李享，李婧，张红，张金辉

中国中医科学院广安门医院计算机中心，北京 100053

医院与社区信息协同共享模式网络安全解决方案

李享，李婧，张红，张金辉

中国中医科学院广安门医院计算机中心，北京 100053

为降低医院与社区信息协同共享服务模式中存在的安全风险，本文从网络层面提出安全解决方案。利用隔离网络安全互联、链路加密及安全数据隔离三方面的关键技术，构建医院与社区网络互联拓扑架构，以保障医院与社区信息协同共享模式网络安全。

医院信息系统；区域医疗；信息协同共享；网络安全；数据安全

0 前言

2013年1月，原卫生部部长陈竺在全国卫生工作会议上指出“要积极探索和大力推广上下联动的医疗联合体制机制”后，区域医疗联合机制不断深化，根据《中共中央国务院关于深化医药卫生体制改革的意见》的要求，利用网络技术，形成在物理位置较分散地区开展远程区域医疗联合[1]、专科公立医院进行集团化探索[2]，以及大型医院与周边社区的合作等医疗服务模式。由于区域医疗工作对信息化手段的高度依赖，以及目前网络和信息安全形势严峻，在保证区域医疗业务需求的同时，还需要充分考虑信息系统及其数据的安全，保障医院重要数据的一致性、可靠性及安全性。

1 安全风险分析

广安门医院南区共涵盖7个社区服务站，通过信息化手段实现医院与社区间办卡、挂号、收费、门诊治疗与发药系统间的信息协同共享，达到优化资源配置、增强基层服务水平、控制医疗费用与医疗成本、提高卫生服务质量[3]。在满足业务需求基础上，应进一步考虑项目建设中存在的安全风险。

（1）医院内外网环境完全独立。各社区原先只搭建本地局域网，几个局域网都与外网环境物理隔离。社区与医院进行互连时，两局域网间建立连接链路，在各节点及其链路上存在数据泄露的风险。

（2）远程接入用户权限。远程接入用户可获得的资源与权限和医院内网系统的安全性息息相关。当权限过大导致社区用户获得超出业务范围的内网资源后，将增加非必要共享数据外泄和系统入侵的风险。

（3）医院安全等级高于社区。数据应从高密级向低密级流动，医院向社区开放医院信息系统（HIS）数据库和医保数据库的读写权限，存在外网攻击渗透内网后直接破坏HIS数据库或盗取内部信息的风险，对医院的数据安全造成巨大威胁。

针对医院与社区信息协同共享模式中存在以上的网络、信息系统和数据风险点，可通过搭建合理的网络架构、增设安全设备并配置安全策略的方法，从网络层面提出安全解决方案，满足医院信息安全要求。

2 关键技术

在解决方案的过程中，涉及医院与社区物理隔离网络的互联互通、服务资源访问方式及数据安全隔离3个关键技术点。

2.1 隔离网络互联

医院与社区的业务网络均与互联网进行物理隔离，而数据共享的前提就是网络互联互通。目前，远程接入内部局域网的方式有拨号接入、专线租用、网关端口映射、虚拟专用网（VPN）接入等[4]。其中拨号接入方式成本高且带宽低；专线租用速率高但成本昂贵，适用于稳定传输重要大数据；网关端口映射是在防火墙上将某个内部服务器地址映射在互联网上，访问方便高效但存在安全隐患；VPN在利用互联网物理连接的基础上建立一条加密的私有隧道，将数据封装后实现安全传输，具有高带宽、低成本及安全性特点，是现在被广泛采用的方法。

由于医院与7个社区的物理位置分散，且对信息系统的稳定性和实时性要求不高，终端数量少、传输数据量小、使用不频繁，因此可将社区中连接医院业务的终端通过宽带接入互联网，统统搭建加密隧道实现安全互联。

2.2 链路加密与资源获取

社区终端连入互联网后，通过VPN通道为特定用户提供医院网络与系统的访问权限。IPSec VPN和SSL VPN是两种应用最广的VPN技术[5]。其中，IPSec VPN应用较早，通过网络层上的IPSec协议（IP Security Protocol）给出了应用于IP层上网络数据安全的一整套体系结构，在安装有IPSec VPN客户端并经过配置的终端上，可以实现站点到站点间高安全性连接[6]。SSL VPN则是通过传输层上的SSL 协议（Secure Sockets Layer Protocol）保障在互联网上基于Web的通信安全，无需安装客户端即可进行访问，因此具有组网灵活性强、管理维护成本低、用户操作简便等优点[7]。

医院与社区进行信息共享的数据传输较少，采用具有高性价比的安全访问方式更符合需求。在医院局域网边界部署VPN服务器并设置联入用户的资源访问权限，社区通过SSL VPN安全便捷连入医院网络后，根据相应权限访问特定的服务器资源和业务应用。

2.3 安全数据隔离

安全隔离信息交换技术是在实现隔离网络之间数据传输的同时进行校验，过滤恶意代码或破坏性信息，只允许与系统相关的数据进入内部网络中，在医疗行业数据安全交换领域中应用广泛[8-9]。该技术经历从硬件卡隔离、数据转播隔离、拷盘发展到隔离网闸技术。通常采用由两个主机系统和一个隔离交换模块组成的硬件系统，通过专用通信硬件和安全协议对内外网之间通信的数据内容进行过滤，防止未经允许的内网数据发生泄露。

医院可在网闸外侧部署一台与HIS数据库具有相同数据结构的镜像数据库，社区的HIS数据直接与镜像数据库交互。在网闸中设置规则，除了特定允许进行交换的数据外，完全隔离其他的各种网络通讯，在保证传输数据的完整性和可用性的基础上，进行可靠的数据交换。

