胡冰

【摘 要】区域医疗建设是卫生信息化建设的重要标志之一，本文结合我国国情及网络建设经验，通过对医院网络、区域医疗信息中心网络、区域医疗数据中心网络的防火墙、交换机、入侵检测系统、杀毒软件的部署和设计，形成了一套安全稳定的区域医疗信息网，保障了区域内医疗数据交互的安全性。

【关键词】区域医疗；网络安全；设计

[Abstract] Regional medical construction is one of the important symbols of the construction of health information. This paper， based on the national conditions and the experience of network construction， has formed a set of the deployment and design of the hospital network， the regional medical information center network， the regional medical data center network， the firewall， the switch， the intrusion detection system and the antivirus software. Safe and stable regional medical information network ensures the security of medical data interaction in the region.

[Key words] regional medical ； network security； design

【中图分类号】R197.32 【文献标识码】A 【文章编号】2095-6851（2018）09--01

1 引言

区域医疗信息化是指某一区域内，应用计算机与网络技术，为相关机构及个人提供卫生信息的采集、传输、存储、处理、分析及表达，其核心是实现以区域卫生信息数据共享为基础、以居民个人健康为核心，涵盖各种医疗、健康及管理等相关信息的交互与应用[1]。它最大特色就是资源共享，而实现医疗资源共享的基础就是如何建立区域内多级医疗机构安全稳定的网络连接，因此医疗网络安全建设是区域医疗信息化实现的关键。

2 设计背景

我国地域范围广，医院数量众多，如果建立国家集中式数据中心供医院直接

访问的模式，网络的稳定性和安全性无法得到保证，因此只能采用分布式数据中心。数据中心由每个地区单独建立，以实现分区域医疗数据访问。由于我国区域医疗信息化建设起步较晚，反而使很多医院在局域网的建设中发展较为完善。为了避免重新升级造成的资源浪费，我国区域医疗信息化网络建设应以局域网为主，可以通过网络连接和数据接口的开发，实现医院和区域医疗信息中心的数据交互。综上，我国的区域医疗信息网络适合由医院网络、区域信息中心网络和区域数据中心网络三部分组成。医院网络一般由医院内部的业务局域网组成。区域信息中心网络是各地区信息支撑中心的服务网络，由信息系统核心服务器、数据库服务器、应用服务器和存储设备等构成，该网络直接向基层医院提供数据访问及信息系统服务。区域数据中心与区域信息中心不同，它不直接为基层医疗机构提供服务，它作为对区域信息中心的辅助，主要由大型数据管理服务器及其共享式存储单元和应用服务器构成，为整个区域医疗信息系统提供主要数据（如图像、病历）的存储、备份和共享[2]。

3 设计原则

区域医疗的网络安全建设必须遵循可靠性、安全性、开放性、扩展性等几个原则，自身必须能够确保正常运行，不能因为安全系统出现故障而导致应用系统出现问题。可靠性：系统建设必须稳定可靠，不能经常出现各种问题；安全性：既要保证网络和应用的安全，又要保证自身的安全；开放性：系统建设必须具有一定的开放性，以保证不同厂家的不同产品能够集成到系统中来，并保证系统及各种应用的安全运行；可扩展性：安全系统必须是可扩展的，以适应网络规模的变化；易于管理：一方面，系统本身易于管理员管理和维护；另一方面，安全系统对其管理对象的管理是方便的、简单的[3]。

4 区域医疗信息网络安全体系设计

很多医院在区域医疗网络建设过程中，偏重对软硬件设施的投入，忽略网络安全建设，导致医疗数据在存储和传输过程中面临着被攻击、窃取、篡改、越权访问等很多安全问题。保障医疗数据安全在区域医疗建设中是非常重要的一环。下面从医院网络、区域医疗信息中心网络、区域医疗数据中心网络等几方面来讨论区域医疗网络建设中的相关网络安全措施。

4.1 医院网络安全设计 医院网络指各级医疗机构自建的局域网，对于偏远地区没有局域网的基层医疗结构，可以通过建设因特网等方式直接接入信息中心。各医疗机构工作站通过B/S模式访问区域信息中心服务平台，完成区域内基本医疗业务。为了保证区域医疗医院网络的安全性，医院局域网出口需增加带路由功能的百兆防火墙，在防火墙上对外部网络进行NAT（Network Address Translation，网络地址转换），分配与院内网相同的网段，在技术上可将其变成医院的一个分院。在防火墙处对不同的数据交换内容进行了相应配置，开放必要的端口访问医院前置机服务器，医院前置机服务器设置双网卡，对内外网进行逻辑隔离[4]，前置机再通过网络与医院服务器交互数据，实现安全可靠的数据交换。同时在院内网主交换機上划分专用VLAN（Virtual LAN，虚拟局域网）、指定固定的服务IP地址，并设置路由限制其访问范围，减少对医院局域网VLAN的影响，从而保证医院网络和医疗数据的安全。

4.2 区域医疗信息中心网络安全 区域医疗信息中心网络是区域医疗的核心网络，是整个区域医疗信息化的重点，为区域内各级医疗机构直接提供医疗数据服务，同时与数据中心进行数据交互。它采用高端三层交换机作为数据交换核心，再配合千兆防火墙和入侵检测系统，可有效保障核心网络安全。

