信息中心
網御星云SSL VPN助力衛生行業信息化建設
一.前言
中國疾病預防控制中心,作為實施國家級疾病預防控制與公共衛生技術管理和服務的公益事業單位,是我國公共衛生體系的一個重要部分。2003年以來,中國疾病預防控制中心建立了以傳染病疫情報告和突發公共衛生事件為核心的網絡信息平臺,實現了基于B/S模式和J2EE三層架構的實時在線傳染病個案網絡直報系統,該系統覆蓋全國100%各級疾控機構、96%縣及以上醫療機構和82%鄉鎮衛生院。同時以此為基礎,中國疾病預防控制中心信息化建設更加完善,各種信息化平臺逐漸上線運行,隨著信息化建設的發展,各種信息化平臺需要發布在互聯網中提供給全國相關單位的用戶來使用,遠程移動辦公點多面廣的接入需求日益增多,用戶通過互聯網訪問應用業務時不可避免的存在著數據安全和操作上的問題。正是基于遠程辦公、安全接入認證、用戶權限管理、數據加密、易操作性以上五點的需求,中國疾病預防控制中心采用網御星云SSLVPN網關SAG的方案,完美的與各種信息化平臺相結合,內網應用資源得到無限延伸。
二.方案設計
1.VPN技術選擇
1)基于Web的應用是技術發展的大勢所趨
網絡應用已經由“Everythingover IP”逐漸轉變為“Everythingover Web”,未來基于Web的應用將占整個網絡應用的60%~70%。在網絡化、Web化、標準化的技術發展趨勢下,衛生行業也不例外,大部分應用都為B/S架構基于WEB實現。因此與web應用配合最好的SSLVPN將成為網絡應用和業務拓展、安全保障的主要技術手段。
2)網絡無界、接入無限是技術發展的大勢所趨
隨著WEB技術的發展,局域網的邊界越來越模糊。現在和未來的用戶,需要能夠在分支機構、旅途中、酒店中、家中都能夠隨時的訪問局域網內的應用系統、業務系統和數據資源。也就是說,此時的局域網將擴展成以應用為邊界的基于公眾基礎設施的虛擬私有網絡,傳統的地域網絡邊界將逐漸模糊直至最終消失,這就是網絡發展的必然趨勢--網絡無界。
在技術發展和融合的推動下,網絡接入無限的需求和趨勢愈發明顯。所謂網絡無限就是指任何人、在任何地點、任何時間、通過任何接入設備(DesktopPC、NotebookPC、手機、PDA、數字終端等)、任何的Internet接入方式(撥號、ISDN、ADSL、小區寬帶、Wi-Fi等),都可以安全的訪問其所需要的資源。
在網絡無界、接入無限的發展趨勢下,用戶迫切的需要一種能夠快速的將局域網內應用擴展至公眾網絡,同時又擁有足夠的安全保護能力的技術解決方案。此時,VPN作為一種成熟遠程安全訪問技術方案,逐步的得到了越來越多的用戶的認可。
3)IPSecVPN的局限性
在VPN技術方案上,當前主要有SSLVPN和IPSecVPN兩種技術路線。IPSecVPN技術出現較早,應用較為廣泛,但IPSecVPN有其自身的局限性。
需要安裝客戶端軟件,存在大量的安裝、培訓、升級、管理等工作,無形增加了用戶的使用成本。
接入設備支持的種類少,以DesktopPC和NotebokePC為主,對手機、PDA、MAC、移動終端等設備的支持有局限性。
存在一些技術問題,如:NAT穿透、私有地址沖突等。
由于IPSec是網絡層協議,安全隧道一旦建立,可以訪問所有內部資源,存在一定的安全隱患。
因此,無論國際還是國內,無需安裝客戶端、支持多種設備接入,且能提供更好的安全控制手段的SSLVPN相比IPsecVPN正逐漸的贏得更多用戶的青睞,也更加適合中國疾病預防控制中心這種遠程辦公、權限細分、證書接入、WEB應用占大多數的需求環境。
2.部署拓撲示意圖
3.部署說明
遠程接入是典型的VPN接入需求,傳統的IPSECVPN可以提供移動接入的功能,且具備提供足夠的安全性,但是一個問題是需要安裝客戶端軟件,需要進行安裝和維護。對于大多數處于移動狀態且是非IT專業人事來講,其VPN客戶端軟件維護的復雜性就要成倍增加。因此,選擇客戶端免維護的SSLVPN系統是構建遠程安全接入的首選方案。
根據用戶的網絡現狀和SSLVPN產品特點,我們建議采用網御SAG產品,單臂旁路方式集群接入。單臂旁路接入不改變原有網絡結構和網路配置,不增加故障點,部署簡單靈活,同時提供完整的SSLVPN服務。遠程用戶只需應用標準IE瀏覽器即可登陸網關,通過身份鑒別,在基于角色的策略控制下實現對企業內部資源的存取訪問。
文章作者:網御星云
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