朱卓謹(jǐn) 李瑞瑤 張曉平 趙勰

摘要：隨著互聯(lián)網(wǎng)+醫(yī)療業(yè)務(wù)的不斷發(fā)展，醫(yī)院內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的互聯(lián)需求不斷增長(zhǎng)?；ヂ?lián)網(wǎng)病毒攻擊、計(jì)算機(jī)犯罪威脅日益嚴(yán)峻，內(nèi)外網(wǎng)隔離技術(shù)越來越受到重視，如何在安全可靠的基礎(chǔ)上實(shí)現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的安全交互成為越來越多的醫(yī)院重點(diǎn)關(guān)注的問題。該文介紹了一種基于光的單向傳輸特性，利用單向光纖網(wǎng)卡進(jìn)行外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的物理隔離技術(shù)，在安全隔離的基礎(chǔ)上，實(shí)現(xiàn)內(nèi)外網(wǎng)之間有效、安全、受控的數(shù)據(jù)單向傳輸。

關(guān)鍵詞：網(wǎng)絡(luò)安全;內(nèi)外網(wǎng)交互;單向光

中圖分類號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2022）04-0032-02

1 引言

2020年11月，習(xí)近平總書記在《中共中央關(guān)于制定國民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)的建議》中指出“十四五”時(shí)期要全面推進(jìn)健康中國建設(shè)，強(qiáng)調(diào)要把人民健康放在優(yōu)先發(fā)展戰(zhàn)略地位。為此，不斷提高醫(yī)療衛(wèi)生服務(wù)供給質(zhì)量、水平和安全成為醫(yī)療機(jī)構(gòu)的重要任務(wù)。而近年來互聯(lián)網(wǎng)病毒攻擊、計(jì)算機(jī)犯罪等威脅日益嚴(yán)重，防火墻攻破率不斷上升，使得醫(yī)療機(jī)構(gòu)將保障醫(yī)療數(shù)據(jù)安全擺在了醫(yī)療數(shù)據(jù)體系構(gòu)建的重要位置[1-2]。

2 醫(yī)療數(shù)據(jù)安全保護(hù)現(xiàn)狀

隨著數(shù)據(jù)安全的重要性不斷增強(qiáng)，醫(yī)療機(jī)構(gòu)一般采取建設(shè)物理隔離的局域網(wǎng)環(huán)境，但醫(yī)療數(shù)據(jù)要服務(wù)于民眾和上級(jí)政府部門，不可避免地存在與外界進(jìn)行數(shù)據(jù)交換的業(yè)務(wù)和場(chǎng)景，因此，普遍采用防火墻和網(wǎng)閘等設(shè)備保護(hù)內(nèi)部網(wǎng)絡(luò)和關(guān)鍵點(diǎn)的基礎(chǔ)設(shè)施。采用安全網(wǎng)閘的目標(biāo)是確保把有害的攻擊和病毒進(jìn)行隔離，在可信網(wǎng)絡(luò)之外和保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下，完成網(wǎng)間數(shù)據(jù)的安全交換[3]。

安全網(wǎng)閘技術(shù)是在原有安全技術(shù)的基礎(chǔ)上發(fā)展起來的，它彌補(bǔ)了原有安全技術(shù)的不足，但也存在防護(hù)效果強(qiáng)烈依賴于未公開的文件格式和自有協(xié)議、無法對(duì)交換行為和數(shù)據(jù)進(jìn)行審批和審計(jì)、沒有內(nèi)容檢測(cè)功能存在數(shù)據(jù)泄露風(fēng)險(xiǎn)等不足[4]。因此隨著新型網(wǎng)絡(luò)攻擊手段的出現(xiàn)和對(duì)網(wǎng)絡(luò)安全特殊需求的增加[5]，本文介紹了南京某院利用光纖單向光傳輸特性的醫(yī)療數(shù)據(jù)安全交互系統(tǒng)，實(shí)現(xiàn)醫(yī)院兩個(gè)不同安全域之間的數(shù)據(jù)請(qǐng)求和交互。

