論醫(yī)院內(nèi)外網(wǎng)間數(shù)據(jù)交換安全解決方案

陜西省西安市精神衛(wèi)生中心 馬 毅

一、醫(yī)療衛(wèi)生單位信息化建設現(xiàn)狀

我國醫(yī)療衛(wèi)生事業(yè)經(jīng)過近20年的加速發(fā)展，信息化逐步受到了國家衛(wèi)計委和各級醫(yī)院的重視。國家衛(wèi)計委在“十二五”規(guī)劃中提出建設“36212工程”：我國將重點建設國家級、省級和地市級三級衛(wèi)生信息平臺；加強信息化在公共衛(wèi)生、醫(yī)療服務、計劃生育、新農(nóng)合、基本藥物制度、綜合管理六項業(yè)務中的深入應用；建設電子健康檔案、電子病歷和全國人口數(shù)據(jù)資源庫三個基礎數(shù)據(jù)庫；建設一個醫(yī)療衛(wèi)生信息專用網(wǎng)絡；逐步建設信息安全體系和信息標準體系。“36212工程”的建設將推進醫(yī)療衛(wèi)生事業(yè)改革。隨著醫(yī)療信息化建設的逐步深入，各級醫(yī)院已經(jīng)建起了不同程度的醫(yī)院信息系統(tǒng)(Hospital Information System，簡稱HIS系統(tǒng))。為提升醫(yī)療服務質(zhì)量，優(yōu)化就醫(yī)流程，一些管理部門需要通過互聯(lián)網(wǎng)連接醫(yī)院HIS系統(tǒng)以獲取準確的醫(yī)療數(shù)據(jù)，如醫(yī)院質(zhì)量監(jiān)測系統(tǒng)(Hospital Quality Monitoring System，簡稱HQMS系統(tǒng))需要自動對接病案首頁數(shù)據(jù)以確保醫(yī)院評審評價數(shù)據(jù)的真實性；醫(yī)保網(wǎng)絡需要將病人資料和費用信息傳至醫(yī)保中心進行結算等。互聯(lián)網(wǎng)接入醫(yī)院內(nèi)網(wǎng)打破了醫(yī)院網(wǎng)絡物理隔離的現(xiàn)狀，增加了醫(yī)院HIS系統(tǒng)的安全風險。HIS系統(tǒng)數(shù)據(jù)包含醫(yī)院診療、財務、決策等多方面的內(nèi)容，是醫(yī)院最重要的資源，一旦數(shù)據(jù)丟失或出錯將給醫(yī)院帶來無法預估的損失。因此，如何實現(xiàn)內(nèi)外網(wǎng)按需進行數(shù)據(jù)信息交換并保證HIS系統(tǒng)安全，是醫(yī)院信息工作者必須要解決的難題。隨著網(wǎng)閘技術的快速發(fā)展和逐漸成熟，這樣的難題得以解決。

二、網(wǎng)閘技術概況

網(wǎng)閘，也叫安全隔離與信息交換系統(tǒng)，其工作原理采用了人工在兩個隔離網(wǎng)絡之間的信息交換方式，中斷兩個網(wǎng)絡間的所有通信協(xié)議連接，使之不能直接進行網(wǎng)絡協(xié)議通信。網(wǎng)閘的應用不僅使得信息網(wǎng)絡的抗攻擊能力大大增強，而且有效地防范信息外泄事件的發(fā)生。

網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關讀寫介質(zhì)連接兩個獨立主機系統(tǒng)的信息安全設備。由于物理隔離網(wǎng)閘所連接的兩個獨立主機系統(tǒng)之間不存在通信的物理連接、邏輯連接、信息傳輸命令和信息傳輸協(xié)議，也不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺渡”，且對固態(tài)存儲介質(zhì)只有“讀”和“寫”兩個命令。所以物理隔離網(wǎng)聞從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實現(xiàn)了真正的安全。

三、網(wǎng)閘架構及工作原理

安全隔離網(wǎng)閘由三部分組成：外網(wǎng)處理單元、內(nèi)網(wǎng)處理單元、安全數(shù)據(jù)交換單元。外網(wǎng)處理單元與外網(wǎng)相連，內(nèi)網(wǎng)處理單元與內(nèi)網(wǎng)相連，安全數(shù)據(jù)交換單元是內(nèi)網(wǎng)處理單元與外網(wǎng)處理單元之間唯一且安全的數(shù)據(jù)通道，它不同時與內(nèi)外網(wǎng)處理單元連接。安全數(shù)據(jù)交換單元可理解為一個存儲介質(zhì)和一個調(diào)度控制電路。

