利用SSL VPN技術(shù)實(shí)現(xiàn)疫情信息系統(tǒng)外網(wǎng)訪問(wèn)

王瑞卿

摘要： 隨著傳染病疫情信息的使用需求，解決疾病預(yù)防控制機(jī)構(gòu)擴(kuò)展內(nèi)部網(wǎng)絡(luò)的方式。本文介紹了虛擬專用網(wǎng)（SSL VPN）技術(shù)的概念及提出了采用SSL VPN網(wǎng)關(guān)接入的設(shè)計(jì)方案，解決了外網(wǎng)直報(bào)用戶訪問(wèn)系統(tǒng)的問(wèn)題。

Abstract： With the use of infectious disease information， it needs to address the disease prevention and control institutions to expand the internal network. In this paper， virtual private network（SSL VPN） technology concept and design scheme using SSL VPN gateway is proposed to solve problem of the user to access reporting system.

關(guān)鍵詞： IPSec VPN；SSL VPN；疫情信息系統(tǒng)

Key words： IPSec VPN；SSL VPN；epidemic information system

中圖分類號(hào)：TN711 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-4311（2017）01-0218-02

0 引言（Introduction）

疫情信息數(shù)據(jù)是疾病預(yù)防控制機(jī)構(gòu)重要的一種信息數(shù)據(jù)，包含了傳染病、計(jì)劃免疫、職業(yè)病危害、地方病種等病疫報(bào)告是疾控部門防疫防控工作中起主要主導(dǎo)作用的，是計(jì)生委制定疾病防控的信息依據(jù)。為了提高信息報(bào)告質(zhì)量、報(bào)告及時(shí)率以及提高工作效率，目前許多地區(qū)使用了信息系統(tǒng)，對(duì)疫情管理的科學(xué)化、規(guī)范化、在線實(shí)時(shí)監(jiān)測(cè)與監(jiān)控管理，提高對(duì)信息的質(zhì)量管理。但是，疫情信息具有高度安全需求，如果信息在傳輸過(guò)程中的不安全，會(huì)造成信息泄露或篡改等情況，會(huì)降低報(bào)告質(zhì)量及后面防控工作的正常進(jìn)行，特別是用于預(yù)防和治療感染性疾病的可靠信息，將帶來(lái)極大的危害，甚至造成社會(huì)恐慌，危害社會(huì)穩(wěn)定。為了保證信息傳輸安全，VPN技術(shù)的使用是一個(gè)更經(jīng)濟(jì)有效的解決方案。

1 VPN技術(shù)及概念（VPN technology and concepts）

1.1 VPN概念

虛擬專用網(wǎng)VPN（Virtual Private Network）是一種在公共網(wǎng)絡(luò)邏輯網(wǎng)絡(luò)技術(shù)中的一種特殊的臨時(shí)性安全技術(shù)，建設(shè)成本低廉，安全性很高。目前業(yè)界比較流行的兩大VPN技術(shù)是IPSec VPN和SSL VPN。

1.2 SSL VPN概念

SSL VPN是應(yīng)用層的VPN，基于安全超文本傳輸協(xié)議訪問(wèn)受保護(hù)的應(yīng)用。有兩種方式：直路模式和旁路模式。直路模式是當(dāng)需要訪問(wèn)應(yīng)用服務(wù)器，客戶端通過(guò)雙方的相互認(rèn)證證書(shū)的SSL VPN網(wǎng)關(guān)；設(shè)置客戶端和SSL VPN作為網(wǎng)關(guān)之間的SSL通道；代理和客戶端服務(wù)器建立TCP連接應(yīng)用，傳輸客戶端和應(yīng)用服務(wù)器之間的數(shù)據(jù)。旁路模式是當(dāng)SSL VPN Server接受安全超文本傳輸協(xié)議請(qǐng)求將加密的程序給加速裝置處理，當(dāng)SSL加速裝置處理后再轉(zhuǎn)發(fā)數(shù)據(jù)到SSL VPN Server。

1.3 SSL VPN的優(yōu)勢(shì)

SSL VPN的優(yōu)勢(shì)來(lái)自超文本傳輸協(xié)議的應(yīng)用，常用的協(xié)議應(yīng)用有SOAP（Simple Object Access Protocol）簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議以及UDDI（Universal Description Discovery and Integration）統(tǒng)一描述、發(fā)現(xiàn)和集成等。這種B/S架構(gòu)形式只需安裝在服務(wù)器上，通過(guò)瀏覽器來(lái)表現(xiàn)界面的主要事務(wù)邏輯，只有很少的事務(wù)邏輯在前端，所以客戶端用瀏覽器即可。

SSL VPN是一種即插即用的安裝方式，不需要額外的客戶端和硬件；相對(duì)而言，IPSec通常需要長(zhǎng)時(shí)間的配置，必須有相應(yīng)的軟件和硬件才能夠使用。如果VPN IPsec部署新設(shè)備的加入，經(jīng)常改變網(wǎng)絡(luò)的結(jié)構(gòu)，從而IPSec擴(kuò)展性較差。

