医疗行业自21世纪初开始，在医药流通、教育培训、营销推广、医患沟通等领域引入互联网模式，并逐渐被认同和接受。现在，通过利用互联网技术，就医变得更方便。我院通过微信公众账号的方式提供给患者预约挂号、门诊缴费、检验结果查询、了解医院公告和通知的服务,而这些功能的实现需要与医院管理信息系统（HIS）、检验科信息系统（LIS）进行数据交互。HIS、LIS系统是医院内网的十分重要的应用，在医院微信就诊服务平台与医院HIS、LIS系统进行对接的同时，也为黑客开辟了从远程入侵的途径，进而可能盗取信息、篡改数据、篡改业务流程、甚至使部分或全部系统瘫痪,这使得医疗信息安全管理遇到了新的挑战。

1 安全现状及威胁分析

患者通过微信应用服务器来完成挂号、缴费、查询化验单的操作。HIS、LIS服务器在医院的内网环境，微信应用服务器在外网环境，所以在医院内网中放置一台前置服务器，安装tomcat，以Web service的方式完成微信应用服务器和HIS、LIS服务器之间的数据交互。同时，在医院内网的出口处安装一台网关，负责转换前置服务器的内外网地址，通过网络将微信应用服务器与前置服务器进行连接。根据如上所述，医院HIS、LIS服务器与微信应用服务器相互调用的网络拓扑如图1所示。

图1 前期网络拓扑图

根据图1的网络拓扑，虽然医院微信就诊服务平台在功能上已经可以满足医院的相关业务，但是却存在较大的安全隐患，主要可以概括为以下几点。

1.1 前置服务器暴露风险 在图1的拓扑中，前置服务器通过NAT地址转换暴露在公网上，并且部署tomcat应用，黑客通过地址段扫描可以获取公网IP地址，然后利用扫描工具通过扫描到的系统或软件漏洞从而获得系统的管理权限，例如通过WEB服务进行间接攻击、tomcat系统漏洞、CGI漏洞、XSS脚本注入等方式取得tomcat的控制权，从而使前置机服务器成为肉鸡（受黑客远程控制的电脑）。 

1.2 通讯链路没有加密 在图1的拓扑中，前置服务器与微信应用服务器通过NAT网关相连，通讯链路在互联网上，并不是专线，所以传输的数据存在被窃取和篡改的风险。此外，数据传输的双方没有身份验证，所传输数据的真实性也无法得到保证。

1.3 内外网没有实现安全隔离 黑客可以通过被攻破的前置机服务器对内网进行全网扫描，不但可以扫描到内网中各个终端的IP、开放的端口、漏洞，甚至可以扫描出部署的数据库种类、版本、连接密码信息等。例如登录核心交换机的Telnet命令，是通过明文转发，黑客利用抓包工具就可获取核心交换机的登陆密码进而控制全部内网。黑客还可用扫描器发现内网上存在程序的溢出漏洞、ftp、数据库漏洞的终端，对存在这些漏洞的终端种植木马或上载攻击程序，进而获取数据库的登陆密码并通过预留的后门与数据库建立TCP连接从而窃取敏感信息，甚至对原有数据做出恶意更改、删除等操作。虽然可以通过ACL（访问控制列表）对内部网络访问做一些访问限制，但是黑客一旦获取了最高的管理权限，那么这些限制也是不起作用的。

2 针对医院微信就诊服务平台采取的网络安全防范措施

2.1 使用VPN进行安全通信 为了保护前置服务器，加密通讯线路、建立安全专网，防止前置服务器的外网地址暴露在公网上，使用IPSec协议建立VPN隧道方式实现远程接入。

医院内网通过身份认证、安全密钥和通信隧道，确保只接受微信应用服务器接入，保证数据通讯安全。广泛采用的两种VPN为基于IPSec协议的IPSec VPN和基于SSL协议的SSL VPN。SSL VPN处在应用层,采用B/S结构，基于SSL会话，建立远程安全访问通道的VPN技术，通常只对通信双方所进行的应用通道进行加密，而不是对一个主机到另一个主机的整个通道进行加密。IPSec VPN处在网络层，用以提供公用和专用网络的端对端加密和验证服务更符合医院信息网络防护的需求。

在安全防护方案中，我院选用网神SecGate3600 防火墙作为VPN设备，部署在前置服务器的前端，主要实现与微信平台的远程互联。如图2所示。在配置过程中，我院和第三方软件公司共同制定了预共享秘钥为bitcare，IKE、IPSec的秘钥生存周期分别为28800、3600秒，隧道名称为zytofy，采用的加密算法是DES-MD5。具体配置详见图3

图2 实施加固后的网络拓扑

图3 VPN配置

2.2 应用网闸技术保证内外网的安全隔离 网闸技术，即网络隔离技术，是指在需要信息交换的情况下将两个独立的主机系统或网络，不相连、不相通、相互断开的技术。网闸的内部结构如图4所示。

图4 网闸内部结构

当医院内部网络和医院微信就诊服务平台进行信息交换前，开关K1和K2断开，即隔离交换模块、外网、内网之间完全断开，三者之间不存在物理连接。医院内网与平台前置服务器进行信息交换中，隔离交换模块发出“写”命令，将开关K2闭合，将内网数据写入内网交换卡，在此过程中，前置服务器与隔离交换模块始终处于断开状态。一旦数据完全写入内网交换卡，开关K2立即断开，中断与内网的连接，内网交换卡通过由内到外的数据传输通道将数据摆渡到外网交换卡中，完成信息交换后，隔离交换模块发出“读请求”命令，控制开关K1 闭合，将外网交换卡中的数据导向前置服务器。前置服务器收到数据，完成信息交换后，开关K1断开，完成了内网到前置服务器的信息传输。

正是应用网闸这种特殊的存储和转发数据传输机制，使得医院内部网络和医院微信就诊服务平台网络在同一时间最多只有一个同物理隔离网闸建立数据连接，这样就能较为彻底地隐藏医院内部网络，使黑客对内部网络的恶意扫描无效，这样即使前置机服务器被攻破，也不能对内部网络进行下一步攻击，使内部网络与外部网络做到安全隔离，保证内网安全。

在网闸部署中，我院选用网神安全隔离网闸SecSIS 3600安全隔离与信息交换系统，部署在前置机服务器与内部网络的之间。如图2所示。在实际应用中，一方面由于安全隔离网闸在进行检查的同时，可以阻断前置机发起的所有TCP连接，实际上网络处于断开状态，只有通过严格检查的数据才有可能进入医院内部网络。另一方面，医院内部网络中开放了很多业务端口，这些端口对于内网用户是必须的，但是对于前置机服务器则不能访问。因此，在配置网闸的过程中，对内、外网TCP服务加以控制，只容许前置机服务器和Web service服务器相互访问，并且只开放80、8080、8081、8082四个端口，其它端口则不予开放，在确保安全性的前提下，保证了数据的正常传输。

3 总结

信息安全和信息化发展是相辅相成的，网络信息安全是信息化建设的基础。我院采用VPN、防火墙和网闸相结合的解决方案，实现医院内部网络与医院微信就诊服务平台网络间的安全隔离。针对医院内部网络与第三方软件公司网络间的网络结构、应用交互模式，以及医院安全需求制定一套切实可行的安全解决方案，能够有效解决医院内部网络和外部网络之间数据交互的安全问题。

（来源：摘自《中国数字医学》2016年6月06期  作者：民航总医院计算机中心 高巍 潘欣）