張 燁 梁 宇 楊永明 張 鵬

(中國疾病預(yù)防控制中心公共衛(wèi)生監(jiān)測與信息服務(wù)中心 北京 102206)

1 引言

中國疾病預(yù)防控制信息系統(tǒng)是連接各級衛(wèi)生行政部門和衛(wèi)生單位及相關(guān)組織機(jī)構(gòu)的國家疾病預(yù)防控制監(jiān)測信息系統(tǒng)平臺，是為收集、整理、存儲、檢索、分析、研究、決策和提供信息服務(wù)建立的綜合應(yīng)用信息系統(tǒng)平臺[1-2]。電子政務(wù)外網(wǎng)主要由中央和地方政務(wù)外網(wǎng)組成，支撐跨地區(qū)、跨部門的業(yè)務(wù)應(yīng)用、信息共享和業(yè)務(wù)協(xié)同，與互聯(lián)網(wǎng)邏輯隔離[3]。中國疾病預(yù)防控制信息系統(tǒng)需要安全的傳輸網(wǎng)絡(luò)支撐，在原有虛擬專用網(wǎng)(Virtual Private Network，VPN)體系下，將同步數(shù)字架構(gòu)(Synchronous Digital Hierarchy，SDH)專網(wǎng)與電子政務(wù)外網(wǎng)作為網(wǎng)絡(luò)直報系統(tǒng)傳輸網(wǎng)的重要補(bǔ)充，既保障中國疾病預(yù)防控制信息系統(tǒng)的安全傳輸，又加強(qiáng)可靠性，同時豐富電子政務(wù)外網(wǎng)與SDH專線的應(yīng)用。

2 中國疾病預(yù)防控制信息系統(tǒng)網(wǎng)絡(luò)總體規(guī)劃及結(jié)構(gòu)

2.1 總體規(guī)劃

中國疾控中心、各級疾控中心之間主要基于SDH專線、電子政務(wù)外網(wǎng)、VPN鏈路實(shí)現(xiàn)數(shù)據(jù)交換。在縱向網(wǎng)絡(luò)上，一方面依托電子政務(wù)外網(wǎng)，承載疾控業(yè)務(wù)應(yīng)用；另一方面對尚未接入電子政務(wù)外網(wǎng)的機(jī)構(gòu)和移動辦公用戶利用已有VPN完成專網(wǎng)接入[4]。有條件的地區(qū)還可以租用跨區(qū)域的到中國疾控中心的專線，提供高帶寬、高速數(shù)據(jù)共享。在橫向網(wǎng)絡(luò)建設(shè)上，可依托當(dāng)?shù)鼗A(chǔ)電信運(yùn)營商的SDH、多協(xié)議標(biāo)簽交換(Multiple Protocol Label Switching，MPLS)等專用線路，連接到同級衛(wèi)生行政部門[5]。中國疾病預(yù)防控制信息系統(tǒng)網(wǎng)絡(luò)拓?fù)?，見圖1。

圖1 中國疾病預(yù)防控制信息系統(tǒng)網(wǎng)絡(luò)拓?fù)?/p>

2.2 網(wǎng)絡(luò)結(jié)構(gòu)

網(wǎng)絡(luò)系統(tǒng)作為中國疾控中心數(shù)據(jù)中心的基礎(chǔ)設(shè)施，主要分為外聯(lián)網(wǎng)接入?yún)^(qū)、核心交換區(qū)、3級等級保護(hù)數(shù)據(jù)區(qū)、其他等保數(shù)據(jù)區(qū)、虛擬機(jī)區(qū)、有線上網(wǎng)接入?yún)^(qū)、無線上網(wǎng)接入?yún)^(qū)、IT運(yùn)維監(jiān)控區(qū)。外部接入部分實(shí)施資源整合，劃定邊界，實(shí)現(xiàn)帶寬共享，降低復(fù)雜度，減少故障點(diǎn)，提升可靠性和管理效率。其中重要設(shè)備，如核心交換、防火墻，采用冗余結(jié)構(gòu)和網(wǎng)絡(luò)虛擬化技術(shù)，減少單點(diǎn)故障。中國疾控中心網(wǎng)絡(luò)結(jié)構(gòu)，見圖2。

圖2 中國疾控中心網(wǎng)絡(luò)結(jié)構(gòu)

