淺談我院內(nèi)外網(wǎng)融合網(wǎng)絡(luò)的架構(gòu)

廖華強(qiáng) 楊坤岱 遂寧市中心醫(yī)院信息科

淺談我院內(nèi)外網(wǎng)融合網(wǎng)絡(luò)的架構(gòu)

廖華強(qiáng) 楊坤岱 遂寧市中心醫(yī)院信息科

內(nèi)網(wǎng)與外網(wǎng)的數(shù)據(jù)交互是醫(yī)院網(wǎng)絡(luò)系統(tǒng)在移動(dòng)醫(yī)療時(shí)代的主要發(fā)展方向。數(shù)據(jù)交互的安全性是醫(yī)院在內(nèi)外網(wǎng)互聯(lián)機(jī)制建構(gòu)過(guò)程中所關(guān)注的問(wèn)題。我院擬從遠(yuǎn)程心電，遠(yuǎn)程超聲，遠(yuǎn)程放射，遠(yuǎn)程教學(xué)，網(wǎng)站等方面入手，對(duì)內(nèi)外網(wǎng)融合體系進(jìn)行優(yōu)化。本文主要對(duì)內(nèi)外網(wǎng)的融合方式和與之相關(guān)的安全解決方案進(jìn)行了論述

醫(yī)院信息系統(tǒng) 內(nèi)外網(wǎng)融合 網(wǎng)絡(luò)安全 防火墻

醫(yī)院信息系統(tǒng)是醫(yī)院在內(nèi)部獨(dú)立局域網(wǎng)中實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)共享的重要因素。處于網(wǎng)絡(luò)安全的需要，醫(yī)院內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)系統(tǒng)之間具有著在物理上完全隔離的特點(diǎn)。以U盤(pán)等工具為依托的外部人工處理機(jī)制是醫(yī)院內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)系統(tǒng)之間實(shí)現(xiàn)數(shù)據(jù)文件交換的主要方式。隨著醫(yī)療信息化建設(shè)的不斷發(fā)展，醫(yī)院移動(dòng)業(yè)務(wù)對(duì)互聯(lián)網(wǎng)的依賴(lài)性得到了提升。針對(duì)我院內(nèi)外網(wǎng)體系所面臨的問(wèn)題，從遠(yuǎn)程心電，遠(yuǎn)程超聲，遠(yuǎn)程放射，遠(yuǎn)程教學(xué)等方面入手，對(duì)網(wǎng)絡(luò)體系進(jìn)行優(yōu)化，是提升本院信息化水平的重要措施。安全化、穩(wěn)定化、高效化的內(nèi)外網(wǎng)融合體系的建構(gòu)，成為了醫(yī)院新時(shí)期網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)型的重要目標(biāo)。

1 內(nèi)外網(wǎng)的融合方式

1.1 利用應(yīng)用防火墻對(duì)網(wǎng)絡(luò)邊界安全訪(fǎng)問(wèn)進(jìn)行控制

在防火墻硬件設(shè)備在醫(yī)院內(nèi)外網(wǎng)邊界之間以后，防火墻可以發(fā)揮出對(duì)內(nèi)外網(wǎng)之間流入流出的數(shù)據(jù)包進(jìn)行過(guò)濾和檢測(cè)的作用。由于防火墻系統(tǒng)僅能為醫(yī)院內(nèi)部網(wǎng)和外部網(wǎng)提供基于網(wǎng)絡(luò)層的安全保護(hù)，因而在網(wǎng)絡(luò)攻擊行為表現(xiàn)出向應(yīng)用層攻擊的特點(diǎn)以后，傳統(tǒng)防火墻并不能對(duì)一些隱藏在應(yīng)用程序中的攻擊代碼進(jìn)行有效甄別。

1.2 利用物理隔離網(wǎng)閘優(yōu)化內(nèi)外網(wǎng)數(shù)據(jù)交互方式

與物理隔離網(wǎng)閘有關(guān)的內(nèi)外網(wǎng)數(shù)據(jù)交互方式是建立在兩個(gè)獨(dú)立系統(tǒng)之間的無(wú)協(xié)議擺渡技術(shù)完成數(shù)據(jù)交互的方式。在這一安全設(shè)備應(yīng)用于醫(yī)院內(nèi)外網(wǎng)融合系統(tǒng)以后，物理隔離網(wǎng)閘所連接的獨(dú)立主機(jī)系統(tǒng)可以在無(wú)通信物理連接、無(wú)邏輯連接和信息傳輸協(xié)議的情況下，完成數(shù)據(jù)信息的傳輸工作。對(duì)于醫(yī)院相關(guān)內(nèi)部網(wǎng)絡(luò)而言，這一技術(shù)可以讓對(duì)內(nèi)部網(wǎng)絡(luò)安全帶來(lái)威脅的一切連接進(jìn)行阻斷，這就可以在壓縮黑客活動(dòng)空間的基礎(chǔ)上，對(duì)數(shù)據(jù)交互的安全性進(jìn)行提升。醫(yī)院外部網(wǎng)絡(luò)借助隔離網(wǎng)閘與內(nèi)部網(wǎng)絡(luò)連接以后，物理隔離網(wǎng)閘可以對(duì)外部主機(jī)所發(fā)起的TCP/IP協(xié)議進(jìn)行剝離，并讓原始數(shù)據(jù)通過(guò)存儲(chǔ)介質(zhì)導(dǎo)入至內(nèi)部主機(jī)系統(tǒng)之中。在醫(yī)院內(nèi)網(wǎng)與內(nèi)網(wǎng)之間不存在信息交換的情況下，物理隔離網(wǎng)閘與內(nèi)網(wǎng)、外網(wǎng)之間處于斷開(kāi)狀態(tài)。從物理隔離網(wǎng)閘技術(shù)的發(fā)展現(xiàn)狀來(lái)看，在這一技術(shù)的應(yīng)用過(guò)程中，醫(yī)院需要從內(nèi)部的具體業(yè)務(wù)入手，對(duì)專(zhuān)用的交換模塊進(jìn)行開(kāi)發(fā)，以便對(duì)與TCP協(xié)議和UDP協(xié)議有關(guān)的數(shù)據(jù)隔離交換體系和安全檢測(cè)體系進(jìn)行優(yōu)化。

