省級疾控中心到同級衛生廳局電子政務外網互聯技術研究*

張 燁 梁 宇 楊永明 張 鵬

(中國疾病預防控制中心公共衛生監測與信息服務中心 北京 102206)

1 引言

中國疾病預防控制信息系統是連接各級衛生行政部門和衛生單位及相關組織機構的國家疾病預防控制監測信息系統平臺，是為收集、整理、存儲、檢索、分析、研究、決策和提供信息服務建立的綜合應用信息系統平臺[1-2]。電子政務外網主要由中央和地方政務外網組成，支撐跨地區、跨部門的業務應用、信息共享和業務協同，與互聯網邏輯隔離[3]。中國疾病預防控制信息系統需要安全的傳輸網絡支撐，在原有虛擬專用網(Virtual Private Network，VPN)體系下，將同步數字架構(Synchronous Digital Hierarchy，SDH)專網與電子政務外網作為網絡直報系統傳輸網的重要補充，既保障中國疾病預防控制信息系統的安全傳輸，又加強可靠性，同時豐富電子政務外網與SDH專線的應用。

2 中國疾病預防控制信息系統網絡總體規劃及結構

2.1 總體規劃

中國疾控中心、各級疾控中心之間主要基于SDH專線、電子政務外網、VPN鏈路實現數據交換。在縱向網絡上，一方面依托電子政務外網，承載疾控業務應用；另一方面對尚未接入電子政務外網的機構和移動辦公用戶利用已有VPN完成專網接入[4]。有條件的地區還可以租用跨區域的到中國疾控中心的專線，提供高帶寬、高速數據共享。在橫向網絡建設上，可依托當地基礎電信運營商的SDH、多協議標簽交換(Multiple Protocol Label Switching，MPLS)等專用線路，連接到同級衛生行政部門[5]。中國疾病預防控制信息系統網絡拓撲，見圖1。

圖1 中國疾病預防控制信息系統網絡拓撲

2.2 網絡結構

網絡系統作為中國疾控中心數據中心的基礎設施，主要分為外聯網接入區、核心交換區、3級等級保護數據區、其他等保數據區、虛擬機區、有線上網接入區、無線上網接入區、IT運維監控區。外部接入部分實施資源整合，劃定邊界，實現帶寬共享，降低復雜度，減少故障點，提升可靠性和管理效率。其中重要設備，如核心交換、防火墻，采用冗余結構和網絡虛擬化技術，減少單點故障。中國疾控中心網絡結構，見圖2。

圖2 中國疾控中心網絡結構

3 省級疾控中心到同級衛生廳局電子政務外網互聯方式

3.1 概述

省級疾控中心應參照中國疾控中心的設計，結合現有網絡，在接入設備上增加相應接口，通過專線連接同級衛生廳局，對接電子政務外網，同時增加相應網絡安全策略，將電子政務外網與現有外部網絡接入進行邏輯隔離，連接服務器系統和上網區，實現網絡資源共享。新增線路并入原有線路，作為外聯網的一部分，統一管理。全國疾控系統全部接入電子政務外網后可充分利用現有資源，避免重復建設。為保持衛生廳局電子政務外網及內部網絡穩定運行，需保留原有各單位內部網絡結構不變，整體接入到同級衛生廳局電子政務外網，實現在統一物理網絡平臺基礎上的互聯互通。針對各單位網絡實際情況，按照電子政務外網建設統一標準及規范，將疾控內部局域網接入到同級衛生廳局電子政務外網時主要使用3種接入方式。

3.2 路由方式接入衛生廳局

針對部分新建網絡或將進行網絡調整的單位，如果能夠得到足夠多的政務網IP地址，可采用路由方式進行接入。網絡中全部設備以衛生廳局電子政務外網統一規劃IP地址中的一段作為業務地址，通過防火墻將規劃地址路由輸出，防火墻在對接中起到兩個單位間網絡的安全隔離和對兩個網絡安全防護作用，同時增加相關安全策略。以路由方式接入，各疾控機構內部網絡需按照電子政務外網統一地址規劃要求配置IP地址，這種情況下沒有地址沖突，由政務網統一分配。

3.3 網絡地址轉換方式接入衛生廳局

針對已經構建內部網絡的疾病預防控制機構，其局域網建設及運行多年，多項業務已經開展，更改網絡的IP地址比較困難，因此需要采用IP網絡地址轉換(Network Address Translation，NAT)方式來進行網絡接入。疾病預防控制機構內部網絡IP地址按中國疾控中心統一分配的IP地址段，同時通過防火墻轉換到衛生廳局分配的電子政務外網IP地址。NAT可以根據業務要求將內部網絡地址一對一、一對多單向或雙向轉換成電子政務外網統一規劃地址，然后經網絡設備到電子政務外網，防火墻起到NAT和安全隔離防護的雙重作用。該方式避免更改疾病預防控制機構內部IP地址的繁重工作，接入單位內部網絡的路由抖動將不會影響政務外網骨干網絡運行。采用防火墻進行NAT，通過硬件方式快速實現地址轉換的雙重控制功能。若用路由器進行NAT，則會影響路由器本身性能，甚至還會使網絡擁塞時間變長，影響網絡性能。

3.4 獨立通道接入電子政務網

對于可以不通過衛生廳局直接接入電子政務網的疾病預防控制機構，可采用路由方式，但需做好防火墻安全策略。對于某些特殊的業務應用，由于其經過防火墻設備開展業務應用時效能大幅降低，可從接入網絡設備提供到用戶內網通道連接，以便使此類業務應用數據流能夠繞開防火墻設備，通道傳輸進入到內網業務應用點。獨立通道為一些特殊業務應用提供便利，但同時增加網絡運維和管理難度。由于電子政務網與各地疾病預防控制機構網絡建設差異較大，以上3種網絡接入方式在實際網絡建設與接入中根據需要可混合使用。

3.5 電子政務外網業務應用

基于電子政務外網基礎網絡平臺將作為中國疾控中心全國業務的主要鏈路使用，將提供全部全國業務應用服務，目前已開通的有中國疾病預防控制信息系統及子系統。中國疾病預防控制信息系統是國家500個重要信息系統之一，其中包含傳染病報告、突發公共衛生事件報告、出生死亡登記、健康危害因素等近30個子系統和輔助管理系統。承載著傳染病報告信息、突發公共衛生事件報告、人口死亡信息登記、結核病信息、艾滋病綜合防治信息、AFP監測信息報告管理等20余項關鍵業務，覆蓋全國7.2萬家報告單位，18萬多個有效用戶[6]。中國疾病預防控制信息系統網絡需保持7×24小時連續不中斷運行，電子政務外網的引入將為中國疾病預防控制信息系統帶來更加穩定可靠的運行環境，同時也為未來電子政務信息系統整合疾病控制系統奠定重要網絡基礎。

4 結語

本文闡述省級疾控中心到同級衛生廳局電子政務外網互聯的3種接入方式。專用線路保障網絡基礎設施穩定運行，提升對中國疾病預防控制信息系統的支撐能力，達到單一線路中斷不影響系統業務的效果。中國疾控中心開展電子政務外網網絡建設，各項業務正常運行，基于該網絡架構上聯國家衛健委、下達各級衛生廳局的網絡。如能再擴展到疾病預防控制機構，滿足各種應用需求，則可形成統一的疾病預防控制業務網絡。