蔣晉鵬，唐鴻建，曹美琴，儲(chǔ)　穎，孫啟亮，王祥號

?

·論著·

醫(yī)院醫(yī)保網(wǎng)絡(luò)平臺架構(gòu)探討與分析

蔣晉鵬，唐鴻建，曹美琴，儲(chǔ)穎，孫啟亮，王祥號

[摘要]目的利用醫(yī)院現(xiàn)有網(wǎng)絡(luò)設(shè)備，在不改變現(xiàn)有網(wǎng)絡(luò)架構(gòu)的前提下實(shí)現(xiàn)醫(yī)院同醫(yī)保中心、省農(nóng)合數(shù)據(jù)中心、地方合管辦、外省農(nóng)合數(shù)據(jù)中心以及合管辦相連，來滿足更多患者跨市乃至跨省就診的需求。方法某院采用訪問控制列表(access control lists,ACL)和端口映射(network address port translation，NAPT)技術(shù)，在防火墻上將醫(yī)院部分需要訪問新農(nóng)合數(shù)據(jù)中心、醫(yī)保中心的設(shè)備IP地址以及對應(yīng)的出端口進(jìn)行映射，轉(zhuǎn)換為可以訪問新農(nóng)合數(shù)據(jù)中心、醫(yī)保中心的合法IP地址，在網(wǎng)閘(GAP)上采用訪問控制與身份認(rèn)證技術(shù)。結(jié)果實(shí)現(xiàn)醫(yī)院同新農(nóng)合數(shù)據(jù)中心、醫(yī)保中心相連。結(jié)論網(wǎng)絡(luò)技術(shù)與硬件設(shè)備相結(jié)合，保證網(wǎng)絡(luò)的暢通，增強(qiáng)醫(yī)院內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)的安全性，同時(shí)還節(jié)約了公網(wǎng)IP地址。

[關(guān)鍵詞]信息化；訪問控制列表；端口映射；網(wǎng)閘

作者單位：210002江蘇南京，解放軍81醫(yī)院信息科

引用格式：蔣晉鵬，唐鴻建，曹美琴，等.醫(yī)院醫(yī)保網(wǎng)絡(luò)平臺架構(gòu)探討與分析[J].東南國防醫(yī)藥，2016,18(1):65-67.

隨著當(dāng)前醫(yī)療衛(wèi)生體制的深化改革，建立健全覆蓋城鄉(xiāng)居民的基本醫(yī)療衛(wèi)生制度成為醫(yī)療體制改革的總體目標(biāo)。新型農(nóng)村合作醫(yī)療制度(以下簡稱新農(nóng)合)，已經(jīng)成為我國基本醫(yī)療保障體系的重要組成部分，該制度減輕了農(nóng)民因患重大疾病而帶來的經(jīng)濟(jì)負(fù)擔(dān)，減少了農(nóng)村居民因病致貧和因病返貧現(xiàn)象[1]。我院是省市醫(yī)保定點(diǎn)醫(yī)療機(jī)構(gòu)，也是江蘇省、安徽省新農(nóng)合即時(shí)結(jié)算補(bǔ)償報(bào)銷定點(diǎn)醫(yī)療機(jī)構(gòu)，已與兩省多個(gè)市、區(qū)、縣簽訂了即時(shí)結(jié)算補(bǔ)償報(bào)銷協(xié)議以及大病種協(xié)議，并在不斷總結(jié)經(jīng)驗(yàn)的基礎(chǔ)上，逐漸擴(kuò)展即時(shí)結(jié)報(bào)范圍。在運(yùn)行過程中，如何確保信息安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全，如何穩(wěn)定可靠地實(shí)現(xiàn)醫(yī)院HIS系統(tǒng)與醫(yī)保平臺的數(shù)據(jù)交換，是亟待解決的首要問題。經(jīng)過多年的探索和實(shí)踐，我院省市醫(yī)保、新農(nóng)合工作已逐步完善，安全機(jī)制漸行提高，為前來就醫(yī)的廣大患者提供優(yōu)質(zhì)的醫(yī)療服務(wù)和信息安全保障。