3 基于單向光傳輸?shù)尼t(yī)療數(shù)據(jù)安全交互系統(tǒng)

3.1 系統(tǒng)結(jié)構(gòu)及原理

系統(tǒng)基于光的單向傳輸特性，利用單向光纖網(wǎng)卡進(jìn)行外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的物理隔離技術(shù)，通過分光鏡像技術(shù)將數(shù)據(jù)分發(fā)處理，從硬件上實(shí)現(xiàn)數(shù)據(jù)不可逆、反向數(shù)據(jù)為零的功能，在安全隔離的基礎(chǔ)上，實(shí)現(xiàn)內(nèi)外網(wǎng)之間有效、安全、受控的數(shù)據(jù)單向傳輸。

3.1.1 單向光纖網(wǎng)卡

單發(fā)單收光纖網(wǎng)卡是一種計(jì)算機(jī)網(wǎng)絡(luò)的單向傳輸網(wǎng)關(guān)，它包括發(fā)送方以太網(wǎng)光纖卡、接收方以太網(wǎng)光纖卡以及連接它們的網(wǎng)絡(luò)光纖線。發(fā)送方以太網(wǎng)光纖卡的模塊只有發(fā)送端口。接收方以太網(wǎng)光纖卡的模塊只有接收口。發(fā)送卡的發(fā)送口與接收卡的接收口采用單條光纖連接。它既實(shí)現(xiàn)了計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的物理隔離，又能夠保證數(shù)據(jù)在內(nèi)外網(wǎng)絡(luò)之間實(shí)時(shí)、可靠、安全地單向傳輸。

3.1.2 分光鏡像技術(shù)

在滿足外網(wǎng)與內(nèi)網(wǎng)間無物理網(wǎng)絡(luò)連接的條件下，采用分光鏡像技術(shù)將外網(wǎng)請(qǐng)求數(shù)據(jù)經(jīng)數(shù)據(jù)隔離區(qū)傳送至內(nèi)網(wǎng)進(jìn)行處理，對(duì)于內(nèi)網(wǎng)處理區(qū)數(shù)據(jù)處理后，再利用分光鏡像技術(shù)經(jīng)數(shù)據(jù)隔離區(qū)發(fā)回外網(wǎng)和請(qǐng)求客戶端完成處理。

3.1.3 傳輸流程

系統(tǒng)由三部分組成：內(nèi)網(wǎng)、外網(wǎng)、分光單向傳輸設(shè)備。

內(nèi)網(wǎng)和外網(wǎng)所實(shí)現(xiàn)的安全功能是一致的，只是連接不同的網(wǎng)絡(luò)。以內(nèi)網(wǎng)單元為例，其包括內(nèi)網(wǎng)接口單元與內(nèi)網(wǎng)數(shù)據(jù)隔離區(qū)。接口部分負(fù)責(zé)與內(nèi)網(wǎng)的連接，并終止內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)連接，對(duì)數(shù)據(jù)進(jìn)行病毒檢測(cè)、防火墻、入侵防護(hù)等安全檢測(cè)后剝離出“純數(shù)據(jù)”，做好交換的準(zhǔn)備，也完成來自內(nèi)網(wǎng)對(duì)用戶身份的確認(rèn)，確保數(shù)據(jù)的安全通道;數(shù)據(jù)隔離區(qū)是存放并調(diào)度剝離后的數(shù)據(jù)，負(fù)責(zé)與隔離交換單元的數(shù)據(jù)交換，傳輸流程如圖1所示。

（1）用戶發(fā)送請(qǐng)求給設(shè)備。

（2）設(shè)備將接收到的請(qǐng)求寫入請(qǐng)求數(shù)據(jù)隔離區(qū)。

（3）安全服務(wù)器部分將請(qǐng)求讀取到，隔離設(shè)備將請(qǐng)求發(fā)送至服務(wù)器。

（4）安全隔離設(shè)備將服務(wù)器回應(yīng)的數(shù)據(jù)寫入回應(yīng)數(shù)據(jù)隔離區(qū)。

（5）用戶將從回應(yīng)數(shù)據(jù)隔離區(qū)讀取數(shù)據(jù)。

3.2 安全控制

為了減少數(shù)據(jù)傳輸過程中出錯(cuò)的概率，提高審計(jì)傳輸文件安全性，系統(tǒng)加入了完整性驗(yàn)證、文件過濾和病毒檢測(cè)技術(shù)。

