◆孙保峰 谭健 程铭

医院外联业务集成平台数据安全防护方案设计

◆孙保峰 谭健 程铭通讯作者

（郑州大学第一附属医院 河南 450000）

医院外联业务集成平台是医院所有对外业务的集成服务管理系统，该系统既要向外部提供服务，又要与医院内部核心业务系统进行数据交换，同时该系统还包含医院财务结算、门诊量、财务收入等敏感信息。文章针对郑州大学第一附属医院外联集成平台现状，针对性地设计了外联集成平台数据安全防护方案，从网络防火墙、入侵防御、网闸、数据库审计、“堡垒机”及服务器日志审计等几个层面对外联集成平台的数据进行安全防护，确保了外联集成平台的数据安全，从而为医院整体信息化安全提供了重要保障。

外联业务；集成平台；数据安全；防护方案

随着互联网+医疗的快速发展，医院信息系统数量飞速膨胀，医院网络结构越来越复杂，医院网络对外开放程度越来越高。面对国内外日益严重的网络安全威胁，如何保障医院信息系统的网络安全、如何保障医院信息系统数据的安全，成为医疗卫生行业亟须解决的关键问题。医院外联业务集成平台是医院对外业务的统一集成平台，简称外联平台，可实现多入口、多系统、多方式、多渠道的统一接入和管理，为患者提供一体化的就医体验[1]。我院于2018年末上线了外联平台，通过外联平台实现了统一的预约、挂号、缴费、查询、结算等数据服务。本文旨在根据我院外联集成平台现状，设计一套针对外联集成平台的数据安全防护方案，以保障医院信息系统和患者医疗信息的安全。

1 外联平台现状与安全风险分析

1.1 外联平台现状

我院外联平台主要有信息系统接入、外联业务集成和统一对外服务三个功能模块组成（图1所示）。信息系统接入模块既要实现His、EMRS、LIS、PACS等院内业务系统的接入，又要实现卫生管理机构、各类医保、银行、支付宝、微信、互联网服务渠道等信息系统的接入。外联业务集成模块主要负责各信息系统的数据采集和交换，包含“患者”基本信息的校验比对、诊疗数据的同步与交换、数据抽取和共享、日志监控等功能。对外服务模块的主要服务对象为各级卫生管理部门、医院行政管理部门及人民群众和患者等，主要提供信息上报、数据检索查询、统计分析、报表查询、业务办理、就医结算、检查检验结果查阅与打印等服务。

1.2 安全风险分析

图1 外联平台功能模块图

由于外联平台业务的特殊性，其既要为患者提供对外服务，又要从医院内部信息系统中获取各种临床数据，因此外联平台往往部署在内外网互通的网络环境中，其安全风险的来源也可分为两方面，即外部网络安全风险及院内网络安全风险。外部网络安全风险主要有分布式拒绝服务攻击（Distributed denial of Service，DDOS）、病毒与木马威胁、非法入侵与接入、暴力登录与破解等[2]，内部网络安全风险主要包括数据泄密、非法外联、移动存储介质的非法接入、数据库的不当运维与误操作、非法统方等。

2 安全防护方案设计

外联平台数据安全防护方案的设计原则是设置多层隔离，通过认证及加密机制将安全风险尽可能地隔离在平台外部，以保证医院内部各业务系统的平稳运行。为保护外联平台数据的安全性，其数据安全防护方案拟采用“防火墙+入侵防御+网闸+堡垒机+数据库审计+日志审计”的方案，其中防火墙和入侵防御设备部署在外联平台网络对外出口处，主要应对外部网络安全风险，防范非法入侵、DDOS攻击、暴力破解等威胁。堡垒机、数据库审计和日志审计系统部署在外联平台和“内网”环境，主要完成对外联平台数据库的安全管理与审计，规范“运维”人员的日常运维操作，防止非法统方、私自篡改系统数据等内部网络安全风险。“网闸”主要用于系统内外网的隔离，防止外部攻击影响到院内各系统。由于外联平台与医院核心业务系统数据交互量大，在“内外网”数据交互区部署平台前置机，核心业务系统与外联平台之间的数据交换主要通过前置机进行转发[3]。外联平台数据安全防护方案的整体架构如图2所示。

