劉晨陽，葉瑞綿，王曉華，曲曉光，司井巍

(武警黑龍江省總隊醫(yī)院，黑龍江 哈爾濱 150076)

隨著醫(yī)院規(guī)模的逐漸擴大和醫(yī)院信息系統(tǒng)(HIS)系統(tǒng)化數(shù)據(jù)庫應用模塊的多元化發(fā)展，遠程用戶、遠程辦公人員、分支機構(gòu)、合作伙伴也在不斷增多，關(guān)鍵業(yè)務的需求增加，出現(xiàn)了一種通過公共網(wǎng)絡來建立自己的專用網(wǎng)絡的技術(shù)，這種技術(shù)就是虛擬專網(wǎng)(Virtual private network，VPN)。VPN不是真的專用網(wǎng)絡，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡的功能。因特網(wǎng)工程特別工作委員會(IETF)對基于IP的VPN的解釋是:通過專門的隧道加密技術(shù)在公共數(shù)據(jù)網(wǎng)絡上仿真一條點對點的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實際的專用長途數(shù)據(jù)線路，而是使用因特網(wǎng)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡，是指用戶可以為自己定制一個最符合需求的網(wǎng)絡［1］。

VPN實現(xiàn)技術(shù)的關(guān)鍵在于隧道的建立，讓加密的數(shù)據(jù)按隧道協(xié)議進行封裝、傳送，以保證安全。安全技術(shù)包括加解密技術(shù)(Encryption＆decryption)、密鑰管理技術(shù)(Key management)、使用者與設備身份認證技術(shù)(Authentication)。建立隧道主要有客戶啟動(Client－initiated)和客戶透明(Client－transparent)兩種方式?；谶@些基礎技術(shù)，以開放系統(tǒng)互聯(lián)(OSI)參考模型為參照標準，不同的VPN技術(shù)分別在不同的OSI協(xié)議層實現(xiàn)，包括應用層P會話層VPN技術(shù)、網(wǎng)絡層VPN技術(shù)、鏈路層VPN技術(shù)、MPLS VPN技術(shù)等。

1 數(shù)據(jù)庫系統(tǒng)及其網(wǎng)絡要求

1.1 數(shù)據(jù)庫系統(tǒng)要求:數(shù)據(jù)庫系統(tǒng)一般都具有一套保證自身性能的安全、身份認證機制，通過對數(shù)據(jù)庫系統(tǒng)用戶的權(quán)限和角色的合理分配，能保證各數(shù)據(jù)庫系統(tǒng)的安全。同時，要實現(xiàn)整個分布式系統(tǒng)的安全、可靠地運行，對構(gòu)建分布式數(shù)據(jù)庫系統(tǒng)所需的網(wǎng)絡環(huán)境的可靠性、安全性等方面均需要一定要求，如IP分配、安全策略、QoS等［2］。在基于VPN的分布式數(shù)據(jù)庫系統(tǒng)中，VPN的安全機制和服務品質(zhì)保證為整個系統(tǒng)各方面性能提供了有力的網(wǎng)絡保障。

1.2 網(wǎng)絡環(huán)境現(xiàn)狀及VPN部署:在我院現(xiàn)有的網(wǎng)絡環(huán)境中，內(nèi)部局域網(wǎng)由7條光纖為主干，百兆帶寬到桌面，網(wǎng)絡狀況較好。VPN部署通過專用光纖接入通信公司的寬帶網(wǎng)絡，并分配有少量全局IP，網(wǎng)絡狀態(tài)較好。分部的網(wǎng)絡環(huán)境差異不大，采用中國聯(lián)通的ADSL上網(wǎng)，數(shù)據(jù)庫服務器一般部署在內(nèi)網(wǎng)上，并通過靜態(tài)IP分配設置專用IP地址。

