基于防火墻的網絡安全技術在醫院網絡中的應用

王鵬，馬錫坤，吳艷君

（南京軍區南京總醫院信息科，江蘇南京210000）

隨著網絡技術的飛速發展，網絡中也存在著越來越多的安全隱患問題。雖然應用在醫院中的信息管理系統[1]給醫院帶來便利，但同時也引發了嚴酷的考驗，如醫院網絡信息系統的安全問題。為了解決系統的安全問題，本文從以往信息系統出現安全隱患最多的技術保護和管理體系出發，將兩者完善處理好，才能保證醫院網絡信息系統的安全性和可靠性[2-3]，從而做到網絡信息資源的保密性、完整性和資源的共享。

除了要確保醫院網絡信息的安全外，在實際中更要確保醫院網絡信息系統中數據庫的安全，數據庫防范的重點在于內部醫護人員和外部外來人員的威脅，所以醫護人員在醫院工作過程中不要將自身的手機、電腦等設備與醫院網絡信息系統相連，以免病毒入侵整個醫院網絡信息系統[4]。與此同時，還要禁止醫院外部人員將移動設備接入醫院網絡，以免進行資源的盜取及傷害。

1 醫院網絡建設及體系結構

1.1 醫院網絡建設情況及特點

醫院網絡建設是在醫院的范圍之內，在一定的醫院使用需求前提下，為醫院的診療信息傳送和管理等提供資源共享及信息迅速傳送的計算機網絡系統。醫院網絡建設始于上世紀80年代，該網絡的建立為醫護人員和醫術研究工作的開展提供了一個良好的信息資源共享平臺，從而促進了醫療單位中各項工作的不斷突破。但隨著醫院網絡規模的迅速發展，如何使醫院網絡穩定高效的運行，保證醫院網絡安全問題變的尤為重要。

1.2 醫院網絡體系結構

隨著局域網技術的迅速發展，該技術在醫院的網絡體系中也得到了良好的應用。目前國內眾多醫院的規模越發龐大，因此對于網絡的擴建也亟需待解決，為了能夠實現醫院的每個角落均能夠連接到網絡，實現資源的共享和迅速傳送，構造了如圖1所示的醫院網絡的體系結構圖。該體系結構有一個主控internet管理中心[5-6]，該管理中心具備遠程視頻功能，每個大樓使用該中心網絡是通過交換機的連接，交換機將總網絡分給各個醫院大樓，使得醫院的每一個角落均可實現網絡互連和網絡的共享。

圖1 醫院網絡體系結構圖

2 常用網絡安全技術研究

2.1 防火墻技術

防火墻技術就是用來將局域網和Internet分開，內網與外網之間的信息交流必須要經過防火墻[7-8]才能進行傳輸。作為不同網絡之間唯一的信息通道入口，其遵循了安全策略控制流經的信息，具有強健的抗攻擊能力。防火墻技術主要有3種類型，分別為：包過濾技術，應用網關技術，代理服務技術，如表1所示，該表中列出了防火墻的性能指標，防火墻的性能指標主要有防火墻的工作層次，3種防火墻技術分在網絡層和應用層的工作模式。防火墻技術的性能指標還有效率，安全性能，內部信息隱藏，根本機制，高層數據理解，Udp支持，支持應用等的方面。在應用中，防火墻的選擇就要根據防火墻的這些性能指標進行選取，只有綜合考慮了防火墻的類和防火墻的性能時，才能對局域網起到很好地防護作用。在通常情況下，使用防火墻技術最多的就是包過濾技術。

防火墻的功能就類似于一個過濾器，將不利信息按照安全規則[9]過濾出去，為內網和外網信息安全的傳送提供了有力的通道。其在網絡中的邏輯地位如圖2所示，該圖中防火墻的位置體現了其作為過濾器的功能。

表1 防火墻3種技術對比

圖2 防火墻在網絡中的邏輯位置

2.2 入侵檢測系統

在上文中介紹了防火墻技術在網絡安全維護中的作用，但僅依靠防火墻的被動防御功能是不夠的，雖然對外部的非法入侵網絡起到了防御功能，但是對于內部網絡的攻擊難以實現有效控制，在防火墻技術中只是起到了對外部網絡非法入侵的防御，根本無法控制來自網絡內部的攻擊，例如會有黑客侵入網絡內部盜取信息[10]，做出違法的操作。此外，防火墻對于外部網絡的惡意攻擊出于被動狀態，一旦遇到主動監測或將惡意代碼信息嵌入到流量中的信息時，防火墻的被動防御功能將無法起到作用。對于這種入侵情況的防御，入侵檢測系統可起到較好地防御功能。如圖3所示，當入侵檢測系統檢測到異常信息時，就會立即報警，該報警被系統識別后就會主動做出響應，此時數據庫就會停止針對正在操作信息的供給，病毒信息被檢測后到也會立馬被攔截[11-12]，從而保證了網絡系統的安全運行。

