王瑞卿

摘要： 隨著傳染病疫情信息的使用需求，解決疾病預(yù)防控制機(jī)構(gòu)擴(kuò)展內(nèi)部網(wǎng)絡(luò)的方式。本文介紹了虛擬專用網(wǎng)（SSL VPN）技術(shù)的概念及提出了采用SSL VPN網(wǎng)關(guān)接入的設(shè)計方案，解決了外網(wǎng)直報用戶訪問系統(tǒng)的問題。

Abstract： With the use of infectious disease information， it needs to address the disease prevention and control institutions to expand the internal network. In this paper， virtual private network（SSL VPN） technology concept and design scheme using SSL VPN gateway is proposed to solve problem of the user to access reporting system.

關(guān)鍵詞： IPSec VPN；SSL VPN；疫情信息系統(tǒng)

Key words： IPSec VPN；SSL VPN；epidemic information system

中圖分類號：TN711 文獻(xiàn)標(biāo)識碼：A 文章編號：1006-4311（2017）01-0218-02

0 引言（Introduction）

疫情信息數(shù)據(jù)是疾病預(yù)防控制機(jī)構(gòu)重要的一種信息數(shù)據(jù)，包含了傳染病、計劃免疫、職業(yè)病危害、地方病種等病疫報告是疾控部門防疫防控工作中起主要主導(dǎo)作用的，是計生委制定疾病防控的信息依據(jù)。為了提高信息報告質(zhì)量、報告及時率以及提高工作效率，目前許多地區(qū)使用了信息系統(tǒng)，對疫情管理的科學(xué)化、規(guī)范化、在線實時監(jiān)測與監(jiān)控管理，提高對信息的質(zhì)量管理。但是，疫情信息具有高度安全需求，如果信息在傳輸過程中的不安全，會造成信息泄露或篡改等情況，會降低報告質(zhì)量及后面防控工作的正常進(jìn)行，特別是用于預(yù)防和治療感染性疾病的可靠信息，將帶來極大的危害，甚至造成社會恐慌，危害社會穩(wěn)定。為了保證信息傳輸安全，VPN技術(shù)的使用是一個更經(jīng)濟(jì)有效的解決方案。

1 VPN技術(shù)及概念（VPN technology and concepts）

1.1 VPN概念

虛擬專用網(wǎng)VPN（Virtual Private Network）是一種在公共網(wǎng)絡(luò)邏輯網(wǎng)絡(luò)技術(shù)中的一種特殊的臨時性安全技術(shù)，建設(shè)成本低廉，安全性很高。目前業(yè)界比較流行的兩大VPN技術(shù)是IPSec VPN和SSL VPN。

1.2 SSL VPN概念

SSL VPN是應(yīng)用層的VPN，基于安全超文本傳輸協(xié)議訪問受保護(hù)的應(yīng)用。有兩種方式：直路模式和旁路模式。直路模式是當(dāng)需要訪問應(yīng)用服務(wù)器，客戶端通過雙方的相互認(rèn)證證書的SSL VPN網(wǎng)關(guān)；設(shè)置客戶端和SSL VPN作為網(wǎng)關(guān)之間的SSL通道；代理和客戶端服務(wù)器建立TCP連接應(yīng)用，傳輸客戶端和應(yīng)用服務(wù)器之間的數(shù)據(jù)。旁路模式是當(dāng)SSL VPN Server接受安全超文本傳輸協(xié)議請求將加密的程序給加速裝置處理，當(dāng)SSL加速裝置處理后再轉(zhuǎn)發(fā)數(shù)據(jù)到SSL VPN Server。

1.3 SSL VPN的優(yōu)勢

SSL VPN的優(yōu)勢來自超文本傳輸協(xié)議的應(yīng)用，常用的協(xié)議應(yīng)用有SOAP（Simple Object Access Protocol）簡單對象訪問協(xié)議以及UDDI（Universal Description Discovery and Integration）統(tǒng)一描述、發(fā)現(xiàn)和集成等。這種B/S架構(gòu)形式只需安裝在服務(wù)器上，通過瀏覽器來表現(xiàn)界面的主要事務(wù)邏輯，只有很少的事務(wù)邏輯在前端，所以客戶端用瀏覽器即可。

SSL VPN是一種即插即用的安裝方式，不需要額外的客戶端和硬件；相對而言，IPSec通常需要長時間的配置，必須有相應(yīng)的軟件和硬件才能夠使用。如果VPN IPsec部署新設(shè)備的加入，經(jīng)常改變網(wǎng)絡(luò)的結(jié)構(gòu)，從而IPSec擴(kuò)展性較差。

