陳燕峰

摘 要： 探討了如何有效增強(qiáng)新農(nóng)合與醫(yī)院網(wǎng)絡(luò)之間數(shù)據(jù)交換的安全性，提升信息系統(tǒng)的服務(wù)能力。建立一套由新農(nóng)合管理和控制的安全防護(hù)機(jī)制，通過五控兩防兩隔離，全面掌握信息控制權(quán)。采用“網(wǎng)閘+網(wǎng)關(guān)+終端安全系統(tǒng)”的解決方案，實(shí)現(xiàn)新農(nóng)合網(wǎng)絡(luò)與醫(yī)院內(nèi)部網(wǎng)絡(luò)與間的網(wǎng)絡(luò)隔離斷開與數(shù)據(jù)的擺渡交換。通過新農(nóng)合與醫(yī)院網(wǎng)絡(luò)數(shù)據(jù)交換的安全防護(hù)方案的實(shí)施，可以有效降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，進(jìn)一步提升新農(nóng)合和醫(yī)院信息系統(tǒng)的服務(wù)水平。

關(guān)鍵詞： 新農(nóng)合； 數(shù)據(jù)交換； 擺渡交換； 安全防護(hù)； 隔離

中圖分類號(hào)：TP399 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2014）04-15-02

Abstract： How to efficiently increase the security of data exchange between new rural cooperative medical service （NCMS） and hospitals， and how to enhance service capabilities of information system are discussed. A security mechanism managed and controlled by the NCMS is established， with five ways to control， two ways to defend and two ways to isolate， controlling information entirely. Applying the scheme of “gatekeeper + gateway + terminal security system”， network isolation between the NCMS and hospital intranets， and ferry exchange of data are realized. After the new data exchange security scheme between the NCMS and hospitals is realized， the security risk will be reduced efficiently and the service quality of the NCMS and hospital information system will be improved further.

Key words： new rural cooperative medical service （NCMS）； data exchange； ferry exchange； security； isolation

0 引言

隨著新型農(nóng)村合作醫(yī)療（以下簡(jiǎn)稱：新農(nóng)合）逐步推進(jìn)，新農(nóng)合病人到醫(yī)院就診可以實(shí)時(shí)結(jié)算，新農(nóng)合網(wǎng)絡(luò)與醫(yī)院內(nèi)部網(wǎng)絡(luò)之間的數(shù)據(jù)交換日趨頻繁。據(jù)調(diào)查，大部分新農(nóng)合網(wǎng)絡(luò)與醫(yī)院內(nèi)部網(wǎng)絡(luò)有直接或間接相連，卻沒有采取可靠的安全防護(hù)措施。如何確保新農(nóng)合與醫(yī)院網(wǎng)絡(luò)之間數(shù)據(jù)交換的安全性，已經(jīng)成為一個(gè)重大的課題擺在了新農(nóng)合與醫(yī)院信息化建設(shè)主管部門的桌面上。

1 新農(nóng)合網(wǎng)絡(luò)現(xiàn)狀

新農(nóng)合制度是我國特有的一種醫(yī)療保障制度，與人民群眾的健康息息相關(guān)，新農(nóng)合正在廣泛推行實(shí)時(shí)結(jié)算、異地就醫(yī)結(jié)算。以浙江省桐鄉(xiāng)市新農(nóng)合為例，桐鄉(xiāng)的新農(nóng)合不僅在桐鄉(xiāng)市范圍內(nèi)實(shí)現(xiàn)實(shí)時(shí)聯(lián)網(wǎng)結(jié)報(bào)，而且還與嘉興市、杭州市、上海市等大中城市的定點(diǎn)醫(yī)院實(shí)現(xiàn)異地就醫(yī)實(shí)時(shí)結(jié)算。目前，按照國家信息安全等級(jí)保護(hù)要求[1]，新農(nóng)合網(wǎng)絡(luò)定級(jí)為三級(jí)，三級(jí)網(wǎng)絡(luò)在網(wǎng)絡(luò)結(jié)構(gòu)、訪問控制、安全審計(jì)、邊界完整性檢查、入侵防范等方面都做了嚴(yán)格要求，如要求在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，對(duì)用戶訪問進(jìn)行身份認(rèn)證，對(duì)非授權(quán)設(shè)備私自聯(lián)到網(wǎng)絡(luò)的行為進(jìn)行檢查等，以確保網(wǎng)絡(luò)穩(wěn)定運(yùn)行。

