醫(yī)院內(nèi)網(wǎng)連接省市醫(yī)保與新農(nóng)合網(wǎng)絡(luò)安全措施分析

袁 靜，吳海燕，劉長興

醫(yī)院內(nèi)網(wǎng)連接省市醫(yī)保與新農(nóng)合網(wǎng)絡(luò)安全措施分析

袁 靜，吳海燕，劉長興

目的：針對醫(yī)院內(nèi)網(wǎng)與省市醫(yī)保、新農(nóng)合網(wǎng)絡(luò)的架構(gòu)特點(diǎn)，應(yīng)用交互模式以及醫(yī)院安全需求，制定一套切實(shí)可行的安全解決方案。方法：通過專網(wǎng)通信、加密卡、防火墻與終端安全管理相結(jié)合且相互聯(lián)動(dòng)的方式，構(gòu)成動(dòng)態(tài)的防御體系，有效解決醫(yī)院內(nèi)部網(wǎng)絡(luò)和省市醫(yī)保、新農(nóng)合網(wǎng)絡(luò)之間數(shù)據(jù)交換的安全問題。結(jié)果：通過建立由醫(yī)院管理和控制的安全防護(hù)機(jī)制，實(shí)現(xiàn)了網(wǎng)絡(luò)邊界的隔離、訪問控制和入侵防御，使省市醫(yī)保、新農(nóng)合網(wǎng)絡(luò)與醫(yī)院內(nèi)部網(wǎng)絡(luò)的互相訪問可管可控。結(jié)論：采用“專網(wǎng)通信+防火墻+加密卡”的解決方案能夠保證醫(yī)院內(nèi)網(wǎng)與省市醫(yī)保、新農(nóng)合網(wǎng)絡(luò)間的安全隔離與數(shù)據(jù)的安全交換。

內(nèi)網(wǎng)；醫(yī)保網(wǎng)絡(luò)；新農(nóng)合網(wǎng)絡(luò)；數(shù)據(jù)交換；網(wǎng)絡(luò)安全

0 引言

隨著醫(yī)療保險(xiǎn)制度改革的推進(jìn)，醫(yī)保實(shí)時(shí)結(jié)算、異地就醫(yī)結(jié)算、新型農(nóng)村合作醫(yī)療的應(yīng)用范圍日益擴(kuò)大。以往醫(yī)院與患者之間的直接結(jié)算關(guān)系，越來越多地變成了醫(yī)院和患者、醫(yī)院和省市醫(yī)保中心（新農(nóng)合中心）、患者和省市醫(yī)保中心（新農(nóng)合中心）三者之間的復(fù)雜結(jié)算關(guān)系，這就要求醫(yī)院內(nèi)網(wǎng)與省市醫(yī)保、新農(nóng)合網(wǎng)絡(luò)之間進(jìn)行越來越頻繁的實(shí)時(shí)數(shù)據(jù)交換。部隊(duì)醫(yī)院作為地方醫(yī)療保險(xiǎn)的定點(diǎn)醫(yī)療機(jī)構(gòu)，同樣要做好省市醫(yī)保、新農(nóng)合患者在院就診的實(shí)時(shí)結(jié)算工作。另一方面，考慮到部隊(duì)醫(yī)院更高的保密性要求，如何在保障好地方居民醫(yī)保與新農(nóng)合服務(wù)的同時(shí)，保護(hù)好醫(yī)院內(nèi)部網(wǎng)絡(luò)，使其在與省市醫(yī)保、新農(nóng)合網(wǎng)絡(luò)連接過程中不受來自外網(wǎng)的各類網(wǎng)絡(luò)層、操作系統(tǒng)層的攻擊，越來越受到大家的關(guān)注[1-2]。

本文針對我院內(nèi)網(wǎng)與省市醫(yī)保、新農(nóng)合網(wǎng)絡(luò)的架構(gòu)特點(diǎn)、應(yīng)用交互模式，以及部隊(duì)醫(yī)院的特殊安全需求，提出一套切實(shí)可行的解決方案，通過專網(wǎng)通信、防火墻、加密卡與終端安全管理相結(jié)合且相互聯(lián)動(dòng)構(gòu)成動(dòng)態(tài)的防御體系，通過一系列安全策略配置，有效實(shí)現(xiàn)了醫(yī)院內(nèi)部網(wǎng)絡(luò)與省市醫(yī)保、新農(nóng)合網(wǎng)絡(luò)間的訪問控制，解決了醫(yī)院內(nèi)部網(wǎng)絡(luò)和省市醫(yī)保、新農(nóng)合網(wǎng)絡(luò)之間數(shù)據(jù)交換的安全問題。

