論ＶＰＮ技術在醫院信息管理系統中的應用

黃　艷

摘要：為方便病人就近醫療，要求醫院與杜區衛生服務站之間能進行聯網結算工作，這就需要醫院信息管理系統能在局域網外部進行遠程聯網應用，目前應用虛擬專用網VPN技術可以實現。

關鍵詞：醫院信息管理系統；遠程聯網；VPN技術

中圖分類號：TN948.61文獻標識碼：A文章編號：1672-3198(2009)07-0260-02

1VPN技術在醫院信息管理系統應用中的特點

1．1成本低、實用性強

VPN利用現有互聯網絡發達的網絡構架組建醫療系統的VPN網絡，一次性低額投入，無運營成本，從而為醫院節省了大量的投資成本及后續的運營維護成本，而在Inter-net上，醫院可以控制自己與社區衛生服務站的聯系來完成醫保數據傳輸等業務工作，真正完成社區衛生服務站的聯網工作。

1．2安全性高、網絡風險低

銳捷VPN采用自主設計的安全操作系統，使用三個方面的技術保證了通信的安全性：通道協議、身份驗證和數據加密，經過簡單配置即可方便地在醫院和社區衛生服務站之間建立安全的信息傳輸通道，對傳輸的數據進行有效的安全保護。

1． 3穩定性高、數據傳輸通暢

通過可靠協議進行IP地址交換，避免了使用動態DNS方式中可靠性無法保證的問題，保障醫務數據不間斷進行。多線路綁定復用功能，可成倍提高帶寬，提高VPN互聯速度，VPN的硬件設備，有效解決了軟件易遭病毒攻擊等不穩定因素。

1．4使用方便，易于管理

由于醫院通過公共網絡連接社區衛生服務站，工作由公共網絡服務提供商來承擔，從而減輕了醫院內部網絡的管理負擔，較少的網絡設備和線路使得網絡的管理和維護更加容易。

同時支持各種上網方式，無論線路采取X，25、ADSL、Cable modem等形式，都可以構建VPN，支持動態IP尋址，在管理上，銳捷VPN將復雜的功能用簡單的界面體現出來，使得設有經過專業訓練的人員也可以維護復雜的網絡，從而減少維護成本和減少維護不當帶來的安全風險。

2在醫院中的VPN的技術實現

醫院需要通過廣域網鏈路與眾多的社區衛生服務站進行互聯，實現遠程醫保聯網結算等服務，為廣大患者提供快捷、方便的就醫服務，如何通過遠程互聯網絡實現醫院與社區衛生服務站之間的安全、快速的互聯，列舉我醫院的VPN的網絡設計方案。

我醫院下屬七個社區衛生服務站，醫院使用醫院管理系統(HIS)，總院和社區衛生服務站運用了銳捷VPN解決方案，共享收費信息和診療信息。

醫院采用銳捷VPN設備作為醫院連接該地區社區衛生服務站網絡接人的建設總節點，同時也作為該中心對外訪問的安全出口之一。醫院設備在一定基礎上肩負著整體網絡的安全性能，通常以集成防火墻模塊設計的高安全防護標準的產品為主。一方面體現了對網絡非安全協議的接人與對來自外網非法訪問的有效防御；另一方面體現在天規模集群或大規模用戶訪問接人的有效控制監測上，為中心的安全管理提供完備的數據依據與安全應對策略，因此，網絡結構采用星型，醫院總部與醫保信息中心專線互聯，醫院和各個社區衛生服務站都安放VPN安全網關，以ADSL線路為接入方式，且均通過VPN隧道與醫院總部連接，實現各社區衛生服務站通過醫院信息管理系統醫保刷卡，醫保數據通過醫院的醫保結算網絡上報醫保數據。

銳捷VPN網關是集成了VPN、防火墻、入侵防御和流量控制技術的軟硬件一體化專用安全設備，有效地實現了“主／被動安全防御”的完美結合，銳捷VPN網關采用自主設計的安全操作系統，具有高可用性、高易用性、高擴展性和高安全性。

銳捷VPN安全性體現在訪問控制方面，可對用戶的訪問進行控制，以vpn設備的ipsec協議為基礎，vpn網關建立vpn通道之前進行協商，檢查vpn連接請求的各種信息，是不是合法的，所以不知道具體信息的用戶無法與vpn網關建立通道，在數據機密性上保證指定的接收方之外的任何的第三方都無法獲取通過公網傳輸的加密數據的原文。在發送方與接收方間共享的唯一的密鑰加密數據來保證數據的機密性，為了解決密鑰的分配，rg-wall支持isakmp(internet security association and key management protocol)協議。在數據完整性方面，保證數據在公共網傳輸過程中不被任何外部因素(例如黑客)篡改，這是由于在vpn中采用了數據加密和數字簽名的安全方法，數據在中間發生變化的時候，可以得到變化的信息，對數據源的認證方面可以有效辨認不是互聯雙方之外的用戶。

