【 摘 要 】 12331食品药品投诉举报系统是食品药品监管信息化工作的重要组成部分，打造一个安全、高效、可靠的传输网络是提升投诉举报处理能力的重要基础。IPSec VPN技术的应用，使各个节点的安全通信成为可能，对其他政府部门热线服务系统建设（如12345）有一定借鉴意义。

【 关键词 】 12331 ；食品药品；IPSec VPN；电子政务；网络

【 中图分类号 】 TP393

【 文献标识码 】 A

ApplicationofIPSec VPN in 12331 HotlineSystem

Zhou Wei-guang

（Shandong Food and Drug Administration ShandongJinan 250013）

【 Abstract 】 12331 HotlineSystem is an important part of the food and drug information work， build a safe， efficient and reliablenetwork is an important basis for improving the ability to handle complaints.The application of IPSec VPN technology makes the secure communication of each node possible， and it can be used as reference for otherdepartments hotlinesystemconstructionsuchas 12345.

【 Keywords 】 12331；food and drug；ipsec vpn；e-government ；network

1 引言

食品药品安全直接关系到最广大人民群众的切身利益，加快推进信息化建设是落实科学监管理念的具体行动。12331食品药品投诉举报系统（以下简称“12331系统”）实现了全省食品、药品、保健品、化妆品和医疗器械投诉举报信息的一体化管理，有效拓宽了案源、提高了办案效率。由于投诉举报涉及投诉人身份、投诉对象和后续案源等敏感信息，如何广泛的接收投诉举报信息，同时防止业务数据泄露，成为系统安全防护的重点和难点。

2 “12331系统”概况

2.1 系统架构

山东省“12331系统”覆盖省局、17市局和140个县区局，共计180余个软坐席、180路IVR（互动式语音应答系统）和30路TTS（文本语音合成系统），采用全省集中部署，市县两级通过省局实现语音电话的呼入呼出和数据共享。

具体部署方法：省局部署一台语音排队机，通过 3条E1线路连接PSTN网络；省局部署CTI服务器、IVR服务器、数据库服务器和文件服务器等相应服务组件用于实现呼叫中心各种应用；各市、县终端坐席采用IP电话方式连接至省局，与业务软件集成，并与CTI中心设备群互通。

2.2 面临的形势

一是信息安全态势不容乐观。截止目前，省局互联网接口被嗅探、扫描、尝试入侵数量高达500万次/天，主要手段包括Udpflood、端口扫描、SQL注入、跨站脚本攻击等。 “12331系统”中包含大量举报人、举报对象等敏感信息，一旦被窃取或泄露，后果不堪设想。

二是稳定性和可靠性的要求。“12331系统”建成后，年受理投诉量约为15万件，其中电话语音投诉约为12万件，投诉人对语音质量和稳定性要求较高。

3 VPN虚拟专用网络

3.1 VPN的概念

VPN（Virtual Private Network）即虚拟专用网络，是在公用网络上通过加密通讯建立的专用网络，可以保证数据的机密性、完整性、抗重放，并且可以对数据来源进行有效认证。“12331系统”使用VPN技术有几个优势。

一是建设运营成本低。VPN网络可依托已有互联网建设，而各投诉举报机构均已实现因特网接入，不再需要额外架设专线，节省了大量线路租赁费用（按照2M带宽，共计150条线路估算，每年可节省租赁费用约144万元）。

二是数据加密传输。终端VPN设备可以通过协商方式，采用加密算法对数据进行加密，保证了数据在传输过程中的保密性和完整性。

三是擴展性好。采用VPN方式，只需在新增加的远端坐席处架设VPN设备，就可以实现扩展。

3.2 VPN模式的选择

在实际应用当中，VPN规模化部署包括MPLS VPN，SSL VPN和IPSec VPN三种常见模式。

MPLS VPN模式：在网络路由和交换设备上使用MPLS（Multi-Protocol Label Switching）即多协议标记交换技术，利用结合传统路由技术的标记交换实现的虚拟专用网络。MPLS将二层交换和三层路由技术结合起来，在解决VPN、服务分类等基于IP协议的应用时具有优异表现，成为在运营商的主要增值业务之一。

