新农合与医院网络数据安全交换方案探讨

摘 要： 探讨了如何有效增强新农合与医院网络之间数据交换的安全性，提升信息系统的服务能力。建立一套由新农合管理和控制的安全防护机制，通过五控两防两隔离，全面掌握信息控制权。采用“网闸+网关+终端安全系统”的解决方案，实现新农合网络与医院内部网络与间的网络隔离断开与数据的摆渡交换。通过新农合与医院网络数据交换的安全防护方案的实施，可以有效降低网络安全风险，进一步提升新农合和医院信息系统的服务水平。

关键词： 新农合； 数据交换； 摆渡交换； 安全防护； 隔离

中图分类号：TP399 文献标志码：A 文章编号：1006-8228（2014）04-15-02

Abstract： How to efficiently increase the security of data exchange between new rural cooperative medical service （NCMS） and hospitals， and how to enhance service capabilities of information system are discussed. A security mechanism managed and controlled by the NCMS is established， with five ways to control， two ways to defend and two ways to isolate， controlling information entirely. Applying the scheme of “gatekeeper + gateway + terminal security system”， network isolation between the NCMS and hospital intranets， and ferry exchange of data are realized. After the new data exchange security scheme between the NCMS and hospitals is realized， the security risk will be reduced efficiently and the service quality of the NCMS and hospital information system will be improved further.

Key words： new rural cooperative medical service （NCMS）； data exchange； ferry exchange； security； isolation

0 引言

随着新型农村合作医疗（以下简称：新农合）逐步推进，新农合病人到医院就诊可以实时结算，新农合网络与医院内部网络之间的数据交换日趋频繁。据调查，大部分新农合网络与医院内部网络有直接或间接相连，却没有采取可靠的安全防护措施。如何确保新农合与医院网络之间数据交换的安全性，已经成为一个重大的课题摆在了新农合与医院信息化建设主管部门的桌面上。

1 新农合网络现状

新农合制度是我国特有的一种医疗保障制度，与人民群众的健康息息相关，新农合正在广泛推行实时结算、异地就医结算。以浙江省桐乡市新农合为例，桐乡的新农合不仅在桐乡市范围内实现实时联网结报，而且还与嘉兴市、杭州市、上海市等大中城市的定点医院实现异地就医实时结算。目前，按照国家信息安全等级保护要求[1]，新农合网络定级为三级，三级网络在网络结构、访问控制、安全审计、边界完整性检查、入侵防范等方面都做了严格要求，如要求在网络边界部署访问控制设备，对进出网络的信息内容进行过滤，对用户访问进行身份认证，对非授权设备私自联到网络的行为进行检查等，以确保网络稳定运行。

2 新农合与医院网络接口

每个县市的新农合系统都是一个大型复杂的计算机网络信息系统，新农合信息中心与当地的医院、社区卫生服务站等单位相连，交换医疗信息数据。为了便于管理和维护，新农合信息中心都会对外提供统一的网络接入和“数据交换接口”。由于各单位情况不同，接入方式包括直连专线接入、拨号专线接入和基于公网的VPN接入等多种形式；“数据交换接口”是一套软件或动态链接库，医院、社区卫生服务站等单位的应用程序统一通过这套接口与新农合中心进行数据交换[2]。

目前，新农合网络与医院内部网络数据交换方式基本上采用前置机模式，即在新农合网络和医院内部网络之间放置一台前置，双方的数据交换通过前置机上的“军事缓冲区（DMZ）”来完成，互相不进入对方的网络，前置机软件由新农合信息中心提供和维护。医院的HIS系统通过调用新农合提供的函数接口与前置机建立连接，将新农合病人的数据传输到前置机上，再由前置机传输到新农合信息中心。如图1所示。

3 安全风险分析

虽然新农合网络被定级为三级网络，不能直接与国际互联网相连，各医院、社区卫生服务站等单位只能通过专线或专网接入新农合网络，但接入单位多，接入网络复杂，网络管理水平参差不齐，而目前大部分医院内部网络通过前置机直接连接新农合网络，存在安全隐患[3]。主要的安全风险可以概括为“三个不可控”。

3.1 网络安全环境不可控

新农合网络是一个异常复杂的网络环境，虽说接入该网络需要新农合管理机构批准，但因为接入机构繁多，所以整个网络可以说并不在新农合的控制和管理之下，与各医疗机构相连存在安全隐患。