3 安全防护方案部署

3.1 网络防火墙

防火墙是现代网络安全防护的重要组成部分，主要部署在网络出口位置，可以实现对网络流量的过滤，保障信息系统及网络的安全性，通过防火墙可以实现内部与外部资源的有效安全沟通。

防火墙是为加强网络安全防护能力在网络中部署的硬件设备，其常见的部署方式有桥模式、网关模式及NAT模式[4]。“桥模式”也可称为透模式，用户感觉不到防火墙的存在，但对经过的流量进行了过滤，在该模式下的防火墙没有IP地址，但是安全性较低。网关模式适用于内外网不在同一网段的情况，防火墙设置网关地址实现路由器功能，为不同网段进行路由转发，该模式下的防火墙在进行网络访问控制的同时实现了内外网的隔离，比“桥模式”具备更高的安全性。NAT（Network Address Translation）模式能够实现外部网络不能直接看到内部网络的IP地址，从而增强了对内网的安全防护。本文所述的安全方案中防火墙采用NAT模式进行部署，同时使用地址/端口映射（MAP）技术，当外部网络需要访问内部服务时，由防火墙将请求转发到内网服务器上，当内部服务器返回请求数据时，也由防火墙进行转发，该方法增强了内部服务器的安全性。

图2 外联平台数据安全防护方案架构图

3.2 入侵防御系统

入侵防御系统（Intrusion Prevention System，IPS）是一种能够监视网络或网络数据传输行为的网络安全设备，能够及时阻断、隔离一些不正常或具有危害性的数据流量传输行为。本文的IPS采用串接部署在防火墙内侧，可以对网络的流量实时进行监测并对异常流量进行阻断，保证网络的安全，IPS设备的外联口，通过单个物理口与外网设备互联，“内联口”通过单个物理口与内部交换机互联，这种方式不改变现有网络结构，只需要短暂的业务中断就能实现快速部署，并且能够对网络内的异常流量进行实时处理。

3.3 网闸

“网闸”实现了外联平台内外网的隔离，它由两套各自独立的系统分别连接内网和外网，两个网络之间通过“网闸”实现数据的交换，但内外网之间没有直接的物理通路[5]。在通信过程中，“网闸”通过分时地使用两套系统中的数据通路进行数据交换，达到了网络隔离与数据交换的目的。本方案中“网闸”串接在外联平台前置机与医院基础业务服务器之间，使医院现有基础业务系统与外部环境相隔离。

3.4 数据库审计

数据库审计系统部署在“内网”服务器上，通过对数据库进行合理配置，实现对外联平台数据库操作行为的审计，是重要的数据库安全技术，该系统可以实时记录网络上的数据库活动，对数据库操作的合规性进行管理，对数据库遭到的风险行为进行告警，对数据库攻击行为进行阻断[6]。数据库审计系统通过对用户操作数据库的行为语句进行记录、分析，用来帮助用户形成事故分析报告、事故溯源报告，从而提高数据库资产的安全性。该系统可对非法统方、数据库不合理查询统计操作进行记录分析，约束数据库用户合理使用权限，从而保护外联平台数据库资产的安全，防止外联平台敏感数据的泄露。本文所用数据库审计系统部署相对简单，只需在运行数据库的服务器上安装数据库审计探针并开启相应的服务，即可在相应的数据库审计系统中看到已添加的待审数据库。

