孔明軍+王瑜+張海霞

摘 要：隨著醫(yī)院信息化系統(tǒng)的不斷完善，醫(yī)院內(nèi)外網(wǎng)系統(tǒng)進(jìn)行必要的的數(shù)據(jù)交互已經(jīng)成為必然，本文通過總結(jié)幾種醫(yī)院內(nèi)外網(wǎng)交互的方式方法，探討它們的優(yōu)缺點(diǎn)，從而為醫(yī)院實(shí)施網(wǎng)絡(luò)安全交互系統(tǒng)提供有益的參考。

關(guān)鍵詞：內(nèi)外網(wǎng)交互；網(wǎng)絡(luò)安全

1 醫(yī)院內(nèi)外網(wǎng)應(yīng)用現(xiàn)狀

隨著醫(yī)院信息化系統(tǒng)的不斷完善，多數(shù)二級(jí)以上尤其是三甲醫(yī)院已建成覆蓋全院各個(gè)部門的多應(yīng)用系統(tǒng)，這些應(yīng)用系統(tǒng)廣義上可以分為對(duì)內(nèi)對(duì)外兩大類業(yè)務(wù)系統(tǒng)，其中對(duì)內(nèi)的系統(tǒng)主要是以HIS、LIS、PACS、電子病歷等為主的醫(yī)院內(nèi)網(wǎng)應(yīng)用，這些系統(tǒng)基本上都被嚴(yán)格隔離在醫(yī)院內(nèi)網(wǎng)上使用；另外以辦公自動(dòng)化OA系統(tǒng)為代表的對(duì)內(nèi)系統(tǒng)主要完成醫(yī)院的行政辦公、公文辦理、業(yè)務(wù)審批、流程協(xié)作、郵件收發(fā)等業(yè)務(wù)流程，這些系統(tǒng)一般不放在隔離程度較高的純內(nèi)網(wǎng)環(huán)境，為保證數(shù)據(jù)交流方便，要通過公網(wǎng)映射等方式與外網(wǎng)連接，以實(shí)現(xiàn)醫(yī)院工作人員在家中或出差途中通過互聯(lián)網(wǎng)或系統(tǒng)專屬網(wǎng)絡(luò)處理業(yè)務(wù)；醫(yī)院的對(duì)外應(yīng)用以醫(yī)院門戶網(wǎng)站為代表，主要完成醫(yī)院的形象宣傳、業(yè)務(wù)公告、學(xué)術(shù)論壇、網(wǎng)上預(yù)約掛號(hào)等業(yè)務(wù)，而且這些對(duì)外業(yè)務(wù)也在不斷擴(kuò)展中，比方有的醫(yī)院通過網(wǎng)站為病員提供信息查詢、體檢報(bào)告推送等服務(wù)。

2 內(nèi)外網(wǎng)交互方式及隱患分析

醫(yī)院為保證應(yīng)用運(yùn)行的絕對(duì)安全，絕大多數(shù)是采用內(nèi)外網(wǎng)物理隔離的方式，這種方式理論上確實(shí)把醫(yī)院的核心應(yīng)用最大限度的隔離開來，具有較高的安全性，但同時(shí)為數(shù)據(jù)交互加上了一層很難逾越的屏障，而今的醫(yī)院已經(jīng)無法單靠?jī)?nèi)部應(yīng)用就可完成各個(gè)層面的需求，內(nèi)外網(wǎng)進(jìn)行必要的數(shù)據(jù)交互已經(jīng)無法避免。近幾年來，信息安全威脅開始逐步呈現(xiàn)出網(wǎng)絡(luò)化和復(fù)雜化的態(tài)勢(shì)，無論是從數(shù)量還是從形式方面，從前的安全威脅和惡意行為與現(xiàn)今相比早早已是相形見絀。在廣袤的Internet平臺(tái)上，每時(shí)每刻都有新病毒被釋放到網(wǎng)上，各種主流軟件平臺(tái)的安全漏洞更是數(shù)以千計(jì)，這些系統(tǒng)漏洞遭到病毒的攻擊并有可能繁殖出新的蠕蟲病毒，繼而在互聯(lián)網(wǎng)上肆意泛濫，包括醫(yī)院在內(nèi)各個(gè)行業(yè)的業(yè)務(wù)網(wǎng)絡(luò)所面臨的安全威脅超乎想象。在這個(gè)形式下，如何安全的進(jìn)行內(nèi)外網(wǎng)數(shù)據(jù)互通是必須謹(jǐn)慎考慮的難題，因?yàn)閮?nèi)外網(wǎng)的互通具有極大的安全隱患，對(duì)醫(yī)院業(yè)務(wù)的影響將是災(zāi)難性的，下文將逐一探討內(nèi)外網(wǎng)交互的方式方法及其優(yōu)缺點(diǎn)：

