蔣晉鵬，唐鴻建，曹美琴，儲(chǔ)　穎，孫啟亮，王祥號(hào)

?

·論著·

醫(yī)院醫(yī)保網(wǎng)絡(luò)平臺(tái)架構(gòu)探討與分析

蔣晉鵬，唐鴻建，曹美琴，儲(chǔ)穎，孫啟亮，王祥號(hào)

[摘要]目的利用醫(yī)院現(xiàn)有網(wǎng)絡(luò)設(shè)備，在不改變現(xiàn)有網(wǎng)絡(luò)架構(gòu)的前提下實(shí)現(xiàn)醫(yī)院同醫(yī)保中心、省農(nóng)合數(shù)據(jù)中心、地方合管辦、外省農(nóng)合數(shù)據(jù)中心以及合管辦相連，來(lái)滿足更多患者跨市乃至跨省就診的需求。方法某院采用訪問(wèn)控制列表(access control lists,ACL)和端口映射(network address port translation，NAPT)技術(shù)，在防火墻上將醫(yī)院部分需要訪問(wèn)新農(nóng)合數(shù)據(jù)中心、醫(yī)保中心的設(shè)備IP地址以及對(duì)應(yīng)的出端口進(jìn)行映射，轉(zhuǎn)換為可以訪問(wèn)新農(nóng)合數(shù)據(jù)中心、醫(yī)保中心的合法IP地址，在網(wǎng)閘(GAP)上采用訪問(wèn)控制與身份認(rèn)證技術(shù)。結(jié)果實(shí)現(xiàn)醫(yī)院同新農(nóng)合數(shù)據(jù)中心、醫(yī)保中心相連。結(jié)論網(wǎng)絡(luò)技術(shù)與硬件設(shè)備相結(jié)合，保證網(wǎng)絡(luò)的暢通，增強(qiáng)醫(yī)院內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)的安全性，同時(shí)還節(jié)約了公網(wǎng)IP地址。

[關(guān)鍵詞]信息化；訪問(wèn)控制列表；端口映射；網(wǎng)閘

作者單位：210002江蘇南京，解放軍81醫(yī)院信息科

引用格式：蔣晉鵬，唐鴻建，曹美琴，等.醫(yī)院醫(yī)保網(wǎng)絡(luò)平臺(tái)架構(gòu)探討與分析[J].東南國(guó)防醫(yī)藥，2016,18(1):65-67.

隨著當(dāng)前醫(yī)療衛(wèi)生體制的深化改革，建立健全覆蓋城鄉(xiāng)居民的基本醫(yī)療衛(wèi)生制度成為醫(yī)療體制改革的總體目標(biāo)。新型農(nóng)村合作醫(yī)療制度(以下簡(jiǎn)稱新農(nóng)合)，已經(jīng)成為我國(guó)基本醫(yī)療保障體系的重要組成部分，該制度減輕了農(nóng)民因患重大疾病而帶來(lái)的經(jīng)濟(jì)負(fù)擔(dān)，減少了農(nóng)村居民因病致貧和因病返貧現(xiàn)象[1]。我院是省市醫(yī)保定點(diǎn)醫(yī)療機(jī)構(gòu)，也是江蘇省、安徽省新農(nóng)合即時(shí)結(jié)算補(bǔ)償報(bào)銷定點(diǎn)醫(yī)療機(jī)構(gòu)，已與兩省多個(gè)市、區(qū)、縣簽訂了即時(shí)結(jié)算補(bǔ)償報(bào)銷協(xié)議以及大病種協(xié)議，并在不斷總結(jié)經(jīng)驗(yàn)的基礎(chǔ)上，逐漸擴(kuò)展即時(shí)結(jié)報(bào)范圍。在運(yùn)行過(guò)程中，如何確保信息安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全，如何穩(wěn)定可靠地實(shí)現(xiàn)醫(yī)院HIS系統(tǒng)與醫(yī)保平臺(tái)的數(shù)據(jù)交換，是亟待解決的首要問(wèn)題。經(jīng)過(guò)多年的探索和實(shí)踐，我院省市醫(yī)保、新農(nóng)合工作已逐步完善，安全機(jī)制漸行提高，為前來(lái)就醫(yī)的廣大患者提供優(yōu)質(zhì)的醫(yī)療服務(wù)和信息安全保障。