3.2 网络范围不可控

医院、社区卫生服务站、乡镇街道、银行等单位都需要接入新农合网络，接入终端数量多、分布广，难于管理，给病毒、木马传播提供了便利的途径。

3.3 主机安全不可控

放置在新农合网络与医院内部网络之间的前置机，在实际工作中是存放在医院端运行和保管的。因该机器的位置特殊性，并没有部署防火墙、IPS等对其进行保护，所以该机器存在较大的被入侵可能，若将此机器作为跳板，就可以监听/窃取/破坏病人就医资料了。

4 安全解决方案

4.1 实现目标

新农合网络与医院内部网络互联中主要的安全风险在于：没有可控的安全策略，缺乏对网络安全包括信息安全交换方面的主导权。因此，在新农合网络与医院内部网络之间，需要建立一套由新农合管理和控制的安全防护机制[4]，这套机制要求达到如下目标。

⑴ 网络边界的隔离防护。实现边界安全隔离，隔离医院内部网络，禁止医院内部网络未经授权主机就擅自访问新农合网络。

⑵ 严格的授权访问控制。采用强认证技术，防止非授权的医院内部网络终端访问前置机、访问新农合网络。

⑶ 非法外联控制。防止木马程序以医院内部网络为跳板连接新农合前置机，监听、获取重要数据。

⑷ 网络入侵防御。采用网络边界和终端入侵防护技术，保护新农合前置机数据交换过程中不受恶意代码感染、驻留，不被远程主机控制和连接。

⑸ 访问行为强审计。审计所有对新农合数据库的访问请求，对试图访问敏感信息的行为进行阻断和报警。

4.2 设计思路

五控两防两隔离，全面掌握信息控制权。五控：外网到内网的访问控制、内网到外网的访问控制、通信协议及内容控制、通信对象控制、新农合终端访问范围控制；两防：防止外网暴力攻击、防止内网主动泄露；两隔离：新农合网络与医院内部网络安全隔离、新农合终端与医院终端隔离。

4.3 解决方案

采用“网闸+网关+终端安全系统”的解决方案，实现新农合网络与医院内部网络与间的网络隔离断开与数据的摆渡交换。即在医院内部网络与新农合前置机间加装符合安全认证要求的安全隔离与信息交换系统（网闸）和安全网关，并在需访问新农合前置机的医院内部网络终端上安装安全控制软件。网闸、网关与终端安全系统相结合且相互联动，构成动态的防御体系。

4.4 技术先进性

4.4.1 采用隔离网闸实现网络安全隔离和防御外网暴力攻击

隔离网闸采用独特的硬件架构，能够实现新农合网络与医院内部网络与之间TCP/IP的网络断开。当链路断开后，外网无法与医院内部网络任何主机进行网络连接，也就无法攻击主机，从而实现新农合网络与医院内部网络在连接过程中不受来自其他设备的各类网络层、操作系统层网络攻击。如图2所示。

4.4.2 采用多因素身份认证机制实现严格的访问控制

采用三位一体强认证技术实现可信的身份鉴别，能够严格控制医院内部网络与新农合网络之间的访问活动，禁止除新农合前置机外的任何外网节点访问医院内部网络，禁止任何外网主机直接访问医院HIS等核心服务器，禁止医院终端向除新农合前置外的任何其他IP地址发起访问，限制医院能够访问新农合前置机的终端数量。动联身份认证访问机制如图3所示。

对新农合所有数据库访问的内容进行审计数据中心部署数据库审计和数据访问控制系统[5]，对所有数据库访问请求进行事先防范、事中授权、审批和及时通知、事后审计的全面数据保护授权和审计。

5 结束语

本文探讨了通过实施一套新农合与医院网络数据交换的安全防护方案，有效降低了网络安全风险。该方案可以将网络安全环境、网络范围、主机安全的风险掌握在一定的可控范围内，从而进一步提升新农合和医院信息系统的服务水平。

参考文献：

[1] 尚邦治.做好信息安全等级保护工作[J].中国卫生信息管理，2012.9（5）：19-23

[2] 汪永琳，丁一.基于HL7的医疗数据集成及系统设计[J].通讯技术，2009.42（12）：176-177

[3] 倪宁.区域卫生信息平台安全分析[J].中国卫生信息管理，2013.10（3）：244-247

[4] 王晨旭，李刚荣，吴昊.浅谈医院信息安全管理[J].中国卫生信息管理杂志，2011.8（5）：33-35

[5] GB/T 20988-2007.信息安全技术信息系统灾难恢复规范[S].