秦 芳，詹永豐，李亞東

一種安全的醫(yī)院數(shù)據(jù)上報(bào)解決方案

秦 芳，詹永豐，李亞東

目的：為確保醫(yī)療數(shù)據(jù)在上報(bào)過程中的安全性，提供一種安全的醫(yī)院數(shù)據(jù)上報(bào)解決方案。方法：采用基于安全隔離網(wǎng)閘的數(shù)據(jù)交換技術(shù)保證上報(bào)數(shù)據(jù)的安全性，同時(shí)保障醫(yī)院的內(nèi)部網(wǎng)絡(luò)安全、可靠地運(yùn)行。結(jié)果：基于網(wǎng)閘的數(shù)據(jù)上報(bào)的實(shí)現(xiàn)不僅可確保內(nèi)網(wǎng)信息系統(tǒng)的安全，而且高效地實(shí)現(xiàn)了內(nèi)外網(wǎng)的數(shù)據(jù)交換，為數(shù)據(jù)上報(bào)提供了一條安全便捷之路。結(jié)論：采用安全隔離網(wǎng)閘技術(shù)實(shí)現(xiàn)數(shù)據(jù)上報(bào)，可確保院內(nèi)網(wǎng)的信息安全，為醫(yī)院的信息化建設(shè)提供有力的保障。

數(shù)據(jù)交換；安全隔離網(wǎng)閘技術(shù)；網(wǎng)絡(luò)安全；文件同步

0 引言

我院是一所軍隊(duì)醫(yī)院，出于信息安全性考慮，醫(yī)院信息系統(tǒng)（hospital information system，HIS）的數(shù)據(jù)存儲(chǔ)和交換僅僅在醫(yī)院內(nèi)部進(jìn)行。但隨著醫(yī)院信息化的不斷發(fā)展，HIS已逐步滲透到醫(yī)療管理等方方面面，網(wǎng)絡(luò)數(shù)據(jù)交換與日俱增，原有低效、費(fèi)時(shí)的手工數(shù)據(jù)上報(bào)方式已不能滿足當(dāng)前的需要。因此，數(shù)據(jù)上報(bào)方式也由原來的手工上報(bào)轉(zhuǎn)變?yōu)樽詣?dòng)生成并上報(bào)，無需人工干預(yù)。但這種直報(bào)方式是沒有任何安全措施的公共信道，數(shù)據(jù)在傳輸過程中可能會(huì)泄露、被截獲[1]；另外，惡意的第三方或木馬病毒可能對(duì)內(nèi)網(wǎng)進(jìn)行攻擊和破壞。因此，如何建立一種科學(xué)有效的安全數(shù)據(jù)交換策略，既能保障醫(yī)院內(nèi)部數(shù)據(jù)在上報(bào)過程中的安全性，又能保證醫(yī)院內(nèi)部網(wǎng)絡(luò)安全、可靠、

高效地運(yùn)行，成為人們關(guān)注的焦點(diǎn)。鑒于此，我們對(duì)安全隔離網(wǎng)閘技術(shù)的原理和特點(diǎn)進(jìn)行了分析。結(jié)果表明，采用安全隔離網(wǎng)閘技術(shù)可以較好地實(shí)現(xiàn)醫(yī)院網(wǎng)絡(luò)和上報(bào)數(shù)據(jù)對(duì)安全性的要求。

1 上報(bào)數(shù)據(jù)的安全性分析

現(xiàn)有的醫(yī)院醫(yī)療數(shù)據(jù)上報(bào)采用“無人值守”自傳輸模式，這種工作模式不僅減少了數(shù)據(jù)上報(bào)人員的工作量，而且減少了錯(cuò)報(bào)、漏報(bào)的可能性，提高了數(shù)據(jù)的準(zhǔn)確性。然而，就數(shù)據(jù)的機(jī)密性而言，數(shù)據(jù)在上報(bào)傳輸過程中僅被所期望的用戶接收和理解，但由于存在諸如病毒攻擊[2]、惡意攻擊、數(shù)據(jù)在上報(bào)過程中被阻斷等安全隱患，上報(bào)數(shù)據(jù)的安全性受到威脅。

