朱卓谨 李瑞瑶 张晓平 赵勰

摘要：随着互联网+医疗业务的不断发展，医院内部网络与外部网络的互联需求不断增长。互联网病毒攻击、计算机犯罪威胁日益严峻，内外网隔离技术越来越受到重视，如何在安全可靠的基础上实现内网和外网的安全交互成为越来越多的医院重点关注的问题。该文介绍了一种基于光的单向传输特性，利用单向光纤网卡进行外部网络与内部网络之间的物理隔离技术，在安全隔离的基础上，实现内外网之间有效、安全、受控的数据单向传输。

关键词：网络安全;内外网交互;单向光

中图分类号：TP393        文献标识码：A

文章编号：1009-3044（2022）04-0032-02

1 引言

2020年11月，习近平总书记在《中共中央关于制定国民经济和社会发展第十四个五年规划和2035年远景目标的建议》中指出“十四五”时期要全面推进健康中国建设，强调要把人民健康放在优先发展战略地位。为此，不断提高医疗卫生服务供给质量、水平和安全成为医疗机构的重要任务。而近年来互联网病毒攻击、计算机犯罪等威胁日益严重，防火墙攻破率不断上升，使得医疗机构将保障医疗数据安全摆在了医疗数据体系构建的重要位置[1-2]。

2 医疗数据安全保护现状

随着数据安全的重要性不断增强，医疗机构一般采取建设物理隔离的局域网环境，但医疗数据要服务于民众和上级政府部门，不可避免地存在与外界进行数据交换的业务和场景，因此，普遍采用防火墙和网闸等设备保护内部网络和关键点的基础设施。采用安全网闸的目标是确保把有害的攻击和病毒进行隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换[3]。

安全网闸技术是在原有安全技术的基础上发展起来的，它弥补了原有安全技术的不足，但也存在防护效果强烈依赖于未公开的文件格式和自有协议、无法对交换行为和数据进行审批和审计、没有内容检测功能存在数据泄露风险等不足[4]。因此随着新型网络攻击手段的出现和对网络安全特殊需求的增加[5]，本文介绍了南京某院利用光纤单向光传输特性的医疗数据安全交互系统，实现医院两个不同安全域之间的数据请求和交互。

3 基于单向光传输的医疗数据安全交互系统

3.1 系统结构及原理

系统基于光的单向传输特性，利用单向光纤网卡进行外部网络与内部网络之间的物理隔离技术，通过分光镜像技术将数据分发处理，从硬件上实现数据不可逆、反向数据为零的功能，在安全隔离的基础上，实现内外网之间有效、安全、受控的数据单向传输。

3.1.1 单向光纤网卡

单发单收光纤网卡是一种计算机网络的单向传输网关，它包括发送方以太网光纤卡、接收方以太网光纤卡以及连接它们的网络光纤线。发送方以太网光纤卡的模块只有发送端口。接收方以太网光纤卡的模块只有接收口。发送卡的发送口与接收卡的接收口采用单条光纤连接。它既实现了计算机内部网络与外部网络之间的物理隔离，又能够保证数据在内外网络之间实时、可靠、安全地单向传输。

3.1.2 分光镜像技术

在满足外网与内网间无物理网络连接的条件下，采用分光镜像技术将外网请求数据经数据隔离区传送至内网进行处理，对于内网处理区数据处理后，再利用分光镜像技术经数据隔离区发回外网和请求客户端完成处理。

3.1.3 传输流程

系统由三部分组成：内网、外网、分光单向传输设备。

内网和外网所实现的安全功能是一致的，只是连接不同的网络。以内网单元为例，其包括内网接口单元与内网数据隔离区。接口部分负责与内网的连接，并终止内网用户的网络连接，对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出“纯数据”，做好交换的准备，也完成来自内网对用户身份的确认，确保数据的安全通道;数据隔离区是存放并调度剥离后的数据，负责与隔离交换单元的数据交换，传输流程如图1所示。

