王鵬，馬錫坤，吳艷君

（南京軍區(qū)南京總醫(yī)院信息科，江蘇南京210000）

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)中也存在著越來(lái)越多的安全隱患問(wèn)題。雖然應(yīng)用在醫(yī)院中的信息管理系統(tǒng)[1]給醫(yī)院帶來(lái)便利，但同時(shí)也引發(fā)了嚴(yán)酷的考驗(yàn)，如醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)的安全問(wèn)題。為了解決系統(tǒng)的安全問(wèn)題，本文從以往信息系統(tǒng)出現(xiàn)安全隱患最多的技術(shù)保護(hù)和管理體系出發(fā)，將兩者完善處理好，才能保證醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)的安全性和可靠性[2-3]，從而做到網(wǎng)絡(luò)信息資源的保密性、完整性和資源的共享。

除了要確保醫(yī)院網(wǎng)絡(luò)信息的安全外，在實(shí)際中更要確保醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)中數(shù)據(jù)庫(kù)的安全，數(shù)據(jù)庫(kù)防范的重點(diǎn)在于內(nèi)部醫(yī)護(hù)人員和外部外來(lái)人員的威脅，所以醫(yī)護(hù)人員在醫(yī)院工作過(guò)程中不要將自身的手機(jī)、電腦等設(shè)備與醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)相連，以免病毒入侵整個(gè)醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)[4]。與此同時(shí)，還要禁止醫(yī)院外部人員將移動(dòng)設(shè)備接入醫(yī)院網(wǎng)絡(luò)，以免進(jìn)行資源的盜取及傷害。

1 醫(yī)院網(wǎng)絡(luò)建設(shè)及體系結(jié)構(gòu)

1.1 醫(yī)院網(wǎng)絡(luò)建設(shè)情況及特點(diǎn)

醫(yī)院網(wǎng)絡(luò)建設(shè)是在醫(yī)院的范圍之內(nèi)，在一定的醫(yī)院使用需求前提下，為醫(yī)院的診療信息傳送和管理等提供資源共享及信息迅速傳送的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。醫(yī)院網(wǎng)絡(luò)建設(shè)始于上世紀(jì)80年代，該網(wǎng)絡(luò)的建立為醫(yī)護(hù)人員和醫(yī)術(shù)研究工作的開展提供了一個(gè)良好的信息資源共享平臺(tái)，從而促進(jìn)了醫(yī)療單位中各項(xiàng)工作的不斷突破。但隨著醫(yī)院網(wǎng)絡(luò)規(guī)模的迅速發(fā)展，如何使醫(yī)院網(wǎng)絡(luò)穩(wěn)定高效的運(yùn)行，保證醫(yī)院網(wǎng)絡(luò)安全問(wèn)題變的尤為重要。

1.2 醫(yī)院網(wǎng)絡(luò)體系結(jié)構(gòu)

隨著局域網(wǎng)技術(shù)的迅速發(fā)展，該技術(shù)在醫(yī)院的網(wǎng)絡(luò)體系中也得到了良好的應(yīng)用。目前國(guó)內(nèi)眾多醫(yī)院的規(guī)模越發(fā)龐大，因此對(duì)于網(wǎng)絡(luò)的擴(kuò)建也亟需待解決，為了能夠?qū)崿F(xiàn)醫(yī)院的每個(gè)角落均能夠連接到網(wǎng)絡(luò)，實(shí)現(xiàn)資源的共享和迅速傳送，構(gòu)造了如圖1所示的醫(yī)院網(wǎng)絡(luò)的體系結(jié)構(gòu)圖。該體系結(jié)構(gòu)有一個(gè)主控internet管理中心[5-6]，該管理中心具備遠(yuǎn)程視頻功能，每個(gè)大樓使用該中心網(wǎng)絡(luò)是通過(guò)交換機(jī)的連接，交換機(jī)將總網(wǎng)絡(luò)分給各個(gè)醫(yī)院大樓，使得醫(yī)院的每一個(gè)角落均可實(shí)現(xiàn)網(wǎng)絡(luò)互連和網(wǎng)絡(luò)的共享。

