淺談網閘在醫院信息化中的作用

盧方建

（陽江市婦幼保健院，廣東 陽江 529500）

一、網閘

（一）網閘是什么

網閘，英文縮寫GAP，是通過具有多種控制功能的固態開關讀寫介質，連接兩個獨立主機系統的信息安全設備。當兩個獨立的主機系統通過網閘實行隔離，系統間就不存在通信的物理連接、邏輯連接和信息傳輸協議，不存在依據協議實現的信息交換，僅有以數據文件形式進行的無協議擺渡。所以，網閘從邏輯上阻斷了對內網具有潛在攻擊可能的一切網絡連接，讓外部攻擊者不能直接入侵、攻擊和破壞內網，從而保障內部主機的安全。

（二）網閘的工作原理

通過網閘可讓內外網進行隔離，具體來說就是網絡模型各層上都可實現斷開。

1.物理層斷開。網閘使用的網絡隔離技術，就為了能保證完全斷開網閘的外部主機和內部主機之間的連接。外部主機和固態存儲介質之間，以及內部主機和固態存儲介質之間，都設計有一個開關電路，在進行數據信息傳遞時，有條件地進行單個聯通，不可同時聯通，以此達到非直通擺道效果，以此保證物理層的斷開機制。

2.鏈路層斷開。如果上述兩個開關電路同時閉合，就能形成一個完整的數據通信鏈路，基于鏈路層通信協議的數據交換技術，都不算是網絡隔離技術，所以兩開關不能同時關閉，這就實現了鏈路層斷開。

3.TCP/IP 協議隔離。因為TCP/IP 協議存在能讓病毒和攻擊者利用的缺陷，所以網閘在數據通過時，要先剝離TCP/IP 協議，擺渡完成后，再重建TCP/IP 協議，以此提高安全性。

4.應用協議隔離。因為應用層協議存在能讓病毒和攻擊者利用的缺陷，所以網閘在數據通過時，要先剝離應用層協議，擺渡完成后，再重建應用層協議，以此提高安全性。

（三）網閘的關鍵技術

1.安全性高。相比于防火墻，網閘的安全級別更高。防火墻原則是在保證網絡通暢數據正常傳輸的前提下，盡可能地保證網絡安全；網閘原則是在保證網絡數據安全的前提下，盡可能正常高效通暢傳輸。從結構上來看，防火墻是一套主機系統，而網閘是兩套獨立的主機系統，一套對內網（安全網絡），一套對外網（非安全網絡），有些高配置的網閘還有仲裁設備，處于中立，專門用來對數據進行檢測和殺毒，兩套主機系統與仲裁設備間的連接通過特殊的不可路由的協議進行數據交換。

2.內外網完全隔離。網絡數據包不能通過任何的轉換方式，或者轉換成文本，都無法直接從一個網絡轉換到另一個網絡，這種完全隔離的效果，是網閘的關鍵價值。

3.訪問可控性。網閘作為內外網的數據交換核心設備，都設置有一套功能強大，設置細粒度的管理系統，對內外網的通路創建和關閉、指定點對點的通路開啟和關閉、數據通過的量和類型等，都可做個性化部署，設備還有白名單和黑名單功能，讓非法設備無法訪問內網。

二、我院的網閘

（一）網閘的具體功能。

1.網閘采用權限分立設計，分別為系統管理員，安全保密員和安全設計院，還設置了身份認證機制，只有聽過身份認證的設備，才能通過網閘通信。

2.網閘主要通過策略來管理設備間的網絡通信，首先要設立對象，對象可以是服務器，也可以是終端PC 機，還可以是防火墻等安全設備。如果對象時零碎的或者是一個網段的設備，可以把這些對象納入到一個對象組中。有了對象后，可設立規則，規則就是針對具體的對象和對象之間的通信設定，可設置單向，可雙向，還可在時間維度上進行限制。

3.設備提供設備狀態查看功能，還有診斷工具和備份升級功能，都是管理上的使用功能。

4.設備提供強大的審計功能，包括管理日志攻擊防護日志，審計管理日志、系統日志、訪問日志、內容過濾日志、文件交換日志和數據庫同步日志等，通過日志能了解所有網絡上的設備的所有交換信息和狀態。

（二）網閘對醫院信息化的影響

1.網閘的加入，在終端使用上透明化，網絡安全性提高了，但各種操作使用和原來一樣。服務器上，以前的微信預約前置機需要雙網卡接內外雙網線，現在只需一個網卡一條網線即可，在網閘上把該設備設為一個對象，外網專線防火墻設為一個對象，然后把這兩個對象建立一個雙向通信的規格，就可以實現內外網同時聯通。

2.網閘的加入，對機房管理人員提出了更高的要求。網閘的功能強大，設置項非常多，要精細化管理和合理化運用，需要膽大心細。例如新生兒篩查系統（外網）需要與婦幼保健系統（內網）雙向訪問數據，就需要把這兩個設備設立為兩個對象，然后建立一個規則，是新生兒篩查系統（外網）能單向訪問婦幼保健系統（內網），再建立一個規格，是婦幼保健系統（內網）能單向訪問新生兒篩查系統（外網），這樣一個雙向的訪問設置就完成。

三、結語

網閘在內部安全和外部便捷的網絡連通中起到核心的作用，網閘的應用越來越廣泛，合理使用好網閘，對整個網絡架構非常重要。