1.內(nèi)外網(wǎng)互通最簡(jiǎn)單最原始的的交流方式無疑是通過外存儲(chǔ)設(shè)備（U盤、移動(dòng)硬盤等）拷貝互傳，存儲(chǔ)器中存在的病毒、蠕蟲、木馬等惡意代碼就會(huì)通過網(wǎng)絡(luò)在內(nèi)網(wǎng)上大面積迅速擴(kuò)散，最終導(dǎo)致系統(tǒng)癱瘓或數(shù)據(jù)丟失?？梢哉f任何一家醫(yī)院的外網(wǎng)機(jī)器上幾乎都存在不止一種病毒或木馬。直接進(jìn)行內(nèi)外網(wǎng)復(fù)制傳遞是極具危險(xiǎn)性的。

2.通過部署防火墻、統(tǒng)一威脅管理（Unified Threat Management，簡(jiǎn)稱UTM）等網(wǎng)關(guān)類安全設(shè)備進(jìn)行內(nèi)外網(wǎng)互通。所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)網(wǎng)外網(wǎng)之間構(gòu)造的保護(hù)屏障.。它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，通過在內(nèi)外網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)，保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)等幾個(gè)部分組成，從本質(zhì)上是位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件組成的隔離系統(tǒng)，，它在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行一種訪問控制策略，網(wǎng)絡(luò)上流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過此道屏障，它能允許經(jīng)過規(guī)則授權(quán)的人和數(shù)據(jù)進(jìn)入指定網(wǎng)絡(luò)，同時(shí)將未經(jīng)授權(quán)的數(shù)據(jù)或行為拒之門外，現(xiàn)在防火墻技術(shù)已經(jīng)過多代技術(shù)的不斷完善，具有較高的實(shí)施價(jià)值，但它也具有一些明顯的局限性：一方面它是一種被動(dòng)的安全策略執(zhí)行者，它只能防范已知的安全漏洞、對(duì)于未設(shè)置策略的攻擊漏洞則形同虛設(shè)，另一方面防火墻的策略實(shí)施在遇到較大的并發(fā)連接時(shí)容易導(dǎo)致阻塞或者溢出，這種阻塞將直接導(dǎo)致業(yè)務(wù)遲滯甚至癱瘓。醫(yī)院的業(yè)務(wù)數(shù)據(jù)除包含病人的隱私和就診信息外，還有各類與醫(yī)院有業(yè)務(wù)往來商家的經(jīng)營信息，這些數(shù)據(jù)對(duì)很多層面的人或商業(yè)公司具有很大的應(yīng)用價(jià)值，因此醫(yī)院的內(nèi)網(wǎng)數(shù)據(jù)已經(jīng)成為很多黑客入侵和非法攫取的目標(biāo)，同時(shí)各類黑客軟件的泛濫也使得穿透防火墻進(jìn)行非法活動(dòng)的成本越來越低，網(wǎng)絡(luò)攻擊工具使用不斷簡(jiǎn)便，這種針對(duì)特定漏洞的攻擊的行為幾乎每時(shí)每刻都會(huì)發(fā)生，針對(duì)這種漏洞的攻擊始終處于被動(dòng)狀態(tài)，往往在遭受的攻擊和損失后才以補(bǔ)漏式方法解決，因此單純的進(jìn)行防火墻部署的安全性是沒有真正安全保障的。

3.通過在內(nèi)外網(wǎng)之間加前置機(jī)進(jìn)行數(shù)據(jù)交換的方式。一般方法是采用一臺(tái)具備雙網(wǎng)卡的服務(wù)器或臺(tái)式機(jī)，分別與內(nèi)外網(wǎng)連接，需要交換的數(shù)據(jù)以文件或數(shù)據(jù)庫的形式由供方取出先在前置機(jī)暫存，然后再有收方取回，這種方式雖簡(jiǎn)單易行，其缺點(diǎn)也是非常明顯的，它在內(nèi)外網(wǎng)之間建立了一個(gè)交換中轉(zhuǎn)站，可以實(shí)現(xiàn)較大量的數(shù)據(jù)交換，但同時(shí)也把內(nèi)網(wǎng)赤裸裸的暴露在外網(wǎng)環(huán)境中，其安全性僅限定在網(wǎng)絡(luò)密碼的防護(hù)層面，因此不建議在公網(wǎng)和內(nèi)網(wǎng)之間采用這一方式，它比較適合外線專網(wǎng)和內(nèi)網(wǎng)之間進(jìn)行數(shù)據(jù)傳遞，例如我們醫(yī)院和市衛(wèi)計(jì)委平臺(tái)是通過專線進(jìn)行連接的，衛(wèi)計(jì)委平臺(tái)需要的醫(yī)院業(yè)務(wù)數(shù)據(jù)就是通過前置機(jī)的方式進(jìn)行上傳的。

