王文波，王亞萍，劉璘

1.　武警山東總隊醫(yī)院　信息科，山東　濟(jì)南　250000；2.濟(jì)南市第三人民醫(yī)院　信息科，山東　濟(jì)南　250000

VPN技術(shù)在醫(yī)院網(wǎng)絡(luò)中的應(yīng)用研究

王文波1，王亞萍2，劉璘2

1.武警山東總隊醫(yī)院信息科，山東濟(jì)南250000；2.濟(jì)南市第三人民醫(yī)院信息科，山東濟(jì)南250000

[摘要]隨著醫(yī)院信息化建設(shè)的不斷深入以及醫(yī)院服務(wù)網(wǎng)點(diǎn)的不斷增加，醫(yī)院網(wǎng)絡(luò)管理的難度越來越大。本文闡述了采用虛擬專用網(wǎng)（VPN）技術(shù)實(shí)現(xiàn)醫(yī)院本部與各醫(yī)療點(diǎn)的互聯(lián)互通和數(shù)據(jù)共享的設(shè)計流程。

[關(guān)鍵詞]醫(yī)院信息系統(tǒng)；VPN； 醫(yī)院網(wǎng)絡(luò)；網(wǎng)絡(luò)安全

隨著醫(yī)院信息化建設(shè)的不斷深入，醫(yī)院的運(yùn)營越來越依賴于醫(yī)院各信息系統(tǒng)，醫(yī)院網(wǎng)絡(luò)和信息的安全直接影響到醫(yī)院的工作秩序和醫(yī)療保障。同時，由于醫(yī)院業(yè)務(wù)對外聯(lián)系的增加，許多用戶需要訪問因特網(wǎng)，隨之而來的網(wǎng)絡(luò)安全問題日益突出，網(wǎng)絡(luò)病毒、間諜軟件等嚴(yán)重威脅醫(yī)院網(wǎng)絡(luò)安全。如何保證醫(yī)院信息系統(tǒng)的安全，將風(fēng)險降到最低，已經(jīng)成為醫(yī)院信息中心必須要考慮的問題。

1　VPN

1.1VPN技術(shù)背景

虛擬專用網(wǎng)（VPN）是近年來產(chǎn)生的一個新的網(wǎng)絡(luò)概念，是企業(yè)內(nèi)部局域網(wǎng)的擴(kuò)展。隨著信息技術(shù)的發(fā)展，企業(yè)為了保證既能與外界交流又要防止信息外泄，采用防火墻和外界網(wǎng)絡(luò)分離開來。如果企業(yè)具有跨區(qū)域性，這種簡單地將局域網(wǎng)和廣域網(wǎng)隔開的方法已經(jīng)不能適用企業(yè)發(fā)展的需求，必須尋找新的解決方案，這時VPN產(chǎn)生了。

1.2VPN的定義

對于VPN，可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密通訊協(xié)議，在Internet上對兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路[2]。VPN的核心就是利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。

1.3VPN的使用技術(shù)

1.3.1隧道技術(shù)

隧道技術(shù)的基本過程是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)作為負(fù)載封裝，被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時所經(jīng)過的邏輯路徑被稱為隧道[1]。要使數(shù)據(jù)順利地被封裝、傳送及解封裝，通信協(xié)議是保證的核心。目前VPN隧道協(xié)議有4種：點(diǎn)到點(diǎn)隧道協(xié)議PPTP、第二層隧道協(xié)議L2TP、網(wǎng)絡(luò)層隧道協(xié)議IPSec以及SOCKS v5，各協(xié)議在0SI（國際標(biāo)準(zhǔn)化組）七層模型中的位置不同。各協(xié)議工作在不同層次，無所謂誰更有優(yōu)勢。但我們應(yīng)該注意，不同的網(wǎng)絡(luò)環(huán)境適合不同的協(xié)議，在選擇VPN產(chǎn)品時，應(yīng)該注意適合環(huán)境。

1.3.2安全技術(shù)

VPN中的安全技術(shù)通常由加密、認(rèn)證及密鑰交換與管理組成[3]。

（1）認(rèn)證技術(shù)。認(rèn)證技術(shù)防止數(shù)據(jù)的偽造和被篡改，它采用一種稱為“摘要”的技術(shù)。“摘要”技術(shù)主要采用HASH函數(shù)將一段長的報文通過函數(shù)變換，映射為一段短的報文，即摘要。該特性使得摘要技術(shù)在VPN中有2個用途：驗證數(shù)據(jù)的完整性、用戶認(rèn)證[8]。