2 安全的數(shù)據(jù)交換技術(shù)

由于目前的網(wǎng)絡(luò)防護(hù)通常是在發(fā)生網(wǎng)絡(luò)攻擊后，因此，當(dāng)有新的網(wǎng)絡(luò)攻擊與入侵時(shí)，網(wǎng)絡(luò)防護(hù)有可能“失效”，安全的數(shù)據(jù)交換技術(shù)由此誕生。安全數(shù)據(jù)交換的基本原理是切斷內(nèi)、外網(wǎng)之間的連接，并結(jié)合其他機(jī)制實(shí)現(xiàn)不同網(wǎng)間的數(shù)據(jù)交換[3]。因此，安全數(shù)據(jù)交換是較為安全的網(wǎng)絡(luò)數(shù)據(jù)交換技術(shù)[4]。

安全數(shù)據(jù)交換不僅可保證內(nèi)外網(wǎng)的安全隔離，同時(shí)能保證交換數(shù)據(jù)的完整性、實(shí)時(shí)性[5]。目前，數(shù)據(jù)交換有修橋策略、防火墻、多重安全網(wǎng)關(guān)、渡船策略、網(wǎng)閘、交換網(wǎng)絡(luò)、人工策略。結(jié)合我院的實(shí)際情況，數(shù)據(jù)上報(bào)僅僅是將數(shù)據(jù)定期批量傳輸?shù)缴霞?jí)單位，因此，考慮采用基于網(wǎng)閘的數(shù)據(jù)交換策略。網(wǎng)閘對(duì)攻擊的防護(hù)較好，并在傳輸前完成對(duì)數(shù)據(jù)的審查，能有效保證醫(yī)院內(nèi)部網(wǎng)絡(luò)和上報(bào)數(shù)據(jù)的安全性。

3 基于網(wǎng)閘的網(wǎng)絡(luò)安全設(shè)計(jì)

3.1 網(wǎng)閘的工作原理

網(wǎng)閘是一種常用的物理隔離手段，內(nèi)外網(wǎng)的數(shù)據(jù)同步通過數(shù)據(jù)交換來實(shí)現(xiàn)[6]。網(wǎng)閘采用高速固態(tài)開關(guān)在內(nèi)外網(wǎng)絡(luò)之間切換，開關(guān)的物理特性決定了任意一個(gè)時(shí)刻，系統(tǒng)在物理鏈路上只能處于內(nèi)網(wǎng)或者外網(wǎng)的一側(cè)：當(dāng)連入外網(wǎng)時(shí)，與內(nèi)網(wǎng)斷開，從外網(wǎng)獲取需要交換的數(shù)據(jù)；斷開外網(wǎng)連接，連接內(nèi)網(wǎng)，交換數(shù)據(jù)到內(nèi)網(wǎng)。往復(fù)不斷，從而完成內(nèi)外網(wǎng)絡(luò)信息的交換。連接建立后，采用自定義信息交換報(bào)文和協(xié)議進(jìn)

行信息傳遞和交換，防止黑客利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議的各種漏洞進(jìn)行攻擊；同時(shí)，防止利用各種非法的查詢來獲取信息或者破壞信息。

3.2 基于安全隔離網(wǎng)閘的數(shù)據(jù)上報(bào)系統(tǒng)架構(gòu)

