疾病預(yù)防控制信息系統(tǒng)安全專網(wǎng)的設(shè)計與實現(xiàn)

譚書香(鄆城縣疾病預(yù)防控制中心 山東 菏澤 274700)

引言:目前，我國已經(jīng)基本建成了全國疾控網(wǎng)絡(luò)直報體系，各個醫(yī)療單位、疾控中心都利用了信息技術(shù)建設(shè)起了疾控信息系統(tǒng)?？梢哉f，我國的疾病預(yù)防控制信息系統(tǒng)的建設(shè)得到了較大的發(fā)展，使用的配套基礎(chǔ)設(shè)施也得到了加強(qiáng)。但是，由于疾病預(yù)防控制信息系統(tǒng)的功能不斷更新與發(fā)展，且相關(guān)的數(shù)據(jù)信息也出現(xiàn)了成倍數(shù)的增長，導(dǎo)致了疾病預(yù)防控制信息系統(tǒng)泄露的情況時有發(fā)生，需要通過建設(shè)起相應(yīng)的系統(tǒng)安全專網(wǎng)來實現(xiàn)對于該系統(tǒng)中信息的保護(hù)。

1 疾病預(yù)防控制信息系統(tǒng)安全專網(wǎng)的關(guān)鍵技術(shù)

1．1VPN技術(shù)。VPN(虛擬專用網(wǎng)絡(luò))能夠?qū)崿F(xiàn)在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，并進(jìn)行加密通訊。由于其能夠為用戶提供一種“好像直接連接到了局域網(wǎng)”的服務(wù)，在企業(yè)網(wǎng)絡(luò)的建設(shè)中被廣泛的使用。VPN網(wǎng)關(guān)是一種“防火墻+VPN”的產(chǎn)品，能夠利用對數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實現(xiàn)遠(yuǎn)程訪問。

VPN有多種分類方式，包括用戶各部門與遠(yuǎn)程分支之間的Intranet VPN、用戶網(wǎng)絡(luò)與遠(yuǎn)程(移動)雇員之間的遠(yuǎn)程訪問(Remote Access)VPN、用戶與供應(yīng)商之間的Extranet VPN。VPN可通過服務(wù)器、硬件、軟件等多種方式實現(xiàn)。VPN具有成本低，易于使用的特點。在使用VPN時，用戶能夠產(chǎn)生出“私人專用”的使用體驗，在建設(shè)疾病預(yù)防控制信息系統(tǒng)安全專用網(wǎng)時，能為該網(wǎng)絡(luò)提供更好的安全性服務(wù)。

1．2負(fù)載均衡技術(shù)。負(fù)載均衡主要是依據(jù)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行建設(shè)與優(yōu)化，在控制成本的基礎(chǔ)上，對于網(wǎng)絡(luò)設(shè)備和服務(wù)器的寬帶進(jìn)行拓展優(yōu)化，實現(xiàn)數(shù)據(jù)信息吞吐量的有效提升。負(fù)載均衡能夠增強(qiáng)原有網(wǎng)絡(luò)的數(shù)據(jù)信息處理能力，使網(wǎng)絡(luò)的可用性與靈活性得到提升。

負(fù)載均衡有兩方面的含義:第一，大量的并發(fā)訪問或數(shù)據(jù)流量分擔(dān)到多臺節(jié)點設(shè)備上分別處理，減少用戶等待響應(yīng)的時間。第二，單個重負(fù)載的運(yùn)算分擔(dān)到多臺節(jié)點設(shè)備上做并行處理，每個節(jié)點設(shè)備處理結(jié)束后，將結(jié)果匯總返回給用戶，系統(tǒng)處理能力得到大幅度提高。在使用負(fù)載均衡技術(shù)的時候，有三種方式可以使用:路由模式、橋接模式和服務(wù)直接返回模式。這其中，路由模式是最為推薦使用的，對于網(wǎng)絡(luò)的改動較小，且能夠均衡各種下行流量［1］。

2 疾病預(yù)防控制信息系統(tǒng)安全專網(wǎng)的設(shè)計與實現(xiàn)

