存儲管理，將不同廠商的存儲陣列虛擬成一個“存儲池”，這樣做的好處是把許多零散的存儲資源整合起來，從而提高整體利用率，同時降低系統(tǒng)管理成本?，F(xiàn)有存儲陣列使用的機械硬盤帶來的延遲有性能瓶頸，SSD硬盤解決了機械硬盤的延遲問題。針對醫(yī)院財務(wù)高負載數(shù)據(jù)庫應(yīng)用，采用閃存陣列提升性能，SSD提供高IOPS和低延時，實現(xiàn)了極佳的快速響應(yīng)。存儲資源池分為高性能、性能，以及容量三種資源池，通過存儲自動分層技術(shù)，將“熱”數(shù)據(jù)遷移到高速閃存SSD中，訪問頻率低的“冷”數(shù)據(jù)被遷移到低速存儲介質(zhì)SATA中，優(yōu)化資源配置為整個存儲層加速。

3、IP地址合理規(guī)劃

IP地址規(guī)劃是網(wǎng)絡(luò)設(shè)計的重要環(huán)節(jié)，ip地址的規(guī)劃好壞直接影響網(wǎng)絡(luò)性能，管理，和擴展性，也影響網(wǎng)絡(luò)應(yīng)用進一步發(fā)展。財務(wù)專用網(wǎng)絡(luò)必須對IP地址進行統(tǒng)一規(guī)劃才能得到有效實施。IP地址空間分配要與網(wǎng)絡(luò)拓撲層次結(jié)構(gòu)相適應(yīng)，我們把網(wǎng)絡(luò)體系結(jié)構(gòu)分成核心層（信息中心機房），接入層（行政樓，門診樓，住院樓，檢驗樓，放療中心等），按照樓層進行VLAN劃分，縮小廣播域避免廣播風暴的形成，方便定位故障位置。對財務(wù)辦公區(qū)靜態(tài)分配IP地址，防止地址盜用，采用IP地址和MAC地址綁定，同時加強工作人員上網(wǎng)行為的教育和管理。為網(wǎng)絡(luò)設(shè)備和服務(wù)器等配置靜態(tài)IP地址，服務(wù)器區(qū)域配置專用VLAN，外網(wǎng)邊界深信服防火墻配置地址翻譯，保護內(nèi)部地址不被暴露在公網(wǎng)上。

4、網(wǎng)絡(luò)安全設(shè)計

安全方面要按照三級等保要求，在保證網(wǎng)絡(luò)運行安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全的基礎(chǔ)上，確保醫(yī)院財務(wù)管理系統(tǒng)的安全性、可用性和高性能。在網(wǎng)絡(luò)邊界以雙機模式部署2臺防火墻，連接醫(yī)保等專用網(wǎng)絡(luò)。雙機部署提高網(wǎng)絡(luò)冗余能力，避免單點故障帶來的業(yè)務(wù)不可用。防火墻可以進行訪問控制和端口限制阻止外部入侵，但防火墻對內(nèi)部用戶的破壞沒有辦法，需另在核心旁路部署入侵檢測系統(tǒng)，與防火墻聯(lián)動，共同阻止內(nèi)外部入侵者。

虛擬服務(wù)器集群需安裝虛擬機安全防護軟件，避免某臺虛擬機被攻陷后，進一步橫向攻擊導(dǎo)致財務(wù)管理系統(tǒng)中斷。使用亞信科技DS虛擬補丁，解決由于更新打補丁造成的財務(wù)系統(tǒng)業(yè)務(wù)中斷和藍屏現(xiàn)象，降低運維風險。同時支持虛擬機殺毒功能，防止病毒、木馬等威脅造成財務(wù)數(shù)據(jù)丟失。

針對財務(wù)科內(nèi)網(wǎng)接入的終端，部署一套終端安全管理與準入軟件和一套網(wǎng)絡(luò)版殺毒軟件，實現(xiàn)內(nèi)網(wǎng)終端的實時安全防護、USB接口管控、非法外聯(lián)管控、高危漏洞檢測等功能。部署1臺安全隔離網(wǎng)閘，將財務(wù)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)進行物理隔離。安全隔離網(wǎng)閘系統(tǒng)基于多核多線程專用安全操作系統(tǒng)，采用類似船閘擺渡的工作原理，在內(nèi)、外主機之間擺渡應(yīng)用數(shù)據(jù)，在安全隔離網(wǎng)絡(luò)的同時，做實時的數(shù)據(jù)交換。

外網(wǎng)部署一臺VPN網(wǎng)關(guān)，為員工和第三方人員遠程進行運維或辦公提供安全的接入方式，采用多因素認證連入VPN后，通過網(wǎng)閘、堡壘機訪問到內(nèi)網(wǎng)前置機進行遠程工作。

醫(yī)院財務(wù)核心業(yè)務(wù)服務(wù)的數(shù)據(jù)庫中存放大量的財務(wù)信息等機密數(shù)據(jù)，這些信息各類用戶可以通過瀏覽器或客戶端軟件來查詢，因此需要長期穩(wěn)定運行。綜合考慮性價比，可選擇熱備容災(zāi)系統(tǒng)，平時數(shù)據(jù)從財務(wù)虛擬服務(wù)器同步到災(zāi)備系統(tǒng)上，一旦財務(wù)管理系統(tǒng)出現(xiàn)故障，可以臨時切換到災(zāi)備服務(wù)器上，待原有業(yè)務(wù)系統(tǒng)恢復(fù)后，再將數(shù)據(jù)同步到財務(wù)虛擬服務(wù)器上。相對于雙活方案，采用主備方式成本較低，在一定程度也能保障業(yè)務(wù)的連續(xù)性。

5、總結(jié)

醫(yī)院財務(wù)系統(tǒng)安全是醫(yī)院信息安全的建設(shè)重點，通過在網(wǎng)絡(luò)規(guī)劃設(shè)計階段，本文從網(wǎng)絡(luò)、計算、存儲等方面做好方案，從底層規(guī)劃設(shè)計上保障醫(yī)院財務(wù)系統(tǒng)安全，并對今后各種新業(yè)務(wù)的開展具有較強適應(yīng)力，擴展力。這樣的安全網(wǎng)絡(luò)建成，提高了財務(wù)管理系統(tǒng)業(yè)務(wù)的效率和處理能力，樹立了醫(yī)院良好形象，為未來發(fā)展奠定了堅實基礎(chǔ)。在預(yù)算允許情況下，若接入交換機采用堆疊技術(shù)，可以大大提高網(wǎng)絡(luò)的傳輸性能和運行的可靠性和擴展性。作為醫(yī)院專用網(wǎng)絡(luò)規(guī)劃設(shè)計，未來將在數(shù)據(jù)安全與備份上進一步加強，不斷提升醫(yī)院財務(wù)管理系統(tǒng)的安全性。

參考文獻：

[1]陳啟岳.網(wǎng)絡(luò)支付業(yè)務(wù)在醫(yī)療領(lǐng)域應(yīng)用與服務(wù)思考[J].醫(yī)學(xué)信息學(xué)雜志. 2019，40（06）：36-38.

[2]郭慧.大數(shù)據(jù)時代的醫(yī)院財務(wù)管理[J].解放軍醫(yī)院管理雜志. 2021，28（09）：859-860.

[3]王玲.信息技術(shù)在醫(yī)院財務(wù)管理中的應(yīng)用[J].財會學(xué)習. 2021，（26）：財會學(xué)習. 2021，（26）.