圖1 醫(yī)院網(wǎng)絡(luò)體系結(jié)構(gòu)圖

2 常用網(wǎng)絡(luò)安全技術(shù)研究

2.1 防火墻技術(shù)

防火墻技術(shù)就是用來(lái)將局域網(wǎng)和Internet分開，內(nèi)網(wǎng)與外網(wǎng)之間的信息交流必須要經(jīng)過(guò)防火墻[7-8]才能進(jìn)行傳輸。作為不同網(wǎng)絡(luò)之間唯一的信息通道入口，其遵循了安全策略控制流經(jīng)的信息，具有強(qiáng)健的抗攻擊能力。防火墻技術(shù)主要有3種類型，分別為：包過(guò)濾技術(shù)，應(yīng)用網(wǎng)關(guān)技術(shù)，代理服務(wù)技術(shù)，如表1所示，該表中列出了防火墻的性能指標(biāo)，防火墻的性能指標(biāo)主要有防火墻的工作層次，3種防火墻技術(shù)分在網(wǎng)絡(luò)層和應(yīng)用層的工作模式。防火墻技術(shù)的性能指標(biāo)還有效率，安全性能，內(nèi)部信息隱藏，根本機(jī)制，高層數(shù)據(jù)理解，Udp支持，支持應(yīng)用等的方面。在應(yīng)用中，防火墻的選擇就要根據(jù)防火墻的這些性能指標(biāo)進(jìn)行選取，只有綜合考慮了防火墻的類和防火墻的性能時(shí)，才能對(duì)局域網(wǎng)起到很好地防護(hù)作用。在通常情況下，使用防火墻技術(shù)最多的就是包過(guò)濾技術(shù)。

防火墻的功能就類似于一個(gè)過(guò)濾器，將不利信息按照安全規(guī)則[9]過(guò)濾出去，為內(nèi)網(wǎng)和外網(wǎng)信息安全的傳送提供了有力的通道。其在網(wǎng)絡(luò)中的邏輯地位如圖2所示，該圖中防火墻的位置體現(xiàn)了其作為過(guò)濾器的功能。

表1 防火墻3種技術(shù)對(duì)比

圖2 防火墻在網(wǎng)絡(luò)中的邏輯位置

2.2 入侵檢測(cè)系統(tǒng)

在上文中介紹了防火墻技術(shù)在網(wǎng)絡(luò)安全維護(hù)中的作用，但僅依靠防火墻的被動(dòng)防御功能是不夠的，雖然對(duì)外部的非法入侵網(wǎng)絡(luò)起到了防御功能，但是對(duì)于內(nèi)部網(wǎng)絡(luò)的攻擊難以實(shí)現(xiàn)有效控制，在防火墻技術(shù)中只是起到了對(duì)外部網(wǎng)絡(luò)非法入侵的防御，根本無(wú)法控制來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊，例如會(huì)有黑客侵入網(wǎng)絡(luò)內(nèi)部盜取信息[10]，做出違法的操作。此外，防火墻對(duì)于外部網(wǎng)絡(luò)的惡意攻擊出于被動(dòng)狀態(tài)，一旦遇到主動(dòng)監(jiān)測(cè)或?qū)阂獯a信息嵌入到流量中的信息時(shí)，防火墻的被動(dòng)防御功能將無(wú)法起到作用。對(duì)于這種入侵情況的防御，入侵檢測(cè)系統(tǒng)可起到較好地防御功能。如圖3所示，當(dāng)入侵檢測(cè)系統(tǒng)檢測(cè)到異常信息時(shí)，就會(huì)立即報(bào)警，該報(bào)警被系統(tǒng)識(shí)別后就會(huì)主動(dòng)做出響應(yīng)，此時(shí)數(shù)據(jù)庫(kù)就會(huì)停止針對(duì)正在操作信息的供給，病毒信息被檢測(cè)后到也會(huì)立馬被攔截[11-12]，從而保證了網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。