2 內(nèi)外網(wǎng)整合架構(gòu)的設(shè)計(jì)方法

2.1 網(wǎng)站數(shù)據(jù)中心融合的保障措施

內(nèi)部接入網(wǎng)區(qū)域和外部接入網(wǎng)區(qū)域是醫(yī)院數(shù)據(jù)中心的主要組成部分。防火墻和IPS/IDS防毒墻的綜合運(yùn)用，可以在讓醫(yī)院數(shù)據(jù)中心的保障體系得到優(yōu)化。針對(duì)內(nèi)外網(wǎng)整合主流方式在網(wǎng)絡(luò)架構(gòu)中存在的問(wèn)題，醫(yī)院可以借助網(wǎng)絡(luò)網(wǎng)關(guān)、防火墻設(shè)備、前置機(jī)和安全隔離網(wǎng)閘為核心的安全融合架構(gòu)，為醫(yī)院數(shù)據(jù)中心的融合提供支持。網(wǎng)絡(luò)網(wǎng)關(guān)可以對(duì)網(wǎng)絡(luò)入侵行為和一些未授權(quán)的訪(fǎng)問(wèn)行為進(jìn)行有效控制，也可以借助相應(yīng)的板卡對(duì)安全防控等級(jí)進(jìn)行提升。前置機(jī)可以放置在醫(yī)院外網(wǎng)和內(nèi)網(wǎng)服務(wù)器之間，它可以發(fā)揮網(wǎng)絡(luò)通信、報(bào)文認(rèn)證和醫(yī)療數(shù)據(jù)格式轉(zhuǎn)換功能。在前置機(jī)與內(nèi)網(wǎng)服務(wù)器之間產(chǎn)生數(shù)據(jù)同步以后，安全隔離網(wǎng)閘可以通過(guò)切斷前置機(jī)與內(nèi)網(wǎng)服務(wù)器之間的連接的方式，對(duì)前置機(jī)在收到木馬病毒攻擊以后將病毒滲透至內(nèi)網(wǎng)服務(wù)器的現(xiàn)象進(jìn)行預(yù)防。

2.2 外部網(wǎng)絡(luò)用戶(hù)終端網(wǎng)絡(luò)融合準(zhǔn)入機(jī)制

從醫(yī)院信息系統(tǒng)的業(yè)務(wù)特點(diǎn)來(lái)看，醫(yī)院終端設(shè)備的內(nèi)外網(wǎng)接入模式可以是由用戶(hù)進(jìn)行選擇的應(yīng)用模式。三層交換機(jī)是醫(yī)院網(wǎng)絡(luò)架構(gòu)中的常用形式。醫(yī)院終端設(shè)備的IP地址的規(guī)劃在用戶(hù)終端網(wǎng)絡(luò)融合準(zhǔn)入體系中發(fā)揮著重要的作用。接口流量監(jiān)視機(jī)制、CPU利用率監(jiān)視機(jī)制和VPN網(wǎng)關(guān)的優(yōu)化，可以讓準(zhǔn)入機(jī)制的實(shí)效性得到提升。告警閾值的合理優(yōu)化，也可以讓管理人員對(duì)告警信息進(jìn)行實(shí)施把握。

網(wǎng)站安全網(wǎng)關(guān)、前置機(jī)、防火墻與隔離網(wǎng)閘的有效運(yùn)用，是技術(shù)人員對(duì)醫(yī)院內(nèi)外網(wǎng)融合體系的安全性進(jìn)行強(qiáng)化的有效措施。同時(shí)在醫(yī)院對(duì)內(nèi)外網(wǎng)系統(tǒng)的安全性進(jìn)行強(qiáng)化的基礎(chǔ)上，提升用戶(hù)的工作效率。

[1]俞華.醫(yī)院內(nèi)外網(wǎng)融合的網(wǎng)絡(luò)架構(gòu)配置實(shí)踐[J].中國(guó)數(shù)字醫(yī)學(xué),2017,12(03):94-96.