张 烨 梁 宇 杨永明 张 鹏

(中国疾病预防控制中心公共卫生监测与信息服务中心 北京 102206)

1 引言

中国疾病预防控制信息系统是连接各级卫生行政部门和卫生单位及相关组织机构的国家疾病预防控制监测信息系统平台，是为收集、整理、存储、检索、分析、研究、决策和提供信息服务建立的综合应用信息系统平台[1-2]。电子政务外网主要由中央和地方政务外网组成，支撑跨地区、跨部门的业务应用、信息共享和业务协同，与互联网逻辑隔离[3]。中国疾病预防控制信息系统需要安全的传输网络支撑，在原有虚拟专用网(Virtual Private Network，VPN)体系下，将同步数字架构(Synchronous Digital Hierarchy，SDH)专网与电子政务外网作为网络直报系统传输网的重要补充，既保障中国疾病预防控制信息系统的安全传输，又加强可靠性，同时丰富电子政务外网与SDH专线的应用。

2 中国疾病预防控制信息系统网络总体规划及结构

2.1 总体规划

中国疾控中心、各级疾控中心之间主要基于SDH专线、电子政务外网、VPN链路实现数据交换。在纵向网络上，一方面依托电子政务外网，承载疾控业务应用；另一方面对尚未接入电子政务外网的机构和移动办公用户利用已有VPN完成专网接入[4]。有条件的地区还可以租用跨区域的到中国疾控中心的专线，提供高带宽、高速数据共享。在横向网络建设上，可依托当地基础电信运营商的SDH、多协议标签交换(Multiple Protocol Label Switching，MPLS)等专用线路，连接到同级卫生行政部门[5]。中国疾病预防控制信息系统网络拓扑，见图1。

图1 中国疾病预防控制信息系统网络拓扑

2.2 网络结构

网络系统作为中国疾控中心数据中心的基础设施，主要分为外联网接入区、核心交换区、3级等级保护数据区、其他等保数据区、虚拟机区、有线上网接入区、无线上网接入区、IT运维监控区。外部接入部分实施资源整合，划定边界，实现带宽共享，降低复杂度，减少故障点，提升可靠性和管理效率。其中重要设备，如核心交换、防火墙，采用冗余结构和网络虚拟化技术，减少单点故障。中国疾控中心网络结构，见图2。

图2 中国疾控中心网络结构

3 省级疾控中心到同级卫生厅局电子政务外网互联方式

3.1 概述

省级疾控中心应参照中国疾控中心的设计，结合现有网络，在接入设备上增加相应接口，通过专线连接同级卫生厅局，对接电子政务外网，同时增加相应网络安全策略，将电子政务外网与现有外部网络接入进行逻辑隔离，连接服务器系统和上网区，实现网络资源共享。新增线路并入原有线路，作为外联网的一部分，统一管理。全国疾控系统全部接入电子政务外网后可充分利用现有资源，避免重复建设。为保持卫生厅局电子政务外网及内部网络稳定运行，需保留原有各单位内部网络结构不变，整体接入到同级卫生厅局电子政务外网，实现在统一物理网络平台基础上的互联互通。针对各单位网络实际情况，按照电子政务外网建设统一标准及规范，将疾控内部局域网接入到同级卫生厅局电子政务外网时主要使用3种接入方式。

3.2 路由方式接入卫生厅局

针对部分新建网络或将进行网络调整的单位，如果能够得到足够多的政务网IP地址，可采用路由方式进行接入。网络中全部设备以卫生厅局电子政务外网统一规划IP地址中的一段作为业务地址，通过防火墙将规划地址路由输出，防火墙在对接中起到两个单位间网络的安全隔离和对两个网络安全防护作用，同时增加相关安全策略。以路由方式接入，各疾控机构内部网络需按照电子政务外网统一地址规划要求配置IP地址，这种情况下没有地址冲突，由政务网统一分配。

3.3 网络地址转换方式接入卫生厅局

针对已经构建内部网络的疾病预防控制机构，其局域网建设及运行多年，多项业务已经开展，更改网络的IP地址比较困难，因此需要采用IP网络地址转换(Network Address Translation，NAT)方式来进行网络接入。疾病预防控制机构内部网络IP地址按中国疾控中心统一分配的IP地址段，同时通过防火墙转换到卫生厅局分配的电子政务外网IP地址。NAT可以根据业务要求将内部网络地址一对一、一对多单向或双向转换成电子政务外网统一规划地址，然后经网络设备到电子政务外网，防火墙起到NAT和安全隔离防护的双重作用。该方式避免更改疾病预防控制机构内部IP地址的繁重工作，接入单位内部网络的路由抖动将不会影响政务外网骨干网络运行。采用防火墙进行NAT，通过硬件方式快速实现地址转换的双重控制功能。若用路由器进行NAT，则会影响路由器本身性能，甚至还会使网络拥塞时间变长，影响网络性能。

3.4 独立通道接入电子政务网

对于可以不通过卫生厅局直接接入电子政务网的疾病预防控制机构，可采用路由方式，但需做好防火墙安全策略。对于某些特殊的业务应用，由于其经过防火墙设备开展业务应用时效能大幅降低，可从接入网络设备提供到用户内网通道连接，以便使此类业务应用数据流能够绕开防火墙设备，通道传输进入到内网业务应用点。独立通道为一些特殊业务应用提供便利，但同时增加网络运维和管理难度。由于电子政务网与各地疾病预防控制机构网络建设差异较大，以上3种网络接入方式在实际网络建设与接入中根据需要可混合使用。

3.5 电子政务外网业务应用

基于电子政务外网基础网络平台将作为中国疾控中心全国业务的主要链路使用，将提供全部全国业务应用服务，目前已开通的有中国疾病预防控制信息系统及子系统。中国疾病预防控制信息系统是国家500个重要信息系统之一，其中包含传染病报告、突发公共卫生事件报告、出生死亡登记、健康危害因素等近30个子系统和辅助管理系统。承载着传染病报告信息、突发公共卫生事件报告、人口死亡信息登记、结核病信息、艾滋病综合防治信息、AFP监测信息报告管理等20余项关键业务，覆盖全国7.2万家报告单位，18万多个有效用户[6]。中国疾病预防控制信息系统网络需保持7×24小时连续不中断运行，电子政务外网的引入将为中国疾病预防控制信息系统带来更加稳定可靠的运行环境，同时也为未来电子政务信息系统整合疾病控制系统奠定重要网络基础。

4 结语

本文阐述省级疾控中心到同级卫生厅局电子政务外网互联的3种接入方式。专用线路保障网络基础设施稳定运行，提升对中国疾病预防控制信息系统的支撑能力，达到单一线路中断不影响系统业务的效果。中国疾控中心开展电子政务外网网络建设，各项业务正常运行，基于该网络架构上联国家卫健委、下达各级卫生厅局的网络。如能再扩展到疾病预防控制机构，满足各种应用需求，则可形成统一的疾病预防控制业务网络。