李享，李婧，張紅，張金輝

中國中醫(yī)科學(xué)院廣安門醫(yī)院計算機(jī)中心，北京 100053

醫(yī)院與社區(qū)信息協(xié)同共享模式網(wǎng)絡(luò)安全解決方案

李享，李婧，張紅，張金輝

中國中醫(yī)科學(xué)院廣安門醫(yī)院計算機(jī)中心，北京 100053

為降低醫(yī)院與社區(qū)信息協(xié)同共享服務(wù)模式中存在的安全風(fēng)險，本文從網(wǎng)絡(luò)層面提出安全解決方案。利用隔離網(wǎng)絡(luò)安全互聯(lián)、鏈路加密及安全數(shù)據(jù)隔離三方面的關(guān)鍵技術(shù)，構(gòu)建醫(yī)院與社區(qū)網(wǎng)絡(luò)互聯(lián)拓?fù)浼軜?gòu)，以保障醫(yī)院與社區(qū)信息協(xié)同共享模式網(wǎng)絡(luò)安全。

醫(yī)院信息系統(tǒng)；區(qū)域醫(yī)療；信息協(xié)同共享；網(wǎng)絡(luò)安全；數(shù)據(jù)安全

0 前言

2013年1月，原衛(wèi)生部部長陳竺在全國衛(wèi)生工作會議上指出“要積極探索和大力推廣上下聯(lián)動的醫(yī)療聯(lián)合體制機(jī)制”后，區(qū)域醫(yī)療聯(lián)合機(jī)制不斷深化，根據(jù)《中共中央國務(wù)院關(guān)于深化醫(yī)藥衛(wèi)生體制改革的意見》的要求，利用網(wǎng)絡(luò)技術(shù)，形成在物理位置較分散地區(qū)開展遠(yuǎn)程區(qū)域醫(yī)療聯(lián)合[1]、?？乒⑨t(yī)院進(jìn)行集團(tuán)化探索[2]，以及大型醫(yī)院與周邊社區(qū)的合作等醫(yī)療服務(wù)模式。由于區(qū)域醫(yī)療工作對信息化手段的高度依賴，以及目前網(wǎng)絡(luò)和信息安全形勢嚴(yán)峻，在保證區(qū)域醫(yī)療業(yè)務(wù)需求的同時，還需要充分考慮信息系統(tǒng)及其數(shù)據(jù)的安全，保障醫(yī)院重要數(shù)據(jù)的一致性、可靠性及安全性。

1 安全風(fēng)險分析

廣安門醫(yī)院南區(qū)共涵蓋7個社區(qū)服務(wù)站，通過信息化手段實現(xiàn)醫(yī)院與社區(qū)間辦卡、掛號、收費、門診治療與發(fā)藥系統(tǒng)間的信息協(xié)同共享，達(dá)到優(yōu)化資源配置、增強(qiáng)基層服務(wù)水平、控制醫(yī)療費用與醫(yī)療成本、提高衛(wèi)生服務(wù)質(zhì)量[3]。在滿足業(yè)務(wù)需求基礎(chǔ)上，應(yīng)進(jìn)一步考慮項目建設(shè)中存在的安全風(fēng)險。

（1）醫(yī)院內(nèi)外網(wǎng)環(huán)境完全獨立。各社區(qū)原先只搭建本地局域網(wǎng)，幾個局域網(wǎng)都與外網(wǎng)環(huán)境物理隔離。社區(qū)與醫(yī)院進(jìn)行互連時，兩局域網(wǎng)間建立連接鏈路，在各節(jié)點及其鏈路上存在數(shù)據(jù)泄露的風(fēng)險。

（2）遠(yuǎn)程接入用戶權(quán)限。遠(yuǎn)程接入用戶可獲得的資源與權(quán)限和醫(yī)院內(nèi)網(wǎng)系統(tǒng)的安全性息息相關(guān)。當(dāng)權(quán)限過大導(dǎo)致社區(qū)用戶獲得超出業(yè)務(wù)范圍的內(nèi)網(wǎng)資源后，將增加非必要共享數(shù)據(jù)外泄和系統(tǒng)入侵的風(fēng)險。

