VPN技術在醫院網絡建設中的應用及發展前景

摘要：本文對VPN(虛擬專用網)技術進行了簡介，詳細說明了VPN中采用的隧道技術及其在醫療信息網絡中的應用；比較了VPN應用中常用的兩種VPN技—IPSec VPN和SSL VPN。同時對VPN的優勢及其特點進行了介紹。

關鍵詞：VPN；虛擬專用網； 醫院網絡建設；IPSec；SSL

中圖分類號：TP399

文獻標識碼：A

文章編號：1006-3315(2010)5-168-002

隨著醫院建設規模的不斷擴大，許多醫院都建立了分院區，形成了地理上比較分散的醫院格局，由此引發很多問題，如不同院區之間如何安全地進行信息共享和交換；在外出差或學習的職工如何安全訪問院內網絡資源，進行遠程辦公等等。

虛擬專用網(VPN，Virtual Private Network)的出現，各分院區可以通過專線或撥號等通過公網實現連接。通過使用VPN技術構建遠程虛擬專用網絡，則可借助公共互聯網，用更低的成本，更安全、更高效地將總院和各分院聯結在—起。虛擬專用網是對原醫院網的擴展，它可以幫助遠程用戶、分院間建立可信的安接，并保證數據的安全傳輸。虛擬專用網VPN正是滿足這種要求的解決方案，它代表了internat發展的—個重要方向。

一、VPN簡介

1.VPN概念

虛擬專用網(VPN，Virtual Private Network)不是真正的專用網絡。卻能夠實現專用網絡的功能。VPN是一種通過對網絡數據進行加密和封裝，在公網上傳輸私有數據，同時保證私有網絡安全性的技術。它兼備了公網的便捷、經濟和專用網的安全，實現了利用公網通過加密等手段來實現單位組織的“專用網”。

2.VPN工作原理

需要進行機密數據傳輸的兩個端點均連接在公共通信網上，當需要進行機密數據傳輸時，通過端點上的VPN設備在公共網上建立一條虛擬的專用網絡通道，并且所有數據均經過加密后再在公網上傳輸。這樣就保證了機密數據的安全傳輸。

3.VPN的實現主要依賴兩種技術：隧道技術與安全技術

3.1 隧道技術。對于構建VFN來說，隧道技術是VPN的關鍵技術，它是負責將待傳輸的原始信息經過加密、協議封裝和壓縮處理后，再嵌套裝入另一種協議的數據包送入網絡中，像普通數據包一樣進行傳送。只有該虛擬專用網絡授權的用戶才能對隧道中的數據包進行解釋和處理，而其他用戶則無法處理這些信息，從而保證VPN的遠程用戶或主機和專用網絡的安全連接，該技術就像在公用網上為信息交換的雙方開辟一條專有的、隱蔽的數據通道一樣，隧道由一系列的協議組成。

3.2 安全技術。VPN中的安全技術通常由認證技術、加密技術及密鑰交換與管理組成、認證技術防止數據的偽造和被篡改，加密技術防止數據被破譯，密鑰交換與管理保證了加密密鑰的安全傳遞、VPN系統采用復雜的算法來加密傳輸的信息，使得敏感的數據不會被竊聽，使分布在不同地方的專用網絡能在不可信任的公共網絡上安全地通信。

二、VPN主要技術分析

IPSec VPN、SSL VPN是目前使用主流的Internet遠程安全接人技術，它們具有類似功能特性，但也存在很大不同。

IPSec協議(因特網安全協議)是網絡層上為保障IP通信而提供的一系列協議族，針對數據在通過公共網絡時的數據完整性、安全性和合法性等問題設計的一套隧道、加密和認證方案。SSL是保障在Internet上基于Web的通信安全而提供的協議。

從表1可以看出，IIX3EC和SSL VPN各有優缺點，互為補充，目前最好的方式是，采用IPSEC/SSL二合一的VPN安全網關設備，這樣能夠充分發揮IPSEC和SSL VPN各自的技術優勢，而且一機二用，無需分別購買兩種網關，節省投資。