1 醫(yī)院內(nèi)網(wǎng)與省市醫(yī)保、新農(nóng)合網(wǎng)絡(luò)環(huán)境分析

對醫(yī)院內(nèi)部局域網(wǎng)絡(luò)而言，醫(yī)保、新農(nóng)合網(wǎng)絡(luò)是各自相對獨(dú)立的外部網(wǎng)絡(luò)，醫(yī)保、新農(nóng)合中心為醫(yī)院、藥店、社區(qū)等各種不同性質(zhì)的醫(yī)療單位提供統(tǒng)一的網(wǎng)絡(luò)接入和數(shù)據(jù)接口，以實(shí)現(xiàn)患者信息的交換。各單位情況不同，允許直連專線接入和撥號專線接入等多種接入形式；數(shù)據(jù)交換接口則是一套軟件或動(dòng)態(tài)鏈接庫，醫(yī)院、藥店、社區(qū)等單位的應(yīng)用程序統(tǒng)一通過這套接口與省市醫(yī)保、新農(nóng)合中心進(jìn)行數(shù)據(jù)交換。

同大多數(shù)醫(yī)院一樣，我院與醫(yī)保網(wǎng)絡(luò)的數(shù)據(jù)交換是通過架設(shè)在醫(yī)院內(nèi)網(wǎng)和醫(yī)保網(wǎng)絡(luò)之間的前置機(jī)來完成的，2套網(wǎng)絡(luò)彼此不進(jìn)入對方網(wǎng)絡(luò)。省市醫(yī)保信息中心負(fù)責(zé)部署和維護(hù)前置機(jī)系統(tǒng)，醫(yī)院方面只能對其進(jìn)行讀寫訪問，并沒有控制權(quán)。醫(yī)院的HIS通過調(diào)用省市醫(yī)保信息中心提供的接口函數(shù)將醫(yī)保患者信息傳輸?shù)讲渴鹪谇爸脵C(jī)上的數(shù)據(jù)庫中；醫(yī)保信息中心則通過該前置機(jī)得到醫(yī)?；颊叩母鞣N治療及費(fèi)用信息。農(nóng)合信息中心則是通過直連專線接入方式直接與新農(nóng)合服務(wù)器連接。根據(jù)國家信息安全等級保護(hù)的要求，省市醫(yī)保、新農(nóng)合網(wǎng)絡(luò)的架構(gòu)在數(shù)據(jù)的訪問控制、行為的安全性審計(jì)、邊界的完整性檢查、對各種入侵的防范等方面應(yīng)達(dá)到3級網(wǎng)絡(luò)[3-5]的標(biāo)準(zhǔn)，但其中還是存在著一些安全隱患，主要表現(xiàn)在3個(gè)方面。

1.1 管理可控性低

醫(yī)院端對省市醫(yī)保、新農(nóng)合網(wǎng)絡(luò)沒有可控的安全策略，沒有對網(wǎng)絡(luò)安全、數(shù)據(jù)交換的訪問控制權(quán)。

1.2 接入復(fù)雜性高

雖然各醫(yī)院、藥店、社區(qū)等單位都按照要求通過專線接入醫(yī)保、新農(nóng)合網(wǎng)絡(luò)，但種類復(fù)雜的接入網(wǎng)絡(luò)、水平參差不齊的管理方法都給病毒、木馬的傳播提供了便利途徑。

1.3 系統(tǒng)漏洞多

安裝在醫(yī)院內(nèi)部前置機(jī)上的Windows操作系統(tǒng)以及醫(yī)保、新農(nóng)合應(yīng)用軟件等系統(tǒng)漏洞使得以前置機(jī)為跳板攻擊醫(yī)院內(nèi)網(wǎng)、竊取破壞患者就醫(yī)資料成為可能；運(yùn)行在前置機(jī)上的應(yīng)用程序和數(shù)據(jù)接口等都不是醫(yī)院開發(fā)的應(yīng)用程序，醫(yī)院網(wǎng)絡(luò)難以實(shí)現(xiàn)對省市醫(yī)保、新農(nóng)合網(wǎng)絡(luò)的訪問控制。

2 解決方案

為了保障醫(yī)院內(nèi)部網(wǎng)絡(luò)與省市醫(yī)保、新農(nóng)合網(wǎng)絡(luò)之間數(shù)據(jù)的安全交換，必須針對它們各自的網(wǎng)絡(luò)架構(gòu)與交互模式，建立能夠由醫(yī)院管理和控制的安全防護(hù)機(jī)制[6]，實(shí)現(xiàn)網(wǎng)絡(luò)邊界的隔離、訪問控制和入侵防御，禁止省市醫(yī)保、新農(nóng)合網(wǎng)絡(luò)與醫(yī)院內(nèi)部網(wǎng)絡(luò)的不可控訪問。