2．1疾病預(yù)防控制信息系統(tǒng)安全專網(wǎng)的總設(shè)計。在進(jìn)行疾病預(yù)防控制信息系統(tǒng)安全專網(wǎng)的建設(shè)時，要先對其進(jìn)行總體的設(shè)計。在該安全專網(wǎng)的建設(shè)時，可以使用VPN技術(shù)進(jìn)行實現(xiàn)。將疾控中心的網(wǎng)絡(luò)作為安全專網(wǎng)的核心節(jié)點，并向上連接到國家級的疾控中心網(wǎng)絡(luò)中。向下要連接到區(qū)域內(nèi)的疾病預(yù)防控制信息系統(tǒng)中，滿足疾病預(yù)防控制信息系統(tǒng)安全專網(wǎng)的建設(shè)需要。

在進(jìn)行疾病預(yù)防控制信息系統(tǒng)安全專網(wǎng)核心節(jié)點的建設(shè)時，要在該區(qū)域布置負(fù)載均衡的相關(guān)設(shè)備，對于該安全專網(wǎng)的安全性和功能性進(jìn)行整體的提升。由于負(fù)載均衡技術(shù)的使用能夠?qū)⒃芯W(wǎng)絡(luò)的信息數(shù)據(jù)吞吐能力進(jìn)行提升，所以在設(shè)計和建設(shè)時顯著提升了疾病預(yù)防控制信息系統(tǒng)安全專網(wǎng)的功能穩(wěn)定性。

2．2區(qū)域的疾控中心安全專網(wǎng)設(shè)計與實現(xiàn)。在建設(shè)區(qū)域的疾病控制中心安全專網(wǎng)時，主要有五項內(nèi)容:線路設(shè)計、設(shè)備的使用、IP地址的規(guī)劃、虛擬隧道的部署、VPN的布置。

第一，線路設(shè)計。為了保證區(qū)域的疾控中心安全專網(wǎng)的運(yùn)行穩(wěn)定、且能夠不間斷的工作，在疾病預(yù)防控制信息系統(tǒng)安全專網(wǎng)的線路設(shè)計時，可以使用異構(gòu)運(yùn)營商網(wǎng)絡(luò)線路的布置。要將寬帶控制在百兆以上，并提供獨享的光纖數(shù)據(jù)信息傳輸服務(wù)，以滿足區(qū)域的疾控中心網(wǎng)絡(luò)數(shù)據(jù)信息吞吐量對于帶寬的需求。

第二，設(shè)備的使用。利用雙設(shè)備的使用提升安全專網(wǎng)的運(yùn)行穩(wěn)定性和不間斷性。兩臺均衡負(fù)載設(shè)備、兩臺SSL VPN設(shè)備、兩臺IPSec VPN設(shè)備，能夠保證區(qū)域的疾控中心安全專網(wǎng)的運(yùn)行穩(wěn)定。

第三，IP地址的規(guī)劃。要根據(jù)《國家疾病控制中心網(wǎng)絡(luò)系統(tǒng)規(guī)劃(IP地址規(guī)劃)》中的相關(guān)規(guī)定，對區(qū)域的疾控中心安全專網(wǎng)的IP地址進(jìn)行規(guī)劃［2］。

第四，虛擬隧道的部署。區(qū)域內(nèi)的各級疾病控制中心安全專網(wǎng)要利用IPSec VPN設(shè)備通過兩條鏈路進(jìn)行連接，建立起虛擬隧道。同時，要實現(xiàn)區(qū)域內(nèi)疾病預(yù)防控制信息系統(tǒng)的安全專網(wǎng)與國家疾控中心的安全專網(wǎng)進(jìn)行連接，完成全面管理。雙鏈路的設(shè)立能夠保證連接的穩(wěn)定性。在部署虛擬隧道時，通過使用雙鏈路連接、IPSec VPN設(shè)備和負(fù)載均衡技術(shù)，對于連接鏈路的冗余以及虛擬隧道的冗余進(jìn)行提升，使得虛擬隧道在實際運(yùn)行中的穩(wěn)定性得到更好的保障以及有效的提升。

第五，VPN的布置。通過部署在區(qū)域疾控中心中的兩臺SSL VPN設(shè)備，能夠?qū)崿F(xiàn)另個IP地址的映射。當(dāng)用戶發(fā)出請求信息時，負(fù)載均衡會依據(jù)源地址對用戶的IP地址進(jìn)行判斷，以進(jìn)行最佳路徑的選擇。一旦兩線路其中的某一鏈接線路出現(xiàn)故障時，負(fù)載均衡能夠利用另一正常運(yùn)行的連接線路完成用戶的系統(tǒng)訪問，實現(xiàn)連接鏈路的冗余。