3.5 堡垒机

“堡垒机”作为安全防护设备旁路接入外联平台交换机，主要是防护外联平台的网络和数据不受来自外部及内部用户的入侵和破坏，而运用各种技术手段监控和记录“运维”人员对网络内的服务器、安全设备、数据库等设备的操作行为，便于数据安全事件的事后审计与追溯。“堡垒机”主要功能有账号管理、身份认证、资源授权、访问控制和操作审计，用于防范不同背景“运维”人员的“运维”行为对信息系统安全带来的安全风险。本方案中“堡垒机”旁路部署，通过设置交换机ACL访问控制策略，防止用户绕过“堡垒机”直接访问目标服务器设备。

3.6 服务器日志审计

日志审计系统通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息，经过统一分析处理后，以统一格式的日志文件进行集中存储和管理，便于对各类日志进行关联统计分析，实现对服务器日志信息的全面审计和记录。本文中所用日志审计设备旁路接入外联平台交换机，在外联平台各服务器上安装相对应的日志转发代理助手即可完成部署。

4 应用效果

外联业务集成平台数据安全防护方案采用了内外网隔离、防火墙与入侵防御阻断非法攻击、服务器与数据库日志审计等安全策略，有效保证了医院外联业务系统数据的安全性，使其满足了国家网络安全等级保护2.0的要求。

4.1 入侵防御系统

在入侵防御系统上对最近一个月的威胁事件进行统计分析（图3），共侦测并阻断网络攻击83次。

图3 入侵防御系统威胁事件统计

4.2 堡垒机

“堡垒机”的使用规范了“运维”人员的运维操作（图4），“运维”人员无法直接访问业务服务器，只能通过“堡垒机”进行服务器的日常维护，极大地降低了“运维”人员的不当操作对信息系统带来的安全风险。

图4 堡垒机运维审计

4.3 数据库审计

数据库审计可以实时监测用户对数据库的各种操作，对各种风险进行及时有效预警，对数据库用户的各种行为进行记录存档，便于事故追溯，增强数据库的安全性[7]，如图5所示，我院外联平台数据库审计语句量已达12.93亿。

图5 数据库审计系统

5 结语

我院目前年门诊量接近780万，庞大的就医群体给医院带来了海量的患者临床数据，如何在保证患者数据安全的前提下实现全院数据共享，从而提升患者就医体验，是医院信息化建设面对的极大挑战。本文完成了外联业务集成平台数据安全防护方案的设计，利用防火墙、网闸、堡垒机、数据库审计等网络安全设备从网络、服务器、核心数据库及上层应用出发，实现了对外联平台数据的安全防护，极大地保证了医院网络安全、信息安全和数据安全。随着《中华人民共和国网络安全法》的正式实施，标志着等级保护2.0的正式启动，在等保2.0的要求中，海量的患者临床数据同样是等级保护的对象[8]，目前，我院外联业务集成平台已通过国家信息安全等级保护三级认证。

[1]杨霜英，于京杰，钱海元，等.医院外联业务集成平台设计与应用实践[J].医学研究生学报，2018，31（9）：967-971.

[2]王立准，王春雨，夏美莲.基于大型公立医院业务网安全管理的分析与研究[J].中国数字医学，2012，7（31）：83-85.

[3]施文杰.医院外联平台建设解决方案[J].医学信息学杂质，2018，39（11）：45-48.

[4]孙瑜.基于医院关键信息基础设施安全防护技术的研究与实践[J].网络空间安全，2019，10（4）：31-36.

[5]陈晨，包曾.医院网络安全管理体系的建设方法分析[J].网络安全技术与应用，2020（8）：128-129.

[6]曾运强.大数据时代医院网络安全防御架构研究与设计[J].现代信息科技，2020（6）：162-166.

[7]唐杰，谭军.医院信息化建设中网络安全防护方案设计[J].医学信息学杂志，2018，40（5）：44-47.

[8]公安部网络安全等级保护中心.网络安全等级保护2.0标准解读[EB/OL]. http://www.djbh.net/webdev/web/HomeWebAction.do?p=getGzjb&id=8a81825674296d130174bdf702c8002e，2020-09-24/2020-11-08.

河南省医学科技攻关项目（2018020087）