1網(wǎng)絡(luò)概況

我院目前網(wǎng)絡(luò)架構(gòu)主要是由信息終端、接入層、核心層以及數(shù)據(jù)中心四個(gè)主要部分組成。接入層是百兆、千兆自適應(yīng)交換機(jī)，與核心層之間采用的是雙上行鏈路光纖接入，千兆帶寬，提高數(shù)據(jù)傳輸效率，實(shí)現(xiàn)鏈路冗余與備份。核心層是由兩臺(tái)高端交換機(jī)組成，提供應(yīng)用和服務(wù)連續(xù)性統(tǒng)一在一起的融合網(wǎng)絡(luò)環(huán)境，減少關(guān)鍵業(yè)務(wù)數(shù)據(jù)和服務(wù)的中斷；集成高性能的網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理，提供接入保護(hù)和入侵檢測(cè)保護(hù)；通過(guò)萬(wàn)兆光纖連接采用VSS架構(gòu)，實(shí)現(xiàn)兩臺(tái)主交換機(jī)之間的數(shù)據(jù)負(fù)載均衡，同時(shí)還實(shí)現(xiàn)了網(wǎng)絡(luò)中心的設(shè)備融災(zāi)備份、帶寬倍增。核心層與數(shù)據(jù)中心之間是通過(guò)核心交換機(jī)連接且也是雙上行鏈路光纖接入，萬(wàn)兆帶寬，采用鏈路聚合技術(shù)提高數(shù)據(jù)傳輸效率。網(wǎng)關(guān)與網(wǎng)閘的接入加強(qiáng)內(nèi)網(wǎng)的安全接入與認(rèn)證功能[2]。我院外來(lái)網(wǎng)絡(luò)接入，如省醫(yī)保、市醫(yī)保、江蘇農(nóng)合、安徽農(nóng)合、銀醫(yī)一卡通等，均是采用專線接入。當(dāng)對(duì)方服務(wù)器上程序需要訪問(wèn)我院HIS系統(tǒng)或者有外來(lái)數(shù)據(jù)進(jìn)去我院內(nèi)網(wǎng)時(shí)，需要經(jīng)過(guò)防火墻上訪問(wèn)控制列表(access control lists,ACL)控制列表的篩選、網(wǎng)關(guān)與網(wǎng)閘的安全認(rèn)證，通過(guò)才可以訪問(wèn)，否則拒絕。醫(yī)院內(nèi)網(wǎng)、因特網(wǎng)之間是完全物理隔離的，提高醫(yī)院內(nèi)網(wǎng)數(shù)據(jù)信息的安全級(jí)別。具體網(wǎng)絡(luò)架構(gòu)見(jiàn)圖1。

圖1　網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

2端口映射

2.1NAT地址轉(zhuǎn)換隨著網(wǎng)絡(luò)技術(shù)的發(fā)展以及電腦的普及，現(xiàn)有公網(wǎng)的IP地址無(wú)法滿足全球現(xiàn)有用戶的使用，為了解決ipv4地址短缺的問(wèn)題，internet工程工作小組IETF提出了網(wǎng)絡(luò)地址轉(zhuǎn)換(network address translation，NAT)解決方案。IP地址分為公有地址和私有地址。公有地址統(tǒng)一分配，用于internet通訊；私有地址可以自由分配。私有地址包括A類：10.0.0.0-10.255.255.255；B類：172.16.0.0-172.31.255.255；C類：192.168.0.0-192.168.255.255[3]。NAT技術(shù)的主要作用是將私有地址轉(zhuǎn)換成公有地址，使私有網(wǎng)絡(luò)中的主機(jī)可以通過(guò)共享少量公有IP地址訪問(wèn)internet。

2.2NAT轉(zhuǎn)換方式地址轉(zhuǎn)換目前存在兩種方式。第一種是基本NAT或者靜態(tài)NAT，技術(shù)上簡(jiǎn)單，僅支持地址一對(duì)一的轉(zhuǎn)換，不支持端口映射，這就需要對(duì)當(dāng)前應(yīng)用的每一個(gè)私有IP地址都對(duì)應(yīng)一個(gè)公網(wǎng)IP地址。第二種是常用的簡(jiǎn)記為NAT的網(wǎng)絡(luò)地址轉(zhuǎn)換，也稱NAPT(network address port translation)端口映射[4]，這種方式支持并允許多個(gè)私有IP地址共享一個(gè)公網(wǎng)IP地址，把內(nèi)網(wǎng)中所有可以訪問(wèn)外部網(wǎng)絡(luò)的私有IP地址偽裝成一個(gè)公網(wǎng)IP地址去訪問(wèn)外部網(wǎng)絡(luò)，且外部無(wú)法發(fā)現(xiàn)內(nèi)部私有IP地址以及內(nèi)網(wǎng)架構(gòu)，在一定程度上提高內(nèi)網(wǎng)的安全級(jí)別。

