安全網關技術在醫院內網安全中的研究與應用

宮彥婷 常建國 王 彪 張 麗

1 醫院信息化建設

隨著IT信息科技的進步及網絡使用的普及，現代醫療環境也隨之快速的變化，信息系統在各行各業得到很好運用的同時，在醫療機構也得到了長足的發展。醫院信息系統(hospital information system, HIS)已經成為保障醫院正常運營的關鍵因素，其安全性將直接影響到醫院的醫療活動能否正常運作。因此，做好HIS的安全保障，顯得越來越重要[1]。

1.1 醫院局域網性質的特殊性

醫院局域網上每時每刻都在傳輸、處理和存儲著大量的信息數據，并且每天24 h不間斷地運行。可靠性和準確性直接影響著醫院的正常工作，任何安全管理上的漏洞和缺陷都會造成不同程度的損失[2]。目前，出于HIS的安全和保密要求，特別是部隊醫院的HIS幾乎全部運行于醫院內部局域網絡之中，沒有與國際互聯網和其他公共信息網絡相連接[3]。但是，隨著地方衛生部門要求的社保系統、區域醫療服務、軍隊衛生部門倡導的網絡醫療信息服務、衛生部發布的關于在公立醫院施行預約診療服務的意見[4]、要求三級醫院開展網絡預約掛號等，這些行為都已經成為醫療服務的基本要求，都必須要有安全、可靠、順暢的網絡支撐做為基礎。

1.2 HIS網現狀

目前，我院的內部HIS網是借助于北京市醫保租用網通的專線光纖接入到社保信息中心，內網中醫保涉及的門診掛號、收費、住院登記、住院收費及相關診療目錄、藥品目錄維護系統均有標準的數據交換接口，通過前置機模式將數據發送到社保網，進行數據交互。這種方式存在著無可預知、不可控的網絡安全問題。

2 安全隔離與信息交換系統的技術

2.1 安全隔離網閘的技術特點

安全隔離與信息交換系統是運用了最先進的物理隔離網絡安全技術設計的安全網閘，保證內部網絡與不可信網絡物理隔斷，阻斷了具有潛在攻擊可能的一切連接，使黑客及木馬病毒無法入侵、無法攻擊、無法破壞，實現了真正的安全[5]。提供比防火墻、入侵檢測等技術更好的安全性能，既保證了物理的隔離，又實現了在線式實時訪問不可信網絡所必需的數據交換，通過強大的協議檢查、內容審查、用戶審計等手段來確保內外網資源、信息和數據的安全交換。

安全隔離與信息交換系統的硬件結構和工作原理具備可靠的網絡斷開功能，在保證物理斷開的基礎上支持文件的交換服務。能夠滿足軍隊醫院HIS網與社保網和其它外網的物理斷開。

(1)設計專用隔離電子開關系統,實現用戶關鍵網絡及服務系統與外界的物理隔斷，實現鏈路層與網絡層的徹底斷開(如圖1所示)。在沒有數據交換時，所有開關均斷開，保證內、外物理斷開，有數據交換時，先接通一側的開關，等數據完全進入系統內部隔離卡中后，再斷開這側開關，接通另一側的開關，始終保持內外網之間處于斷開狀態[6-7]。

(2)在核心的電子開關隔離芯片上,采用功能強大的硬件基片，使得電子開關具有高速的數據傳輸能力和并發處理能力。

(3)阻斷兩個網絡的通信連接，即剝離TCP/IP的協議，將原始數據通過點對點的方式，使用非TCP/ IP連接協議透過隔離與信息交換設備進行交換和傳遞。

(4)廣泛支持各類通用應用協議，包括支持視頻會議、流媒體以及VPN等特殊應用代理以及用戶定制協議，無需再進行二次開發或單獨購買模塊。

(5)采用負載均衡技術以及服務質量控制技術,消除單點故障和實現網絡服務的高可靠性及可用性保證。

2.2 安全網關的技術特點

安全網關是基于安全網絡訪問(secure network access, SNA)設計的安全協議傳輸解決方案，具有高性能、安全性、擴展性、兼容性和穩定性的特點。隔離產品會部署在多種多樣的復雜網絡環境中，往往是數據交換的關鍵點，能夠透明接入網絡，并且透明支持多種應用[8-9]。