2.1 內(nèi)網(wǎng)連接省市醫(yī)保專網(wǎng)的安全措施

由于省、市醫(yī)保業(yè)務(wù)需要與醫(yī)保信息中心進(jìn)行數(shù)據(jù)交換，為確保內(nèi)網(wǎng)數(shù)據(jù)安全，防止惡意入侵，我們采用廣電網(wǎng)通光纖接入為主、電信ADSL撥號接入為輔的連接方式，以星形拓?fù)浞绞浇尤氲胶诵慕粨Q機(jī)，再由核心交換機(jī)連接醫(yī)保前置服務(wù)器和門診、住院各收費(fèi)終端。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及安全策略配置分別如圖1、2所示，并通過采取以下措施保證整個(gè)網(wǎng)絡(luò)的安全。

圖2 安全策略配置

2.1.1 專網(wǎng)通信

申請專用網(wǎng)絡(luò)通信，只用于與地方醫(yī)保服務(wù)器進(jìn)行數(shù)據(jù)交換。

2.1.2 數(shù)據(jù)加密卡

在每臺辦理業(yè)務(wù)的客戶端都安裝省市醫(yī)保指定的數(shù)據(jù)加密卡，確保只有指定的客戶端才能與地方醫(yī)保服務(wù)器進(jìn)行業(yè)務(wù)數(shù)據(jù)交換。

2.1.3 防火墻

在省市醫(yī)保專網(wǎng)與內(nèi)網(wǎng)中間架設(shè)防火墻。防火墻的安全策略配置如圖2所示，按照省市醫(yī)保下發(fā)的靜態(tài)IP地址配置防火墻的2個(gè)WAN口，結(jié)合內(nèi)網(wǎng)實(shí)際情況分配與內(nèi)網(wǎng)的核心交換機(jī)相連的LAN口地址，保證網(wǎng)絡(luò)通信。通過指定內(nèi)網(wǎng)訪問專網(wǎng)的外部地址段，在一定程度上保護(hù)專網(wǎng)的安全。通過路由表配置指定訪問外部專網(wǎng)的內(nèi)網(wǎng)客戶端及只有配置表中列出的內(nèi)網(wǎng)客戶端才能訪問省市專網(wǎng)，增強(qiáng)了內(nèi)外網(wǎng)安全。指定地址轉(zhuǎn)換為NAT模式（如圖3所示），保證只能由內(nèi)網(wǎng)客戶端發(fā)起對外網(wǎng)指定客戶端的通信請求，外網(wǎng)服務(wù)器接到請求后將數(shù)據(jù)包打上內(nèi)網(wǎng)給定標(biāo)記后才能返回，若內(nèi)網(wǎng)不發(fā)出請求，外網(wǎng)設(shè)備無法找到任何內(nèi)網(wǎng)地址，也就無法由外網(wǎng)主動(dòng)連入內(nèi)網(wǎng)，以此防止外部的惡意入侵，保障整個(gè)內(nèi)網(wǎng)的安全。

圖3 地址轉(zhuǎn)換

2.2 內(nèi)網(wǎng)連接新農(nóng)合專網(wǎng)的安全措施

我院有2臺客戶端連接新農(nóng)合服務(wù)器，由于是通過直連專線接入方式連接，為確保內(nèi)網(wǎng)安全，我們在外網(wǎng)與內(nèi)網(wǎng)之間單獨(dú)安裝了一臺防火墻，并對其做了嚴(yán)格的配置。在后期使用過程中又聯(lián)系新農(nóng)合方面為2臺內(nèi)網(wǎng)客戶端安裝了VPN軟件，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖4所示。通過連接拓?fù)渑c安全策略配置，并按照預(yù)定義的包過濾規(guī)則（同醫(yī)保網(wǎng)絡(luò)規(guī)則相同，即只有指定的2臺內(nèi)網(wǎng)客戶端能夠訪問指定的外網(wǎng)地址，未被指定的內(nèi)網(wǎng)地址發(fā)出的數(shù)據(jù)包和未被指定的外網(wǎng)地址返回的數(shù)據(jù)包都被認(rèn)為是非法數(shù)據(jù)包而丟掉）和地址轉(zhuǎn)換模式（NAT模式），防止外部的惡意入侵，保障整個(gè)內(nèi)網(wǎng)安全。

