論ＶＰＮ技術在醫(yī)院信息管理系統(tǒng)中的應用

黃　艷

摘要：為方便病人就近醫(yī)療，要求醫(yī)院與杜區(qū)衛(wèi)生服務站之間能進行聯(lián)網(wǎng)結算工作，這就需要醫(yī)院信息管理系統(tǒng)能在局域網(wǎng)外部進行遠程聯(lián)網(wǎng)應用，目前應用虛擬專用網(wǎng)VPN技術可以實現(xiàn)。

關鍵詞：醫(yī)院信息管理系統(tǒng)；遠程聯(lián)網(wǎng)；VPN技術

中圖分類號：TN948.61文獻標識碼：A文章編號：1672-3198(2009)07-0260-02

1VPN技術在醫(yī)院信息管理系統(tǒng)應用中的特點

1．1成本低、實用性強

VPN利用現(xiàn)有互聯(lián)網(wǎng)絡發(fā)達的網(wǎng)絡構架組建醫(yī)療系統(tǒng)的VPN網(wǎng)絡，一次性低額投入，無運營成本，從而為醫(yī)院節(jié)省了大量的投資成本及后續(xù)的運營維護成本，而在Inter-net上，醫(yī)院可以控制自己與社區(qū)衛(wèi)生服務站的聯(lián)系來完成醫(yī)保數(shù)據(jù)傳輸?shù)葮I(yè)務工作，真正完成社區(qū)衛(wèi)生服務站的聯(lián)網(wǎng)工作。

1．2安全性高、網(wǎng)絡風險低

銳捷VPN采用自主設計的安全操作系統(tǒng)，使用三個方面的技術保證了通信的安全性：通道協(xié)議、身份驗證和數(shù)據(jù)加密，經(jīng)過簡單配置即可方便地在醫(yī)院和社區(qū)衛(wèi)生服務站之間建立安全的信息傳輸通道，對傳輸?shù)臄?shù)據(jù)進行有效的安全保護。

1． 3穩(wěn)定性高、數(shù)據(jù)傳輸通暢

通過可靠協(xié)議進行IP地址交換，避免了使用動態(tài)DNS方式中可靠性無法保證的問題，保障醫(yī)務數(shù)據(jù)不間斷進行。多線路綁定復用功能，可成倍提高帶寬，提高VPN互聯(lián)速度，VPN的硬件設備，有效解決了軟件易遭病毒攻擊等不穩(wěn)定因素。

1．4使用方便，易于管理

由于醫(yī)院通過公共網(wǎng)絡連接社區(qū)衛(wèi)生服務站，工作由公共網(wǎng)絡服務提供商來承擔，從而減輕了醫(yī)院內(nèi)部網(wǎng)絡的管理負擔，較少的網(wǎng)絡設備和線路使得網(wǎng)絡的管理和維護更加容易。

同時支持各種上網(wǎng)方式，無論線路采取X，25、ADSL、Cable modem等形式，都可以構建VPN，支持動態(tài)IP尋址，在管理上，銳捷VPN將復雜的功能用簡單的界面體現(xiàn)出來，使得設有經(jīng)過專業(yè)訓練的人員也可以維護復雜的網(wǎng)絡，從而減少維護成本和減少維護不當帶來的安全風險。

2在醫(yī)院中的VPN的技術實現(xiàn)

醫(yī)院需要通過廣域網(wǎng)鏈路與眾多的社區(qū)衛(wèi)生服務站進行互聯(lián)，實現(xiàn)遠程醫(yī)保聯(lián)網(wǎng)結算等服務，為廣大患者提供快捷、方便的就醫(yī)服務，如何通過遠程互聯(lián)網(wǎng)絡實現(xiàn)醫(yī)院與社區(qū)衛(wèi)生服務站之間的安全、快速的互聯(lián)，列舉我醫(yī)院的VPN的網(wǎng)絡設計方案。

我醫(yī)院下屬七個社區(qū)衛(wèi)生服務站，醫(yī)院使用醫(yī)院管理系統(tǒng)(HIS)，總院和社區(qū)衛(wèi)生服務站運用了銳捷VPN解決方案，共享收費信息和診療信息。