（1）用户发送请求给设备。

（2）设备将接收到的请求写入请求数据隔离区。

（3）安全服务器部分将请求读取到，隔离设备将请求发送至服务器。

（4）安全隔离设备将服务器回应的数据写入回应数据隔离区。

（5）用户将从回应数据隔离区读取数据。

3.2 安全控制

为了减少数据传输过程中出错的概率，提高审计传输文件安全性，系统加入了完整性验证、文件过滤和病毒检测技术。

3.2.1 完整性验证技术

数据在传输过程中采用静态自动加密技术传输，源节点和目的节点共享一个不为攻击者所知的根秘钥，由根秘钥以及先前所有被传数据的消息认证码生成加密当前被传输数据的加密秘钥，当前由源节点传输到目的节点的是一个被加密了的数据以及同该数据对应的消息认证码。每个传输的数据包加密操作都包括对数据损坏的自动检查，如果检测到损坏，则会中止操作并记录详细错误。由于数据附着有消息认证码，因此能够检验当前所传输数据的完整性，由于加密秘钥与历史信息有关，因此任意的数据破坏和不一致将导致源节点和目的节点的加密秘钥不一致，从而达到数据完整验证，最大限度地降低数据丢失风险。

3.2.2 文件过滤技术

通过边界设备进行文件的过滤，如图2所示，可以针对web服务和FTP服务器的不同特性设定不同的文件过滤策略。如针对WEB服务，不建议设定普通用户可以传输exe可执行文件，我们可设定策略所有用户都不可以向web服务器传输exe等可疑文件，此时可以保证web服务器的安全;针对FTP服务器，可以设定.dcom文件无法传输，因为该文件可能涉及医院相对较机密的文件，可以保證内网数据的安全。

3.2.3 病毒检测技术

在内外网区域分别采用不同的杀毒引擎和病毒库，经过设备传输的文件数据流，通过TCP/IP协议将数据包拆包，通过病毒扫描引擎，将数据推送入数据预处理模块，检测到数据包的特征码，然后与系统存储的病毒特征库进行对比，检测到的结果推送到前台并展示。

4 应用分析

4.1 部署拓扑图

根据已有院区规模和业务需求，构建物理隔离的内外网络，网络区域之间通过基于单向光传输的医疗数据安全交互系统进行网络隔离，网络拓扑如图3所示。

4.2 工作流程

文件上傳时，首先将文件上传至内外网数据安全交互设备进行文件过滤，不合规文件则直接进行删除;符合规则的文件将经过非安全网络的病毒检测机制，有病毒文件也是直接进行删除，如果检测无病毒，则经过交互封装传送至安全网络部分。

安全网络首先进行文件校验，如果校验失败，则文件需要重新发送;如果校验通过，则再匹配文件过滤规则，不符合规则的文件直接删除并结束流程，匹配完成的文件再通过安全网络的病毒过滤，检测有病毒的文件也是直接删除并结束流程，检测无病毒则将文件分发到对应的服务端，任务完成。

4.3 安全隔离网闸对比

安全隔离网闸仅实现了链路层的信息安全链接，对物理隔离的独立网络区域之间使用私有协议进行无差别数据传输，相较于基于单向光传输的医疗数据安全交互系统缺少数据安全控制、审批、审计等功能，且后者光纤传输速度更高、仅有光的强弱衰减保证数据差错可控性，并可通过数据安全交换实现数据审阅、转码等系统功能对接。

5 总结

本文介绍了基于单向光传输的医疗数据安全交互系统，该系统在传统安全设备的基础上，利用光的单向传输及光纤的高带宽低延迟等特点，实现了交互安全、数据可控，提升了医院内外网数据交互的传输效率，增加了数据传输安全可控性和可管理性，也为数据安全协议的定制化提供了基础。

参考文献：

[1] 赵荣康，孔祥瑞，梁蓉蓉.不同安全等级网络之间的数据交换方案研究与实现[J].信息安全研究，2020，6（4）：338-344.

[2] 刘阳，黄蓉波，魏能强.基于光闸单向安全传输系统的研究与实现[J].数字技术与应用，2019，37（8）：177-178.

[3] 李承林.基于光闸单向传输数据交换技术研究[J].激光杂志，2018，39（4）：134-138.

[4] 敖麟钦，陈卓.基于网络隔离技术的信息资源共享方案研究[J].软件导刊，2017，16（6）：163-167.

[5] 张欣琦.单向光闸原理及功能浅析[J].网络安全技术与应用，2016（5）：99-100.

收稿日期：2021-08-27

作者简介：朱卓谨（1988—），男，江苏南京人，工程师，本科，主要从事计算机网络及网络安全方向的研究;李瑞瑶（1989—），女，江苏南京人，工程师，研究生，主要从事卫生信息管理相关研究。