2.3NAPT端口映射NAPT即網(wǎng)絡(luò)端口與地址同時(shí)轉(zhuǎn)換，是常用的一種轉(zhuǎn)換方式，將多個(gè)內(nèi)部地址映射為一個(gè)合法公網(wǎng)地址，但以不同的協(xié)議端口號(hào)與不同的內(nèi)部地址相對(duì)應(yīng)，也就是內(nèi)部地址、內(nèi)部端口同外部地址、外部端口之間的轉(zhuǎn)換。當(dāng)位于內(nèi)部網(wǎng)絡(luò)中的主機(jī)通過(guò)路由器或者交換機(jī)向外部服務(wù)器發(fā)起會(huì)話請(qǐng)求時(shí)，路由器或者交換機(jī)就會(huì)查詢NAT表，看是否有相關(guān)會(huì)話記錄，如果有相關(guān)記錄，就會(huì)將內(nèi)部IP地址及端口同時(shí)進(jìn)行轉(zhuǎn)換，再轉(zhuǎn)發(fā)出去；如果沒(méi)有相關(guān)記錄，進(jìn)行IP地址和端口轉(zhuǎn)換的同時(shí)，還會(huì)在NAT表中增加一條該會(huì)話的記錄。外部主機(jī)接收到數(shù)據(jù)包后，用接受到的合法公網(wǎng)地址及端口作為目的IP地址及目的端口來(lái)響應(yīng)，NAT設(shè)備接收到外部回來(lái)的數(shù)據(jù)包，再根據(jù)NAT表中的記錄把目的地址及端口轉(zhuǎn)換成對(duì)應(yīng)的內(nèi)部IP地址及端口，轉(zhuǎn)發(fā)給該內(nèi)部主機(jī)[5]。NAPT常用于接入設(shè)備中，它可以將中小型的網(wǎng)絡(luò)架構(gòu)隱藏在一個(gè)合法的IP地址后面。NAPT也被稱為“多對(duì)一”或“多對(duì)多”的NAT，或者叫PAT(port address translations，端口地址轉(zhuǎn)換或者端口映射)。

3網(wǎng)絡(luò)配置

3.1內(nèi)網(wǎng)IP劃分概況我院約有1000個(gè)信息點(diǎn)位，通過(guò)VLAN劃分，分為不同的網(wǎng)段：192.168.100.0-192.168.114.0，彼此之間可以互相訪問(wèn)。假設(shè)省醫(yī)保的服務(wù)器地址：20.1.1.2，市醫(yī)保服務(wù)器地址：30.1.1.2，江蘇新農(nóng)合服務(wù)器地址：40.1.1.2，安徽農(nóng)合服務(wù)器地址：50.1.1.2，銀醫(yī)一卡通服務(wù)器地址：60.1.1.2。當(dāng)省醫(yī)保、市醫(yī)保、安徽農(nóng)合、江蘇農(nóng)合等多條專線接入時(shí)，考慮到醫(yī)院網(wǎng)絡(luò)安全問(wèn)題，我院內(nèi)部只允許網(wǎng)段為192.168.100.0段地址可以訪問(wèn)這些不同專線上的不同網(wǎng)段的服務(wù)器且對(duì)方不可以訪問(wèn)我院內(nèi)部服務(wù)器。為了解決這個(gè)問(wèn)題，我院防火墻上采用了ACL策略與端口映射技術(shù)NAPT。

3.2配置ACL與NAPT

3.2.1配置ACLACL是應(yīng)用在路由器或者交換機(jī)接口的指令列表[6]。這些指令列表用來(lái)告訴路由器或者交換機(jī)哪些數(shù)據(jù)包可以收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕，可以由通過(guò)特定的源地址、目的地址、端口號(hào)或者是某一段的源地址、目的地址等特定指示條件來(lái)決定，在出端口或入端口引用該策略，當(dāng)所有數(shù)據(jù)包到達(dá)端口時(shí)會(huì)與該端口引用的ACL策略進(jìn)行匹配，自動(dòng)篩選允許通過(guò)或者丟棄的數(shù)據(jù)包。訪問(wèn)控制列表不但可以起到控制網(wǎng)絡(luò)流量、流向的作用，而且在很大程度上起到保護(hù)網(wǎng)絡(luò)設(shè)備、服務(wù)器安全的關(guān)鍵作用。