網絡優化方面體現在可以充分有效地利用有限的廣域網資源，為重要數據提供可靠的帶寬。廣域網流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網絡阻塞，產生網絡瓶頸，使實時性要求高的數據得不到及時發送；而在流量低谷時又造成大量的網絡帶寬空閑。QoS通過流量預測與流量控制策略，可以按照優先級分配帶寬資源，實現帶寬管理，使得各類數據能夠被合理地先后發送，并預防阻塞的發生。

在可用性方面，經過簡單配置即可方便地在醫院和各社區衛生服務站之間建立安全的信息傳輸通道，對傳輸的數據進行有效的安全保護。

3VPN安全技術保證醫院信息系統的安全

VPN由于使用了Internet作為連接鏈路的基礎，通過Internet來進行數據的傳送不得不考慮由此產生的安全隱患，銳捷產品結合多種安全技術，在隧道技術、接入用戶身份驗證、接人用戶權限控制等方面為用戶提供了全面的安全保障。

隧道技術；類似于點對點連接技術，它在公用網建立一條數據通道(隧道)，讓數據包通過這條隧道傳輸。隧道是由隧道協議形成的，分為第二、三層隧道協議。第二層隧道協議是先把各種網絡協議封裝到PPP中，再把整個數據包裝人隧道協議中，這種雙層封裝方法形成的數據包靠第二層協議進行傳輸，第二層隧道協議有LZF、PPTP、L2TP等，L2TP協議是目前IETF的標準，由IETF融合PPTP與L2F而形成，第三層隧道協議有VTP、IPSec等，IPSec(IP Security)是由一組RFC文檔組成，定義了一個系統來提供安全協議選擇、安全算法，確定服務所使用密鑰等服務，從而在HP層提供安全保障。

接入用戶身份驗證：當確認遠程客戶端符合安全策略后，系統需要確認客戶端用戶身份，可根據醫院實際情況選擇不同的認證手段，如口令密碼、雙因素身份認證方式(iKey身份認證令牌或RSASecurlD)、PKI方式。對于不同用戶，其可訪問內容也會有所區別，同的用戶、角色和應用程序具有不同的訪問權限。

接人用戶權限控制：普通的VPN產品在用戶接人后即

可隨意訪問局域網內任意資源，對于安全要求較高的單位來說，這種不受限制的訪問容易造成極大的安全隱患，通過在VPN系統中設置更細致的服務訪問權限來杜絕這些安全隱患，可以針對每個用戶設定不同的接人訪問權限，如某些用戶只能訪問總部的HIS系統，不能訪問財務系統等，不同的VPN用戶可以設定對不同資源的訪問權限，避免因為VPN用戶權限過大造成的安全隱患。

4VPN技術在醫院信息管理系統中實施的意義

近十年來醫療行業的信息化建設著重于醫院信息系統的推廣與應用，醫院投入了大量的人力、物力、財力。隨著醫院信息化的基礎研究和標準取得了一定進展，以及初步建立了醫院基本數據集標注，目前人們已開始關注醫療信息共享，特別是為方便病人就近診療，大力發展社區衛生服務站的時候，就要求在社區衛生服務站能和醫院的信息共享，實現醫保聯網結算，獲取病人的有效信息來縮短診治時間，降低病人費用，避免不必要的醫療糾紛。

在未使用VPN技術之前，總院和各個社區衛生服務站的醫院信息管理系統是各自獨立的，信息無法共享，只有總院可以進行醫保實時結算，各社區衛生服務站沒有醫保結算功能，在社區衛生服務站看病的病人如需醫保結算，就要等醫務人員到總院進行結算，就診的病人需等待多時或者往來社區衛生服務站多次，造成醫保病人看病不方便，同時也造成了醫院資源的浪費。現利用現代化計算機設備和安全高效的VPN虛擬專網技術，既可以使社區居民在社區衛生服務站的醫療就診數據、醫保費用等信息通過公用數據網絡傳輸，來實現醫保實時結算、總院實時控制、醫療信息共享等功能，同時可以節約大量人力、物力，提高管理質量和工作效率。

利用VPN技術，各分支、外出辦公人員只要以任何方式接人Internet，便可以安全方便的接入醫院總部，訪問局域網內的相關資源和辦公網絡中的相關文檔，和在局域網內一樣使用醫保應用系統。

VPN安全網絡技術，輔以寬帶數據網在醫院信息管理系統中的應用使患者可以在醫院地區范圍內自主選擇社區衛生服務站看病，總院又可以充分的了解其業務工作和進行財務結算工作，這樣就能規范醫療管理工作，擴展醫保網點的實施。

綜上所述，VPN技術使醫院信息管理系統可以在異地使用，方便病人就醫，使醫院信息共享，加快實現醫院信息化建設。