醫院財務管理系統安全網絡規劃研究

殷蕾

摘要：醫院財務系統安全是醫院信息系統安全的重要組成部分，需要網絡及信息中心機房等基礎設施為其正常業務開展提供支撐。本文根據醫院對財務系統專用網絡的總體要求，提出了從網絡，計算，存儲等方面，全面做好網絡安全規劃設計，保障醫院財務信息系統的安全、穩定、高速運行。

關鍵詞：醫院財務;網絡安全;網絡規劃

醫院財務管理系統是醫院運營的關鍵，財務敏感數據泄露，數據被篡改、丟失，宕機造成業務中斷等，都會影響醫院財務工作并帶來重大損失。因此，在網絡規劃設計時就要做好基礎方案，從底層規劃設計上保障醫院財務管理系統的安全。為了實現該目標，在網絡規劃設計過程中從1、網絡拓撲層次設計;2、服務器及存儲虛擬化;3、IP地址合理規劃;4、網絡安全設計等方面，采取了相應的技術措施和手段，提高了財務內網的安全性及穩定性。

1、網絡拓撲層次結構設計

利用網絡設備虛擬化技術實現大二層網絡，即接入層和核心層兩層扁平化架構，實現設備的協同工作、統一管理，滿足服務器動態遷移的需求。

核心層部署兩臺華為S12708，通過網絡虛擬化技術，兩臺虛擬為一臺邏輯交換機，對外配置管理都是一臺交換機無單點故障，為財務內網提供快速的數據交換和高可用性，數據無阻塞高速轉發。

接入層設備使用華為S5720-52X，通過兩條萬兆光纖鏈路聚合上行，分別和核心層兩臺核心交換互連，實現鏈路冗余負載分擔。財務辦公室信息點通過六類雙絞線千兆接入交換機，并預留足夠的空余端口，滿足接入信息點擴展需求。

2、服務器及存儲虛擬化

利用服務器虛擬化技術和存儲虛擬化技術對信息中心機房進行升級改造，降低中心能源消耗的同時提高了網絡和服務器的安全性、可靠性、擴展性。采用虛擬化技術將服務器物理資源抽象為邏輯資源，讓CPU，內存，磁盤，I/O等硬件變成可以動態管理的“資源池”，提高資源利用率，簡化系統管理。將多臺物理服務器使用虛擬化軟件虛擬為一臺，為多臺虛擬機服務器提供計算資源，在一臺物理服務器無法工作時，其承載的虛擬機可以自動遷移到其他物理服務器上繼續運行，保障了財務系統業務連續性。同時支持快速部署服務器，降低運維成本。

虛擬機文件放置在光纖共享存儲上，多臺虛擬機通過光纖通道接入SAN存儲系統共享存儲資源，進一步保障財務數據安全，后期也可以按需擴大容量。利用虛擬化存儲網關，整合異構存儲資源，簡化存儲管理，將不同廠商的存儲陣列虛擬成一個“存儲池”，這樣做的好處是把許多零散的存儲資源整合起來，從而提高整體利用率，同時降低系統管理成本。現有存儲陣列使用的機械硬盤帶來的延遲有性能瓶頸，SSD硬盤解決了機械硬盤的延遲問題。針對醫院財務高負載數據庫應用，采用閃存陣列提升性能，SSD提供高IOPS和低延時，實現了極佳的快速響應。存儲資源池分為高性能、性能，以及容量三種資源池，通過存儲自動分層技術，將“熱”數據遷移到高速閃存SSD中，訪問頻率低的“冷”數據被遷移到低速存儲介質SATA中，優化資源配置為整個存儲層加速。

