疾病預防控制信息系統安全專網的設計與實現

譚書香(鄆城縣疾病預防控制中心 山東 菏澤 274700)

引言:目前，我國已經基本建成了全國疾控網絡直報體系，各個醫療單位、疾控中心都利用了信息技術建設起了疾控信息系統。可以說，我國的疾病預防控制信息系統的建設得到了較大的發展，使用的配套基礎設施也得到了加強。但是，由于疾病預防控制信息系統的功能不斷更新與發展，且相關的數據信息也出現了成倍數的增長，導致了疾病預防控制信息系統泄露的情況時有發生，需要通過建設起相應的系統安全專網來實現對于該系統中信息的保護。

1 疾病預防控制信息系統安全專網的關鍵技術

1．1VPN技術。VPN(虛擬專用網絡)能夠實現在公用網絡上建立專用網絡，并進行加密通訊。由于其能夠為用戶提供一種“好像直接連接到了局域網”的服務，在企業網絡的建設中被廣泛的使用。VPN網關是一種“防火墻+VPN”的產品，能夠利用對數據包的加密和數據包目標地址的轉換實現遠程訪問。

VPN有多種分類方式，包括用戶各部門與遠程分支之間的Intranet VPN、用戶網絡與遠程(移動)雇員之間的遠程訪問(Remote Access)VPN、用戶與供應商之間的Extranet VPN。VPN可通過服務器、硬件、軟件等多種方式實現。VPN具有成本低，易于使用的特點。在使用VPN時，用戶能夠產生出“私人專用”的使用體驗，在建設疾病預防控制信息系統安全專用網時，能為該網絡提供更好的安全性服務。

1．2負載均衡技術。負載均衡主要是依據現有的網絡結構進行建設與優化，在控制成本的基礎上，對于網絡設備和服務器的寬帶進行拓展優化，實現數據信息吞吐量的有效提升。負載均衡能夠增強原有網絡的數據信息處理能力，使網絡的可用性與靈活性得到提升。

負載均衡有兩方面的含義:第一，大量的并發訪問或數據流量分擔到多臺節點設備上分別處理，減少用戶等待響應的時間。第二，單個重負載的運算分擔到多臺節點設備上做并行處理，每個節點設備處理結束后，將結果匯總返回給用戶，系統處理能力得到大幅度提高。在使用負載均衡技術的時候，有三種方式可以使用:路由模式、橋接模式和服務直接返回模式。這其中，路由模式是最為推薦使用的，對于網絡的改動較小，且能夠均衡各種下行流量［1］。

2 疾病預防控制信息系統安全專網的設計與實現

2．1疾病預防控制信息系統安全專網的總設計。在進行疾病預防控制信息系統安全專網的建設時，要先對其進行總體的設計。在該安全專網的建設時，可以使用VPN技術進行實現。將疾控中心的網絡作為安全專網的核心節點，并向上連接到國家級的疾控中心網絡中。向下要連接到區域內的疾病預防控制信息系統中，滿足疾病預防控制信息系統安全專網的建設需要。

在進行疾病預防控制信息系統安全專網核心節點的建設時，要在該區域布置負載均衡的相關設備，對于該安全專網的安全性和功能性進行整體的提升。由于負載均衡技術的使用能夠將原有網絡的信息數據吞吐能力進行提升，所以在設計和建設時顯著提升了疾病預防控制信息系統安全專網的功能穩定性。

2．2區域的疾控中心安全專網設計與實現。在建設區域的疾病控制中心安全專網時，主要有五項內容:線路設計、設備的使用、IP地址的規劃、虛擬隧道的部署、VPN的布置。

第一，線路設計。為了保證區域的疾控中心安全專網的運行穩定、且能夠不間斷的工作，在疾病預防控制信息系統安全專網的線路設計時，可以使用異構運營商網絡線路的布置。要將寬帶控制在百兆以上，并提供獨享的光纖數據信息傳輸服務，以滿足區域的疾控中心網絡數據信息吞吐量對于帶寬的需求。