（2）加密技術(shù)。IPSec通過ISAKMP/IKE/Oakley協(xié)商，確定幾種可選的數(shù)據(jù)加密算法，如DES、3DES等。DES密鑰長度為56位，容易被破譯，3DES使用三重加密增加了安全性。

（3）密鑰交換和管理。VPN中密鑰的分發(fā)與管理非常重要。密鑰的分發(fā)有2種方法：① 手工配置的方式；② 密鑰交換協(xié)議動態(tài)分發(fā)。

1.3.3VPN的3種解決方案

（1）遠(yuǎn)程訪問虛擬網(wǎng)。通過公共網(wǎng)絡(luò)在個人計算機(jī)與Intranet間建立一個臨時的安全的連接，實(shí)現(xiàn)遠(yuǎn)程訪問。流動人員或遠(yuǎn)程辦公人員利用當(dāng)?shù)豂SP提供的VPN服務(wù)，就可以和Intranet的VPN網(wǎng)關(guān)建立私有的隧道連接[4]。

能值為某種流動或貯存的能量所包含的另一能量的數(shù)量，能克服傳統(tǒng)經(jīng)濟(jì)學(xué)與能量分析方法無法在統(tǒng)一尺度上對不同類別和等級的資源進(jìn)行量化計算的缺陷，能以同一種能量類別單位來衡量社會經(jīng)濟(jì)系統(tǒng)中不同類別的物質(zhì)。由于農(nóng)業(yè)生產(chǎn)投入產(chǎn)出要素的多樣性，本文的主要研究理論與方法為能值分析。

（2）企業(yè)內(nèi)部虛擬網(wǎng)。Intranet VPN的總部和各分支可通過使用專用連接的共享基礎(chǔ)設(shè)施（如具有VPN功能的路由器）進(jìn)行連接，利用隧道、加密等VPN特性將信息在虛擬網(wǎng)中安全傳輸和共享。

（3）企業(yè)擴(kuò)展虛擬網(wǎng)（Extranet VPN）。通過公共網(wǎng)絡(luò)把分散在世界各地的分支機(jī)構(gòu)、合作伙伴、客戶連接到企業(yè)內(nèi)部網(wǎng)來。

這3種形式的應(yīng)用范圍是逐漸拓寬的。遠(yuǎn)程訪問VPN只建立了點(diǎn)到網(wǎng)絡(luò)的聯(lián)系；Intranet VPN建立了兩個網(wǎng)絡(luò)之間的安全連接；Extranet VPN建立了多網(wǎng)之間的安全連接。

2　醫(yī)院VPN網(wǎng)絡(luò)設(shè)計方案

2.1結(jié)構(gòu)設(shè)計

隨著醫(yī)院規(guī)模的不斷擴(kuò)大，除了醫(yī)院本部外，還有分院、社區(qū)服務(wù)中心等較遠(yuǎn)距離的部門，需要解決各分部之間的互聯(lián)互通、數(shù)據(jù)共享，因此需要通過價格低廉、速度快、安全性高的信息手段，實(shí)現(xiàn)遠(yuǎn)距離醫(yī)院的數(shù)據(jù)共享[5]。VPN網(wǎng)絡(luò)結(jié)構(gòu)，見圖1。

圖1　VPN網(wǎng)絡(luò)結(jié)構(gòu)圖

2.2功能設(shè)計

醫(yī)院VPN網(wǎng)絡(luò)應(yīng)解決：① 遠(yuǎn)程接入，提供實(shí)時數(shù)據(jù)處理與共享；② 建立網(wǎng)絡(luò)安全系統(tǒng)，提供整體防病毒、防黑客、數(shù)據(jù)加密、身份驗證等功能，確保數(shù)據(jù)的保密和傳輸安全[6]。

（2）在需要遠(yuǎn)程訪問的VPN客戶端上安裝VPN軟件，配置醫(yī)院虛擬網(wǎng)Ⅲ，使得通過VPN訪問醫(yī)院服務(wù)器的遠(yuǎn)程用戶能夠獲得與醫(yī)院本部局域網(wǎng)相通局域網(wǎng)口地址。