(1)具有先進的PACA應用進程綁定驗證功能。該技術將驗證在內核態驗證訪問隔離網閘的通訊應用進程的合法性，從而有效阻止惡意程序透過客戶端向內部網的入侵和傳播。

(2)透明的應用支持。支持私有域名、IP地址訪問，具備良好的易用性。安全網關具備強大的協議轉換功能，可將通用協議轉換成網閘消息模塊通訊協議。

(3)具備SSL/IPSEC混合加密能力。安全網關系列是基于當前SSL協議網關技術,融合多方安全需求和獨創控制技術。主要功能特性包含：既支持私網用戶訪問企業內部的各種服務，又支持公眾用戶透明地安全訪問。

圖1 安全監測與控制處理圖

(4)具備無縫集成能力。安全網關能與防火墻、防病毒網關、隔離網閘系統集成，構成完整的安全防御體系。

(5)基于組策略的用戶管理特性。采用基于用戶、組、角色的訪問控制策略，實現了集中管理。

3 安全隔離與信息交換系統的實踐

安全隔離與信息交換系統需要醫院有完備的網絡環境，且存在于兩個封閉、沒有物理連接的網絡之間，它包括隔離網閘、安全網關的相關硬件配套設施安裝和客戶端的安全防御套件，網關與網閘的聯合，共同實現了醫院內網與地方醫保網間的物理隔離斷開與數據的擺渡交換(如圖2所示)。

3.1 系統硬件環境的實施

整個內網安全系統主要由一臺安全隔離網閘和一臺安全網關構建，放置于有醫保接口相對集中的門診樓機房中，設備間設計嚴格按照機房建設標準，如：場地、樓層負重、溫度、濕度、電力、照明、消防等符合國家機房設計標準規范要求[10]。

由于之前地方醫保網通過城域網專線經路由器連到醫保服務器，再到核心交換機，延伸到醫院各個終端工作站。現在，需將安全網關外端接口(按本院早期分配給醫保前置機的規范IP延續)與醫保前置機連接，內端接口與隔離網閘的外端接口連接，隔離網閘(192.168.*.*)的內端接口連接在內網核心交換機上。

選擇兩臺安裝有WindowsXP以上操作系統的客戶機，使其與內網處于同一個網段，一臺安裝安全隔離信息系統管理客戶端軟件，配置初始化參數表；另一臺用IE瀏覽器進行協議網關的初始化配置。

3.2 系統軟件系統的實施

3.2.1 安全網閘的配置

①隔離設備配置，主要設置內、外端的IP地址、子網掩碼和網關地址；②協議屬性配置，安全網閘只允許通過SSL協議通訊，其他任何協議均拒絕；③隔離設備內部映射配置，是將外網站點地址映射到內網IP地址，一個地址是方便在內網進行安全網關的管理，另一個地址是醫保客戶端要連接的安全網關映射地址；④隔離設備外部映射配置，是可信端的逆向行為，可以不做配置。

3.2.2 安全網關的參數配置

(1)協議網關網卡配置：配置IP、掩碼和網關。

(2)用戶管理：為醫保客戶端建立專用賬戶，可以多臺共用賬戶，也可一對一的專戶專用，支持每臺PC的IP與主機MAC地址綁定，從VLAN劃分、部門功能和硬件維修的角度考慮，采用了位置集中且使用相同程序的客戶端建立同一個用戶；用戶的隧道會話持續時間代表了用戶在接入虛擬隧道后，無數據傳輸狀態下的最大時限，可設為72000，客戶空閑的最大時間代表了無鍵盤和鼠標操作狀態下的最大時限，可設為24000，警告時間設為3000，為上述時間達到警告時限，系統自動提示。

圖2 醫院內網與醫保網間拓樸圖

(3)服務管理：為提供資源的兩臺醫保服務器創建服務，包括主機名和端口列表。主機名用于虛擬安全通道范疇內的私有域名解析，即用戶可以以主機名的形式訪問服務，端口列表列出了該服務可以被訪問的端口，如80，139，445等端口。

