陜西省西安市精神衛(wèi)生中心 馬 毅

一、醫(yī)療衛(wèi)生單位信息化建設(shè)現(xiàn)狀

我國(guó)醫(yī)療衛(wèi)生事業(yè)經(jīng)過近20年的加速發(fā)展，信息化逐步受到了國(guó)家衛(wèi)計(jì)委和各級(jí)醫(yī)院的重視。國(guó)家衛(wèi)計(jì)委在“十二五”規(guī)劃中提出建設(shè)“36212工程”：我國(guó)將重點(diǎn)建設(shè)國(guó)家級(jí)、省級(jí)和地市級(jí)三級(jí)衛(wèi)生信息平臺(tái)；加強(qiáng)信息化在公共衛(wèi)生、醫(yī)療服務(wù)、計(jì)劃生育、新農(nóng)合、基本藥物制度、綜合管理六項(xiàng)業(yè)務(wù)中的深入應(yīng)用；建設(shè)電子健康檔案、電子病歷和全國(guó)人口數(shù)據(jù)資源庫三個(gè)基礎(chǔ)數(shù)據(jù)庫；建設(shè)一個(gè)醫(yī)療衛(wèi)生信息專用網(wǎng)絡(luò)；逐步建設(shè)信息安全體系和信息標(biāo)準(zhǔn)體系?！?6212工程”的建設(shè)將推進(jìn)醫(yī)療衛(wèi)生事業(yè)改革。隨著醫(yī)療信息化建設(shè)的逐步深入，各級(jí)醫(yī)院已經(jīng)建起了不同程度的醫(yī)院信息系統(tǒng)(Hospital Information System，簡(jiǎn)稱HIS系統(tǒng))。為提升醫(yī)療服務(wù)質(zhì)量，優(yōu)化就醫(yī)流程，一些管理部門需要通過互聯(lián)網(wǎng)連接醫(yī)院HIS系統(tǒng)以獲取準(zhǔn)確的醫(yī)療數(shù)據(jù)，如醫(yī)院質(zhì)量監(jiān)測(cè)系統(tǒng)(Hospital Quality Monitoring System，簡(jiǎn)稱HQMS系統(tǒng))需要自動(dòng)對(duì)接病案首頁數(shù)據(jù)以確保醫(yī)院評(píng)審評(píng)價(jià)數(shù)據(jù)的真實(shí)性；醫(yī)保網(wǎng)絡(luò)需要將病人資料和費(fèi)用信息傳至醫(yī)保中心進(jìn)行結(jié)算等。互聯(lián)網(wǎng)接入醫(yī)院內(nèi)網(wǎng)打破了醫(yī)院網(wǎng)絡(luò)物理隔離的現(xiàn)狀，增加了醫(yī)院HIS系統(tǒng)的安全風(fēng)險(xiǎn)。HIS系統(tǒng)數(shù)據(jù)包含醫(yī)院診療、財(cái)務(wù)、決策等多方面的內(nèi)容，是醫(yī)院最重要的資源，一旦數(shù)據(jù)丟失或出錯(cuò)將給醫(yī)院帶來無法預(yù)估的損失。因此，如何實(shí)現(xiàn)內(nèi)外網(wǎng)按需進(jìn)行數(shù)據(jù)信息交換并保證HIS系統(tǒng)安全，是醫(yī)院信息工作者必須要解決的難題。隨著網(wǎng)閘技術(shù)的快速發(fā)展和逐漸成熟，這樣的難題得以解決。

二、網(wǎng)閘技術(shù)概況

網(wǎng)閘，也叫安全隔離與信息交換系統(tǒng)，其工作原理采用了人工在兩個(gè)隔離網(wǎng)絡(luò)之間的信息交換方式，中斷兩個(gè)網(wǎng)絡(luò)間的所有通信協(xié)議連接，使之不能直接進(jìn)行網(wǎng)絡(luò)協(xié)議通信。網(wǎng)閘的應(yīng)用不僅使得信息網(wǎng)絡(luò)的抗攻擊能力大大增強(qiáng)，而且有效地防范信息外泄事件的發(fā)生。

網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間不存在通信的物理連接、邏輯連接、信息傳輸命令和信息傳輸協(xié)議，也不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺渡”，且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有“讀”和“寫”兩個(gè)命令。所以物理隔離網(wǎng)聞從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實(shí)現(xiàn)了真正的安全。

三、網(wǎng)閘架構(gòu)及工作原理

安全隔離網(wǎng)閘由三部分組成：外網(wǎng)處理單元、內(nèi)網(wǎng)處理單元、安全數(shù)據(jù)交換單元。外網(wǎng)處理單元與外網(wǎng)相連，內(nèi)網(wǎng)處理單元與內(nèi)網(wǎng)相連，安全數(shù)據(jù)交換單元是內(nèi)網(wǎng)處理單元與外網(wǎng)處理單元之間唯一且安全的數(shù)據(jù)通道，它不同時(shí)與內(nèi)外網(wǎng)處理單元連接。安全數(shù)據(jù)交換單元可理解為一個(gè)存儲(chǔ)介質(zhì)和一個(gè)調(diào)度控制電路。

圖1 網(wǎng)閘結(jié)構(gòu)