1網(wǎng)絡(luò)概況

我院目前網(wǎng)絡(luò)架構(gòu)主要是由信息終端、接入層、核心層以及數(shù)據(jù)中心四個(gè)主要部分組成。接入層是百兆、千兆自適應(yīng)交換機(jī)，與核心層之間采用的是雙上行鏈路光纖接入，千兆帶寬，提高數(shù)據(jù)傳輸效率，實(shí)現(xiàn)鏈路冗余與備份。核心層是由兩臺高端交換機(jī)組成，提供應(yīng)用和服務(wù)連續(xù)性統(tǒng)一在一起的融合網(wǎng)絡(luò)環(huán)境，減少關(guān)鍵業(yè)務(wù)數(shù)據(jù)和服務(wù)的中斷；集成高性能的網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理，提供接入保護(hù)和入侵檢測保護(hù)；通過萬兆光纖連接采用VSS架構(gòu)，實(shí)現(xiàn)兩臺主交換機(jī)之間的數(shù)據(jù)負(fù)載均衡，同時(shí)還實(shí)現(xiàn)了網(wǎng)絡(luò)中心的設(shè)備融災(zāi)備份、帶寬倍增。核心層與數(shù)據(jù)中心之間是通過核心交換機(jī)連接且也是雙上行鏈路光纖接入，萬兆帶寬，采用鏈路聚合技術(shù)提高數(shù)據(jù)傳輸效率。網(wǎng)關(guān)與網(wǎng)閘的接入加強(qiáng)內(nèi)網(wǎng)的安全接入與認(rèn)證功能[2]。我院外來網(wǎng)絡(luò)接入，如省醫(yī)保、市醫(yī)保、江蘇農(nóng)合、安徽農(nóng)合、銀醫(yī)一卡通等，均是采用專線接入。當(dāng)對方服務(wù)器上程序需要訪問我院HIS系統(tǒng)或者有外來數(shù)據(jù)進(jìn)去我院內(nèi)網(wǎng)時(shí)，需要經(jīng)過防火墻上訪問控制列表(access control lists,ACL)控制列表的篩選、網(wǎng)關(guān)與網(wǎng)閘的安全認(rèn)證，通過才可以訪問，否則拒絕。醫(yī)院內(nèi)網(wǎng)、因特網(wǎng)之間是完全物理隔離的，提高醫(yī)院內(nèi)網(wǎng)數(shù)據(jù)信息的安全級別。具體網(wǎng)絡(luò)架構(gòu)見圖1。

圖1　網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

2端口映射

2.1NAT地址轉(zhuǎn)換隨著網(wǎng)絡(luò)技術(shù)的發(fā)展以及電腦的普及，現(xiàn)有公網(wǎng)的IP地址無法滿足全球現(xiàn)有用戶的使用，為了解決ipv4地址短缺的問題，internet工程工作小組IETF提出了網(wǎng)絡(luò)地址轉(zhuǎn)換(network address translation，NAT)解決方案。IP地址分為公有地址和私有地址。公有地址統(tǒng)一分配，用于internet通訊；私有地址可以自由分配。私有地址包括A類：10.0.0.0-10.255.255.255；B類：172.16.0.0-172.31.255.255；C類：192.168.0.0-192.168.255.255[3]。NAT技術(shù)的主要作用是將私有地址轉(zhuǎn)換成公有地址，使私有網(wǎng)絡(luò)中的主機(jī)可以通過共享少量公有IP地址訪問internet。

2.2NAT轉(zhuǎn)換方式地址轉(zhuǎn)換目前存在兩種方式。第一種是基本NAT或者靜態(tài)NAT，技術(shù)上簡單，僅支持地址一對一的轉(zhuǎn)換，不支持端口映射，這就需要對當(dāng)前應(yīng)用的每一個(gè)私有IP地址都對應(yīng)一個(gè)公網(wǎng)IP地址。第二種是常用的簡記為NAT的網(wǎng)絡(luò)地址轉(zhuǎn)換，也稱NAPT(network address port translation)端口映射[4]，這種方式支持并允許多個(gè)私有IP地址共享一個(gè)公網(wǎng)IP地址，把內(nèi)網(wǎng)中所有可以訪問外部網(wǎng)絡(luò)的私有IP地址偽裝成一個(gè)公網(wǎng)IP地址去訪問外部網(wǎng)絡(luò)，且外部無法發(fā)現(xiàn)內(nèi)部私有IP地址以及內(nèi)網(wǎng)架構(gòu)，在一定程度上提高內(nèi)網(wǎng)的安全級別。