（3）醫(yī)院安全等級高于社區(qū)。數(shù)據(jù)應(yīng)從高密級向低密級流動，醫(yī)院向社區(qū)開放醫(yī)院信息系統(tǒng)（HIS）數(shù)據(jù)庫和醫(yī)保數(shù)據(jù)庫的讀寫權(quán)限，存在外網(wǎng)攻擊滲透內(nèi)網(wǎng)后直接破壞HIS數(shù)據(jù)庫或盜取內(nèi)部信息的風(fēng)險，對醫(yī)院的數(shù)據(jù)安全造成巨大威脅。

針對醫(yī)院與社區(qū)信息協(xié)同共享模式中存在以上的網(wǎng)絡(luò)、信息系統(tǒng)和數(shù)據(jù)風(fēng)險點，可通過搭建合理的網(wǎng)絡(luò)架構(gòu)、增設(shè)安全設(shè)備并配置安全策略的方法，從網(wǎng)絡(luò)層面提出安全解決方案，滿足醫(yī)院信息安全要求。

2 關(guān)鍵技術(shù)

在解決方案的過程中，涉及醫(yī)院與社區(qū)物理隔離網(wǎng)絡(luò)的互聯(lián)互通、服務(wù)資源訪問方式及數(shù)據(jù)安全隔離3個關(guān)鍵技術(shù)點。

2.1 隔離網(wǎng)絡(luò)互聯(lián)

醫(yī)院與社區(qū)的業(yè)務(wù)網(wǎng)絡(luò)均與互聯(lián)網(wǎng)進(jìn)行物理隔離，而數(shù)據(jù)共享的前提就是網(wǎng)絡(luò)互聯(lián)互通。目前，遠(yuǎn)程接入內(nèi)部局域網(wǎng)的方式有撥號接入、專線租用、網(wǎng)關(guān)端口映射、虛擬專用網(wǎng)（VPN）接入等[4]。其中撥號接入方式成本高且?guī)挼?；專線租用速率高但成本昂貴，適用于穩(wěn)定傳輸重要大數(shù)據(jù)；網(wǎng)關(guān)端口映射是在防火墻上將某個內(nèi)部服務(wù)器地址映射在互聯(lián)網(wǎng)上，訪問方便高效但存在安全隱患；VPN在利用互聯(lián)網(wǎng)物理連接的基礎(chǔ)上建立一條加密的私有隧道，將數(shù)據(jù)封裝后實現(xiàn)安全傳輸，具有高帶寬、低成本及安全性特點，是現(xiàn)在被廣泛采用的方法。

由于醫(yī)院與7個社區(qū)的物理位置分散，且對信息系統(tǒng)的穩(wěn)定性和實時性要求不高，終端數(shù)量少、傳輸數(shù)據(jù)量小、使用不頻繁，因此可將社區(qū)中連接醫(yī)院業(yè)務(wù)的終端通過寬帶接入互聯(lián)網(wǎng)，統(tǒng)統(tǒng)搭建加密隧道實現(xiàn)安全互聯(lián)。

2.2 鏈路加密與資源獲取

社區(qū)終端連入互聯(lián)網(wǎng)后，通過VPN通道為特定用戶提供醫(yī)院網(wǎng)絡(luò)與系統(tǒng)的訪問權(quán)限。IPSec VPN和SSL VPN是兩種應(yīng)用最廣的VPN技術(shù)[5]。其中，IPSec VPN應(yīng)用較早，通過網(wǎng)絡(luò)層上的IPSec協(xié)議（IP Security Protocol）給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，在安裝有IPSec VPN客戶端并經(jīng)過配置的終端上，可以實現(xiàn)站點到站點間高安全性連接[6]。SSL VPN則是通過傳輸層上的SSL 協(xié)議（Secure Sockets Layer Protocol）保障在互聯(lián)網(wǎng)上基于Web的通信安全，無需安裝客戶端即可進(jìn)行訪問，因此具有組網(wǎng)靈活性強(qiáng)、管理維護(hù)成本低、用戶操作簡便等優(yōu)點[7]。

