基于單向光傳輸的醫療數據安全交互系統

朱卓謹 李瑞瑤 張曉平 趙勰

摘要：隨著互聯網+醫療業務的不斷發展，醫院內部網絡與外部網絡的互聯需求不斷增長。互聯網病毒攻擊、計算機犯罪威脅日益嚴峻，內外網隔離技術越來越受到重視，如何在安全可靠的基礎上實現內網和外網的安全交互成為越來越多的醫院重點關注的問題。該文介紹了一種基于光的單向傳輸特性，利用單向光纖網卡進行外部網絡與內部網絡之間的物理隔離技術，在安全隔離的基礎上，實現內外網之間有效、安全、受控的數據單向傳輸。

關鍵詞：網絡安全;內外網交互;單向光

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）04-0032-02

1 引言

2020年11月，習近平總書記在《中共中央關于制定國民經濟和社會發展第十四個五年規劃和2035年遠景目標的建議》中指出“十四五”時期要全面推進健康中國建設，強調要把人民健康放在優先發展戰略地位。為此，不斷提高醫療衛生服務供給質量、水平和安全成為醫療機構的重要任務。而近年來互聯網病毒攻擊、計算機犯罪等威脅日益嚴重，防火墻攻破率不斷上升，使得醫療機構將保障醫療數據安全擺在了醫療數據體系構建的重要位置[1-2]。

2 醫療數據安全保護現狀

隨著數據安全的重要性不斷增強，醫療機構一般采取建設物理隔離的局域網環境，但醫療數據要服務于民眾和上級政府部門，不可避免地存在與外界進行數據交換的業務和場景，因此，普遍采用防火墻和網閘等設備保護內部網絡和關鍵點的基礎設施。采用安全網閘的目標是確保把有害的攻擊和病毒進行隔離，在可信網絡之外和保證可信網絡內部信息不外泄的前提下，完成網間數據的安全交換[3]。

安全網閘技術是在原有安全技術的基礎上發展起來的，它彌補了原有安全技術的不足，但也存在防護效果強烈依賴于未公開的文件格式和自有協議、無法對交換行為和數據進行審批和審計、沒有內容檢測功能存在數據泄露風險等不足[4]。因此隨著新型網絡攻擊手段的出現和對網絡安全特殊需求的增加[5]，本文介紹了南京某院利用光纖單向光傳輸特性的醫療數據安全交互系統，實現醫院兩個不同安全域之間的數據請求和交互。

3 基于單向光傳輸的醫療數據安全交互系統

3.1 系統結構及原理

系統基于光的單向傳輸特性，利用單向光纖網卡進行外部網絡與內部網絡之間的物理隔離技術，通過分光鏡像技術將數據分發處理，從硬件上實現數據不可逆、反向數據為零的功能，在安全隔離的基礎上，實現內外網之間有效、安全、受控的數據單向傳輸。

3.1.1 單向光纖網卡

單發單收光纖網卡是一種計算機網絡的單向傳輸網關，它包括發送方以太網光纖卡、接收方以太網光纖卡以及連接它們的網絡光纖線。發送方以太網光纖卡的模塊只有發送端口。接收方以太網光纖卡的模塊只有接收口。發送卡的發送口與接收卡的接收口采用單條光纖連接。它既實現了計算機內部網絡與外部網絡之間的物理隔離，又能夠保證數據在內外網絡之間實時、可靠、安全地單向傳輸。

3.1.2 分光鏡像技術

在滿足外網與內網間無物理網絡連接的條件下，采用分光鏡像技術將外網請求數據經數據隔離區傳送至內網進行處理，對于內網處理區數據處理后，再利用分光鏡像技術經數據隔離區發回外網和請求客戶端完成處理。

3.1.3 傳輸流程

系統由三部分組成：內網、外網、分光單向傳輸設備。

內網和外網所實現的安全功能是一致的，只是連接不同的網絡。以內網單元為例，其包括內網接口單元與內網數據隔離區。接口部分負責與內網的連接，并終止內網用戶的網絡連接，對數據進行病毒檢測、防火墻、入侵防護等安全檢測后剝離出“純數據”，做好交換的準備，也完成來自內網對用戶身份的確認，確保數據的安全通道;數據隔離區是存放并調度剝離后的數據，負責與隔離交換單元的數據交換，傳輸流程如圖1所示。

