VPN技術在醫(yī)院網(wǎng)絡中的應用研究

王文波，王亞萍，劉璘

1.　武警山東總隊醫(yī)院　信息科，山東　濟南　250000；2.濟南市第三人民醫(yī)院　信息科，山東　濟南　250000

VPN技術在醫(yī)院網(wǎng)絡中的應用研究

王文波1，王亞萍2，劉璘2

1.武警山東總隊醫(yī)院信息科，山東濟南250000；2.濟南市第三人民醫(yī)院信息科，山東濟南250000

[摘要]隨著醫(yī)院信息化建設的不斷深入以及醫(yī)院服務網(wǎng)點的不斷增加，醫(yī)院網(wǎng)絡管理的難度越來越大。本文闡述了采用虛擬專用網(wǎng)（VPN）技術實現(xiàn)醫(yī)院本部與各醫(yī)療點的互聯(lián)互通和數(shù)據(jù)共享的設計流程。

[關鍵詞]醫(yī)院信息系統(tǒng)；VPN； 醫(yī)院網(wǎng)絡；網(wǎng)絡安全

隨著醫(yī)院信息化建設的不斷深入，醫(yī)院的運營越來越依賴于醫(yī)院各信息系統(tǒng)，醫(yī)院網(wǎng)絡和信息的安全直接影響到醫(yī)院的工作秩序和醫(yī)療保障。同時，由于醫(yī)院業(yè)務對外聯(lián)系的增加，許多用戶需要訪問因特網(wǎng)，隨之而來的網(wǎng)絡安全問題日益突出，網(wǎng)絡病毒、間諜軟件等嚴重威脅醫(yī)院網(wǎng)絡安全。如何保證醫(yī)院信息系統(tǒng)的安全，將風險降到最低，已經(jīng)成為醫(yī)院信息中心必須要考慮的問題。

1　VPN

1.1VPN技術背景

虛擬專用網(wǎng)（VPN）是近年來產(chǎn)生的一個新的網(wǎng)絡概念，是企業(yè)內(nèi)部局域網(wǎng)的擴展。隨著信息技術的發(fā)展，企業(yè)為了保證既能與外界交流又要防止信息外泄，采用防火墻和外界網(wǎng)絡分離開來。如果企業(yè)具有跨區(qū)域性，這種簡單地將局域網(wǎng)和廣域網(wǎng)隔開的方法已經(jīng)不能適用企業(yè)發(fā)展的需求，必須尋找新的解決方案，這時VPN產(chǎn)生了。

1.2VPN的定義

對于VPN，可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密通訊協(xié)議，在Internet上對兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路[2]。VPN的核心就是利用公共網(wǎng)絡建立虛擬私有網(wǎng)。

1.3VPN的使用技術

1.3.1隧道技術

隧道技術的基本過程是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)作為負載封裝，被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時所經(jīng)過的邏輯路徑被稱為隧道[1]。要使數(shù)據(jù)順利地被封裝、傳送及解封裝，通信協(xié)議是保證的核心。目前VPN隧道協(xié)議有4種：點到點隧道協(xié)議PPTP、第二層隧道協(xié)議L2TP、網(wǎng)絡層隧道協(xié)議IPSec以及SOCKS v5，各協(xié)議在0SI（國際標準化組）七層模型中的位置不同。各協(xié)議工作在不同層次，無所謂誰更有優(yōu)勢。但我們應該注意，不同的網(wǎng)絡環(huán)境適合不同的協(xié)議，在選擇VPN產(chǎn)品時，應該注意適合環(huán)境。

1.3.2安全技術

VPN中的安全技術通常由加密、認證及密鑰交換與管理組成[3]。

（1）認證技術。認證技術防止數(shù)據(jù)的偽造和被篡改，它采用一種稱為“摘要”的技術。“摘要”技術主要采用HASH函數(shù)將一段長的報文通過函數(shù)變換，映射為一段短的報文，即摘要。該特性使得摘要技術在VPN中有2個用途：驗證數(shù)據(jù)的完整性、用戶認證[8]。