3.2.1 完整性驗(yàn)證技術(shù)

數(shù)據(jù)在傳輸過程中采用靜態(tài)自動(dòng)加密技術(shù)傳輸，源節(jié)點(diǎn)和目的節(jié)點(diǎn)共享一個(gè)不為攻擊者所知的根秘鑰，由根秘鑰以及先前所有被傳數(shù)據(jù)的消息認(rèn)證碼生成加密當(dāng)前被傳輸數(shù)據(jù)的加密秘鑰，當(dāng)前由源節(jié)點(diǎn)傳輸?shù)侥康墓?jié)點(diǎn)的是一個(gè)被加密了的數(shù)據(jù)以及同該數(shù)據(jù)對(duì)應(yīng)的消息認(rèn)證碼。每個(gè)傳輸?shù)臄?shù)據(jù)包加密操作都包括對(duì)數(shù)據(jù)損壞的自動(dòng)檢查，如果檢測(cè)到損壞，則會(huì)中止操作并記錄詳細(xì)錯(cuò)誤。由于數(shù)據(jù)附著有消息認(rèn)證碼，因此能夠檢驗(yàn)當(dāng)前所傳輸數(shù)據(jù)的完整性，由于加密秘鑰與歷史信息有關(guān)，因此任意的數(shù)據(jù)破壞和不一致將導(dǎo)致源節(jié)點(diǎn)和目的節(jié)點(diǎn)的加密秘鑰不一致，從而達(dá)到數(shù)據(jù)完整驗(yàn)證，最大限度地降低數(shù)據(jù)丟失風(fēng)險(xiǎn)。

3.2.2 文件過濾技術(shù)

通過邊界設(shè)備進(jìn)行文件的過濾，如圖2所示，可以針對(duì)web服務(wù)和FTP服務(wù)器的不同特性設(shè)定不同的文件過濾策略。如針對(duì)WEB服務(wù)，不建議設(shè)定普通用戶可以傳輸exe可執(zhí)行文件，我們可設(shè)定策略所有用戶都不可以向web服務(wù)器傳輸exe等可疑文件，此時(shí)可以保證web服務(wù)器的安全;針對(duì)FTP服務(wù)器，可以設(shè)定.dcom文件無法傳輸，因?yàn)樵撐募赡苌婕搬t(yī)院相對(duì)較機(jī)密的文件，可以保證內(nèi)網(wǎng)數(shù)據(jù)的安全。

3.2.3 病毒檢測(cè)技術(shù)

在內(nèi)外網(wǎng)區(qū)域分別采用不同的殺毒引擎和病毒庫，經(jīng)過設(shè)備傳輸?shù)奈募?shù)據(jù)流，通過TCP/IP協(xié)議將數(shù)據(jù)包拆包，通過病毒掃描引擎，將數(shù)據(jù)推送入數(shù)據(jù)預(yù)處理模塊，檢測(cè)到數(shù)據(jù)包的特征碼，然后與系統(tǒng)存儲(chǔ)的病毒特征庫進(jìn)行對(duì)比，檢測(cè)到的結(jié)果推送到前臺(tái)并展示。

4 應(yīng)用分析

4.1 部署拓?fù)鋱D

根據(jù)已有院區(qū)規(guī)模和業(yè)務(wù)需求，構(gòu)建物理隔離的內(nèi)外網(wǎng)絡(luò)，網(wǎng)絡(luò)區(qū)域之間通過基于單向光傳輸?shù)尼t(yī)療數(shù)據(jù)安全交互系統(tǒng)進(jìn)行網(wǎng)絡(luò)隔離，網(wǎng)絡(luò)拓?fù)淙鐖D3所示。