圖3 簡(jiǎn)單的入侵檢測(cè)系統(tǒng)示意圖

2.3 虛擬局域網(wǎng)技術(shù)（VLAN）

虛擬局域網(wǎng)技術(shù)目前應(yīng)用在網(wǎng)絡(luò)連接中的方方面面，該技術(shù)在邏輯上將用戶和設(shè)備劃分開來(lái)，為了解決在醫(yī)院中不同部門，不同的應(yīng)用以及不同的功能之間的網(wǎng)絡(luò)連接問(wèn)題，就可以利用虛擬局域網(wǎng)技術(shù)，由此而形成一個(gè)小型的虛擬局域網(wǎng)，該技術(shù)中“虛擬”的含義也就是由此而來(lái)。當(dāng)醫(yī)院中的某一個(gè)位置需要VLAN時(shí)，可以將VLAN和交換機(jī)進(jìn)行鏈接，這時(shí)在交換機(jī)鏈接之后，利用VLAN[13]技術(shù)就能實(shí)現(xiàn)眾多的子網(wǎng)，當(dāng)發(fā)送一個(gè)數(shù)據(jù)包時(shí)，只有位于同一個(gè)虛擬網(wǎng)中的點(diǎn)才能接受數(shù)據(jù)包信息，該信息不會(huì)被交換機(jī)發(fā)送到其他局域網(wǎng)的端口中去，該技術(shù)的實(shí)現(xiàn)使得網(wǎng)絡(luò)拓?fù)涓屿`活化，如圖4所示為醫(yī)院網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，該結(jié)構(gòu)中將網(wǎng)絡(luò)結(jié)構(gòu)層次清晰的呈現(xiàn)出來(lái)。

圖4 醫(yī)院網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

2.4 未來(lái)的防火墻技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，信息化安全方面的算法技術(shù)也會(huì)不停地被優(yōu)化，防火墻的包過(guò)濾技術(shù)也將不斷被完善，如圖5所示為未來(lái)構(gòu)想的防火墻的結(jié)構(gòu)示意圖，該結(jié)構(gòu)示意圖就比較全面的分析考慮了計(jì)算機(jī)的操作系統(tǒng)，計(jì)算機(jī)網(wǎng)絡(luò)，以及用戶等每一層的網(wǎng)絡(luò)安全，在未來(lái)隨著網(wǎng)絡(luò)技術(shù)算法的優(yōu)化，防火墻技術(shù)將會(huì)被嵌入到圖5中的每一個(gè)層次中，這樣就會(huì)增加了局域網(wǎng)的安全性能，使得整個(gè)網(wǎng)絡(luò)的安全性能整體提高，黑客就很難盜取機(jī)密性信息，這樣對(duì)國(guó)家造成的損失就會(huì)大大減小。

圖5 未來(lái)的防火墻結(jié)構(gòu)示意圖

3 醫(yī)院網(wǎng)絡(luò)安全技術(shù)應(yīng)用研究

為了實(shí)現(xiàn)醫(yī)院網(wǎng)絡(luò)的安全運(yùn)行，在Internet和醫(yī)院網(wǎng)絡(luò)之間部署了一臺(tái)RG一WALL1600M防火墻，從而保證了內(nèi)外網(wǎng)之間安全的運(yùn)行。圖中ISA Server通過(guò)Switch交換機(jī)將醫(yī)院中的各個(gè)網(wǎng)絡(luò)設(shè)備相連接，在各服務(wù)器鏈接之后，便可較好地保證內(nèi)外網(wǎng)絡(luò)之間的通信，如圖6所示即為防火墻在醫(yī)院網(wǎng)絡(luò)系統(tǒng)中的典型拓?fù)浣Y(jié)構(gòu)圖。如圖7所示為醫(yī)院網(wǎng)絡(luò)連接成功之后醫(yī)生的工作界面圖，該圖清晰顯示了醫(yī)生進(jìn)行的收發(fā)內(nèi)容，要診斷的病號(hào)以及已經(jīng)診斷好的病號(hào)，醫(yī)生也能由此進(jìn)行對(duì)患病者進(jìn)行開藥，患者能夠直接去付費(fèi)取藥，有網(wǎng)絡(luò)之后很大程度減輕了醫(yī)生和病人的負(fù)擔(dān)。

圖6 防火墻在網(wǎng)絡(luò)系統(tǒng)中的典型拓?fù)浣Y(jié)構(gòu)

圖7 醫(yī)生工作界面圖

圖8為醫(yī)院網(wǎng)絡(luò)中防火墻過(guò)濾規(guī)則設(shè)置界面截圖，當(dāng)正確配置了該顧慮規(guī)則后，防火墻便可防御惡意攻擊者的入侵。