第二，設備的使用。利用雙設備的使用提升安全專網的運行穩定性和不間斷性。兩臺均衡負載設備、兩臺SSL VPN設備、兩臺IPSec VPN設備，能夠保證區域的疾控中心安全專網的運行穩定。

第三，IP地址的規劃。要根據《國家疾病控制中心網絡系統規劃(IP地址規劃)》中的相關規定，對區域的疾控中心安全專網的IP地址進行規劃［2］。

第四，虛擬隧道的部署。區域內的各級疾病控制中心安全專網要利用IPSec VPN設備通過兩條鏈路進行連接，建立起虛擬隧道。同時，要實現區域內疾病預防控制信息系統的安全專網與國家疾控中心的安全專網進行連接，完成全面管理。雙鏈路的設立能夠保證連接的穩定性。在部署虛擬隧道時，通過使用雙鏈路連接、IPSec VPN設備和負載均衡技術，對于連接鏈路的冗余以及虛擬隧道的冗余進行提升，使得虛擬隧道在實際運行中的穩定性得到更好的保障以及有效的提升。

第五，VPN的布置。通過部署在區域疾控中心中的兩臺SSL VPN設備，能夠實現另個IP地址的映射。當用戶發出請求信息時，負載均衡會依據源地址對用戶的IP地址進行判斷，以進行最佳路徑的選擇。一旦兩線路其中的某一鏈接線路出現故障時，負載均衡能夠利用另一正常運行的連接線路完成用戶的系統訪問，實現連接鏈路的冗余。

2．3區域的疾控機構網絡安全建設。在進行區域疾控機構的網絡安全建設時，主要有兩項工作任務:設備的選擇和IP地址的規劃。在進行區域疾控機構的網絡安全建設中，要在所有的疾控該機構網絡出口布置好安全防護設備，利用IPSec VPN設備建立起各級疾控機構的虛擬隧道，實現數據信息的精準、安全傳輸，從而構建起疾病預防控制信息系統安全專網。區域的疾控機構利用建設完成的信息系統安全專網對于國家的網絡直報系統進行訪問，推動區域網絡直報系統的整體安全性提升。在規劃IP地址時，除了要遵守《國家疾病控制中心網絡系統規劃(IP地址規劃)》中的相關規定，還要對地方的IP地址規劃標準進行參考。

2．4區域的醫療單位網絡安全建設。想要更好的實現疾病預防控制信息系統安全專網的作用，就要保證區域內的醫療單位使用同一的方式，利用SSL VPN設備及其相關技術進行網絡安全的建設。SSL VPN設備的使用能夠使得所有安裝了瀏覽器的計算機都能夠使用SSL VPN技術進行操作。這樣的方式能夠避免IPSec VPN設備在使用中需要安裝客戶端軟件。SSL VPN設備的使用能夠使得用戶的操作更加便捷，在遠程登錄SSL VPN的頁面時，能夠實現SSL VPN控件的自動安裝，且一次安裝就能夠反復使用，不需要進行重復的安裝。當用戶再一次登錄SSL VPN時，只需要進行賬號以及密碼的輸入就能夠完成登錄，使得登錄的過程得到簡化。

另外，VPN客戶端的建設也是實現疾病預防控制信息系統安全專網建設的環節之一。在計算機設備中安裝IPSec VPN客戶端，能夠讓客戶進行遠程的系統登錄，并保護用戶的用網安全。IPSec VPN客戶端在使用時能夠屏蔽其他的網絡訪問，增加用戶使用系統的安全。

3 總結

綜上所述，疾病預防控制信息系統安全專網的設計和實現對于保障疾病預防控制信息系統的安全有著重要的意義。運用VPN技術和負載均衡技術，完成區域的疾控中心安全專網、區域的疾控機構網絡安全建設、區域的醫療單位網絡安全建設，實現了疾病預防控制信息系統安全專網的建設，減少了信息的泄露。