在设计时，中心网络采用高端的三层交换机作为数据交换核心，医院网络可通过VPN（Virtual Private Network，虚拟专用网络）或专线光纤访问信息中心网络。安全设计方面，可在VPN设备后接入千兆防火墙，防火墙上进行路由限制，区域信息中心网络只允许来自各个医院的网络访问，且各个医院间的网络都作了路由不可达限制，严格控制外来用户对医疗核心网络的访问，以此来过滤掉不安全的服务和非法访问，对整个网络提供监视和预警，并利用日志功能对异常访问等进行分析[5]。同时在内部防火墙旁路部署IDS（intrusion detection system，入侵检测系统），入侵检测可对网络中的信息进行分析、审计记录、识别网络中不该发生的活动，采取相应措施，及时报告、制止可能对计算机造成危害的入侵行为。将入侵检测系统与防火墙配合使用，当入侵发生时，与防火墙联动，阻断非法连接，从而保护网络不受侵害。在部署时，要注意对产品进行性能优化，尽量避免屏蔽无价值的检测规则[6]。信息中心网络中所有用户终端和服务器都必须安装专业级网络版杀毒软件，对网络中的病毒进行监控，防止病毒和木马的进入和传播。最好在网络中安装防病毒中央控制台，达到对终端进行统一升级和统一管理的目的。通过以上手段，能够构建一个安全稳定的区域医疗信息中心网络环境（如图1所示）。

4.3 区域医疗数据中心网络安全

区域医疗数据中心在区域医疗信息中也是不可或缺的角色，它是按我国国情分区域建设的医疗数据中心，它为区域医疗提供强大的医疗资源服务，还负责与后期建成的国家医疗数据中心进行联网，实现各区域的医疗资源数据交互，真正实现全民医疗资源共享。

数据中心网络通过直连光纤与区域信息中心网络相连接，数据中心内部的主交换机为高端三层交换机，内部网络采用全光纤结构，并在核心交换机上采用端口过滤，在服务器与服务器、服务器与客户端之间采用加密技术建立数据传输通道，可以保证服务器与外界进行安全的信息交换、数据传输，防止数据被盗取和窃听[7]。高端三层交换机和前端光纤收发器前需各安装一台千兆防火墙，形成双DMZ（demilitarized zone，隔离区）。在高端三层交换机后端安装IPS（Intrusion Prevention System，入侵防御系统），做防火墙数据镜像，对各种网络行为进行入侵检测并实施联动。在防火墙间的DMZ区安装一台前置服务器，并配置双网卡分别连接内外网并配置启用路由，所有来自信息中心的医院数据都先集中到前置机，再上传到数据中心。为了保护数据中心服务器不受来自内部的攻击，可以在重要数据库服务器群和其它服务器群之间布置防火墙，在核心交换机上把两个群划分为不同的网段，彼此实现隔离，避免内部遭到攻击后损坏进一步扩大。同时平台采用数据库备份设备，设定每天凌晨对数据库增量备份策略；在另外楼宇的机房安装数据容灾设备，容灾设备和备份设备直接通过网络专线连接，实现安全的数据同步[8]。通过上述措施，数据中心网络的传输安全性和传输速率都能够得到有效保证，区域内医疗数据安全和医疗业务稳定性也将得到有效保障。

5 结束语

网络安全建设是区域医疗信息化建设的首要问题，采取有效的安全防护技术和措施，可以为医疗信息系统安全提供保障，从而最大化的发挥医疗信息共享系统的积极作用[9]。

随着医改的不断深入，区域医疗发展势在必行，而网络是运行信息化平台的基础，建好安全稳定的网络是对区域医疗最大的支持[10]。要实现整个区域医疗网络安全建设的过程是复杂的，这个复杂的工程不仅需要先进的网络软硬件设备和合理的安全策略，还需要严格的安全管理机制，才能达到预期的建设目标。而在实际的建设过程中，还必须考虑各地区和各医院发展水平的参差不齐，信息标准和数据结构不统一等问题，不断调整和优化方案，建成最符合我国国情的区域医疗业务网，为推动区域医疗的事业发展做出积极的贡献。

参考文献

温海燕，穆卫农，胡华，等.区域卫生信息化环境下信息安全策略与实践[J].中国卫生信息管理杂志，2013，10（2）： 157-162.

段然，王毅林，周来新，等.从欧美区域医疗构架看我国区域医疗网络模式[J].中国数字医学，2011，6（6）：57-60.

何萍，程力立，于广军，等.论区域医疗信息化中的网络安全建设.[J].中国数字医学，2009，5（1）：65-67.

张震江，薛万国，金铎，等.区域卫生信息平台联合技术验证医院端设计及实现[J].中国卫生信息管理杂志，2010，7（2）：11-13.

何萍，程力立，于广军，等.论区域医疗信息化中的网络安全建设[J].中国数字医学，2010，5（1）：65-67.

杨宝霖.浅析煤炭企业网络安全建设和管理[J].信息系统工程，2012，4（4）：76-79.

高文举，彭冲.浅谈计算机网络安全建设方法及安全技术[J].中国电子商务，2012，13（3）：74.

倪宁.区域卫生信息平台安全分析[J].中国卫生信息管理杂志，2013，10（3）：244-247.

朱琨.区域医疗信息化中的网络安全建设[J].電子技术与软件工程.2017，0（21）：210

赵浩宇，段然，李刚荣，等.区域卫生信息化平台组网设计[J].中国数字医学，2012，7（3）：93-95.