醫院內外網系統安全交互方式探討

孔明軍+王瑜+張海霞

摘 要：隨著醫院信息化系統的不斷完善，醫院內外網系統進行必要的的數據交互已經成為必然，本文通過總結幾種醫院內外網交互的方式方法，探討它們的優缺點，從而為醫院實施網絡安全交互系統提供有益的參考。

關鍵詞：內外網交互；網絡安全

1 醫院內外網應用現狀

隨著醫院信息化系統的不斷完善，多數二級以上尤其是三甲醫院已建成覆蓋全院各個部門的多應用系統，這些應用系統廣義上可以分為對內對外兩大類業務系統，其中對內的系統主要是以HIS、LIS、PACS、電子病歷等為主的醫院內網應用，這些系統基本上都被嚴格隔離在醫院內網上使用；另外以辦公自動化OA系統為代表的對內系統主要完成醫院的行政辦公、公文辦理、業務審批、流程協作、郵件收發等業務流程，這些系統一般不放在隔離程度較高的純內網環境，為保證數據交流方便，要通過公網映射等方式與外網連接，以實現醫院工作人員在家中或出差途中通過互聯網或系統專屬網絡處理業務；醫院的對外應用以醫院門戶網站為代表，主要完成醫院的形象宣傳、業務公告、學術論壇、網上預約掛號等業務，而且這些對外業務也在不斷擴展中，比方有的醫院通過網站為病員提供信息查詢、體檢報告推送等服務。

2 內外網交互方式及隱患分析

醫院為保證應用運行的絕對安全，絕大多數是采用內外網物理隔離的方式，這種方式理論上確實把醫院的核心應用最大限度的隔離開來，具有較高的安全性，但同時為數據交互加上了一層很難逾越的屏障，而今的醫院已經無法單靠內部應用就可完成各個層面的需求，內外網進行必要的數據交互已經無法避免。近幾年來，信息安全威脅開始逐步呈現出網絡化和復雜化的態勢，無論是從數量還是從形式方面，從前的安全威脅和惡意行為與現今相比早早已是相形見絀。在廣袤的Internet平臺上，每時每刻都有新病毒被釋放到網上，各種主流軟件平臺的安全漏洞更是數以千計，這些系統漏洞遭到病毒的攻擊并有可能繁殖出新的蠕蟲病毒，繼而在互聯網上肆意泛濫，包括醫院在內各個行業的業務網絡所面臨的安全威脅超乎想象。在這個形式下，如何安全的進行內外網數據互通是必須謹慎考慮的難題，因為內外網的互通具有極大的安全隱患，對醫院業務的影響將是災難性的，下文將逐一探討內外網交互的方式方法及其優缺點：

1.內外網互通最簡單最原始的的交流方式無疑是通過外存儲設備（U盤、移動硬盤等）拷貝互傳，存儲器中存在的病毒、蠕蟲、木馬等惡意代碼就會通過網絡在內網上大面積迅速擴散，最終導致系統癱瘓或數據丟失。可以說任何一家醫院的外網機器上幾乎都存在不止一種病毒或木馬。直接進行內外網復制傳遞是極具危險性的。

2.通過部署防火墻、統一威脅管理（Unified Threat Management，簡稱UTM）等網關類安全設備進行內外網互通。所謂防火墻指的是一個由軟件和硬件設備組合而成、在內網外網之間構造的保護屏障.。它是一種計算機硬件和軟件的結合，通過在內外網之間建立起一個安全網關，保護內部網免受非法用戶的侵入，防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關等幾個部分組成，從本質上是位于計算機和它所連接的網絡之間的軟件或硬件組成的隔離系統，，它在兩個網絡通訊時執行一種訪問控制策略，網絡上流出的所有網絡通信和數據包均要經過此道屏障，它能允許經過規則授權的人和數據進入指定網絡，同時將未經授權的數據或行為拒之門外，現在防火墻技術已經過多代技術的不斷完善，具有較高的實施價值，但它也具有一些明顯的局限性：一方面它是一種被動的安全策略執行者，它只能防范已知的安全漏洞、對于未設置策略的攻擊漏洞則形同虛設，另一方面防火墻的策略實施在遇到較大的并發連接時容易導致阻塞或者溢出，這種阻塞將直接導致業務遲滯甚至癱瘓。醫院的業務數據除包含病人的隱私和就診信息外，還有各類與醫院有業務往來商家的經營信息，這些數據對很多層面的人或商業公司具有很大的應用價值，因此醫院的內網數據已經成為很多黑客入侵和非法攫取的目標，同時各類黑客軟件的泛濫也使得穿透防火墻進行非法活動的成本越來越低，網絡攻擊工具使用不斷簡便，這種針對特定漏洞的攻擊的行為幾乎每時每刻都會發生，針對這種漏洞的攻擊始終處于被動狀態，往往在遭受的攻擊和損失后才以補漏式方法解決，因此單純的進行防火墻部署的安全性是沒有真正安全保障的。