2.3NAPT端口映射NAPT即網(wǎng)絡(luò)端口與地址同時(shí)轉(zhuǎn)換，是常用的一種轉(zhuǎn)換方式，將多個(gè)內(nèi)部地址映射為一個(gè)合法公網(wǎng)地址，但以不同的協(xié)議端口號與不同的內(nèi)部地址相對應(yīng)，也就是內(nèi)部地址、內(nèi)部端口同外部地址、外部端口之間的轉(zhuǎn)換。當(dāng)位于內(nèi)部網(wǎng)絡(luò)中的主機(jī)通過路由器或者交換機(jī)向外部服務(wù)器發(fā)起會(huì)話請求時(shí)，路由器或者交換機(jī)就會(huì)查詢NAT表，看是否有相關(guān)會(huì)話記錄，如果有相關(guān)記錄，就會(huì)將內(nèi)部IP地址及端口同時(shí)進(jìn)行轉(zhuǎn)換，再轉(zhuǎn)發(fā)出去；如果沒有相關(guān)記錄，進(jìn)行IP地址和端口轉(zhuǎn)換的同時(shí)，還會(huì)在NAT表中增加一條該會(huì)話的記錄。外部主機(jī)接收到數(shù)據(jù)包后，用接受到的合法公網(wǎng)地址及端口作為目的IP地址及目的端口來響應(yīng)，NAT設(shè)備接收到外部回來的數(shù)據(jù)包，再根據(jù)NAT表中的記錄把目的地址及端口轉(zhuǎn)換成對應(yīng)的內(nèi)部IP地址及端口，轉(zhuǎn)發(fā)給該內(nèi)部主機(jī)[5]。NAPT常用于接入設(shè)備中，它可以將中小型的網(wǎng)絡(luò)架構(gòu)隱藏在一個(gè)合法的IP地址后面。NAPT也被稱為“多對一”或“多對多”的NAT，或者叫PAT(port address translations，端口地址轉(zhuǎn)換或者端口映射)。

3網(wǎng)絡(luò)配置

3.1內(nèi)網(wǎng)IP劃分概況我院約有1000個(gè)信息點(diǎn)位，通過VLAN劃分，分為不同的網(wǎng)段：192.168.100.0-192.168.114.0，彼此之間可以互相訪問。假設(shè)省醫(yī)保的服務(wù)器地址：20.1.1.2，市醫(yī)保服務(wù)器地址：30.1.1.2，江蘇新農(nóng)合服務(wù)器地址：40.1.1.2，安徽農(nóng)合服務(wù)器地址：50.1.1.2，銀醫(yī)一卡通服務(wù)器地址：60.1.1.2。當(dāng)省醫(yī)保、市醫(yī)保、安徽農(nóng)合、江蘇農(nóng)合等多條專線接入時(shí)，考慮到醫(yī)院網(wǎng)絡(luò)安全問題，我院內(nèi)部只允許網(wǎng)段為192.168.100.0段地址可以訪問這些不同專線上的不同網(wǎng)段的服務(wù)器且對方不可以訪問我院內(nèi)部服務(wù)器。為了解決這個(gè)問題，我院防火墻上采用了ACL策略與端口映射技術(shù)NAPT。

3.2配置ACL與NAPT

3.2.1配置ACLACL是應(yīng)用在路由器或者交換機(jī)接口的指令列表[6]。這些指令列表用來告訴路由器或者交換機(jī)哪些數(shù)據(jù)包可以收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕，可以由通過特定的源地址、目的地址、端口號或者是某一段的源地址、目的地址等特定指示條件來決定，在出端口或入端口引用該策略，當(dāng)所有數(shù)據(jù)包到達(dá)端口時(shí)會(huì)與該端口引用的ACL策略進(jìn)行匹配，自動(dòng)篩選允許通過或者丟棄的數(shù)據(jù)包。訪問控制列表不但可以起到控制網(wǎng)絡(luò)流量、流向的作用，而且在很大程度上起到保護(hù)網(wǎng)絡(luò)設(shè)備、服務(wù)器安全的關(guān)鍵作用。