醫(yī)院與社區(qū)進(jìn)行信息共享的數(shù)據(jù)傳輸較少，采用具有高性價比的安全訪問方式更符合需求。在醫(yī)院局域網(wǎng)邊界部署VPN服務(wù)器并設(shè)置聯(lián)入用戶的資源訪問權(quán)限，社區(qū)通過SSL VPN安全便捷連入醫(yī)院網(wǎng)絡(luò)后，根據(jù)相應(yīng)權(quán)限訪問特定的服務(wù)器資源和業(yè)務(wù)應(yīng)用。

2.3 安全數(shù)據(jù)隔離

安全隔離信息交換技術(shù)是在實現(xiàn)隔離網(wǎng)絡(luò)之間數(shù)據(jù)傳輸?shù)耐瑫r進(jìn)行校驗，過濾惡意代碼或破壞性信息，只允許與系統(tǒng)相關(guān)的數(shù)據(jù)進(jìn)入內(nèi)部網(wǎng)絡(luò)中，在醫(yī)療行業(yè)數(shù)據(jù)安全交換領(lǐng)域中應(yīng)用廣泛[8-9]。該技術(shù)經(jīng)歷從硬件卡隔離、數(shù)據(jù)轉(zhuǎn)播隔離、拷盤發(fā)展到隔離網(wǎng)閘技術(shù)。通常采用由兩個主機(jī)系統(tǒng)和一個隔離交換模塊組成的硬件系統(tǒng)，通過專用通信硬件和安全協(xié)議對內(nèi)外網(wǎng)之間通信的數(shù)據(jù)內(nèi)容進(jìn)行過濾，防止未經(jīng)允許的內(nèi)網(wǎng)數(shù)據(jù)發(fā)生泄露。

醫(yī)院可在網(wǎng)閘外側(cè)部署一臺與HIS數(shù)據(jù)庫具有相同數(shù)據(jù)結(jié)構(gòu)的鏡像數(shù)據(jù)庫，社區(qū)的HIS數(shù)據(jù)直接與鏡像數(shù)據(jù)庫交互。在網(wǎng)閘中設(shè)置規(guī)則，除了特定允許進(jìn)行交換的數(shù)據(jù)外，完全隔離其他的各種網(wǎng)絡(luò)通訊，在保證傳輸數(shù)據(jù)的完整性和可用性的基礎(chǔ)上，進(jìn)行可靠的數(shù)據(jù)交換。

2.4 解決方案

最終形成的安全解決方案是在醫(yī)院外網(wǎng)區(qū)域的核心交換機(jī)上部署VPN設(shè)備與鏡像數(shù)據(jù)庫，網(wǎng)閘的外網(wǎng)接口EXT0連接外網(wǎng)交換機(jī)，內(nèi)網(wǎng)接口INT0連接內(nèi)網(wǎng)核心交換機(jī)，經(jīng)由網(wǎng)閘實現(xiàn)內(nèi)外網(wǎng)HIS數(shù)據(jù)同步及與內(nèi)網(wǎng)醫(yī)保服務(wù)器的安全數(shù)據(jù)共享；社區(qū)連接互聯(lián)網(wǎng)后訪問VPN服務(wù)器獲得醫(yī)院局域網(wǎng)合法地址，可與鏡像數(shù)據(jù)庫或其他合法內(nèi)網(wǎng)資源交互。醫(yī)院與社交網(wǎng)絡(luò)互聯(lián)拓?fù)浣Y(jié)構(gòu)，見圖1。

