尉雯雯 赵浩宇

摘要：该文从互联网发展现状出发，结合医院自身内网建设特点，利用网闸、VPN、防火墙等网络安全设备和技术，设计了一套内外网互联的网络信息化平台，该平台可以实现医院内部数据与外网的交互，为新时期下医院信息化创新发展打下坚实基础。

关键词：内外网互联；数据交换；平台设计

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2018）25-0037-02

Design of Network Platform for Hospital Internal and External Network Interconnection

WEI Wen-wen ，ZHAO Hao-yu

（Department of Information， Southwest Hospital， Chongqing 400038， China）

Abstract： In this paper， from the development of the Internet situation， combined with the characteristics of hospital network construction， the use of network， VPN， firewalls and other network security equipment and technology， designed a set of network information platform and network interconnection， the platform can realize the interactive data and Internet within the hospital， a solid foundation for the development of hospital information system innovation under the new period.

Key words： Internal and external； network data exchange； platform design

1 引言

隨着互联网技术的发展和公众对医院信息量需求的增加，为提升医疗服务质量，优化就医流程，提升医院对外信息化建设水平，这就要求在保证医院数据安全的情况下，建立实现内外网数据交互与应用的网络化平台。通过该平台的运用，对医院拓展对外信息化服务，完善医院数字化建设起到积极作用。

2 内外网互联的网络化平台设计

2.1关键技术

1）网闸。网闸技术来源于人们对内网与外网数据互通的要求，由于内网数据有保密的要求，如果外网连通，则面临来自外网的各种威胁攻击和信息泄漏，而网闸实现的是一个安全的概念，所以网闸又称网络安全隔离与信息交换系统，是模拟人工在两个隔离网络之间的信息交换，中断两个网络间的所有通信协议连接，使之不能直接进行网络协议通信[1]。

2）VPN。PN（Virtual Private Network， 虚拟专用网络），不是真正的专用网络，却能够实现专用网络的功能。它通过对网络数据进行加密和封装，在公网上传输私有数据，同时保证私有网络安全性技术。它兼备了公网的便捷、经济和专用网的安全，实现了利用公网通过加密等手段来实现单位组织的“专用网”[2]。

3）防火墙。防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施[3]。

2.2 内外网互联的网络化平台设计

为满足新时期下医院信息化发展需要，医院内部的业务网与院外互联网必然存在医疗信息数据交互。在医院内外网互联的拓扑结构设计中，采用基于网闸的网络安全数据交换平台，整个网络架构由三部分组成，外网区域的网络建设、中间的网络安全交换平台建设和医院内网的网络安全建设。外网网络建设主要由政府和网络运营商主导建设，中间的网络安全交换平台则由医院信息部门和网络安全厂商共同设计建设，内网网络建设主要由医院信息管理部门主导。整体设计的拓扑结构如图1所示。

该网络化平台主要基于网闸与数据交换服务器组成的安全数据交换系统构成。在核心交换机前由三级防火墙组成，2级DMZ（隔离区）域形成网络层的重点防护区域，同时配合安全数据交换系统和网页防篡改系统，对门户网站和数据库应用服务器集群形成有效保护。网络安全交换平台与医院现有数据中心内部防火墙再次形成DMZ，再利用安全数据交换系统和网闸、光闸等单向传输控制设备形成应用层信息级单向过滤。当外网需要向内网传输数据时，发起对隔离网闸的非TCP/IP协议的数据连接，网闸将所有通过网闸的应用层信息都从TCP/IP协议中剥离，还原为裸数据并写入存储介质中。根据应用情况，可以对数据进行安全性和完整性检查。数据完全写入存储介质后，网闸立即切断与外网的连接，转而发起对内网的非TCP/IP协议的数据连接，将数据推向内网。内网收到数据后进行TCP/IP和应用协议的封装，并交给应用系统。数据处理完毕后，中断与内网的连接，网闸恢复完全隔离状态。内网向外网传输数据流程类似[4]。该流程能充分保护现有医院业务系统正常运行和对外数据交互的安全性。

院区外医院合法用户可以通过营运商网络与网络安全交换平台建立VPN（虚拟专用网络）通道，并通过CA（Certificate Authority）认证服务器证书验证便可远程对共享的医疗信息进行相关工作，既满足了合作医疗单位和本院工作人员的业务需求，又保障了医疗数据交互的安全性。

医院合法用户在院区外活动时，可以利用WIFI、3G、4G、有线互联网等手段，通过营运商网络与网络安全交换平台建立VPN（虚拟专用网络）通道，并通过CA认证服务器证书验证为我院合法用户，便可远程进行医疗相关工作，如下医嘱、进入医院管理平台等。

患者也可使用移动终端连接互联网WIFI，通过防火墙和认证短信访问前置机，查询与己相关的医疗信息。

内网网络安全主要由防火墙和入侵检测系统构成，内网服务器只负责将部分公开数据传输给网络安全交换平台的前置服务器，除了通过CA认证服务器认证的合法用户访问内网外，其余外网地址或用户对内网建立的访问都将被阻止。内网用户可通过移动终端内置的TF卡认证合法后访问医院数据库数据，进行医疗数据的读写。

3 结语

通过对医院内外网互联的网络化平台的设计与建设，使医院不再是一座信息孤岛，而是融入了互联网的浩瀚海洋。该平台不仅能满足医院内网的信息系统运行和安全，还能够满足医院内外网医疗数据交互，如医保数据上传、网上预约挂号、感染疾病数据上报、患者医疗信息查询、远程会诊、区域医疗数据共享等应用，不仅为医护人员和患者提供了便利，也为医院对外拓展信息化工作打下坚实基础。

参考文献：

[1] 苗元青，辛海燕，徐浩，等.网闸在医院网络安全管理中的应用[J] 中国数字医学，2009， 4（9）：67-68.

[2] 冯义，崔柔刚，等.VPN技术在医院网络建设中的应用及发展前景[J].科学大众，2010， 5（5）：167-168.

[3] 蒋晓.谈硬件防火墙在医院网络系统中的应用[J].医疗装备，2008， 8（1）：20-21.

[4] 马毅.论医院内外网间数据交换安全解决方案[J].电子世界，2014， 9（5）：85.

【通联编辑：代影】