配置如下：

F_W (config)# access-list 1 deny 0.0.0.0255.255.255.255；//建立訪問控制列表，拒絕所有外來地址的訪問；

F_W (config)# interface range GigabitEthernet 0/0 - 0/7；//進(jìn)入防火墻的入端口0/0到0/7；

F_W (config-if)# ip access-group 1 in；//用于對入防火墻數(shù)據(jù)包的控制，在防火墻的入端口0/0到0/7激活控制列表。

3.2.2配置市醫(yī)保 省醫(yī)保、市醫(yī)保、江蘇農(nóng)合、安徽農(nóng)合、銀醫(yī)一卡通，均是專線接入。當(dāng)我院分別訪問這些不同的服務(wù)器時(shí)，均需要地址轉(zhuǎn)換方可實(shí)現(xiàn)。彼此配置方法類似，此處以市醫(yī)保地址轉(zhuǎn)換為例，配置如下：

F_W(config)#interface GigabitEthernet0/1；//進(jìn)入配置端口

F_W (config-if)#nameif outside_shiyibao；//端口命名

F_W (config-if)# ip address30.1.1.3255.255.255.128；//配置出口物理端口地址

F_W (config-if)#object network shiyibao；//進(jìn)入該端口的端口映射配置模式

F_W (config-if)#subnet 192.168.100.0255.255.255.0；//標(biāo)示內(nèi)網(wǎng)源地址段地址

F_W (config-if)# nat (inside,outside_ shiyibao) static 30.1.1.2；//映射為出口訪問地址

F_W(config)ip route outside_shiyibao 30.1.1.0255.255.0.0；//出口訪問靜態(tài)路由，去往市醫(yī)保的全部經(jīng)由映射地址出口

4運(yùn)行狀況

配置完成后，試運(yùn)行效果良好，未出現(xiàn)網(wǎng)絡(luò)延遲、數(shù)據(jù)丟失現(xiàn)象。即使當(dāng)有大量數(shù)據(jù)需要上傳至醫(yī)保中心、江蘇省平臺或安徽省平臺時(shí)也未出現(xiàn)數(shù)據(jù)丟失現(xiàn)象，未出現(xiàn)外來不明地址訪問我院服務(wù)器現(xiàn)象。

NAPT技術(shù)的采用，既可以解決IP地址不足的問題，又可以優(yōu)化網(wǎng)絡(luò)設(shè)計(jì)隱藏我院內(nèi)部網(wǎng)絡(luò)架構(gòu)，同時(shí)又通過ACL訪問控制列表對一些不明地址的訪問進(jìn)行控制來進(jìn)一步提高網(wǎng)絡(luò)的安全性，使網(wǎng)絡(luò)的配置既靈活又能節(jié)約經(jīng)濟(jì)成本；再加上網(wǎng)閘、網(wǎng)關(guān)、防火墻的使用，對可以訪問我院服務(wù)器的對端服務(wù)器上的程序以及IP地址進(jìn)一步篩選，阻止非法程序訪問。

5結(jié)論

NAPT使得一系列網(wǎng)絡(luò)設(shè)備可以通過不同的端口號來共享唯一的外部地址，使得所有不同的數(shù)據(jù)轉(zhuǎn)發(fā)過程中源地址為同一個(gè)IP地址。NAPT的主要優(yōu)勢在于，能夠使用一個(gè)有效的IP地址獲得通用性，而且有效的隱藏了內(nèi)部網(wǎng)絡(luò)設(shè)備IP地址和整個(gè)網(wǎng)絡(luò)的拓?fù)浼軜?gòu)，保證內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)與數(shù)據(jù)的安全性，節(jié)約公網(wǎng)IP地址。

6體會(huì)