2．3區(qū)域的疾控機(jī)構(gòu)網(wǎng)絡(luò)安全建設(shè)。在進(jìn)行區(qū)域疾控機(jī)構(gòu)的網(wǎng)絡(luò)安全建設(shè)時，主要有兩項工作任務(wù):設(shè)備的選擇和IP地址的規(guī)劃。在進(jìn)行區(qū)域疾控機(jī)構(gòu)的網(wǎng)絡(luò)安全建設(shè)中，要在所有的疾控該機(jī)構(gòu)網(wǎng)絡(luò)出口布置好安全防護(hù)設(shè)備，利用IPSec VPN設(shè)備建立起各級疾控機(jī)構(gòu)的虛擬隧道，實現(xiàn)數(shù)據(jù)信息的精準(zhǔn)、安全傳輸，從而構(gòu)建起疾病預(yù)防控制信息系統(tǒng)安全專網(wǎng)。區(qū)域的疾控機(jī)構(gòu)利用建設(shè)完成的信息系統(tǒng)安全專網(wǎng)對于國家的網(wǎng)絡(luò)直報系統(tǒng)進(jìn)行訪問，推動區(qū)域網(wǎng)絡(luò)直報系統(tǒng)的整體安全性提升。在規(guī)劃IP地址時，除了要遵守《國家疾病控制中心網(wǎng)絡(luò)系統(tǒng)規(guī)劃(IP地址規(guī)劃)》中的相關(guān)規(guī)定，還要對地方的IP地址規(guī)劃標(biāo)準(zhǔn)進(jìn)行參考。

2．4區(qū)域的醫(yī)療單位網(wǎng)絡(luò)安全建設(shè)。想要更好的實現(xiàn)疾病預(yù)防控制信息系統(tǒng)安全專網(wǎng)的作用，就要保證區(qū)域內(nèi)的醫(yī)療單位使用同一的方式，利用SSL VPN設(shè)備及其相關(guān)技術(shù)進(jìn)行網(wǎng)絡(luò)安全的建設(shè)。SSL VPN設(shè)備的使用能夠使得所有安裝了瀏覽器的計算機(jī)都能夠使用SSL VPN技術(shù)進(jìn)行操作。這樣的方式能夠避免IPSec VPN設(shè)備在使用中需要安裝客戶端軟件。SSL VPN設(shè)備的使用能夠使得用戶的操作更加便捷，在遠(yuǎn)程登錄SSL VPN的頁面時，能夠?qū)崿F(xiàn)SSL VPN控件的自動安裝，且一次安裝就能夠反復(fù)使用，不需要進(jìn)行重復(fù)的安裝。當(dāng)用戶再一次登錄SSL VPN時，只需要進(jìn)行賬號以及密碼的輸入就能夠完成登錄，使得登錄的過程得到簡化。

另外，VPN客戶端的建設(shè)也是實現(xiàn)疾病預(yù)防控制信息系統(tǒng)安全專網(wǎng)建設(shè)的環(huán)節(jié)之一。在計算機(jī)設(shè)備中安裝IPSec VPN客戶端，能夠讓客戶進(jìn)行遠(yuǎn)程的系統(tǒng)登錄，并保護(hù)用戶的用網(wǎng)安全。IPSec VPN客戶端在使用時能夠屏蔽其他的網(wǎng)絡(luò)訪問，增加用戶使用系統(tǒng)的安全。

3 總結(jié)

綜上所述，疾病預(yù)防控制信息系統(tǒng)安全專網(wǎng)的設(shè)計和實現(xiàn)對于保障疾病預(yù)防控制信息系統(tǒng)的安全有著重要的意義。運(yùn)用VPN技術(shù)和負(fù)載均衡技術(shù)，完成區(qū)域的疾控中心安全專網(wǎng)、區(qū)域的疾控機(jī)構(gòu)網(wǎng)絡(luò)安全建設(shè)、區(qū)域的醫(yī)療單位網(wǎng)絡(luò)安全建設(shè)，實現(xiàn)了疾病預(yù)防控制信息系統(tǒng)安全專網(wǎng)的建設(shè)，減少了信息的泄露。