【医疗信息化】集团化医院VPN网络的构建

集团化医院VPN网络的构建
朱永涛①
摘要以中大医院VPN的构建为例，探讨集团化医院VPN网络的构建。

关键词VPN、各分院
随着我国医疗卫生事业不断发展，随着各个医院本身的技术力量和服务范围、服务对象、医疗合作一步步向外扩展以及现有的社区卫生服务站的服务、管理不断地规范化，网络上相互通讯的需求越来越显得必不可少。

这种要求无论是源于技术力量的远程支持，还是源于远程医疗的流程管理、数据共享、业务合作等等，都会要求有一个安全的、方便的、直接的、快捷的网络通讯环境。

这样的要求，通常组建一个所有节点直接物理相连的局域网便可解决，然而往往在实际环境中，客户端与需要通讯的服务器或主机之间并不具备直接物理相连的条件，或者从成本上来考虑直接物理相连不太现实，甚至还会出现实际使用中的客户端位置并不长期固定，甚至是经常移动的情况。

基于这种情况，就需要应用到本文探讨的技术重点：互连网VPN技术在集团化医疗中的应用。

VPN即虚拟专用网（Virtual Private Network，VPN）是一种“基于公共数据网，给用户一种直接连接到私人局域网感觉的服务”。

①VPN是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。

通常，VPN 是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。

①通俗一点讲，所谓的VPN是使用IP机制仿真出一个私有的广域网，是通过私有的隧道技术在公共数据网络上仿真出一条点到点的专线技术。

所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是利用Internet公众数据网络的长途数据线路。

这样可以不需要单独的物理专线，节省了费用，所谓专用，是指用户可以自己制定一个符合自己需求的网络。

下面本文重点以笔者所在单位中大医院和与其有业务来往的多个院区、社区之间VPN 网络构建为例，探讨一下VPN的网络构成。

首先是要有稳定的广域网带宽。

特别是在VPN服务端，需要一个固定的IP地址作为客户端拨号的拨入地址。

虽然同样的带宽，申请自动分配IP地址比申请固定IP地址要便宜得多，而且用花生壳、希网、Meibu之类的动态域名解析软件也能够达到类似固定IP地址的效果，但是长期使用来看，不够稳定，建议申请具有固定IP地址的广域网带宽。

中大医院在这方面为了保证社区和医院的方便以及数据的安全，采取了数据隧道（VPN）技术。

各社区医院、社区进行VPN拨号和中大医院相连，通过VPN的加密隧道技术既保证了
近似于单独物理专线的安全性，又具有局域网访问一样的方便。

还可以通过对VPN拨号的客户端做出：拨号连接的方式、拨号用户名、拨号密码、MAC地址绑定、拨号IP地址段设置、密钥的设置、访问端口的限制、还有主动访问与被动访问的控制等一系列安全性控制，最大限度保证网络的安全性。

基于INTERNET网络环境的调查。

为了保证全省范围的覆盖，特地在作为VPN网络中心的中大医院申请了一条电信固定IP地址100M带宽的光缆作为中心VPN 服务使用，社区客户端统一使用电信普通的2M ADSL拨号，以保证网络环境的优越。

L2TP与IPSec协议的配合使用，可以分别形成L2TP VPN、IPSec VPN网络，也可混合使用L2TP、IPSec协议形成性能更强的L2TP VPN网络，且这一VPN网络形式是目前性能最好、应用最广的一种，因为它能提供更加安全的数据通信，解决了用户的后顾之忧。

中大医院采取的方法就是将IPSec和L2TP协议结合起来使用，既利用第三层隧道协议加密了隧道又利用第二层隧道协议对隧道的发生端及终止端进行加密。

VPN加密技术有很多，加密方式可以根据实际情况选择，使用中建议尽可能采用安全性较高的DES和三次DES加密算法。

建立完VPN隧道后，还要进一步提高安全性，我们可以加对强客户端电脑管理。

限制USB接口，限制光驱，安装杀毒软件，限制开机箱，限制拔网线，限制随意更换联网电脑主机，限制非业务网络访问，设置好电脑的主板密码，主板开机密码，系统开机密码，密码狗认证，加强业务软件日常使用管理，最好可以监控每个人员的登陆情况和限制登陆时间段，不得互相泄露用户名、密码，不得用他人帐号登陆。

确保了VPN网络安全之后，如果有需求，我们还可以使用广域网加速技术，来提高VPN 网络的速度。

中大医院VPN网络拓朴的规划是这样的：首先是终端VPN宽带路由器向作为中心的中大医院VPN 宽带网关进行拨号，通过中心医院的VPN 宽带网关访问到中心医院的外网前置服务器，具体的数据由前置数据库通过防火墙与中大医院内网HIS数据库同步而提供。

（如图1）
图1
10M固定IP地址宽带接入连接到VPN网关上，VPN网关连接到交换机，交换机上分别接LIS社区查询服务器、HIS数据库同步服务器、双向转诊WEB服务器、各院区服务器、网络加速器、防火墙等。

然后通过防火墙连接到医院内部HIS网络。

具体的应用流程是首先客户端电脑VPN拨号到中大医院VPN网关，然后具体的业务访问所产生的数据流经客户端电脑安装的广域网加速的客户端软件压缩，压缩过后的数据流通过VPN隧道直接访问到位于VPN网关之后的网络加速器，网络加速器对压缩数据流进行解压，解压后将新的数据流发送到目的服务器，目的服务器调用前置数据库服务器中的数据，（前置数据库服务器与医院HIS网络数据库实时同步），然后产生一个返回数据流，返回数据流先是发送到网络加速器，网络加速器将对返回数据流进行压缩，然后将压缩后的返回数据流发送到原先的客户端电脑，原先的客户端电脑接收到返回数据流，先是通过安装的广域网加速客户端软件对其解压，解压后的返回数据流将被其业务程序接收识别。

这一流程虽然复杂了一点，但是胜在VPN隧道两端的数据流都进行了压缩，这样建立在广域网上的VPN隧道的带宽压力大为降低，通过VPN隧道数据流的压缩比例越大，对隧道的带宽压力减小得越明显。

当然，无论网络怎么组建，位于防火墙之前的院区VPN服务器群与防火墙之后的医院HIS网络的安全级别还是不同的，这里的防火墙应当只允许前置机器服务器和HIS内网数据库服务器两台服务器ORACLE应用的1521动态端口相互连接，访问方向为HIS网络ORACLE服务器向社区前置数据库服务器（社区前置数据库服务器的ORACLE数据库本身应设置为被动同步），其它应当一切拒绝，确保医院HIS网络的安全。

如果网络管理要再进一步严格的话，那么网络入侵检测设备也是必不可少的，可以有效监控和管理网络的访问行为。

其实有一些网络管软件也是不错的，有一些网管软件甚至集成了客户端远程控制、加密、加速、网络访问控制，用户操作行为记录等等，相当实用。

这样，集团化医院VPN的网络构建就算完成了。

当然了，也完全可以由政府有关权威机构建立数据中心，组建VPN服务器，小型医疗单位以及社区和个人通过VPN拨号连接到政府权威机构，大型的医院和单位采用光缆或专线直接连接，所有的医疗单位和个人，围绕着一个关键核心形成一个巨大的社会性质的整体。

甚至可以在这个整体中加入公安系统、司法系统等等，形成一个多方位，多角度的社会实体。