醫院與社區信息協同共享模式網絡安全解決方案

李享，李婧，張紅，張金輝

中國中醫科學院廣安門醫院計算機中心，北京 100053

醫院與社區信息協同共享模式網絡安全解決方案

李享，李婧，張紅，張金輝

中國中醫科學院廣安門醫院計算機中心，北京 100053

為降低醫院與社區信息協同共享服務模式中存在的安全風險，本文從網絡層面提出安全解決方案。利用隔離網絡安全互聯、鏈路加密及安全數據隔離三方面的關鍵技術，構建醫院與社區網絡互聯拓撲架構，以保障醫院與社區信息協同共享模式網絡安全。

醫院信息系統；區域醫療；信息協同共享；網絡安全；數據安全

0 前言

2013年1月，原衛生部部長陳竺在全國衛生工作會議上指出“要積極探索和大力推廣上下聯動的醫療聯合體制機制”后，區域醫療聯合機制不斷深化，根據《中共中央國務院關于深化醫藥衛生體制改革的意見》的要求，利用網絡技術，形成在物理位置較分散地區開展遠程區域醫療聯合[1]、專科公立醫院進行集團化探索[2]，以及大型醫院與周邊社區的合作等醫療服務模式。由于區域醫療工作對信息化手段的高度依賴，以及目前網絡和信息安全形勢嚴峻，在保證區域醫療業務需求的同時，還需要充分考慮信息系統及其數據的安全，保障醫院重要數據的一致性、可靠性及安全性。

1 安全風險分析

廣安門醫院南區共涵蓋7個社區服務站，通過信息化手段實現醫院與社區間辦卡、掛號、收費、門診治療與發藥系統間的信息協同共享，達到優化資源配置、增強基層服務水平、控制醫療費用與醫療成本、提高衛生服務質量[3]。在滿足業務需求基礎上，應進一步考慮項目建設中存在的安全風險。

（1）醫院內外網環境完全獨立。各社區原先只搭建本地局域網，幾個局域網都與外網環境物理隔離。社區與醫院進行互連時，兩局域網間建立連接鏈路，在各節點及其鏈路上存在數據泄露的風險。

（2）遠程接入用戶權限。遠程接入用戶可獲得的資源與權限和醫院內網系統的安全性息息相關。當權限過大導致社區用戶獲得超出業務范圍的內網資源后，將增加非必要共享數據外泄和系統入侵的風險。

（3）醫院安全等級高于社區。數據應從高密級向低密級流動，醫院向社區開放醫院信息系統（HIS）數據庫和醫保數據庫的讀寫權限，存在外網攻擊滲透內網后直接破壞HIS數據庫或盜取內部信息的風險，對醫院的數據安全造成巨大威脅。

針對醫院與社區信息協同共享模式中存在以上的網絡、信息系統和數據風險點，可通過搭建合理的網絡架構、增設安全設備并配置安全策略的方法，從網絡層面提出安全解決方案，滿足醫院信息安全要求。

2 關鍵技術

在解決方案的過程中，涉及醫院與社區物理隔離網絡的互聯互通、服務資源訪問方式及數據安全隔離3個關鍵技術點。

2.1 隔離網絡互聯

醫院與社區的業務網絡均與互聯網進行物理隔離，而數據共享的前提就是網絡互聯互通。目前，遠程接入內部局域網的方式有撥號接入、專線租用、網關端口映射、虛擬專用網（VPN）接入等[4]。其中撥號接入方式成本高且帶寬低；專線租用速率高但成本昂貴，適用于穩定傳輸重要大數據；網關端口映射是在防火墻上將某個內部服務器地址映射在互聯網上，訪問方便高效但存在安全隱患；VPN在利用互聯網物理連接的基礎上建立一條加密的私有隧道，將數據封裝后實現安全傳輸，具有高帶寬、低成本及安全性特點，是現在被廣泛采用的方法。

由于醫院與7個社區的物理位置分散，且對信息系統的穩定性和實時性要求不高，終端數量少、傳輸數據量小、使用不頻繁，因此可將社區中連接醫院業務的終端通過寬帶接入互聯網，統統搭建加密隧道實現安全互聯。

