基于防火墙的网络安全技术在医院网络中的应用

王鹏，马锡坤，吴艳君

（南京军区南京总医院信息科，江苏南京210000）

随着网络技术的飞速发展，网络中也存在着越来越多的安全隐患问题。虽然应用在医院中的信息管理系统[1]给医院带来便利，但同时也引发了严酷的考验，如医院网络信息系统的安全问题。为了解决系统的安全问题，本文从以往信息系统出现安全隐患最多的技术保护和管理体系出发，将两者完善处理好，才能保证医院网络信息系统的安全性和可靠性[2-3]，从而做到网络信息资源的保密性、完整性和资源的共享。

除了要确保医院网络信息的安全外，在实际中更要确保医院网络信息系统中数据库的安全，数据库防范的重点在于内部医护人员和外部外来人员的威胁，所以医护人员在医院工作过程中不要将自身的手机、电脑等设备与医院网络信息系统相连，以免病毒入侵整个医院网络信息系统[4]。与此同时，还要禁止医院外部人员将移动设备接入医院网络，以免进行资源的盗取及伤害。

1 医院网络建设及体系结构

1.1 医院网络建设情况及特点

医院网络建设是在医院的范围之内，在一定的医院使用需求前提下，为医院的诊疗信息传送和管理等提供资源共享及信息迅速传送的计算机网络系统。医院网络建设始于上世纪80年代，该网络的建立为医护人员和医术研究工作的开展提供了一个良好的信息资源共享平台，从而促进了医疗单位中各项工作的不断突破。但随着医院网络规模的迅速发展，如何使医院网络稳定高效的运行，保证医院网络安全问题变的尤为重要。

1.2 医院网络体系结构

随着局域网技术的迅速发展，该技术在医院的网络体系中也得到了良好的应用。目前国内众多医院的规模越发庞大，因此对于网络的扩建也亟需待解决，为了能够实现医院的每个角落均能够连接到网络，实现资源的共享和迅速传送，构造了如图1所示的医院网络的体系结构图。该体系结构有一个主控internet管理中心[5-6]，该管理中心具备远程视频功能，每个大楼使用该中心网络是通过交换机的连接，交换机将总网络分给各个医院大楼，使得医院的每一个角落均可实现网络互连和网络的共享。

图1 医院网络体系结构图

2 常用网络安全技术研究

2.1 防火墙技术

防火墙技术就是用来将局域网和Internet分开，内网与外网之间的信息交流必须要经过防火墙[7-8]才能进行传输。作为不同网络之间唯一的信息通道入口，其遵循了安全策略控制流经的信息，具有强健的抗攻击能力。防火墙技术主要有3种类型，分别为：包过滤技术，应用网关技术，代理服务技术，如表1所示，该表中列出了防火墙的性能指标，防火墙的性能指标主要有防火墙的工作层次，3种防火墙技术分在网络层和应用层的工作模式。防火墙技术的性能指标还有效率，安全性能，内部信息隐藏，根本机制，高层数据理解，Udp支持，支持应用等的方面。在应用中，防火墙的选择就要根据防火墙的这些性能指标进行选取，只有综合考虑了防火墙的类和防火墙的性能时，才能对局域网起到很好地防护作用。在通常情况下，使用防火墙技术最多的就是包过滤技术。

防火墙的功能就类似于一个过滤器，将不利信息按照安全规则[9]过滤出去，为内网和外网信息安全的传送提供了有力的通道。其在网络中的逻辑地位如图2所示，该图中防火墙的位置体现了其作为过滤器的功能。

表1 防火墙3种技术对比

图2 防火墙在网络中的逻辑位置

2.2 入侵检测系统

在上文中介绍了防火墙技术在网络安全维护中的作用，但仅依靠防火墙的被动防御功能是不够的，虽然对外部的非法入侵网络起到了防御功能，但是对于内部网络的攻击难以实现有效控制，在防火墙技术中只是起到了对外部网络非法入侵的防御，根本无法控制来自网络内部的攻击，例如会有黑客侵入网络内部盗取信息[10]，做出违法的操作。此外，防火墙对于外部网络的恶意攻击出于被动状态，一旦遇到主动监测或将恶意代码信息嵌入到流量中的信息时，防火墙的被动防御功能将无法起到作用。对于这种入侵情况的防御，入侵检测系统可起到较好地防御功能。如图3所示，当入侵检测系统检测到异常信息时，就会立即报警，该报警被系统识别后就会主动做出响应，此时数据库就会停止针对正在操作信息的供给，病毒信息被检测后到也会立马被拦截[11-12]，从而保证了网络系统的安全运行。