我院作為部隊(duì)醫(yī)院，信息化安全要符合部隊(duì)的標(biāo)準(zhǔn)要求。因此，內(nèi)外網(wǎng)間無數(shù)據(jù)交換，數(shù)據(jù)上報(bào)也是通過人工方式完成。但隨著我院規(guī)模的不斷擴(kuò)大和信息化建設(shè)的不斷發(fā)展，醫(yī)院的數(shù)據(jù)量呈幾何級(jí)數(shù)增長(zhǎng)，采用人工拷貝方式進(jìn)行數(shù)據(jù)上報(bào)，無論是效率，還是可靠性都是不現(xiàn)實(shí)的[7]。為保證上報(bào)數(shù)據(jù)的實(shí)時(shí)性和準(zhǔn)確性，同時(shí)最大限度地保障信息交換的安全性，數(shù)據(jù)上報(bào)方式由手工上報(bào)轉(zhuǎn)變?yōu)樽詣?dòng)上報(bào)，并采用安全數(shù)據(jù)交換技術(shù)實(shí)現(xiàn)內(nèi)外網(wǎng)之間的通信。

我院采用安全隔離網(wǎng)閘技術(shù)實(shí)現(xiàn)醫(yī)院內(nèi)網(wǎng)數(shù)據(jù)和外網(wǎng)數(shù)據(jù)之間的數(shù)據(jù)交換，主要由3個(gè)部分組成，分別為醫(yī)院內(nèi)網(wǎng)文件服務(wù)器、外網(wǎng)文件服務(wù)器和網(wǎng)閘，如圖1所示。不論是內(nèi)網(wǎng)文件服務(wù)器，還是外網(wǎng)文件服務(wù)器均安裝雙網(wǎng)卡，一塊用于連接院內(nèi)網(wǎng)或是外網(wǎng)，另一塊用于連接網(wǎng)閘的可信端或非可信端。內(nèi)外網(wǎng)的物理隔離通過配置網(wǎng)閘的可信端實(shí)現(xiàn)。

圖1 基于安全隔離網(wǎng)閘的數(shù)據(jù)上報(bào)系統(tǒng)架構(gòu)

4 數(shù)據(jù)上報(bào)系統(tǒng)設(shè)計(jì)

4.1 系統(tǒng)接口設(shè)計(jì)

網(wǎng)閘是內(nèi)外網(wǎng)之間進(jìn)行數(shù)據(jù)交換的唯一的安全的數(shù)據(jù)通道。內(nèi)網(wǎng)用來連接網(wǎng)閘的可信端，外網(wǎng)連接網(wǎng)閘的非可信端，分別在可信端和非可信端開發(fā)數(shù)據(jù)寫入服務(wù)和數(shù)據(jù)讀出服務(wù)。其中，數(shù)據(jù)寫入服務(wù)主要用于定期從內(nèi)網(wǎng)服務(wù)器讀取上報(bào)數(shù)據(jù)，并采用加密算法將數(shù)據(jù)加密后存入到數(shù)據(jù)緩沖池，同時(shí)完成對(duì)數(shù)據(jù)的審查。數(shù)據(jù)讀出服務(wù)主要用于從數(shù)據(jù)緩沖池獲取數(shù)據(jù)，并將數(shù)據(jù)寫入外網(wǎng)文件服務(wù)器。

4.2 系統(tǒng)實(shí)現(xiàn)

上述2個(gè)服務(wù)采用Java編程技術(shù)實(shí)現(xiàn)。DWS采用數(shù)據(jù)庫連接池技術(shù)獲取數(shù)據(jù)，一方面，可對(duì)資源合理地分配與釋放，提高連接的復(fù)用度；另一方面，可降低建立新連接的開銷。同時(shí)采用 Hibernate的cache機(jī)制，以提高系統(tǒng)的數(shù)據(jù)讀取性能。

4.3文件同步服務(wù)

院內(nèi)網(wǎng)和外網(wǎng)的數(shù)據(jù)交換是通過網(wǎng)閘兩端的文件同步服務(wù)實(shí)現(xiàn)的。文件同步服務(wù)是使內(nèi)網(wǎng)采集數(shù)據(jù)與外網(wǎng)數(shù)據(jù)保持一致的一種手段，其中的源目錄與目標(biāo)目錄無論從結(jié)構(gòu)上，還是文件上都保持相同[8]。