2.2 鏈路加密與資源獲取

社區終端連入互聯網后，通過VPN通道為特定用戶提供醫院網絡與系統的訪問權限。IPSec VPN和SSL VPN是兩種應用最廣的VPN技術[5]。其中，IPSec VPN應用較早，通過網絡層上的IPSec協議（IP Security Protocol）給出了應用于IP層上網絡數據安全的一整套體系結構，在安裝有IPSec VPN客戶端并經過配置的終端上，可以實現站點到站點間高安全性連接[6]。SSL VPN則是通過傳輸層上的SSL 協議（Secure Sockets Layer Protocol）保障在互聯網上基于Web的通信安全，無需安裝客戶端即可進行訪問，因此具有組網靈活性強、管理維護成本低、用戶操作簡便等優點[7]。

醫院與社區進行信息共享的數據傳輸較少，采用具有高性價比的安全訪問方式更符合需求。在醫院局域網邊界部署VPN服務器并設置聯入用戶的資源訪問權限，社區通過SSL VPN安全便捷連入醫院網絡后，根據相應權限訪問特定的服務器資源和業務應用。

2.3 安全數據隔離

安全隔離信息交換技術是在實現隔離網絡之間數據傳輸的同時進行校驗，過濾惡意代碼或破壞性信息，只允許與系統相關的數據進入內部網絡中，在醫療行業數據安全交換領域中應用廣泛[8-9]。該技術經歷從硬件卡隔離、數據轉播隔離、拷盤發展到隔離網閘技術。通常采用由兩個主機系統和一個隔離交換模塊組成的硬件系統，通過專用通信硬件和安全協議對內外網之間通信的數據內容進行過濾，防止未經允許的內網數據發生泄露。

醫院可在網閘外側部署一臺與HIS數據庫具有相同數據結構的鏡像數據庫，社區的HIS數據直接與鏡像數據庫交互。在網閘中設置規則，除了特定允許進行交換的數據外，完全隔離其他的各種網絡通訊，在保證傳輸數據的完整性和可用性的基礎上，進行可靠的數據交換。

2.4 解決方案

最終形成的安全解決方案是在醫院外網區域的核心交換機上部署VPN設備與鏡像數據庫，網閘的外網接口EXT0連接外網交換機，內網接口INT0連接內網核心交換機，經由網閘實現內外網HIS數據同步及與內網醫保服務器的安全數據共享；社區連接互聯網后訪問VPN服務器獲得醫院局域網合法地址，可與鏡像數據庫或其他合法內網資源交互。醫院與社交網絡互聯拓撲結構，見圖1。

圖1 醫院與社區網絡互聯拓撲圖

3 安全策略設置

部署好安全設備后，從社區、VPN、網閘三個層面設置安全規則，完成全面安全防護。

3.1 社區終端設置

社區終端處于醫院內網以外的不可控區域，很難進行統一的網絡安全管理，易出現病毒、惡意代碼、惡意入侵等安全隱患。應定期進行系統補丁升級、病毒和木馬查殺等操作，并從管理角度對使用人員的互聯網訪問和操作進行規范，禁止無關人員使用電腦。

3.2 VPN規則設置

社區采用SSL VPN連入網絡后，設置安全策略，保證只有特定的用戶可以獲得鏡像數據庫或其他內網服務資源的訪問權限。

3.2.1 客戶端地址池

在VPN服務器端設置一個私有地址池，當用戶登錄后從該地址池中獲取一個空閑IP，只有該地址段可訪問鏡像數據庫并通過網閘過濾規則。

3.2.2 用戶角色及權限

在VPN服務器端設置醫生和收費兩種角色，其中醫生角色適用于門診醫生站用戶，只能與鏡像數據庫交互；收費角色用于門診掛號收費用戶，可與鏡像數據庫交互、并向內網醫保服務器上傳醫保患者收費信息。通過設置不同的用戶和角色，最小化社區用戶對業務系統和應用的訪問權限。