图3 简单的入侵检测系统示意图

2.3 虚拟局域网技术（VLAN）

虚拟局域网技术目前应用在网络连接中的方方面面，该技术在逻辑上将用户和设备划分开来，为了解决在医院中不同部门，不同的应用以及不同的功能之间的网络连接问题，就可以利用虚拟局域网技术，由此而形成一个小型的虚拟局域网，该技术中“虚拟”的含义也就是由此而来。当医院中的某一个位置需要VLAN时，可以将VLAN和交换机进行链接，这时在交换机链接之后，利用VLAN[13]技术就能实现众多的子网，当发送一个数据包时，只有位于同一个虚拟网中的点才能接受数据包信息，该信息不会被交换机发送到其他局域网的端口中去，该技术的实现使得网络拓扑更加灵活化，如图4所示为医院网络的网络拓扑结构图，该结构中将网络结构层次清晰的呈现出来。

图4 医院网络拓扑结构

2.4 未来的防火墙技术

随着网络技术的不断发展，信息化安全方面的算法技术也会不停地被优化，防火墙的包过滤技术也将不断被完善，如图5所示为未来构想的防火墙的结构示意图，该结构示意图就比较全面的分析考虑了计算机的操作系统，计算机网络，以及用户等每一层的网络安全，在未来随着网络技术算法的优化，防火墙技术将会被嵌入到图5中的每一个层次中，这样就会增加了局域网的安全性能，使得整个网络的安全性能整体提高，黑客就很难盗取机密性信息，这样对国家造成的损失就会大大减小。

图5 未来的防火墙结构示意图

3 医院网络安全技术应用研究

为了实现医院网络的安全运行，在Internet和医院网络之间部署了一台RG一WALL1600M防火墙，从而保证了内外网之间安全的运行。图中ISA Server通过Switch交换机将医院中的各个网络设备相连接，在各服务器链接之后，便可较好地保证内外网络之间的通信，如图6所示即为防火墙在医院网络系统中的典型拓扑结构图。如图7所示为医院网络连接成功之后医生的工作界面图，该图清晰显示了医生进行的收发内容，要诊断的病号以及已经诊断好的病号，医生也能由此进行对患病者进行开药，患者能够直接去付费取药，有网络之后很大程度减轻了医生和病人的负担。

图6 防火墙在网络系统中的典型拓扑结构

图7 医生工作界面图

图8为医院网络中防火墙过滤规则设置界面截图，当正确配置了该顾虑规则后，防火墙便可防御恶意攻击者的入侵。

如图9所示为防火墙设置过滤规则之后的启用界面图，在对包过滤后[14-16]，将要启用的防御项开启，就能保证非法网络攻击者的入侵。

4 结束语

文中在分析现有医院网络安全隐患问题的前提下，提出了基于网络防火墙的安全技术在医院网络中的应用。文中充分表明了，在医院网络中加入防火墙能有效抵御不良外部入侵者，其在未来的医院网络中应用广泛。

图8 防火墙包过滤规则设置

图9 防火墙的抗攻击启用

[1]张蕊.数字化时代下医院信息安全建设探讨[J].网络安全技术与应用，2015（3）：136.

[2]袁梦绚，王直.基于WPDRRC模型的医院信息系统安全评估[J].电子设计工程，2016，24（11）：11-14.

[3]黄阳君.一种医院信息化管理系统的设计与应用[J].电子设计工程，2016，24（4）：45-47.

[4]史淳樵，侯佳音.数字化医院建构中的数据利用研究[J].电子设计工程，2015，23（24）：22-24.

[5]陈莉.医院网站的安全风险与管控措施[J].信息安全与技术，2015，6（12）：56-57，74.

[6]胡名坚.医院信息系统安全风险管理对策研究[J].信息系统工程，2016（3）：55.

[7]朱晓庆.医院网络中的安全风险与防范措施探究[J].信息与电脑：理论版，2016（9）：187-188.

[8]张建忠，毛亮.医院网络安全风险研究[J].网络安全技术与应用，2016（5）：103.

[9]杨春晖，严承华.网络安全模型相关技术研究[J].信息技术，2015（4）：75-79.

[10]刘洋，孙云涛.基于可信计算的无线Mesh网络的安全模型研究[J].信息与电脑，2015（16）：141-142.

[11]唐拥政，王春风.基于PPDR的动态无线网络安全模型的改进研究[J].盐城工学院学报：自然科学版，2013，26（3）：38-43.

[12]甄涛.石化工控信息网络安全区域识别与防护[J].软件导刊，2016，15（9）：151-153.

[13]于晓飞.基于中间件的防火墙与入侵检测系统联动研究[D].东营：中国石油大学，2011.

[14]魏慧.基于SOA架构的医院信息管理平台设计[J].电子设计工程，2015，23（20）：47-48.

[15]刘阳.基于SOA架构的医院信息管理平台研究实现[J].中国新通信，2015（7）：51-52.

[16]周颖，陈敏莲，胡珊珊，等.基于SOA架构的医院号源池共享平台研究与实现[J].医学信息学杂志，2016，37（4）：30-33.