3、IP地址合理規劃

IP地址規劃是網絡設計的重要環節，ip地址的規劃好壞直接影響網絡性能，管理，和擴展性，也影響網絡應用進一步發展。財務專用網絡必須對IP地址進行統一規劃才能得到有效實施。IP地址空間分配要與網絡拓撲層次結構相適應，我們把網絡體系結構分成核心層（信息中心機房），接入層（行政樓，門診樓，住院樓，檢驗樓，放療中心等），按照樓層進行VLAN劃分，縮小廣播域避免廣播風暴的形成，方便定位故障位置。對財務辦公區靜態分配IP地址，防止地址盜用，采用IP地址和MAC地址綁定，同時加強工作人員上網行為的教育和管理。為網絡設備和服務器等配置靜態IP地址，服務器區域配置專用VLAN，外網邊界深信服防火墻配置地址翻譯，保護內部地址不被暴露在公網上。

4、網絡安全設計

安全方面要按照三級等保要求，在保證網絡運行安全、主機安全、應用安全、數據安全的基礎上，確保醫院財務管理系統的安全性、可用性和高性能。在網絡邊界以雙機模式部署2臺防火墻，連接醫保等專用網絡。雙機部署提高網絡冗余能力，避免單點故障帶來的業務不可用。防火墻可以進行訪問控制和端口限制阻止外部入侵，但防火墻對內部用戶的破壞沒有辦法，需另在核心旁路部署入侵檢測系統，與防火墻聯動，共同阻止內外部入侵者。

虛擬服務器集群需安裝虛擬機安全防護軟件，避免某臺虛擬機被攻陷后，進一步橫向攻擊導致財務管理系統中斷。使用亞信科技DS虛擬補丁，解決由于更新打補丁造成的財務系統業務中斷和藍屏現象，降低運維風險。同時支持虛擬機殺毒功能，防止病毒、木馬等威脅造成財務數據丟失。

針對財務科內網接入的終端，部署一套終端安全管理與準入軟件和一套網絡版殺毒軟件，實現內網終端的實時安全防護、USB接口管控、非法外聯管控、高危漏洞檢測等功能。部署1臺安全隔離網閘，將財務內部網絡和外部網絡進行物理隔離。安全隔離網閘系統基于多核多線程專用安全操作系統，采用類似船閘擺渡的工作原理，在內、外主機之間擺渡應用數據，在安全隔離網絡的同時，做實時的數據交換。

外網部署一臺VPN網關，為員工和第三方人員遠程進行運維或辦公提供安全的接入方式，采用多因素認證連入VPN后，通過網閘、堡壘機訪問到內網前置機進行遠程工作。

醫院財務核心業務服務的數據庫中存放大量的財務信息等機密數據，這些信息各類用戶可以通過瀏覽器或客戶端軟件來查詢，因此需要長期穩定運行。綜合考慮性價比，可選擇熱備容災系統，平時數據從財務虛擬服務器同步到災備系統上，一旦財務管理系統出現故障，可以臨時切換到災備服務器上，待原有業務系統恢復后，再將數據同步到財務虛擬服務器上。相對于雙活方案，采用主備方式成本較低，在一定程度也能保障業務的連續性。

5、總結

醫院財務系統安全是醫院信息安全的建設重點，通過在網絡規劃設計階段，本文從網絡、計算、存儲等方面做好方案，從底層規劃設計上保障醫院財務系統安全，并對今后各種新業務的開展具有較強適應力，擴展力。這樣的安全網絡建成，提高了財務管理系統業務的效率和處理能力，樹立了醫院良好形象，為未來發展奠定了堅實基礎。在預算允許情況下，若接入交換機采用堆疊技術，可以大大提高網絡的傳輸性能和運行的可靠性和擴展性。作為醫院專用網絡規劃設計，未來將在數據安全與備份上進一步加強，不斷提升醫院財務管理系統的安全性。

參考文獻：

[1]陳啟岳.網絡支付業務在醫療領域應用與服務思考[J].醫學信息學雜志. 2019，40（06）：36-38.

[2]郭慧.大數據時代的醫院財務管理[J].解放軍醫院管理雜志. 2021，28（09）：859-860.

[3]王玲.信息技術在醫院財務管理中的應用[J].財會學習. 2021，（26）：財會學習. 2021，（26）.