程學波

（淮安市第四人民醫(yī)院 信息科，淮安 223001）

我院HIS、LIS、PACS、電子病歷、臨床藥學及臨床路徑等系統(tǒng)產生了較大的數據量，這些數據是醫(yī)院整個信息系統(tǒng)運行不可或缺的，任何一個系統(tǒng)或一條記錄出現差錯，都將影響整個系統(tǒng)的完整性。特別是我們傳染病?？漆t(yī)院，患者基本都屬于慢性病管理范圍，需要不間斷的長期就醫(yī)治療，每一次的就診記錄對患者的后期治療都尤為重要。所以，數據一旦丟失或出現問題，都將會給醫(yī)院和患者帶來不可估量的損失。特別是現在逐步建立起來的與外部網絡進行各種數據的相互交換，對我們醫(yī)院內部的網絡信息安全提出了更高的要求，因此，如何建立一種科學有效的數據傳輸安全策略，保障醫(yī)院內部數據安全、可高效的運行，是每家醫(yī)院應該認真考慮和重視的問題。

我院經過市場調研和對安全隔離技術原理進行比較，采用了網閘設備來實現內部網路和互聯網之間的通訊，不僅能夠保證數據在傳輸過程中的保密性、完整性；而且可有效保障醫(yī)院內部網絡的安全性。目前我院采用的隔離網閘是網網神SecSIS3600安全隔離與信息交換系統(tǒng)（G1500-E005p）。

1 安全隔離網閘的概念

又名“物理隔離網閘”，用于實現不同網絡之間的安全隔離，在一定程度上可以控制數據交換的軟硬件系統(tǒng)組成。

2 安全隔離網閘的組成及工作原理

安全隔離網閘主要有三部分組成：隔離硬件、內部處理單元和外部處理單元。

安全隔離網閘是通過數據“擺渡”的方式實現兩個網絡之間的信息交換，即外部網絡系統(tǒng)通過隔離硬件（內外信息數據交換的惟一通道，接收數據同時，剝離外部網絡系統(tǒng)的TCP/IP 協(xié)議，將原始數據寫入存儲介質）與內部網路系統(tǒng)“連接”起來，將外部信息數據通過“擺渡”方式交換到內部網絡系統(tǒng)，實現信息數據的交換。

當內部網絡系統(tǒng)與外部網絡系統(tǒng)之間無信息交換時，物理隔離網閘與內、外網系統(tǒng)之間是完全斷開的，即三者之間不存在物理連接和邏輯連接，所以，在任何情況下，即使外部網絡系統(tǒng)遭到黑客攻擊時，也不會影響到內部網絡系統(tǒng)的安全。工作示意圖如下圖：

（此圖來源：網絡）

3 安全隔離網閘的功能模塊主要功能

3.1 安全隔離閘門的功能模塊有

安全隔離、內核防護、協(xié)議轉換、病毒查殺、訪問控制、安全審計、身份認證等。

3.2 主要功能

阻斷內外部網絡的直接物理連接和邏輯連接；保證內外部網絡單元數據交換機制不可不可編程；對即將交換的原始數據進行安全審查，把可能潛在的不安全代碼消滅干凈，確保原始數據的無任何危害性；在管理控制上建立完整的日志系統(tǒng)；可以結合用戶的實際應用環(huán)境及需求，建立數據特征庫，及根據需要建立相應的數據安全交換策略，實現對交換數據的校驗和過濾；支持多種數據庫及同步：如Oracle、SybaseSQLServer 等多種主流數據庫。

4 安全隔離網閘使用范圍及體會

隔離網閘主要使用在我院業(yè)務系統(tǒng)與院外專網和互聯網之間，保證我院業(yè)務系統(tǒng)與外部進行安全交換。

通過隔離網閘在我院的部署與實際應用，使得對網閘產品有了更進一步的認識，雖然網閘產品支持FTP 協(xié)議，文件共享，HTTP 協(xié)議，數據庫訪問等幾大模塊，但不能為了方便數據間的交流而無限制的開放所有模塊，網閘應用的好壞對網絡管理人員的要求很高，我們要明白應用物理隔離網閘的主要目的是解決必需數據交換的同時最大限度的保障其網絡傳輸的安全級別，而網閘由于采用的數據“擺渡”工作方式，其傳輸速率和工作效率遠沒有邏輯隔離的防火墻等設備傳輸效率高，所以網閘最好的設置方式就是開最少的傳輸端口做最嚴密的訪問控制，最大限度的保障傳輸安全及可靠性。在管理上，網閘都配備專門的管理端口，通過數字證書認證與管理信息的加密傳輸實現網閘設備的集中管理。系統(tǒng)采用全中文的Web 方式進行遠程網絡管理，界面友好，操作方便。系統(tǒng)管理員和審計員實現分權管理，使得對網閘的管理更加安全可控，避免人為因素帶來的安全風險。

5 結束語

隨著互聯網+醫(yī)療技術的飛速發(fā)展，該應用已經快速滲透到醫(yī)療的各個細分領域，涉及掛號、診斷、治療、購藥、健康管理等各個環(huán)節(jié)。這樣一來，對數據安全交換上就提出了更高的要求，要求在數據交換的同時，既要實現信息互聯互通，又要保證數據安全，而隔離網閘無疑是最好的選擇。因為網閘既解決了網絡間的安全隔離，又滿足了業(yè)務系統(tǒng)對數據高速交換的需求。相對于其他邊界安全產品，網閘的安全性是不用質疑的，是目前解決網絡間安全數據交換的最佳產品。