（2）加密技術。IPSec通過ISAKMP/IKE/Oakley協(xié)商，確定幾種可選的數(shù)據(jù)加密算法，如DES、3DES等。DES密鑰長度為56位，容易被破譯，3DES使用三重加密增加了安全性。

（3）密鑰交換和管理。VPN中密鑰的分發(fā)與管理非常重要。密鑰的分發(fā)有2種方法：① 手工配置的方式；② 密鑰交換協(xié)議動態(tài)分發(fā)。

1.3.3VPN的3種解決方案

（1）遠程訪問虛擬網(wǎng)。通過公共網(wǎng)絡在個人計算機與Intranet間建立一個臨時的安全的連接，實現(xiàn)遠程訪問。流動人員或遠程辦公人員利用當?shù)豂SP提供的VPN服務，就可以和Intranet的VPN網(wǎng)關建立私有的隧道連接[4]。

能值為某種流動或貯存的能量所包含的另一能量的數(shù)量，能克服傳統(tǒng)經(jīng)濟學與能量分析方法無法在統(tǒng)一尺度上對不同類別和等級的資源進行量化計算的缺陷，能以同一種能量類別單位來衡量社會經(jīng)濟系統(tǒng)中不同類別的物質(zhì)。由于農(nóng)業(yè)生產(chǎn)投入產(chǎn)出要素的多樣性，本文的主要研究理論與方法為能值分析。

（2）企業(yè)內(nèi)部虛擬網(wǎng)。Intranet VPN的總部和各分支可通過使用專用連接的共享基礎設施（如具有VPN功能的路由器）進行連接，利用隧道、加密等VPN特性將信息在虛擬網(wǎng)中安全傳輸和共享。

（3）企業(yè)擴展虛擬網(wǎng)（Extranet VPN）。通過公共網(wǎng)絡把分散在世界各地的分支機構(gòu)、合作伙伴、客戶連接到企業(yè)內(nèi)部網(wǎng)來。

這3種形式的應用范圍是逐漸拓寬的。遠程訪問VPN只建立了點到網(wǎng)絡的聯(lián)系；Intranet VPN建立了兩個網(wǎng)絡之間的安全連接；Extranet VPN建立了多網(wǎng)之間的安全連接。

2　醫(yī)院VPN網(wǎng)絡設計方案

2.1結(jié)構(gòu)設計

隨著醫(yī)院規(guī)模的不斷擴大，除了醫(yī)院本部外，還有分院、社區(qū)服務中心等較遠距離的部門，需要解決各分部之間的互聯(lián)互通、數(shù)據(jù)共享，因此需要通過價格低廉、速度快、安全性高的信息手段，實現(xiàn)遠距離醫(yī)院的數(shù)據(jù)共享[5]。VPN網(wǎng)絡結(jié)構(gòu)，見圖1。

圖1　VPN網(wǎng)絡結(jié)構(gòu)圖

2.2功能設計

醫(yī)院VPN網(wǎng)絡應解決：① 遠程接入，提供實時數(shù)據(jù)處理與共享；② 建立網(wǎng)絡安全系統(tǒng)，提供整體防病毒、防黑客、數(shù)據(jù)加密、身份驗證等功能，確保數(shù)據(jù)的保密和傳輸安全[6]。

（2）在需要遠程訪問的VPN客戶端上安裝VPN軟件，配置醫(yī)院虛擬網(wǎng)Ⅲ，使得通過VPN訪問醫(yī)院服務器的遠程用戶能夠獲得與醫(yī)院本部局域網(wǎng)相通局域網(wǎng)口地址。