（3）在醫(yī)院本部配置VPN管理中心，為要接入的移動辦公人員分配合法的用戶名、密碼等賬號信息，根據(jù)需要為每個賬號分配不同的VPN權(quán)限，并為移動終端啟用虛擬網(wǎng)Ⅲ，把所有需接入醫(yī)院內(nèi)網(wǎng)的遠(yuǎn)程用戶生成證書傳給總院管理員并分別綁定到對應(yīng)的用戶賬號上。

（4）在分院、社區(qū)中心VPN設(shè)備上配置醫(yī)院本部分配的賬號，將VPN設(shè)備生成的證書文件傳送給醫(yī)院本部管理員，以便實(shí)現(xiàn)對此賬號的硬件鑒別，接人醫(yī)院本部局域網(wǎng)后即可實(shí)現(xiàn)對醫(yī)院應(yīng)用服務(wù)器的訪問。

（5）在醫(yī)院本部VPN上配置OOS產(chǎn)品，為各種重要應(yīng)用分配優(yōu)先級別，OOS通過流量預(yù)測與流量控制策略，可以按照優(yōu)先級分配帶寬資源，實(shí)現(xiàn)帶寬管理，使各類數(shù)據(jù)合理地先后發(fā)送，并預(yù)防發(fā)生阻塞[7-8]，在網(wǎng)絡(luò)繁忙時為這些重要應(yīng)用保留更高帶寬。

3　小結(jié)

醫(yī)院信息中心通過運(yùn)用VPN技術(shù)，為醫(yī)院本部、分院、社區(qū)服務(wù)中心建立了虛擬的專用醫(yī)療網(wǎng)絡(luò)，實(shí)現(xiàn)了醫(yī)院本部與各醫(yī)療點(diǎn)的互聯(lián)互通和數(shù)據(jù)實(shí)時交換與共享。隨著加密技術(shù)的發(fā)展和服務(wù)質(zhì)量的完善，VPN技術(shù)將在醫(yī)療領(lǐng)域網(wǎng)絡(luò)中發(fā)揮越來越重要作用。

[參考文獻(xiàn)]

[1] 王恒祥．VPN技術(shù)及其在企業(yè)中的應(yīng)用[J]．計算機(jī)光盤軟件與應(yīng)用,2011,(8):40-41．

[2] 韓成．VPN技術(shù)在醫(yī)院信息網(wǎng)絡(luò)中的應(yīng)用[J]．醫(yī)療裝備,2009, (6):29-30．

[3] 陳友生,姜峻．VPN技術(shù)在醫(yī)院網(wǎng)絡(luò)拓展中的應(yīng)用[J]．醫(yī)療衛(wèi)生裝備,2007,(4):35-37．

[4] 孫雪梅,翟鳳杰．VPN技術(shù)為醫(yī)院信息化的安全性護(hù)航[J]．醫(yī)院數(shù)字化,2008,(6):30-31．

[5] 劉薔,許紅雁．醫(yī)院網(wǎng)絡(luò)的優(yōu)化設(shè)計與實(shí)施[J]．中國醫(yī)療設(shè)備, 2013,28(4):50-51．

[6] 胡先明．虛擬專用網(wǎng)技術(shù)在公共衛(wèi)生信息系統(tǒng)建設(shè)中的應(yīng)用[J]．計算機(jī)軟科學(xué),2004,(4):73-75．

[7] 楊彥彬．基于VPN技術(shù)的組網(wǎng)方案探討[J]．計算機(jī)科學(xué),2008, (9):110-112．

[8] 程思,倪飛舟．基于VPN技術(shù)的校園網(wǎng)安全技術(shù)研究[J]．電腦知識與技術(shù),2002,(11):7658-7661．

作者郵箱：wypyaywww@163.com

[中圖分類號]TP391.9

[文獻(xiàn)標(biāo)志碼]A

doi：10.3969/j.issn.1674-1633.2014.04.020

[文章編號]1674-1633(2014)04-0061-02

收稿日期：2013-11-30修回日期：2013-12-23

Research on Application of VPN Technology in Hospital Network

WANG Wen-bo1, WANG Ya-ping2, LIU Lin2
1.Department of Information, Corps Hospital of Shandong Armed Police, Jinan Shandong 250000, China; 2.Department of Information, The Third People's Hospital of Jinan, Jinan Shandong 250000, China

Abstract：As the hospital information construction constantly goes deeper and the number of hospital service outlets constantly goes bigger, the hospital network management becomes more and more diffcult. This paper introduces the design process of implementing the interconnection and data sharing between the hospital and various service outlets by using VPN technology.

Key words：hospital information system; VPN; hospital network; network security