廖华强 杨坤岱 遂宁市中心医院信息科

浅谈我院内外网融合网络的架构

廖华强 杨坤岱 遂宁市中心医院信息科

内网与外网的数据交互是医院网络系统在移动医疗时代的主要发展方向。数据交互的安全性是医院在内外网互联机制建构过程中所关注的问题。我院拟从远程心电，远程超声，远程放射，远程教学，网站等方面入手，对内外网融合体系进行优化。本文主要对内外网的融合方式和与之相关的安全解决方案进行了论述

医院信息系统 内外网融合 网络安全 防火墙

医院信息系统是医院在内部独立局域网中实现业务数据共享的重要因素。处于网络安全的需要，医院内部网络与互联网系统之间具有着在物理上完全隔离的特点。以U盘等工具为依托的外部人工处理机制是医院内部网络与互联网系统之间实现数据文件交换的主要方式。随着医疗信息化建设的不断发展，医院移动业务对互联网的依赖性得到了提升。针对我院内外网体系所面临的问题，从远程心电，远程超声，远程放射，远程教学等方面入手，对网络体系进行优化，是提升本院信息化水平的重要措施。安全化、稳定化、高效化的内外网融合体系的建构，成为了医院新时期网络架构转型的重要目标。

1 内外网的融合方式

1.1 利用应用防火墙对网络边界安全访问进行控制

在防火墙硬件设备在医院内外网边界之间以后，防火墙可以发挥出对内外网之间流入流出的数据包进行过滤和检测的作用。由于防火墙系统仅能为医院内部网和外部网提供基于网络层的安全保护，因而在网络攻击行为表现出向应用层攻击的特点以后，传统防火墙并不能对一些隐藏在应用程序中的攻击代码进行有效甄别。

1.2 利用物理隔离网闸优化内外网数据交互方式

与物理隔离网闸有关的内外网数据交互方式是建立在两个独立系统之间的无协议摆渡技术完成数据交互的方式。在这一安全设备应用于医院内外网融合系统以后，物理隔离网闸所连接的独立主机系统可以在无通信物理连接、无逻辑连接和信息传输协议的情况下，完成数据信息的传输工作。对于医院相关内部网络而言，这一技术可以让对内部网络安全带来威胁的一切连接进行阻断，这就可以在压缩黑客活动空间的基础上，对数据交互的安全性进行提升。医院外部网络借助隔离网闸与内部网络连接以后，物理隔离网闸可以对外部主机所发起的TCP/IP协议进行剥离，并让原始数据通过存储介质导入至内部主机系统之中。在医院内网与内网之间不存在信息交换的情况下，物理隔离网闸与内网、外网之间处于断开状态。从物理隔离网闸技术的发展现状来看，在这一技术的应用过程中，医院需要从内部的具体业务入手，对专用的交换模块进行开发，以便对与TCP协议和UDP协议有关的数据隔离交换体系和安全检测体系进行优化。

2 内外网整合架构的设计方法

2.1 网站数据中心融合的保障措施

内部接入网区域和外部接入网区域是医院数据中心的主要组成部分。防火墙和IPS/IDS防毒墙的综合运用，可以在让医院数据中心的保障体系得到优化。针对内外网整合主流方式在网络架构中存在的问题，医院可以借助网络网关、防火墙设备、前置机和安全隔离网闸为核心的安全融合架构，为医院数据中心的融合提供支持。网络网关可以对网络入侵行为和一些未授权的访问行为进行有效控制，也可以借助相应的板卡对安全防控等级进行提升。前置机可以放置在医院外网和内网服务器之间，它可以发挥网络通信、报文认证和医疗数据格式转换功能。在前置机与内网服务器之间产生数据同步以后，安全隔离网闸可以通过切断前置机与内网服务器之间的连接的方式，对前置机在收到木马病毒攻击以后将病毒渗透至内网服务器的现象进行预防。

2.2 外部网络用户终端网络融合准入机制

从医院信息系统的业务特点来看，医院终端设备的内外网接入模式可以是由用户进行选择的应用模式。三层交换机是医院网络架构中的常用形式。医院终端设备的IP地址的规划在用户终端网络融合准入体系中发挥着重要的作用。接口流量监视机制、CPU利用率监视机制和VPN网关的优化，可以让准入机制的实效性得到提升。告警阈值的合理优化，也可以让管理人员对告警信息进行实施把握。

网站安全网关、前置机、防火墙与隔离网闸的有效运用，是技术人员对医院内外网融合体系的安全性进行强化的有效措施。同时在医院对内外网系统的安全性进行强化的基础上，提升用户的工作效率。

[1]俞华.医院内外网融合的网络架构配置实践[J].中国数字医学,2017,12(03):94-96.