圖1 網(wǎng)閘結構

圖2 網(wǎng)閘工作原理

內(nèi)網(wǎng)處理單元和外網(wǎng)處理單元是內(nèi)網(wǎng)和外網(wǎng)的邊界點，同時也是網(wǎng)絡協(xié)議的終結。當外網(wǎng)需要給內(nèi)網(wǎng)傳輸數(shù)據(jù)時，發(fā)起對隔離網(wǎng)閘的非TCP/IP協(xié)議的數(shù)據(jù)連接，網(wǎng)閘將所有通過網(wǎng)閘的應用層信息都從TCP/IP協(xié)議包中剝離，還原為裸數(shù)據(jù)并寫入存儲介質(zhì)中。根據(jù)應用情況，可以對數(shù)據(jù)進行安全性和完整性檢查。數(shù)據(jù)完全寫入存儲介質(zhì)，網(wǎng)閘立即切斷與外網(wǎng)的連接，轉(zhuǎn)而發(fā)起對內(nèi)網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接，將數(shù)據(jù)推向內(nèi)網(wǎng)。內(nèi)網(wǎng)收到數(shù)據(jù)后進行TCP/IP和應用協(xié)議的封裝，并交給應用系統(tǒng)。數(shù)據(jù)處理完畢后，中斷與內(nèi)網(wǎng)的連接，網(wǎng)閘恢復完全隔離狀態(tài)。內(nèi)網(wǎng)向外網(wǎng)傳輸數(shù)據(jù)流程類似。

由于在內(nèi)網(wǎng)和外網(wǎng)之間只傳遞純數(shù)據(jù)，不傳遞網(wǎng)絡信息和控制信息等存在安全隱患的信息，網(wǎng)閘就過濾掉了所有基于網(wǎng)絡協(xié)議漏洞的攻擊，保證了內(nèi)外網(wǎng)之間信息交換的安全和可靠，而數(shù)據(jù)的協(xié)議剝離---還原為裸數(shù)據(jù)---過濾---重組這一系列的過程都不依賴于任何通用協(xié)議，只能被網(wǎng)閘的內(nèi)部處理機制識別及處理，因此可避免遭受利用各種已知或未知網(wǎng)絡層漏洞的威脅。

四、醫(yī)院網(wǎng)閘部署

醫(yī)院現(xiàn)有的網(wǎng)絡架構為內(nèi)外網(wǎng)2套相互獨立的網(wǎng)絡。內(nèi)網(wǎng)是醫(yī)院的業(yè)務網(wǎng)，用于運行醫(yī)院的核心應用醫(yī)院信息系統(tǒng)(HIS)、實驗室信息系統(tǒng)(LIS)、財務應用等，并通過VPN與各個醫(yī)保連接；外網(wǎng)也通過防火墻接入電信網(wǎng)，主要用于各科室的業(yè)務辦理和文獻資料查詢等。

醫(yī)院內(nèi)網(wǎng)涉及患者檔案和病歷數(shù)據(jù)，必須確保數(shù)據(jù)的安全性和保密性。一般情況下禁止其他任何網(wǎng)絡訪問內(nèi)部網(wǎng)絡，只有在必要的時候允許外部網(wǎng)絡某些訪問要求，例如：醫(yī)保等網(wǎng)絡需要提取住院病人在院的個人資料及費用信息。雖然內(nèi)部網(wǎng)絡有殺毒軟件和防火墻等措施提供安全保護，但是仍然應當防范外網(wǎng)對內(nèi)網(wǎng)可能造成的影響。內(nèi)外網(wǎng)物理隔離的宗旨就是把內(nèi)網(wǎng)的安全風險降到最低。

圖3 醫(yī)院網(wǎng)閘應用拓撲圖

在沒有配置網(wǎng)閘的情況下，兩個網(wǎng)絡的應用不能相互訪問，在配置網(wǎng)閘之后，雙方的應用依然不能進行通信，只有在內(nèi)外網(wǎng)前置機上針對相對應的應用建立其特定的通道，內(nèi)外網(wǎng)的有針對性的應用才能得以通信。

五、網(wǎng)閘技術應用的重要意義

基于網(wǎng)閘的內(nèi)外網(wǎng)間數(shù)據(jù)交換方案既能保證內(nèi)外網(wǎng)的安全隔離，又能實現(xiàn)實時、高速、安全的數(shù)據(jù)交換。網(wǎng)閘的應用使內(nèi)網(wǎng)核心業(yè)務系統(tǒng)始終保持連續(xù)安全運轉(zhuǎn)，很好地滿足了醫(yī)院業(yè)務對網(wǎng)絡安全的要求，不但擴展了醫(yī)院信息化的建設，也為醫(yī)院內(nèi)部基本的業(yè)務正常運行提供了有力的保障。網(wǎng)閘技術和產(chǎn)品在醫(yī)療領域的引入，是一場醫(yī)療信息化的革命。

基于網(wǎng)閘的內(nèi)外網(wǎng)間數(shù)據(jù)交換方案促進了醫(yī)療信息化的發(fā)展，也為區(qū)域醫(yī)療平臺的建設提供了解決方法。