3.2.3 服務資源

VPN服務器端添加鏡像數據庫和網閘外網端口EXT0作為服務資源，除業務所需的服務端口外，拒絕其他所有端口對服務器的訪問。最終形成的VPN服務策略列表，見表1。

表1 VPN服務策略列表

3.3 網閘規則設置

網閘默認將醫院內外網區域進行完全隔離，當兩端出現數據交互或數據同步請求時，需要匹配訪問對象和訪問規則，滿足規則才被允許通過。

3.3.1 訪問對象

網閘中設置內外網訪問對象，包括外網中的鏡像服務器和VPN合法客戶端；內網中的HIS數據庫和醫保服務器。

3.3.2 應用服務

經由網閘的應用分為兩類，一種是內網HIS數據庫和外網鏡像數據庫間雙向數據同步，需要開啟聯通服務（PING），數據庫應用服務（ORACLE）以及網閘數據同步私有服務（DBSYNC）；另一種是VPN客戶端與醫保服務器進行的數據讀寫應用，需要開啟HTTP服務。具體規則，見表2。

3.3.3 數據同步

鏡像服務器上的數據庫與內網HIS數據庫具有相同的數據結構，但只存儲辦理 就診卡、掛號收費、門診醫生站和處方發藥程序相關的數據。根據業務在網閘中分別設定內外網間的雙向同步表，或單向同步表，將網閘兩端數據進行秒級間隔的同步。

表2 網閘過濾規則列表

4 結語

至此，完成了對社區客戶端、VPN和網閘設備的安全規則配置。此方案充分利用安全設備和管理規則，以加強醫院與社區間信息協同共享服務模式中的安全性。

區域化醫療協作、遠程醫療和醫聯體成為我國醫療行業的發展趨勢，在醫院與社區間進行信息協同與數據共享時可利用安全技術和安全設備充分降低其面臨的風險和隱患，并可為后續各院際間、醫院與上級單位更多更大量的信息共享提供穩固的安全保障。

[1] 孫喜琢,宮芳芳,顧曉東,等.基于遠程區域醫療聯合體的實踐與探索[J].現代醫院管理,2013,(3):8-10.

[2] 張巖.遼寧省腫瘤醫院醫療聯盟基本框架與發展思考[J].中國腫瘤,2013,(8):627-630.

[3] 曾耀瑩.構建區域健康服務聯合體[J].中國醫院院長,2013,(10): 61-61.

[4] 吳剛.多種平臺的VPN 應用比較[J].計算機系統應用,2011, 20(8):245-249.

[5] 丁峰.論IPSec VPN和SSL VPN的優劣及適應性[J].電腦知識與技術,2012,8(21):5088-5091.

[6] 張學杰,李大興.SSL技術在構建VPN中的應用[J].計算機應用,2006,26(8):1828-1829．

[7] Romana D A L,Musashi Y,Matsuba R,et al.Detection of bot worm-infected PC terminals[J].Information,2007,10(5):673-686.

[8] 何劍虎,周慶利.互聯網環境下的醫療數據安全交換技術研究[J].中國醫療設備,2013,28(4):44-47.

[9] 林達峻,任忠敏,干峰,等.隔離網閘在醫療行業中的應用[J].醫學信息,2010,23(9):3284-3286.

A Network Security Solution of Collaborative Information Sharing Mode between Hospitals and Communities

LI Xiang, LI Jing, ZHANG Hong, ZHANG Jin-hui
Computer Center, Guang’anmeng Hospital, China Academy of Chinese Medical Sciences, Beijing 100053, China

In order to reduce risks in the collaborative information sharing mode between hospitals and communities, this paper proposes an solution from the aspect of network. Three key techniques, namely, network interconnection isolation, data link encryption and data isolation, are applied in constructing the interconnection network’s typology structure, in order to ensure the network safety of collaborative information sharing mode between hospitals and communities.

hospital information system; regional medical treatment; collaborative information sharing; network security; data security

TP393.08

A

10.3969/j.issn.1674-1633.2014.10.011

1674-1633(2014)10-0038-03

2014-04-22

作者郵箱：945112@163.com