袁 静，吴海燕，刘长兴

医院内网连接省市医保与新农合网络安全措施分析

袁 静，吴海燕，刘长兴

目的：针对医院内网与省市医保、新农合网络的架构特点，应用交互模式以及医院安全需求，制定一套切实可行的安全解决方案。方法：通过专网通信、加密卡、防火墙与终端安全管理相结合且相互联动的方式，构成动态的防御体系，有效解决医院内部网络和省市医保、新农合网络之间数据交换的安全问题。结果：通过建立由医院管理和控制的安全防护机制，实现了网络边界的隔离、访问控制和入侵防御，使省市医保、新农合网络与医院内部网络的互相访问可管可控。结论：采用“专网通信+防火墙+加密卡”的解决方案能够保证医院内网与省市医保、新农合网络间的安全隔离与数据的安全交换。

内网；医保网络；新农合网络；数据交换；网络安全

0 引言

随着医疗保险制度改革的推进，医保实时结算、异地就医结算、新型农村合作医疗的应用范围日益扩大。以往医院与患者之间的直接结算关系，越来越多地变成了医院和患者、医院和省市医保中心（新农合中心）、患者和省市医保中心（新农合中心）三者之间的复杂结算关系，这就要求医院内网与省市医保、新农合网络之间进行越来越频繁的实时数据交换。部队医院作为地方医疗保险的定点医疗机构，同样要做好省市医保、新农合患者在院就诊的实时结算工作。另一方面，考虑到部队医院更高的保密性要求，如何在保障好地方居民医保与新农合服务的同时，保护好医院内部网络，使其在与省市医保、新农合网络连接过程中不受来自外网的各类网络层、操作系统层的攻击，越来越受到大家的关注[1-2]。

本文针对我院内网与省市医保、新农合网络的架构特点、应用交互模式，以及部队医院的特殊安全需求，提出一套切实可行的解决方案，通过专网通信、防火墙、加密卡与终端安全管理相结合且相互联动构成动态的防御体系，通过一系列安全策略配置，有效实现了医院内部网络与省市医保、新农合网络间的访问控制，解决了医院内部网络和省市医保、新农合网络之间数据交换的安全问题。

1 医院内网与省市医保、新农合网络环境分析

对医院内部局域网络而言，医保、新农合网络是各自相对独立的外部网络，医保、新农合中心为医院、药店、社区等各种不同性质的医疗单位提供统一的网络接入和数据接口，以实现患者信息的交换。各单位情况不同，允许直连专线接入和拨号专线接入等多种接入形式；数据交换接口则是一套软件或动态链接库，医院、药店、社区等单位的应用程序统一通过这套接口与省市医保、新农合中心进行数据交换。

同大多数医院一样，我院与医保网络的数据交换是通过架设在医院内网和医保网络之间的前置机来完成的，2套网络彼此不进入对方网络。省市医保信息中心负责部署和维护前置机系统，医院方面只能对其进行读写访问，并没有控制权。医院的HIS通过调用省市医保信息中心提供的接口函数将医保患者信息传输到部署在前置机上的数据库中；医保信息中心则通过该前置机得到医保患者的各种治疗及费用信息。农合信息中心则是通过直连专线接入方式直接与新农合服务器连接。根据国家信息安全等级保护的要求，省市医保、新农合网络的架构在数据的访问控制、行为的安全性审计、边界的完整性检查、对各种入侵的防范等方面应达到3级网络[3-5]的标准，但其中还是存在着一些安全隐患，主要表现在3个方面。

1.1 管理可控性低

医院端对省市医保、新农合网络没有可控的安全策略，没有对网络安全、数据交换的访问控制权。

1.2 接入复杂性高

虽然各医院、药店、社区等单位都按照要求通过专线接入医保、新农合网络，但种类复杂的接入网络、水平参差不齐的管理方法都给病毒、木马的传播提供了便利途径。

1.3 系统漏洞多

安装在医院内部前置机上的Windows操作系统以及医保、新农合应用软件等系统漏洞使得以前置机为跳板攻击医院内网、窃取破坏患者就医资料成为可能；运行在前置机上的应用程序和数据接口等都不是医院开发的应用程序，医院网络难以实现对省市医保、新农合网络的访问控制。

2 解决方案

为了保障医院内部网络与省市医保、新农合网络之间数据的安全交换，必须针对它们各自的网络架构与交互模式，建立能够由医院管理和控制的安全防护机制[6]，实现网络边界的隔离、访问控制和入侵防御，禁止省市医保、新农合网络与医院内部网络的不可控访问。

2.1 内网连接省市医保专网的安全措施

由于省、市医保业务需要与医保信息中心进行数据交换，为确保内网数据安全，防止恶意入侵，我们采用广电网通光纤接入为主、电信ADSL拨号接入为辅的连接方式，以星形拓扑方式接入到核心交换机，再由核心交换机连接医保前置服务器和门诊、住院各收费终端。网络拓扑结构及安全策略配置分别如图1、2所示，并通过采取以下措施保证整个网络的安全。

