虛擬專網在醫院HIS系統中的應用

劉晨陽，葉瑞綿，王曉華，曲曉光，司井巍

(武警黑龍江省總隊醫院，黑龍江 哈爾濱 150076)

隨著醫院規模的逐漸擴大和醫院信息系統(HIS)系統化數據庫應用模塊的多元化發展，遠程用戶、遠程辦公人員、分支機構、合作伙伴也在不斷增多，關鍵業務的需求增加，出現了一種通過公共網絡來建立自己的專用網絡的技術，這種技術就是虛擬專網(Virtual private network，VPN)。VPN不是真的專用網絡，但卻能夠實現專用網絡的功能。因特網工程特別工作委員會(IETF)對基于IP的VPN的解釋是:通過專門的隧道加密技術在公共數據網絡上仿真一條點對點的專線技術。所謂虛擬，是指用戶不再需要擁有實際的專用長途數據線路，而是使用因特網的長途數據線路。所謂專用網絡，是指用戶可以為自己定制一個最符合需求的網絡［1］。

VPN實現技術的關鍵在于隧道的建立，讓加密的數據按隧道協議進行封裝、傳送，以保證安全。安全技術包括加解密技術(Encryption＆decryption)、密鑰管理技術(Key management)、使用者與設備身份認證技術(Authentication)。建立隧道主要有客戶啟動(Client－initiated)和客戶透明(Client－transparent)兩種方式。基于這些基礎技術，以開放系統互聯(OSI)參考模型為參照標準，不同的VPN技術分別在不同的OSI協議層實現，包括應用層P會話層VPN技術、網絡層VPN技術、鏈路層VPN技術、MPLS VPN技術等。

1 數據庫系統及其網絡要求

1.1 數據庫系統要求:數據庫系統一般都具有一套保證自身性能的安全、身份認證機制，通過對數據庫系統用戶的權限和角色的合理分配，能保證各數據庫系統的安全。同時，要實現整個分布式系統的安全、可靠地運行，對構建分布式數據庫系統所需的網絡環境的可靠性、安全性等方面均需要一定要求，如IP分配、安全策略、QoS等［2］。在基于VPN的分布式數據庫系統中，VPN的安全機制和服務品質保證為整個系統各方面性能提供了有力的網絡保障。

1.2 網絡環境現狀及VPN部署:在我院現有的網絡環境中，內部局域網由7條光纖為主干，百兆帶寬到桌面，網絡狀況較好。VPN部署通過專用光纖接入通信公司的寬帶網絡，并分配有少量全局IP，網絡狀態較好。分部的網絡環境差異不大，采用中國聯通的ADSL上網，數據庫服務器一般部署在內網上，并通過靜態IP分配設置專用IP地址。

2 VPN系統中的訪問控制

2.1 VPN系統策略庫原則:本文根據VPN系統的特點將策略庫以子域為單位分割為獨立的策略庫，將單一的策略庫分割為多個策略庫是有條件的，必須符合第3范式［3］。

2.2 VPN系統子域配置:在VPN系統中子域使用SubDomain名來標示VPN系統中的安全網關，SubDomain名稱可以是IP地址或與IP地址一一對應的名字空間內的值(該值可在CA分發證書時得到)，用戶的策略庫以子域為單位進行分解。不同子域的SubDomain應是不同的，而用戶ID則標示一個用戶，在同一子域內用戶ID應是不同的。在VPN系統中，(SubDomain，user ID)決定了唯一的全局用戶(或角色)，這樣，每個網關單獨維護一個本地策略庫，其策略可以單獨使用，也可組合使用［4］。

3 虛擬專網VPN的性能分析

3.1 安全保障:在安全性方面，由于VPN直接構建在公用網上，實現簡單、方便、靈活，但同時其安全問題尤為突出。通過防火墻技術、路由器配以隧道技術、加解密協議、安全密鑰和身份驗證技術可以為分布式數據庫系統實現有效的安全保障，實現通過公用網絡平臺傳輸數據的專用性和安全性［5］。合理地設置拔號用戶的權限和訪問策略，能加強VPN網絡和數據的安全，防止非法用戶對網絡資源或私有信息的訪問。

3.2 可擴充性和靈活性:通過網絡封裝技術，虛擬專網VPN能有效地支持分布式數據庫系統的數據流類型。當系統需要擴大規模時，可以方便地增加新的節點，具有較好的系統擴展性和靈活性。

3.3 可管理性:醫院HIS(Hospital Information System)作為一套完備的分布式數據庫系統，必須同時具備一套完善的VPN管理系統，可以對VPN方便地進行管理、維護。用以減小網絡風險并且具有高擴展性、經濟性、高可靠性等作用。事實上，VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。

4 結語

根據不同應用環境求、安全要求、性能要求和成本要求，利用各種不同的VPN技術和組網方式，可以為分布式數據庫系統部署一個安全、可靠、靈活、經濟、易于擴展和管理的網絡平臺，最大限度地滿足分布式數據庫系統各方面的網絡需求。

［1］李蘭燕，周立，毛雪石.VPN技術及其在數字圖書館的應用［J］.中華醫學圖書情報雜志，2007，5(16):65 －67.

［2］王時繪，董元和.基于VPN環境的企業數據庫復制的安全策略［J］.網絡安全技術與應用，2007，2:48 －49.

［3］謝方軍，戴宗坤，張紅，等.VPN中的分布式訪問控制［J］.小型微型計算機系統，2004，7(25):1250 －1252.

［4］彭育輝，高誠輝.VPN技術在汽車客運管理信息系統中的應用［J］.交通與計算機，2005，4(23):78 －80.

［5］董元和，王時繪.基于分布式數據庫系統的VPN環境的部署［J］.湖北師范學院學報，2006，4(26):86 －87.