圖4 內(nèi)網(wǎng)與新農(nóng)合網(wǎng)絡(luò)連接拓?fù)鋱D

3 結(jié)語

對于醫(yī)保網(wǎng)絡(luò)，采用“專網(wǎng)通信+防火墻+加密卡”的解決方案，通過防火墻的安全策略配置和有效的包過濾規(guī)則，有效禁止了除醫(yī)保前置機(jī)外的任何外網(wǎng)節(jié)點(diǎn)訪問醫(yī)院內(nèi)部網(wǎng)絡(luò)，禁止了醫(yī)院終端向除醫(yī)保前置機(jī)外的任何其他IP地址發(fā)起訪問，限制了醫(yī)院能夠訪問醫(yī)保前置機(jī)的終端數(shù)量，有效實(shí)現(xiàn)了醫(yī)院內(nèi)部網(wǎng)絡(luò)與醫(yī)保網(wǎng)絡(luò)間的訪問控制；對于新農(nóng)合網(wǎng)絡(luò)，則通過專網(wǎng)通信、防火墻與終端安全管理相結(jié)合且相互聯(lián)動(dòng)構(gòu)成了動(dòng)態(tài)的防御體系，通過一系列安全策略配置有效實(shí)現(xiàn)了醫(yī)院內(nèi)部網(wǎng)絡(luò)與新農(nóng)合網(wǎng)絡(luò)間的訪問控制，有效防止了外網(wǎng)的暴力攻擊、內(nèi)網(wǎng)的主動(dòng)泄密，實(shí)現(xiàn)了醫(yī)院內(nèi)部網(wǎng)絡(luò)與新農(nóng)合網(wǎng)絡(luò)間的安全隔離與數(shù)據(jù)的安全交換。

[1]聶喆，屈盛，畢于慧.軍隊(duì)醫(yī)院與社保網(wǎng)安全數(shù)據(jù)交換解決方案[J].中國衛(wèi)生信息管理雜志，2011，8（2）：40-44.

[2]楊俊志.醫(yī)院信息系統(tǒng)安全體系建設(shè)實(shí)踐[J].醫(yī)學(xué)信息，2011（7）：2 868-2 869.

[3]何萍.如何構(gòu)建醫(yī)院信息系統(tǒng)的安全運(yùn)行體系[J].計(jì)算機(jī)應(yīng)用軟件，2007，24（10）：203-204.

[4]陳偉.醫(yī)院信息系統(tǒng)的安全管理[J].中國數(shù)字醫(yī)學(xué)，2008，3（4）：63-64.

[5]王蕾，朱劉松，孫瑛，等.軍隊(duì)醫(yī)院網(wǎng)絡(luò)安全管理[J].醫(yī)療衛(wèi)生裝備，2013，34（7）：124-125.

[6]馬麗婭，樊小玲，張杰，等.“軍隊(duì)網(wǎng)絡(luò)協(xié)同醫(yī)療服務(wù)平臺”系統(tǒng)架構(gòu)與技術(shù)特點(diǎn)[J].醫(yī)療衛(wèi)生裝備，2013，34（6）：40-42.

（收稿：2013-09-30 修回：2014-04-08）

Security solutions of connection between hospital intranet,medical insurance networks and New Rural Cooperative Network

YUAN Jing1,WU Hai-yan2,LIU Chang-xing1
（1.Department of Medical Information,General Hospital of Jinan Military Area Command,Jinan 250031,China; 2.Department of Equipment,the Affiliated Hospital of Jining Medical University,Jining 272000,Shandong Province,China）

ObjectiveTo develop a set of security solutions of connection between hospital intranet,medical insurance networks and New Rural Cooperative Network.MethodsDynamic defense system came into being by dedicated network communication,encryption as well as firewall combined with terminal security management,and then the security of data exchange was ensured between hospital intranet,medical insurance networks and New Rural Cooperative Network. ResultsSecurity managed and controlled by the hospital was realized for network boundary isolation,access control and invasion defense,so that the communication could be controllable between hospital intranet,medical insurance networks and New Rural Cooperative Network.Conclusion Dedicated network communication combined with firewall and encryption may contribute to safety isolation and data exchange between hospital intranet,medical insurance networks and New Rural Cooperative Network.[Chinese Medical Equipment Journal，2015，36（1）：55-57]

intranet;medical insurance network;New Rural Cooperative Network;data exchange;network security

R318；TP311.1

A

1003-8868（2015）01-0055-03

10.7687/J.ISSN1003-8868.2015.01.055

國家科技重大專項(xiàng)課題（2009ZX09502-030）

袁 靜（1973—），女，副主任，主管技師，主要從事醫(yī)院信息化建設(shè)方面的研究工作，E-mail：yuanjing0520@163.com。

250031 濟(jì)南，濟(jì)南軍區(qū)總醫(yī)院信息科（袁 靜，劉長興）；272000山東濟(jì)寧，濟(jì)寧醫(yī)學(xué)院附屬醫(yī)院器械科（吳海燕）

劉長興，E-mail：liu_aged@163.com