王瑞卿

摘要： 随着传染病疫情信息的使用需求，解决疾病预防控制机构扩展内部网络的方式。本文介绍了虚拟专用网（SSL VPN）技术的概念及提出了采用SSL VPN网关接入的设计方案，解决了外网直报用户访问系统的问题。

Abstract： With the use of infectious disease information， it needs to address the disease prevention and control institutions to expand the internal network. In this paper， virtual private network（SSL VPN） technology concept and design scheme using SSL VPN gateway is proposed to solve problem of the user to access reporting system.

关键词： IPSec VPN；SSL VPN；疫情信息系统

Key words： IPSec VPN；SSL VPN；epidemic information system

中图分类号：TN711 文献标识码：A 文章编号：1006-4311（2017）01-0218-02

0 引言（Introduction）

疫情信息数据是疾病预防控制机构重要的一种信息数据，包含了传染病、计划免疫、职业病危害、地方病种等病疫报告是疾控部门防疫防控工作中起主要主导作用的，是计生委制定疾病防控的信息依据。为了提高信息报告质量、报告及时率以及提高工作效率，目前许多地区使用了信息系统，对疫情管理的科学化、规范化、在线实时监测与监控管理，提高对信息的质量管理。但是，疫情信息具有高度安全需求，如果信息在传输过程中的不安全，会造成信息泄露或篡改等情况，会降低报告质量及后面防控工作的正常进行，特别是用于预防和治疗感染性疾病的可靠信息，将带来极大的危害，甚至造成社会恐慌，危害社会稳定。为了保证信息传输安全，VPN技术的使用是一个更经济有效的解决方案。

1 VPN技术及概念（VPN technology and concepts）

1.1 VPN概念

虚拟专用网VPN（Virtual Private Network）是一种在公共网络逻辑网络技术中的一种特殊的临时性安全技术，建设成本低廉，安全性很高。目前业界比较流行的两大VPN技术是IPSec VPN和SSL VPN。

1.2 SSL VPN概念

SSL VPN是应用层的VPN，基于安全超文本传输协议访问受保护的应用。有两种方式：直路模式和旁路模式。直路模式是当需要访问应用服务器，客户端通过双方的相互认证证书的SSL VPN网关；设置客户端和SSL VPN作为网关之间的SSL通道；代理和客户端服务器建立TCP连接应用，传输客户端和应用服务器之间的数据。旁路模式是当SSL VPN Server接受安全超文本传输协议请求将加密的程序给加速装置处理，当SSL加速装置处理后再转发数据到SSL VPN Server。

1.3 SSL VPN的优势

SSL VPN的优势来自超文本传输协议的应用，常用的协议应用有SOAP（Simple Object Access Protocol）简单对象访问协议以及UDDI（Universal Description Discovery and Integration）统一描述、发现和集成等。这种B/S架构形式只需安装在服务器上，通过浏览器来表现界面的主要事务逻辑，只有很少的事务逻辑在前端，所以客户端用浏览器即可。

SSL VPN是一种即插即用的安装方式，不需要额外的客户端和硬件；相对而言，IPSec通常需要长时间的配置，必须有相应的软件和硬件才能够使用。如果VPN IPsec部署新设备的加入，经常改变网络的结构，从而IPSec扩展性较差。

2 需求分析（Demand analysis）

随着卫生部门信息化进程，以及对疫情网络报告的及时上传特点，特别是传染病网络直报用户需要进行日常给疾控部门上报疫情报告等信息，是需要有效快速访问传染病信息系统需求的，如果网络直报用户经过公网直接访问传染病信息系统，那么可能会被非法用户窃取或篡改，那将造成严重的卫生信息安全事件。为保证疫情信息系统安全，系统只对疾控中心合法用户开放，这样所有医院等网络直报用户均无法访问系统，造成系统功能严重缺失。

2.1 存在的问题

因为传染病疫情信息系统最广大的直报用户都在外网访问，对安全性要求很高、用户访问量大、用户环境复杂等特点，存在着很多问题：①外网用户需要及时通过疫情信息系统上报疫情。②怎样保证接入的安全性、易用性和低维护率。③相互的中心站点间的数据共享及传输。

2.2 技术难题

系统直报用户通过外网访问疫情系统面临几个问题：①开放系统，能否保证外网直报用户与内部合法用户使用效果或数据一致。②权限设定问题。在让外网直报用户快捷方便地访问同时，也需要保证信息资源的安全。这成为目前疫情信息系统一个急需解决的问题。考虑到上述问题，使用SSL VPN技术来实现外网访问是最好的选择。

3 方案与部署（Scheme and deployment）

使用SSL VPN方式应该遵循的原则：①权限划分。SSL VPN重点在于保护具体的敏感数据，通过配合一定的身份认证，以保证每次访问的记录特性，为事后回溯提供依据。②高效管理。必须有完整的操作日志记录。③系统兼容性。因为要满足各类不同的终端，保证服务器能兼容多平台。

3.1 方案设计

IPSec VPN和SSL VPN是目前两个主流安全访问技术，两者有很大的不同，分析两个技术的对比图见表1[1] 。通过对比分析两种不同的架构，我们采用单臂SSL VPN网关接入模式。在防火墙部署VPN SSL网关设备，不需要改变现有的网络拓扑结构，在防火墙配置NAT，用设定好的IP地址访问互联网。由于SSL VPN是应用层网关，安全可靠，应用层的策略可以有效地保护内部的应用服务器，第四端口没有接触到互联网的服务器，只要开放防火墙的SSL（TCP443）端口[2]，这种设计可以保证内网服务器的安全。

3.2 系统部署

在防火墙内接入一台SSL VPN设备，并分配设置好的合法IP地址。然后将IP地址、内网接口、掩码、网关等配置好，然后完成其他相应设置。网络拓扑图如图1所示。

3.3 实现效果

外网直报用户只需将建好的IP地址输入浏览器便可以进行系统登录操作，在登录界面登录及验证，确认后便可利用SSL VPN隧道快速方便的访问传染病疫情系统。如图2所示实现效果图。

4 结论（Conclusion）

综观上述，SSL VPN的易用性和安全水平，高于IPSec的VPN。我们都知道，由于互联网的快速扩张，以及疾病预防控制机构对数据安全性的严格要求，对外网安全登录的需求也在增加。对于用户来说，一个方便快捷的解决方案，才能真正满足用户的需求。

参考文献：

[1]段永福，段炼，张元睿.计算机网络规划与设计[M].杭州：浙江大学出版社，2005：26.

[2]顾春峰，李伟斌，兰秀凤.基于Vmware、GNS3实现虚拟网络实验室[J].实验室研究与探索，2012（1）.

[3][WALL1600下一代防火墙]下一代防火墙几种VPN优缺点对比.