廖華強 楊坤岱 遂寧市中心醫(yī)院信息科

淺談我院內(nèi)外網(wǎng)融合網(wǎng)絡(luò)的架構(gòu)

廖華強 楊坤岱 遂寧市中心醫(yī)院信息科

內(nèi)網(wǎng)與外網(wǎng)的數(shù)據(jù)交互是醫(yī)院網(wǎng)絡(luò)系統(tǒng)在移動醫(yī)療時代的主要發(fā)展方向。數(shù)據(jù)交互的安全性是醫(yī)院在內(nèi)外網(wǎng)互聯(lián)機制建構(gòu)過程中所關(guān)注的問題。我院擬從遠程心電，遠程超聲，遠程放射，遠程教學，網(wǎng)站等方面入手，對內(nèi)外網(wǎng)融合體系進行優(yōu)化。本文主要對內(nèi)外網(wǎng)的融合方式和與之相關(guān)的安全解決方案進行了論述

醫(yī)院信息系統(tǒng) 內(nèi)外網(wǎng)融合 網(wǎng)絡(luò)安全 防火墻

醫(yī)院信息系統(tǒng)是醫(yī)院在內(nèi)部獨立局域網(wǎng)中實現(xiàn)業(yè)務數(shù)據(jù)共享的重要因素。處于網(wǎng)絡(luò)安全的需要，醫(yī)院內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)系統(tǒng)之間具有著在物理上完全隔離的特點。以U盤等工具為依托的外部人工處理機制是醫(yī)院內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)系統(tǒng)之間實現(xiàn)數(shù)據(jù)文件交換的主要方式。隨著醫(yī)療信息化建設(shè)的不斷發(fā)展，醫(yī)院移動業(yè)務對互聯(lián)網(wǎng)的依賴性得到了提升。針對我院內(nèi)外網(wǎng)體系所面臨的問題，從遠程心電，遠程超聲，遠程放射，遠程教學等方面入手，對網(wǎng)絡(luò)體系進行優(yōu)化，是提升本院信息化水平的重要措施。安全化、穩(wěn)定化、高效化的內(nèi)外網(wǎng)融合體系的建構(gòu)，成為了醫(yī)院新時期網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)型的重要目標。

1 內(nèi)外網(wǎng)的融合方式

1.1 利用應用防火墻對網(wǎng)絡(luò)邊界安全訪問進行控制

在防火墻硬件設(shè)備在醫(yī)院內(nèi)外網(wǎng)邊界之間以后，防火墻可以發(fā)揮出對內(nèi)外網(wǎng)之間流入流出的數(shù)據(jù)包進行過濾和檢測的作用。由于防火墻系統(tǒng)僅能為醫(yī)院內(nèi)部網(wǎng)和外部網(wǎng)提供基于網(wǎng)絡(luò)層的安全保護，因而在網(wǎng)絡(luò)攻擊行為表現(xiàn)出向應用層攻擊的特點以后，傳統(tǒng)防火墻并不能對一些隱藏在應用程序中的攻擊代碼進行有效甄別。

1.2 利用物理隔離網(wǎng)閘優(yōu)化內(nèi)外網(wǎng)數(shù)據(jù)交互方式

與物理隔離網(wǎng)閘有關(guān)的內(nèi)外網(wǎng)數(shù)據(jù)交互方式是建立在兩個獨立系統(tǒng)之間的無協(xié)議擺渡技術(shù)完成數(shù)據(jù)交互的方式。在這一安全設(shè)備應用于醫(yī)院內(nèi)外網(wǎng)融合系統(tǒng)以后，物理隔離網(wǎng)閘所連接的獨立主機系統(tǒng)可以在無通信物理連接、無邏輯連接和信息傳輸協(xié)議的情況下，完成數(shù)據(jù)信息的傳輸工作。對于醫(yī)院相關(guān)內(nèi)部網(wǎng)絡(luò)而言，這一技術(shù)可以讓對內(nèi)部網(wǎng)絡(luò)安全帶來威脅的一切連接進行阻斷，這就可以在壓縮黑客活動空間的基礎(chǔ)上，對數(shù)據(jù)交互的安全性進行提升。醫(yī)院外部網(wǎng)絡(luò)借助隔離網(wǎng)閘與內(nèi)部網(wǎng)絡(luò)連接以后，物理隔離網(wǎng)閘可以對外部主機所發(fā)起的TCP/IP協(xié)議進行剝離，并讓原始數(shù)據(jù)通過存儲介質(zhì)導入至內(nèi)部主機系統(tǒng)之中。在醫(yī)院內(nèi)網(wǎng)與內(nèi)網(wǎng)之間不存在信息交換的情況下，物理隔離網(wǎng)閘與內(nèi)網(wǎng)、外網(wǎng)之間處于斷開狀態(tài)。從物理隔離網(wǎng)閘技術(shù)的發(fā)展現(xiàn)狀來看，在這一技術(shù)的應用過程中，醫(yī)院需要從內(nèi)部的具體業(yè)務入手，對專用的交換模塊進行開發(fā)，以便對與TCP協(xié)議和UDP協(xié)議有關(guān)的數(shù)據(jù)隔離交換體系和安全檢測體系進行優(yōu)化。