圖1 醫(yī)院與社區(qū)網(wǎng)絡(luò)互聯(lián)拓?fù)鋱D

3 安全策略設(shè)置

部署好安全設(shè)備后，從社區(qū)、VPN、網(wǎng)閘三個層面設(shè)置安全規(guī)則，完成全面安全防護(hù)。

3.1 社區(qū)終端設(shè)置

社區(qū)終端處于醫(yī)院內(nèi)網(wǎng)以外的不可控區(qū)域，很難進(jìn)行統(tǒng)一的網(wǎng)絡(luò)安全管理，易出現(xiàn)病毒、惡意代碼、惡意入侵等安全隱患。應(yīng)定期進(jìn)行系統(tǒng)補(bǔ)丁升級、病毒和木馬查殺等操作，并從管理角度對使用人員的互聯(lián)網(wǎng)訪問和操作進(jìn)行規(guī)范，禁止無關(guān)人員使用電腦。

3.2 VPN規(guī)則設(shè)置

社區(qū)采用SSL VPN連入網(wǎng)絡(luò)后，設(shè)置安全策略，保證只有特定的用戶可以獲得鏡像數(shù)據(jù)庫或其他內(nèi)網(wǎng)服務(wù)資源的訪問權(quán)限。

3.2.1 客戶端地址池

在VPN服務(wù)器端設(shè)置一個私有地址池，當(dāng)用戶登錄后從該地址池中獲取一個空閑IP，只有該地址段可訪問鏡像數(shù)據(jù)庫并通過網(wǎng)閘過濾規(guī)則。

3.2.2 用戶角色及權(quán)限

在VPN服務(wù)器端設(shè)置醫(yī)生和收費兩種角色，其中醫(yī)生角色適用于門診醫(yī)生站用戶，只能與鏡像數(shù)據(jù)庫交互；收費角色用于門診掛號收費用戶，可與鏡像數(shù)據(jù)庫交互、并向內(nèi)網(wǎng)醫(yī)保服務(wù)器上傳醫(yī)?；颊呤召M信息。通過設(shè)置不同的用戶和角色，最小化社區(qū)用戶對業(yè)務(wù)系統(tǒng)和應(yīng)用的訪問權(quán)限。

3.2.3 服務(wù)資源

VPN服務(wù)器端添加鏡像數(shù)據(jù)庫和網(wǎng)閘外網(wǎng)端口EXT0作為服務(wù)資源，除業(yè)務(wù)所需的服務(wù)端口外，拒絕其他所有端口對服務(wù)器的訪問。最終形成的VPN服務(wù)策略列表，見表1。

表1 VPN服務(wù)策略列表

3.3 網(wǎng)閘規(guī)則設(shè)置

網(wǎng)閘默認(rèn)將醫(yī)院內(nèi)外網(wǎng)區(qū)域進(jìn)行完全隔離，當(dāng)兩端出現(xiàn)數(shù)據(jù)交互或數(shù)據(jù)同步請求時，需要匹配訪問對象和訪問規(guī)則，滿足規(guī)則才被允許通過。

3.3.1 訪問對象

網(wǎng)閘中設(shè)置內(nèi)外網(wǎng)訪問對象，包括外網(wǎng)中的鏡像服務(wù)器和VPN合法客戶端；內(nèi)網(wǎng)中的HIS數(shù)據(jù)庫和醫(yī)保服務(wù)器。

3.3.2 應(yīng)用服務(wù)

經(jīng)由網(wǎng)閘的應(yīng)用分為兩類，一種是內(nèi)網(wǎng)HIS數(shù)據(jù)庫和外網(wǎng)鏡像數(shù)據(jù)庫間雙向數(shù)據(jù)同步，需要開啟聯(lián)通服務(wù)（PING），數(shù)據(jù)庫應(yīng)用服務(wù)（ORACLE）以及網(wǎng)閘數(shù)據(jù)同步私有服務(wù)（DBSYNC）；另一種是VPN客戶端與醫(yī)保服務(wù)器進(jìn)行的數(shù)據(jù)讀寫應(yīng)用，需要開啟HTTP服務(wù)。具體規(guī)則，見表2。