圖3 簡單的入侵檢測系統示意圖

2.3 虛擬局域網技術（VLAN）

虛擬局域網技術目前應用在網絡連接中的方方面面，該技術在邏輯上將用戶和設備劃分開來，為了解決在醫院中不同部門，不同的應用以及不同的功能之間的網絡連接問題，就可以利用虛擬局域網技術，由此而形成一個小型的虛擬局域網，該技術中“虛擬”的含義也就是由此而來。當醫院中的某一個位置需要VLAN時，可以將VLAN和交換機進行鏈接，這時在交換機鏈接之后，利用VLAN[13]技術就能實現眾多的子網，當發送一個數據包時，只有位于同一個虛擬網中的點才能接受數據包信息，該信息不會被交換機發送到其他局域網的端口中去，該技術的實現使得網絡拓撲更加靈活化，如圖4所示為醫院網絡的網絡拓撲結構圖，該結構中將網絡結構層次清晰的呈現出來。

圖4 醫院網絡拓撲結構

2.4 未來的防火墻技術

隨著網絡技術的不斷發展，信息化安全方面的算法技術也會不停地被優化，防火墻的包過濾技術也將不斷被完善，如圖5所示為未來構想的防火墻的結構示意圖，該結構示意圖就比較全面的分析考慮了計算機的操作系統，計算機網絡，以及用戶等每一層的網絡安全，在未來隨著網絡技術算法的優化，防火墻技術將會被嵌入到圖5中的每一個層次中，這樣就會增加了局域網的安全性能，使得整個網絡的安全性能整體提高，黑客就很難盜取機密性信息，這樣對國家造成的損失就會大大減小。

圖5 未來的防火墻結構示意圖

3 醫院網絡安全技術應用研究

為了實現醫院網絡的安全運行，在Internet和醫院網絡之間部署了一臺RG一WALL1600M防火墻，從而保證了內外網之間安全的運行。圖中ISA Server通過Switch交換機將醫院中的各個網絡設備相連接，在各服務器鏈接之后，便可較好地保證內外網絡之間的通信，如圖6所示即為防火墻在醫院網絡系統中的典型拓撲結構圖。如圖7所示為醫院網絡連接成功之后醫生的工作界面圖，該圖清晰顯示了醫生進行的收發內容，要診斷的病號以及已經診斷好的病號，醫生也能由此進行對患病者進行開藥，患者能夠直接去付費取藥，有網絡之后很大程度減輕了醫生和病人的負擔。

圖6 防火墻在網絡系統中的典型拓撲結構

圖7 醫生工作界面圖

圖8為醫院網絡中防火墻過濾規則設置界面截圖，當正確配置了該顧慮規則后，防火墻便可防御惡意攻擊者的入侵。

如圖9所示為防火墻設置過濾規則之后的啟用界面圖，在對包過濾后[14-16]，將要啟用的防御項開啟，就能保證非法網絡攻擊者的入侵。

4 結束語

文中在分析現有醫院網絡安全隱患問題的前提下，提出了基于網絡防火墻的安全技術在醫院網絡中的應用。文中充分表明了，在醫院網絡中加入防火墻能有效抵御不良外部入侵者，其在未來的醫院網絡中應用廣泛。

圖8 防火墻包過濾規則設置

圖9 防火墻的抗攻擊啟用

[1]張蕊.數字化時代下醫院信息安全建設探討[J].網絡安全技術與應用，2015（3）：136.

[2]袁夢絢，王直.基于WPDRRC模型的醫院信息系統安全評估[J].電子設計工程，2016，24（11）：11-14.

[3]黃陽君.一種醫院信息化管理系統的設計與應用[J].電子設計工程，2016，24（4）：45-47.

[4]史淳樵，侯佳音.數字化醫院建構中的數據利用研究[J].電子設計工程，2015，23（24）：22-24.

[5]陳莉.醫院網站的安全風險與管控措施[J].信息安全與技術，2015，6（12）：56-57，74.

[6]胡名堅.醫院信息系統安全風險管理對策研究[J].信息系統工程，2016（3）：55.

[7]朱曉慶.醫院網絡中的安全風險與防范措施探究[J].信息與電腦：理論版，2016（9）：187-188.

[8]張建忠，毛亮.醫院網絡安全風險研究[J].網絡安全技術與應用，2016（5）：103.

[9]楊春暉，嚴承華.網絡安全模型相關技術研究[J].信息技術，2015（4）：75-79.

[10]劉洋，孫云濤.基于可信計算的無線Mesh網絡的安全模型研究[J].信息與電腦，2015（16）：141-142.

[11]唐擁政，王春風.基于PPDR的動態無線網絡安全模型的改進研究[J].鹽城工學院學報：自然科學版，2013，26（3）：38-43.

[12]甄濤.石化工控信息網絡安全區域識別與防護[J].軟件導刊，2016，15（9）：151-153.

[13]于曉飛.基于中間件的防火墻與入侵檢測系統聯動研究[D].東營：中國石油大學，2011.

[14]魏慧.基于SOA架構的醫院信息管理平臺設計[J].電子設計工程，2015，23（20）：47-48.

[15]劉陽.基于SOA架構的醫院信息管理平臺研究實現[J].中國新通信，2015（7）：51-52.

[16]周穎，陳敏蓮，胡珊珊，等.基于SOA架構的醫院號源池共享平臺研究與實現[J].醫學信息學雜志，2016，37（4）：30-33.