文件同步方式分為單向同步和雙向同步。以單向同步為例，若源目錄的文件或結(jié)構(gòu)發(fā)生變化（如更新或新建文件與子目錄），目標(biāo)目錄將自動(dòng)保持同步。

文件同步系統(tǒng)可以對(duì)系統(tǒng)進(jìn)程、同步文件類型或名稱等進(jìn)行設(shè)置管理，以保護(hù)內(nèi)網(wǎng)進(jìn)行安全的同步。內(nèi)網(wǎng)文件服務(wù)器啟動(dòng)文件同步服務(wù)，并建立一個(gè)或多個(gè)傳輸任務(wù)，通過設(shè)置任務(wù)的工作狀態(tài)及任務(wù)周期，實(shí)現(xiàn)上報(bào)數(shù)據(jù)及時(shí)、準(zhǔn)確地從內(nèi)網(wǎng)文件服務(wù)器傳輸?shù)酵饩W(wǎng)文件服務(wù)器。

4.4文件傳輸

實(shí)現(xiàn)數(shù)據(jù)的上報(bào)不僅僅需要文件同步服務(wù)將數(shù)據(jù)從內(nèi)網(wǎng)傳輸?shù)酵饩W(wǎng)文件服務(wù)器，同時(shí)還需要將數(shù)據(jù)從外網(wǎng)文件服務(wù)器傳輸?shù)酵饩W(wǎng)，文件傳輸工具將實(shí)現(xiàn)這一功能。文件傳輸工具實(shí)時(shí)掃描監(jiān)測(cè)上傳目錄，如發(fā)現(xiàn)有新增文件，則自動(dòng)傳輸?shù)较鄳?yīng)的上傳目錄，上傳完畢后可由用戶選擇是否刪除文件或文件目錄。除自動(dòng)傳輸外，用戶也可手工上傳某文件或文件目錄，并設(shè)定上傳的文件類型。

5 應(yīng)用效果

我院采用安全隔離網(wǎng)閘技術(shù)后，文件同步服務(wù)實(shí)時(shí)監(jiān)測(cè)內(nèi)外網(wǎng)數(shù)據(jù)，一旦發(fā)現(xiàn)內(nèi)網(wǎng)數(shù)據(jù)有更新，便對(duì)外網(wǎng)數(shù)據(jù)同時(shí)進(jìn)行更新，使得內(nèi)外網(wǎng)數(shù)據(jù)實(shí)時(shí)保持一致，實(shí)現(xiàn)院內(nèi)醫(yī)療數(shù)據(jù)傳輸?shù)母咝?、及時(shí)性、準(zhǔn)確性。另外，由于網(wǎng)閘在工作時(shí)不對(duì)外提供任何端口，不僅保證了內(nèi)外網(wǎng)的安全隔離，有效地防止對(duì)醫(yī)院內(nèi)部網(wǎng)的木馬病毒攻擊、ARP欺騙等[9]，而且使數(shù)據(jù)不被篡改、泄露和丟失成為可能。由于網(wǎng)絡(luò)攻擊使內(nèi)網(wǎng)不穩(wěn)定，出現(xiàn)時(shí)斷時(shí)續(xù)的現(xiàn)象時(shí)，內(nèi)網(wǎng)的核心業(yè)務(wù)仍能保持連續(xù)安全運(yùn)轉(zhuǎn)[10]。基于網(wǎng)閘的數(shù)據(jù)上報(bào)的實(shí)現(xiàn)不僅可確保內(nèi)網(wǎng)信息系統(tǒng)的安全，而且高效地實(shí)現(xiàn)了內(nèi)外網(wǎng)的數(shù)據(jù)交換，為數(shù)據(jù)上報(bào)提供了一條安全便捷之路。

6 結(jié)語

采用安全隔離網(wǎng)閘技術(shù)實(shí)現(xiàn)數(shù)據(jù)上報(bào)在我院運(yùn)行3 a多以來，很好地滿足了醫(yī)院業(yè)務(wù)對(duì)網(wǎng)絡(luò)安全的要求，確保了院內(nèi)網(wǎng)的信息安全，為醫(yī)院的信息化建設(shè)提供了有力保障。

[1]胡建理，李小華，朱會(huì)英，等.一種安全的醫(yī)院疫情網(wǎng)絡(luò)直報(bào)解決方案[J].中華醫(yī)院感染學(xué)雜志，2010，20（20）：3 174-3 176.