配置如下：

F_W (config)# access-list 1 deny 0.0.0.0255.255.255.255；//建立訪問(wèn)控制列表，拒絕所有外來(lái)地址的訪問(wèn)；

F_W (config)# interface range GigabitEthernet 0/0 - 0/7；//進(jìn)入防火墻的入端口0/0到0/7；

F_W (config-if)# ip access-group 1 in；//用于對(duì)入防火墻數(shù)據(jù)包的控制，在防火墻的入端口0/0到0/7激活控制列表。

3.2.2配置市醫(yī)保 省醫(yī)保、市醫(yī)保、江蘇農(nóng)合、安徽農(nóng)合、銀醫(yī)一卡通，均是專線接入。當(dāng)我院分別訪問(wèn)這些不同的服務(wù)器時(shí)，均需要地址轉(zhuǎn)換方可實(shí)現(xiàn)。彼此配置方法類似，此處以市醫(yī)保地址轉(zhuǎn)換為例，配置如下：

F_W(config)#interface GigabitEthernet0/1；//進(jìn)入配置端口

F_W (config-if)#nameif outside_shiyibao；//端口命名

F_W (config-if)# ip address30.1.1.3255.255.255.128；//配置出口物理端口地址

F_W (config-if)#object network shiyibao；//進(jìn)入該端口的端口映射配置模式

F_W (config-if)#subnet 192.168.100.0255.255.255.0；//標(biāo)示內(nèi)網(wǎng)源地址段地址

F_W (config-if)# nat (inside,outside_ shiyibao) static 30.1.1.2；//映射為出口訪問(wèn)地址

F_W(config)ip route outside_shiyibao 30.1.1.0255.255.0.0；//出口訪問(wèn)靜態(tài)路由，去往市醫(yī)保的全部經(jīng)由映射地址出口

4運(yùn)行狀況

配置完成后，試運(yùn)行效果良好，未出現(xiàn)網(wǎng)絡(luò)延遲、數(shù)據(jù)丟失現(xiàn)象。即使當(dāng)有大量數(shù)據(jù)需要上傳至醫(yī)保中心、江蘇省平臺(tái)或安徽省平臺(tái)時(shí)也未出現(xiàn)數(shù)據(jù)丟失現(xiàn)象，未出現(xiàn)外來(lái)不明地址訪問(wèn)我院服務(wù)器現(xiàn)象。

NAPT技術(shù)的采用，既可以解決IP地址不足的問(wèn)題，又可以優(yōu)化網(wǎng)絡(luò)設(shè)計(jì)隱藏我院內(nèi)部網(wǎng)絡(luò)架構(gòu)，同時(shí)又通過(guò)ACL訪問(wèn)控制列表對(duì)一些不明地址的訪問(wèn)進(jìn)行控制來(lái)進(jìn)一步提高網(wǎng)絡(luò)的安全性，使網(wǎng)絡(luò)的配置既靈活又能節(jié)約經(jīng)濟(jì)成本；再加上網(wǎng)閘、網(wǎng)關(guān)、防火墻的使用，對(duì)可以訪問(wèn)我院服務(wù)器的對(duì)端服務(wù)器上的程序以及IP地址進(jìn)一步篩選，阻止非法程序訪問(wèn)。

5結(jié)論

NAPT使得一系列網(wǎng)絡(luò)設(shè)備可以通過(guò)不同的端口號(hào)來(lái)共享唯一的外部地址，使得所有不同的數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)程中源地址為同一個(gè)IP地址。NAPT的主要優(yōu)勢(shì)在于，能夠使用一個(gè)有效的IP地址獲得通用性，而且有效的隱藏了內(nèi)部網(wǎng)絡(luò)設(shè)備IP地址和整個(gè)網(wǎng)絡(luò)的拓?fù)浼軜?gòu)，保證內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)與數(shù)據(jù)的安全性，節(jié)約公網(wǎng)IP地址。

6體會(huì)