2.4 解决方案

最终形成的安全解决方案是在医院外网区域的核心交换机上部署VPN设备与镜像数据库，网闸的外网接口EXT0连接外网交换机，内网接口INT0连接内网核心交换机，经由网闸实现内外网HIS数据同步及与内网医保服务器的安全数据共享；社区连接互联网后访问VPN服务器获得医院局域网合法地址，可与镜像数据库或其他合法内网资源交互。医院与社交网络互联拓扑结构，见图1。

图1 医院与社区网络互联拓扑图

3 安全策略设置

部署好安全设备后，从社区、VPN、网闸三个层面设置安全规则，完成全面安全防护。

3.1 社区终端设置

社区终端处于医院内网以外的不可控区域，很难进行统一的网络安全管理，易出现病毒、恶意代码、恶意入侵等安全隐患。应定期进行系统补丁升级、病毒和木马查杀等操作，并从管理角度对使用人员的互联网访问和操作进行规范，禁止无关人员使用电脑。

3.2 VPN规则设置

社区采用SSL VPN连入网络后，设置安全策略，保证只有特定的用户可以获得镜像数据库或其他内网服务资源的访问权限。

3.2.1 客户端地址池

在VPN服务器端设置一个私有地址池，当用户登录后从该地址池中获取一个空闲IP，只有该地址段可访问镜像数据库并通过网闸过滤规则。

3.2.2 用户角色及权限

在VPN服务器端设置医生和收费两种角色，其中医生角色适用于门诊医生站用户，只能与镜像数据库交互；收费角色用于门诊挂号收费用户，可与镜像数据库交互、并向内网医保服务器上传医保患者收费信息。通过设置不同的用户和角色，最小化社区用户对业务系统和应用的访问权限。

3.2.3 服务资源

VPN服务器端添加镜像数据库和网闸外网端口EXT0作为服务资源，除业务所需的服务端口外，拒绝其他所有端口对服务器的访问。最终形成的VPN服务策略列表，见表1。

表1 VPN服务策略列表

3.3 网闸规则设置

网闸默认将医院内外网区域进行完全隔离，当两端出现数据交互或数据同步请求时，需要匹配访问对象和访问规则，满足规则才被允许通过。

3.3.1 访问对象

网闸中设置内外网访问对象，包括外网中的镜像服务器和VPN合法客户端；内网中的HIS数据库和医保服务器。

3.3.2 应用服务

经由网闸的应用分为两类，一种是内网HIS数据库和外网镜像数据库间双向数据同步，需要开启联通服务（PING），数据库应用服务（ORACLE）以及网闸数据同步私有服务（DBSYNC）；另一种是VPN客户端与医保服务器进行的数据读写应用，需要开启HTTP服务。具体规则，见表2。

3.3.3 数据同步

镜像服务器上的数据库与内网HIS数据库具有相同的数据结构，但只存储办理 就诊卡、挂号收费、门诊医生站和处方发药程序相关的数据。根据业务在网闸中分别设定内外网间的双向同步表，或单向同步表，将网闸两端数据进行秒级间隔的同步。

表2 网闸过滤规则列表

4 结语

至此，完成了对社区客户端、VPN和网闸设备的安全规则配置。此方案充分利用安全设备和管理规则，以加强医院与社区间信息协同共享服务模式中的安全性。

区域化医疗协作、远程医疗和医联体成为我国医疗行业的发展趋势，在医院与社区间进行信息协同与数据共享时可利用安全技术和安全设备充分降低其面临的风险和隐患，并可为后续各院际间、医院与上级单位更多更大量的信息共享提供稳固的安全保障。

[1] 孙喜琢,宫芳芳,顾晓东,等.基于远程区域医疗联合体的实践与探索[J].现代医院管理,2013,(3):8-10.

[2] 张岩.辽宁省肿瘤医院医疗联盟基本框架与发展思考[J].中国肿瘤,2013,(8):627-630.

[3] 曾耀莹.构建区域健康服务联合体[J].中国医院院长,2013,(10): 61-61.

[4] 吴刚.多种平台的VPN 应用比较[J].计算机系统应用,2011, 20(8):245-249.

[5] 丁峰.论IPSec VPN和SSL VPN的优劣及适应性[J].电脑知识与技术,2012,8(21):5088-5091.

[6] 张学杰,李大兴.SSL技术在构建VPN中的应用[J].计算机应用,2006,26(8):1828-1829．

[7] Romana D A L,Musashi Y,Matsuba R,et al.Detection of bot worm-infected PC terminals[J].Information,2007,10(5):673-686.

[8] 何剑虎,周庆利.互联网环境下的医疗数据安全交换技术研究[J].中国医疗设备,2013,28(4):44-47.

[9] 林达峻,任忠敏,干峰,等.隔离网闸在医疗行业中的应用[J].医学信息,2010,23(9):3284-3286.

A Network Security Solution of Collaborative Information Sharing Mode between Hospitals and Communities

LI Xiang, LI Jing, ZHANG Hong, ZHANG Jin-hui
Computer Center, Guang’anmeng Hospital, China Academy of Chinese Medical Sciences, Beijing 100053, China

In order to reduce risks in the collaborative information sharing mode between hospitals and communities, this paper proposes an solution from the aspect of network. Three key techniques, namely, network interconnection isolation, data link encryption and data isolation, are applied in constructing the interconnection network’s typology structure, in order to ensure the network safety of collaborative information sharing mode between hospitals and communities.

hospital information system; regional medical treatment; collaborative information sharing; network security; data security

TP393.08

A

10.3969/j.issn.1674-1633.2014.10.011

1674-1633(2014)10-0038-03

2014-04-22

作者邮箱：945112@163.com