浅淡网闸技术在医院内外网数据交换中的应用

医院以往采用的内外网相互独立的模式,虽然保证了医院数据信息、患者隐私的安全,但却明显限制了区域化发展。在互联互通的今天,显然已经无法满足社会大众对医院的时代需求。随着近年来,网闸技术的愈发成熟,使这种两难问题得到了有效解决。此外,随着我国《网络安全法》的出台,等级保护制度也上升至国家法律层面,此种背景下,等级保护制度(等保)2.0的应运而生,它在等保1.0的基础上,更加强调主动防御、动态防御、精准防御。对网络安全保证工作提出了全新要求。医院信息系统加入网闸技术也符合等保2.0的相关要求,通过网闸技术,化被动被主动,从而有效防控网络中的安全风险问题。

一、何为网闸

安全隔离网闸(GAP),又名“网闸”、“物理隔离网闸”,用以实现不同安全级别网络之间的安全隔离,并提供适度可控的数据交换的软硬件系统。

网闸是使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备。由于两个独立的主机系统通过网闸进行隔离,使系统间不存在通信的物理连接、逻辑连接及信息传输协议,不存在依据协议进行的信息交换,而只有以数据文件形式进行的无协议摆渡。因此,网闸从逻辑上隔离、阻断了对内网具有潜在攻击可能的一切网络连接,使外部攻击者无法直接入侵、攻击或破坏内网,保障了内部主机的安全。

二、网闸技术及其原理

网闸技术顾名思义就是在两个网络中间设计一个闸门,网闸启动时,就能中断不同网络间的各项信息交互协议,这样一来,两个网络的所有信息都无法交互,也将木马、病毒等阻挡在闸门之外。当网闸闭合时,就能够有效保证内部网络的安全,避免来外部网络的任何威胁。当网闸开启时,就能够和外部网络实现互联互通。网闸通常是由一个外部主机、专用隔离开关系统以及一个内部主机所构成。内部主机负责连接内网,外部主机负责连接内网。隔离开关系统同时连接两个主机,就能够实现内外网互联。当断开和外部主机连接时,就实现了内外网的隔断。但是内外网并不是直接相连。当网闸系统开启时,外网的信息先进入到隔离系统中,系统对数据进行分析、病毒检测。经过检测后将安全的数据存入到系统中,再转发给内网,这样既能保证内外网的互联互通,又能保证安全性。

三、网闸的主要功能

  • 阻断网络的直接物理连接:物理隔离网闸在任何时刻都只能与非可信网络和可信网络上之一相连接,而不能同时与两个网络连接;
  • 阻断网络的逻辑连接:物理隔离网闸不依赖操作系统、不支持TCP/IP协议。两个网络之间的信息交换必须将TCP/IP协议剥离,将原始数据通过P2P的非TCP/IP连接方式,通过存储介质的“写入”与“读出”完成数据转发;
  • 安全审查:物理隔离网闸具有安全审查功能,即网络在将原始数据“写入”物理隔离网闸前,根据需要对原始数据的安全性进行检查,把可能的病毒代码、恶意攻击代码消灭干净等;
  • 原始数据无危害性:物理隔离网闸转发的原始数据,不具有攻击或对网络安全有害的特性。就像txt文本不会有病毒一样,也不会执行命令等。
  • 管理和控制功能:建立完善的日志系统。
  • 根据需要建立数据特征库:在应用初始化阶段,结合应用要求,提取应用数据的特征,形成用户特有的数据特征库,作为运行过程中数据校验的基础。当用户请求时,提取用户的应用数据,抽取数据特征和原始数据特征库比较,符合原始特征库的数据请求进入请求队列,不符合的返回用户,实现对数据的过滤。
  • 根据需要提供定制安全策略和传输策略的功能:用户可以自行设定数据的传输策略,如:传输单位(基于数据还是基于任务)、传输间隔、传输方向、传输时间、启动时间等。
  • 支持定时/实时文件交换:支持支持单向/双向文件交换;支持数字签名、内容过滤、病毒检查等功能。

四、网闸和防火墙的区别

防火墙是网络访问控制设备,是单主机架构,部署在网络边界。通过对防火墙的设置,可以有效阻止一些可疑的攻击行为。防火墙需要制定严格的访问控制策略对连接进行检查以抵御TCP/IP漏洞攻击,能对大部分已知TCP/IP攻击实施阻断。

网闸是网络隔离交换设备,是双主机2+1架构,部署在两个主机之间,两个主机系统相互独立。到达网闸的会话都会被中断原有的TCP/IP连接,隔离设备将所有的协议剥离,将原始的数据写入存储介质。因此,对于目前所有的如源地址欺骗、伪造TCP序列号、SYN攻击等TCP/IP漏洞攻击是完全阻断的。