2 新農(nóng)合與醫(yī)院網(wǎng)絡(luò)接口

每個(gè)縣市的新農(nóng)合系統(tǒng)都是一個(gè)大型復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)，新農(nóng)合信息中心與當(dāng)?shù)氐尼t(yī)院、社區(qū)衛(wèi)生服務(wù)站等單位相連，交換醫(yī)療信息數(shù)據(jù)。為了便于管理和維護(hù)，新農(nóng)合信息中心都會(huì)對(duì)外提供統(tǒng)一的網(wǎng)絡(luò)接入和“數(shù)據(jù)交換接口”。由于各單位情況不同，接入方式包括直連專線接入、撥號(hào)專線接入和基于公網(wǎng)的VPN接入等多種形式；“數(shù)據(jù)交換接口”是一套軟件或動(dòng)態(tài)鏈接庫，醫(yī)院、社區(qū)衛(wèi)生服務(wù)站等單位的應(yīng)用程序統(tǒng)一通過這套接口與新農(nóng)合中心進(jìn)行數(shù)據(jù)交換[2]。

目前，新農(nóng)合網(wǎng)絡(luò)與醫(yī)院內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)交換方式基本上采用前置機(jī)模式，即在新農(nóng)合網(wǎng)絡(luò)和醫(yī)院內(nèi)部網(wǎng)絡(luò)之間放置一臺(tái)前置，雙方的數(shù)據(jù)交換通過前置機(jī)上的“軍事緩沖區(qū)（DMZ）”來完成，互相不進(jìn)入對(duì)方的網(wǎng)絡(luò)，前置機(jī)軟件由新農(nóng)合信息中心提供和維護(hù)。醫(yī)院的HIS系統(tǒng)通過調(diào)用新農(nóng)合提供的函數(shù)接口與前置機(jī)建立連接，將新農(nóng)合病人的數(shù)據(jù)傳輸?shù)角爸脵C(jī)上，再由前置機(jī)傳輸?shù)叫罗r(nóng)合信息中心。如圖1所示。

3 安全風(fēng)險(xiǎn)分析

雖然新農(nóng)合網(wǎng)絡(luò)被定級(jí)為三級(jí)網(wǎng)絡(luò)，不能直接與國際互聯(lián)網(wǎng)相連，各醫(yī)院、社區(qū)衛(wèi)生服務(wù)站等單位只能通過專線或?qū)＞W(wǎng)接入新農(nóng)合網(wǎng)絡(luò)，但接入單位多，接入網(wǎng)絡(luò)復(fù)雜，網(wǎng)絡(luò)管理水平參差不齊，而目前大部分醫(yī)院內(nèi)部網(wǎng)絡(luò)通過前置機(jī)直接連接新農(nóng)合網(wǎng)絡(luò)，存在安全隱患[3]。主要的安全風(fēng)險(xiǎn)可以概括為“三個(gè)不可控”。

3.1 網(wǎng)絡(luò)安全環(huán)境不可控

新農(nóng)合網(wǎng)絡(luò)是一個(gè)異常復(fù)雜的網(wǎng)絡(luò)環(huán)境，雖說接入該網(wǎng)絡(luò)需要新農(nóng)合管理機(jī)構(gòu)批準(zhǔn)，但因?yàn)榻尤霗C(jī)構(gòu)繁多，所以整個(gè)網(wǎng)絡(luò)可以說并不在新農(nóng)合的控制和管理之下，與各醫(yī)療機(jī)構(gòu)相連存在安全隱患。

3.2 網(wǎng)絡(luò)范圍不可控

醫(yī)院、社區(qū)衛(wèi)生服務(wù)站、鄉(xiāng)鎮(zhèn)街道、銀行等單位都需要接入新農(nóng)合網(wǎng)絡(luò)，接入終端數(shù)量多、分布廣，難于管理，給病毒、木馬傳播提供了便利的途徑。

