虚拟专网在医院HIS系统中的应用

刘晨阳，叶瑞绵，王晓华，曲晓光，司井巍

(武警黑龙江省总队医院，黑龙江 哈尔滨 150076)

随着医院规模的逐渐扩大和医院信息系统(HIS)系统化数据库应用模块的多元化发展，远程用户、远程办公人员、分支机构、合作伙伴也在不断增多，关键业务的需求增加，出现了一种通过公共网络来建立自己的专用网络的技术，这种技术就是虚拟专网(Virtual private network，VPN)。VPN不是真的专用网络，但却能够实现专用网络的功能。因特网工程特别工作委员会(IETF)对基于IP的VPN的解释是:通过专门的隧道加密技术在公共数据网络上仿真一条点对点的专线技术。所谓虚拟，是指用户不再需要拥有实际的专用长途数据线路，而是使用因特网的长途数据线路。所谓专用网络，是指用户可以为自己定制一个最符合需求的网络［1］。

VPN实现技术的关键在于隧道的建立，让加密的数据按隧道协议进行封装、传送，以保证安全。安全技术包括加解密技术(Encryption＆decryption)、密钥管理技术(Key management)、使用者与设备身份认证技术(Authentication)。建立隧道主要有客户启动(Client－initiated)和客户透明(Client－transparent)两种方式。基于这些基础技术，以开放系统互联(OSI)参考模型为参照标准，不同的VPN技术分别在不同的OSI协议层实现，包括应用层P会话层VPN技术、网络层VPN技术、链路层VPN技术、MPLS VPN技术等。

1 数据库系统及其网络要求

1.1 数据库系统要求:数据库系统一般都具有一套保证自身性能的安全、身份认证机制，通过对数据库系统用户的权限和角色的合理分配，能保证各数据库系统的安全。同时，要实现整个分布式系统的安全、可靠地运行，对构建分布式数据库系统所需的网络环境的可靠性、安全性等方面均需要一定要求，如IP分配、安全策略、QoS等［2］。在基于VPN的分布式数据库系统中，VPN的安全机制和服务品质保证为整个系统各方面性能提供了有力的网络保障。

1.2 网络环境现状及VPN部署:在我院现有的网络环境中，内部局域网由7条光纤为主干，百兆带宽到桌面，网络状况较好。VPN部署通过专用光纤接入通信公司的宽带网络，并分配有少量全局IP，网络状态较好。分部的网络环境差异不大，采用中国联通的ADSL上网，数据库服务器一般部署在内网上，并通过静态IP分配设置专用IP地址。

2 VPN系统中的访问控制

2.1 VPN系统策略库原则:本文根据VPN系统的特点将策略库以子域为单位分割为独立的策略库，将单一的策略库分割为多个策略库是有条件的，必须符合第3范式［3］。

2.2 VPN系统子域配置:在VPN系统中子域使用SubDomain名来标示VPN系统中的安全网关，SubDomain名称可以是IP地址或与IP地址一一对应的名字空间内的值(该值可在CA分发证书时得到)，用户的策略库以子域为单位进行分解。不同子域的SubDomain应是不同的，而用户ID则标示一个用户，在同一子域内用户ID应是不同的。在VPN系统中，(SubDomain，user ID)决定了唯一的全局用户(或角色)，这样，每个网关单独维护一个本地策略库，其策略可以单独使用，也可组合使用［4］。

3 虚拟专网VPN的性能分析

3.1 安全保障:在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题尤为突出。通过防火墙技术、路由器配以隧道技术、加解密协议、安全密钥和身份验证技术可以为分布式数据库系统实现有效的安全保障，实现通过公用网络平台传输数据的专用性和安全性［5］。合理地设置拔号用户的权限和访问策略，能加强VPN网络和数据的安全，防止非法用户对网络资源或私有信息的访问。

3.2 可扩充性和灵活性:通过网络封装技术，虚拟专网VPN能有效地支持分布式数据库系统的数据流类型。当系统需要扩大规模时，可以方便地增加新的节点，具有较好的系统扩展性和灵活性。

3.3 可管理性:医院HIS(Hospital Information System)作为一套完备的分布式数据库系统，必须同时具备一套完善的VPN管理系统，可以对VPN方便地进行管理、维护。用以减小网络风险并且具有高扩展性、经济性、高可靠性等作用。事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。

4 结语

根据不同应用环境求、安全要求、性能要求和成本要求，利用各种不同的VPN技术和组网方式，可以为分布式数据库系统部署一个安全、可靠、灵活、经济、易于扩展和管理的网络平台，最大限度地满足分布式数据库系统各方面的网络需求。

［1］李兰燕，周立，毛雪石.VPN技术及其在数字图书馆的应用［J］.中华医学图书情报杂志，2007，5(16):65 －67.

［2］王时绘，董元和.基于VPN环境的企业数据库复制的安全策略［J］.网络安全技术与应用，2007，2:48 －49.

［3］谢方军，戴宗坤，张红，等.VPN中的分布式访问控制［J］.小型微型计算机系统，2004，7(25):1250 －1252.

［4］彭育辉，高诚辉.VPN技术在汽车客运管理信息系统中的应用［J］.交通与计算机，2005，4(23):78 －80.

［5］董元和，王时绘.基于分布式数据库系统的VPN环境的部署［J］.湖北师范学院学报，2006，4(26):86 －87.