图2 安全策略配置

2.1.1 专网通信

申请专用网络通信，只用于与地方医保服务器进行数据交换。

2.1.2 数据加密卡

在每台办理业务的客户端都安装省市医保指定的数据加密卡，确保只有指定的客户端才能与地方医保服务器进行业务数据交换。

2.1.3 防火墙

在省市医保专网与内网中间架设防火墙。防火墙的安全策略配置如图2所示，按照省市医保下发的静态IP地址配置防火墙的2个WAN口，结合内网实际情况分配与内网的核心交换机相连的LAN口地址，保证网络通信。通过指定内网访问专网的外部地址段，在一定程度上保护专网的安全。通过路由表配置指定访问外部专网的内网客户端及只有配置表中列出的内网客户端才能访问省市专网，增强了内外网安全。指定地址转换为NAT模式（如图3所示），保证只能由内网客户端发起对外网指定客户端的通信请求，外网服务器接到请求后将数据包打上内网给定标记后才能返回，若内网不发出请求，外网设备无法找到任何内网地址，也就无法由外网主动连入内网，以此防止外部的恶意入侵，保障整个内网的安全。

图3 地址转换

2.2 内网连接新农合专网的安全措施

我院有2台客户端连接新农合服务器，由于是通过直连专线接入方式连接，为确保内网安全，我们在外网与内网之间单独安装了一台防火墙，并对其做了严格的配置。在后期使用过程中又联系新农合方面为2台内网客户端安装了VPN软件，网络拓扑结构如图4所示。通过连接拓扑与安全策略配置，并按照预定义的包过滤规则（同医保网络规则相同，即只有指定的2台内网客户端能够访问指定的外网地址，未被指定的内网地址发出的数据包和未被指定的外网地址返回的数据包都被认为是非法数据包而丢掉）和地址转换模式（NAT模式），防止外部的恶意入侵，保障整个内网安全。

图4 内网与新农合网络连接拓扑图

3 结语

对于医保网络，采用“专网通信+防火墙+加密卡”的解决方案，通过防火墙的安全策略配置和有效的包过滤规则，有效禁止了除医保前置机外的任何外网节点访问医院内部网络，禁止了医院终端向除医保前置机外的任何其他IP地址发起访问，限制了医院能够访问医保前置机的终端数量，有效实现了医院内部网络与医保网络间的访问控制；对于新农合网络，则通过专网通信、防火墙与终端安全管理相结合且相互联动构成了动态的防御体系，通过一系列安全策略配置有效实现了医院内部网络与新农合网络间的访问控制，有效防止了外网的暴力攻击、内网的主动泄密，实现了医院内部网络与新农合网络间的安全隔离与数据的安全交换。

[1]聂喆，屈盛，毕于慧.军队医院与社保网安全数据交换解决方案[J].中国卫生信息管理杂志，2011，8（2）：40-44.

[2]杨俊志.医院信息系统安全体系建设实践[J].医学信息，2011（7）：2 868-2 869.

[3]何萍.如何构建医院信息系统的安全运行体系[J].计算机应用软件，2007，24（10）：203-204.

[4]陈伟.医院信息系统的安全管理[J].中国数字医学，2008，3（4）：63-64.

[5]王蕾，朱刘松，孙瑛，等.军队医院网络安全管理[J].医疗卫生装备，2013，34（7）：124-125.

[6]马丽娅，樊小玲，张杰，等.“军队网络协同医疗服务平台”系统架构与技术特点[J].医疗卫生装备，2013，34（6）：40-42.

（收稿：2013-09-30 修回：2014-04-08）

Security solutions of connection between hospital intranet,medical insurance networks and New Rural Cooperative Network

YUAN Jing1,WU Hai-yan2,LIU Chang-xing1
（1.Department of Medical Information,General Hospital of Jinan Military Area Command,Jinan 250031,China; 2.Department of Equipment,the Affiliated Hospital of Jining Medical University,Jining 272000,Shandong Province,China）

ObjectiveTo develop a set of security solutions of connection between hospital intranet,medical insurance networks and New Rural Cooperative Network.MethodsDynamic defense system came into being by dedicated network communication,encryption as well as firewall combined with terminal security management,and then the security of data exchange was ensured between hospital intranet,medical insurance networks and New Rural Cooperative Network. ResultsSecurity managed and controlled by the hospital was realized for network boundary isolation,access control and invasion defense,so that the communication could be controllable between hospital intranet,medical insurance networks and New Rural Cooperative Network.Conclusion Dedicated network communication combined with firewall and encryption may contribute to safety isolation and data exchange between hospital intranet,medical insurance networks and New Rural Cooperative Network.[Chinese Medical Equipment Journal，2015，36（1）：55-57]

intranet;medical insurance network;New Rural Cooperative Network;data exchange;network security

R318；TP311.1

A

1003-8868（2015）01-0055-03

10.7687/J.ISSN1003-8868.2015.01.055

国家科技重大专项课题（2009ZX09502-030）

袁 静（1973—），女，副主任，主管技师，主要从事医院信息化建设方面的研究工作，E-mail：yuanjing0520@163.com。

250031 济南，济南军区总医院信息科（袁 静，刘长兴）；272000山东济宁，济宁医学院附属医院器械科（吴海燕）

刘长兴，E-mail：liu_aged@163.com