2 需求分析（Demand analysis）

隨著衛(wèi)生部門信息化進(jìn)程，以及對疫情網(wǎng)絡(luò)報告的及時上傳特點(diǎn)，特別是傳染病網(wǎng)絡(luò)直報用戶需要進(jìn)行日常給疾控部門上報疫情報告等信息，是需要有效快速訪問傳染病信息系統(tǒng)需求的，如果網(wǎng)絡(luò)直報用戶經(jīng)過公網(wǎng)直接訪問傳染病信息系統(tǒng)，那么可能會被非法用戶竊取或篡改，那將造成嚴(yán)重的衛(wèi)生信息安全事件。為保證疫情信息系統(tǒng)安全，系統(tǒng)只對疾控中心合法用戶開放，這樣所有醫(yī)院等網(wǎng)絡(luò)直報用戶均無法訪問系統(tǒng)，造成系統(tǒng)功能嚴(yán)重缺失。

2.1 存在的問題

因為傳染病疫情信息系統(tǒng)最廣大的直報用戶都在外網(wǎng)訪問，對安全性要求很高、用戶訪問量大、用戶環(huán)境復(fù)雜等特點(diǎn)，存在著很多問題：①外網(wǎng)用戶需要及時通過疫情信息系統(tǒng)上報疫情。②怎樣保證接入的安全性、易用性和低維護(hù)率。③相互的中心站點(diǎn)間的數(shù)據(jù)共享及傳輸。

2.2 技術(shù)難題

系統(tǒng)直報用戶通過外網(wǎng)訪問疫情系統(tǒng)面臨幾個問題：①開放系統(tǒng)，能否保證外網(wǎng)直報用戶與內(nèi)部合法用戶使用效果或數(shù)據(jù)一致。②權(quán)限設(shè)定問題。在讓外網(wǎng)直報用戶快捷方便地訪問同時，也需要保證信息資源的安全。這成為目前疫情信息系統(tǒng)一個急需解決的問題?？紤]到上述問題，使用SSL VPN技術(shù)來實現(xiàn)外網(wǎng)訪問是最好的選擇。

3 方案與部署（Scheme and deployment）

使用SSL VPN方式應(yīng)該遵循的原則：①權(quán)限劃分。SSL VPN重點(diǎn)在于保護(hù)具體的敏感數(shù)據(jù)，通過配合一定的身份認(rèn)證，以保證每次訪問的記錄特性，為事后回溯提供依據(jù)。②高效管理。必須有完整的操作日志記錄。③系統(tǒng)兼容性。因為要滿足各類不同的終端，保證服務(wù)器能兼容多平臺。

3.1 方案設(shè)計

IPSec VPN和SSL VPN是目前兩個主流安全訪問技術(shù)，兩者有很大的不同，分析兩個技術(shù)的對比圖見表1[1] 。通過對比分析兩種不同的架構(gòu)，我們采用單臂SSL VPN網(wǎng)關(guān)接入模式。在防火墻部署VPN SSL網(wǎng)關(guān)設(shè)備，不需要改變現(xiàn)有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，在防火墻配置NAT，用設(shè)定好的IP地址訪問互聯(lián)網(wǎng)。由于SSL VPN是應(yīng)用層網(wǎng)關(guān)，安全可靠，應(yīng)用層的策略可以有效地保護(hù)內(nèi)部的應(yīng)用服務(wù)器，第四端口沒有接觸到互聯(lián)網(wǎng)的服務(wù)器，只要開放防火墻的SSL（TCP443）端口[2]，這種設(shè)計可以保證內(nèi)網(wǎng)服務(wù)器的安全。

3.2 系統(tǒng)部署

在防火墻內(nèi)接入一臺SSL VPN設(shè)備，并分配設(shè)置好的合法IP地址。然后將IP地址、內(nèi)網(wǎng)接口、掩碼、網(wǎng)關(guān)等配置好，然后完成其他相應(yīng)設(shè)置。網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

3.3 實現(xiàn)效果

外網(wǎng)直報用戶只需將建好的IP地址輸入瀏覽器便可以進(jìn)行系統(tǒng)登錄操作，在登錄界面登錄及驗證，確認(rèn)后便可利用SSL VPN隧道快速方便的訪問傳染病疫情系統(tǒng)。如圖2所示實現(xiàn)效果圖。

4 結(jié)論（Conclusion）

綜觀上述，SSL VPN的易用性和安全水平，高于IPSec的VPN。我們都知道，由于互聯(lián)網(wǎng)的快速擴(kuò)張，以及疾病預(yù)防控制機(jī)構(gòu)對數(shù)據(jù)安全性的嚴(yán)格要求，對外網(wǎng)安全登錄的需求也在增加。對于用戶來說，一個方便快捷的解決方案，才能真正滿足用戶的需求。

參考文獻(xiàn)：

[1]段永福，段煉，張元睿.計算機(jī)網(wǎng)絡(luò)規(guī)劃與設(shè)計[M].杭州：浙江大學(xué)出版社，2005：26.

[2]顧春峰，李偉斌，蘭秀鳳.基于Vmware、GNS3實現(xiàn)虛擬網(wǎng)絡(luò)實驗室[J].實驗室研究與探索，2012（1）.

[3][WALL1600下一代防火墻]下一代防火墻幾種VPN優(yōu)缺點(diǎn)對比.