3.3 主機(jī)安全不可控

放置在新農(nóng)合網(wǎng)絡(luò)與醫(yī)院內(nèi)部網(wǎng)絡(luò)之間的前置機(jī)，在實(shí)際工作中是存放在醫(yī)院端運(yùn)行和保管的。因該機(jī)器的位置特殊性，并沒有部署防火墻、IPS等對(duì)其進(jìn)行保護(hù)，所以該機(jī)器存在較大的被入侵可能，若將此機(jī)器作為跳板，就可以監(jiān)聽/竊取/破壞病人就醫(yī)資料了。

4 安全解決方案

4.1 實(shí)現(xiàn)目標(biāo)

新農(nóng)合網(wǎng)絡(luò)與醫(yī)院內(nèi)部網(wǎng)絡(luò)互聯(lián)中主要的安全風(fēng)險(xiǎn)在于：沒有可控的安全策略，缺乏對(duì)網(wǎng)絡(luò)安全包括信息安全交換方面的主導(dǎo)權(quán)。因此，在新農(nóng)合網(wǎng)絡(luò)與醫(yī)院內(nèi)部網(wǎng)絡(luò)之間，需要建立一套由新農(nóng)合管理和控制的安全防護(hù)機(jī)制[4]，這套機(jī)制要求達(dá)到如下目標(biāo)。

⑴ 網(wǎng)絡(luò)邊界的隔離防護(hù)。實(shí)現(xiàn)邊界安全隔離，隔離醫(yī)院內(nèi)部網(wǎng)絡(luò)，禁止醫(yī)院內(nèi)部網(wǎng)絡(luò)未經(jīng)授權(quán)主機(jī)就擅自訪問新農(nóng)合網(wǎng)絡(luò)。

⑵ 嚴(yán)格的授權(quán)訪問控制。采用強(qiáng)認(rèn)證技術(shù)，防止非授權(quán)的醫(yī)院內(nèi)部網(wǎng)絡(luò)終端訪問前置機(jī)、訪問新農(nóng)合網(wǎng)絡(luò)。

⑶ 非法外聯(lián)控制。防止木馬程序以醫(yī)院內(nèi)部網(wǎng)絡(luò)為跳板連接新農(nóng)合前置機(jī)，監(jiān)聽、獲取重要數(shù)據(jù)。

⑷ 網(wǎng)絡(luò)入侵防御。采用網(wǎng)絡(luò)邊界和終端入侵防護(hù)技術(shù)，保護(hù)新農(nóng)合前置機(jī)數(shù)據(jù)交換過程中不受惡意代碼感染、駐留，不被遠(yuǎn)程主機(jī)控制和連接。

⑸ 訪問行為強(qiáng)審計(jì)。審計(jì)所有對(duì)新農(nóng)合數(shù)據(jù)庫的訪問請(qǐng)求，對(duì)試圖訪問敏感信息的行為進(jìn)行阻斷和報(bào)警。

4.2 設(shè)計(jì)思路

五控兩防兩隔離，全面掌握信息控制權(quán)。五控：外網(wǎng)到內(nèi)網(wǎng)的訪問控制、內(nèi)網(wǎng)到外網(wǎng)的訪問控制、通信協(xié)議及內(nèi)容控制、通信對(duì)象控制、新農(nóng)合終端訪問范圍控制；兩防：防止外網(wǎng)暴力攻擊、防止內(nèi)網(wǎng)主動(dòng)泄露；兩隔離：新農(nóng)合網(wǎng)絡(luò)與醫(yī)院內(nèi)部網(wǎng)絡(luò)安全隔離、新農(nóng)合終端與醫(yī)院終端隔離。

4.3 解決方案

采用“網(wǎng)閘+網(wǎng)關(guān)+終端安全系統(tǒng)”的解決方案，實(shí)現(xiàn)新農(nóng)合網(wǎng)絡(luò)與醫(yī)院內(nèi)部網(wǎng)絡(luò)與間的網(wǎng)絡(luò)隔離斷開與數(shù)據(jù)的擺渡交換。即在醫(yī)院內(nèi)部網(wǎng)絡(luò)與新農(nóng)合前置機(jī)間加裝符合安全認(rèn)證要求的安全隔離與信息交換系統(tǒng)（網(wǎng)閘）和安全網(wǎng)關(guān)，并在需訪問新農(nóng)合前置機(jī)的醫(yī)院內(nèi)部網(wǎng)絡(luò)終端上安裝安全控制軟件。網(wǎng)閘、網(wǎng)關(guān)與終端安全系統(tǒng)相結(jié)合且相互聯(lián)動(dòng)，構(gòu)成動(dòng)態(tài)的防御體系。