3 省級疾控中心到同級衛(wèi)生廳局電子政務(wù)外網(wǎng)互聯(lián)方式

3.1 概述

省級疾控中心應(yīng)參照中國疾控中心的設(shè)計，結(jié)合現(xiàn)有網(wǎng)絡(luò)，在接入設(shè)備上增加相應(yīng)接口，通過專線連接同級衛(wèi)生廳局，對接電子政務(wù)外網(wǎng)，同時增加相應(yīng)網(wǎng)絡(luò)安全策略，將電子政務(wù)外網(wǎng)與現(xiàn)有外部網(wǎng)絡(luò)接入進(jìn)行邏輯隔離，連接服務(wù)器系統(tǒng)和上網(wǎng)區(qū)，實(shí)現(xiàn)網(wǎng)絡(luò)資源共享。新增線路并入原有線路，作為外聯(lián)網(wǎng)的一部分，統(tǒng)一管理。全國疾控系統(tǒng)全部接入電子政務(wù)外網(wǎng)后可充分利用現(xiàn)有資源，避免重復(fù)建設(shè)。為保持衛(wèi)生廳局電子政務(wù)外網(wǎng)及內(nèi)部網(wǎng)絡(luò)穩(wěn)定運(yùn)行，需保留原有各單位內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)不變，整體接入到同級衛(wèi)生廳局電子政務(wù)外網(wǎng)，實(shí)現(xiàn)在統(tǒng)一物理網(wǎng)絡(luò)平臺基礎(chǔ)上的互聯(lián)互通。針對各單位網(wǎng)絡(luò)實(shí)際情況，按照電子政務(wù)外網(wǎng)建設(shè)統(tǒng)一標(biāo)準(zhǔn)及規(guī)范，將疾控內(nèi)部局域網(wǎng)接入到同級衛(wèi)生廳局電子政務(wù)外網(wǎng)時主要使用3種接入方式。

3.2 路由方式接入衛(wèi)生廳局

針對部分新建網(wǎng)絡(luò)或?qū)⑦M(jìn)行網(wǎng)絡(luò)調(diào)整的單位，如果能夠得到足夠多的政務(wù)網(wǎng)IP地址，可采用路由方式進(jìn)行接入。網(wǎng)絡(luò)中全部設(shè)備以衛(wèi)生廳局電子政務(wù)外網(wǎng)統(tǒng)一規(guī)劃IP地址中的一段作為業(yè)務(wù)地址，通過防火墻將規(guī)劃地址路由輸出，防火墻在對接中起到兩個單位間網(wǎng)絡(luò)的安全隔離和對兩個網(wǎng)絡(luò)安全防護(hù)作用，同時增加相關(guān)安全策略。以路由方式接入，各疾控機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)需按照電子政務(wù)外網(wǎng)統(tǒng)一地址規(guī)劃要求配置IP地址，這種情況下沒有地址沖突，由政務(wù)網(wǎng)統(tǒng)一分配。

3.3 網(wǎng)絡(luò)地址轉(zhuǎn)換方式接入衛(wèi)生廳局

針對已經(jīng)構(gòu)建內(nèi)部網(wǎng)絡(luò)的疾病預(yù)防控制機(jī)構(gòu)，其局域網(wǎng)建設(shè)及運(yùn)行多年，多項(xiàng)業(yè)務(wù)已經(jīng)開展，更改網(wǎng)絡(luò)的IP地址比較困難，因此需要采用IP網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation，NAT)方式來進(jìn)行網(wǎng)絡(luò)接入。疾病預(yù)防控制機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)IP地址按中國疾控中心統(tǒng)一分配的IP地址段，同時通過防火墻轉(zhuǎn)換到衛(wèi)生廳局分配的電子政務(wù)外網(wǎng)IP地址。NAT可以根據(jù)業(yè)務(wù)要求將內(nèi)部網(wǎng)絡(luò)地址一對一、一對多單向或雙向轉(zhuǎn)換成電子政務(wù)外網(wǎng)統(tǒng)一規(guī)劃地址，然后經(jīng)網(wǎng)絡(luò)設(shè)備到電子政務(wù)外網(wǎng)，防火墻起到NAT和安全隔離防護(hù)的雙重作用。該方式避免更改疾病預(yù)防控制機(jī)構(gòu)內(nèi)部IP地址的繁重工作，接入單位內(nèi)部網(wǎng)絡(luò)的路由抖動將不會影響政務(wù)外網(wǎng)骨干網(wǎng)絡(luò)運(yùn)行。采用防火墻進(jìn)行NAT，通過硬件方式快速實(shí)現(xiàn)地址轉(zhuǎn)換的雙重控制功能。若用路由器進(jìn)行NAT，則會影響路由器本身性能，甚至還會使網(wǎng)絡(luò)擁塞時間變長，影響網(wǎng)絡(luò)性能。