SSL VPN模式：以支持SSL（Secure Sockets Layer）安全套接层协议的HTTP协议为基础的VPN技术，工作在传输层和应用层之间。主要利用SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，可以为应用层之间的通信建立安全连接。广泛应用于基于Web的远程安全接入，为用户远程访问机构内部网络提供了安全保证。

IPSec VPN模式：基于IPSec（IP security）协议的VPN技术，由IETF设计的端到端的基于IP通讯的数据安全机制。IPSec VPN通过AH和ESP这两个安全协议来实现数据的安全通信，工作在IP网络层，提供对网络层以及网络层上层协议的保护，为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。广泛应用于端对端的加密和验证服务。

三种模式的应用情况对比如表1所示。

调研发現，山东省各投诉举报机构的互联网接入运营商并不统一，考虑到每个点都有多个坐席且扩展性更好，我们选择IPSec VPN模式作为全省“12331系统”网络安全解决方案。

4 “12331系统”中的IPSec VPN组网

“12331系统”组网，在省局与各市、县局网络边界部署VPN设备，通过互联网以星形结构互联。网络中心节点位于省局互联网边界，市、县局设备分别与中心节点设备建立IPSec VPN隧道。

首先规划全网VPN组网地址。省局规划128个IP地址，市局规划32个，区县局规划16个；各子网最末位IP地址配置为该网段网关。

其次制定隧道命名规则。省局名称一致使用Sdfda，市局以“隧道起始简拼-终止节点名简拼”命名隧道，如中心节点设备上对应临沂市局隧道名称“Sdfda-ly”。县局以“隧道起始简拼-所属地市简拼-终止节点简拼”命名隧道，如中心节点对应德州市临邑县隧道名称“Sdfda-dz-ly”。

第三定义预共享密钥。市局，预共享密钥命名为Sj+地市节点名简拼+&*6。例如枣庄密钥为“Sjzz&*6”；县局，预共享密钥命名为Sj+区县节点名简拼+@#7，如平原县局密钥 “Sjpyx@#7”。

最后配置IPSec VPN。一是定义安全域、配置接口信息、配置NAT、路由和策略实现网络可达；二是创建VPN使用的安全策略，包括加密算法、验证算法、密钥长度和IKE身份认证方式；三是建立隧道接口、加入安全域，实现IPSec VPN的可靠互联。

5 结束语

IPSec VPN技术的应用，使分布在全省各地的投诉举报机构建立了安全通信，实现了投诉举报业务与国家总局、市县局的纵向联动、横向联通。系统建成后，重大紧急投诉举报信息上报时间控制在1小时内，投诉举报信息在途时间控制在30分钟内，达到了安全、稳定、高效的运行目的。此外，IPSec VPN网络陆续承载了远程监控、网站内容管理等其他业务应用。

本文中的部署方式将全网运维工作集中到了省级，适用于省级技术能力较强的情况；由于IPSec VPN的隧道模式是建立在内网安全可信的基础之上，管理人员要切实加强内网安全的管控，防止非法用户入侵。

参考文献

[1] 雷震甲.网络工程师教程（第四版）[M].北京：清华大学出版，2014.

[2] 乔晓琳.基于IPSec VPN应用研究[J].电脑知识与技术，2010（05）1072-1074.

[3] 林洋，张颖. VPN技术在四川地震信息网络中的应用[J].四川地震，2015（04）20-23.

[4] 唐晓梦，刘昶. IPSec VPN原理与配置[J].中国有线电视，2016（08）930-933.

作者简介：

周伟光（1983-），男，汉族，山东济宁人，毕业于辽宁工程技术大学，硕士，山东省食品药品监督管理局信息中心，高级工程师，负责山东省食品药品监管系统网络和信息安全工作；主要研究方向和关注领域：网络和信息安全。