圖2 網(wǎng)閘工作原理

內(nèi)網(wǎng)處理單元和外網(wǎng)處理單元是內(nèi)網(wǎng)和外網(wǎng)的邊界點(diǎn)，同時(shí)也是網(wǎng)絡(luò)協(xié)議的終結(jié)。當(dāng)外網(wǎng)需要給內(nèi)網(wǎng)傳輸數(shù)據(jù)時(shí)，發(fā)起對(duì)隔離網(wǎng)閘的非TCP/IP協(xié)議的數(shù)據(jù)連接，網(wǎng)閘將所有通過網(wǎng)閘的應(yīng)用層信息都從TCP/IP協(xié)議包中剝離，還原為裸數(shù)據(jù)并寫入存儲(chǔ)介質(zhì)中。根據(jù)應(yīng)用情況，可以對(duì)數(shù)據(jù)進(jìn)行安全性和完整性檢查。數(shù)據(jù)完全寫入存儲(chǔ)介質(zhì)，網(wǎng)閘立即切斷與外網(wǎng)的連接，轉(zhuǎn)而發(fā)起對(duì)內(nèi)網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接，將數(shù)據(jù)推向內(nèi)網(wǎng)。內(nèi)網(wǎng)收到數(shù)據(jù)后進(jìn)行TCP/IP和應(yīng)用協(xié)議的封裝，并交給應(yīng)用系統(tǒng)。數(shù)據(jù)處理完畢后，中斷與內(nèi)網(wǎng)的連接，網(wǎng)閘恢復(fù)完全隔離狀態(tài)。內(nèi)網(wǎng)向外網(wǎng)傳輸數(shù)據(jù)流程類似。

由于在內(nèi)網(wǎng)和外網(wǎng)之間只傳遞純數(shù)據(jù)，不傳遞網(wǎng)絡(luò)信息和控制信息等存在安全隱患的信息，網(wǎng)閘就過濾掉了所有基于網(wǎng)絡(luò)協(xié)議漏洞的攻擊，保證了內(nèi)外網(wǎng)之間信息交換的安全和可靠，而數(shù)據(jù)的協(xié)議剝離---還原為裸數(shù)據(jù)---過濾---重組這一系列的過程都不依賴于任何通用協(xié)議，只能被網(wǎng)閘的內(nèi)部處理機(jī)制識(shí)別及處理，因此可避免遭受利用各種已知或未知網(wǎng)絡(luò)層漏洞的威脅。

四、醫(yī)院網(wǎng)閘部署

醫(yī)院現(xiàn)有的網(wǎng)絡(luò)架構(gòu)為內(nèi)外網(wǎng)2套相互獨(dú)立的網(wǎng)絡(luò)。內(nèi)網(wǎng)是醫(yī)院的業(yè)務(wù)網(wǎng)，用于運(yùn)行醫(yī)院的核心應(yīng)用醫(yī)院信息系統(tǒng)(HIS)、實(shí)驗(yàn)室信息系統(tǒng)(LIS)、財(cái)務(wù)應(yīng)用等，并通過VPN與各個(gè)醫(yī)保連接；外網(wǎng)也通過防火墻接入電信網(wǎng)，主要用于各科室的業(yè)務(wù)辦理和文獻(xiàn)資料查詢等。

醫(yī)院內(nèi)網(wǎng)涉及患者檔案和病歷數(shù)據(jù)，必須確保數(shù)據(jù)的安全性和保密性。一般情況下禁止其他任何網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)，只有在必要的時(shí)候允許外部網(wǎng)絡(luò)某些訪問要求，例如：醫(yī)保等網(wǎng)絡(luò)需要提取住院病人在院的個(gè)人資料及費(fèi)用信息。雖然內(nèi)部網(wǎng)絡(luò)有殺毒軟件和防火墻等措施提供安全保護(hù)，但是仍然應(yīng)當(dāng)防范外網(wǎng)對(duì)內(nèi)網(wǎng)可能造成的影響。內(nèi)外網(wǎng)物理隔離的宗旨就是把內(nèi)網(wǎng)的安全風(fēng)險(xiǎn)降到最低。

圖3 醫(yī)院網(wǎng)閘應(yīng)用拓?fù)鋱D

在沒有配置網(wǎng)閘的情況下，兩個(gè)網(wǎng)絡(luò)的應(yīng)用不能相互訪問，在配置網(wǎng)閘之后，雙方的應(yīng)用依然不能進(jìn)行通信，只有在內(nèi)外網(wǎng)前置機(jī)上針對(duì)相對(duì)應(yīng)的應(yīng)用建立其特定的通道，內(nèi)外網(wǎng)的有針對(duì)性的應(yīng)用才能得以通信。

五、網(wǎng)閘技術(shù)應(yīng)用的重要意義

基于網(wǎng)閘的內(nèi)外網(wǎng)間數(shù)據(jù)交換方案既能保證內(nèi)外網(wǎng)的安全隔離，又能實(shí)現(xiàn)實(shí)時(shí)、高速、安全的數(shù)據(jù)交換。網(wǎng)閘的應(yīng)用使內(nèi)網(wǎng)核心業(yè)務(wù)系統(tǒng)始終保持連續(xù)安全運(yùn)轉(zhuǎn)，很好地滿足了醫(yī)院業(yè)務(wù)對(duì)網(wǎng)絡(luò)安全的要求，不但擴(kuò)展了醫(yī)院信息化的建設(shè)，也為醫(yī)院內(nèi)部基本的業(yè)務(wù)正常運(yùn)行提供了有力的保障。網(wǎng)閘技術(shù)和產(chǎn)品在醫(yī)療領(lǐng)域的引入，是一場(chǎng)醫(yī)療信息化的革命。

基于網(wǎng)閘的內(nèi)外網(wǎng)間數(shù)據(jù)交換方案促進(jìn)了醫(yī)療信息化的發(fā)展，也為區(qū)域醫(yī)療平臺(tái)的建設(shè)提供了解決方法。