通過對醫(yī)院醫(yī)保網(wǎng)絡(luò)平臺搭建與調(diào)試，深刻體會(huì)到醫(yī)院信息化的建設(shè)與完善、信息安全等級保護(hù)加強(qiáng)是越發(fā)的重要。醫(yī)院信息系統(tǒng)安全直接影響到醫(yī)院醫(yī)療工作的是否能夠正常運(yùn)行，網(wǎng)絡(luò)癱瘓或者數(shù)據(jù)丟失，都將會(huì)給醫(yī)院和病人帶來巨大的災(zāi)難和難以彌補(bǔ)的損失以及名譽(yù)上的損失[7]。我院隨著云計(jì)算技術(shù)、云安全技術(shù)以及高端網(wǎng)絡(luò)設(shè)備的引入，顯著提高我院醫(yī)療機(jī)構(gòu)信息化建設(shè)和管理維護(hù)水平，為我院醫(yī)療工作提供重要保證；此外，在安全方面為我院數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全、應(yīng)用安全、防止惡意攻擊等提供強(qiáng)有力的保障[8-9]。

【參考文獻(xiàn)】

[1]王秋月.新農(nóng)合即報(bào)系統(tǒng)的研制與開發(fā)[J].中國數(shù)字醫(yī)學(xué)，2014，9(1)：109-111.

[2]王大勇,李杰.軍隊(duì)網(wǎng)絡(luò)醫(yī)療建設(shè)的現(xiàn)狀和體會(huì)[J].東南國防醫(yī)藥，2012，14(4)：385-386.

[3]劉立輝,錢海江.醫(yī)院連接新農(nóng)合網(wǎng)絡(luò)專線的配置分析[J].醫(yī)療衛(wèi)生裝備，2011，32(11)：60-62.

[4]唐云,羅俊松.IP地址管理及子網(wǎng)劃分[J].制造業(yè)自動(dòng)化，2011，33(2)：37-38.

[5]孫中廷.NAT技術(shù)解決IP地址短缺問題的實(shí)現(xiàn)[J].辦公自動(dòng)化雜志，2013(14)：42-44.

[6]張波，萬麗.基于端口映射NAT網(wǎng)絡(luò)方案分析與實(shí)施[J].軟件工程師，2015，18(3)：12-13.

[7]張穩(wěn)，袁波.加強(qiáng)軍隊(duì)醫(yī)院信息安全管理實(shí)踐與體會(huì)[J].東南國防醫(yī)藥，2013，15(2)：200-201.

[8]高芳.醫(yī)院網(wǎng)絡(luò)安全與管理[J].信息安全與技術(shù)，2012，3(3)：29-30.

[9]陳偉,王強(qiáng),袁天祥.醫(yī)療云計(jì)算技術(shù)與信息安全等級保護(hù)[J].中國數(shù)字醫(yī)學(xué)，2014，9(8)：26-28.

(本文編輯：徐燕茹；英文編輯：王建東)

The discussion and analysis on the network platform architecture of the hospital medical insurance

JIANGJin-peng,TANGHong-jian,CAOMei-qin

,CHUYing,SUNQi-liang,WANGXiang-hao.ITDepartment,81HospitalofPLA,Nanjing,Jiangsu210002,China

[Abstract]ObjectiveTo utilize the network equipment in the hospital without changing existing network architecture. To realize the association between hospital and the medical insurance center, data center of provincial rural cooperation medical care, rural cooperation medical management office, the data center of other provincial rural cooperation medical care, cooperation medical management office, satisfying more patients in new rural cooperative medical care to treatment cross the city even the province. MethodsOur hospital adopted the ACL(access control lists) and NAPT(network address port translation) technology to translate the IP address of equipment and the corresponding port on the firewall which hospital needs to access the data center of NCMS, and translated to the legal IP address which can access to the data center of NCMS and medical insurance center, employed the control and identity authentication technology on the network gateway (GAP). ResultsThe connection with the data center was realized. ConclusionCombining the network technology with hardware devices ensures smooth network, enhances the safety of the hospital network data and saves the IP address of public network.

[Key words]informatization; ACL(access control lists); NAPT(network address port translation); GAP

(收稿日期：2015-08-21；修回日期：2015-12-15)

通訊作者：唐鴻建，E-mail:njthj_81@sina.com

[中圖分類號]R197.324

[文獻(xiàn)標(biāo)志碼]A

doi：10.3969/j.issn.1672-271X.2016.01.020