3.3.3 數(shù)據(jù)同步

鏡像服務(wù)器上的數(shù)據(jù)庫與內(nèi)網(wǎng)HIS數(shù)據(jù)庫具有相同的數(shù)據(jù)結(jié)構(gòu)，但只存儲辦理 就診卡、掛號收費、門診醫(yī)生站和處方發(fā)藥程序相關(guān)的數(shù)據(jù)。根據(jù)業(yè)務(wù)在網(wǎng)閘中分別設(shè)定內(nèi)外網(wǎng)間的雙向同步表，或單向同步表，將網(wǎng)閘兩端數(shù)據(jù)進(jìn)行秒級間隔的同步。

表2 網(wǎng)閘過濾規(guī)則列表

4 結(jié)語

至此，完成了對社區(qū)客戶端、VPN和網(wǎng)閘設(shè)備的安全規(guī)則配置。此方案充分利用安全設(shè)備和管理規(guī)則，以加強(qiáng)醫(yī)院與社區(qū)間信息協(xié)同共享服務(wù)模式中的安全性。

區(qū)域化醫(yī)療協(xié)作、遠(yuǎn)程醫(yī)療和醫(yī)聯(lián)體成為我國醫(yī)療行業(yè)的發(fā)展趨勢，在醫(yī)院與社區(qū)間進(jìn)行信息協(xié)同與數(shù)據(jù)共享時可利用安全技術(shù)和安全設(shè)備充分降低其面臨的風(fēng)險和隱患，并可為后續(xù)各院際間、醫(yī)院與上級單位更多更大量的信息共享提供穩(wěn)固的安全保障。

[1] 孫喜琢,宮芳芳,顧曉東,等.基于遠(yuǎn)程區(qū)域醫(yī)療聯(lián)合體的實踐與探索[J].現(xiàn)代醫(yī)院管理,2013,(3):8-10.

[2] 張巖.遼寧省腫瘤醫(yī)院醫(yī)療聯(lián)盟基本框架與發(fā)展思考[J].中國腫瘤,2013,(8):627-630.

[3] 曾耀瑩.構(gòu)建區(qū)域健康服務(wù)聯(lián)合體[J].中國醫(yī)院院長,2013,(10): 61-61.

[4] 吳剛.多種平臺的VPN 應(yīng)用比較[J].計算機(jī)系統(tǒng)應(yīng)用,2011, 20(8):245-249.

[5] 丁峰.論IPSec VPN和SSL VPN的優(yōu)劣及適應(yīng)性[J].電腦知識與技術(shù),2012,8(21):5088-5091.

[6] 張學(xué)杰,李大興.SSL技術(shù)在構(gòu)建VPN中的應(yīng)用[J].計算機(jī)應(yīng)用,2006,26(8):1828-1829．

[7] Romana D A L,Musashi Y,Matsuba R,et al.Detection of bot worm-infected PC terminals[J].Information,2007,10(5):673-686.

[8] 何劍虎,周慶利.互聯(lián)網(wǎng)環(huán)境下的醫(yī)療數(shù)據(jù)安全交換技術(shù)研究[J].中國醫(yī)療設(shè)備,2013,28(4):44-47.

[9] 林達(dá)峻,任忠敏,干峰,等.隔離網(wǎng)閘在醫(yī)療行業(yè)中的應(yīng)用[J].醫(yī)學(xué)信息,2010,23(9):3284-3286.

A Network Security Solution of Collaborative Information Sharing Mode between Hospitals and Communities

LI Xiang, LI Jing, ZHANG Hong, ZHANG Jin-hui
Computer Center, Guang’anmeng Hospital, China Academy of Chinese Medical Sciences, Beijing 100053, China

In order to reduce risks in the collaborative information sharing mode between hospitals and communities, this paper proposes an solution from the aspect of network. Three key techniques, namely, network interconnection isolation, data link encryption and data isolation, are applied in constructing the interconnection network’s typology structure, in order to ensure the network safety of collaborative information sharing mode between hospitals and communities.

hospital information system; regional medical treatment; collaborative information sharing; network security; data security

TP393.08

A

10.3969/j.issn.1674-1633.2014.10.011

1674-1633(2014)10-0038-03

2014-04-22

作者郵箱：945112@163.com