五、网闸技术在医院内外网数据交换中的应用

网闸技术的应用能够在有效保障内网安全和病人隐私的基础上,实现内外网的互联互通,推动了医疗信息化的深入发展,其具体应用主要体现在以下几个方面。

5.1 区域医疗协同

同区域的医院共同承担着保障当地居民健康的责任,相互之间应当将医疗资源整合。临床中常见一些基层医院接收的病人病情复杂,需要将这类患者及时送到能够治疗疑难疾病的大医院。这样就能够通过开启网闸联通外网,和大医院的信息系统相连,将患者的相关信息、电子病历传递给大医院,为大医院的医生提供有价值的信息,免去重复检查,为患者挣得更多的治疗时间,尽早接受治疗。

在医疗协同中,需要建设各医院的通讯通道,目标地址是医院的内网HIS系统服务器地址,入口设备为外网地址,由网站闸连接内外网,建立各医院间的信息交互通道。以基层医院转诊为例,病人的信息经由基层医院的HIS系统向通信通道传递到大医院的网闸中,由网闸经过安全分析后,传递到大医院的内网中。患者的病情稳定后,可以到家附近的社区医院疗养,这种情况,大医院也可以通过这种方式将患者的相关信息传递给社区医院。

5.2 网上预约挂号

因为考虑到网络安全因素,一直以来医院不向将HIS系统和外网相连,为了实现网上预约挂号,就需要连接外网,传统的方式主要是通过防火墙来防止外网的病毒、木马等威胁,但是网络病毒、木马更新换代很快,防火墙可能无法识别新型的病毒入侵,埋下了安全隐患。而采用基于网闸技术的线上预约挂号系统,就能有效改变以往的这种问题。具体的应用如下:

首先医院将每日出诊排班表经由内网,传递到网闸,再传到位于外网的医院门户网站中。线上挂号的患者登录外网门户网站执行预约挂号操作,操作完成后将相关信息通过网闸传入到医院的内网HIS系统中,医院内部人员根据传过来的挂号信息进行记录,完成整个预约挂号的流程。在这种方式下,实现了和外网的联系,但是却不是直接和外网相连,而是以网闸作为中介,先进入到网闸中,网闸将非挂号的信息剥离出去,将剥离后的纯挂号信息传递到内网,和内网的防火墙形成双保险,最大程度保证安全性。

5.3 在线查询检查检验结果及在线支付等

医学检验工作往往需要一定时间,甚至可能无法当天完成,对于此种情况,一些患者就想要远程在线获取检验结果。首先将患者的检验结果存入到内网的数据库之中,数据库和网闸相连,医院将检查结果和报告发从内网经由网闸传递到外网的门户网站中,发布到网站中的相关页面,患者在外网的门户网站中就可查询检验结果。患者在门户网站上输入自己的身份证号或医保卡号,门户网站就会根据身份证号显示对应的信息,这样患者就能查询到结果了。

5.4 互联网医院及在线药学服务

医疗服务领域新形态不断涌现,“互联网+医疗”作为其中突出的一种,在挂号结算、远程诊疗、咨询服务等方面进行了不少探索。2018年,国务院办公厅印发《关于促进“互联网+医疗健康”发展的意见》,提出允许医疗机构开展部分常见病、慢性病复诊等互联网医疗服务,为“互联网+医疗健康”明确了发展方向。

5.5 重要信息发布及上报

根据我国卫生部规定,一旦有传染病,比如发现新冠患者,务必要在第一时间向卫生部汇报。没有网站之前,都似乎通过手工的方式上报信息,增加了工作量,时效性也很差。通过网站技术,就能够及时将感染疾病信息第一时间将信息经过网闸向卫生部上报。此外,医院如果有重要信息,如涉及防疫的工作安排,就可以将这些内容通过网闸传递到外网门户网站,向社会公示。

5.6 更多其它应用

还有更多其它应用,在此就不一一枚举了。

结束语

网闸很好地解决了安全隔离下的信息可控交换等问题,在电子政务等敏感信息较多的领域得到了大量的应用。通过部署网闸可以有效解决电子政务内网与外网数据交换的安全问题,也可以结合防火墙、IDS、VPN等安全设备形成综合防护平台,提供更可靠的安全防御。

在医疗区域化发展的背景下,应当加强医院内外网的信息交换,但直接将内网和外网连接,就可能受到来自外网的病毒以及木马等的不良影响,不利于医院信息安全与患者隐私。但是通过网闸的应用,能够在保障安全的基础上,实现了内外网的互联互通,推动了医院的信息化发展,也保障了医院的内部安全。总之,网闸技术为医疗机构的信息化建设打开了新局面,有效改变了以往信息交互不畅,工作效率低、时效性差的问题。医院应当积极引入网闸技术,开通内外网的信息交换通道,助力医疗事业发展。

动态分享

文章目录