（3）在醫(yī)院本部配置VPN管理中心，為要接入的移動辦公人員分配合法的用戶名、密碼等賬號信息，根據(jù)需要為每個賬號分配不同的VPN權(quán)限，并為移動終端啟用虛擬網(wǎng)Ⅲ，把所有需接入醫(yī)院內(nèi)網(wǎng)的遠程用戶生成證書傳給總院管理員并分別綁定到對應的用戶賬號上。

（4）在分院、社區(qū)中心VPN設備上配置醫(yī)院本部分配的賬號，將VPN設備生成的證書文件傳送給醫(yī)院本部管理員，以便實現(xiàn)對此賬號的硬件鑒別，接人醫(yī)院本部局域網(wǎng)后即可實現(xiàn)對醫(yī)院應用服務器的訪問。

（5）在醫(yī)院本部VPN上配置OOS產(chǎn)品，為各種重要應用分配優(yōu)先級別，OOS通過流量預測與流量控制策略，可以按照優(yōu)先級分配帶寬資源，實現(xiàn)帶寬管理，使各類數(shù)據(jù)合理地先后發(fā)送，并預防發(fā)生阻塞[7-8]，在網(wǎng)絡繁忙時為這些重要應用保留更高帶寬。

3　小結(jié)

醫(yī)院信息中心通過運用VPN技術，為醫(yī)院本部、分院、社區(qū)服務中心建立了虛擬的專用醫(yī)療網(wǎng)絡，實現(xiàn)了醫(yī)院本部與各醫(yī)療點的互聯(lián)互通和數(shù)據(jù)實時交換與共享。隨著加密技術的發(fā)展和服務質(zhì)量的完善，VPN技術將在醫(yī)療領域網(wǎng)絡中發(fā)揮越來越重要作用。

[參考文獻]

[1] 王恒祥．VPN技術及其在企業(yè)中的應用[J]．計算機光盤軟件與應用,2011,(8):40-41．

[2] 韓成．VPN技術在醫(yī)院信息網(wǎng)絡中的應用[J]．醫(yī)療裝備,2009, (6):29-30．

[3] 陳友生,姜峻．VPN技術在醫(yī)院網(wǎng)絡拓展中的應用[J]．醫(yī)療衛(wèi)生裝備,2007,(4):35-37．

[4] 孫雪梅,翟鳳杰．VPN技術為醫(yī)院信息化的安全性護航[J]．醫(yī)院數(shù)字化,2008,(6):30-31．

[5] 劉薔,許紅雁．醫(yī)院網(wǎng)絡的優(yōu)化設計與實施[J]．中國醫(yī)療設備, 2013,28(4):50-51．

[6] 胡先明．虛擬專用網(wǎng)技術在公共衛(wèi)生信息系統(tǒng)建設中的應用[J]．計算機軟科學,2004,(4):73-75．

[7] 楊彥彬．基于VPN技術的組網(wǎng)方案探討[J]．計算機科學,2008, (9):110-112．

[8] 程思,倪飛舟．基于VPN技術的校園網(wǎng)安全技術研究[J]．電腦知識與技術,2002,(11):7658-7661．

作者郵箱：wypyaywww@163.com

[中圖分類號]TP391.9

[文獻標志碼]A

doi：10.3969/j.issn.1674-1633.2014.04.020

[文章編號]1674-1633(2014)04-0061-02

收稿日期：2013-11-30修回日期：2013-12-23

Research on Application of VPN Technology in Hospital Network

WANG Wen-bo1, WANG Ya-ping2, LIU Lin2
1.Department of Information, Corps Hospital of Shandong Armed Police, Jinan Shandong 250000, China; 2.Department of Information, The Third People's Hospital of Jinan, Jinan Shandong 250000, China

Abstract：As the hospital information construction constantly goes deeper and the number of hospital service outlets constantly goes bigger, the hospital network management becomes more and more diffcult. This paper introduces the design process of implementing the interconnection and data sharing between the hospital and various service outlets by using VPN technology.

Key words：hospital information system; VPN; hospital network; network security