2 VPN系統(tǒng)中的訪問控制

2.1 VPN系統(tǒng)策略庫原則:本文根據(jù)VPN系統(tǒng)的特點將策略庫以子域為單位分割為獨立的策略庫，將單一的策略庫分割為多個策略庫是有條件的，必須符合第3范式［3］。

2.2 VPN系統(tǒng)子域配置:在VPN系統(tǒng)中子域使用SubDomain名來標示VPN系統(tǒng)中的安全網(wǎng)關(guān)，SubDomain名稱可以是IP地址或與IP地址一一對應的名字空間內(nèi)的值(該值可在CA分發(fā)證書時得到)，用戶的策略庫以子域為單位進行分解。不同子域的SubDomain應是不同的，而用戶ID則標示一個用戶，在同一子域內(nèi)用戶ID應是不同的。在VPN系統(tǒng)中，(SubDomain，user ID)決定了唯一的全局用戶(或角色)，這樣，每個網(wǎng)關(guān)單獨維護一個本地策略庫，其策略可以單獨使用，也可組合使用［4］。

3 虛擬專網(wǎng)VPN的性能分析

3.1 安全保障:在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實現(xiàn)簡單、方便、靈活，但同時其安全問題尤為突出。通過防火墻技術(shù)、路由器配以隧道技術(shù)、加解密協(xié)議、安全密鑰和身份驗證技術(shù)可以為分布式數(shù)據(jù)庫系統(tǒng)實現(xiàn)有效的安全保障，實現(xiàn)通過公用網(wǎng)絡平臺傳輸數(shù)據(jù)的專用性和安全性［5］。合理地設置拔號用戶的權(quán)限和訪問策略，能加強VPN網(wǎng)絡和數(shù)據(jù)的安全，防止非法用戶對網(wǎng)絡資源或私有信息的訪問。

3.2 可擴充性和靈活性:通過網(wǎng)絡封裝技術(shù)，虛擬專網(wǎng)VPN能有效地支持分布式數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)流類型。當系統(tǒng)需要擴大規(guī)模時，可以方便地增加新的節(jié)點，具有較好的系統(tǒng)擴展性和靈活性。

3.3 可管理性:醫(yī)院HIS(Hospital Information System)作為一套完備的分布式數(shù)據(jù)庫系統(tǒng)，必須同時具備一套完善的VPN管理系統(tǒng)，可以對VPN方便地進行管理、維護。用以減小網(wǎng)絡風險并且具有高擴展性、經(jīng)濟性、高可靠性等作用。事實上，VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。

4 結(jié)語

根據(jù)不同應用環(huán)境求、安全要求、性能要求和成本要求，利用各種不同的VPN技術(shù)和組網(wǎng)方式，可以為分布式數(shù)據(jù)庫系統(tǒng)部署一個安全、可靠、靈活、經(jīng)濟、易于擴展和管理的網(wǎng)絡平臺，最大限度地滿足分布式數(shù)據(jù)庫系統(tǒng)各方面的網(wǎng)絡需求。

［1］李蘭燕，周立，毛雪石.VPN技術(shù)及其在數(shù)字圖書館的應用［J］.中華醫(yī)學圖書情報雜志，2007，5(16):65 －67.

［2］王時繪，董元和.基于VPN環(huán)境的企業(yè)數(shù)據(jù)庫復制的安全策略［J］.網(wǎng)絡安全技術(shù)與應用，2007，2:48 －49.

［3］謝方軍，戴宗坤，張紅，等.VPN中的分布式訪問控制［J］.小型微型計算機系統(tǒng)，2004，7(25):1250 －1252.

［4］彭育輝，高誠輝.VPN技術(shù)在汽車客運管理信息系統(tǒng)中的應用［J］.交通與計算機，2005，4(23):78 －80.

［5］董元和，王時繪.基于分布式數(shù)據(jù)庫系統(tǒng)的VPN環(huán)境的部署［J］.湖北師范學院學報，2006，4(26):86 －87.