4.2 工作流程

文件上傳時(shí)，首先將文件上傳至內(nèi)外網(wǎng)數(shù)據(jù)安全交互設(shè)備進(jìn)行文件過濾，不合規(guī)文件則直接進(jìn)行刪除;符合規(guī)則的文件將經(jīng)過非安全網(wǎng)絡(luò)的病毒檢測(cè)機(jī)制，有病毒文件也是直接進(jìn)行刪除，如果檢測(cè)無病毒，則經(jīng)過交互封裝傳送至安全網(wǎng)絡(luò)部分。

安全網(wǎng)絡(luò)首先進(jìn)行文件校驗(yàn)，如果校驗(yàn)失敗，則文件需要重新發(fā)送;如果校驗(yàn)通過，則再匹配文件過濾規(guī)則，不符合規(guī)則的文件直接刪除并結(jié)束流程，匹配完成的文件再通過安全網(wǎng)絡(luò)的病毒過濾，檢測(cè)有病毒的文件也是直接刪除并結(jié)束流程，檢測(cè)無病毒則將文件分發(fā)到對(duì)應(yīng)的服務(wù)端，任務(wù)完成。

4.3 安全隔離網(wǎng)閘對(duì)比

安全隔離網(wǎng)閘僅實(shí)現(xiàn)了鏈路層的信息安全鏈接，對(duì)物理隔離的獨(dú)立網(wǎng)絡(luò)區(qū)域之間使用私有協(xié)議進(jìn)行無差別數(shù)據(jù)傳輸，相較于基于單向光傳輸?shù)尼t(yī)療數(shù)據(jù)安全交互系統(tǒng)缺少數(shù)據(jù)安全控制、審批、審計(jì)等功能，且后者光纖傳輸速度更高、僅有光的強(qiáng)弱衰減保證數(shù)據(jù)差錯(cuò)可控性，并可通過數(shù)據(jù)安全交換實(shí)現(xiàn)數(shù)據(jù)審閱、轉(zhuǎn)碼等系統(tǒng)功能對(duì)接。

5 總結(jié)

本文介紹了基于單向光傳輸?shù)尼t(yī)療數(shù)據(jù)安全交互系統(tǒng)，該系統(tǒng)在傳統(tǒng)安全設(shè)備的基礎(chǔ)上，利用光的單向傳輸及光纖的高帶寬低延遲等特點(diǎn)，實(shí)現(xiàn)了交互安全、數(shù)據(jù)可控，提升了醫(yī)院內(nèi)外網(wǎng)數(shù)據(jù)交互的傳輸效率，增加了數(shù)據(jù)傳輸安全可控性和可管理性，也為數(shù)據(jù)安全協(xié)議的定制化提供了基礎(chǔ)。

參考文獻(xiàn)：

[1] 趙榮康，孔祥瑞，梁蓉蓉.不同安全等級(jí)網(wǎng)絡(luò)之間的數(shù)據(jù)交換方案研究與實(shí)現(xiàn)[J].信息安全研究，2020，6（4）：338-344.

[2] 劉陽，黃蓉波，魏能強(qiáng).基于光閘單向安全傳輸系統(tǒng)的研究與實(shí)現(xiàn)[J].數(shù)字技術(shù)與應(yīng)用，2019，37（8）：177-178.

[3] 李承林.基于光閘單向傳輸數(shù)據(jù)交換技術(shù)研究[J].激光雜志，2018，39（4）：134-138.

[4] 敖麟欽，陳卓.基于網(wǎng)絡(luò)隔離技術(shù)的信息資源共享方案研究[J].軟件導(dǎo)刊，2017，16（6）：163-167.

[5] 張欣琦.單向光閘原理及功能淺析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（5）：99-100.

收稿日期：2021-08-27

作者簡(jiǎn)介：朱卓謹(jǐn)（1988—），男，江蘇南京人，工程師，本科，主要從事計(jì)算機(jī)網(wǎng)絡(luò)及網(wǎng)絡(luò)安全方向的研究;李瑞瑤（1989—），女，江蘇南京人，工程師，研究生，主要從事衛(wèi)生信息管理相關(guān)研究。