醫(yī)院采用銳捷VPN設備作為醫(yī)院連接該地區(qū)社區(qū)衛(wèi)生服務站網(wǎng)絡接人的建設總節(jié)點，同時也作為該中心對外訪問的安全出口之一。醫(yī)院設備在一定基礎上肩負著整體網(wǎng)絡的安全性能，通常以集成防火墻模塊設計的高安全防護標準的產(chǎn)品為主。一方面體現(xiàn)了對網(wǎng)絡非安全協(xié)議的接人與對來自外網(wǎng)非法訪問的有效防御；另一方面體現(xiàn)在天規(guī)模集群或大規(guī)模用戶訪問接人的有效控制監(jiān)測上，為中心的安全管理提供完備的數(shù)據(jù)依據(jù)與安全應對策略，因此，網(wǎng)絡結構采用星型，醫(yī)院總部與醫(yī)保信息中心專線互聯(lián)，醫(yī)院和各個社區(qū)衛(wèi)生服務站都安放VPN安全網(wǎng)關，以ADSL線路為接入方式，且均通過VPN隧道與醫(yī)院總部連接，實現(xiàn)各社區(qū)衛(wèi)生服務站通過醫(yī)院信息管理系統(tǒng)醫(yī)保刷卡，醫(yī)保數(shù)據(jù)通過醫(yī)院的醫(yī)保結算網(wǎng)絡上報醫(yī)保數(shù)據(jù)。

銳捷VPN網(wǎng)關是集成了VPN、防火墻、入侵防御和流量控制技術的軟硬件一體化專用安全設備，有效地實現(xiàn)了“主／被動安全防御”的完美結合，銳捷VPN網(wǎng)關采用自主設計的安全操作系統(tǒng)，具有高可用性、高易用性、高擴展性和高安全性。

銳捷VPN安全性體現(xiàn)在訪問控制方面，可對用戶的訪問進行控制，以vpn設備的ipsec協(xié)議為基礎，vpn網(wǎng)關建立vpn通道之前進行協(xié)商，檢查vpn連接請求的各種信息，是不是合法的，所以不知道具體信息的用戶無法與vpn網(wǎng)關建立通道，在數(shù)據(jù)機密性上保證指定的接收方之外的任何的第三方都無法獲取通過公網(wǎng)傳輸?shù)募用軘?shù)據(jù)的原文。在發(fā)送方與接收方間共享的唯一的密鑰加密數(shù)據(jù)來保證數(shù)據(jù)的機密性，為了解決密鑰的分配，rg-wall支持isakmp(internet security association and key management protocol)協(xié)議。在數(shù)據(jù)完整性方面，保證數(shù)據(jù)在公共網(wǎng)傳輸過程中不被任何外部因素(例如黑客)篡改，這是由于在vpn中采用了數(shù)據(jù)加密和數(shù)字簽名的安全方法，數(shù)據(jù)在中間發(fā)生變化的時候，可以得到變化的信息，對數(shù)據(jù)源的認證方面可以有效辨認不是互聯(lián)雙方之外的用戶。

網(wǎng)絡優(yōu)化方面體現(xiàn)在可以充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網(wǎng)絡阻塞，產(chǎn)生網(wǎng)絡瓶頸，使實時性要求高的數(shù)據(jù)得不到及時發(fā)送；而在流量低谷時又造成大量的網(wǎng)絡帶寬空閑。QoS通過流量預測與流量控制策略，可以按照優(yōu)先級分配帶寬資源，實現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預防阻塞的發(fā)生。

在可用性方面，經(jīng)過簡單配置即可方便地在醫(yī)院和各社區(qū)衛(wèi)生服務站之間建立安全的信息傳輸通道，對傳輸?shù)臄?shù)據(jù)進行有效的安全保護。

3VPN安全技術保證醫(yī)院信息系統(tǒng)的安全

VPN由于使用了Internet作為連接鏈路的基礎，通過Internet來進行數(shù)據(jù)的傳送不得不考慮由此產(chǎn)生的安全隱患，銳捷產(chǎn)品結合多種安全技術，在隧道技術、接入用戶身份驗證、接人用戶權限控制等方面為用戶提供了全面的安全保障。

隧道技術；類似于點對點連接技術，它在公用網(wǎng)建立一條數(shù)據(jù)通道(隧道)，讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡協(xié)議封裝到PPP中，再把整個數(shù)據(jù)包裝人隧道協(xié)議中，這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進行傳輸，第二層隧道協(xié)議有LZF、PPTP、L2TP等，L2TP協(xié)議是目前IETF的標準，由IETF融合PPTP與L2F而形成，第三層隧道協(xié)議有VTP、IPSec等，IPSec(IP Security)是由一組RFC文檔組成，定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法，確定服務所使用密鑰等服務，從而在HP層提供安全保障。