4.4 技術(shù)先進(jìn)性

4.4.1 采用隔離網(wǎng)閘實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離和防御外網(wǎng)暴力攻擊

隔離網(wǎng)閘采用獨(dú)特的硬件架構(gòu)，能夠?qū)崿F(xiàn)新農(nóng)合網(wǎng)絡(luò)與醫(yī)院內(nèi)部網(wǎng)絡(luò)與之間TCP/IP的網(wǎng)絡(luò)斷開。當(dāng)鏈路斷開后，外網(wǎng)無法與醫(yī)院內(nèi)部網(wǎng)絡(luò)任何主機(jī)進(jìn)行網(wǎng)絡(luò)連接，也就無法攻擊主機(jī)，從而實(shí)現(xiàn)新農(nóng)合網(wǎng)絡(luò)與醫(yī)院內(nèi)部網(wǎng)絡(luò)在連接過程中不受來自其他設(shè)備的各類網(wǎng)絡(luò)層、操作系統(tǒng)層網(wǎng)絡(luò)攻擊。如圖2所示。

4.4.2 采用多因素身份認(rèn)證機(jī)制實(shí)現(xiàn)嚴(yán)格的訪問控制

采用三位一體強(qiáng)認(rèn)證技術(shù)實(shí)現(xiàn)可信的身份鑒別，能夠嚴(yán)格控制醫(yī)院內(nèi)部網(wǎng)絡(luò)與新農(nóng)合網(wǎng)絡(luò)之間的訪問活動(dòng)，禁止除新農(nóng)合前置機(jī)外的任何外網(wǎng)節(jié)點(diǎn)訪問醫(yī)院內(nèi)部網(wǎng)絡(luò)，禁止任何外網(wǎng)主機(jī)直接訪問醫(yī)院HIS等核心服務(wù)器，禁止醫(yī)院終端向除新農(nóng)合前置外的任何其他IP地址發(fā)起訪問，限制醫(yī)院能夠訪問新農(nóng)合前置機(jī)的終端數(shù)量。動(dòng)聯(lián)身份認(rèn)證訪問機(jī)制如圖3所示。

對(duì)新農(nóng)合所有數(shù)據(jù)庫訪問的內(nèi)容進(jìn)行審計(jì)數(shù)據(jù)中心部署數(shù)據(jù)庫審計(jì)和數(shù)據(jù)訪問控制系統(tǒng)[5]，對(duì)所有數(shù)據(jù)庫訪問請(qǐng)求進(jìn)行事先防范、事中授權(quán)、審批和及時(shí)通知、事后審計(jì)的全面數(shù)據(jù)保護(hù)授權(quán)和審計(jì)。

5 結(jié)束語

本文探討了通過實(shí)施一套新農(nóng)合與醫(yī)院網(wǎng)絡(luò)數(shù)據(jù)交換的安全防護(hù)方案，有效降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。該方案可以將網(wǎng)絡(luò)安全環(huán)境、網(wǎng)絡(luò)范圍、主機(jī)安全的風(fēng)險(xiǎn)掌握在一定的可控范圍內(nèi)，從而進(jìn)一步提升新農(nóng)合和醫(yī)院信息系統(tǒng)的服務(wù)水平。

參考文獻(xiàn)：

[1] 尚邦治.做好信息安全等級(jí)保護(hù)工作[J].中國衛(wèi)生信息管理，2012.9（5）：19-23

[2] 汪永琳，丁一.基于HL7的醫(yī)療數(shù)據(jù)集成及系統(tǒng)設(shè)計(jì)[J].通訊技術(shù)，2009.42（12）：176-177

[3] 倪寧.區(qū)域衛(wèi)生信息平臺(tái)安全分析[J].中國衛(wèi)生信息管理，2013.10（3）：244-247

[4] 王晨旭，李剛榮，吳昊.淺談醫(yī)院信息安全管理[J].中國衛(wèi)生信息管理雜志，2011.8（5）：33-35

[5] GB/T 20988-2007.信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范[S].