三、VPNM網絡的優點

1.降低組網費用：VPN利用了現有的Internet組建虛擬專網，不需要使用專用的線路就能實現數據安全的傳輸，提供了比其他通信方式更低廉的成本。

2.增強了安全性：安全是VPN技術的基礎。由于使用了Internet作為連接鏈路的基礎，通過Internet進行數據傳送必須考慮由此產生的安全隱患。此VPN方案結合了多種安全技術，在隧道加密、接入用戶身份驗證、通道協議。

客戶機向VPN服務器發出請求，VPN服務器響應請求并向客戶機發出身份咨詢，客戶機將加密的響應信息發送到VPN服務端，VPN服務器根據用戶數據庫檢查該響應，如果賬戶有效，VPN服務器將檢查該用戶是否具有遠程訪問的權限，如果該用戶有此權限，VPN服務器將接受此連接。在身份驗證的過程中產生的客戶機和服務器公有密匙將用來對數據進行加密處理。

3.便于統一管理：通過VPN能夠對分散在各地的分院進行安全的統一管理與協調。

4.支持最常用的網絡協議，基于IP、IPX、NETBUI協議的網絡中的客戶機都能很容易的使用VPN。

5.有利于IP地址的安全，VPN是加密的，VPN數據在internet中傳輸時，internet上的用戶只能夠看見公共的IP，看不到數據包內包含的專用網絡地址。

四、VPN網絡應用

現在絕大部分大型醫院已使用適合自身情況的HIS系統，但是由于地域上的距離和網絡發展的不平衡性，分院、社區服務中心、各醫療衛生分支部門等網絡之間缺少互聯互通，各網絡信息資源不能共享及同步。造成了網絡的割裂。目前很多醫院采用租用DDN(數字數據網)專線的方案聯接各自的分院來傳遞日常的門診收費和住院信息。同樣也采用專線的方案來聯接醫保中心傳輸醫保信息，但是這樣必然導致高昂的網絡通訊及維護費用，而采用撥號線路進入醫院局域網的方式又存在著速度慢、容量小、安全性差的弱點。醫院信息建設網絡化異地連通，不僅帶來了管理和安全性的問題，還帶來了組網的復雜性。

近年來，VPN以利用公網資源。建立安全、可靠、經濟、高效的傳輸鏈路的特點引起了人們的廣泛注意。在VPN技術的支持下，位于不同地點的醫療部門只需分別聯人當地的internet就可以組成—個高效統一的虛擬專用網絡。該網絡的設計應充分利用現有internet的基礎，并考慮到醫療業務及管理特點，對安全的要求主要是網絡穩定性和數據安全性。因此，院內各部門之間使用局域網聯接，院內與分院、社區衛生服務中心之間采用internet VPN的方式聯接(如下圖)。

通過這樣的VPN連接，社區衛生服務站、分院都可以通過網絡進行業務處理，使位于不同區域的服務站、分院感覺就像在同一個醫院局域網中一樣。這種VPN的應用也就是將醫院的局域網擴展成城域網，同時是比較適合目前形勢下醫院信息化發展要求的。

VPN作為一種新型的網絡技術，VPN產品從第一代：VPN路由器、交換機，發展到第二代的VPN集中器。性能不斷得到提高，同時也為醫院建設計算機網絡提供了一種新的思路，可以通過在公共網絡上建立虛擬的連接來傳輸私有數據，再用認證、加密等技術來保證數據的安全，這樣不僅極大地降低了用于網絡建設的費用，也提高了網絡的安全性。

五、小結

目前，醫院信息系統主要包括：醫院管理信息HIS系統、醫學影像PACS系統、聯機檢驗LIS系統和醫院數字圖書資料數據庫系統等。隨著醫療體制的改革，分院、杜區衛生服務中心等遠距離部門歸屬整個醫院的醫療體系，形成許多遠程醫療管理和業務問題。醫院迫切需要解決遠程聯網的技術問題，幫助它們加快信息化建設的步伐，推動醫院MIS系統的建設。VPN技術的運用，使具有多個遠程分支醫療機構的醫院利用公用網絡作為其聯網的手段，投入少量的資金，便擁有一個安全的、完全專有的適合醫院特色的醫療網絡。由此可見，隨著加密技術的發展和服務質量的完善，VPN技術將在醫療領域的組網中發揮越來越重要的作用。