3.4 獨(dú)立通道接入電子政務(wù)網(wǎng)

對于可以不通過衛(wèi)生廳局直接接入電子政務(wù)網(wǎng)的疾病預(yù)防控制機(jī)構(gòu)，可采用路由方式，但需做好防火墻安全策略。對于某些特殊的業(yè)務(wù)應(yīng)用，由于其經(jīng)過防火墻設(shè)備開展業(yè)務(wù)應(yīng)用時效能大幅降低，可從接入網(wǎng)絡(luò)設(shè)備提供到用戶內(nèi)網(wǎng)通道連接，以便使此類業(yè)務(wù)應(yīng)用數(shù)據(jù)流能夠繞開防火墻設(shè)備，通道傳輸進(jìn)入到內(nèi)網(wǎng)業(yè)務(wù)應(yīng)用點(diǎn)。獨(dú)立通道為一些特殊業(yè)務(wù)應(yīng)用提供便利，但同時增加網(wǎng)絡(luò)運(yùn)維和管理難度。由于電子政務(wù)網(wǎng)與各地疾病預(yù)防控制機(jī)構(gòu)網(wǎng)絡(luò)建設(shè)差異較大，以上3種網(wǎng)絡(luò)接入方式在實(shí)際網(wǎng)絡(luò)建設(shè)與接入中根據(jù)需要可混合使用。

3.5 電子政務(wù)外網(wǎng)業(yè)務(wù)應(yīng)用

基于電子政務(wù)外網(wǎng)基礎(chǔ)網(wǎng)絡(luò)平臺將作為中國疾控中心全國業(yè)務(wù)的主要鏈路使用，將提供全部全國業(yè)務(wù)應(yīng)用服務(wù)，目前已開通的有中國疾病預(yù)防控制信息系統(tǒng)及子系統(tǒng)。中國疾病預(yù)防控制信息系統(tǒng)是國家500個重要信息系統(tǒng)之一，其中包含傳染病報告、突發(fā)公共衛(wèi)生事件報告、出生死亡登記、健康危害因素等近30個子系統(tǒng)和輔助管理系統(tǒng)。承載著傳染病報告信息、突發(fā)公共衛(wèi)生事件報告、人口死亡信息登記、結(jié)核病信息、艾滋病綜合防治信息、AFP監(jiān)測信息報告管理等20余項(xiàng)關(guān)鍵業(yè)務(wù)，覆蓋全國7.2萬家報告單位，18萬多個有效用戶[6]。中國疾病預(yù)防控制信息系統(tǒng)網(wǎng)絡(luò)需保持7×24小時連續(xù)不中斷運(yùn)行，電子政務(wù)外網(wǎng)的引入將為中國疾病預(yù)防控制信息系統(tǒng)帶來更加穩(wěn)定可靠的運(yùn)行環(huán)境，同時也為未來電子政務(wù)信息系統(tǒng)整合疾病控制系統(tǒng)奠定重要網(wǎng)絡(luò)基礎(chǔ)。

4 結(jié)語

本文闡述省級疾控中心到同級衛(wèi)生廳局電子政務(wù)外網(wǎng)互聯(lián)的3種接入方式。專用線路保障網(wǎng)絡(luò)基礎(chǔ)設(shè)施穩(wěn)定運(yùn)行，提升對中國疾病預(yù)防控制信息系統(tǒng)的支撐能力，達(dá)到單一線路中斷不影響系統(tǒng)業(yè)務(wù)的效果。中國疾控中心開展電子政務(wù)外網(wǎng)網(wǎng)絡(luò)建設(shè)，各項(xiàng)業(yè)務(wù)正常運(yùn)行，基于該網(wǎng)絡(luò)架構(gòu)上聯(lián)國家衛(wèi)健委、下達(dá)各級衛(wèi)生廳局的網(wǎng)絡(luò)。如能再擴(kuò)展到疾病預(yù)防控制機(jī)構(gòu)，滿足各種應(yīng)用需求，則可形成統(tǒng)一的疾病預(yù)防控制業(yè)務(wù)網(wǎng)絡(luò)。