（1）用戶發送請求給設備。

（2）設備將接收到的請求寫入請求數據隔離區。

（3）安全服務器部分將請求讀取到，隔離設備將請求發送至服務器。

（4）安全隔離設備將服務器回應的數據寫入回應數據隔離區。

（5）用戶將從回應數據隔離區讀取數據。

3.2 安全控制

為了減少數據傳輸過程中出錯的概率，提高審計傳輸文件安全性，系統加入了完整性驗證、文件過濾和病毒檢測技術。

3.2.1 完整性驗證技術

數據在傳輸過程中采用靜態自動加密技術傳輸，源節點和目的節點共享一個不為攻擊者所知的根秘鑰，由根秘鑰以及先前所有被傳數據的消息認證碼生成加密當前被傳輸數據的加密秘鑰，當前由源節點傳輸到目的節點的是一個被加密了的數據以及同該數據對應的消息認證碼。每個傳輸的數據包加密操作都包括對數據損壞的自動檢查，如果檢測到損壞，則會中止操作并記錄詳細錯誤。由于數據附著有消息認證碼，因此能夠檢驗當前所傳輸數據的完整性，由于加密秘鑰與歷史信息有關，因此任意的數據破壞和不一致將導致源節點和目的節點的加密秘鑰不一致，從而達到數據完整驗證，最大限度地降低數據丟失風險。

3.2.2 文件過濾技術

通過邊界設備進行文件的過濾，如圖2所示，可以針對web服務和FTP服務器的不同特性設定不同的文件過濾策略。如針對WEB服務，不建議設定普通用戶可以傳輸exe可執行文件，我們可設定策略所有用戶都不可以向web服務器傳輸exe等可疑文件，此時可以保證web服務器的安全;針對FTP服務器，可以設定.dcom文件無法傳輸，因為該文件可能涉及醫院相對較機密的文件，可以保證內網數據的安全。

3.2.3 病毒檢測技術

在內外網區域分別采用不同的殺毒引擎和病毒庫，經過設備傳輸的文件數據流，通過TCP/IP協議將數據包拆包，通過病毒掃描引擎，將數據推送入數據預處理模塊，檢測到數據包的特征碼，然后與系統存儲的病毒特征庫進行對比，檢測到的結果推送到前臺并展示。

4 應用分析

4.1 部署拓撲圖

根據已有院區規模和業務需求，構建物理隔離的內外網絡，網絡區域之間通過基于單向光傳輸的醫療數據安全交互系統進行網絡隔離，網絡拓撲如圖3所示。

4.2 工作流程

文件上傳時，首先將文件上傳至內外網數據安全交互設備進行文件過濾，不合規文件則直接進行刪除;符合規則的文件將經過非安全網絡的病毒檢測機制，有病毒文件也是直接進行刪除，如果檢測無病毒，則經過交互封裝傳送至安全網絡部分。

安全網絡首先進行文件校驗，如果校驗失敗，則文件需要重新發送;如果校驗通過，則再匹配文件過濾規則，不符合規則的文件直接刪除并結束流程，匹配完成的文件再通過安全網絡的病毒過濾，檢測有病毒的文件也是直接刪除并結束流程，檢測無病毒則將文件分發到對應的服務端，任務完成。

4.3 安全隔離網閘對比

安全隔離網閘僅實現了鏈路層的信息安全鏈接，對物理隔離的獨立網絡區域之間使用私有協議進行無差別數據傳輸，相較于基于單向光傳輸的醫療數據安全交互系統缺少數據安全控制、審批、審計等功能，且后者光纖傳輸速度更高、僅有光的強弱衰減保證數據差錯可控性，并可通過數據安全交換實現數據審閱、轉碼等系統功能對接。

5 總結

本文介紹了基于單向光傳輸的醫療數據安全交互系統，該系統在傳統安全設備的基礎上，利用光的單向傳輸及光纖的高帶寬低延遲等特點，實現了交互安全、數據可控，提升了醫院內外網數據交互的傳輸效率，增加了數據傳輸安全可控性和可管理性，也為數據安全協議的定制化提供了基礎。

參考文獻：

[1] 趙榮康，孔祥瑞，梁蓉蓉.不同安全等級網絡之間的數據交換方案研究與實現[J].信息安全研究，2020，6（4）：338-344.

[2] 劉陽，黃蓉波，魏能強.基于光閘單向安全傳輸系統的研究與實現[J].數字技術與應用，2019，37（8）：177-178.

[3] 李承林.基于光閘單向傳輸數據交換技術研究[J].激光雜志，2018，39（4）：134-138.

[4] 敖麟欽，陳卓.基于網絡隔離技術的信息資源共享方案研究[J].軟件導刊，2017，16（6）：163-167.

[5] 張欣琦.單向光閘原理及功能淺析[J].網絡安全技術與應用，2016（5）：99-100.

收稿日期：2021-08-27

作者簡介：朱卓謹（1988—），男，江蘇南京人，工程師，本科，主要從事計算機網絡及網絡安全方向的研究;李瑞瑤（1989—），女，江蘇南京人，工程師，研究生，主要從事衛生信息管理相關研究。