通過(guò)對(duì)醫(yī)院醫(yī)保網(wǎng)絡(luò)平臺(tái)搭建與調(diào)試，深刻體會(huì)到醫(yī)院信息化的建設(shè)與完善、信息安全等級(jí)保護(hù)加強(qiáng)是越發(fā)的重要。醫(yī)院信息系統(tǒng)安全直接影響到醫(yī)院醫(yī)療工作的是否能夠正常運(yùn)行，網(wǎng)絡(luò)癱瘓或者數(shù)據(jù)丟失，都將會(huì)給醫(yī)院和病人帶來(lái)巨大的災(zāi)難和難以彌補(bǔ)的損失以及名譽(yù)上的損失[7]。我院隨著云計(jì)算技術(shù)、云安全技術(shù)以及高端網(wǎng)絡(luò)設(shè)備的引入，顯著提高我院醫(yī)療機(jī)構(gòu)信息化建設(shè)和管理維護(hù)水平，為我院醫(yī)療工作提供重要保證；此外，在安全方面為我院數(shù)據(jù)庫(kù)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、防止惡意攻擊等提供強(qiáng)有力的保障[8-9]。

【參考文獻(xiàn)】

[1]王秋月.新農(nóng)合即報(bào)系統(tǒng)的研制與開(kāi)發(fā)[J].中國(guó)數(shù)字醫(yī)學(xué)，2014，9(1)：109-111.

[2]王大勇,李杰.軍隊(duì)網(wǎng)絡(luò)醫(yī)療建設(shè)的現(xiàn)狀和體會(huì)[J].東南國(guó)防醫(yī)藥，2012，14(4)：385-386.

[3]劉立輝,錢海江.醫(yī)院連接新農(nóng)合網(wǎng)絡(luò)專線的配置分析[J].醫(yī)療衛(wèi)生裝備，2011，32(11)：60-62.

[4]唐云,羅俊松.IP地址管理及子網(wǎng)劃分[J].制造業(yè)自動(dòng)化，2011，33(2)：37-38.

[5]孫中廷.NAT技術(shù)解決IP地址短缺問(wèn)題的實(shí)現(xiàn)[J].辦公自動(dòng)化雜志，2013(14)：42-44.

[6]張波，萬(wàn)麗.基于端口映射NAT網(wǎng)絡(luò)方案分析與實(shí)施[J].軟件工程師，2015，18(3)：12-13.

[7]張穩(wěn)，袁波.加強(qiáng)軍隊(duì)醫(yī)院信息安全管理實(shí)踐與體會(huì)[J].東南國(guó)防醫(yī)藥，2013，15(2)：200-201.

[8]高芳.醫(yī)院網(wǎng)絡(luò)安全與管理[J].信息安全與技術(shù)，2012，3(3)：29-30.

[9]陳偉,王強(qiáng),袁天祥.醫(yī)療云計(jì)算技術(shù)與信息安全等級(jí)保護(hù)[J].中國(guó)數(shù)字醫(yī)學(xué)，2014，9(8)：26-28.

(本文編輯：徐燕茹；英文編輯：王建東)

The discussion and analysis on the network platform architecture of the hospital medical insurance

JIANGJin-peng,TANGHong-jian,CAOMei-qin

,CHUYing,SUNQi-liang,WANGXiang-hao.ITDepartment,81HospitalofPLA,Nanjing,Jiangsu210002,China

[Abstract]ObjectiveTo utilize the network equipment in the hospital without changing existing network architecture. To realize the association between hospital and the medical insurance center, data center of provincial rural cooperation medical care, rural cooperation medical management office, the data center of other provincial rural cooperation medical care, cooperation medical management office, satisfying more patients in new rural cooperative medical care to treatment cross the city even the province. MethodsOur hospital adopted the ACL(access control lists) and NAPT(network address port translation) technology to translate the IP address of equipment and the corresponding port on the firewall which hospital needs to access the data center of NCMS, and translated to the legal IP address which can access to the data center of NCMS and medical insurance center, employed the control and identity authentication technology on the network gateway (GAP). ResultsThe connection with the data center was realized. ConclusionCombining the network technology with hardware devices ensures smooth network, enhances the safety of the hospital network data and saves the IP address of public network.

[Key words]informatization; ACL(access control lists); NAPT(network address port translation); GAP

(收稿日期：2015-08-21；修回日期：2015-12-15)

通訊作者：唐鴻建，E-mail:njthj_81@sina.com

[中圖分類號(hào)]R197.324

[文獻(xiàn)標(biāo)志碼]A

doi：10.3969/j.issn.1672-271X.2016.01.020