2 內(nèi)外網(wǎng)整合架構(gòu)的設(shè)計方法

2.1 網(wǎng)站數(shù)據(jù)中心融合的保障措施

內(nèi)部接入網(wǎng)區(qū)域和外部接入網(wǎng)區(qū)域是醫(yī)院數(shù)據(jù)中心的主要組成部分。防火墻和IPS/IDS防毒墻的綜合運用，可以在讓醫(yī)院數(shù)據(jù)中心的保障體系得到優(yōu)化。針對內(nèi)外網(wǎng)整合主流方式在網(wǎng)絡(luò)架構(gòu)中存在的問題，醫(yī)院可以借助網(wǎng)絡(luò)網(wǎng)關(guān)、防火墻設(shè)備、前置機和安全隔離網(wǎng)閘為核心的安全融合架構(gòu)，為醫(yī)院數(shù)據(jù)中心的融合提供支持。網(wǎng)絡(luò)網(wǎng)關(guān)可以對網(wǎng)絡(luò)入侵行為和一些未授權(quán)的訪問行為進行有效控制，也可以借助相應的板卡對安全防控等級進行提升。前置機可以放置在醫(yī)院外網(wǎng)和內(nèi)網(wǎng)服務器之間，它可以發(fā)揮網(wǎng)絡(luò)通信、報文認證和醫(yī)療數(shù)據(jù)格式轉(zhuǎn)換功能。在前置機與內(nèi)網(wǎng)服務器之間產(chǎn)生數(shù)據(jù)同步以后，安全隔離網(wǎng)閘可以通過切斷前置機與內(nèi)網(wǎng)服務器之間的連接的方式，對前置機在收到木馬病毒攻擊以后將病毒滲透至內(nèi)網(wǎng)服務器的現(xiàn)象進行預防。

2.2 外部網(wǎng)絡(luò)用戶終端網(wǎng)絡(luò)融合準入機制

從醫(yī)院信息系統(tǒng)的業(yè)務特點來看，醫(yī)院終端設(shè)備的內(nèi)外網(wǎng)接入模式可以是由用戶進行選擇的應用模式。三層交換機是醫(yī)院網(wǎng)絡(luò)架構(gòu)中的常用形式。醫(yī)院終端設(shè)備的IP地址的規(guī)劃在用戶終端網(wǎng)絡(luò)融合準入體系中發(fā)揮著重要的作用。接口流量監(jiān)視機制、CPU利用率監(jiān)視機制和VPN網(wǎng)關(guān)的優(yōu)化，可以讓準入機制的實效性得到提升。告警閾值的合理優(yōu)化，也可以讓管理人員對告警信息進行實施把握。

網(wǎng)站安全網(wǎng)關(guān)、前置機、防火墻與隔離網(wǎng)閘的有效運用，是技術(shù)人員對醫(yī)院內(nèi)外網(wǎng)融合體系的安全性進行強化的有效措施。同時在醫(yī)院對內(nèi)外網(wǎng)系統(tǒng)的安全性進行強化的基礎(chǔ)上，提升用戶的工作效率。

[1]俞華.醫(yī)院內(nèi)外網(wǎng)融合的網(wǎng)絡(luò)架構(gòu)配置實踐[J].中國數(shù)字醫(yī)學,2017,12(03):94-96.