3.通過在內外網之間加前置機進行數據交換的方式。一般方法是采用一臺具備雙網卡的服務器或臺式機，分別與內外網連接，需要交換的數據以文件或數據庫的形式由供方取出先在前置機暫存，然后再有收方取回，這種方式雖簡單易行，其缺點也是非常明顯的，它在內外網之間建立了一個交換中轉站，可以實現較大量的數據交換，但同時也把內網赤裸裸的暴露在外網環境中，其安全性僅限定在網絡密碼的防護層面，因此不建議在公網和內網之間采用這一方式，它比較適合外線專網和內網之間進行數據傳遞，例如我們醫院和市衛計委平臺是通過專線進行連接的，衛計委平臺需要的醫院業務數據就是通過前置機的方式進行上傳的。

4.通過網閘技術進行內外網數據交換。網閘是新一代高安全度的企業級信息安全防護設備，它依托安全隔離技術為信息網絡提供了更高層次的安全防護能力，不僅使得信息網絡的抗攻擊能力大大增強，而且有效地防范了信息外泄事件的發生。安全隔離網閘通常布置在兩個安全級別不同的兩個網絡之間，如信任網絡和非信任網絡，管理員可以從信任網絡一方對安全隔離網閘進行管理。它可以實現兩個網絡之間的物理隔離。物理隔離網閘中斷了兩個網絡之間的直接連接，所有的數據交換必須通過物理隔離網閘，網閘從網絡層的第七層將數據還原為原始數據或文件，然后以"擺渡文件"的形式來傳遞數據。物理隔離是通過開關來實現的。網閘技術也有它的局限性，物理隔離網閘中斷了兩個網絡的直接物理連接，已知的攻擊和未知的攻擊都不會攻擊到被物理隔離的網絡。但物理隔離設備本身涉及到不可信網絡的一部分還是會受到來自不可信網絡的攻擊，物理隔離網閘可以保護別人，卻無法避免自身被攻擊，它就像防火墻一樣，可以保護別人，無法保護防火墻本身，因此物理隔離網閘本身的安全非常重要。網閘技術不支持交互式訪問，因為安全隔離網閘保護的主要是內部網絡，一旦支持交互式訪問如支持建立會話，那么無法防止信息的泄漏以及內部系統遭受攻擊。另外通過網閘傳送數據還受網閘交換能力的影響，不適合短時間傳送超大量的數據，它的運行還可能造成其他安全產品不能正常工作，導致網絡阻塞等問題，雖著網閘技術的出現和完善，這些缺點或局限會被逐步優化和解決。盡管網閘存在這些局限性，但它為醫院實現內外網單方面的數據傳遞提供了相對安全的方式，因此它成為多數醫院采用的方式，一般是從內網系統向外網提供數據查詢和推送上報等服務，比如我們醫院的網閘系統擔負著HQMS數據上報、預約掛號信息傳送、查體報告推送等。

3 內外網數據交互前景

綜上所述我們可以看到：實現醫院內外網數據交換的方式有多種，這些方式也都有自己的優點和局限性，隨著安全新技術和應用的不斷拓展和完善，肯定會有其它更好更安全的方式出現，但絕對安全的網絡交互方式是不存在的。對于醫院來講，內外網的互通范圍只能是越來越大，這是不可改變的趨勢，如何更安全高效地實現內外網數據交互，將是擺在醫院安全管理人員面前的一項永久性的課題。