疾病预防控制信息系统安全专网的设计与实现

谭书香(郓城县疾病预防控制中心 山东 菏泽 274700)

引言:目前，我国已经基本建成了全国疾控网络直报体系，各个医疗单位、疾控中心都利用了信息技术建设起了疾控信息系统。可以说，我国的疾病预防控制信息系统的建设得到了较大的发展，使用的配套基础设施也得到了加强。但是，由于疾病预防控制信息系统的功能不断更新与发展，且相关的数据信息也出现了成倍数的增长，导致了疾病预防控制信息系统泄露的情况时有发生，需要通过建设起相应的系统安全专网来实现对于该系统中信息的保护。

1 疾病预防控制信息系统安全专网的关键技术

1．1VPN技术。VPN(虚拟专用网络)能够实现在公用网络上建立专用网络，并进行加密通讯。由于其能够为用户提供一种“好像直接连接到了局域网”的服务，在企业网络的建设中被广泛的使用。VPN网关是一种“防火墙+VPN”的产品，能够利用对数据包的加密和数据包目标地址的转换实现远程访问。

VPN有多种分类方式，包括用户各部门与远程分支之间的Intranet VPN、用户网络与远程(移动)雇员之间的远程访问(Remote Access)VPN、用户与供应商之间的Extranet VPN。VPN可通过服务器、硬件、软件等多种方式实现。VPN具有成本低，易于使用的特点。在使用VPN时，用户能够产生出“私人专用”的使用体验，在建设疾病预防控制信息系统安全专用网时，能为该网络提供更好的安全性服务。

1．2负载均衡技术。负载均衡主要是依据现有的网络结构进行建设与优化，在控制成本的基础上，对于网络设备和服务器的宽带进行拓展优化，实现数据信息吞吐量的有效提升。负载均衡能够增强原有网络的数据信息处理能力，使网络的可用性与灵活性得到提升。

负载均衡有两方面的含义:第一，大量的并发访问或数据流量分担到多台节点设备上分别处理，减少用户等待响应的时间。第二，单个重负载的运算分担到多台节点设备上做并行处理，每个节点设备处理结束后，将结果汇总返回给用户，系统处理能力得到大幅度提高。在使用负载均衡技术的时候，有三种方式可以使用:路由模式、桥接模式和服务直接返回模式。这其中，路由模式是最为推荐使用的，对于网络的改动较小，且能够均衡各种下行流量［1］。

2 疾病预防控制信息系统安全专网的设计与实现

2．1疾病预防控制信息系统安全专网的总设计。在进行疾病预防控制信息系统安全专网的建设时，要先对其进行总体的设计。在该安全专网的建设时，可以使用VPN技术进行实现。将疾控中心的网络作为安全专网的核心节点，并向上连接到国家级的疾控中心网络中。向下要连接到区域内的疾病预防控制信息系统中，满足疾病预防控制信息系统安全专网的建设需要。

在进行疾病预防控制信息系统安全专网核心节点的建设时，要在该区域布置负载均衡的相关设备，对于该安全专网的安全性和功能性进行整体的提升。由于负载均衡技术的使用能够将原有网络的信息数据吞吐能力进行提升，所以在设计和建设时显著提升了疾病预防控制信息系统安全专网的功能稳定性。

2．2区域的疾控中心安全专网设计与实现。在建设区域的疾病控制中心安全专网时，主要有五项内容:线路设计、设备的使用、IP地址的规划、虚拟隧道的部署、VPN的布置。

第一，线路设计。为了保证区域的疾控中心安全专网的运行稳定、且能够不间断的工作，在疾病预防控制信息系统安全专网的线路设计时，可以使用异构运营商网络线路的布置。要将宽带控制在百兆以上，并提供独享的光纤数据信息传输服务，以满足区域的疾控中心网络数据信息吞吐量对于带宽的需求。

第二，设备的使用。利用双设备的使用提升安全专网的运行稳定性和不间断性。两台均衡负载设备、两台SSL VPN设备、两台IPSec VPN设备，能够保证区域的疾控中心安全专网的运行稳定。

第三，IP地址的规划。要根据《国家疾病控制中心网络系统规划(IP地址规划)》中的相关规定，对区域的疾控中心安全专网的IP地址进行规划［2］。

第四，虚拟隧道的部署。区域内的各级疾病控制中心安全专网要利用IPSec VPN设备通过两条链路进行连接，建立起虚拟隧道。同时，要实现区域内疾病预防控制信息系统的安全专网与国家疾控中心的安全专网进行连接，完成全面管理。双链路的设立能够保证连接的稳定性。在部署虚拟隧道时，通过使用双链路连接、IPSec VPN设备和负载均衡技术，对于连接链路的冗余以及虚拟隧道的冗余进行提升，使得虚拟隧道在实际运行中的稳定性得到更好的保障以及有效的提升。

第五，VPN的布置。通过部署在区域疾控中心中的两台SSL VPN设备，能够实现另个IP地址的映射。当用户发出请求信息时，负载均衡会依据源地址对用户的IP地址进行判断，以进行最佳路径的选择。一旦两线路其中的某一链接线路出现故障时，负载均衡能够利用另一正常运行的连接线路完成用户的系统访问，实现连接链路的冗余。

2．3区域的疾控机构网络安全建设。在进行区域疾控机构的网络安全建设时，主要有两项工作任务:设备的选择和IP地址的规划。在进行区域疾控机构的网络安全建设中，要在所有的疾控该机构网络出口布置好安全防护设备，利用IPSec VPN设备建立起各级疾控机构的虚拟隧道，实现数据信息的精准、安全传输，从而构建起疾病预防控制信息系统安全专网。区域的疾控机构利用建设完成的信息系统安全专网对于国家的网络直报系统进行访问，推动区域网络直报系统的整体安全性提升。在规划IP地址时，除了要遵守《国家疾病控制中心网络系统规划(IP地址规划)》中的相关规定，还要对地方的IP地址规划标准进行参考。

2．4区域的医疗单位网络安全建设。想要更好的实现疾病预防控制信息系统安全专网的作用，就要保证区域内的医疗单位使用同一的方式，利用SSL VPN设备及其相关技术进行网络安全的建设。SSL VPN设备的使用能够使得所有安装了浏览器的计算机都能够使用SSL VPN技术进行操作。这样的方式能够避免IPSec VPN设备在使用中需要安装客户端软件。SSL VPN设备的使用能够使得用户的操作更加便捷，在远程登录SSL VPN的页面时，能够实现SSL VPN控件的自动安装，且一次安装就能够反复使用，不需要进行重复的安装。当用户再一次登录SSL VPN时，只需要进行账号以及密码的输入就能够完成登录，使得登录的过程得到简化。

另外，VPN客户端的建设也是实现疾病预防控制信息系统安全专网建设的环节之一。在计算机设备中安装IPSec VPN客户端，能够让客户进行远程的系统登录，并保护用户的用网安全。IPSec VPN客户端在使用时能够屏蔽其他的网络访问，增加用户使用系统的安全。

3 总结

综上所述，疾病预防控制信息系统安全专网的设计和实现对于保障疾病预防控制信息系统的安全有着重要的意义。运用VPN技术和负载均衡技术，完成区域的疾控中心安全专网、区域的疾控机构网络安全建设、区域的医疗单位网络安全建设，实现了疾病预防控制信息系统安全专网的建设，减少了信息的泄露。