如圖9所示為防火墻設(shè)置過(guò)濾規(guī)則之后的啟用界面圖，在對(duì)包過(guò)濾后[14-16]，將要啟用的防御項(xiàng)開啟，就能保證非法網(wǎng)絡(luò)攻擊者的入侵。

4 結(jié)束語(yǔ)

文中在分析現(xiàn)有醫(yī)院網(wǎng)絡(luò)安全隱患問(wèn)題的前提下，提出了基于網(wǎng)絡(luò)防火墻的安全技術(shù)在醫(yī)院網(wǎng)絡(luò)中的應(yīng)用。文中充分表明了，在醫(yī)院網(wǎng)絡(luò)中加入防火墻能有效抵御不良外部入侵者，其在未來(lái)的醫(yī)院網(wǎng)絡(luò)中應(yīng)用廣泛。

圖8 防火墻包過(guò)濾規(guī)則設(shè)置

圖9 防火墻的抗攻擊啟用

[1]張蕊.數(shù)字化時(shí)代下醫(yī)院信息安全建設(shè)探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（3）：136.

[2]袁夢(mèng)絢，王直.基于WPDRRC模型的醫(yī)院信息系統(tǒng)安全評(píng)估[J].電子設(shè)計(jì)工程，2016，24（11）：11-14.

[3]黃陽(yáng)君.一種醫(yī)院信息化管理系統(tǒng)的設(shè)計(jì)與應(yīng)用[J].電子設(shè)計(jì)工程，2016，24（4）：45-47.

[4]史淳樵，侯佳音.數(shù)字化醫(yī)院建構(gòu)中的數(shù)據(jù)利用研究[J].電子設(shè)計(jì)工程，2015，23（24）：22-24.

[5]陳莉.醫(yī)院網(wǎng)站的安全風(fēng)險(xiǎn)與管控措施[J].信息安全與技術(shù)，2015，6（12）：56-57，74.

[6]胡名堅(jiān).醫(yī)院信息系統(tǒng)安全風(fēng)險(xiǎn)管理對(duì)策研究[J].信息系統(tǒng)工程，2016（3）：55.

[7]朱曉慶.醫(yī)院網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)與防范措施探究[J].信息與電腦：理論版，2016（9）：187-188.

[8]張建忠，毛亮.醫(yī)院網(wǎng)絡(luò)安全風(fēng)險(xiǎn)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（5）：103.

[9]楊春暉，嚴(yán)承華.網(wǎng)絡(luò)安全模型相關(guān)技術(shù)研究[J].信息技術(shù)，2015（4）：75-79.

[10]劉洋，孫云濤.基于可信計(jì)算的無(wú)線Mesh網(wǎng)絡(luò)的安全模型研究[J].信息與電腦，2015（16）：141-142.

[11]唐擁政，王春風(fēng).基于PPDR的動(dòng)態(tài)無(wú)線網(wǎng)絡(luò)安全模型的改進(jìn)研究[J].鹽城工學(xué)院學(xué)報(bào)：自然科學(xué)版，2013，26（3）：38-43.

[12]甄濤.石化工控信息網(wǎng)絡(luò)安全區(qū)域識(shí)別與防護(hù)[J].軟件導(dǎo)刊，2016，15（9）：151-153.

[13]于曉飛.基于中間件的防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)研究[D].東營(yíng)：中國(guó)石油大學(xué)，2011.

[14]魏慧.基于SOA架構(gòu)的醫(yī)院信息管理平臺(tái)設(shè)計(jì)[J].電子設(shè)計(jì)工程，2015，23（20）：47-48.

[15]劉陽(yáng).基于SOA架構(gòu)的醫(yī)院信息管理平臺(tái)研究實(shí)現(xiàn)[J].中國(guó)新通信，2015（7）：51-52.

[16]周穎，陳敏蓮，胡珊珊，等.基于SOA架構(gòu)的醫(yī)院號(hào)源池共享平臺(tái)研究與實(shí)現(xiàn)[J].醫(yī)學(xué)信息學(xué)雜志，2016，37（4）：30-33.