4.通過網(wǎng)閘技術(shù)進(jìn)行內(nèi)外網(wǎng)數(shù)據(jù)交換。網(wǎng)閘是新一代高安全度的企業(yè)級(jí)信息安全防護(hù)設(shè)備，它依托安全隔離技術(shù)為信息網(wǎng)絡(luò)提供了更高層次的安全防護(hù)能力，不僅使得信息網(wǎng)絡(luò)的抗攻擊能力大大增強(qiáng)，而且有效地防范了信息外泄事件的發(fā)生。安全隔離網(wǎng)閘通常布置在兩個(gè)安全級(jí)別不同的兩個(gè)網(wǎng)絡(luò)之間，如信任網(wǎng)絡(luò)和非信任網(wǎng)絡(luò)，管理員可以從信任網(wǎng)絡(luò)一方對(duì)安全隔離網(wǎng)閘進(jìn)行管理。它可以實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)之間的物理隔離。物理隔離網(wǎng)閘中斷了兩個(gè)網(wǎng)絡(luò)之間的直接連接，所有的數(shù)據(jù)交換必須通過物理隔離網(wǎng)閘，網(wǎng)閘從網(wǎng)絡(luò)層的第七層將數(shù)據(jù)還原為原始數(shù)據(jù)或文件，然后以"擺渡文件"的形式來傳遞數(shù)據(jù)。物理隔離是通過開關(guān)來實(shí)現(xiàn)的。網(wǎng)閘技術(shù)也有它的局限性，物理隔離網(wǎng)閘中斷了兩個(gè)網(wǎng)絡(luò)的直接物理連接，已知的攻擊和未知的攻擊都不會(huì)攻擊到被物理隔離的網(wǎng)絡(luò)。但物理隔離設(shè)備本身涉及到不可信網(wǎng)絡(luò)的一部分還是會(huì)受到來自不可信網(wǎng)絡(luò)的攻擊，物理隔離網(wǎng)閘可以保護(hù)別人，卻無法避免自身被攻擊，它就像防火墻一樣，可以保護(hù)別人，無法保護(hù)防火墻本身，因此物理隔離網(wǎng)閘本身的安全非常重要。網(wǎng)閘技術(shù)不支持交互式訪問，因?yàn)榘踩綦x網(wǎng)閘保護(hù)的主要是內(nèi)部網(wǎng)絡(luò)，一旦支持交互式訪問如支持建立會(huì)話，那么無法防止信息的泄漏以及內(nèi)部系統(tǒng)遭受攻擊。另外通過網(wǎng)閘傳送數(shù)據(jù)還受網(wǎng)閘交換能力的影響，不適合短時(shí)間傳送超大量的數(shù)據(jù)，它的運(yùn)行還可能造成其他安全產(chǎn)品不能正常工作，導(dǎo)致網(wǎng)絡(luò)阻塞等問題，雖著網(wǎng)閘技術(shù)的出現(xiàn)和完善，這些缺點(diǎn)或局限會(huì)被逐步優(yōu)化和解決。盡管網(wǎng)閘存在這些局限性，但它為醫(yī)院實(shí)現(xiàn)內(nèi)外網(wǎng)單方面的數(shù)據(jù)傳遞提供了相對(duì)安全的方式，因此它成為多數(shù)醫(yī)院采用的方式，一般是從內(nèi)網(wǎng)系統(tǒng)向外網(wǎng)提供數(shù)據(jù)查詢和推送上報(bào)等服務(wù)，比如我們醫(yī)院的網(wǎng)閘系統(tǒng)擔(dān)負(fù)著HQMS數(shù)據(jù)上報(bào)、預(yù)約掛號(hào)信息傳送、查體報(bào)告推送等。

3 內(nèi)外網(wǎng)數(shù)據(jù)交互前景

綜上所述我們可以看到：實(shí)現(xiàn)醫(yī)院內(nèi)外網(wǎng)數(shù)據(jù)交換的方式有多種，這些方式也都有自己的優(yōu)點(diǎn)和局限性，隨著安全新技術(shù)和應(yīng)用的不斷拓展和完善，肯定會(huì)有其它更好更安全的方式出現(xiàn)，但絕對(duì)安全的網(wǎng)絡(luò)交互方式是不存在的。對(duì)于醫(yī)院來講，內(nèi)外網(wǎng)的互通范圍只能是越來越大，這是不可改變的趨勢(shì)，如何更安全高效地實(shí)現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)交互，將是擺在醫(yī)院安全管理人員面前的一項(xiàng)永久性的課題。