[2]張洋，張常青.關(guān)于醫(yī)院信息系統(tǒng)數(shù)據(jù)安全問題及對(duì)應(yīng)措施[J].信息安全與技術(shù)，2012，3（5）：32-35.

[3]王羽，沈華強(qiáng).醫(yī)學(xué)工程科維修知識(shí)庫系統(tǒng)的建立[J].醫(yī)療衛(wèi)生裝備，2010，31（2）：58-60.

[4]楊宏橋，吳飛，劉玉樹，等.網(wǎng)絡(luò)隔離與安全交換技術(shù)在HIS中的應(yīng)用研究[J].醫(yī)療衛(wèi)生裝備，2008，29（2）：45-47.

[5]楊宏橋，吳飛，劉玉樹.安全數(shù)據(jù)交換技術(shù)在HIS中的應(yīng)用[J].計(jì)算機(jī)工程，2008，34（22）：195-197.

[6]丁汩，于琳.內(nèi)外網(wǎng)數(shù)據(jù)交換技術(shù)在校區(qū)數(shù)據(jù)同步中的應(yīng)用[J].福建電腦，2011，27（4）：136-137.

（????）（????）

[7]王麗明.安全數(shù)據(jù)交換技術(shù)在醫(yī)院局域網(wǎng)數(shù)字圖書館中的應(yīng)用[J].中國數(shù)字醫(yī)學(xué)，2012，7（2）：65-67.

[8]李雪，咸迪.跨平臺(tái)文件共享系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)技術(shù)與發(fā)展，2012，22（6）：191-194.

[9]胡建理，李小華，周斌.一種基于安全隔離網(wǎng)閘技術(shù)的醫(yī)院內(nèi)部網(wǎng)安全解決方案[J].醫(yī)療衛(wèi)生裝備，2010，31（7）：44-45，58.

[10]苗元青，辛海燕，徐浩.網(wǎng)閘在醫(yī)院網(wǎng)絡(luò)安全管理中的應(yīng)用[J].中國數(shù)字醫(yī)學(xué)，2009（9）：67-68.

（收稿：2013-01-15 修回：2013-07-25）

（欄目責(zé)任編校：李惠萍 孫麗麗）

Application of Security Gap Technology in Transmission of Hospital Data

QIN Fang,ZHAN Yong-feng,LI Ya-dong
(Information Department,General Hospital of Shenyang Military Area Command,Shenyang 110016,China)

Objective To ensure the safety ofmedicaldata network during the reporting process.Methods The security gap data exchange technologywasused toensure the safetyof thedataand hospital internalnetwork.Results The security ofhospital LAN wasenhanced,and the dataexchangebetween internaland externalnetworkswas realized effectively.Conclusion Data transmis- sion based on gap technology contributes to the information security of internalnetwork and informatization in hospital.[Chinese Medical Equipment Journal，2014，35（3）：64-65，150]

data exchange;security gap technology;network security;file synchronization

R318；TP392

A

1003-8868（2014）03-0064-03

10.7687/J.ISSN1003-8868.2014.03.064

秦 芳（1981—），女，主管技師，主要從事軟件工程、網(wǎng)絡(luò)與信息安全方面的研究工作，E-mail：succrain@163.com。

110016沈陽，沈陽軍區(qū)總醫(yī)院信息科（秦 芳，詹永豐，李亞東)