(4)Web安全管理：配置對外IP地址、地址掩碼、對外HTTP端口、對外HTTPS端口、真實服務IP地址、真實服務端口、控制URL等安全信息。

3.2.3 安全網關客戶端軟件DoublesService虛擬隧道的安裝

在所有需要與醫保前置服務器進行數據交換的客戶端中安裝DoublesService，按照初始化配置的虛擬隧道網關主機名：端口、用戶名、密碼進行登陸。客戶機PC要求內存2 GHz，硬盤160 G以上的配置。每次開機重啟后，虛擬服務自動登錄、自動重連，經過認證后連接到系統設定的服務資源，此時才可以與外網進行安全通訊。

4 實施過程中需注意的問題

4.1 防病毒軟件的選擇

我院早期一直運行的是網絡版瑞星防病毒軟件，由于瑞星在網絡防病毒體系管理和查殺率等方面還有欠缺，后經過測試啟用了ESET NOD32防病毒軟件，但ESET NOD32與客戶端的虛擬隧道存在系統沖突，體現在無法訪問同一網段的共享資源或者無故黑屏。

4.2 客戶端登錄用戶名的建立

每個客戶端設定各自的用戶名還是共用用戶名，設定客戶端各自的用戶名，可以綁定IP地址和MAC地址，做到專人、專機和專用途，有利于網絡管理。但是門診業務單位的微機，外接設備多，如讀寫卡器(多臺)、掃描槍、針式打印機、熱敏打印機等，安裝軟件子系統繁多，一旦出現故障，需快速更換備用機，軟件限制多，制約了窗口單位的效率問題，因此我院采取了共用登錄名的方法。

4.3 院內網絡速度對虛擬隧道的影響

虛擬隧道是在網絡連接通暢、遠程用戶認證通過后，才能正確的訪問內部資源。如果網絡不通暢，虛擬隧道會處于非活動狀態，以至于不能連接到指定目的主機，可以通過提高物理網絡帶寬改善客戶端應用的響應速度。

4.4 對明確通訊端口的要求

在安裝了安全隔離設備網閘和網關后，有些需要連接醫保服務器的外掛軟件，在程序的初始化文件中，服務器的地址配置需要明確使用開放的端口號，否則會提示錯誤，如：SQL Server不存在或拒絕訪問。

4.5 不便之處

在遠程桌面控制方面，內網內部未安裝安全客戶端的微機不能對連接外網的微機進行遠程桌面的控制。

5 結語

采用隔離網閘、安全網關和客戶端軟件三者結合的架構進行醫院內網安全的研究與布署，既做好醫院與醫保網信息的暢通交換，又有效地保護了醫院內部信息的不泄露，對于醫院的網絡安全建設具有很好的參考價值。該項研究與應用在我院經過試運行后已在本系統內十多家醫院進行推廣，收到了HIS管理和應用的良好效果。

[1]楊俊志.醫院信息系統安全體系建設實踐[J].醫學信息,2011(7):2868-2869.

[2]沙琨,李載程,王曄,等.軍隊醫院信息網絡安全現狀分析[J].解放軍醫院管理雜志,2011,3(18):243-244.

[3]楊宏橋,吳飛,劉玉樹,等.網絡隔離與安全交換技術在H I S中的應用研究[J].醫療衛生裝備,2008,29,(2):45-47.

[4]梁艷芳.醫院預約診療服務中心建設探討[J].中國醫院,2010,6(14):60-62.

[5]胡建理,李小華,周斌,等.一種基于安全隔離網閘技術的醫院內部網安全解決方案[J].醫療衛生裝備,2010,31(7):44-45.

[6]何鵬舉,王萬誠,李高盈,等.網絡隔離器的設計與實現[J].控制工程，2002,9(6):52-53.

[7]黃影,吳飛.基于HIS的安全數據交換系統的研究與實現[J].中國醫療設備,2011,26(9):45-46.

[8]萬平國.網絡隔離與網閘[M].北京:機械工業出版社,2004:56-61.

[9]阮燦華,陳鑫.基于物理隔離的網絡安全研究[J].福建電腦,2009(2):36-37.

[10]宮彥婷,劉文,醫院網絡綜合布線系統與技術應用[J].中國醫療設備,2009,24(5):35-37.