2 需求分析（Demand analysis）

隨著衛(wèi)生部門信息化進(jìn)程，以及對(duì)疫情網(wǎng)絡(luò)報(bào)告的及時(shí)上傳特點(diǎn)，特別是傳染病網(wǎng)絡(luò)直報(bào)用戶需要進(jìn)行日常給疾控部門上報(bào)疫情報(bào)告等信息，是需要有效快速訪問(wèn)傳染病信息系統(tǒng)需求的，如果網(wǎng)絡(luò)直報(bào)用戶經(jīng)過(guò)公網(wǎng)直接訪問(wèn)傳染病信息系統(tǒng)，那么可能會(huì)被非法用戶竊取或篡改，那將造成嚴(yán)重的衛(wèi)生信息安全事件。為保證疫情信息系統(tǒng)安全，系統(tǒng)只對(duì)疾控中心合法用戶開(kāi)放，這樣所有醫(yī)院等網(wǎng)絡(luò)直報(bào)用戶均無(wú)法訪問(wèn)系統(tǒng)，造成系統(tǒng)功能嚴(yán)重缺失。

2.1 存在的問(wèn)題

因?yàn)閭魅静∫咔樾畔⑾到y(tǒng)最廣大的直報(bào)用戶都在外網(wǎng)訪問(wèn)，對(duì)安全性要求很高、用戶訪問(wèn)量大、用戶環(huán)境復(fù)雜等特點(diǎn)，存在著很多問(wèn)題：①外網(wǎng)用戶需要及時(shí)通過(guò)疫情信息系統(tǒng)上報(bào)疫情。②怎樣保證接入的安全性、易用性和低維護(hù)率。③相互的中心站點(diǎn)間的數(shù)據(jù)共享及傳輸。

2.2 技術(shù)難題

系統(tǒng)直報(bào)用戶通過(guò)外網(wǎng)訪問(wèn)疫情系統(tǒng)面臨幾個(gè)問(wèn)題：①開(kāi)放系統(tǒng)，能否保證外網(wǎng)直報(bào)用戶與內(nèi)部合法用戶使用效果或數(shù)據(jù)一致。②權(quán)限設(shè)定問(wèn)題。在讓外網(wǎng)直報(bào)用戶快捷方便地訪問(wèn)同時(shí)，也需要保證信息資源的安全。這成為目前疫情信息系統(tǒng)一個(gè)急需解決的問(wèn)題。考慮到上述問(wèn)題，使用SSL VPN技術(shù)來(lái)實(shí)現(xiàn)外網(wǎng)訪問(wèn)是最好的選擇。

3 方案與部署（Scheme and deployment）

使用SSL VPN方式應(yīng)該遵循的原則：①權(quán)限劃分。SSL VPN重點(diǎn)在于保護(hù)具體的敏感數(shù)據(jù)，通過(guò)配合一定的身份認(rèn)證，以保證每次訪問(wèn)的記錄特性，為事后回溯提供依據(jù)。②高效管理。必須有完整的操作日志記錄。③系統(tǒng)兼容性。因?yàn)橐獫M足各類不同的終端，保證服務(wù)器能兼容多平臺(tái)。

3.1 方案設(shè)計(jì)

IPSec VPN和SSL VPN是目前兩個(gè)主流安全訪問(wèn)技術(shù)，兩者有很大的不同，分析兩個(gè)技術(shù)的對(duì)比圖見(jiàn)表1[1] 。通過(guò)對(duì)比分析兩種不同的架構(gòu)，我們采用單臂SSL VPN網(wǎng)關(guān)接入模式。在防火墻部署VPN SSL網(wǎng)關(guān)設(shè)備，不需要改變現(xiàn)有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，在防火墻配置NAT，用設(shè)定好的IP地址訪問(wèn)互聯(lián)網(wǎng)。由于SSL VPN是應(yīng)用層網(wǎng)關(guān)，安全可靠，應(yīng)用層的策略可以有效地保護(hù)內(nèi)部的應(yīng)用服務(wù)器，第四端口沒(méi)有接觸到互聯(lián)網(wǎng)的服務(wù)器，只要開(kāi)放防火墻的SSL（TCP443）端口[2]，這種設(shè)計(jì)可以保證內(nèi)網(wǎng)服務(wù)器的安全。

3.2 系統(tǒng)部署

在防火墻內(nèi)接入一臺(tái)SSL VPN設(shè)備，并分配設(shè)置好的合法IP地址。然后將IP地址、內(nèi)網(wǎng)接口、掩碼、網(wǎng)關(guān)等配置好，然后完成其他相應(yīng)設(shè)置。網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

3.3 實(shí)現(xiàn)效果

外網(wǎng)直報(bào)用戶只需將建好的IP地址輸入瀏覽器便可以進(jìn)行系統(tǒng)登錄操作，在登錄界面登錄及驗(yàn)證，確認(rèn)后便可利用SSL VPN隧道快速方便的訪問(wèn)傳染病疫情系統(tǒng)。如圖2所示實(shí)現(xiàn)效果圖。

4 結(jié)論（Conclusion）

綜觀上述，SSL VPN的易用性和安全水平，高于IPSec的VPN。我們都知道，由于互聯(lián)網(wǎng)的快速擴(kuò)張，以及疾病預(yù)防控制機(jī)構(gòu)對(duì)數(shù)據(jù)安全性的嚴(yán)格要求，對(duì)外網(wǎng)安全登錄的需求也在增加。對(duì)于用戶來(lái)說(shuō)，一個(gè)方便快捷的解決方案，才能真正滿足用戶的需求。

參考文獻(xiàn)：

[1]段永福，段煉，張?jiān)?計(jì)算機(jī)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)[M].杭州：浙江大學(xué)出版社，2005：26.

[2]顧春峰，李偉斌，蘭秀鳳.基于Vmware、GNS3實(shí)現(xiàn)虛擬網(wǎng)絡(luò)實(shí)驗(yàn)室[J].實(shí)驗(yàn)室研究與探索，2012（1）.

[3][WALL1600下一代防火墻]下一代防火墻幾種VPN優(yōu)缺點(diǎn)對(duì)比.