接入用戶身份驗證：當確認遠程客戶端符合安全策略后，系統(tǒng)需要確認客戶端用戶身份，可根據(jù)醫(yī)院實際情況選擇不同的認證手段，如口令密碼、雙因素身份認證方式(iKey身份認證令牌或RSASecurlD)、PKI方式。對于不同用戶，其可訪問內(nèi)容也會有所區(qū)別，同的用戶、角色和應用程序具有不同的訪問權限。

接人用戶權限控制：普通的VPN產(chǎn)品在用戶接人后即

可隨意訪問局域網(wǎng)內(nèi)任意資源，對于安全要求較高的單位來說，這種不受限制的訪問容易造成極大的安全隱患，通過在VPN系統(tǒng)中設置更細致的服務訪問權限來杜絕這些安全隱患，可以針對每個用戶設定不同的接人訪問權限，如某些用戶只能訪問總部的HIS系統(tǒng)，不能訪問財務系統(tǒng)等，不同的VPN用戶可以設定對不同資源的訪問權限，避免因為VPN用戶權限過大造成的安全隱患。

4VPN技術在醫(yī)院信息管理系統(tǒng)中實施的意義

近十年來醫(yī)療行業(yè)的信息化建設著重于醫(yī)院信息系統(tǒng)的推廣與應用，醫(yī)院投入了大量的人力、物力、財力。隨著醫(yī)院信息化的基礎研究和標準取得了一定進展，以及初步建立了醫(yī)院基本數(shù)據(jù)集標注，目前人們已開始關注醫(yī)療信息共享，特別是為方便病人就近診療，大力發(fā)展社區(qū)衛(wèi)生服務站的時候，就要求在社區(qū)衛(wèi)生服務站能和醫(yī)院的信息共享，實現(xiàn)醫(yī)保聯(lián)網(wǎng)結算，獲取病人的有效信息來縮短診治時間，降低病人費用，避免不必要的醫(yī)療糾紛。

在未使用VPN技術之前，總院和各個社區(qū)衛(wèi)生服務站的醫(yī)院信息管理系統(tǒng)是各自獨立的，信息無法共享，只有總院可以進行醫(yī)保實時結算，各社區(qū)衛(wèi)生服務站沒有醫(yī)保結算功能，在社區(qū)衛(wèi)生服務站看病的病人如需醫(yī)保結算，就要等醫(yī)務人員到總院進行結算，就診的病人需等待多時或者往來社區(qū)衛(wèi)生服務站多次，造成醫(yī)保病人看病不方便，同時也造成了醫(yī)院資源的浪費。現(xiàn)利用現(xiàn)代化計算機設備和安全高效的VPN虛擬專網(wǎng)技術，既可以使社區(qū)居民在社區(qū)衛(wèi)生服務站的醫(yī)療就診數(shù)據(jù)、醫(yī)保費用等信息通過公用數(shù)據(jù)網(wǎng)絡傳輸，來實現(xiàn)醫(yī)保實時結算、總院實時控制、醫(yī)療信息共享等功能，同時可以節(jié)約大量人力、物力，提高管理質量和工作效率。

利用VPN技術，各分支、外出辦公人員只要以任何方式接人Internet，便可以安全方便的接入醫(yī)院總部，訪問局域網(wǎng)內(nèi)的相關資源和辦公網(wǎng)絡中的相關文檔，和在局域網(wǎng)內(nèi)一樣使用醫(yī)保應用系統(tǒng)。

VPN安全網(wǎng)絡技術，輔以寬帶數(shù)據(jù)網(wǎng)在醫(yī)院信息管理系統(tǒng)中的應用使患者可以在醫(yī)院地區(qū)范圍內(nèi)自主選擇社區(qū)衛(wèi)生服務站看病，總院又可以充分的了解其業(yè)務工作和進行財務結算工作，這樣就能規(guī)范醫(yī)療管理工作，擴展醫(yī)保網(wǎng)點的實施。

綜上所述，VPN技術使醫(yī)院信息管理系統(tǒng)可以在異地使用，方便病人就醫(yī)，使醫(yī)院信息共享，加快實現(xiàn)醫(yī)院信息化建設。